ich habe heute via T-Online eine E-Mail erhalten, die vorgeblich von DHL versandt wurde und im Betreff auf ein nicht zustellbares Paket hinwies.
Nach dem Anklicken ein HTML-E-Mail mit Hinweis, ein an mich zuzustellendes Paket sei angeblich zu schwer. Die Sendungsverfolgung mit einer Kurz-URL habe ich nicht angeklickt … dennoch das HTML E-Mail geöffnet.
Konto ohne Administrator-Rechte verwendet, kann es dennoch sein, dass sich schon durch das Öffnen des HTML E-Mails eine Schadsoftware eingenistet hat ?
Microsoft Virencheck meldet keinen Befund
MalWareBytes meldet keinen Befund
AdAware meldet „nur“ PUP HP Support und Samsung SmartSwitch
Wenn sich in dem HTML E-Mail Schadcode befunden hat wäre es gut, wenn schon T-Online dies zumindest im Betreff markiert.
Was sollte ich noch prüfen ? Dummerweise habe ich die E-Mail gelöscht, so dass ich diese nicht mehr an den DHL Phishing Support weiterleiten kann.
Laut Google hat es vergleichbare E-Mails schon früher gegeben, vielleicht nun weiterentwickelt.
Wenn auch wenig hilfreich, würde ich sagen, falls Outlook verwendet wurde, kann alles passieren, selbst wenn die Mail selbst gar nicht Schadecode beinhalten sollte.
[/sarcasm]
Bei Mails im Arbeitskonto schau ich mir die aber dennoch an und wenn die von extern sind mit dem eingefügten Phishing-Meldelink, dann melde ich die, kam bisher nur zweimal vor, daß deren Prüfung keinen Anhaltspunkt für Phishing o.a. ergab, gefühlt waren das alles Testmails.
Die Firma hatte in der Zeit, als ich bei denen mal kein eMail-Konto hatte, aber auch einen Zwischenfall, nach dem alte Mails wohl nur noch sehr umständlich zugänglich gemacht wurden.Ansonsten alles neu aufgesetzt wurde.
Privat habe ich mal eine ganze Zeit ebay-Mails und PayPal-Mails einfach ignoriert, weil nach Käufen mir regelmäßig suspekte Mails ins Postfach flatterten.
Bis aus mir unerfindlichen Gründen mal eine Zahlung nicht abgebucht werden konnte und mich jemand von PayPal dann anrief, so nach zwei oder drei Monaten. Ich wußte, daß das Geld nicht vom Konto abgegangen war und überwies es …
„Wenn ich eine E-Mail nur anschaue und keinen Anhang öffne, kann mir nichts passieren.“
Das trifft leider nicht zu.
Viele E-Mails werden im HTML-Format verschickt. Dadurch sind sie z. B. farbig und mit verschiedenen Schriften und Grafiken gestaltet. Im sogenannten Quellcode einer HTML-formatierten E-Mail lauert mitunter aber die Gefahr – etwa schädlicher Code, der bereits beim Öffnen der E-Mail auf dem Computer des Empfängers oder der Empfängerin ausgeführt wird. So wird z. B. ein Schadprogramm installiert.
Außerdem möchten die Absender oftmals wissen, ob die angeschriebene Adresse überhaupt benutzt wird. Spam-E-Mails versehen sie daher mit Tracking-Pixeln oder unsichtbaren Bildern: Diese geben ihnen Bescheid, wenn die E-Mail geöffnet wird. Anschließend schicken sie weiteren Spam.
Tipp: Deaktivieren Sie die Anzeige von E-Mails im HTML-Format. Dann werden E-Mails zwar zuerst nur schlecht lesbar oder unvollständig angezeigt. So können Sie den Absender aber prüfen und, bei einem vertrauenswürdigen Absender, anschließend die HTML-Ansicht und das Nachladen von externen Inhalten wie etwa Bildern aktivieren.
in der Praxis wenig hilfreiche Hinweise und schürt Ängste, insbesondere wird nicht auf die gute Praxis eingegangen, das Arbeitskonto nicht mit Administratorrechten auszustatten.
Ich erhalte ca. 98 % der E-Mails als HTML E-Mails und in Textform sind diese fast immer unlesbar.
Wie immer kommt es drauf an, in diesem Fall auf das verwendete E-Mail-Programm. Mit https://www.emailprivacytester.com/ kann man eine ganze Reihe an möglichen Angriffen per E-Mail prüfen. Der Service schickt dir eine E-Mail, die du öffnest und sonst nichts machst. Im Browser, wo der E-Mail-Versand ausgelöst wurde, siehst du dann, welche Angriffe dein E-Mail-Programm durchlässt.
Das BSI sagt natürlich nicht: „Wird schon nicht passieren“, sondern lässt Eintrittswahrscheinlichkeiten weg, damit die Menschen eher zu vorsichtig agieren, was in der Hinsicht im Zweifel auch in Ordnung ist. Um das Schadprogramm-Szenario umzusetzen würde ein Zero-Day-Exploit benötigt*, der erstens auf dein E-Mail-Programm passt und zweitens danach potentiell entdeckt und damit wertlos ist. Für solche Exploits gibt es durchaus einen Markt, daher ist es unwahrscheinlich, dass diese für ein Allerweltsziel (Nichts für ungut, aber die meisten hier werden einfach keine krassen Ziele sein.) verbrannt werden.
Das Szenario mit den Trackingpixeln ist viel wahrscheinlicher. Alternativ oder zusätzlich war der Link zum Phishing gedacht.
*⁾ Angenommen du installierst Updates zeitnah. Ein Szenario habe ich oben tatsächlich nicht bedacht: Je mehr offene Sicherheitslücken dein E-Mail-Programm durch einen veralteten Patchlevel hat, desto leichter und damit wahrscheinlicher wäre das Installieren einer Schadsoftware.
In der Praxis mit erheblichen Aufwänden verbundene Vorkehrungen (man denke nur an die unendlichen E-Mails bei eBay Käufen) werden oft nicht umgesetzt, daher wären abgestufte Hinweise des BSI sinnvoller. Dass Hersteller von Schutzsoftware in das Maximal-Horn blasen ist nachvollziehbar (aber auch die sind gegen Zero-Days-Exloits machtlos).
Wenn ich das richtig verstehe muss ein Schadprogramm im HTML-Code
von der aktuellen Schutzsoftware in Windows 10 nicht erkannt werden
aus der Umgebung des E-Mail Programms (hier Outlook 2013) ausbrechen
ggfls. muss die JavaScript Engine installiert sein (ist sie bei mir nicht)
Code ausführen oder installieren (wie geht das ohne Administrator-Rechte ?)
Anderes Szenario ist die Nutzung des E-Mail-Programms, um Mails des BVenutzers auszuleiten (das sollte aber auffallen).
Was die Allerweltsziele angeht, so wird sich das wohl wie bei anderen Schadsoftware-Attacken verhalten: Große ungerichtete Verbreitung und dann geringe Ausbeute weiterbearbeiten.
Outlook 2013 bekommt schon seit Jahren keine Sicherheitsupdates mehr. Das Ding ist löchrig wie ein Schweizer Käse. Zudem wäre es mir neu, dass Outlook 2013 eine Sandbox hat. Aus einer Umgebung die nicht gesandboxt ist, muss man nicht ausbrechen, RCE und es ist Game over.
Die ist standardmäßig installiert. Die Frage ist ob dein E-Mail-Programm so eingestellt ist, dass es JS ausführt.
Code kann auch von Nicht-Administrator-Nutzern ausgeführt werden.
Das sollte nicht so schwierig sein
Wie wäre es, wenn du mit den Basics anfängst, wie Software zu verwenden die noch Sicherheitsupdates bekommt?
Ich habe nicht behauptet, dass Outlook 2023 eine Sandbox hat und mit „Ausbrechen“ meinte ich die nicht vorhandenen Administrator-Rechte umgehen.
Ist Sie bei mir nicht, der Internet Explorer, den Outlook 2013 verwendet fehlt und auch Edge ist nicht installiert.
Beispiel / Quelle ?
Kann ich denn sicher sein, dass die aktuelle Outlook-Version sicherer ist ? Was mache ich mit den zahlreichen weiteren Anwendungen, die ggfls. nicht oder mangelhaft gepflegt werden. Also doch besser ein Tool, dass einen Teil der Schadsoftware erkennt und vor allem den Netzwerk-Traffic überwacht (Beispiel: MalWare Bytes Subscription)?
Das ist Standard unter Windows, wenn du kein SRP, WDAC, Applocker o.ä. verwendest. Probiere es doch einfach selbst aus.
Kannst du, da sie noch Sicherheitsupdates bekommen.
Auf Alternativen umsteigen oder in VMs isolieren.
AV-Software kann nur beschränkt helfen und ersetzt keine Sicherheitsupdates. MS Defender ist auch nicht viel schlechter/besser als andere Lösungen, also kannst du einfach das verwenden.