Social engineering - Phishing Mail erkennen

wendigo2k

Ensign
Registriert
Dez. 2008
Beiträge
128
Hallöchen zusammen,

ich rätsel hier gerade an einer Mail, die meine Chefin bekommen hat...

Sie hat eine Bewerbung mit einer vermeintlichen sauberen Mail mit zwei *.docx Dateien (Anschreiben, Lebenslauf) erhalten und ihr fiel auf, dass, wenn Sie der Person, d.h. dem Absender (sagen wir mal sarah@gmx.de) in Outlook antworten will, eine andere Mail oben drin stand.
Jetzt habe ich mich schlau gemacht und weiß zumindest so viel, dass das ganz normal sein kann, wenn die Bewerberin eine andere Mailaddresse im reply-to Feld stehen hatte.
Diese Mail lautet sagen wir mal sarah@openwords.de (die Domain ist auch wirklich die Domain)
Jetzt dachte ich, ich schau mir mal die Seite Openwords.de an und die Seite wirkt eigentlich ganz ordentlich, ist aber relativ "klein", d.h. es gibt auch Fakeshops die aufwendiger gemacht sind. Ich hatte auch vermutet, dass "Sarah" evtl. dort arbeitet und jetzt bei uns arbeiten möchte, aber sie taucht auch beim "Team" (siehe Webseite) nicht auf (was ja auch immer noch möglich wäre).
Dann habe ich mal ins Whois gesehen und gesehen, dass unter der IP der Webseite mehrere Webseiten gehostet werden und hier ist jetzt meine Frage, ob das denn normal / üblich ist?

https://reverseip.domaintools.com/search/?q=openwords.de
https://dnslytics.com/reverse-ip (IP: 88.99.128.238)
IP Address88.99.128.238 - 33 other sites hosted on this server
IP Location[IMG]https://whois.domaintools.com/images/flags/de.gif[/IMG] - Berlin - Friedrichshain - Hetzner Online Gmbh
ASN[IMG]https://whois.domaintools.com/images/flags/de.gif[/IMG] AS24940 HETZNER-AS, DE (registered Jun 03, 2002)
Hosting History3 changes on 4 unique name servers over 6 years

Denn irgendwie wirken mir die Seite, die sich unter der IP (und in Dtl. gehostet werden) befinden auch alle sehr einfach und irgendwie könnten mMn alle Fake sein...
z.B. sowas wie https://wir-beraten-den-mittelstand.de/
oder
https://wind-berger.de/impressum/
wo ein unvollständiger Name im Impressum steht...:
Vertreten durch Herrn ***

Was meint ihr? Kann man so einer Bewerbung trauen?
 
Zuletzt bearbeitet:
Ist da keine Telefonnummer in der Bewerbung? Soll deine Chefin mal anrufen und sich für die Bewerbung bedanken. Nummer unterdrücken, damit das nicht zur Spam Falle wird :).
 
  • Gefällt mir
Reaktionen: _casual_ und BeBur
Auf mich wirkt das schlicht so, dass sie ("rollfeldbros.com") eine kleinere Web-Agentur sind. Find ich jetzt erstmal nichts verdächtiges dran. Haben vermutlich Server-Kapazität bei Hetzner gemietet und lassen darauf eben die Auftritte ihrer Kunden gebündelt drauf laufen.

Von deren Website:
Wir sind eine Agentur für das Digitale Business und unterstützen Unternehmer bei Strategie, Digitaler Transformation und Innovation.

Wieso man so ein Spielchen mit "reply-to" Feld macht als Privatperson, keine Ahnung.
 
Wenn man es richtig machen will: Kompletten E-Mail-Header analysieren, d.h. an welchem Server lief die E-Mail los, welchen Weg nahm sie, und gibt es vllt weitere auffällige Header.

Helfenlassen kann man sich dabei von Webseiten wie
https://mha.azurewebsites.net/
oder
https://www.gaijin.at/de/tools/e-mail-header-analyzer


Außerdem muss man immer berücksichtigen, dass es sein kann, dass die E-Mail-Adresse wirklich zur Agentur XY gehört, dort aber schlechte Passwörter verwendet werden, ein Angreifer die Kontrolle über das Postfach übernommen hat und von einer "guten" E-Mail-Adresse Phishing versendet.

Im Zweifelsfall daher Anhänge noch mal extra analysieren. (z.B mit Virustotal o.ä.)

Auch ganz nette Anleitung:
https://mlhale.github.io/nebraska-gencyber-modules/phishing/email-headeranalysis/
 
  • Gefällt mir
Reaktionen: BeBur
wendigo2k schrieb:
Kann man so einer Bewerbung trauen?
Das können wir sowieso nicht beurteilen, aber den beiden .docx Dateien würde ich soweit vertrauen, wie auch allen anderen .docx Dateien die per E-Mail zugeschickt werden: Wenig. Deine Recherche im ersten Beitrag hat wie gesagt mMn nichts verdächtiges hervorgebracht, das ist schlicht ne Web-Agentur für den Mittelstand die hinter den ganzen Auftritten steckt.
Nehmt das mal als Anlass und überprüft eure Office-Sicherheitseinstellungen, insbesondere Makros sind hier von Interesse. Ihr wisst nicht was Makros sind? Perfekt, dann einfach vollständig deaktiveren imHo.
 
  • Gefällt mir
Reaktionen: _casual_
Sehe das wie Smily, einfach kurz anrufen und abchecken. Wenn sich dann statt Sarah X ein Dominik Y meldet, direkt in die Tonne treten.

Für die Zukunft wäre es vielleicht besser direkt auf PDF-Bewerbungen zu gehen, wenn es nicht anders, wie bspw. durch ein BMS, zu lösen ist. So siebt man dann direkt auch die Leute aus, die nicht richtig lesen können oder wollen.
 
wendigo2k schrieb:
Dann habe ich mal ins Whois gesehen und gesehen, dass unter der IP der Webseite mehrere Webseiten gehostet werden und hier ist jetzt meine Frage, ob das denn normal / üblich ist?
das ist absolut üblich bei webhosting-angeboten. abweichendes reply-to bei privat-mails und docx statt z.b. pdf lassen erstmal aufhorchen.
 
Ich weiß ehrlich gesagt gar nicht, wo das Problem liegt. Du sollst ja keine vertraulichen Daten wie Passwörter herausgeben. Das ist ja das, worauf es Phishing-Mails abgesehen haben. Abfischen von Informationen.
Das einzige potentielle Problem was ich sehen würde ist wie auch schon im Posting #5 angemerkt: sind die Anhänge und die Webseite. Und die öffnet man einfach in einer isolierten selbstzurücksetzenden Umgebung und damit ist man auch das Problem los. Das schlimmste was jetzt noch passieren kann ist, das ihr den Bewerber einladet und der nicht kommt.
 
Wenn in der Mail Kontaktdaten stehen würde ich auch anrufen. Ansonsten verschickt man doch Bewerbungen nicht als doc(x)… würde da gleich auf ein anderes Format pochen.
 
du bewegst dich hier juristisch auf sehr dünnem Eis mit den veröfentlichen Personen-bezogener Daten.
Inwiefern ist das ein Phishing Mail? Welche persönlichen Daten von deiner Chefin sollen denn abgegriffen werden? Soll sie sich irgendwo anmelden?

Was ist an der Bwerbung selbst komisch? Ist die Chefin zu dir gekommen mit der Mail? Was war für sie auffällig?

Bewerbungen als docx verschicken ist für "normale" Leute ürbrigens völlig normal - den Unterschied zu pdf verstehen die nicht so leicht. (Makros werden sowoeso nicht mehr einfach beim öffnen ausgeführt - bei default Einstellungen im Word)

Das was du vorbringst, deutet aus meier Sicht in keinem Fall auf Phishing (google das mal bitte).
 
Mich würde nicht wundern, wenn die letzten 5 potentiellen AG Bewerbungen im docx Format explizit haben wollten. Wieso? Weil das können sie mit "Microsoft" öffnen oder anderer Blödsinn. Menschen sind halt verrückt ;).
 
  • Gefällt mir
Reaktionen: dermoritz
Kann schon alles in Ordnung sein. Allerdings würde ich wahrscheinlich im Bereich digitale Medien und IT eine Bewerbung im Format .docx direkt löschen. Ist ein Makro enthalten und hat man Makros aktiviert oder lässt die Ausführung zu, dann ist das eines der größten Einfallstore für Malware. Wenn das der Bewerber nicht versteht, dann wird er im eigenen Unternehmen zum Sicherheitsrisiko. So wie ich es verstanden habe wurde die Mail über die Domain des alten Arbeitgebers gesendet, was für mich persönlich auch nicht das Verständnis dafür ist, wie man mit dem "Eigentum" des Arbeitgebers umgeht. Da wir nicht mehr Infos haben und die Bewerbung nicht kennen würde ich halt checken ob Makros deaktiviert sind, ggf. auch in einem Browser per Webview anschauen.

PDF ist hier weitaus sicherer vorausgesetzt der PDF Reader ist aktuell. Aber ein Anruf wäre auch eine einfache Lösung.

Dabei dann ggf. eure Stellenanzeigen überarbeiten, dass Bewerbungen nur als PDF gesendet werden sollen. Und euren Datenschutz überdenken. Bewerbungen enthalten besonders schützenswerte Daten. Bei uns bekommen Bewerbungen nur 2 Leute zu Gesicht, erst wenn dann weiteres Interesse besteht bekommen entsprechende Abteilungsleiter und ggf. Kollegen das zu lesen, aber auch nicht als E-Mail. So haben wir kein Problem, dass irgendjemand Daten davon veröffentlicht oder gar die Bewerbung irgendwo zum Scannen nach Malware hochlädt :)
 
Vllt hatte die Bewerberin ja selbst mal eine Domain oder ähnliches auf der Website (Webshop) oder ähnliches..

Und daher hat sie die Emailadresse. Bei einer Bewerbung im .docx Format würde ich jetzt auch erst mal eher "Unwissen" unterstellen als Böswilligkeit. Es steht oft nicht in vielen Anzeigen drin (manchmal seht drin "in einer einzigen .pdf Datei") das man kein .docx schicken soll.

Bei vielen Unternehmenseigenen Portalen werden aber auch noch .docx Formate angenommen, zumindest ist mir das in der Bewerbungsphase Ende 2020 massiv aufgefallen.. (Ich versende keine aber es stand bei "erlaubte" Dateien)

Habt ihr denn eine Stelle ausgeschrieben? Ansonsten kann das auch einfach nur eine 08/15 "Ich muss mich von der Agentur aus bei 2 Firmen in der Woche bewerben" Rundumschlag Bewerbung sein..
Eben halt mit der Emailadresse von dort, das kann viele Gründe haben.
 
Smily schrieb:
Ist da keine Telefonnummer in der Bewerbung? Soll deine Chefin mal anrufen und sich für die Bewerbung bedanken. Nummer unterdrücken, damit das nicht zur Spam Falle wird :).
Die Mail kam vor Weihnachten als ich schon im Urlaub war, ich kann garnicht sagen, ob meine Chefin angerufen hat, wäre aber sicherlich die einfachste Möglichkeit gewesen... Wobei ich mir die Nummer auch nochmal ansehen müsste, bei einer Mobilfunknummer könnte man ja theoretisch auch noch irgendwo beim Hacker rauskommen und die sagen dann evtl., ja klar, die hab ich geschickt... ;D

BeBur schrieb:
Auf mich wirkt das schlicht so, dass sie ("rollfeldbros.com") eine kleinere Web-Agentur sind. Find ich jetzt erstmal nichts verdächtiges dran. Haben vermutlich Server-Kapazität bei Hetzner gemietet und lassen darauf eben die Auftritte ihrer Kunden gebündelt drauf laufen.
Alles klar, danke, an ne Web-Agentur habe ich garnicht gedacht...

Fortatus schrieb:
Wenn man es richtig machen will: Kompletten E-Mail-Header analysieren, d.h. an welchem Server lief die E-Mail los, welchen Weg nahm sie, und gibt es vllt weitere auffällige Header.
Helfenlassen kann man sich dabei von Webseiten wie
https://mha.azurewebsites.net/
oder https://www.gaijin.at/de/tools/e-mail-header-analyzer
Außerdem muss man immer berücksichtigen, dass es sein kann, dass die E-Mail-Adresse wirklich zur Agentur XY gehört, dort aber schlechte Passwörter verwendet werden, ein Angreifer die Kontrolle über das Postfach übernommen hat und von einer "guten" E-Mail-Adresse Phishing versendet.
Im Zweifelsfall daher Anhänge noch mal extra analysieren. (z.B mit Virustotal o.ä.)
Auch ganz nette Anleitung:
https://mlhale.github.io/nebraska-gencyber-modules/phishing/email-headeranalysis/
Danke :) Würde ich beim nächsten Mal nutzen

BeBur schrieb:
Das können wir sowieso nicht beurteilen, aber den beiden .docx Dateien würde ich soweit vertrauen, wie auch allen anderen .docx Dateien die per E-Mail zugeschickt werden: Wenig. Deine Recherche im ersten Beitrag hat wie gesagt mMn nichts verdächtiges hervorgebracht, das ist schlicht ne Web-Agentur für den Mittelstand die hinter den ganzen Auftritten steckt.
Nehmt das mal als Anlass und überprüft eure Office-Sicherheitseinstellungen, insbesondere Makros sind hier von Interesse. Ihr wisst nicht was Makros sind? Perfekt, dann einfach vollständig deaktiveren imHo.
jojo Makros sind deaktiviert, darum fand ich die Dateien auch erstmal recht harmlos. Hab noch nicht reingesehen, aber eventuell waren ja doch noch irgendwelche dubiosen Weblinks darin

sc0repi0 schrieb:
Sehe das wie Smily, einfach kurz anrufen und abchecken. Wenn sich dann statt Sarah X ein Dominik Y meldet, direkt in die Tonne treten. Für die Zukunft wäre es vielleicht besser direkt auf PDF-Bewerbungen zu gehen, wenn es nicht anders, wie bspw. durch ein BMS, zu lösen ist. So siebt man dann direkt auch die Leute aus, die nicht richtig lesen können oder wollen.
Möchte die Geschäftsleitung leider nicht, gerade auch weil wir von vielen Schülern auch Bewerbungen bekommen und die schicken ihre Bewerbungen in Form von Text-Dateien, JPG's bis Dateien ohne Endung...

0x8100 schrieb:
das ist absolut üblich bei webhosting-angeboten. abweichendes reply-to bei privat-mails und docx statt z.b. pdf lassen erstmal aufhorchen.
danke gut zu wissen

andy_m4 schrieb:
Ich weiß ehrlich gesagt gar nicht, wo das Problem liegt. Du sollst ja keine vertraulichen Daten wie Passwörter herausgeben. Das ist ja das, worauf es Phishing-Mails abgesehen haben. Abfischen von Informationen.
Das einzige potentielle Problem was ich sehen würde ist wie auch schon im Posting #5 angemerkt: sind die Anhänge und die Webseite. Und die öffnet man einfach in einer isolierten selbstzurücksetzenden Umgebung und damit ist man auch das Problem los. Das schlimmste was jetzt noch passieren kann ist, das ihr den Bewerber einladet und der nicht kommt.
Naja ich dachte eher daran, dass man so was ja auch nutzen könnte um erstmal Vertrauen aufzubauen, um dann am besten in der nächsten Mail wenn meine Chefin Vertrauen geschöft hat, dann doch nochmal nen Link zu iwas dubiosem nachzuschicken... Man könnte ja z.B. eine defekte *.docx schicken und so tun wie: "ach, sie hat nicht funktioniert? Hier hab ich noch nen link..."

derlorenz schrieb:
Wenn in der Mail Kontaktdaten stehen würde ich auch anrufen. Ansonsten verschickt man doch Bewerbungen nicht als doc(x)… würde da gleich auf ein anderes Format pochen.
Jo sage ich auch immer wieder :) Manche unserer Schüler die sich bewerben haben jedoch nicht mal nen PC...

dermoritz schrieb:
du bewegst dich hier juristisch auf sehr dünnem Eis mit den veröfentlichen Personen-bezogener Daten.
Inwiefern ist das ein Phishing Mail? Welche persönlichen Daten von deiner Chefin sollen denn abgegriffen werden? Soll sie sich irgendwo anmelden?
Was ist an der Bwerbung selbst komisch? Ist die Chefin zu dir gekommen mit der Mail? Was war für sie auffällig?
Bewerbungen als docx verschicken ist für "normale" Leute ürbrigens völlig normal - den Unterschied zu pdf verstehen die nicht so leicht. (Makros werden sowoeso nicht mehr einfach beim öffnen ausgeführt - bei default Einstellungen im Word)
Das was du vorbringst, deutet aus meier Sicht in keinem Fall auf Phishing (google das mal bitte).
Ich bearbeite es mal, wobei ich mir jetzt nicht sicher bin, ob man die (fehlerhaften? weil unvollständigen) Impressumsdaten, die ohnehin offen sichtbar sind, nicht einfach posten kann... darum lösche ich das mal...

BeBur schrieb:
Mich würde nicht wundern, wenn die letzten 5 potentiellen AG Bewerbungen im docx Format explizit haben wollten. Wieso? Weil das können sie mit "Microsoft" öffnen oder anderer Blödsinn. Menschen sind halt verrückt ;).
Jojo wir bekommen sogar Geschäftsbriefe mit Unternehmenslogos etc. im *.docx Format, so dass wir sogar eingeladen wären, Brief im Look der anderen Firma versenden zu können

h3@d1355_h0r53 schrieb:
Kann schon alles in Ordnung sein. Allerdings würde ich wahrscheinlich im Bereich digitale Medien und IT eine Bewerbung im Format .docx direkt löschen. Ist ein Makro enthalten und hat man Makros aktiviert oder lässt die Ausführung zu, dann ist das eines der größten Einfallstore für Malware. Wenn das der Bewerber nicht versteht, dann wird er im eigenen Unternehmen zum Sicherheitsrisiko. So wie ich es verstanden habe wurde die Mail über die Domain des alten Arbeitgebers gesendet, was für mich persönlich auch nicht das Verständnis dafür ist, wie man mit dem "Eigentum" des Arbeitgebers umgeht. Da wir nicht mehr Infos haben und die Bewerbung nicht kennen würde ich halt checken ob Makros deaktiviert sind, ggf. auch in einem Browser per Webview anschauen.
Ne, die Mail kam von gmx, das reply to war wohl der alte Arbeitgeber... was aber auch nicht besser ist...

h3@d1355_h0r53 schrieb:
PDF ist hier weitaus sicherer vorausgesetzt der PDF Reader ist aktuell. Aber ein Anruf wäre auch eine einfache Lösung.
Dabei dann ggf. eure Stellenanzeigen überarbeiten, dass Bewerbungen nur als PDF gesendet werden sollen. Und euren Datenschutz überdenken. Bewerbungen enthalten besonders schützenswerte Daten. Bei uns bekommen Bewerbungen nur 2 Leute zu Gesicht, erst wenn dann weiteres Interesse besteht bekommen entsprechende Abteilungsleiter und ggf. Kollegen das zu lesen, aber auch nicht als E-Mail. So haben wir kein Problem, dass irgendjemand Daten davon veröffentlicht oder gar die Bewerbung irgendwo zum Scannen nach Malware hochlädt :)
Jojo bei uns auch nur die Chefin und der Verwaltungsleiter, ich nur wenn iwas damit nicht stimmt... Bewerbungen auf diversen Virenscanseiten hochzuladen, habe ich mir bisher verkniffen, dafür hab ich hier extra einen Virentest-Pc eingerichtet.
Wobei ich bzgl. PDFs letztens gelesen habe, dass auch PDF's Java enthalten können, was auch standardmäßig häufig aktiviert ist. Hier würde mich auch mal die Gefahr interessieren... Ist zumindest jetzt überall deaktiviert...

Jedenfalls Danke für die ganzen Antworten, ich werde wohl den Tipp geben, dort anzurufen und wenn echt, die Person darauf hinzuweisen, dass das mit dem reply-to eher unüblich ist, wenn die das überhaupt mitbekommen hat... (kann ja auch sein, dass die nen Virus hat, wobei ich dann nicht verstehe, dass es zu dieser Seite verlinkt)
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: _casual_ und BeBur
wendigo2k schrieb:
Naja ich dachte eher daran, dass man so was ja auch nutzen könnte um erstmal Vertrauen aufzubauen, um dann am besten in der nächsten Mail wenn meine Chefin Vertrauen geschöft hat, dann doch nochmal nen Link zu iwas dubiosem nachzuschicken..
Alles was aus dem Internet kommt muss man erst mal als grundsätzlich problematisch ansehen. Auch wenn es von einer Person kommt, der man vertraut. Denn von der kann auch völlig unbeabsichtigt was schädliches kommen weil der ihr PC verseucht ist oder was auch immer.
Solange es keinen expliziten Grund gibt der dagegen spricht würde ich externe Sachen IMMER in einer isolierten Umgebung öffnen.

wendigo2k schrieb:
Wobei ich bzgl. PDFs letztens gelesen habe, dass auch PDF's Java enthalten können, was auch standardmäßig häufig aktiviert ist. Hier würde mich auch mal die Gefahr interessieren... Ist zumindest jetzt überall deaktiviert...
Wenns in einer isolierten Umgebung ist, ists nicht so dramatisch.
Ansonsten hängt es vom PDF-Reader ab.
Was sich in der Praxis als probates Mittel erwiesen hat ist einfach den Browser als PDF-Viewer zu nehmen. Das können die inzwischen alle und die View-Komponente ist reines Javascript und es unterliegt den Restriktionen und den Sandbox-Mechanismen des Browsers. Damit erhält man einem ziemlich sicheren PDF-Viewer. Zumindest deutlich sicherer als dieser Microsoft Office Krempel.
 
@wenidgo2k Javascript. Daneben können noch Systemkommandos aufgerufen werden und natürlich Medien in unterschiedlichen Formaten enthalten sein. Deswegen PDF Reader aktuell halten, ggf. Scripte blockieren, etc... Aber eben erstmal den Absender als vertrauenswürdig bzw. berechtigt einstufen, dann den Inhalt der Mail einstufen ob berechtigt oder nicht.
 
wendigo2k schrieb:
Wobei ich bzgl. PDFs letztens gelesen habe, dass auch PDF's Java enthalten können, was auch standardmäßig häufig aktiviert ist. Hier würde mich auch mal die Gefahr interessieren... Ist zumindest jetzt überall deaktiviert...
PDF vs. docx tut sich nicht viel, wenn dann ist PDF+Adobe Reader gefährdeter, aber da findet sich bestimmt jemand, der das im Zweifel auf 10 Seiten ausdiskutieren will, ist also diskutabel, sag ich mal ;). Solche "tollen" Funktionen wie Makros, Javascript etc. abzuschalten ist jedenfalls schonmal Top und das wichtigste neben dem aktualisieren der verwendeten Software.
 
  • Gefällt mir
Reaktionen: _casual_
Zurück
Oben