Klopfers Link- und Lichtbild-Deponie



Hier gibt's kurze Kommentare, Links und Bilder - nicht nur von Klopfer selbst.

Hier steht, wie du selbst etwas posten kannst. Bitte beachte dabei die Regeln.

Zurück zur Hauptseite der Deponie


#931 von Gast

Das KIT hat einen Test bereitgestellt, bei dem man schauen kann, ob man auf Phishing Mails reinfallen würde. Ich ahbe auch nur 8 von 9 Punkten, weil ich bei einer ungefährlichen Mail zu kritisch war. Geht ja nicht darum alles abzublocken, sondern da filtern zu können. Wobei ich sagen würde, lieber einen zu viel geblockt als einen zu wenig...

Link: [https://nophish-quiz.secuso.org/]
-1 Punkt(e) bei 1 Reaktion(en)
Dir hat's gefallen? Dann erzähl deinen Freunden davon!

the_verTigO (Profil)
Kommentar melden Link zum Kommentar

Für die, die den Test noch machen wollen:

SPOILER
-
-
-
-
-
War deine falsche Antwort auch die mit der pdf im Anhang?
-
-
-
-
-
SPOILER ENDE

Grundsätzlich würde ich außerdem auch keiner Mail glauben schenken, die nicht die Bestellnummer zu meiner Bestellung enthält.

0
Geschrieben am
mischka (Profil)
Kommentar melden Link zum Kommentar

9 von 9 :D

0
Geschrieben am
Grunty (Profil)
Kommentar melden Link zum Kommentar

Wenn man so einen Pishing Test macht, achtet man natürlich ganz genau auf verräterische Zeichen. Bei uns im Unternehmen haben sie neulich mal einen Überraschungstest gemacht. Es kam einfach eine Mail vom Admin, bei der n bissl was nicht gestimmt hat. Es wurde dann anonym ausgewertet wieviele Klicks der Link in der Mail bekommen hat und ich finde es wirklich eine große Sauerei, dass die Zahlen nicht veröffentlicht wurden, ich bin ja so neugierig.

2
Geschrieben am
qwzt (Profil)
Kommentar melden Link zum Kommentar

Mir ging es vor ein paar Tagen umgekehrt, da hab ich eine Email ohne Betreff bekommen. Der Anhang war zwar eine PDF, aber mit seltsamer Bezeichnung. Dachte mir, die lösch ich einfach, bis mir zum Glück noch eingefallen ist, dass ich am Kopierer was eingescannt habe und mir die Datei per Mail zugeschickt habe... wäre ärgerlich gewesen.

1
Geschrieben am
Mandarine (Profil)
Kommentar melden Link zum Kommentar

Der Anhang am unteren Ende der E-Mail hat den Namen “problemloesung.pdf”. Die Dateiendung ist “.pdf”, ein typisches Format. Dieses wird häufig genutzt, um Informationen und Dokumente digital zu verschicken. Es gehört nicht wie die “.exe” Endung zu den besonders gefährlichen Formaten. Deshalb gehen wir als Empfänger hier von einer legitimen Nachricht aus.


Das ist halt einfach dämlich, weil PDF nun schon mehrfach in großen, bekannten Fällen als Einfallstor gedient hat. PDF ist nämlich nicht mehr nur eine simple Layoutsprache, sondern kann auch Macros beinhalten.

Wenn der Betreff oder die E-Mail selbst also schon keinen Hinweis auf einen konkreten Vorgang gibt (Kunden-/Auftragsnummer, Kontext ist dem Empfänger bekannt, etc.) dann ist PDF genauso unsicher wie eine .exe-Datei.

Damit ist der Test dann auch völlig wertlos.

@qwzt Nutzen eure MFP keine interne Domain, die man simpel erkennen kann? Unsere MFP signieren die Mails mit ihrem S/MIME-Zertifikat, sodass man sich sogar über den Inhalt sicher sein kann.

1
Geschrieben am
(Geändert am 21. Juli 2021 um 17:36 Uhr)
Sajoma (Profil)
Kommentar melden Link zum Kommentar

@Grunty: Das sollten sie bei uns in der Uni auch regelmäßig tun; wir haben ständig Probleme mit Leuten, die auf irgendwelche Phishingmails mit ihrer Unimailadresse reinfallen.
Inzwischen gibt es sogar einen rotumrandeten Kasten, der einen darauf hinweist, man möge diese konkrete Mail bitte sorgfältig prüfen, da sie nicht von der Uni stamme...

@Mandarine: Danke für die Bestätigung meiner laienhaften Intuition. ^-^

0
Geschrieben am
qwzt (Profil)
Kommentar melden Link zum Kommentar

Der Absender ist die IP-Adresse des Kopieres und die Endung der Uni, also im Prinzip ist es schon klar. Aber es sah halt komisch aus.

1
Geschrieben am
Gast (Profil)
Kommentar melden Link zum Kommentar

Tatsächlich war ich auch bei der Mail mit pdf Anhang zu kritisch... sagt der Test. Aber ganz verkehrt finde ich solche Aktionen nicht, um die Leute mal zu senisibilisieren.

Erinnert mich an die Anfangszeiten in den 2000ern, las die Uni einen Spamfilter einbaute, der NAchrichten mit Wörtern von der Blacklist herausfischte. Klar kann man "sex" auf diese Liste packen, auch wenn ich das prüde finde, man darf sich dann aber nicht wundern, dass die Partneruni in Sussex einem komischerweise nicht mehr schreibt...

2
Geschrieben am
Mandarine (Profil)
Kommentar melden Link zum Kommentar

@Gast In diesem Fall ist es halt wirklich dämlich, weil gerade PDF-Dateien eben keine inhärente Sicherheit im Vergleich zu den erwähnten .exe-Dateien bieten. PDF kann mittlerweile Java Script enthalten (wer auch immer das für eine gute Idee gehalten hat...), und damit dynamisch agieren. Das erlaubt es natürlich auch PDF als Angriffsvektor zu nutzen. Daneben kann man mittels einer PDF-Datei natürlich auch Sicherheitslücken in der Darstellungssoftware ausnutzen - die ist insbesondere in den heute üblichen Browservorschauen für PDF ein Problem, weil der Browser zwar sicher sein kann, aber ein Fehler in der Darstellungssoftware dann dennoch das System kompromittieren kann.

Dass z.B. Adobe ständig Sicherheitsupdates für ihren einfachen PDF-Reader ausliefern muss ist seit nun über zwei Jahrzehnten der Fall (damals auf Grund der Breitbandbedingungen noch etwas weniger). Allein das sollte als Sensibilisierung ausreichen, und zeigt, dass die Macher dieses Tests sich einfach nicht mit der Materie auseinandergesetzt haben. Hier wird falsche Sicherheit vermittelt, was sogar noch schlechter ist als nicht-ausreichende Sicherheit - das ist das Virenscannerproblem. "Ich hatte doch einen Virenscanner, warum habe ich mir dennoch Schadsoftware eingefangen?!" Nur hier halt mit PDF.

0
Geschrieben am
BJ68 (Profil)
Kommentar melden Link zum Kommentar

Bin auf den ersten Verschreiber im Link reingefallen daher 8 von 9 Punkten....

Was ich generell bei solchen Mails mache, wäre einen Header-Check d.h. mir den MIME Header anzeigen lassen und von dort die Sende IP mit "Who is" checken....bzw. schauen ob die mit dem vermeintlichen Mailsender plausibel ist z.B. von Ebay "Received: from mxphxpool1003.ebay.com ([66.211.184.69]:65039)" oder DHL "Received: from gateway1g.dhl.com ([165.72.200.97]:21753)"

und wenn alle Stricke reißen...folgt ein Gang zu unserem IT-Administrator, was der dazu meint....
Edit: habe ich auch schon mal gemacht....mit einer Mail die sehr plausibel war....arbeitsbezogen....
Ferner: Bei einer Mail mit PDF (folgen sie den Anweisungen im angehängten PDF), habe ich die Firma dann auch mal angerufen und nachgefragt, ob sie wirklich diese Mail versendet haben....war irgendwas mit Chargen-Dokumentation wegen Rückruf von einem ELISA-Test.

Was allgemeines.....zu dem Test.....oder zu der fiktiven Firma oder besser Service....warum versenden die Html-Mails mit Links zum draufklicken? Warum keine reine Text-Mail mit der Aufforderung sich über die Seite von Ihnen einzuloggen, dort mit der # a632js7 (was die Vorgangsnr. sein dürfte) eine Lösung zu finden?

Finde das von Firmen ein wenig idiotisch, wenn die Mails mit Links versenden und noch idiotischer wenn das Banken tun...


bj68

0
Geschrieben am
(Geändert am 22. Juli 2021 um 7:28 Uhr)
Rakshiir (Profil)
Kommentar melden Link zum Kommentar

9 out of 9
Unsere Firma hat sogar Informationssachen jährlich zu so Dingen wie Phishing, Spam, auch Social attacks und so Krams.
Das Einzige was sich die Meisten merken ist "wenn du fragen hast geh zur IT"
Heisst wir bekommen oft einfach Mails weitergeleitet mit "ist das Spam" oder "ist der Anhang ok?"

0
Geschrieben am
ZRUF (Profil)
Kommentar melden Link zum Kommentar

Naja, wenn die Leute dann wenigstens fragen würden... Hab das schon oft genug gehabt, dass jemand auf einen Link in einer E-Mail geklickt hat und danach gefragt hat: "War das ein Fehler?"

Das härteste war dann vor ein paar Jahren, dass jemand auf so einen DHL-Link geklickt hat und eine ransonware auf den eigenen PC geholt hat, der dann auch die Daten auf den verbundenen Netzlaufwerken angefangen hat zu verschlüsseln. Das war dann ein: Rechner sofort aus! Daten vom Serverbackup ziehen! 500km zum betroffenen Büro fahren und alles wiederherstellen und am nächsten Tag wieder zurück.
War wunderbar spaßig der Tag...

0
Geschrieben am
the_verTigO (Profil)
Kommentar melden Link zum Kommentar

Ne Frage an die Experten hier:
Wenn man eine Mail öffnet, aber weder Anhänge noch Links anklickt, kann erst mal nichts passieren, oder?

Grundsätzlich lösche ich eigentlich ohnehin alle Mails, von denen ich nicht erwarte, sie zu bekommen. Also wenn ich eine Mail bekomme, die ich nicht erwartet habe, seh ich sie mir natürlich vorher an und wenn ich sie dann nicht z.B. einer tatsächlich von mir getätigten Bestellung zuordnen kann, kommt sie weg.

0
Geschrieben am
ZRUF (Profil)
Kommentar melden Link zum Kommentar

Also durch das anschauen einer Mail ohne öffnen von Links oder Anhängen passiert im Allgemeinen nichts. Je nach E-Mail-Programm mit Vorschaufenster hättest du sonst ja eh schon Schwierigkeiten. Man denke nur an den Lesebereich in Outlook.
Da passiert zum Glück also nichts. In aller Regel muss man also schon etwas blauäugig auf etwas klicken um sich Probleme einzuhandeln.

0
Geschrieben am
BJ68 (Profil)
Kommentar melden Link zum Kommentar

Naja...mit Einschränkungen...z.B. HTML-Mail und wenn dort Bilder eingebunden sind, die dann aus dem WWW geholt werden, kann oder besser könnte da u.U. was passieren.

Frage: Zip-Archiv....reicht da ein öffnen, wenn es ein reines Zip ist schon aus?

bj68

0
Geschrieben am
ZRUF (Profil)
Kommentar melden Link zum Kommentar

Bei einem Zip-File wäre ich immer vorsichtig.
Liegt aber nicht alleine an der Frage, ob es grundsätzlich problematisch wäre das Archiv nur zu öffnen, ohne die Dateien zu extrahieren oder zu öffnen. Ein Archiv, das eventuell self-extracting ist, könnte hier schon ein Problem sein. Außerdem weiß ich nicht genau, wie das einzelne Zip-Programm arbeitet. Wenn da um Zeit zu sparen im Hintergrund schon gearbeitet wird, obwohl ich nichts selbst geklickt habe, dann ist das auch schon doof.

Was die eingebundenen Bilder betrifft: Ja, das ist eine theoretische Möglichkeit, dass über komprimittierte Webseiten eventuell was passieren könnte. Aber grundsätzlich sind Bild erstmal nicht ausführbar und damit nicht schädlich. Was dabei aber sehr gut funktioniert ist zu überprüfen ob die E-Mail-Adresse existiert und E-Mails abgerufen werden. Sprich ist ein guter Test um später wirklich schädlichen Code zu verschicken.

0
Geschrieben am
(Geändert am 22. Juli 2021 um 12:45 Uhr)
Mandarine (Profil)
Kommentar melden Link zum Kommentar

HTML-Emails sind insofern auch ein Problem, weil auch hier wieder einmal Java Script integriert sein kann. Outlook beispielsweise ist dahingehend ein relativ stupider Browser, der erstmal alles ausführt - ironischerweise basiert Outlooks Render-Engine im Hintergrund auf dem Internet Explorer (ja, immer noch), was dann schon getrost als grober Dummfug bezeichnet werden darf. Angriffe über den Vorschaubereich von Outlook sind nun auch nichts neues.

0
Geschrieben am
Klopfer (Profil) (Website)
Kommentar melden Link zum Kommentar

Bei Outlook ist standardmäßig die Ausführung von JS in Mails deaktiviert. Weiß nicht, wie alt deine Infos sind, aber das ist schon mindestens seit Office 2003 so. :kratz: Und seit Office 2007 benutzt Outlook auch nicht mehr die IE-Rendering-Engine, sondern die HTML-Engine von Word.

0
Geschrieben am
ZRUF (Profil)
Kommentar melden Link zum Kommentar

Hier hat Klopfer absolut Recht. Von daher ist das Risiko mit HTML-E-MAILS in Outlook durchaus gering. Auch blockiert Outlook heute von Haus aus Bachdateien oder ähnliches. Das hilft auch gewaltig. Ja es gibt so Kandidaten, die auf sowas klicken...

0
Geschrieben am
Veria (Profil)
Kommentar melden Link zum Kommentar

Ich hab mir im Jahre 2001 (oder so) über das Vorschaufenster von Outlook Express den Klez geholt. Ich vermute aber arg, dass heutige Mailprogramme nicht mehr ganz so blauäugig sind wie das Mistteil damals.

0
Geschrieben am
ZRUF (Profil)
Kommentar melden Link zum Kommentar

Nein, heute ist das Risiko in dem Bereich echt gering. Aber stimmt schon, wenn ich so 20 Jahre zurückdenke, dann wurde damals wirklich empfohlen das Vorschaufenster nicht zu nutzen.
Ich habe es aber ehrlich gesagt auch in inzwischen rund 20 Jahren IT Support nicht einmal erlebt, dass sich einer über HTML-E-Mails infiziert hat. Aber man muss sagen, dass wir erst 2008 von Lotus Notes auf Outlook gewechselt haben. Ergo hatten wir die Outlook 2003 Probleme nicht mehr.

Dafür alles andere erlebt, auch dass ein User einfach bezahlt hat, als es diese Fake ihr Computer ist mit Viren verseucht Meldungen gab im Browser...

0
Geschrieben am

Nur registrierte Mitglieder können hier Einträge kommentieren.

Zurück zur Hauptseite der Deponie