Keine Spam, aber ein im Kontext interessanter Hinweis auf einen aktuellen Artikel bei Golem. Ich schreibe ja manchmal, nein, eigentlich sogar ziemlich häufig, dass man mit durchgehender Nutzung von digitalen Signaturen den gesamten Phishingsumpf hätte trockenlegen können. Das wäre zurzeit nicht der Fall, wenn die leider sehr populäre und im geschäftlichem Umfeld allgegenwärtige Mailsoftware Microsoft Outlook verwendet wird, denn bei Nutzung dieser Software können die Anwender von Kriminellen beliebig getäuscht werden [Archivversion]:
Die besagte Sicherheitswarnung taucht in der Regel auf, wenn Outlook-Nutzer eine E-Mail von einem Absender erhalten, mit dem sie zuvor gar nicht oder nur selten korrespondiert haben. „Sie erhalten nicht oft E-Mails von xyz@beispiel.com. Erfahren Sie, warum dies wichtig ist“ […] Wie aus dem Bericht von Certitude hervorgeht, bettet Outlook diese Warnung allerdings im HTML-Code als Table-Element unmittelbar vor dem Textkörper der E-Mail ein. Durch CSS-Regeln innerhalb der Mail gelang es den Forschern, sowohl die Schrift- als auch die Hintergrundfarbe der Meldung auf Weiß zu ändern und die Warnung dadurch effektiv unsichtbar zu machen.
Das Verstecken der Phishing-Warnung war den Certitude-Forschern allerdings noch nicht genug. Daher untersuchten sie, ob sich per HTML und CSS auch vortäuschen ließ, dass die empfangene E-Mail verschlüsselt oder signiert ist. Und sie hatten Erfolg: „Signed By [Absender]“ steht über einer Mail, deren Screenshot die Forscher in ihrem Blog teilten. Daneben die entsprechenden Symbole – ein Schloss und ein rotes Siegel.
Microsoft ist der Auffassung, dass es sich nicht um eine Sicherheitslücke handelt, wenn ein Angreifer mit relativ einfachen Mitteln einen völlig falschen Eindruck beim Empfänger erwecken kann – und lässt das bekannte Problem einfach offen. Schon seit Monaten. Mit Schloss und Siegel. 🔐️🛡️✅️
Ich bin da natürlich völlig anderer Auffassung. Ein optischer Sicherheitshinweis, der von einem Angreifer nach Belieben ausgeblendet oder hinreichend gut simuliert werden kann, ohne dass ein naiver Anwender das auf dem ersten Blick erkennen könnte, hat für die Sicherheit nicht nur überhaupt keinen Wert, sondern macht sogar die damit versprochene Sicherheit völlig zunichte und verkehrt sie in ihr Gegenteil. „Aber natürlich, Cheffe! Ich habe auf den Link geklickt, die Datei geöffnet und den Zugangscode eingegeben. Das wollten sie doch so. Die Mail war doch von ihnen signiert.“ ist alles andere als ein undenkbares Szenario und kann einen fürchterlichen Schaden verursachen. Hinterher, wenn ein ganzes Unternehmensnetzwerk von Kriminellen übernommen wurde, heißt es in den Medien in der üblichen Albernheit der journalistischen Berichterstattung „Cyber Cyber“ und es gibt Symbolbilder von Maskierten im dunklen Zimmer, die wie die Hypnotisierten auf Matrix-Bildschirmschoner gucken, aber Microsoft ist mehr als nur ein bisschen dafür mitverantwortlich, was natürlich niemals so klar benannt wird.
Wenn sie am Arbeitsplatz Microsoft Outlook verwenden müssen – ich hoffe, dass die meisten Menschen privat eine andere gute Mailsoftware benutzen, aber ich befürchte, diese Hoffnung hat genau so einen geringen Wert wie die Sicherheitsfunktionen von Microsoft Outlook – seien sie also vorsichtig und klicken Sie auf gar keinen Fall in eine E-Mail, ohne sich vorher über einen anderen Kanal als E-Mail (zum Beispiel durch ein Telefongespräch) davon überzeugt zu haben, dass sie wirklich vom scheinbaren Absender kommt!
Generell besteht der beste und wirksamste Schutz vor Phishing darin, niemals in eine E-Mail zu klicken und häufig aufgerufene Websites – des Händlers, des Dienstleisters, der Bank – nur über dafür angelegte Lesezeichen im Webbrowser aufzurufen. Ach ja, und auch niemals das Handy auf eine Sackpost mit QR-Code halten, auch nicht, wenn sie scheinbar von der Bank kommt! Dann kann einem auch kein Verbrecher so leicht einen giftigen Link unterschieben.