Email mit Datenanhang

[MSI-MATZE]

Heute hab ich eine e-mail bekommen von einer Firma wo ich vor einem Jahr Kunde war mit einem Dokument mit Kostenvoranschlag
Angerufen und nachgefragt.

Antwort vom Mitarbeiter: Was steht den im Dokument

Ich darauf nein ich öffne das Dokument nicht, bitte um Rückruf wenn Der Mitarbeiter von der Pause zurück ist.

eine Stunde später, der Anruf wir wurden gehackt, und alle Kunden in der Kartei haben diese mail bekommen.

Zum glück nicht geöffnet, will garnet wissen, was passiert die den Daten Anhang geöffnet haben.

 

[DeusoftheWired]

Als grundlegende Vorgehensweise okay, aber wenn du die Firma bzw. E-Mail-Adresse noch nennst, können ein paar Leute geschützt werden. Also, von wem kam die Mail?

 

[Khorneflakes]

Also, von wem kam die Mail?

Plus: Meldung an die zuständige Datenschutzbehörde (z.B. des Bundeslandes). Für den Fall, dass die Firma das nicht selbst macht.

 

[MSI-MATZE]

Von einer Firma bei mir im Orth also nix wo ich denk das die Leute was damit zu tun haben.
Außerdem möchte ich im Namen der Firma niemanden schädigen in dieser Weiße

 

[Khorneflakes]

Außerdem möchte ich im Namen der Firma niemanden schädigen in dieser Weiße

Och, da muss man kein Mitleid haben. Die haben sich das ja selbst zuzuschreiben, weil die ihre IT-Sicherheit verkackt haben. Wenn hier jemand jemanden schädigt, dann ist es diese Firma. Und zwar ihre Kunden und sich selbst.

 

[MSI-MATZE]

Plus: Meldung an die zuständige Datenschutzbehörde (z.B. des Bundeslandes). Für den Fall, dass die Firma das nicht selbst macht.

Die haben Anzeige erstattet, müssen sie ja.
Hab die mail gleich gelöscht.
Hab sie zwar gelesen aber den Anhang bewusst nicht geöffnet, krass email 1 zu 1 wie von der Firma selbst.

Möchte echt wissen was der Anhang auslöst, wenn man in öffnet

 

[derchris]

Möchte echt wissen was der Anhang auslöst, wenn man in öffnet

Warum hast du sie dann gelöscht?

 

[Incanus]

Beim reinen Öffnen eines Dokuments wird, sofern man das dazu benutzte Gerät auf aktuellem Sicherheitsstand hat, vermutlich gar nichts passieren.
Wahrscheinlich ging es eher um den Inhalt, entweder Phishing oder Weiterleitung auf dubiose Seiten.

 

[Rickmer]

Hab sie zwar gelesen aber den Anhang bewusst nicht geöffnet, krass email 1 zu 1 wie von der Firma selbst.

Je nachdem wie die gehackt wurden, kam die Mail möglicherweise sogar von dem Mail-Server der Firma...

 

[Khorneflakes]

Die haben Anzeige erstattet, müssen sie ja.

DIe Frage ist, bei wem? Der Polizei? Ist nicht ausreichend. Natürlich MÜSSEN die den Datenschutzvorfall melden, aber ob sie es auch tun ist eine andere Frage.

Möchte echt wissen was der Anhang auslöst, wenn man in öffnet

Kommt drauf an, was die Angreifer erreichen wollten. Wenn es ein KVA oder eine Rechnung ist, dann nichts und es soll womöglich nur ein möglichst authentisches Dokument sein, wo nichts geändert wurde, außer der Bankverbindung.

 

[Sebbi]

Beim reinen Öffnen eines Dokuments wird, sofern man das dazu benutzte Gerät auf aktuellem Sicherheitsstand hat, vermutlich gar nichts passieren.

STOPP!

Das ist nicht korrekt! je nach Dokumentart können schon beim öffnen Scripte ausgeführt werden, die zumindest das Userprofil kompromitieren können !!!

Warum hast du sie dann gelöscht?

Weil er sich nicht selbst schaden wollte? Sicherheitstechnisch auf jeden Fall empfehlenswert, wenn das noch vor der Neugiert passiert.

 

[.one]

Die Datei mal bei virustotal hochzuladen, wäre wahrscheinlich zu kompliziert gewesen? Hier wird dir niemand helfen können. Und nah dem Löschen der Mail (warum eigentlich nicht nur den Anhang?) sowieso niemand mehr.

Und ohne die Firma zu kennen ergibt der ganze Thread irgendwie gar keinen Mehrwert.

 

[derchris]

Kein Mensch (hier) würde die Datei in einem nicht Air-Gap System öffnen, oder?

 

[CoMo]

Möchte echt wissen was der Anhang auslöst, wenn man in öffnet

Dann finde es doch heraus? In einer Sandbox ausführen und beobachten. Wo ist denn da das Problem?

 

[PC295]

Das ist nicht korrekt! je nach Dokumentart können schon beim öffnen Scripte ausgeführt werden, die zumindest das Userprofil kompromitieren können !!!

Welche Dokumentenart sollen das sein?

MS Office öffnet Dokumente standardmäßig mit deaktivierter Makro-Funktionalität, außerdem erkennt Office wenn Dokumente aus externen Quellen bzw. Mailanhängen geöffnet werden und öffnet sie in geschützter Ansicht. Bis da was ausgeführt wird, müssen viele Hürden überwunden werden.
MS hat hier bewusst solche Einschränkungen eingeführt, weil es eben in Vergangenheit solche Fälle gab (gerade bei Ransomware).
Auch der Adobe Reader und andere gängige PDF-Reader bringen mittlerweile Schutzfunktionen gegen das Ausführen von Skripten oder anderen potenziell gefährlichen Inhalten mit.

Klassische Malware in Anhängen oder Skripte sind ohnehin schon out. Die erkennen moderne AVs nur am Muster / Reputation.
Man setzt eher auf Phishing und lockt teilw. mit normalen PDFs Nutzer in die Falle.
Da steht dann, z.B. "Wenn der Inhalt nicht korrekt angezeigt wird, klicken sie hier..."
Oder häufig gesehen, erhält man .zip-Dateien mit .url / .html-Dateien, die zu Phishingseiten führen.

 

[Incanus]

STOPP!

Das ist nicht korrekt! je nach Dokumentart können schon beim öffnen Scripte ausgeführt werden, die zumindest das Userprofil kompromitieren können !!!

Kein Grund zu schreien. Scripte werden bei vernünftiger Einrichtung und wie ich schon sagte aktuellem Sicherheitsstand gar nicht ausgeführt. Ich habe allerdings auch nicht gesagt, dass es kein Risiko gäbe und keineswegs geraten jeden Anhang zu öffnen, aber in der Regel führen Dokumente ohne weiteres Zutun des Benutzers nicht zu einem Problem.

 

[CoMo]

Was ist denn überhaupt der Sinn dieses Threads? Da gibt es einen Anhang, den nur der TE und sonst niemand hier je gesehen hat und nun sollen wir rumraten, was das gewesen sein könnte?