Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
de:services:it_security:email_security:malicious_email_check [2020/07/24 08:15] – [Inhalte] totto | de:services:it_security:email_security:malicious_email_check [2020/07/24 13:43] (aktuell) – [Unterstützung bei der Prüfung von E-Mails] hbeck | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
+ | **Diese Seite ist noch im Aufbau!** | ||
+ | ====== Prüfung von E-Mails auf Gefährlichkeit und gefährliche Inhalte ====== | ||
+ | |||
+ | |||
+ | Gefahren durch E-Mails können in technischen, | ||
+ | |||
+ | Technische Aspekte sind insbesondere: | ||
+ | |||
+ | * **E-Mail-Anhänge**: | ||
+ | * **Links in E-Mails**: Diese können zu gefährlichen Webseiten führen. **Links in E-Mails dürfen nur angeklickt werden, wenn die Ungefährlichkeit geprüft wurde!** | ||
+ | |||
+ | Gar nicht technisch sind Versuche, per E-Mail Personen zu falschen oder schädlichen Handlungen zu veranlassen. Man spricht hier von **Social Engineering** (auf Deutsch am ehesten mit soziale Manipulation zu übersetzen, | ||
+ | |||
+ | * Angreifer täuschen vor, Vorgesetzte oder Geschäftspartner zu sein, und versuchen, die Empfänger einer E-Mail zu **Geldüberweisungen** zu überreden. Angegriffen werden hier gezielt Personen in Finanzabteilungen und Verwaltungen. | ||
+ | * Angreifer täuschen vor, Vorgesetzte zu sein, und versuchen, die Empfänger einer E-Mail dazu zu überreden, **Gutscheine zu kaufen** und Gutscheincodes per E-Mail an die Angreifer weiterzuleiten. Angegriffen werden hier beliebige Mitarbeiter*innen z. B. einer Arbeitsgruppe. | ||
+ | * Angreifer täuschen vor, in Rechner der Angegriffenen eingebrochen zu sein, und dort peinliche Informationen abgegriffen oder erstellt zu haben. Häufig wird hier damit gedroht, Videos von sexuellen Handlungen mit der Kamera des gehackten Computers aufgenommen zu haben. Die Angreifer drohen mit Veröffentlichung des Material und fordern **Schweigegeld**. | ||
+ | |||
+ | ===== Prüfungen ===== | ||
+ | |||
+ | Bei einer Prüfung sollten Sie Absender, Plausibilität des Inhalts, Art der Anhänge und Ziele von Links prüfen. | ||
+ | |||
+ | ==== Absender ==== | ||
+ | === Grundsätzlicher Fälschungsverdacht === | ||
+ | |||
+ | Prinzipiell gilt, dass die Absenderangabe in einer E-Mail nicht vertrauenswürdiger ist, als der Absender auf dem Kuvert eines Briefs. Bedenken Sie immer, dass die Absenderangabe insgesamt gefälscht sein könnte. Eine Ausnahme bilden nur kryptographische Signaturen (s. am Ende des Abschnitts). | ||
+ | === Anzeigename und E-Mail-Adresse === | ||
+ | |||
+ | Trotz der Möglichkeit der kompletten Fälschung der Absenderangabe sollten die Absenderangaben zunächst formell geprüft werden. E-Mail-Programme zeigen den Absender in einem Feld an, das " | ||
+ | |||
+ | Vertrauen Sie nicht dem Anzeigenamen! Prüfen Sie die E-Mail-Adresse! Häufig steht ein vertrauter Name als Anzeigename in der E-Mail und ist eine Fälschung. Die E-Mail-Adresse des Absenders wird häufig nicht gefälscht. In diesen Fällen steht hinter dem vertrauten Anzeigenamen eine dazu nicht passende E-Mail-Adresse, | ||
+ | |||
+ | < | ||
+ | |||
+ | Eine solche Kombination ist prinzipiell verdächtig. Wahrscheinlich handelt es sich in solchen Fällen um eine bösartige E-Mail. | ||
+ | |||
+ | Auf Smartphones wird meist nur der Anzeigename angezeigt. Um die E-Mail-Adresse angezeigt zu bekommen, hilft es, bei den meisten Smartphone-Programmen, | ||
+ | === Plausibilitätsprüfung === | ||
+ | |||
+ | Weil die Absenderangabe gefälscht sein könnte, sollten sie immer die Plausibilität anhand des Inhalts der E-Mail prüfen: | ||
+ | |||
+ | Wenn Sie die Person kennen, die angeblich die E-Mail sendet: | ||
+ | * Sind Anzeigename und E-Mail-Adresse die schon früher verwendeten? | ||
+ | * Ist die Signatur (also die Angaben wie Postadresse oder Telefonnummern am Ende der E-Mail) die auch sonst verwendeten? | ||
+ | * Werden Sie wie üblich angeredet? Ein Wechsel zwischen Du und Sie, Vorname und Nachname, kollegial oder förmlich ist verdächtig. | ||
+ | * Entsprechen Informationen, | ||
+ | * Ist der Schreibstil derselbe wie vorher? | ||
+ | * Ist die E-Mail eine erwartete Antwort auf eine vorherige Anfrage? | ||
+ | |||
+ | Wenn sie die Person nicht kennen, die angeblich die E-Mail sendet: | ||
+ | * Prüfen Sie, wer der Absender ist, z. B. über Webseiten der Organisation, | ||
+ | * Fragen Sie über Kontaktdaten auf Webseiten der Organisation nach, ob die E-Mail wirklich von dieser Organisation kommt. | ||
+ | * Prüfen Sie auch hier, ob der Schreibstil, | ||
+ | |||
+ | Wenn Sie unsicher sind, ob der Absender authentisch ist, fragen Sie lieber nach. Fragen Sie aber nicht nach, indem Sie auf den Antworten-Button in der E-Mail klicken. Fragen Sie per Telefon oder auf anderen Wegen nach. Wenn Sie doch eine Rückfrage per E-Mail verwenden müssen, dann verwenden Sie eine E-Mail aus einem zuverlässigen Verzeichnis (Ihrem Adressbuch, einer offiziellen Webseite o.ä.). | ||
+ | |||
+ | ==== Inhalte ==== | ||
+ | |||
+ | Allgemein ist es verdächtig, | ||
+ | * die E-Mail sehr viele Rechtschreib- oder Grammatikfehler enthält, | ||
+ | * die E-Mail sprachlich schlecht formuliert ist, | ||
+ | * die E-Mail Drohungen enthält oder Handlungsdruck erzeugt, | ||
+ | * die E-Mail mit Gewinnen oder Versprechungen lockt, | ||
+ | * die E-Mail angeblich wichtige oder geheime Informationen von prominenten Personen verspricht, | ||
+ | * der Absender Ausreden anführt, warum eine Rückfrage nicht möglich ist und daher ohne Rückfrage gehandelt werden müsste, | ||
+ | * der Absender Argumente anführt, dass Geheimhaltungsanforderungen Rückfragen an andere, sonst üblicherweise beteiligte Personen verbieten würden. | ||
+ | |||
+ | ==== Anhänge ==== | ||
+ | === Grundsätzliche Vorsicht und Plausibilitätsprüfung === | ||
+ | |||
+ | Öffnen Sie Anhänge nur, wenn Sie sicher sind, dass diese ungefährlich sind. Fragen Sie bei Unsicherheit beim Absender nach oder öffnen Sie die Anhänge nicht. Beim Nachfragen bedenken Sie die obigen Hinweise zur Absenderidentität und Rückfragen. | ||
+ | |||
+ | Wenn Sie zuvor um die Übersendung bestimmter Dokumente bei einer bekannten Person über eine bekannte und geprüfte E-Mail-Adresse gebeten haben und dann genau die angeforderten Dokumente erhalten, können Sie davon ausgehen, dass diese ungefährlich sind. | ||
+ | |||
+ | === Gefährliche Dateitypen === | ||
+ | |||
+ | Die potenzielle Gefährlichkeit von Anhängen hängt auch von den Dateitypen ab. Vor allem Dateien, die Programme oder Programmcode (" | ||
+ | |||
+ | * Ausführbare Dateien haben u. a. die Endungen .exe, .com, .cmd, .vbs, .pif oder .scr. | ||
+ | * Dateien mit ausführbaren Inhalten (insbesondere Makros) sind z .B. Dateien von Microsoft Office mit den Endungen .docm, .xlsm oder .pptm. | ||
+ | * Dateien, die ausführbare Inhalte enthalten können (aber nicht immer enthalten), sind u. a. die älteren Dateiformate .doc, .xls oder .ppt von Microsoft Office. | ||
+ | * Die Microsoft Office Datei-Formate .docx, .xlsx und .pptx können keine Makros enthalten (bzw. Office würde in diesen Dateien enthaltene Makros nicht ausführen, wenn man versucht, das System zu überlisten, | ||
+ | * Auch .pdf-Dateien können Code enthalten. Auch hier ist also Vorsicht geboten. | ||
+ | * Archivdateien (wie .zip, .7z, .tar oder .gz) können beliebige Dateien enthalten. Hier muss der Inhalt des Archivs auf darin enthaltene Dateien und Dateitypen geprüft werden. | ||
+ | |||
+ | === Vorsicht bei ausgeblendeten Dateiendungen === | ||
+ | |||
+ | Leider wird in Windows-Betriebssystemen häufig die Option ausgewählt, | ||
+ | |||
+ | Ausgeblendete Dateinamenserweiterungen versuchen Angreifer zu nutzen, indem Sie Dateinamen so wählen, dass bei ausgeblendeter wahrer Endung der Eindruck eines anderen, ungefährlichen Dateityps erscheint. Dabei wird z. B. die Datei " | ||
+ | |||
+ | Bedenken Sie immer, dass der wahre Dateityp im Namen nicht erscheint, wenn die Ausblenung von bekanten Dateiendungen aktiviert ist. | ||
+ | |||
+ | Besser: Verzichten Sie auf die Option zur Ausblendung der Dateiendungen. | ||
+ | |||
+ | ==== Links ==== | ||
+ | |||
+ | === Grundsätzliche Vorsicht und Plausibilitätsprüfung === | ||
+ | |||
+ | Klicken Sie nur dann auf Links, wenn Sie sicher sind, dass diese ungefährlich sind. Fragen Sie bei Unsicherheit beim Absender nach oder klicken Sie nicht auf den Link. Beim Nachfragen bedenken Sie die obigen Hinweise zur Absenderidentität und Rückfragen. | ||
+ | |||
+ | Wenn Sie zuvor um die Übersendung bestimmter Links bei einer bekannten Person über eine bekannte und geprüfte E-Mail-Adresse gebeten haben und dann genau der oder die angeforderten Links ubermittelt werden, können Sie davon ausgehen, dass diese ungefährlich sind. | ||
+ | |||
+ | === Beschreibung eines Links und der eigentliche Link === | ||
+ | |||
+ | Links im Internet wie in E-Mails (wenn diese im HTML-Format dargestellt werden) bestehen aus zwei Teilen: einer Beschreibung und dem eigentlichen Link. Z. B. könnte als Beschreibung stehen und angezeigt werden " | ||
+ | |||
+ | In bösartigen E-Mails finden Sie häufig nichtssagende Formulierungen wie " | ||
+ | |||
+ | **Vorsicht**: | ||
+ | |||
+ | In E-Mail-Apps auf Smartphones steht keine Maus zur Verfügung. Hier wird Ihnen der Link in der Regel dadurch angezeigt, dass Sie nicht kurz auf die Beschreibung klicken, sondern so lange auf die Beschreibung drücken, bis ein Fenster erscheint, das dann den eigentlichen Link anzeigt. | ||
+ | |||
+ | Die meisten E-Mail-Programme zeigen in der Standardeinstellung E-Mails im HTML-Format an. Sie können bei E-Mail-Programmen wie Outlook oder Thunderbird die Konfiguration auch so ändern, dass E-Mails im Nur-Text-Format angezeigt werden. Dann würde der eigentliche Link direkt im Text angezeigt werden und ein Warten mit Mauszeiger über der Beschreibung würde entfallen. Die obigen Beispiele würde dann angezeigt werden als " | ||
+ | |||
+ | === Prüfung der Domäne (des Wer-Bereichs) === | ||
+ | |||
+ | Links beschreiben, | ||
+ | |||
+ | Die Prüfung der Gefährlichkeit des Wo (auf einem Server, inkl. des Dateinamens) dürfte Sie vermutlich häufig überfordern. | ||
+ | |||
+ | Einfacher zu prüfen ist die Aussage des Links zum Wer (ist der Anbieter). Dieser Teil des Links ist im ersten Teil des Links enthalten. Die IT-Experten nennen den ersten Teil den Domänenamen. | ||
+ | |||
+ | Ein Link besteht dann aus drei Teilen: | ||
+ | * einer Protokoll-Spezifikation, | ||
+ | * danach folgt der Domänenname. Dieser endet mit dem ersten "/" | ||
+ | * am Ende steht eine Beschreibung, | ||
+ | |||
+ | Im Beispiel https:// | ||
+ | |||
+ | * die Protokoll-Spezifikation < | ||
+ | * der Domänenname < | ||
+ | * die Angabe zum Wo auf dem Server fehlt hier, also wird der Einstiegspunkt gemeint. | ||
+ | |||
+ | Im Beispiel https:// | ||
+ | * die Protokoll-Spezifikation < | ||
+ | * der Domänenname < | ||
+ | * die Angabe zum Wo auf dem Server " | ||
+ | |||
+ | Im Domänennamen ist die Angabe zum Anbieter, d. h. zum Wer, enthalten. Hier versuchen Angreifer, Seriösität mit kompliziert konstruierten Domänennamen vorzutäuschen. Wichtig ist zu wissen, das Domänennamen eigentlich von rechts nach links (also von hinten nach vorne gelesen werden müssen). Die wichtige Information zum Anbieter, der Wer-Bereich, | ||
+ | |||
+ | Die nachstehenden Beispiele sollen das illustieren. Dabei ist der <wrap hi> | ||
+ | |||
+ | * www.< | ||
+ | * www.< | ||
+ | * www.maschinenbau.< | ||
+ | * ecampus.< | ||
+ | * ecampus.< | ||
+ | * www.mbipbc.< | ||
+ | * www.< | ||
+ | |||
+ | Bei der Bewertung der Gefährlichkeit müssen Sie zuerst den gelb hervorgehoben Wer-Bereich betrachten. Passt dieser Wer-Bereich zu dem angeblichen Zweck des Links? Wenn Sie das nicht bejahen können, sollten Sie den Link als gefährlich betrachten und nicht auf den Link klicken. | ||
+ | |||
+ | Angreifer versuchen aber, nicht nur die Komplexität der Domänennamen zu nutzen, sondern verwenden auch unauffällige Tippfehler. uni-gottingen.de oder uni-goetingen.de wären z. B. Variationen, | ||
+ | |||
+ | ==== Unterstützung bei der Prüfung von E-Mails ==== | ||
+ | Sollten Sie sich nicht sicher sein bei der Einschätzung der Gefährlichkeit einer E-Mail, dann nehmen Sie Hilfe in Anspruch! Neben lokalem IT-Personal oder einfach Personen vor Ort, die sich einfach besser auskennen, steht Ihnen auch der Support der GWDG zur Verfügung. | ||
+ | |||
+ | Experten können bei der Bewertung der Gefährlichkeit auch Protokollinformationen in E-Mails auswerten, die E-Mail-Programme meist im täglichen Gebrauch ausblenden. Diese Informationen sollten weitergegeben werden, wenn Sie Experten um Unterstützung bitten. Dazu müssen Sie in ihrem E-Mail-Programm die E-Mail mit der Funktion " | ||
+ | |||
+ | ==== Kryptographische Signaturen ==== | ||
+ | |||
+ | Dieser Abschnitt ist noch in Arbeit. | ||