Irgendwie habe ich das Gefühl, manche geben sich einfach keine Mühe.
Heute kam man wieder ein besonders blödes Exemplar.
Zitat:
Guten Tag,
Wir freuen uns, Ihnen alarm zu informieren, haben wir eine interessante wichtig Informationen über Sie. Und wir sind bereit, zu übertragen offenlegung Informationen Strafverfolgungsbehörden und Ihre Lieben.
Wenn Sie einen sehr unangenehmen schlecht unnötig vermeiden wollen Situation für Sie, müssen Sie unsere 2 Bitcoin Wallet 1HcMLs8b16p7LxjUTCgQCddEiVgGogfPz2, extreme letzte zu senden Zeitraum 22.12.2016.
Wenn wir nicht unser Geld bekommen, dann 23.12.2016 alle Ihre Daten Informationen wird an die entsprechenden Strafverfolgungsbehörden und Ihre Lieben übergeben werden freunde.
Sie entscheiden, ob es sinnvoll, zu verderben macht verschlechtern verhältnis von 2 Bitcoin?
Mit freundlichen Grüßen,
Einen schönen Tag noch
Bei solchen EMails wäre ich froh den der Alltag sieht leider ganz anderes aus.
Das sind zwei EMails welche ich 2016 auf die Firmenadresse bekommen habe alle mit verseuchtem Anhang.
Leider ist das fehlerfreies Deutsch keine Rechtschreibfehler und richtig verwendete Interpunktion sowie richtiger Satzbau.
Sehr geehrte Damen und Herren,
anbei erhalten Sie meine Bewerbung für Ihre bei meinestadt.de ausgeschriebene Stelle. Warum ich die Stelle optimal ausfüllen kann und Ihrem Unternehmen durch meine Erfahrung zahlreiche Vorteile biete, entnehmen Sie bitte meinen ausführlichen und angehängten Bewerbungsunterlagen.
Ich freue mich, wenn ich mich Ihnen noch einmal persönlich vorstellen kann.
anbei finden Sie meine Bewerbung für Ihre ausgeschriebene Position. Die Stelle entspricht genau meinen Vorstellungen und reizt mich sehr. Da mein Profil und meine bisherigen Erfahrungen gut zu Ihren Anforderungen passen, bin ich davon überzeugt, einen echten Mehrwert leisten zu können. Und das möchte ich!
Ich freue mich, wenn Sie meine Bewerbungsunterlagen im Anhang prüfen und ich mich Ihnen noch einmal persönlich vorstellen kann.
Die ganz paranoiden machen solche Mails inklusive Anhang nur noch in einem Live-Linux auf.
Für alle anderen würde es schon helfen, partout keine Dokumente jenseits von PDFs zu öffnen. Wobei auch diese - bei veralteter/kompromittierbarer Software - gefährlich sein können. Jedoch hilft hierbei oft schon ein aktuelles Windows und ein PDF-Reader abseits der "Norm", also schon mal nicht das Geraffel von Adobe.
Müsste ich eine größere Firma mit HR-Abteilung betreuen, wäre mindestens schon die zweite Lösung per GPO umgesetzt und - viel wichtiger - die Mitarbeiter geschult. Dies dürfte den allergrößten Teil solcher Mails abschotten.
Da man sich relativ einfach schützen kann, verstehe ich den ganzen Trubel um solche Mails nicht. Ist ja mittlerweile auch schon ein alter Hut.
Im Rückblick auf dieses Jahr kann ich sagen das praktisch jeder solche EMails klickt.
Egal wie alt oder welche Position und Branche da ist alles dabei.
Was bestimmt sinnvoll ist Software kontrolliert in der Domäne anzubieten sprich du hast oder erstellst eine MSI Datei und Nutzer dürfen die Software dann installieren.
Das ganze taucht unter Software auf und man kann auswählen was man mag.
Es muss erst vom Domänenadmin freigeschaltet werden und so kann man z.B. auch Software an Clients zuweisen.
Auch helfen könnte es Anhänge generell abzutrennen und auf eine spezielle Share für den Benutzer zu kopieren wo der Zugriff erst nach manueller Prüfung erfolgt.
Das ist allerdings ein nicht unerheblicher Personalaufwand.
Wenn jeder Dödel drauf klickt, mangelt es an Aufklärung. Ganz einfach: Niemals eine andere Datei als ein PDF in einer Bewerbungsmail öffnen und diese PDF nur auf einem aktuellem OS mit aktuellem PDF-Reader. Und erst recht niemals, nie, auf keinen Fall, die Bearbeitung in einem Office-Dokument (.docx, .xlsx, .odt... ) aktivieren, also nie, auf keinen Fall und unter keinen Umständen.
Und falls die Bewerbung wirklich gut aussehen sollte, könnte man dem Bewerber eine Antwort schreiben, in welcher man ihm/sie freundlich um PDF-Dokumente oder eine schriftliche Bewerbung bittet. Letzteres würde im übrigen das Problem gänzlich lösen.
- viel wichtiger - die Mitarbeiter geschult. Dies dürfte den allergrößten Teil solcher Mails abschotten.[...]
Will dir nicht die Illusion rauben, aber: Nein, tut es nicht. Nirgendwo. Nicht nach der x-ten "Schulung".
Es wird immer irgendwo den einen User geben, der trotzdem draufklickt. Weil er's nicht besser weiß, weil er im Stress war und nicht drauf geachtet hat, weil die Mail einfach zu perfekt war undsoweiterundsofort.
Auch PDFs können infiziert sein und dich direkt auf ne "böse" Webseite weiterleiten, ich würde also Abstand davon nehmen, PDFs als "per se sicher" zu deklarieren. Wir haben etliche PDF-Dokumente erhalten, die der Virenscanner als harmlos angesehen hat (virustotal.com übrigens auch, über Wochen) und die sich als das Gegenteil herausgestellt haben.
Auch das Abtrennen von Anhängen an zentraler Stelle gibt keine Sicherheit - die Prüfung kann ja nur so gut sein wie die Pattern der Software aktuell sind. Und genau da liegt der Hase im Pfeffer: Alles, was es an solchen Mails bis in die Posteingänge schafft, konnte unsere Mailgateways nur passieren, weil die Pattern der Scan-Engines genau diese Gefahr noch nicht erkannt haben.
Es ist und bleibt also ein Kampf gegen Windmühlen (und gegen menschliche Dummheit). Was mich viel mehr erschreckt, ist der laxe Umgang mit Rechnern, auf denen solche Mails geöffnet wurden - bei uns werden die rigoros plattgemacht und neu installiert (da hilft es ungemein, wenn man so was automatisiert hat....), während anderswo ein windiger Admin mit dem Wunder-USB-Stick zu Hilfe eilt und den Rechner "säubert"....
*Just my 5 Cent*
Cheers,
Joshua
P.S.:
Um auf die "Eingangsmail" von Exit zurückzukommen - wer auf so ne Mail reinfällt, darf für den Rest seines Lebens nur noch mit CASIO-Taschenrechnern spielen.
select * from USERS where IQ > 60
0 rows returned.
Ich hab nie behauptet, dass man mit Aufklärung jeden dazu bringt sich ordnungsgemäß zu verhalten. Das ist mir selbst bewusst, dass dieser Gedanke utopisch ist. Diesen einen wird man immer haben. Wenn aber die anderen etwas behutsamer mit der Thematik umgehen, hat man schon was erreicht. Wie viel einem das ganze Wert ist, muss jeder (jede Firma) für sich selbst entscheiden.
Und das PDFs auch nicht der heilige Gral sind, habe ich bereits in Post #4 geschrieben...
Jedoch zielen viele Angriffe mit kompromittierten PDFs auf alte, verbreitete Reader mit bekannten Exploits. Wenn also (aktualisierte!) Reader mit weniger Risiko genutzt werden und die User geschult sind, dürfte die Wahrscheinlichkeit eines erfolgreichen Angriffs durchaus sinken. Auf null wird man sie nie bekommen, das ist klar. Und das habe ich auch genau so geschrieben, deswegen kommt mir dein Post etwas komisch rüber.
Und die Leute, die einfach auf einen Link in einem Bewerbungspdf klicken, dürfen dann auch gerne in die Casio-Fraktion abgeschoben werden.
Security und dabei gerade Awareness beziehungsweise das Bewusstsein bei den Benutzern für solche Geschichten ist in keinster Weise einfach...
Wobei ich finde, dass man genau hier ansetzen sollte und auch recht viel erreichen kann. Harte GPOs etc. sind dann doch wieder irgendwie umgehbar und machen es am Ende vielleicht nur noch schlimmer.
_DIE!_ Untertreibung des Tages.
Ich sehe darin eher so etwas wie die Quadratur des Kreises....
Zitat:
[...]Wobei ich finde, dass man genau hier ansetzen sollte und auch recht viel erreichen kann. Harte GPOs etc. sind dann doch wieder irgendwie umgehbar und machen es am Ende vielleicht nur noch schlimmer.[...]
Ja, sehe ich ähnlich - auch wenn ich schon Fransen vorm Mund habe vom ständigen Wiederholen: User muss man "erziehen", immer wieder neu und von vorn...
Was GPOs betrifft:
GPOs machen keine Vorschläge, sie schaffen Fakten.
Wenn man also weiß, was man tut und wie man es monitoren/durchsetzen kann, ist das ein sehr mächtiges Werkzeug, an dem die User auch in keinster Weise vorbeikommen.
Ich muss zugeben - "Human Ressources" Mitarbeiter möchte ich in dem Fall echt nicht sein. Woher soll man wissen, ob die Bewerbung echt oder ein Fake ist - gerade wenn er so gut gemacht wurde, wie oben erwähnt.
Auf nen Viren Scanner kann man sich ja leider auch nicht immer verlassen. Spasseshalber habe ich mir in der Vergangenheit ein paar der Anhängsel (bzw. dessen Code) angesehen. Das Anti Virus System hat da nix verdächtiges gefunden, weil alles schön verbastelt war (per Javascript in dem Fall). Immerhin konnte man erkennen was es tun sollte.
Am Ende hilft doch nur ein abgeschottetes Linux, welches nicht ganz so allergisch auf kompromitierte Dateien reagiert. Idealerweise gleich als VM - starten öffnen und notfalls entsorgen.
Pfishing/Scaring Mails 
*g* 
Linear-Darstellung
