suchen und finden im Blog

app66.de führt den Blog weiter und twittert:

http://litfas.de/silbersurfer/e-mail-pruefung-im-posteingang-ein-beispiel-zum-lernen.html
Autor: jubuc, am 05.05.2015

E-Mail-Prüfung im Posteingang – ein Beispiel zum Lernen

E-Mail-Provider setzen intelligente “Filter” für die E-Mail-Prüfung ein. Die Filter sollen erkennen, ob eine E-Mail “normal” oder “unerwünscht” ist. Unerwünscht sind lästiger Werbemüll (Spam) und natürlich kriminelle und gefährliche Angriffe (z.B. Trojaner, Viren). Die Filter funktionieren überraschend zuverlässig. Was dann doch noch durchkommt, prüft der E-Mail-Client (z.B. Outlook, Thunderbird). Trotz dieser beiden unabhängigen Prüfungen landen immer wieder mal kriminelle E-Mails im Posteingang, so wie in diesem Beispiel:

Meine 1. E-Mail-Prüfung: Posteingang

Diese E-Mail war vor ein paar Tagen im Posteingang.

E-Mail-Prüfung: Kriminell?

Ohne sie zu öffnen, kann ich schon einiges erkennen:

  • Die Büroklammer weist auf eine Anlage hin. Das ist nicht außergewöhnlich. Aber Anlagen können “sauber” sein oder z.B. Malware (wie Trojaner) transportieren, also aufpassen.
  • Der Empfänger im AN-Feld ist eine meiner Adressen, also kein anonymer Verteiler und keine “ähnlich” aussehende Adresse, das wirkt individuell. Wenn ich mit dem Mauszeiger über den Namen fahre, wird auch die zugehörige E-Mail-Adresse angezeigt. Die stimmt in diesem Fall.
  • Der Betreff enthält den Empfänger und etwas Text, keine der typischen Spam-”Reizwörter”.

Erstes Zwischenergebnis meiner E-Mail-Prüfung: Wie Spam wirkt die E-Mail nicht. Spammer machen sich nicht die Mühe der Individualisierung, Spam wird nach dem Gießkannenprinzip an ganz viele Empfänger gesendet – nach dem Motto “Es gibt immer ein paar Idioten, die darauf reinfallen”.

Einen kriminellen Versuch erkenne ich aus diesen oberflächlichen Infos auch nicht. Aber die Tatsache, dass ich noch keine Risiken erkannt habe, bedeutet nicht, dass sie sauber ist.

Meine 2. E-Mail-Prüfung: Text

Wenn meine E-Mail-Prüfung Spam oder kriminelle Inhalte gezeigt hätte, hätte ich die E-Mail ungelesen gelöscht. Beides war hier nicht erkennbar, also öffnen und lesen.

Beim Öffnen der E-Mail fand ich diese Drohung:
E-Mail-Prüfung: Kriminell?

Das ging mir spontan durch den Kopf:

  • Lastschrift storniert – das kann überhaupt nicht sein!
  • Kosten für die Inanspruchnahme 37,62 Euro – ziemlich heftig, wie hoch muss dann der Rechnungsbetrag sein?
  • Zahlung bis übermorgen – die machen richtig Druck.
  • Rückfragen oder Reklamationen bis übermorgen – wie soll bei Rückfragen der Zahlungstermin zu halten sein?
  • Keine weitere Mahnung, sofort Gericht und Schufa – starker Tobak.
  • Details fügen wir bei – dazu dient also der Anhang.

Die Sprache ist “nicht sehr freundlich”, aber unverdächtig, sauberes Deutsch, keine Automatenübersetzung. Die Sprache ist kein Hinweis auf einen kriminellen Versuch.

Zweites Zwischenergebnis meiner E-Mail-Prüfung: “Normal” ist der Inhalt nicht. Der Vorgang ist mir nicht bekannt. Ob die E-Mail kriminell ist, ist noch nicht zu erkennen.

Löschen will ich die E-Mail (noch) nicht, vielleicht ist ja doch was dran.

Meine 3. E-Mail-Prüfung: “Bauchgefühl”

Die Bank- und Schufa-Drohung erzeugte Verunsicherung und ein unangenehmes “Bauchgefühl”. Ich wollte mehr wissen und startete meine dritte E-Mail-Prüfung. Der Bauch ist der Auslöser, die E-Mail-Prüfung muss dann wieder sachlich sein.

Den Absender “Mail & Media AG” kenne ich nicht. Was ist das für ein Laden, der gleich beim ersten Schreiben so scharf schießt? Kann ja mal passieren, dass man etwas vergisst oder übersieht; dann geht man mit Kunden aber anders um! Also nochmal gelesen und die gleiche Drohung erkannt.

Ich kannte keinen Vorgang dieser Art. “Hast Du etwas gekauft und vergessen zu bezahlen?” fragte ich meine Frau. “Nein, was sollte das denn sein?”

Ein zweiter Blick auf die Anlage zeigt das “.zip“-Format als Datei-Endung.

Das ZIP-Format ist ein Format für das “Verpacken” von Dateien. Z.B. der Absender “ver”-packt und komprimiert (“schrumpft”) Dateien für den Transport, der Empfänger muss sie für die Nutzung wieder “ent”-packen. Das Verpacken verbirgt die Inhalte; Kriminelle nutzen das, um auch bösartige Inhalte wie Viren oder Trojaner darin zu verstecken. Das ZIP-Format ist bei normalen Anwendern kaum noch verbreitet, weil die gesunkenen Kosten für Speicherplatz und Übertragung dieses Format überflüssig machen und weil die Bedienung zusätzliche Software und Kenntnisse erfordert. Firmen im Kontakt mit Kunden wissen das.

Für E-Mail-Anhänge dieser Art hat sich das PDF-Format als Standard durchgesetzt. Wer heute noch ohne ausdrückliche Verabredung ZIP verwendet, will wohl etwas verbergen.

Spätestens jetzt war klar, dass der Absender menschliche Eigenschaften benutzte, um mir Malware unterzujubeln: Neugier wegen des Vorgangs, Ärger und Empörung über die Drohung, Bedenken und Druck wegen Bank, Schufa und rechtlichen Folgen. Auch wenn man Recht hat, kann es mühsam sein, das Recht auch zu bekommen.

Jetzt wurde mir klar: Das ganze Szenario ist nur Ablenkung. Es geht gar nicht um Bank und Schufa, die Verunsicherung soll mich motivieren, den Anhang zu öffnen. Das Kriminelle ist im Anhang versteckt.

Drittes Zwischenergebnis meiner E-Mail-Prüfung: Den vorgeblichen Vorgang gibt es nicht, der Absender will mich manipulieren, vermutlich um Malware auf meinem Rechner zu installieren.

Die Konsequenz ist einfach und eindeutig: Den E-Mail-Anhang öffne ich nicht, um Malware-Risiken zu vermeiden. Die E-Mail wird gelöscht, damit der Anhang nicht versehentlich doch noch geöffnet werden kann.

Fazit

Erkenntnis: Ich muss alle E-Mails selbst prüfen. Noch so gute Technik kann Mitdenken nicht ersetzen.

Update: Eben finde ich – wie zur Bestätigung – diese Warnung: Mehr Vorsicht bei E-Mail-Anhängen – Neue hochaggressive Malware legt Systeme lahm.

Mit dieser Prüfung hätte ich aufhören können. Aber ich wollte die Drohung noch etwas genauer erforschen, z.B. für diesen Blog-Beitrag. Also folgte die zusätzliche vierte Stufe meiner E-Mail-Prüfung.

Lesen Sie im folgenden Beitrag “Kriminelle E-Mail – was steckt dahinter?“, wie ich noch etwas intensiver prüfte und wie es zu solchen kriminellen E-Mails kommen kann.

Leave a Reply