{"id":24883,"date":"2020-08-17T09:34:48","date_gmt":"2020-08-17T07:34:48","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=24883"},"modified":"2020-08-17T09:34:48","modified_gmt":"2020-08-17T07:34:48","slug":"phishing-email-scanner","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/phishing-email-scanner\/24883\/","title":{"rendered":"Fake E-Mail-Scanner"},"content":{"rendered":"

In den letzten Jahren gab es recht regelm\u00e4\u00dfig Nachrichten \u00fcber E-Mail-basierte Infektionen von Unternehmensnetzwerken (und im Allgemeinen im Zusammenhang mit Ransomware). Es ist daher keine \u00dcberraschung, dass Betr\u00fcger die Angst vor solchen Angriffen gerne nutzen, um an die E-Mail-Zugangsdaten von Firmenkonten zu gelangen, indem sie Mitarbeiter des Unternehmens dazu bringen, ihre Mailbox zu \u201escannen\u201c.<\/p>\n

Der Trick richtet sich an Personen, die sich der potenziellen Bedrohung durch Malware in E-Mails Bewusst sind, aber nicht wissen, wie sie damit umgehen sollen. Das IT-Sicherheitsteam sollte jedenfalls den Mitarbeitern die Tricks der Betr\u00fcger erkl\u00e4ren und anhand Beispielen veranschaulichen, worauf Mitarbeiter achten sollten, um nicht Opfer von Cyberkriminellen zu werden.<\/p>\n

Phishing E-Mail<\/h2>\n

Diese betr\u00fcgerische Botschaft bedient sich des altbew\u00e4hrten Tricks der Opfereinsch\u00fcchterung. Anzeichen k\u00f6nnen Sie schon direkt in der Kopfzeile sehen: Betreff \u201eVirenalarm\u201c gefolgt von drei Ausrufezeichen. So unbedeutend die Interpunktion auch erscheinen mag, sie ist wohl so ziemlich das erste, was dem Empf\u00e4nger einen Hinweis darauf geben sollte, dass m\u00f6glicherweise etwas nicht stimmt. Unn\u00f6tige Interpunktion in einer Arbeits-E-Mail ist ein Zeichen von Drama oder Unprofessionalit\u00e4t. So oder so ist es f\u00fcr einer Benachrichtigung, die Sie vor einer Bedrohung sch\u00fctzen m\u00f6chte, sehr unangemessen.<\/p>\n

\"Phishing

Phishing E-Mail<\/p><\/div>\n

\u00a0<\/p>\n

Jeder Empf\u00e4nger sollte sich zun\u00e4chst fragen, wer \u00fcberhaupt die Nachricht gesendet hat. In der E-Mail steht, dass bei keiner unternommenen Aktion seitens des Empf\u00e4ngers das Konto gesperrt wird. Es w\u00e4re logisch anzunehmen, dass sie entweder vom IT-Dienst, der den Support f\u00fcr den Mail-Server des Unternehmens leitet, oder von Mitarbeitern des Mail-Dienstleisters gesendet wurde.<\/p>\n

Man sollte jedoch beachten, dass kein Anbieter oder interner Dienst eine Aktion seitens des Benutzers verlangen w\u00fcrde, um den Inhalt des Posteingangs zu scannen. Das Scannen findet automatisch auf dem Mailserver statt. Au\u00dferdem tritt \u201eVirenaktivit\u00e4t\u201c innerhalb eines Kontos nur selten auf. Selbst wenn jemand einen Virus gesendet hat, m\u00fcsste der Empf\u00e4nger diesen herunterladen und ausf\u00fchren. Die Infektion findet auf dem Computer statt, nicht im E-Mail-Konto.<\/p>\n

Um auf die erste Frage zur\u00fcckzukommen: Ein Blick auf den Absender sollte gleich zwei Alarmglocken l\u00e4uten lassen. Erstens wurde die E-Mail von einem Hotmail-Konto aus verschickt, w\u00e4hrend bei einer legitimen Benachrichtigung die Dom\u00e4ne des Unternehmens oder Providers angezeigt wird. Zweitens soll die Nachricht vom \u201eE-Mail-Sicherheitsteam\u201c stammen. Wenn die Firma des Empf\u00e4ngers einen Drittanbieter verwendet, muss dessen Name in der Signatur erscheinen. Und wenn der Mailserver in der Infrastruktur des Unternehmens steht, kommt die Benachrichtigung von der hauseigenen IT-Team oder dem IT-Sicherheitsdienst. Es ist sehr unwahrscheinlich, dass ein ganzes Team nur f\u00fcr die E-Mail-Sicherheit verantwortlich ist.<\/p>\n

Als n\u00e4chstes der Link. Die meisten modernen E-Mail-Clients zeigen die hinter dem Hyperlink verborgene URL an. Wenn der Empf\u00e4nger aufgefordert wird, sich zu einem E-Mail-Scanner durchzuklicken, der auf einer Dom\u00e4ne gehostet wird, die weder Ihrem Unternehmen noch dem Mail-Provider geh\u00f6rt, handelt es sich mit ziemlicher Sicherheit um Phishing.<\/p>\n

Phishing-Website<\/h2>\n

Die Website sieht aus wie eine Art Online-E-Mail-Scanner. Um den Anschein der Authentizit\u00e4t zu erwecken, zeigt sie die Logos einer Reihe von Antiviren-Anbietern an. In der Kopfzeile steht sogar der Name der Firma des Empf\u00e4ngers, was jeden Zweifel daran ausr\u00e4umen soll, um wessen Tool es sich handelt. Die Website simuliert zun\u00e4chst einen Scan und unterbricht ihn dann mit der ungew\u00f6hnlichen Meldung \u201eBest\u00e4tigen Sie Ihr Konto unten, um den E-Mail-Scan abzuschlie\u00dfen und alle infizierten Dateien zu l\u00f6schen\u201c. Dazu ist nat\u00fcrlich das Kontopasswort erforderlich.<\/p>\n

\"Benutzeroberfl\u00e4che

Benutzeroberfl\u00e4che des Phishing-Scanners<\/p><\/div>\n

\u00a0<\/p>\n

Um die wahre Natur einer Website zu ermitteln, untersuchen Sie zun\u00e4chst den Inhalt der Adressleiste des Browsers. Erstens handelt es sich, wie schon erw\u00e4hnt, nicht um die richtige Domain. Zweitens enth\u00e4lt die URL h\u00f6chstwahrscheinlich die E-Mail-Adresse des Empf\u00e4ngers. Das ist an sich in Ordnung \u2013 die Benutzer-ID k\u00f6nnte \u00fcber die URL weitergegeben worden sein. Sollten jedoch Zweifel an der Legitimit\u00e4t der Site bestehen, ersetzen Sie die Adresse durch beliebige Zeichen (behalten Sie jedoch das @-Symbol bei, um das Erscheinungsbild einer E-Mail-Adresse beizubehalten).<\/p>\n

Websites dieser Art verwenden die Adresse, die \u00fcber den Link in der Phishing-E-Mail \u00fcbergeben wird, um die L\u00fccken in der Websiten-Vorlage auszuf\u00fcllen. Zu Versuchszwecken verwendeten wir die nicht existierende Adresse victim@yourcompany.org<\/a>, und die Site ersetzte ordnungsgem\u00e4\u00df \u201eyourcompany\u201c in den Namen des Scanners und die gesamte Adresse in den Namen des Kontos, woraufhin sie offenbar begann, nicht existierende Anh\u00e4nge in nicht existierenden E-Mails zu scannen. Als wir das Experiment mit einer anderen Adresse wiederholten, stellten wir fest, dass die Namen der Anh\u00e4nge in jedem \u201eScan\u201c gleich waren.<\/p>\n

\"Die

Die Fake-Website t\u00e4uscht einen Scan vor<\/p><\/div>\n

\u00a0<\/p>\n

Ein weiterer Widerspruch zeigt sich, indem der Scanner angeblich den Inhalt der Mailbox ohne Authentifizierung scannt. Wozu braucht er dann das Passwort?<\/p>\n

Wie Sie Ihre Mitarbeiter sch\u00fctzen<\/h2>\n

Wir haben die Anzeichen von Phishing sowohl in der E-Mail als auch auf der Website des gef\u00e4lschten Scanners eingehend analysiert. Wenn Sie den Mitarbeitern diesen Beitrag einfach zeigen, erhalten sie eine grobe Vorstellung davon, worauf sie achten m\u00fcssen. Aber das ist nur die Spitze des sprichw\u00f6rtlichen Eisbergs. Einige gef\u00e4lschte E-Mails sind raffinierter und schwieriger zu entlarven.<\/p>\n

Wir empfehlen daher eine kontinuierliche Sensibilisierung der Mitarbeiter f\u00fcr die neuesten Cyber-Bedrohungen \u2013 zum Beispiel mit unserer Kaspersky Automated Security Awareness Platform<\/a>.<\/p>\n

Verwenden Sie dar\u00fcber hinaus Sicherheitsl\u00f6sungen, die in der Lage sind, Phishing-E-Mails auf dem Mail-Server zu erkennen und die Weiterleitung von Arbeitsrechnern auf Phishing-Sites zu verhindern. Kaspersky Security for Business<\/a> kann beides. Dar\u00fcber hinaus bieten wir eine L\u00f6sung an, die die integrierten Schutzmechanismen von Microsoft Office 365<\/a> erweitert.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Ein ausf\u00fchrlicher Einblick in eine Phishing-Website und ihre Versuche, sich als E-Mail-Scanner zu tarnen und Opfer damit zu k\u00f6dern.<\/p>\n","protected":false},"author":2481,"featured_media":24887,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107,3108],"tags":[62,53,273],"class_list":{"0":"post-24883","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-e-mail","11":"tag-phishing","12":"tag-social-engineering"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/phishing-email-scanner\/24883\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/phishing-email-scanner\/21655\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/phishing-email-scanner\/17118\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/phishing-email-scanner\/22983\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/phishing-email-scanner\/21174\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/phishing-email-scanner\/19808\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/phishing-email-scanner\/23608\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/phishing-email-scanner\/22514\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/phishing-email-scanner\/28863\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/phishing-email-scanner\/8670\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/phishing-email-scanner\/36661\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/phishing-email-scanner\/15423\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/phishing-email-scanner\/15874\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/phishing-email-scanner\/13831\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/phishing-email-scanner\/28963\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/phishing-email-scanner\/25831\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/phishing-email-scanner\/22697\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/phishing-email-scanner\/27944\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/phishing-email-scanner\/27774\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/phishing\/","name":"phishing"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/24883","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2481"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=24883"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/24883\/revisions"}],"predecessor-version":[{"id":24892,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/24883\/revisions\/24892"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/24887"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=24883"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=24883"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=24883"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}