1 2 Zurück Weiter 30 Antworten Neueste Antwort am 13.06.2019 15:11 von dedek

    Warnung vor neuer Variante mit Malware in E-Mail-Anlagen

    vogtsburger Erfahrener

      Hallo Community,

       

      vermutlich kennt jeder von uns die inzwischen 'normalen' E-mails mit viren- bzw. malware-verseuchten Word-Anlagen, z.B. angebliche Bewerbungen, Rechnungen, Ankündigung von Gutschriften etc.

       

      Seit gestern erhalten wir auch E-Mails, die noch ein wenig perfider und raffinierter sind, nämlich als Ergänzung von bereits empfangenen E-Mails von Absendern, die uns persönlich bekannt sind.

       

      Vor dem Original-Betreff dieser E-Mail steht ein "RE:" oder "AW:" oder "FW:", so als ob es ein Nachtrag, eine Weiterleitung oder eine Antwort auf eine bereits erhaltene E-Mail sei.

      Beispiel: "RE: Unterlagen zum Jahresabschluss 2018 Klammer GbR"

       

      Der E-Mail-Text enthält auch den Originaltext der bereits empfangenen E-Mail.

      edit: .... und zusätzlich ein kurzer Hinweis, dass in der beigefügten Anlage alles Weitere steht.

       

      Das ist besonders perfide, weil man solche E-Mails und die Anlage gerne öffnet, ohne Verdacht zu schöpfen.

       

      Als E-mail-Anlage ist eine Word-Datei beigefügt, die schädliche Makros enthält.

       

      Gibt es eigentlich eine Outlook-Einstellung, um Word- und Excel-Dateien so ähnlich wie EXE-Dateien beim Empfang zu blockieren ? Ich meine jetzt nicht die Makro-Sicherheit, sondern eine Blockade aller Dateien, die MS Office-Makros enthalten könnten.

       

      Ein einziger falscher Klick eines Mitarbeiters könnte nämlich die gesamte Kanzlei lahm legen

       

      Viele Grüße

      Michael Vogtsburger

      Geändert am 29.05.19 um 12:07 Uhr
        Alle Antworten
        • 1. Re: Warnung vor neuer Variante mit Malware in E-Mail-Anlagen
          metalposaunist Fachmann

          Als E-mail-Anlage ist eine Word-Datei beigefügt, die schädliche Makros enthält.

          Es ist vollkommen egal, woher die E-Mail kommt oder was drin steht oder wie schlecht das deutsch ist: Word Dokumente à la *.doc oder *.docx öffnet man grundsätzlich nicht.

           

          So einfach ist das vielleicht nicht immer als Steuerfachangestellter / StB aber es hilft immer, das im Kopf zu behalten.

           

          Gibt es eigentlich eine Outlook-Einstellung, um Word- und Excel-Dateien so ähnlich wie EXE-Dateien beim Empfang zu blockieren ?

          Dann muss der E-Mail Provider / die Firewall die Anhänge entfernen. Haben wir 1x gemacht: in 1 Woche kamen 32 Mails mit *.doc Anhängen, die keine Viren waren. Es verschicken so viele noch *.doc Anhänge. Selbst bei Bewerbungen findet man oft *.doc statt *.pdf - aber das ist ein anderes Verfahren.

          • 2. Re: Warnung vor neuer Variante mit Malware in E-Mail-Anlagen
            vogtsburger Erfahrener

            Interessant wäre, ob auch umbenannte Dateien z.B.  "Jahressteuererbescheinigung.pdf.doc" evtl falsch angezeigt werden können oder Dateien, die als PDF-Datei benannt sind, aber in Wirklichkeit das WORD-Format haben, per Doppelklick geöffnet werden.

             

            Ich weiß, dass Endungen teilweise von Outlook unterdrückt werden und z.B. als *Anlage.txt" angezeigt werden, in Wirklichkeit aber die Datei "Anlage.txt.vbs" empfangen und geöffnet wird.

            Geändert am 29.05.19 um 11:25 Uhr
            • 3. Re: Warnung vor neuer Variante mit Malware in E-Mail-Anlagen
              metalposaunist Fachmann

              Interessant wäre, ob auch umbenannte Dateien z.B.  "Jahressteuererbescheinigung.pdf.doc" oder Dateien, die als PDF-Datei benannt sind, aber in Wirklichkeit das WORD-Format haben, per Doppelklick geöffnet werden.

              Es zählt immer nur die letzte Dateiendung. Können Sie bei sich am PC mit einer Datei auch selbst testen.

               

              Ich weiß, dass Endungen teilweise von Outlook unterdrückt werden und z.B. als *Anlage.txt" angezeigt werden, in Wirklichkeit aber die Datei "Anlage.txt.vbs" empfangen und geöffnet wird.

              GPO setzen: auch bekannte Dateitypendungen anzeigen (den Haken bei bekannten Typen ausblenden entfernen).

               

              Und dann de Mitarbeiter auf Stand bringen, was welche Endung ist.

              • 4. Re: Warnung vor neuer Variante mit Malware in E-Mail-Anlagen
                vogtsburger Erfahrener

                ... hört sich etwas zu simpel an.

                 

                Selbst vorsichtige, ängstliche oder gar interneterfahrene Mitarbeiter können "in die Pfütze treten".

                 

                Es gibt sehr sehr viele Datei-Formate und -Endungen.

                 

                Der Mitarbeiter kommt vielleicht in´s Grübeln, wenn da eine ".scr",  ".pif", ".rtf", ".bat", "htm*"-Datei um die Ecke kommt.

                 

                Potentiell gefährlich ist sehr Vieles.

                 

                Eigentlich musste man wieder zurück zum "nur Text"-Format, da auch eine RTF-Datei in Wirklichkeit eine DOC-Datei sein kann und damit auch Makros enthalten kann.

                 

                Gruß

                Michael Vogtsburger

                Geändert am 29.05.19 um 11:47 Uhr
                • 5. Re: Warnung vor neuer Variante mit Malware in E-Mail-Anlagen
                  metalposaunist Fachmann
                  Selbst vorsichtige, ängstliche oder gar interneterfahrene Mitarbeiter können "in die Pfütze treten".

                  100%ige Sicherheit gibt es nie . Auch hier muss es den Spagat geben, zwischen bequem arbeiten oder überhaupt arbeiten und Sicherheit.

                   

                  Der Mitarbeiter kommt vielleicht in´s Grübeln, wenn da eine ".scr",  ".pif", ".rtf", ".bat", "htm*"-Datei um die Ecke kommt.

                  Ist ja auch richtig so. Und dann lieber einmal zu viel fragen, als den Doppelklick auszuführen.

                   

                  Für den Kanzleialltag reichen ja zwei Hände voll aus. Der Rest ist zunächst nicht relevant.

                  • 6. Re: Warnung vor neuer Variante mit Malware in E-Mail-Anlagen
                    4you-computer Aufsteiger

                    In der Regel können Im-House-Mail-Serversysteme (hier mal als Beispiel KerioConnect) Doppelendungen filtern und diese Anhänge automatisiert löschen.

                    • 7. Re: Warnung vor neuer Variante mit Malware in E-Mail-Anlagen
                      vogtsburger Erfahrener

                      ... es wäre aus meiner Sicht hilfreich, wenn potentiell gefährliche E-Mail-Anlagen automatisch umbenannt würden, sodass man gezwungen wäre, diese Anlagen zu speichern, umzubenennen und ganz bewusst zu öffnen.

                       

                      Wer solche Anlagen dann nicht gezielt prüft, der ist beratungsresistent und muss mit den Konsequenzen leben.

                       

                      Vielleicht gibt es ja ein entsprechendes Outlook-Tool

                       

                      Nachtrag:

                      ... habe gerade testweise eine Word-Datei "Aktennotiz.doc" umbenannt in "Aktennotiz.rtf" und mir selbst zugesandt.

                       

                      Im Posteingang sehe ich dann eine 'harmlose' Email mit der 'ungefährlichen E-Mail-Anlage "Aktennotiz.rtf".

                       

                      Beim Doppelklick öffnet sich aber Word.

                      ... und mit dieser Methode könnte man sicher einige Empfänger täuschen

                       

                      Mit Schulung und Belehrung der Mitarbeiter kann man zwar Einiges erreichen. Aber wenn der falsche Klick mal gemacht ist, nützen auch Schuldzuweisungen nichts mehr.

                      Der betreffende Mitarbeiter würde sich bestimmt am meisten über sich selbst ärgern

                      Geändert am 29.05.19 um 12:41 Uhr
                      • 8. Re: Warnung vor neuer Variante mit Malware in E-Mail-Anlagen
                        metalposaunist Fachmann

                        Beim Doppelklick öffnet sich aber Word.

                        Mit was sonst soll auch *.rtf geöffnet werden? Wenn das im Betriebssystem so steht "öffne *.rt mit Word", dann wird das so gemacht.

                         

                        Es ging Ihnen ja aber um test.pdf.rtf.

                        • 9. Re: Warnung vor neuer Variante mit Malware in E-Mail-Anlagen
                          vogtsburger Erfahrener

                          dass .RTF mit Word geöffnet wird, ist klar, aber dass eine (eigentlich harmlose) RTF-Datei auch eine umbenannte Original-WORD-Datei sein kann, ist nicht so trivial.

                           

                          Es gibt noch eine Reihe von anderen Endungen, die mit Bordmitteln Systembefehle ausführen können und das ist verdammt gefährlich.

                           

                          Die Internet-Ganoven lassen sich immer wieder etwas Neues einfallen.

                           

                          Vielleicht stelle ich einen separaten, ausrangierten PC in die Kanzlei, ohne Netzwerkanschluss, nur zum Zweck, verdächtige E-Mail-Anlagen zu prüfen.

                           

                          Nachtrag:

                          Ich bin dem Thema "Blockierte Dateiendungen in Outlook" nochmal nachgegangen, da ich hier das Haupt-Einfallstor von Viren, Trojanern und anderen gefährlichen 'Kandidaten' sehe.

                           

                          Glücklicherweise blockiert z.B. Outook 2010 in der Standardinstallation bereits über 90 Dateitypen, die potentiell gefährlich sein könnten.

                          Die wenigen Dateitypen, mit denen man in der 'normalen' Praxis zu tun hat, sind nur die Spitze des Eisbergs.

                          Ich finde es sehr gut, dass Outlook hier schon standardmäßig viele Dateitypen blockiert.

                           

                          ... und wer unbedingt per E-Mail eine Datei mit der Endung scr, hlp, msi, vbs, exe, com, wsh, cmd, bat usw. versenden will, kann sie ja vorher umbenennen und den Empfänger entsprechend informieren, wie man damit umgeht.

                          Geändert am 30.05.19 um 13:54 Uhr
                          • 10. Re: Warnung vor neuer Variante mit Malware in E-Mail-Anlagen
                            vogtsburger Erfahrener

                            ... wie schon gesagt und wie man ganz aktuell sieht (#Emotet-Angriff bei Heise.de ), können auch IT-Fachleute "in die Pfütze treten".

                             

                            Je besser die verseuchte E-Mail in den 'normalen' Arbeitsablauf passt, desto mehr vertraut man dem Inhalt.

                             

                            Ich habe meine Mitarbeiter schon oft sehr eindringlich und konkret vor den üblichen Tricks der Internet-Ganoven gewarnt und trotzdem ist es schon vorgekommen, dass verseuchte E-Mail-Anlagen geöffnet wurden, bisher anscheinend noch ohne Schaden, da sich die Mitarbeiter sofort nach dem "falschen Klick" gemeldet hatten und die Malware mit Sicherheitstools (hoffentlich restlos) entfernt werden konnte.

                             

                            Im Moment versuche ich, Word- und Excel-Dateien als zur Zeit beliebte Einfallstore für Malware als E-mail-Anlagen zu verbieten und zu blockieren.

                             

                            Aber man muss tatsächlich befürchten, dass früher oder später tatsächlich einmal der GAU passiert, trotz aller Vorsicht.

                             

                            Dann wird es sehr spannend, ob man ein funktionierendes Worst-Case-Szenario in der Schublade hat.

                            Danke an Bernd Wettstein für den hilfreichen Heise-Beitrag (#Emotet-Angriff bei Heise.de ).

                             

                            Viele Grüße

                            Michael Vogtsburger

                            Geändert am 06.06.19 um 21:50 Uhr
                            • 11. Re: Warnung vor neuer Variante mit Malware in E-Mail-Anlagen
                              metalposaunist Fachmann

                              können auch IT-Fachleute "in die Pfütze treten".

                              Ich glaube kaum, dass es ein Sicherheitskonzept gibt, dass wirklich von A bis Z durchgeplant ist. Und wenn doch, arbeitet man dann anders, weil einem öfters Steine in den Weg gelegt werden, weil Sicherheit einfach unbequem und umständlich(er) ist.

                               

                              Vielleicht sind die Laptpos der FA ein gutes Beispiel. Die sind so sicher, dass die sich zumindest bei uns nie im Gäste-WLAN anmelden konnten, weil fest ein Proxy hinterlegt war, den man nicht umgehen konnte und das Gäste-WLAN damit nichts zu tun hat. Und Firmenhandys mit LTE hatten die auch nicht immer und ja auf der Hut die 50MB Freivolumen dann nicht zu verschießen.

                               

                              So - will ich auf gar keinen Fall arbeiten. Da ist der PC keine Erleichterung sondern eher ein qualvolles Muss. Oder auch  Archiv-DVD kann bei Prüfungen im Bundesland Baden-Württemberg derzeit nicht verwendet werden

                               

                              Ist das etwa die digitale Zukunft? Schönen Dank. Ist man doch an einem Punkt, an dem die Schreibmaschine und der Brief eine 2. Blütezeit erleben.

                               

                              Je besser die verseuchte E-Mail in den 'normalen' Arbeitsablauf passt, desto mehr vertraut man dem Inhalt.

                              Sorry. Aber wenn man die Bilder von heise ansieht - da fehlt mir die Sprache für den betroffenen Mitarbeiter. Das geht einfach gar nicht.

                               

                              Ja, die E-Mail sah echt aus. Aber 1. sind Rechtschreibfehler drin. 2. öffnet man nie Word-Dokumente mit Makros, die einem noch vorgaukeln, die Rechte von Office365 reichen nicht. Und 3. klingt die E-Mail im Wortlaut einfach komisch. Oder wird so bei heise gesprochen?

                               

                              Ja, auch wenn Mitarbeiterschulungen nicht ausreichen. Meiner Meinung nach gibt es kein Konzept / keine Software, die den Klick vom Mitarbeiter verhindern kann. Der Mitarbeiter ist das letzte Glied in der Kette. Und selbst wenn man sich eine Sicherheitsinfrastruktur aufbaut: Wer weiß denn, was die Hacker still und leise alles testen und in Erfahrung bringen und am Ende wieder doch eine Lücke im Konzept finden? Oder im Windows? Oder in der Software?

                               

                              Das ist ein Katz und Mausspiel, dass man nicht gewinnen kann. Die Hacker sind einem immer ein Stück voraus. Und wenn jetzt selbst heise oder der Bundestag in Vergangenheit betroffen waren. Sorry, aber ich glaube nicht, dass dort jeweils DAUs die Systeme betreuen und sich sagen "läuft schon".

                               

                              Und umso ärgerlicher, wenn man jede Menge Geld ausgibt, für ein Konzept, bei dem man immer noch nicht weiß: Sind jetzt alle erdenklichen Gefahren gebannt?

                               

                              Deshalb: Backup, Backup, Backup. Gern mehrmals täglich und getrennt vom Produktivsystem.

                               

                              Ich habe meine Mitarbeiter schon oft sehr eindringlich und konkret vor den üblichen Tricks der Internet-Ganoven gewarnt und trotzdem ist es schon vorgekommen, dass verseuchte E-Mail-Anlagen geöffnet wurden

                              Fragen Sie nach dem "WARUM? Was hat Sie dazu bewegt diese E-Mail zu öffnen? Hatten Sie keinerlei Bedenken oder Skepsis?" Da kommen schon einige Leute arg ins Grübeln und wenn man Ihnen dann noch erklärt: So geht das einfach nicht! Hilft das meist schon recht viel.

                               

                              Im Moment versuche ich, Word- und Excel-Dateien als zur Zeit beliebte Einfallstore für Malware als E-mail-Anlagen zu verbieten und zu blockieren.

                              Auch in PDFs wurde meines Wissens nach schon Schadsoftware versteckt. Und ab dann wird es wirklich nicht mehr lustig.

                              Geändert am 06.06.19 um 22:19 Uhr
                              • 12. Re: Warnung vor neuer Variante mit Malware in E-Mail-Anlagen
                                vogtsburger Erfahrener

                                Nachtrag:

                                 

                                ... ja, es gibt tatsächlich Möglichkeiten, in Outlook zusätzliche Dateitypen zu blockieren, die standardmäßig nicht blockiert werden, z.B. .doc, docx, xls, xlsx usw., sowohl in einer Exchange-Umgebung oder ohne Exchange

                                 

                                Ohne Exchange ist es z.B. mit einem Registry-Eintrag möglich.

                                 

                                Beispiel für Outlook 2010:

                                in HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Outlook\Security

                                den folgenden Schlüssel hinzufügen: "Level1Add"=".doc; .docx; .xls; .xlsx"

                                 

                                ... ein beliebtes Einfallstor für Viren und Trojaner zu versperren, kann jedenfalls nicht schaden ...

                                 

                                Viele Grüße

                                Michael Vogtsburger

                                 

                                Nachtrag:

                                Die Liste der potentiell gefährlichen, aber nicht standardmäßig blockierten Dateitypen ist noch wesentlich länger.

                                z.B. .docm; .dot; .dotm; .dotx; .xla; .xlam; .xlsb; .xlsm; .xlt; .xltm; .xltx u.a.

                                 

                                Allerdings werden in E-Mail-Anlagen zur Zeit i.d.R. die Datei-Endungen "DOC" und "DOCX" verwendet

                                Geändert am 12.06.19 um 00:36 Uhr
                                • 13. Re: Warnung vor neuer Variante mit Malware in E-Mail-Anlagen
                                  mkinzler Meister

                                  Bei den alten Officeformaten verstehe ich es ja (diese können Makros enthalten). Bei den neuen Formaten gibt es für die Varianten mit Makros gesondere Typen (.docm, xlsm, ...).

                                  M.E. ist eine Sperrung von .docx, .xlsx, ... deshalb unnötig und auch kontraproduktiv.

                                  Die Sperren direkt in Outlook betreffen ja auch interne Emails.

                                  • 14. Re: Warnung vor neuer Variante mit Malware in E-Mail-Anlagen
                                    metalposaunist Fachmann

                                    Die Sperren direkt in Outlook betreffen ja auch interne Emails.

                                    Wer verschickt denn intern E-Mails mit solchen Anhängen? Dafür gibt es eine Dateiablage in welcher Form auch auch immer.

                                    • 15. Re: Warnung vor neuer Variante mit Malware in E-Mail-Anlagen
                                      mkinzler Meister

                                      Theoretisch schon ...

                                      • 16. Re: Warnung vor neuer Variante mit Malware in E-Mail-Anlagen
                                        vogtsburger Erfahrener

                                        Ich habe inzwischen in meiner Kanzlei das Versenden und Empfangen von MS-Office-Dateien mit potentiell gefährlichen Extensions generell 'verboten'. Das Risiko einer Malware in der Anlage ist mir einfach zu hoch.

                                        Verseuchte MS Office-Dateien könnten ja auch umbenannt sein und dadurch harmlos aussehen. MS Office-Dateien lassen sich bei Bedarf ja auch so versenden, dass sie nicht per Doppelklick geöffnet werden können.

                                        Geändert am 12.06.19 um 08:20 Uhr
                                        • 17. Re: Warnung vor neuer Variante mit Malware in E-Mail-Anlagen
                                          agmü Fortgeschrittener

                                          Nur so am Rande:  Richtig gruselig ist die Malware "Triton".  Wen's interessiert sei der Artikel in der Technology Review 05/19 ab Seite 34 empfohlen.

                                           

                                          Eine kaum bekannte Malware die nicht nur gefährlich ist, sondern die wohl auch eine eine bisher selbst unter staatlich gesponserten Hackern stillschweigend eingehaltene rote Linie überschreitet.

                                           

                                          Ungeachtet der konkreten Software ist für mich die darin beschriebene Vorgehensweise höchst Interessant.

                                          • 19. Re: Warnung vor neuer Variante mit Malware in E-Mail-Anlagen
                                            vogtsburger Erfahrener

                                            Hallo Herr Müller,

                                             

                                            ja, es ist beängstigend, wie angreifbar (weltweit) die IT-Systeme in allen Bereichen sind.

                                             

                                            Glücklicherweise sind die heutigen Computer-Kids viel stärker an Youtube, Instagram, Spotify, Netflix & Co interessiert als an Hacking, sonst hätten wir sicher noch viel mehr Malware-Lawinen, die teilweise aus Übermut oder aus Unwissenheit oder manchmal sogar versehentlich losgetreten werden.

                                            Selbst mit minimalen Programmierkenntnissen könnte man Schaden anrichten.

                                            Scriptgesteuerte Viren und Trojaner lassen sich leicht anpassen und wieder 'auf die Reise schicken'.

                                             

                                            Aus meiner Sicht wäre es sogar besser, ganz explizit nur wenige und ganz bestimmte Dateiformate und nur "nur Text" anstatt "Html" zuzulassen  und anstatt von den Hunderten von möglichen Dateitypen nur eine Auswahl zu blockieren.

                                             

                                            Und wer dann wegen dem einen oder anderen zusätzlich erforderlichen Klick meckert, dem ist wirklich nicht zu helfen.

                                             

                                             

                                            Die heutigen 'normalen Internet-Ganoven sind in der Regel weniger an Sabotage interessiert als an Geld. Was ist besser, Pest oder Cholera ?

                                             

                                            Malware à la STUXNET oder TRITON spielt in einer anderen Liga. 

                                             

                                            Viele Grüße

                                            Michael Vogtsburger

                                            • 20. Re: Warnung vor neuer Variante mit Malware in E-Mail-Anlagen
                                              metalposaunist Fachmann
                                              Glücklicherweise sind die heutigen Computer-Kids viel stärker an Youtube, Instagram, Spotify, Netflix & Co interessiert als an Hacking, sonst hätten wir sicher noch viel mehr Malware-Lawinen, die teilweise aus Übermut oder aus Unwissenheit oder manchmal sogar versehentlich losgetreten werden.

                                              Würde nicht erklären, warum es immer mehr Spam und Viren gibt.

                                               

                                              Aus meiner Sicht wäre es sogar besser, ganz explizit nur wenige und ganz bestimmte Dateiformate und nur "nur Text" anstatt "Html" zuzulassen  und anstatt von den Hunderten von möglichen Dateitypen nur eine Auswahl zu blockieren.

                                              Dann ist es vorbei mit Logos und Bequemlichkeit. Dann ist am Ende sogar der Brief auf der Schreibmaschine auf Firmenpapier schicker .

                                              • 21. Re: Warnung vor neuer Variante mit Malware in E-Mail-Anlagen
                                                agmü Fortgeschrittener
                                                Dann ist es vorbei mit Logos und Bequemlichkeit. Dann ist am Ende sogar der Brief auf der Schreibmaschine auf Firmenpapier schicker .

                                                Bequemlichkeit und Sicherheit waren schon immer zwei unvereinbare Gegensätze und werden es hoffentlich auch noch lange bleiben.

                                                • 22. Re: Warnung vor neuer Variante mit Malware in E-Mail-Anlagen
                                                  agmü Fortgeschrittener

                                                  Hallo Herr Vogtsburger,

                                                   

                                                  Selbst wenn die Mehrheit der heutigen Kids mehr als Youtube, Instagramm, etc. interesse als an Programmieren hat, bedeutet dies keine Entwarnung. Durch die immer stärkere Vernetzung bedarf es immer weniger "Angreifer" um maximalen Schaden anzurichten.

                                                   

                                                  Wir treiben die Digitalisierung voran ohne im Geringsten über die Folgen nachzudenken und welche Sicherungsmechanismen erforderlich sind.

                                                   

                                                  Aus meiner Sicht wäre es sogar besser, ganz explizit nur wenige und ganz bestimmte Dateiformate und nur "nur Text" anstatt "Html" zuzulassen und anstatt von den Hunderten von möglichen Dateitypen nur eine Auswahl zu blockieren.

                                                  In der Community findet sich ein Beitrag in dem die Möglichkeit der Einbindung von Logos in digitale Rechnungen gewünscht wird. Mit einer "nur Text" Datei wird sich dies kaum umsetzen lassen.

                                                   

                                                  Die heutigen 'normalen Internet-Ganoven sind in der Regel weniger an Sabotage interessiert als an Geld. Was ist besser, Pest oder Cholera ?

                                                  Die Berichte und Entwicklungen deuten m.E. in eine andere Richtung.

                                                   

                                                  Kleinkriminelle waren/sind in der analogen Welt nur bedingt ein Problem.  Ein einzelner Hacker kann heute ganze Unternehmen stilllegen.  Hier sehe ich durchaus qualitative und quantitative Unterschiede.

                                                   

                                                  Zumal für die Jugend von heute die alte Weisheit "... denn Sie wissen nicht was sie tun" mehr den je gilt.

                                                   

                                                  Schönen Feierabend

                                                   

                                                  Andreas G. Müller

                                                  • 23. Re: Warnung vor neuer Variante mit Malware in E-Mail-Anlagen
                                                    vogtsburger Erfahrener

                                                    Hallo Herr Müller,

                                                     

                                                    das "nur Text"-Format bezog sich nur auf den E-Mail-Text.

                                                    Als E-Mail-Anlage braucht man schon mehr als nur 'Systemschrift'.  Das PDF-Format ist momentan ziemlich perfekt für alles Mögliche geeignet, was 'wie gedruckt' aussehen soll, auch als E-Mail-Anlage, individuell gestaltet, mit Logo, farbig, für digitale Belege usw.

                                                     

                                                    Es gab zwar auch im (alten) PDF-Format mal eine Sicherheitslücke, die für Malware ausgenützt werden konnte, aber momentan scheint das Motto zu gelten (frei nach Norbert Blüm) "Das PDF-Format ist sicher !"

                                                     

                                                    Wenn das PDF-Format auch kompromittierbar wäre .... dann gute Nacht !

                                                    Dann wird die Luft für die E-Mail-Technik wirklich dünn.

                                                     

                                                    Ich hätte nichts dagegen, wenn sich völlig neue, aber sichere Kommunikationsformen etablieren und durchsetzen würden, meinetwegen auch mit Blockchain-Technologie.

                                                    Es darf auch gern etwas kosten.

                                                     

                                                    Permanent sicherheitstechnisch am Abgrund zu stehen und ständig in Angst vor dem nächsten Schritt in die falsche Richtung zu leben, ist ungemein hinderlich.

                                                     

                                                    Viele Grüße

                                                    Michael Vogtsburger

                                                     

                                                    Nachtrag:

                                                    Das Sicherheitsunternehmen FireEye analysiert in seinem Blog (Threat Research | FireEye Inc ) immer wieder detailliert einzelne Malwareangriffe, inkl. Auszüge von Quelltexten. Bei den "professionellen" Angriffen wird deutlich, dass der erste Schritt eines Angriffs noch relativ harmlos aussieht. Die eigentliche Gefahr besteht im Öffnen von 'Hintertüren' ('Backdoors'), um später individuelle und höchst gefährliche Malware nachzuladen zu können.

                                                    Als 'Angriffsopfer' bemerkt man den ersten Angriff evtl. nicht mal. Auch diverse Virenschutzprogramme sind hier vielleicht überfordert, weil ja die eigentlich gefährliche Malware erst später auf anderen Wegen nachgeladen und aktiviert wird.

                                                    Geändert am 13.06.19 um 10:36 Uhr
                                                    • 24. Re: Warnung vor neuer Variante mit Malware in E-Mail-Anlagen
                                                      f.mayer Fortgeschrittener

                                                      Ich kenne mich technisch überhaupt nicht aus, aber mein Eindruck ist, dass der Trend eher zu weniger Sicherheit gilt.

                                                       

                                                      Ich bin so unglaublich alt, dass ich mich noch an Zeiten erinnern kann, in denen man sich im Internet einen Virus einfing weil man irgendeine heruntergeladene Datei geöffnet hat und nicht schon beim bloßen Besuch einer Webseite. Wie jemand damals so schön gesagt hat, dass ist wie wenn man eine Geschlechtskrankheit kriegt, weil man durch das Rotlichtviertel durchgefahren ist.

                                                       

                                                      "Makros" verstärken diesen Eindruck bei mir noch, ich habe keine Ahnung was das ist, aber Büroprogramme und einfache Word- oder Excel-Dateien zu Gefahrenherden zu machen, danke schön.

                                                      • 25. Re: Warnung vor neuer Variante mit Malware in E-Mail-Anlagen
                                                        siro Einsteiger
                                                        Es gab zwar auch im (alten) PDF-Format mal eine Sicherheitslücke, die für Malware ausgenützt werden konnte, aber momentan scheint das Motto zu gelten (frei nach Norbert Blüm) "Das PDF-Format ist sicher !"

                                                         

                                                        Wenn das PDF-Format auch kompromittierbar wäre .... dann gute Nacht !

                                                        Dann wird die Luft für die E-Mail-Technik wirklich dünn.

                                                         

                                                        In einer pdf Datei kann eine beliebige andere Datei als Anhang sein, das ist vollkommen regulär und zulässig! In dieser Datei kann dann auch wieder ein Schädling sein!

                                                        • 26. Re: Warnung vor neuer Variante mit Malware in E-Mail-Anlagen
                                                          vogtsburger Erfahrener

                                                          ... danke für den Hinweis !

                                                           

                                                          Ja, stimmt, ich habe auch schon von einzelnen Banken kennwortgeschützte PDFs mit diversen Anlagen erhalten.

                                                           

                                                          Wenn solche Anlagen Malware enthalten können, sind solche Container ähnlich gefährlich wie ZIP-Archive

                                                           

                                                          Aber welche Möglichkeiten gibt es noch, um sich nicht mit einem vorschnellen Doppelklick die Seuche zu holen ?

                                                           

                                                          Eine Sandbox, einen separaten, isolierten PC ohne Zugang zum Netzwerk, oder, oder ...... ?

                                                          Geändert am 13.06.19 um 11:24 Uhr
                                                          • 27. Re: Warnung vor neuer Variante mit Malware in E-Mail-Anlagen
                                                            Nicht Aktiv Fachmann

                                                            Es verschicken so viele noch *.doc Anhänge. Selbst bei Bewerbungen findet man oft *.doc statt *.pdf - aber das ist ein anderes Verfahren.

                                                            Lassen sich nicht auch in PDF- Dateien Word Dokumente mit Makros eincontainern?

                                                            • 28. Re: Warnung vor neuer Variante mit Malware in E-Mail-Anlagen
                                                              dedek Beginner

                                                              Hallo Herr Vogtsburger,

                                                               

                                                              ich habe jetzt nicht alles hier in diesem Community-Beitrag gelesen aber PDF-Dateien bieten sich vor allem an, PCs zu verseuchen. Man kann das aber auch einschränken mit den entsprechenden Einstellungen für java etc. Ich verwende Adobe Acrobat XI Pro und auch Foxit-Reader.

                                                              Ich hatte mal eine PDF-Datei per E-Mail erhalten (habe diese mir schicken lassen von meiner Mutter) wegen Zweifel. Es war von der "Post - DHL" wegen Paketzusendung. Da Pakete erwartet wurden und ich unter Zeitnot stand, war das Problem da - ich öffnete im E-Mail die PDF-Datei und das Ganze nahm seinen Lauf. Eigentlich doof von mir, da die Post/ DHL keine Anhänge versendet. Aber wieder die Geilheit schnell was zu erledigen siegte. Zwei Retter traten aber sofort in Aktion - MSE (Microsoft Security Essentail) und Malwarebytes Premium. Ich habe es so in Erinnerung (war 2015), dass immer der Internet-Browser geöffnet wurde und dort sollte ein Schadprogramm heruntergeladen und ausgeführt werden.

                                                               

                                                              Ich habe dann folgendes gemacht:

                                                              # Malwarebytes beendet und MSE die Arbeit machen lassen

                                                              # Netzstecker (Strom) gezogen

                                                              # Vom anderen PC dann heruntergeladen EU-Cleaner und Windows Defender offline und jeweils auf DVD gebrannt.

                                                              # auf den befallenen PC (ist Datev-PC) durchlaufen lassen. Jeweils beide.

                                                              # Danach AdwCleaner und dann auch noch mal Malwarebytes.

                                                              Dann war es sauber. Bei meinem Mütterlein auch komplett durchlaufen lassen.

                                                               

                                                              Ich habe bei allen Office-Anwendungen insbesondere bei Outlook die Sicherheitseinstellungen geändert und insbesondere bei Outlook das Herunterladen von Bildern ausgeschlossen. Ferner dann Java teilweise deaktiviert. Das selbständige Herunterladen von Bildern in E-mails ist der größte Schnulli und ein Einfallstor für PUP/Viren und sonstige Gangster. Datev hat das nicht richtig kapiert und schickt mir mit den Report über die abgelehnten E-mails von Datevnet immer den Text:

                                                               

                                                              "Hinweis: Javascript ist deaktiviert. Dadurch stehen Ihnen einige Komfortfunktionen dieser
                                                              Informationsseite nicht zur Verfügung."

                                                               

                                                              Das finde ich schon sehr lustig.

                                                               

                                                              Sodann Ganz oben zu E-mails: Da sind wohl E-Mais gehackt worden. Altes Thema - ist aber bekannt.

                                                              # Es ist so wie mit Telefonanrufen -  Die Nummer, die im Display erscheint, ist nicht zwingend diejenige von welchem Apparat gerade angerufen wird. Bei Datev ist das Problem noch nicht durchgedrungen. Denn diese haben keine PIN. Wenn ich da anrufe, muss ich eine PIN sagen.

                                                              # Der E-Mail-Absender ist nicht derjenige, der dann in Outlook erscheint. Einfach mal das E-Mail analysieren. Ich mache das sehr oft, fast immer.

                                                               

                                                              Grüße

                                                              • 29. Re: Warnung vor neuer Variante mit Malware in E-Mail-Anlagen
                                                                bernd.wettstein Einsteiger

                                                                Zum Thema Sensibilisieren & Schulen:  während dies absolut wichtig erscheint kommt der Durchschnittsanwender mit der Dauerschulung per Situationsmail oder Frontalunterricht immer weniger klar. Gleichzeitig steigt Anspruch & Komplexität der - immer noch oftmals Mail-basierten - Angriffe immer mehr:   spannend wir es dann, wenn die Fieslinge die Eigenschaften von Emotet mit weitergehenden AI/ML/Textgenerator-Funktionen verknüpfen und mit einem 0-Day-Exploit kombinieren.   Die Mail wird praktisch nicht mehr unterscheidbar.

                                                                 

                                                                 

                                                                Und da liegt ein Kernproblem:   Mail ist ein uraltes und völlig nicht mehr zeitgemäßes Medium geworden (und ein gutes Beispiel, dass "Digitalisierung" als Buzzword nicht zwangsläufig bedeutet dass etwas auf aktuellem technischen Stand ist).  Gleichzeitig ist das Medium nicht totzubekommen.   In unserer Kanzlei stehen uns neben den DATEV-eigenen Bordmitteln auch modernere Systeme wie SecureHub und Brainloop,  auch mit 2-Faktor-Authentifizierung zur Verfügung,  die sehr sehr einfach einzurichten, zu verwalten und bereitzustellen sind und auch für "Otto-Normal-Mandat" und seinen Mitarbeiterinnen und Mitarbeitern gut und einfach zu bedienen ist.   Dennoch ist die Akzeptanz nicht bei 100% und der Ruf nach Verwendung von einfachsten Passwörtern bei gleichzeitigem Verzicht von 2-Faktor allgegenwärtig.  Beim geringsten Problem oder auch nur zeitweiser Störung wird sofort wieder unaufgefordert und unverschlüsselt verschickt.  Mehr noch:  viele möchten in keinem Fall Mobiltelefon-/SMS-basierte 2-Faktor-Authentifizierung nutzen (meistens eher aus Bequemlichkeitsgründen, nicht wg. Sicherheits- oder Datenschutzbedenken oder echter Unwissenheit),  haben das selbige Smartphone aber jederzeit i.S. WhatsApp oder Facebook zur Hand.  Sehr seltsam, diese Bequemlichkeiten.

                                                                 

                                                                Alternativen zur klassischen Mail mit Anhang setzen sich also einfach nicht durch.  Egal wie einfach und sicher Alternativen sind,  die unverschlüsselte Mail mit gefährlichem Anhang ist der Normalfall und am bequemsten.

                                                                 

                                                                Wenn dann noch das Thema Schulung als Frontalunterricht o.ä. dazu kommt,  ist die Aufmerksamkeit in solchen Umgebungen für das Thema oftmals nicht besonders groß - bis dann halt irgendwann doch etwas passiert.  :/

                                                                 

                                                                Alternativen zur klassischen Infomail & Schulung der Mitarbeiter über endlose Powerpoints:

                                                                Womit ich dagegen sehr gute Erfahrung gemacht habe (auch bei Mandanten), um das Thema zu sensibilisieren  sind Lösungen wie Sophos Phish Threat.  Das Produkt ist sehr kostengünstig und auch als reines Cloud-Produkt buchbar, mann muß also nicht zwingend Hardware-Appliances oder Softwareprodukte von Sophos im Einsatz haben, kann die Lösung auch verwenden, wenn man andere Firewalls und Virenschutzsysteme verwendet.  Das geniale an Sophos Phish Threat ist die Simulation eines Angriffs auf die eigene Umgebung bei Skalierbarkeit von Kleinunternehmen (oder -kanzlei) bis hin zu größeren Umgebungen.  Sogar ein Anpassen auf die individuellen Fähigkeiten der Mitarbeiter (IT-Novize oder eifriger CT-Leser ) ist möglich.   Das Tool simuliert einen Angriff mit zeitversetztem Versand von scheinbaren Phisingmails, von schlecht gemacht mit kyrillischen Buchstaben, über DHL-Mails bis hin zu Statusmails echter eingesetzter Systeme (z.B. Scannermails,  Sharepoint, o.ä.) und Integration von Namen von Vorgesetzten o.ä. - je nach angelegtem Mitarbeiterprofil.

                                                                 

                                                                Man kann auch eigene Vorlagen bauen (z.B. DATEV-Mails mit Wordanhängen  - Daniel Bohle  ) und diese in die Simulation einfließen lassen.   Wenn ein Mitarbeiter dann auf eine entsprechenden Link in der verdächtigen Mail doch anklickt wird umgehend eine Onlineschulung des Admins/des Chefs "angeordnet" - und zunächst primär der betroffene Mitarbeiter selbst hierüber infomiert (Abhängig von Einstellungen).   Wird diese Schulung nicht gemacht, wird sehr regelmäßig erinnert.    Und:  in der Schulung sieht man weitere Beispielsituationen typischer Angriffe und kann im Multiple-Choice-Verfahren die - hoffentlich korrekte - Antwort auswählen.

                                                                 

                                                                Das sensibilisiert mehr ohne den Einzelnen bloßzustellen.  Es kann auch helfen, das Thema IT-Security als IT-strategisches Thema bzw. überhaupt das Sensibilisieren der Notwendigkeit einer IT-Strategie zu etablieren.  Ein Allheilmittel ist es freilich aber auch nicht.  Auch verhindert es nicht aktiv einen einzigen Angriff sondern antwortet primär auf den Faktor Mensch.

                                                                 

                                                                Da viele Kanzleien sicherlich nicht die Zeit und/oder Manpower haben, eine solche Lösung auch nur im kleinen zu testen oder eine solche Aktion geplant und organisiert durchzuführen, ist es schade, dass es Vergleichbares nicht von DATEV mit entsprechender Unterstützung gibt.  Systempartner / IT-Systemhäuser sind m.E. jedenfalls aufgerufen, solche Lösungen zu berücksichtigen und anzubieten.

                                                                 

                                                                Sorry für die "Werbung", ich werde von Sophos leider nicht dafür bezahlt / wollte dies nur mal als Alternative zur rein "situativen Mailinfo" oder langweiligen Frontalunterricht einbringen.

                                                                 

                                                                Natürlich kann man auch mal EICAR.com auf ein paar USB-Sticks verteilen und diese auf dem Parkplatz der Kanzlei verstreuen oder auch ein IT-Security-Audit bei einem Profi beauftragen.

                                                                Geändert am 13.06.19 um 14:47 Uhr 1 von 1 Personen fanden dies hilfreich
                                                                1 2 Zurück Weiter