Kein Phishing sind die (natürlich nicht digital signierten) alarmierenden E-Mails von Microsoft an Kunden mit Link auf eine Website, auch wenn sie offenbar öfter mal vom Spamfilter als Spam aussortiert wurden. Nein, die sind einfach nur dumm und hirnlos [Archivversion]:
Nach Cyberangriff:
Warnmail von Microsoft landet bei vielen Kunden im Spam[…] Kunden seien jedoch besorgt gewesen, dass es sich um einen Phishing-Versuch handle, „da laut den E-Mail-Headern weder SPF noch DKIM verwendet wurden“ – zwei gängige Methoden zur Sicherstellung der Authentizität von E-Mail-Absendern […] in der Mail eine URL enthalten, die auf eine einfache Azure-Power-App verweise […] Die sei mit einem von einer externen Zertifizierungsstelle ausgestellten DV-SSL-Zertifikat geschützt, das keine Angaben zur Organisation enthalte. Bei den anderen Domains verwende Microsoft hingegen in der Regel OV- oder EV-Zertifikate, die der Konzern selbst ausgestellt habe […]
Weia! 🤦♂️️
Für jene, die „dumm und hirnlos“ eine Nummer zu derb ausgedrückt finden, möchte ich kurz daran erinnern, dass Microsoft nicht der kleine Frisörbetrieb von umme Ecke ist, sondern eines der ganz großen Softwarehäuser, die ihren Kunden unter anderem auch Sicherheits- und Serversoftware verkaufen. Immerhin: Selbst der „Windows Defender“ und „Exchange“ haben diese Mail als spamverdächtig aussortiert, scheinen also doch ein bisschen gegen Phishing zu funktionieren. 😁️
Generell finde es ich ziemlich schlimm, dass die Mails größerer Unternehmen auch in den 2020er Jahren noch genau die gleichen Merkmale wie Phishingspams haben, insbesondere mit Link zum Reinklicken statt eines Textes wie „melden sie sich mit ihren Zugangsdaten wie gewohnt an unserem Kundenportal an, um nähere Informationen und Hinweise zu erhalten – wir setzen zum Schutz unserer Kunden vor Phishing niemals einen Link in einer E-Mail“. Sollte Microsoft seine eigenen Kunden wirklich als so dumm einschätzen, dass man dort glaubt, die klicken einfach auf alles, was sich nur anklicken lässt? Ist das ein Beitrag zur Förderung der Kriminalität? Will man Menschen wirklich auf diese Weise ans Phishing gewöhnen, was immer noch eine der häufigsten und gefährlichsten Trickbetrugsformen im Internet ist?
Ich habe so etwas ähnliches schon vor über zehn Jahren, im Jahr 2014, sehr deutlich in Richtung PayPal formuliert, was jetzt auch keine kleine Klitsche ist. Es ist auch auf diesem Hintergrund noch lesenswert.
Der durchgehende Verzicht auf digitale Signaturen war übrigens in den späten Neunziger Jahren schon verantwortungslos.
DKIM und SPF ist jetzt noch keine digitale Signatur und damit eben auch keine Sicherstellung der Authentizität von E-Mail-Absendern. Es stellt lediglich sicher, dass die Domain in der E-Mail Adresse von dem MTA versendet wurde, der dafür authentifiziert ist. Bekomme auf eine zur Stilllegung vorgesehene Adresse immer wieder Spam mit DKIM und SPF, sprich: wenn der autorisierte MTA missbraucht wird, ist das auch kein Schutz.