Wie erkenne ich bösartige E-Mails

Ein Beitrag zur Informationssicherheit

15. Oktober 2019

Something smells «phishy»

1. Gefährliche E-Mails

Wir haben sie alle schon erhalten: E-Mails, die Links auf fragwürdige Webseiten enthalten, E-Mails mit Geldversprechen oder gar E-Mails, welche Viren enthalten. Während bei einigen lediglich mittels Text versucht wird, den Leser zu schädlichen Aktionen zu verführen, enthalten andere Links oder Dateien, deren Ausführung schlimme Folgen haben kann. In diesem Artikel untersuchen wir die Merkmale solcher Nachrichten.

2. Der Absender

Jede E-Mail weist einen Absender auf. Dabei ist es wichtig zu verstehen, dass dieser aus zwei Teilen besteht: Der Absender-Adresse und dem Anzeige-Namen. Der Anzeige-Name kann dabei beliebig gewählt werden. Je nach Mail Programm wird leider nur dieser angezeigt und die eigentliche Absender-Adresse verdeckt. Hier ist Vorsicht geboten. Da die Absender-Adresse deutlich schwieriger zu fälschen ist, sollte diese immer geprüft werden. Kleines Beispiel dazu: Ich kann problemlos eine Nachricht mit dem Anzeige-Namen Bundespräsident Ueli Maurer versenden. Es ist jedoch deutlich schwieriger, einen Empfänger mit der Absender-Adresse ueli.maurer@admin.ch zu erreichen. In folgenden Bildern veranschaulichen wir das noch kurz:

Im Outlook wird in der Regel zuerst der Anzeige-Name (hier Microsoft Azure Team) angezeigt und gleich danach in Klammern die Absender-Adresse (hier azure@microsoft.com).

Die gleiche Nachricht wird auf Outlook Mobile aber bereits mit weniger Details angezeigt:

Hier sehen wir nur den Anzeige-Namen. Nur wer mit dem Finger diesen anwählt, bekommt auch die Absender-Adresse eingeblendet:

Dieser extra Aufwand lohnt sich besonders dann, wenn die Nachricht Anhänge oder Links zum Anwählen enthält (siehe weiter unten).

Wie erkennt man denn eine unerwünschte Absender-Adresse? Der Fokus sollte hier zuerst auf den Teil nach dem @-Zeichen gelegt werden. Dieser Teil zeigt die Domain der Adresse an, welche schwierig zu fälschen ist. In oberem Beispiel ist dies microsoft.com. Dabei genau hinschauen: Angreifer versuchen oft, solche Domains täuschend echt aussehen zu lassen, also beispielsweise m1crosoft.com. Kennt man die Domain nicht, ist Misstrauen angesagt.

Nun gibt es natürlich eine Reihe von Domains, welche wir gut kennen, die aber trotzdem einfach zu missbrauchen sind. Dabei geht es vor allem um Mail Hoster, also Gmail, GMX, Hotmail usw. Obwohl viele Hoster heute Techniken zum Auffinden von Spammern auf ihren Domains einsetzen, ist dies noch keine Garantie. Hier also auch den Teil vor dem @-Zeichen berücksichtigen. Die Adresse vani_loves_u@gmail.com gehört wahrscheinlich nicht zu ihrem Bekanntenkreis.

3. Links

Links in E-Mails sind alltäglich und ein Grossteil davon sind harmlos. Da sie jedoch einem Angreifer gute Möglichkeiten zur Installation von Schadsoftware bieten, ist beim Anklicken grosse Vorsicht geboten. Folgende „Hygiene-Massnahmen“ sollten berücksichtigt werden:

1. Grundregel: Links gar nie erst anklicken. Besonders dann, wenn der Inhalt der Nachricht nicht angefordert wurde, eine hohe Dringlichkeit simuliert und/oder Neugierde ausgelöst wird. Dies sind nämlich typische Merkmale eines Versuches, den Empfänger zum Klicken zu verleiten.

2. Scheint der Inhalt legitim, gibt es trotzdem einiges zu berücksichtigen. Sicher sollte vor dem Klick die Absender-Adresse geprüft werden (siehe oben). Damit wird schon ein Grossteil böswilliger Absender ausgefiltert.

3. Bei bekannten Kontakten wie etwa einem Online Dienst (Amazon, Paypal, Zalando, Netflix usw.) hat man in der Regel bereits im Browser einen gewohnten Weg, um den Dienst aufzurufen. Wenn also Zalando zum Beispiel ein Link für eine Rechnung zustellt, rät es sich, nicht den Link direkt anzuwählen, sondern über den gewohnten Weg bei Zalando einzuloggen und die Rechnung manuell aufzurufen. Damit werden die täuschend echt aussehenden Phishing Nachrichten ausgetrickst.

4. Kommt man trotzdem nicht darum herum, den Link anzuwählen, sollte unbedingt vor dem Klicken die Maus über den Link geführt werden und abgewartet werden, bis der effektive Link in einem kleinen Fenster darüber angezeigt wird. Probieren Sie es gleich hier aus. Das Wort hier ist ein Link auf unsere Webseite. Die URL (also das eigentliche Ziel des Links) wird erst angezeigt, wenn die Maus über das Wort geführt wird und dort belassen wird (ohne zu klicken!).

Dieser Link kann dann genau gleich wie die Absender-Adresse auf die Domain geprüft werden. Anders als die Absender-Adresse kann dieser Link extrem lang sein. Die Domain ist jedoch einfach zu finden. Sie befindet sich zwischen dem http:// resp https:// und dem nächsten /, also ganz am Anfang des Links. Sie besteht aus mehreren, durch Punkte untertrennten Wörtern. Dabei interessieren uns die letzten zwei.

Bei https://www.unicodata.ch/security-news/ bildet unicodata.ch die Domain. Auch hier gilt es, genau hinzuschauen. Wenn wir die Domain nicht kennen, sollten wir besser nicht klicken. Im Zweifelsfall kann man mit einer unabhängigen Google Suche die Domain aufrufen und prüfen, ob es sich bei der Domain um den Anbieter oder den Inhalt handelt, den man erwartet.

4. Anhänge

An eine Nachricht kann grundsätzlich jede Art von Datei angehängt werden. Bei Angriffen werden heute vor allem bekannte Formate wie Office Dokumente oder PDF Dateien verwendet. Auch hier können die ersten zwei Schritte der „Hygiene-Massnahmen“ (siehe oben) angewendet werden (anstelle von Links sind es dann eben Dokumente). Im Zweifelsfalle kontaktieren Sie hier dann Ihren IT Sicherheitspartner. Die Unico Data kann beispielsweise Anhänge in Ihren Nachrichten für Sie analysieren.

4.1. Makros

Einen weiteren Schritt zur Absicherung ist, im Office die automatische Ausführung von Makros zu deaktivieren (siehe nächste Bilder). Viele Viren werden via Makros ausgeführt. Ein Office Dokument, welches per E-Mail zugestellt wird, sollte nie Makros enthalten, ausser Sie haben dies so angefordert.

Im Word auf das Register „Datei“ klicken und dann in der linken Spalte „Optionen“ wählen. Im Optionsfenster auf der linken Seite «Trust Center» wählen und dann auf der rechten Seite den Knopf „Einstellungen für das Trust Center“ anwählen.

In diesem Fenster haben Sie dann die Möglichkeit, die automatische Ausführung von Makros auszuschalten. Enthält eine Datei Makros, werden Sie vorher von Office gefragt, ob Sie diese wirklich ausführen wollen. Bei Dokumenten aus einer E-Mail wäre das dann ein klares Nein!

5. Sensibel bleiben

Dieser Beitrag deckt lange nicht alle Fälle ab. Wichtig ist vor allem, den Kopf bei der Sache zu haben und im Zweifelsfalle Ihren IT Partner zu kontaktieren.

Der Service Desk der Unico Data AG berät Sie gerne und zügig.

Sind Sie genügend gut geschützt?

Die Unico beschäftigt sich tagtäglich intensiv mit dieser Thematik und ist jederzeit bereit, sich mit Ihnen über Erfahrungen, mögliche Massnahmen und die Analyse von Schwachstellen auszutauschen. Wir freuen uns auf Ihre Kontaktaufnahme!