Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
de:services:it_security:email_security:malicious_email_check [2020/07/24 13:42] – [Prüfung von E-Mails auf Gefährlichkeit und gefährliche Inhalte] hbeckde:services:it_security:email_security:malicious_email_check [2020/07/24 13:43] (aktuell) – [Unterstützung bei der Prüfung von E-Mails] hbeck
Zeile 1: Zeile 1:
 +**Diese Seite ist noch im Aufbau!**
 +====== Prüfung von E-Mails auf Gefährlichkeit und gefährliche Inhalte ======
 +
 +
 +Gefahren durch E-Mails können in technischen, aber auch einfach nur in sozialen Komponenten bestehen.
 +
 +Technische Aspekte sind insbesondere:
 +
 +  * **E-Mail-Anhänge**: Diese können direkt Schadsoftware sein oder Schadsoftware enthalten. **Anhänge dürfen nur geöffnet werden, wenn die Ungefährlichkeit geprüft wurde!**
 +  * **Links in E-Mails**: Diese können zu gefährlichen Webseiten führen. **Links in E-Mails dürfen nur angeklickt werden, wenn die Ungefährlichkeit geprüft wurde!**
 +
 +Gar nicht technisch sind Versuche, per E-Mail Personen zu falschen oder schädlichen Handlungen zu veranlassen. Man spricht hier von **Social Engineering** (auf Deutsch am ehesten mit soziale Manipulation zu übersetzen, aber diese Übersetzung wird selten verwendet). Kriminelle versuchen dabei z. B. Folgendes:
 +
 +  * Angreifer täuschen vor, Vorgesetzte oder Geschäftspartner zu sein, und versuchen, die Empfänger einer E-Mail zu **Geldüberweisungen** zu überreden. Angegriffen werden hier gezielt Personen in Finanzabteilungen und Verwaltungen.
 +  * Angreifer täuschen vor, Vorgesetzte zu sein, und versuchen, die Empfänger einer E-Mail dazu zu überreden, **Gutscheine zu kaufen** und Gutscheincodes per E-Mail an die Angreifer weiterzuleiten. Angegriffen werden hier beliebige Mitarbeiter*innen z. B. einer Arbeitsgruppe.
 +  * Angreifer täuschen vor, in Rechner der Angegriffenen eingebrochen zu sein, und dort peinliche Informationen abgegriffen oder erstellt zu haben. Häufig wird hier damit gedroht, Videos von sexuellen Handlungen mit der Kamera des gehackten Computers aufgenommen zu haben. Die Angreifer drohen mit Veröffentlichung des Material und fordern **Schweigegeld**.
 +
 +===== Prüfungen =====
 +
 +Bei einer Prüfung sollten Sie Absender, Plausibilität des Inhalts, Art der Anhänge und Ziele von Links prüfen.
 +
 +==== Absender ====
 +=== Grundsätzlicher Fälschungsverdacht ===
 +
 +Prinzipiell gilt, dass die Absenderangabe in einer E-Mail nicht vertrauenswürdiger ist, als der Absender auf dem Kuvert eines Briefs. Bedenken Sie immer, dass die Absenderangabe insgesamt gefälscht sein könnte. Eine Ausnahme bilden nur kryptographische Signaturen (s. am Ende des Abschnitts). 
 +=== Anzeigename und E-Mail-Adresse ===
 +
 +Trotz der Möglichkeit der kompletten Fälschung der Absenderangabe sollten die Absenderangaben zunächst formell geprüft werden. E-Mail-Programme zeigen den Absender in einem Feld an, das "Von", "From" oder ähnlich heißt. Die Absenderangabe enthält die (möglicherweise gefälschte) **E-Mail-Adresse** des Absenders und häufig einen die Personen benennenden "**Anzeigenamen**", z. B. john.smith@example.com als E-Mail-Adresse und "John Smith" als Anzeigenamen. Der Anzeigename ist technisch bedeutungslos, eine reine Beschreibung als Komfort für den Empfänger und kann daher mühelos vom Absender gefälscht werden. Der Anzeigename wird von den meisten E-Mail-Programmen am Anfang des Absenderfeldes dargestellt. Die E-Mail-Adresse erscheint meist erst hinter dem Anzeigenamen. Manche E-Mail-Programme (insbesondere die auf Smartphones) zeigen nur den Anzeigenamen und gar nicht die E-Mail-Adresse an.
 +
 +Vertrauen Sie nicht dem Anzeigenamen! Prüfen Sie die E-Mail-Adresse! Häufig steht ein vertrauter Name als Anzeigename in der E-Mail und ist eine Fälschung. Die E-Mail-Adresse des Absenders wird häufig nicht gefälscht. In diesen Fällen steht hinter dem vertrauten Anzeigenamen eine dazu nicht passende E-Mail-Adresse, z. B. nach dem Namen eines Abteilungsleiters oder einer Abteilungsleiterin eine E-Mail-Adresse bei einen freien E-Mail-Service (wie gmail.com, web.de, gmx.de usw.), z. B.
 +
 +<code>Prof. John Smith <director111@gmail.com></code>
 +
 +Eine solche Kombination ist prinzipiell verdächtig. Wahrscheinlich handelt es sich in solchen Fällen um eine bösartige E-Mail.
 +
 +Auf Smartphones wird meist nur der Anzeigename angezeigt. Um die E-Mail-Adresse angezeigt zu bekommen, hilft es, bei den meisten Smartphone-Programmen, länger auf den Anzeigenamen zu drücken. Bei Apple-Mail wird danach ein weiterer Klick benötigt, um ein weiteres Fenster zu öffnen, das dann die E-Mail-Adresse anzeigt.
 +=== Plausibilitätsprüfung ===
 +
 +Weil die Absenderangabe gefälscht sein könnte, sollten sie immer die Plausibilität anhand des Inhalts der E-Mail prüfen:
 +
 +Wenn Sie die Person kennen, die angeblich die E-Mail sendet:
 +  * Sind Anzeigename und E-Mail-Adresse die schon früher verwendeten?
 +  * Ist die Signatur (also die Angaben wie Postadresse oder Telefonnummern am Ende der E-Mail) die auch sonst verwendeten?
 +  * Werden Sie wie üblich angeredet? Ein Wechsel zwischen Du und Sie, Vorname und Nachname, kollegial oder förmlich ist verdächtig.
 +  * Entsprechen Informationen, Aufforderungen usw. in der E-Mail den üblichen und zu erwartenden Formen?
 +  * Ist der Schreibstil derselbe wie vorher?
 +  * Ist die E-Mail eine erwartete Antwort auf eine vorherige Anfrage?
 +
 +Wenn sie die Person nicht kennen, die angeblich die E-Mail sendet:
 +  * Prüfen Sie, wer der Absender ist, z. B. über Webseiten der Organisation, von der die E-Mail angeblich kommt.
 +  * Fragen Sie über Kontaktdaten auf Webseiten der Organisation nach, ob die E-Mail wirklich von dieser Organisation kommt.
 +  * Prüfen Sie auch hier, ob der Schreibstil, der Inhalt und die Aufforderungen in der E-Mail zu dieser Organisation passen.
 +
 +Wenn Sie unsicher sind, ob der Absender authentisch ist, fragen Sie lieber nach. Fragen Sie aber nicht nach, indem Sie auf den Antworten-Button in der E-Mail klicken. Fragen Sie per Telefon oder auf anderen Wegen nach. Wenn Sie doch eine Rückfrage per E-Mail verwenden müssen, dann verwenden Sie eine E-Mail aus einem zuverlässigen Verzeichnis (Ihrem Adressbuch, einer offiziellen Webseite o.ä.).
 +
 +==== Inhalte ====
 +
 +Allgemein ist es verdächtig, wenn
 +  * die E-Mail sehr viele Rechtschreib- oder Grammatikfehler enthält,
 +  * die E-Mail sprachlich schlecht formuliert ist,
 +  * die E-Mail Drohungen enthält oder Handlungsdruck erzeugt,
 +  * die E-Mail mit Gewinnen oder Versprechungen lockt,
 +  * die E-Mail angeblich wichtige oder geheime Informationen von prominenten Personen verspricht,
 +  * der Absender Ausreden anführt, warum eine Rückfrage nicht möglich ist und daher ohne Rückfrage gehandelt werden müsste,
 +  * der Absender Argumente anführt, dass Geheimhaltungsanforderungen Rückfragen an andere, sonst üblicherweise beteiligte Personen verbieten würden.
 +
 +==== Anhänge ====
 +=== Grundsätzliche Vorsicht und Plausibilitätsprüfung ===
 +
 +Öffnen Sie Anhänge nur, wenn Sie sicher sind, dass diese ungefährlich sind. Fragen Sie bei Unsicherheit beim Absender nach oder öffnen Sie die Anhänge nicht. Beim Nachfragen bedenken Sie die obigen Hinweise zur Absenderidentität und Rückfragen.
 +
 +Wenn Sie zuvor um die Übersendung bestimmter Dokumente bei einer bekannten Person über eine bekannte und geprüfte E-Mail-Adresse gebeten haben und dann genau die angeforderten Dokumente erhalten, können Sie davon ausgehen, dass diese ungefährlich sind.
 +
 +=== Gefährliche Dateitypen ===
 +
 +Die potenzielle Gefährlichkeit von Anhängen hängt auch von den Dateitypen ab. Vor allem Dateien, die Programme oder Programmcode ("ausführbare Dateien" oder "Dateien mit ausführbaren Inhalten") enthalten (können), können gefährlich sein. Bei Nutzung von Windows-Betriebssystemen erkennt man die Dateitypen an den Dateiendungen.
 +
 +  * Ausführbare Dateien haben u. a. die Endungen .exe, .com, .cmd, .vbs, .pif oder .scr. 
 +  * Dateien mit ausführbaren Inhalten (insbesondere Makros) sind z .B. Dateien von Microsoft Office mit den Endungen .docm, .xlsm oder .pptm.
 +  * Dateien, die ausführbare Inhalte enthalten können (aber nicht immer enthalten), sind u. a. die älteren Dateiformate .doc, .xls oder .ppt von Microsoft Office.
 +  * Die Microsoft Office Datei-Formate .docx, .xlsx und .pptx können keine Makros enthalten (bzw. Office würde in diesen Dateien enthaltene Makros nicht ausführen, wenn man versucht, das System zu überlisten, indem man z. B. eine .docm-Datei einfach umbenennt zu .docx). Diese Dateien sind also ungefährlich.
 +  * Auch .pdf-Dateien können Code enthalten. Auch hier ist also Vorsicht geboten. 
 +  * Archivdateien (wie .zip, .7z, .tar oder .gz) können beliebige Dateien enthalten. Hier muss der Inhalt des Archivs auf darin enthaltene Dateien und Dateitypen geprüft werden.
 +
 +=== Vorsicht bei ausgeblendeten Dateiendungen ===
 +
 +Leider wird in Windows-Betriebssystemen häufig die Option ausgewählt, dass bei bekannten Dateitypen, die Endung im Dateinamen nicht mit angezeigt wird. Dadurch wird bei einer Datei mit dem Namen "MeinDokument.doc" als Name nur "MeinDokument" angezeigt. Die Überprüfung des Dateityps wird dadurch grundsätzlich erschwert. Man kann den Dateityp auf Basis des verwendeten Icons vermuten. Gesicherte Informationen zum Dateityp erhält man nur, wenn man mit der Maus über dem Dateinamen anhält und wartet, bis in einem Popup-Fenster die Informationen zur Datei erscheinen!
 +
 +Ausgeblendete Dateinamenserweiterungen versuchen Angreifer zu nutzen, indem Sie Dateinamen so wählen, dass bei ausgeblendeter wahrer Endung der Eindruck eines anderen, ungefährlichen Dateityps erscheint. Dabei wird z. B. die Datei "Dangerous.txt.exe" genannt. Der wahre Dateityp ist also .exe und somit liegt eine ausführbare Datei vor, die potenziell gefährlich ist. Angezeigt wird als Dateiname dann "Dangerous.txt". Eine .txt-Datei wäre grundsätzlich ungefährlich. So wird der Eindruck erweckt, es hier mit einer ungefährlichen Datei zu tun zu haben. 
 +
 +Bedenken Sie immer, dass der wahre Dateityp im Namen nicht erscheint, wenn die Ausblenung von bekanten Dateiendungen aktiviert ist. 
 +
 +Besser: Verzichten Sie auf die Option zur Ausblendung der Dateiendungen.  
 +
 +==== Links ====
 +
 +=== Grundsätzliche Vorsicht und Plausibilitätsprüfung ===
 +
 +Klicken Sie nur dann auf Links, wenn Sie sicher sind, dass diese ungefährlich sind. Fragen Sie bei Unsicherheit beim Absender nach oder klicken Sie nicht auf den Link. Beim Nachfragen bedenken Sie die obigen Hinweise zur Absenderidentität und Rückfragen.
 +
 +Wenn Sie zuvor um die Übersendung bestimmter Links bei einer bekannten Person über eine bekannte und geprüfte E-Mail-Adresse gebeten haben und dann genau der oder die angeforderten Links ubermittelt werden, können Sie davon ausgehen, dass diese ungefährlich sind.
 +
 +=== Beschreibung eines Links und der eigentliche Link ===
 +
 +Links im Internet wie in E-Mails (wenn diese im HTML-Format dargestellt werden) bestehen aus zwei Teilen: einer Beschreibung und dem eigentlichen Link. Z. B. könnte als Beschreibung stehen und angezeigt werden "Webseite der GWDG". Der dazugehörige, nicht direkt sichtbare Link wäre korrekterweise "https://www.gwdg.de"
 +
 +In bösartigen E-Mails finden Sie häufig nichtssagende Formulierungen wie "Klicken Sie hier" als Beschreibung. Um den eigentlichen Link sehen zu können, müssen Sie mit der Maus auf die Beschreibung zeigen (aber nicht klicken!). Dann erscheint je nach E-Mail-Programm ein kleines Popup-Fenster neben der Beschreibung oder in der Fußzeile eine Information, In beiden Fällen steht dort dann der eigentliche Link, der auf seine Plausibilität und Gefährlichkeit überprüft werden muss. 
 +
 +**Vorsicht**: Die Angreifer versuchen gelegentlich, die Beschreibung schon wie einen Link aussehen zu lassen, um ihre potenziellen Opfer dazu zu verleiten, diesen eigentlich gar nicht zu prüfen. Zum Beispiel könnte als Beschreibung angegeben werden "https://www.gwdg.de/Rechnungen/IhreRechnung12345.doc", während der eigentliche Link, zu dem ein Klick führen würde, ganz anders ausssieht, z. B. "https://irgendeineseite.com/irgendwo/irgendwas.exe". Prüfen Sie wirklich den Link, indem Sie die Maus über die Beschreibung führen. Wenn die Beschreibung wie ein Link aussieht, der wirkliche Link dann aber von der Beschreibung abweicht, sollten Sie von einem gefährlichen Link ausgehen.
 +
 +In E-Mail-Apps auf Smartphones steht keine Maus zur Verfügung. Hier wird Ihnen der Link in der Regel dadurch angezeigt, dass Sie nicht kurz auf die Beschreibung klicken, sondern so lange auf die Beschreibung drücken, bis ein Fenster erscheint, das dann den eigentlichen Link anzeigt.
 +
 +Die meisten E-Mail-Programme zeigen in der Standardeinstellung E-Mails im HTML-Format an. Sie können bei E-Mail-Programmen wie Outlook oder Thunderbird die Konfiguration auch so ändern, dass E-Mails im Nur-Text-Format angezeigt werden. Dann würde der eigentliche Link direkt im Text angezeigt werden und ein Warten mit Mauszeiger über der Beschreibung würde entfallen. Die obigen Beispiele würde dann angezeigt werden als "Webseite der GWDG<https://www.gwdg.de>" bzw. "%%https://www.gwdg.de/Rechnungen/IhreRechnung12345.doc%%<https://irgendeineseite.com/irgendwo/irgendwas.exe>". Der Link steht dabei in den spitzen Klammern <>.
 +
 +=== Prüfung der Domäne (des Wer-Bereichs) ===
 +
 +Links beschreiben, bei welchem Anbieter (genauer welchem Server des Anbieters) eine bestimmte Information liegt und wo genau auf dem Server des Anbieters die Information zu finden ist inkl. eines Dateinamens. 
 +
 +Die Prüfung der Gefährlichkeit des Wo (auf einem Server, inkl. des Dateinamens) dürfte Sie vermutlich häufig überfordern. 
 +
 +Einfacher zu prüfen ist die Aussage des Links zum Wer (ist der Anbieter). Dieser Teil des Links ist im ersten Teil des Links enthalten. Die IT-Experten nennen den ersten Teil den Domänenamen. 
 +
 +Ein Link besteht dann aus drei Teilen:
 +  * einer Protokoll-Spezifikation, die mit den Zeichen <nowiki>"://"</nowiki> endet. Meist steht dort <nowiki>"http://"</nowiki> oder <nowiki>"https://"</nowiki>, manchmal auch <nowiki>"ftp://"</nowiki> oder anderes, 
 +  * danach folgt der Domänenname. Dieser endet mit dem ersten "/" nach dem anfänglichen <nowiki>"://"</nowiki> (oder, wenn der dritte Teil komplett fehlt, mit dem Ende des Links), 
 +  * am Ende steht eine Beschreibung, wo auf einem Server eine Information zu finden ist (dieser Teil kann entfallen, wenn der oberste Einstiegspunkt eine Webseite verlinkt werden soll). 
 +
 +Im Beispiel https://www.gwdg.de wären
 +
 +  * die Protokoll-Spezifikation <nowiki>"https://"</nowiki>, 
 +  * der Domänenname <nowiki>"www.gwdg.de"</nowiki>, 
 +  * die Angabe zum Wo auf dem Server fehlt hier, also wird der Einstiegspunkt gemeint.
 +
 +Im Beispiel https://irgendeineseite.com/irgendwo/irgendwas.exe wäre
 +  * die Protokoll-Spezifikation <nowiki>"https://"</nowiki>, 
 +  * der Domänenname <nowiki>"irgendeineseite.com"</nowiki>, 
 +  * die Angabe zum Wo auf dem Server "irgendwo/irgendwas.exe"
 +
 +Im Domänennamen ist die Angabe zum Anbieter, d. h. zum Wer, enthalten. Hier versuchen Angreifer, Seriösität mit kompliziert konstruierten Domänennamen vorzutäuschen. Wichtig ist zu wissen, das Domänennamen eigentlich von rechts nach links (also von hinten nach vorne gelesen werden müssen). Die wichtige Information zum Anbieter, der Wer-Bereich, steht am Ende des Domänennamens nach dem vorletzten Punkt des Domänennamens (oder es ist bei kurzen Domänennamen mit nur einem Punkt der ganze Domänenname).
 +
 +Die nachstehenden Beispiele sollen das illustieren. Dabei ist der <wrap hi>Wer-Bereich mit gelbem Hintergrund</wrap> hervorgehoben. Irrelevante Namensteile, mit denen die potenziellen Opfer getäuscht werden sollen, sind <wrap em>rot geschrieben</wrap>:
 +
 +  * www.<wrap hi>gwdg.de</wrap>
 +  * www.<wrap em>uni-goettingen.</wrap><wrap hi>de-i.in</wrap>
 +  * www.maschinenbau.<wrap hi>uni-goettingen.de</wrap>
 +  * ecampus.<wrap hi>uni-goettingen.de</wrap>
 +  * ecampus.<wrap em>uni-goettingen.de</wrap>.rechnung.25799.<wrap hi>hack.me</wrap>
 +  * www.mbipbc.<wrap hi>mpg.de</wrap>
 +  * www.<wrap em>mpg.de</wrap>.logme.in.<wrap hi>videompg.tv</wrap>
 +
 +Bei der Bewertung der Gefährlichkeit müssen Sie zuerst den gelb hervorgehoben Wer-Bereich betrachten. Passt dieser Wer-Bereich zu dem angeblichen Zweck des Links? Wenn Sie das nicht bejahen können, sollten Sie den Link als gefährlich betrachten und nicht auf den Link klicken.
 +
 +Angreifer versuchen aber, nicht nur die Komplexität der Domänennamen zu nutzen, sondern verwenden auch unauffällige Tippfehler. uni-gottingen.de oder uni-goetingen.de wären z. B. Variationen, die man leicht übersehen kann. Manche Buchstabenkombinationen können auch Ähnlichkeiten ergeben, die übersehen werden können. Ein "rn" ähnelt einem "m", ein "cl" einem "d". Beim flüchtigen Betrachten könnte ein "rnpg.de" für ein "mpg.de" gehalten werden oder ein "gwclg.de" für ein "gwdg.de".
 +
 +==== Unterstützung bei der Prüfung von E-Mails ====
 +Sollten Sie sich nicht sicher sein bei der Einschätzung der Gefährlichkeit einer E-Mail, dann nehmen Sie Hilfe in Anspruch! Neben lokalem IT-Personal oder einfach Personen vor Ort, die sich einfach besser auskennen, steht Ihnen auch der Support der GWDG zur Verfügung. 
 +
 +Experten können bei der Bewertung der Gefährlichkeit auch Protokollinformationen in E-Mails auswerten, die E-Mail-Programme meist im täglichen Gebrauch ausblenden. Diese Informationen sollten weitergegeben werden, wenn Sie Experten um Unterstützung bitten. Dazu müssen Sie in ihrem E-Mail-Programm die E-Mail mit der Funktion "Weiterleiten als Anlage" statt diese nur normal weiterzuleiten.
 +
 +==== Kryptographische Signaturen ====
 +
 +Dieser Abschnitt ist noch in Arbeit.