Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Bewerbung für die ausgeschriebene Stelle

Freitag, 10. Mai 2019, 12:18 Uhr

Leider ist diese Spam mit Schadsoftware-Anhang nicht bei mir angekommen (ich habe ja auch keine offenen Stellen anzubieten), so dass ich nur zum Heise-Artikel mit weiteren Informationen verlinken kann. Zu diesem Artikel ist es aber noch eine Anmerkung zu machen, die auch über die laufende Schadsoftware-Kampagne hinaus gültig bleibt:

Die Drahtzieher von dieser Kampagne nutzen einen simplen Trick, um das Word-Dokument an Antiviren-Software vorbeizuschmuggeln: Sie habe es schlicht mit einem Passwort versehen, sodass Virenscanner nicht rein gucken und den Makro-Code als böse einstufen können […] Damit Opfer das Dokument öffnen können, haben die Drahtzieher das Passwort in die Mail geschrieben

Clipart eines Ordners, auf dem das Wort Virus stehtImmer, wenn eine E-Mail einen verschlüsselten Anhang hat und das Passwort im Klartext in der E-Mail steht, handelt es sich um einen Versuch, Schadsoftware an einem Antivirus-Scan auf dem Mailserver vorbeizumogeln.

Es gibt keinen einzigen anderen Grund, warum jemand so vorgehen sollte.

Die Verschlüsselung des Anhanges mit einem Passwort, das in der unverschlüsselten E-Mail steht, schafft keine zusätzliche Sicherheit oder Vertraulichkeit. Die E-Mail geht offen wie eine Postkarte durch das Internet. Auf jedem Server auf dem Transportweg kann sie gelesen (und sogar inhaltlich verändert) werden. Auf jedem Server auf dem Transportweg könnte also auch jemand das Passwort lesen und damit den Anhang öffnen, lesen oder verändern.

Es ist, als ob man seine Wohnungstür zum Schutz vor Dieben abschlösse, den Schlüssel unter die Fußmatte legte und einen unübersehbaren Zettel an die Türe klebte, auf dem in großen, freundlichen und leicht lesbaren Buchstaben steht, dass der Schlüssel unter der Fußmatte liegt.

Es ist völlig sinnlos, Anhänge auf diese Weise zu verschlüsseln – außer, man hat als Krimineller die Absicht, dafür zu sorgen, dass eine Schadsoftware bei einem Virenscan auf dem Mailserver nicht erkannt werden kann. Und genau das ist bei solchen E-Mails regelmäßig der Fall.

Diese Vorgehensweise ist nicht einmal neu. Die erste E-Mail mit im Text angegebenen Passwort für ein angehängtes verschlüsseltes ZIP-Archiv habe ich im Jahr 2015 gesehen. Alles, was ich damals geschrieben habe, gilt auch heute noch unverändert.

Jemand, der Vertraulichkeit herstellen will – was ich bei den weit in die Privatsphäre hineinreichenden Bewerbungsunterlagen erstmal nicht für eine schlechte Idee halte – wird wirksamere Methoden verwenden. Zum Beispiel richtige E-Mail-Verschlüsselung (inklusive einer digitalen Signatur, die unveränderte Übermittlung über ein unsicheres Netzwerk sicherstellt) mit PGP. Aber dafür müsste der Mailempfänger einen öffentlichen Schlüssel bereitstellen, und das ist zurzeit, nur rd. dreißig Jahre nach der Spezfikation und Implementation von PGP und unter den Bedingungen benutzerfreundlich verwendbarer und kostenloser Addons für jede ernstzunehmende Mailsoftware, beinahe niemals der Fall. Auch bei großen Unternehmen nicht. Und so werden eben weiterhin Bewerbungsunterlagen offen wie Postkarten durch das Internet versendet. 🙁

NIEMALS in einem über E-Mail zugestellten Office-Dokument die Ausführung von Makros erlauben! (Dabei auch nicht vom Absender der E-Mail beirren lassen. Die Absenderangabe in einer E-Mail spielt für den Mailtransport keine Rolle und kann beliebig gefälscht werden, ganz ähnlich wie der angegebene Absender auf einem Briefumschlag.)

Ein Makro ist ein innerhalb des Office-Programmes laufendes Programm, das alles kann, was jedes andere Programm für Microsoft Windows auch kann. Wenn das Dokument von einem spammenden Verbrecher stammt, kann und wird der angerichtete Schaden sehr groß werden.

Es gibt keinen einzigen Grund, warum man jemals zum Lesen und Ausdrucken eines Dokumentes die Ausführung eingebetteten Programmcodes zulassen müsste. Irgendwelche Tricks, mit denen Menschen zur Aktivierung von Makros überrumpelt werden sollen, kommen trotzdem immer wieder vor. NIEMALS sollte man darauf reinfallen! Die angeblichen Gründe, die in solchen Dokumenten genannt werden, sind Lüge.

Ganz kurze Zusammenfassung:

  1. Generell niemals Mailanhänge unsignierter E-Mails öffnen, die nicht über einen anderen Kanal als E-Mail explizit abgesprochen wurden. Dettelbach ist überall! Im Zweifelsfall kurz anrufen.
  2. Mailanhänge mit ZIP-Archiv sind besonders gefährlich, da diese wegen des deutlich erhöhten Aufwandes auf dem Mailserver oft nicht nach Schadsoftware gescannt werden.
  3. Mailanhänge mit einem ZIP-Archiv, dass passwortgeschützt ist, bei denen aber das Passwort in der E-Mail steht, sind Gift. Diese „Verschlüsselung“ hat nur einen Sinn: Einen Antivirus-Scan auf dem Mailserver zu verhindern.
  4. Und schließlich etwas, was ich hier gar nicht erwähnt habe, was aber sicherlich bald wieder aktuell wird: Klickbare Links in E-Mail sind genau so gefährlich wie Anhänge. Alles Gesagte gilt also auch für Links in einer Mail.

Wer vorsichtig ist, hat nicht hinterher das Nachsehen. 😉

4 Kommentare für Bewerbung für die ausgeschriebene Stelle

  1. Freddy sagt:

    Grundsätzlich das automatische hochladen von Anhängen (besonders sinnvoll bei Wischfons) abgeschalten, sodaß man bestätigen muß, aber erst wenn man die E-Mail geprüft hat. Das gleiche gilt bei Bilder anzeigen. Die lassen sich ja auch anklicken und somit auch mit Schadstoff Software ausstatten. Ein Bild sagt mehr als nur Worte, bloß kann das übele Folgen nach sich ziehen.

    Das sollte sich jeder angewöhnen, Automatik abschalten und niemals blind vertrauen. Man ist ja auch so dreist den Absender von Freunden zu verwenden, um Vertraulichkeit zu erwecken. In dem Fall den Freund vorher anrufen, man kennt doch seine Charakteristika beim E-Mail verfassen.

    Leider sind viele Nutzer naiv und faul, oft aufs Klicken von Bildern blind „dressiert “. Es muß ja alles auf Automatik stehen. Leute sowas kann einen schnell ruinieren, schlimmsten Falls sogar gesiebte Knastluft verschaffen.

    • Man ist ja auch so dreist den Absender von Freunden zu verwenden, um Vertraulichkeit zu erwecken

      Vor etwas mehr als zehn Jahren hat mal jemand Mails mit meinem Absender an einen etwas erweiterten Freundeskreis versendet, um mal abzuklopfen, ob da Passwörter von mir herumliegen – und erstaunlich viele erwachsene Menschen haben wirklich geglaubt, die Mail sei von mir. Gut, dass ich angerufen wurde, ob ich Hilfe brauchte. 😉

      Seitdem ist jede Mail von mir digital signiert, und jeder, der mich kennt, weiß das.

      Und ansonsten: Je mehr man bei seiner Mailsoftware abstellt, desto sicherer fährt man. Schade, dass das nicht die Standardeinstellungen nach der Installation sind. (Allerdings sind die vom Thunderbird schon ziemlich gut.)

  2. Freddy sagt:

    Naja man muß auch zugeben, nur Wenige sind so versiert und fachlich wirklich gut und erfahren. Aber die Welt wäre doch langweilig, gäbe es nur lauter Elias. Ich würde es als herben Verlust erachten gäbe es „Unser täglich Spam“ nicht. Es hilft ungemein, auch jenen die nicht so viel davon verstehen und ich kann mich nur wiederholen. Neben dem köstlichen Humor, danke für die Mühe.

  3. Freddy sagt:

    Solche Standarts gibt es nicht bei fertigen Geräten mit installierter Software, die man so auch nicht löschen kann. Sonst kann man ja nicht bei dir schnüffeln. Aber man kann sie schon ärgern.

    Ein Tip für Sm (Smartphone) auch Sado Maso Wischfon genannt. Bei Kontakten möglichst wenig im Datenblatt ausfüllen. Adressen Angaben grundsätzlich falsch ausfüllen oder weglassen. Nicht nur beim Aktualisieren wird das ausgelesen. Deshalb habe ich mein eigenes Datenblatt bei Kontakte, künstlerisch verändert. Siehe da ich kriege darauf hin eine E-Mail von meinem Anbieter, mit meinen Daten stimmt was nicht. Klar da wo ich wohne, bin ich leider aber nicht. Na ich bin reich wohne halt überall zur gleichen Zeit. 😎

    Gehe auf Seite sowieso und ergänze deine Daten. Ich hab Prepaid, für wie blöd halten die mich, ihnen beim Ausspionieren noch zu helfen. Meine Geräte Identifikation habe ich auch künstlerisch verändert, was die da auslesen ist nur noch Mist. Ich erklärte das nicht, obwohl es einfach ist, nicht ganz legal und die Garantie des Gerätes erlischt. Nun kommt dann hin und wieder eine E-Mail, jemand gäbe sich für mich aus. Weil dieser ein anderes Gerät und meine E-Mail Adresse benutzt. Blödköpfe ich habe die Signatur meines Gerätes verändert. Na und es ist mein Gerät. Googel habe ich euch mal rangekriegt. 😀

    Welche Drogen nehmen die denn bei Google? Jetzt trauen sie nicht mal mehr ihrer eigenen Schnüffelei.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert