Lesezeit: 7 Minuten

Spam, Phishing, Viren, Trojaner, CryptoLocker!

Die Anzahl der Angriffsmöglichkeiten via Mailverkehr sind zahlreich und erschreckend!

Erfahrungsgemäß findet ein Großteil erfolgreicher Angriffe auf Firmennetzwerke über den Mailverkehr statt. Sicherlich haben Sie schon häufiger von gefälschten Mails von DHL, UPS, Paypal und Co. gehört, oder selbst ein solches empfangen. Die Fälschungen sind hierbei oft nur an winzigen Details von den Echten zu unterscheiden. Möglich sind diese Angriffe zumeist, weil der Empfänger nicht weiß, welche Tricks die Angreifer hierbei einsetzen.

Wir geben Ihnen 4 einfache Tipps, um beim Empfang harmlose von potentiell gefährlichen E-Mails besser zu unterscheiden.

Wachsamkeit und Skepsis sind die unentbehrliche Basis für einen sicheren E-Mail-Verkehr.

IT-Security ist immer reaktionell. Im Klartext heißt das: ein Angriff muss erfolgreich durchgeführt und bekannt werden, bevor entsprechende Sicherheitsmaßnahmen entwickelt werden können!

Selbst mit den notwendigen Technologien, um eingehende Mails auf Gefahren zu prüfen passiert es daher immer wieder, dass sich gefährliche Mails den Weg bis in Ihren Posteingang bahnen.

Es empfiehlt sich daher alle eingehenden Mails genau zu prüfen.

Wir zeigen Ihnen wie!

1. Betreff und Inhalt

Oftmals verrät der Betreff eines Mails schon viel über dessen Gefahrenpotential. Nicht nur Mails die von Penispumpen, der neusten Potenz-Pille, oder Liebschaften in fernen Ländern schwärmen sind hierbei gefährlich. Auch Zahlungsaufforderungen und Mahnungen sollten mit viel Bedacht unter die Lupe genommen werden!

Besonders häufig versuchen Angreifer Sie dazu zu bewegen, eine solch fragwürdige Zahlung zu tätigen, auf bestimmte Links zu klicken, oder Dateien (beispielsweise Rechnungen) herunter zu laden. Und das meist mit viel Nachdruck. Seien Sie in jedem Falle achtsam, und prüfen Sie die Relevanz des Kontextes genau, bevor Sie agieren. Prüfen Sie, ob es zu besagter Zahlung tatsächlich eine Bestellung gab und fragen im Zweifelsfalle in der Buchhaltung nach, ob diese bereits getätigt wurde. Werbemails mit unglaublich niedrigen Lockpreisen sollten Sie ebenfalls meiden.

Rechtschreib- und Satzbaufehler in Betreff und Inhalt können ein Indiz für ein gefährliches Mail sein. Das bedeutet zwar nicht, dass jedes Mail mit Rechtschreibfehlern potentiell gefährlich ist, sollte jedoch zu erhöhter Aufmerksamkeit ermahnen.

Achten Sie auch besonders auf die vorhandenen Grafiken. Unscharfe Firmenlogos und falsche Trademarks sind oft ein guter Hinweis auf gefälschte Mails. Meist unterscheiden sich die Fälschungen von den Originalen nur in den kleinsten Details!

2. Absender ist nicht gleich Absender

Seien Sie immer darauf bedacht, den tatsächlichen Absender des Mails herauszufinden. Für geübte Hände lässt sich dieser nämlich verhältnismäßig einfach verstecken.

Eine beliebte Methode, die Angreifer hierzu oftmals nutzen ist den Anzeigenamen des Absenders zu ändern. Dieser ist im Gegensatz zur Mailadresse frei wählbar und kann beliebig angepasst werden.

Die tatsächliche Absende-Adresse eines solchen Mails können Sie wie folg prüfen:

1.     Mail im Posteingang mit Doppelklick öffnen

2.    gehen Sie auf „Datei“ und wählen Anschließend „Eigenschaften“

3.     In dem Fenster, welches sich nun öffnet Können Sie in der Rubrik „Internetkopfzeilen“ die „Rohdaten“ des Mails sehen:

Wie im Screenshot zu sehen gibt es dort folgende Zeile:

From: ‘ANZEIGENAME‘ <echte@absendeadresse.at>

Der Anzeigename wird hierbei in Hochkommata gestellt, die echte Absende-Adresse jedoch in spitzen Klammern.

Sollten Sie sich unsicher dabei fühlen, oder trotzdem noch Zweifel haben, kontaktieren Sie bitte einen Spezialisten!

Eine weitere, etwas komplexere Variante den Empfänger zu täuschen besteht für den Angreifer darin, das Mail von einer Adresse abzusenden, die zu einer fremden Domäne gehört.

Hat die Empfangsseite hierbei die entsprechenden Sicherheitsmaßnahmen nicht getroffen, weiß das empfangende Mailgateway nicht, dass der absendende Server nicht dazu berechtigt ist, über die Domäne Mails zu versenden und nimmt diese widerstandslos an. Vergleichbar ist dies mit dem Postalischem Wege, auf dem Sie beim Absender jemand Fremdes (jedoch mit korrekten Daten) eintragen.

Bitte fragen Sie Ihren IT-Betreuer, ob ihr eigenes Netzwerk über dieses Sicherheits-Feature („SPF-Check“) verfügt.

3. Links – Der Schein kann trügen

Auch Links lassen sich sehr einfach anpassen, um dem Empfänger ein falsches Ziel zu suggerieren. Geschickt tauschen Angreifer beispielsweise Buchstaben so aus, dass man auf den ersten Blick nicht erkennt, wohin der Weblink tatsächlich verweist. Klar: Adressen à la www.download-virus.org wären ja auch zu auffällig!

So wird aus www.google.at schon mal schnell www.googIe.at. Gesehen? – im zweiten (falschen) „Link“ ist das kleine „L“ durch ein großes „i“ ersetzt worden. Zu Ihrer Sicherheit haben wir diese natürlich nur als Text, also ohne Hyperlink, dargestellt. Prüfen lassen sich solche Fälle, indem Sie den Link in einen Texteditor kopieren und mit Hilfe verschiedener Schriftarten auf Richtigkeit prüfen. Unter Microsoft Word empfiehlt sich hierfür in unserem Bespiel die Schriftart Courier New:

Doch es geht noch versteckter!

Im folgenden Beispiel wurde der Anzeigename des Links, der tatsächlich auf unsere GEKKO-Homepage zeigt, schlichtweg auf die Adresse von Google geändert. Zu erkennen ist diese Änderung durch einen Mouseover (Cursor über den Link halten, ohne zu klicken). Dieser öffnet eine Box, die das Tatsächliche Ziel des Links anzeigt.

Zuletzt sollte natürlich nicht unerwähnt bleiben, dass Links, die auf Ihnen fremde Seiten verweisen ein generelles Sicherheitsrisiko sind.

Die einfache Faustregel: Weblinks vor dem anklicken immer genau untersuchen!

Im Zweifelsfall wenden Sie sich lieber an einen Experten, als ein Risiko einzugehen!

4. Der Anhang – Die Büchse der Pandora

Die größtmögliche Gefahr im Mailverkehr besteht beim Öffnen von Anhängen!

Öffnen Sie keinesfalls Anhänge mit den Dateiendungen .exe, .bat, oder .ps1 – Diese sind extrem gefährlich und können Änderungen an Ihrem Betriebssystem vornehmen! Lediglich auf Anweisung Ihres IT-Dienstleisters sollten Sie diese Formate ausführen.

Auch sollten Sie keine Anhänge in den Dateiformaten .docm, oder .xlsm öffnen. Dies sind Makroformate von Microsoft Office, welche zusätzliche Scripts ausführen können. Diese Scripts wiederrum können Schadcode enthalten und sind daher extrem gefährlich. Weisen Sie den Absender solcher Anhänge auf die Dateiendung hin und bitten Sie um zukünftige Zusendung ohne Makro-Format (.doc, .xls).

Nicht grundlos verweigern die Sicherheitsfeatures vieler Hersteller die Annahme von passwortgeschützten Dokumenten und Dateien. Diese können inhaltlich nämlich nicht auf eventuelle Gefahren geprüft werden. Daher ist es sinnvoll, den sicheren Austausch von vertraulichen Daten auf einem anderen Wege zu lösen, um die Mail-Sicherheit zu erhöhen. Eine Variante hierfür wäre der Austausch über eine Cloud-Lösung.

Natürlich ist die Prüfung aller eingehenden Mails kein unerheblicher Zeitfaktor. Jedoch sollte man sich darüber bewusst sein, wie gefährlich eingehende Mails seien können.

Haben Sie erst einmal den Cryptolocker, oder eine Ransomware im Netzwerk – diese verschlüsseln die Daten auf lokalen PCs und können auch auf Server überspringen – gibt es meist nur 2 Varianten:

  1. Die Server und Computer werden entsorgt oder neu aufgesetzt und Altdaten aus einem Backup zurückgespielt.
  2. Die Daten sind nicht wiederherstellbar und/oder online veröffentlicht

In beiden Fällen muss im gesamten Netzwerk nach Resten des Befalls gesucht werden, um zukünftige Spätfolgen zu vermeiden.

Unterm Strich ist ein Befall im Firmennetz vor allem eins: Teuer!

Sollten Sie daher, trotz eigener Kontrolle, auch nur den leisesten Verdacht haben, dass ein Mail in Ihrem Posteingang gefährlich sein könnte, zögern Sie bitte nicht! Kontaktieren Sie sofort einen Spezialisten, der sich die Situation anschaut. Die Faustregel hierfür lautet: Lieber einmal zu viel fragen, als unnötige Risiken eingehen!

Sie haben weitere Fragen zum Thema IT-Security, oder haben sich bereits mit einem Virus infiziert? Unsere Experten unterstützen Sie gerne!