Differences

This shows you the differences between two versions of the page.

Link to this comparison view

en:services:it_security:email_security:malicious_email_check [2020/07/24 12:36]
hbeck created
en:services:it_security:email_security:malicious_email_check [2020/07/24 13:34] (current)
hbeck
Line 56: Line 56:
 If you‘re unsure if the sender is authentic, you’d better ask. But don't ask by clicking on the answer button in the email. Ask by phone or other ways. If you need to use a request by e-mail, then use an e-mail-address from a reliable directory (your address book, an official website, etc.). If you‘re unsure if the sender is authentic, you’d better ask. But don't ask by clicking on the answer button in the email. Ask by phone or other ways. If you need to use a request by e-mail, then use an e-mail-address from a reliable directory (your address book, an official website, etc.).
  
-==== Inhalte ​====+==== E-Mail-Content ​====
  
-Allgemein ist es verdächtigwenn +In generalit is suspicious if 
-  * die E-Mail sehr viele Rechtschreib- oder Grammatikfehler enthält+  * the e-mail contains many spelling or grammar errors
-  * die E-Mail sprachlich schlecht formuliert ist+  * the e-mail is poorly formulated in language
-  * die E-Mail Drohungen enthält oder Handlungsdruck erzeugt+  * the email contains threats or creates pressure to act
-  * die E-Mail mit Gewinnen oder Versprechungen lockt+  * the email entices with winnings or promises
-  * die E-Mail angeblich wichtige oder geheime Informationen von prominenten Personen verspricht+  * the e-mail allegedly promises important or secret information from prominent persons
-  * der Absender Ausreden anführt, warum eine Rückfrage nicht möglich ist und daher ohne Rückfrage gehandelt werden müsste+  * the sender quotes excuses as to why a callback is not possible and one must therefore act without question
-  * der Absender Argumente anführt, dass Geheimhaltungsanforderungen Rückfragen an anderesonst üblicherweise beteiligte Personen verbieten würden.+  * the sender argues that secrecy requirements would prohibit queries to other personswich should normally be involved.
  
-==== Anhänge ​==== +==== Attachments ​====
-=== Grundsätzliche Vorsicht und Plausibilitätsprüfung ​===+
  
-Öffnen Sie Anhänge nur, wenn Sie sicher sind, dass diese ungefährlich sind. Fragen Sie bei Unsicherheit beim Absender nach oder öffnen Sie die Anhänge nicht. Beim Nachfragen bedenken Sie die obigen Hinweise zur Absenderidentität und Rückfragen.+=== Principle cautiousness and plausibility checks ===
  
-Wenn Sie zuvor um die Übersendung bestimmter Dokumente bei einer bekannten Person über eine bekannte und geprüfte E-Mail-Adresse gebeten haben und dann genau die angeforderten Dokumente erhaltenkönnen Sie davon ausgehendass diese ungefährlich sind.+Open attachments only if you are sure that they are safe. In case of uncertaintyask the sender or do not open the attachments. When asking, consider the above information on sender identity and queries.  
 +  
 +If you have previously asked a known person via a known and verified e-mail address to send certain documents to and you then receive exactly the requested documentsyou can assume that they are safe.
  
-=== Gefährliche Dateitypen ​===+=== Hazardous file types ===
  
-Die potenzielle Gefährlichkeit von Anhängen hängt auch von den Dateitypen abVor allem Dateien, die Programme oder Programmcode ​("​ausführbare Dateien"​ oder "​Dateien mit ausführbaren Inhalten"​enthalten (können), können gefährlich seinBei Nutzung von Windows-Betriebssystemen erkennt man die Dateitypen an den Dateiendungen.+The potential danger of attachments also depends on the file typesEspecially files represent program files or can contain program code (“executable files” or “files with executable content”can be dangerousWhen using Windows ​operating systems, the file types are recognised by the file extensions
  
-  * Ausführbare Dateien haben u. a. die Endungen ​.exe, .com, .cmd, .vbs, .pif oder .scr.  +  * Executable files have the extensions like .exe, .com, .cmd, .vbs, .pif or.scr.  
-  * Dateien mit ausführbaren Inhalten ​(insbesondere Makrossind z .BDateien von Microsoft Office ​mit den Endungen ​.docm, .xlsm oder .pptm. +  * Files with executable contents ​(especially macrose.gare files from Microsoft Office ​with the endings ​.docm, .xlsm or.pptm.  
-  * Dateien, die ausführbare Inhalte enthalten können ​(aber nicht immer enthalten), sind u. a. die älteren Dateiformate ​.doc, .xls oder .ppt von Microsoft Office. +  * Files that may contain executable content ​(but not always contain such contentare among others the older file formats ​.doc, .xls or .ppt from Microsoft Office.  
-  * Die Microsoft Office ​Datei-Formate ​.docx, .xlsx und .pptx können keine Makros enthalten ​(bzw. Office ​würde ​in diesen Dateien enthaltene Makros nicht ausführenwenn man versucht, das System zu überlisten,​ indem man z. B. eine .docm-Datei einfach umbenennt zu .docx). ​Diese Dateien sind also ungefährlich+  * The Microsoft Office ​file formats.docx, .xlsx and .pptx cannot contain macros ​(or Office ​would not run macros contained ​in these filesif you try to outwit the system by simply renaming a.docm file to.docx). ​So these files are safe.  
-  * Auch .pdf-Dateien können Code enthaltenAuch hier ist also Vorsicht geboten.  +  * Also.pdf files may contain codeSo here too, caution should be exercised.  
-  * Archivdateien ​(wie .zip, .7z, .tar oder .gz) können beliebige Dateien enthaltenHier muss der Inhalt des Archivs auf darin enthaltene Dateien und Dateitypen geprüft werden.+  * Archive files (such as.zip,​.7z,​.tar ​or.gz) can contain arbitrary filesHere, the contents of the archive must be checked for files and file types contained therein.
  
-=== Vorsicht bei ausgeblendeten Dateiendungen ​===+=== Caution with hidden file extensions ​===
  
-Leider wird in Windows-Betriebssystemen häufig die Option ausgewähltdass bei bekannten Dateitypendie Endung im Dateinamen nicht mit angezeigt wirdDadurch wird bei einer Datei mit dem Namen "​MeinDokument.doc" als Name nur "​MeinDokument"​ angezeigtDie Überprüfung des Dateityps wird dadurch grundsätzlich erschwertMan kann den Dateityp auf Basis des verwendeten Icons vermutenGesicherte Informationen zum Dateityp erhält man nur, wenn man mit der Maus über dem Dateinamen anhält und wartet, bis in einem Popup-Fenster die Informationen zur Datei erscheinen!+Unfortunately, ​in Windows ​operating systemsthe option is often preselected that for known file typesthe extension in the file name is not displayedThis shows only “MyDocument” as a name for a file with the full name “MyDocument.docThe verification of the file type is generally complicatedYou can guess the file type based on the icon usedYou can only get save information about the file type if you stop with the mouse above the file name and wait until the information about the file appears ​in a pop-up window
  
-Ausgeblendete Dateinamenserweiterungen versuchen Angreifer zu nutzenindem Sie Dateinamen so wählendass bei ausgeblendeter wahrer Endung der Eindruck eines anderen, ungefährlichen Dateityps erscheint. Dabei wird z. B. die Datei "Dangerous.txt.exe" genanntDer wahre Dateityp ist also .exe und somit liegt eine ausführbare Datei vordie potenziell gefährlich istAngezeigt wird als Dateiname dann "Dangerous.txt"Eine .txt-Datei wäre grundsätzlich ungefährlich. So wird der Eindruck erweckt, es hier mit einer ungefährlichen Datei zu tun zu haben+Hidden filename extensions attempt to use attackers by selecting filenames in such a way that if the true extension is hiddenthe impression of another safe file type appears. For examplethe file is called “Dangerous.txt.exeSo the true file type is .exe, so this is an executable file that is potentially dangerousThe file name is then displayed as “Dangerous.txt.txt file would in principle be harmless. This gives the impression that you are dealing with a non-hazardous file
  
-Bedenken Sie immer, dass der wahre Dateityp im Namen nicht erscheint, wenn die Ausblenung von bekanten Dateiendungen aktiviert ist+Always keep in mind that the true file type does not appear in the name when the known file extensions are configed to be hidden
  
-BesserVerzichten Sie auf die Option zur Ausblendung der Dateiendungen +BetterDo not use the option to hide the file extensions.
  
 ==== Links ==== ==== Links ====
  
-=== Grundsätzliche Vorsicht und Plausibilitätsprüfung ​===+=== Prinicple cautiousness and plausibility checks ​===
  
-Klicken Sie nur dann auf Linkswenn Sie sicher sind, dass diese ungefährlich sindFragen Sie bei Unsicherheit beim Absender nach oder klicken Sie nicht auf den Link. Beim Nachfragen bedenken Sie die obigen Hinweise zur Absenderidentität und Rückfragen.+Only click on links if you are sure that they are safe. In case of uncertaintyask the sender or do not click on the linkWhen asking, consider the above information on sender identity and queries
  
-Wenn Sie zuvor um die Übersendung bestimmter Links bei einer bekannten Person über eine bekannte und geprüfte E-Mail-Adresse gebeten haben und dann genau der oder die angeforderten Links ubermittelt werden, können Sie davon ausgehendass diese ungefährlich sind.+If you have previously asked to send certain links to a known person via a known and verified e-mail address and are then sent exactly to the requested linksyou can assume that they are safe
  
-=== Beschreibung eines Links und der eigentliche Link ===+===Description of a link and the actual link ===
  
-Links im Internet ​wie in E-Mails (wenn diese im HTML-Format dargestellt werdenbestehen aus zwei Teileneiner Beschreibung und dem eigentlichen LinkZ. B. könnte als Beschreibung stehen und angezeigt werden "​Webseite der GWDG"Der dazugehörigenicht direkt sichtbare Link wäre korrekterweise "https://​www.gwdg.de"+Links on the Internet ​and in e-mails (if they are displayed in HTML formatconsist of two partsA description and the actual linkFor example, the as description of a link “Website of the GWDG” could be displaydThe corresponding link, which is not directly visiblewould correctly be ”https://​www.gwdg.de
  
-In bösartigen E-Mails finden Sie häufig nichtssagende Formulierungen wie "​Klicken Sie hier" als BeschreibungUm den eigentlichen Link sehen zu könnenmüssen Sie mit der Maus auf die Beschreibung zeigen ​(aber nicht klicken!). Dann erscheint je nach E-Mail-Programm ein kleines Popup-Fenster neben der Beschreibung oder in der Fußzeile eine InformationIn beiden Fällen steht dort dann der eigentliche Linkder auf seine Plausibilität und Gefährlichkeit überprüft werden muss+In malicious e-mails, you will often find phrases such as “click here” as a descriptionTo see the actual linkyou have to point to the description with the mouse (but don't click!). Then, depending on the e-mail program, a small pop-up window appears next to the description or in the footer an informationin both cases there is the actual linkwhich has to be checked for its plausibility and dangerousness
  
-**Vorsicht**: Die Angreifer versuchen gelegentlichdie Beschreibung schon wie einen Link aussehen zu lassen, um ihre potenziellen Opfer dazu zu verleiten, diesen eigentlich gar nicht zu prüfen. Zum Beispiel könnte als Beschreibung angegeben werden "https://​www.gwdg.de/​Rechnungen/​IhreRechnung12345.doc"während der eigentliche Linkzu dem ein Klick führen würde, ganz anders ausssieht, zB. "​https://​irgendeineseite.com/​irgendwo/​irgendwas.exe"Prüfen Sie wirklich den Link, indem Sie die Maus über die Beschreibung führenWenn die Beschreibung wie ein Link aussiehtder wirkliche Link dann aber von der Beschreibung abweichtsollten Sie von einem gefährlichen Link ausgehen.+**Caution**: The attackers occasionally try to make the description look like a link in order to induce their potential victims not to examine it at all. For examplethe description could be ”https://​www.gwdg.de/​Rechnungen/​IhreRechnung12345.docwhile the actual link to which a click would lead looks quite differente.g. "​https://​irgendeineseite.com/​irgendwo/​irgendwas.exeReally check the link by pointing the mouse over the descriptionIf the description looks like a linkbut the real link deviates from the descriptionyou should assume a dangerous link
  
-In E-Mail-Apps auf Smartphones steht keine Maus zur VerfügungHier wird Ihnen der Link in der Regel dadurch angezeigt, dass Sie nicht kurz auf die Beschreibung klicken, sondern so lange auf die Beschreibung drückenbis ein Fenster erscheintdas dann den eigentlichen Link anzeigt.+No mouse is available in e-mail apps on smartphonesHerethe link is usually displayed by not clicking on the description brieflybut by pressing on the description until a window appears that shows the actual link.
  
-Die meisten E-Mail-Programme zeigen ​in der Standardeinstellung E-Mails im HTML-Format anSie können bei E-Mail-Programmen wie Outlook ​oder Thunderbird ​die Konfiguration auch so ändern, dass E-Mails im Nur-Text-Format angezeigt werdenDann würde der eigentliche Link direkt im Text angezeigt werden und ein Warten mit Mauszeiger über der Beschreibung würde entfallenDie obigen Beispiele würde dann angezeigt werden als "Webseite der GWDG<​https://​www.gwdg.de>​" bzw. "%%https://​www.gwdg.de/​Rechnungen/​IhreRechnung12345.doc%%<​https://​irgendeineseite.com/​irgendwo/​irgendwas.exe>​"Der Link steht dabei in den spitzen Klammern ​<>.+Most e-mail programs display e-mails in HTML format by defaultYou can also change the configuration of  e-mail programs such as Outlook ​or Thunderbird so that e-mails are displayed in text-only formatin this case the actual link would be displayed directly in the text and a waiting with mouse pointer above the description could be omittedThe above examples would then be displayed as "Website of the GWDG<​https://​www.gwdg.de>​“ or ”<​nowiki>​https://​www.gwdg.de/​Rechnungen/​IhreRechnung12345.doc</​nowiki>​<​https://​irgendeineseite.com/​irgendwo/​irgendwas.exe>​The link is the part in the sharp brackets ​<>​. ​
  
-=== Prüfung der Domäne ​(des Wer-Bereichs) ===+=== Examination of the domain ​(of the Who-area) ===
  
-Links beschreiben,​ bei welchem Anbieter ​(genauer welchem Server des Anbieterseine bestimmte Information liegt und wo genau auf dem Server des Anbieters die Information zu finden ist inkl. eines Dateinamens+Links describe at which provider ​(more precisely which server of the providera certain information is located and where exactly on the server of the provider the information is to be found including a file name
  
-Die Prüfung der Gefährlichkeit des Wo (auf einem Serverinkl. des Dateinamensdürfte Sie vermutlich häufig überfordern+The testing of the danger of the where (on a serverincluding the file nameis likely to overwhelm you
  
-Einfacher zu prüfen ist die Aussage des Links zum Wer (ist der Anbieter). Dieser Teil des Links ist im ersten Teil des Links enthaltenDie IT-Experten nennen den ersten Teil den Domänenamen+Easier to check is the information in the link to the who (is the provider). This part of the link is to be found in the first section of the linkThe IT experts call the first part the domain name
  
-Ein Link besteht dann aus drei Teilen+A link then consists of three parts:  
-  * einer Protokoll-Spezifikation,​ die mit den Zeichen ​<​nowiki>"://"</​nowiki> ​endetMeist steht dort <​nowiki>​"http://"</​nowiki> ​oder <​nowiki>​"https://"</​nowiki>, ​manchmal auch <​nowiki>​"​ftp://"​</​nowiki> ​oder anderes,  +  * a protocol specification that ends with the characters ​<​nowiki>"://"</​nowiki>​Usually ​<​nowiki>​http://"</​nowiki> ​or <​nowiki>​”ftp://"</​nowiki>, ​sometimes ​<​nowiki>​“”</​nowiki> ​or otherwise
-  * danach folgt der DomänennameDieser endet mit dem ersten ​"/" ​nach dem anfänglichen ​<​nowiki>"://"</​nowiki>​ (oderwenn der dritte Teil komplett fehltmit dem Ende des Links),  +  * After that, the domain name followsThis ends with the first "/" ​after the initial ​<​nowiki>"://"</​nowiki>​" ​(orif the third part is completely missingwith the end of the text string), 
-  * am Ende steht eine Beschreibung,​ wo auf einem Server eine Information zu finden ist (dieser Teil kann entfallen, wenn der oberste Einstiegspunkt eine Webseite verlinkt werden soll). +  * At the end there is a description of where information can be found on a server ​(this part can be omitted if the top entry point of a website is to be linked). 
  
-Im Beispiel ​https://​www.gwdg.de ​wären+In the example ​https://​www.gwdg.de
  
-  * die Protokoll-Spezifikation ​<​nowiki>​"https://"</​nowiki>,​  +  * the protocol specification ​<​nowiki>​https://"</​nowiki>,​ 
-  * der Domänenname ​<​nowiki>​"www.gwdg.de"</​nowiki>,​  +  * the domain name <​nowiki>​www.gwdg.de"</​nowiki>,​ 
-  * die Angabe zum Wo auf dem Server fehlt hieralso wird der Einstiegspunkt gemeint.+  * The indication of the where on the server is missing hereso the entry point is meant
  
-Im Beispiel ​https://​irgendeineseite.com/​irgendwo/​irgendwas.exe ​wäre +In the example ​https://​irgendeineseite.com/​irgendwo/​irgendwas.exe 
-  * die Protokoll-Spezifikation ​<​nowiki>​"https://"</​nowiki>,​  +  * the protocol specification ​<​nowiki>​https://"</​nowiki>,​ 
-  * der Domänenname ​<​nowiki>​"​irgendeineseite.com"</​nowiki>,​  +  * the domain name <​nowiki>​“somepage.com</​nowiki>,​  
-  * die Angabe zum Wo auf dem Server "​irgendwo/irgendwas.exe"+  * the indication of the location on the server “somewhere/something.exe.
  
-Im Domänennamen ist die Angabe zum Anbieterdhzum Wer, enthaltenHier versuchen AngreiferSeriösität mit kompliziert konstruierten Domänennamen vorzutäuschenWichtig ist zu wissen, das Domänennamen eigentlich von rechts nach links (also von hinten nach vorne gelesen werden müssen). Die wichtige Information zum Anbieterder Wer-Bereichsteht am Ende des Domänennamens nach dem vorletzten Punkt des Domänennamens ​(oder es ist bei kurzen Domänennamen mit nur einem Punkt der ganze Domänenname).+The domain name contains the indication of the provideri.ethe whoHereattackers try to fake seriousness with complicatedly constructions of domain namesIt is important to know that the domain name is actually constructed from right to left (i.e. you have to start reading at the end). The important information about the providerthe Who-areastands at the end of the domain name after the penultimate point of the domain name (or it is the entire domain name for short domain names with only one dot). 
  
-Die nachstehenden Beispiele sollen das illustierenDabei ist der <wrap hi>Wer-Bereich mit gelbem Hintergrund</​wrap> ​hervorgehobenIrrelevante Namensteile,​ mit denen die potenziellen Opfer getäuscht werden sollen, sind <wrap em>rot geschrieben</​wrap>:​+The following examples are intended to illustrate thisThe <wrap hi>Who-Area is highlighted with yellow background</​wrap>​. ​Irrelevant names added to deceive potential victims are written ​<wrap em>red</​wrap>: ​
  
-  * www.<​wrap hi>gwdg.de</​wrap>​+  * www.<​wrap hi>g.de</​wrap>​
   * www.<​wrap em>​uni-goettingen.</​wrap><​wrap hi>​de-i.in</​wrap>​   * www.<​wrap em>​uni-goettingen.</​wrap><​wrap hi>​de-i.in</​wrap>​
   * www.maschinenbau.<​wrap hi>​uni-goettingen.de</​wrap>​   * www.maschinenbau.<​wrap hi>​uni-goettingen.de</​wrap>​
-  * ecampus.<wrap hi>​uni-goettingen.de</​wrap>​ +  * eCampus.<wrap hi>​uni-goettingen.de</​wrap>​ 
-  * ecampus.<wrap em>​uni-goettingen.de</​wrap>​.rechnung.25799.<​wrap hi>​hack.me</​wrap>​ +  * eCampus.<wrap em>​uni-goettingen.de</​wrap>​.calculation.25799.<​wrap hi>​hack.me</​wrap>​ 
-  * www.mbipbc.<​wrap hi>​mpg.de</​wrap>​+  * www.mbipbc.<​wrap hi>​mpg.de</​wrap> ​
   * www.<​wrap em>​mpg.de</​wrap>​.logme.in.<​wrap hi>​videompg.tv</​wrap>​   * www.<​wrap em>​mpg.de</​wrap>​.logme.in.<​wrap hi>​videompg.tv</​wrap>​
  
-Bei der Bewertung der Gefährlichkeit müssen Sie zuerst den gelb hervorgehoben Wer-Bereich betrachtenPasst dieser Wer-Bereich zu dem angeblichen Zweck des LinksWenn Sie das nicht bejahen könnensollten Sie den Link als gefährlich betrachten und nicht auf den Link klicken.+When assessing the danger, you must first look at the yellow highlighted Who-areaDoes this Who-area fit to the alleged purpose of the linkIf you can't say yesyou should consider the link to be dangerous and should not click on the link
  
-Angreifer versuchen abernicht nur die Komplexität der Domänennamen zu nutzen, sondern verwenden auch unauffällige Tippfehler. uni-gottingen.de ​oder uni-goetingen.de ​wären z. B. Variationendie man leicht übersehen kann. Manche Buchstabenkombinationen können auch Ähnlichkeiten ergebendie übersehen werden könnenEin "rn" ähnelt einem "m"ein "cl" einem "d"Beim flüchtigen Betrachten könnte ein "rnpg.de" für ein "mpg.de" gehalten werden oder ein "gwclg.de" für ein "gwdg.de".+Attackers try not only to use the complexity of the domain namesbut also use inconspicuous typing errors. uni-gottingen.de ​or uni-goetingen.de, ​for examplewould be variations that can easily be overlookedSome combinations of letters can also give similarities that can be overlooked. A “rn” resembles a “ma “cl” resembles a “dWhen looking at it, a “rnpg.de” could be considered a “mpg.de” or a “gwclg.de” a “gwdg.de
  
-==== Unterstützung bei der Prüfung von E-Mails ==== +====  ​Support for E-Mail checks ​====
-Sollten Sie sich nicht sicher sein bei der Einschätzung der Gefährlichkeit einer E-Mail, dann nehmen Sie Hilfe in Anspruch! Neben lokalem IT-Personal oder einfach Personen vor Ort, die sich einfach besser auskennen, steht Ihnen auch der Support der GWDG zur Verfügung. ​+
  
-Experten können bei der Bewertung der Gefährlichkeit auch Protokollinformationen in E-Mails auswertendie E-Mail-Programme meist im täglichen Gebrauch ausblenden. Diese Informationen sollten weitergegeben werdenwenn Sie Experten um Unterstützung bitten. Dazu müssen Sie in ihrem E-Mail-Programm die E-Mail mit der Funktion "​Weiterleiten als Anlage"​ statt nur normal Weiterleiten. +If you are not sure when assessing the danger of an e-mailthen get help! In addition to local IT personnel or simply on-site people who simply know betterthe support of the GWDG is also available to you
-Weiterleiten als Anlage inklaller Header+
  
 +When assessing the danger, experts can also evaluate log information in e-mails, which usually are hidden by e-mail programs in daily use. This information should be shared if you ask experts for assistance. To do this, you have to forward the e-mail in your e-mail program with the function “Forward as an attachment” instead of just by normal forwarding.
 ==== Cryptographic signatures ==== ==== Cryptographic signatures ====
- 
 Work in Progress / Description to be added Work in Progress / Description to be added