Kienzle Josef und Emotet

Ich möchte wirklich nicht Kienzle Josef heißen und der Besitzer der Domain "kwbheizung.de" kann mir wirklich leid tun. er kann nun wohl wirklich nichts dafür, dass eine Phishing-Welle meine Testpostfächer schon fast flutet, wenn man keinen guten Spamfilter davor einsetzt.

Natürlich sind alle Mails "gefährlich", da sie durchweg eine DOC-Datei als Anlage enthalten, die den Anwender dazu verleiten will, die MakroFunktion zu aktivieren.

Das Makro hat dann nichts besseres zu tun, als Schadcode nachzuladen und damit ist ihr Computer die Startrampe für verschiedenste Angriffe gegen anderen externe aber vor allem auch interne Ziele. Interessant dabei, dass nicht alle DOC-Dateien auch wirklich in dem alten Format gespeichert wurden sondern DOCX-Dokumente sind.

Die aktuellsten Ausgaben vom gleichen Tag finden die meisten Virenscanner allerdings noch nicht. Je älter aber die Mails sind, desto eher werden Sie gefunden.

Sie können Sie also nie sicher sein. Die Angreifer können die Inhalte der DOC-Dateien sehr einfach verändern, so dass einfacher patternbasierte Scans neuere Versionen nicht erkennen. Das wirft natürlich generell ein schlechtes Licht auf die gesamte Branche der Virenscanner, die doch das  hohe Lied der "Verhaltenserkennung" singen aber anscheinend nicht mal in einem DOC-File ein Marko erkennen können.

In dem Zuge kann ich immer nur wieder darauf hinweisen, die Anwender zu sensibilisieren, vielleicht den Empfang von DOC-Dateien komplett zu unterbinden, einen modernen Spamfilter einzusetzen oder z.B. durch ein Gateway die Dokument "unschädlich machen zu lassen. Es gibt durchaus Produkte, die eingehende Office-Dokumente erst mal in PDF konvertieren. Der Anwender kann das Original ja später bei Bedarf anfordern, was das Risiko einer schnellen Erstinfektion mindert und die Erkennungsrate beim Download erhöht.

Auch Spamfilter können relativ einfach solche Mails abblocken. Allen Mails ist bislang gemeinsam, dass die "FROM:-Adresse" in der Mail, die letztlich beim Anwender angezeigt wird, so nie stimmen kann

Der Absender hofft darauf, dass das Mailprogramm beim Empfänger nur den Anfang anzeigt und so die tatsächliche Domäne verborgen bleibt. Allerdings ist auch das noch kein Schutz, denn die meisten Mails kommen von gültigen Absendern. Der "MAIL FROM" im SMTP Envelope passt sogar auf SPF-Records. Die Absender müssen sich also entweder einige Domains gekauft oder die Zugangsdaten zu den entsprechenden Postfächer haben.

Leider haben aber zumindest bislang die meisten Mailprogramme hier noch keine strenge Logik, um solche "falschen" Adresse zu verhindern oder zu erkennen. Das ist aber auch gar nicht so einfach, es gibt durchaus aus heutiger Sicht ungültige Mailadressen, die durchaus lange Zeit korrekt waren. Ich erinnere hier nur an Notes, cc:Mail, MSMail, X400 und andere Adressen.

Allerdings sind all diese Formate mittlerweile Geschichte und eine Firma sollte zumindest die Option haben eine strenge Prüfung zu forcieren. Zumindest auf dem Spamfilter sollte dies die meisten dieser Mails ablehnen.

Das ist aber kein Schutz, denn diese Mails zeigen ja schon, dass es auch für Spammer möglich ist, legitime Domains mit Postfächern zu kapern oder einfach zu registrieren. In Verbindung mit "Vertipper-Domains", also SMTP-Domänen die bekannten Namen sehr ähnlich sind, ist es auch Spammern möglich korrekt formatierte, per SPF und DKIM gesicherte und sogar SMIME-signierte Mails zu senden.

Dennoch sollten Sie sich um ihre Domain kümmern und auf jeden Fall einen SPF-Eintrag addieren, der mit einem "-all" die Zustellung von nicht explizit gelisteten Mailservern. Verhindert. Damit kann dann zumindest der Empfänger solche Fälschungen auf Basis des Envelope "MAIL FROM" ablehnen. Wenn Sie dann noch einen passenden DKIM-Eintrag setzen, können sie auch die "From"-Zeile im Header in die Überprüfung mit einbeziehen.

Es ist aber ein gutes Beispiel, um wieder einmal darauf aufmerksam zu machen, dass die Absenderadresse sehr einfache gefälscht werden kann. Das ist sogar per Post-Brief möglich und wenn Sie jemand ärgern wollen, dann senden Sie einen unterfrankierten Brief mit dessen Absenderadresse und einem einem beleidigenden Inhalt an einen Würdenträger. Wenn der Brief ankommt, dann kann der Empfänger überlegen, ob er wegen Beamtenbeleidigung gegen den Absender vorgeht oder der Postbote beim Absender das Nachporto einfordert.

Weitere Links