Spam HTML-Mail Thunderbird

[C+1+]

Hallo zusammen, ich habe ein kleines Unternehmen und erhalte regelmäßig Spam Mails.

Die E-Mail läuft über einen Hoster mit Mail Anti-Virus Scan, ich nutze zudem Thunderbird und IMAP. Unter Einstellungen - Datenschutz & Sicherheit - E-Mail Inhalte. Ist „Externe Inhalte in Nachrichten erlauben“ deaktiviert.

Bisher habe ich unter Ansicht - Nachrichteninhalt - „Original HTML“ aktiviert gehabt, ich weiß, „reiner Text“ wäre sicherer, bisher habe ich es jedoch nicht genutzt.

Mein System ist W11 mit Windows Defender, eine Endpoint-Protection ist in meinem kleinen Umfang nicht nötig.

Ich klicke auf keine dubiosen Anhänge, frage mich jedoch, ob man trotz meinen oben genannten Einstellungen es leicht hätte Zugang auf mein System zu erhalten. Ich spreche von HTML-Mails, ich bin darauf aufmerksam geworden, da ich heute eine Mail geöffnet habe die im Spam lag. Die Mail war komplett leer lediglich ein Betreff, das hat mich im Nachgang stutzig gemacht, webbugs könnten natürlich dort implementiert sein, das wäre wohl weniger schlimm.

Was mich sehr interessiert, ist nur über das öffnen einer HTML-Mail ein größerer Zugang auf das System möglich?

Punkt 1: https://www.bsi.bund.de/DE/Themen/V...itsirrtuemer/irrtuemer-e-mail-sicherheit.html


Vielen Dank!

 

[Dr. McCoy]

Bisher habe ich unter Ansicht - Nachrichteninhalt - „Original HTML“ aktiviert gehabt, ich weiß, „reiner Text“ wäre sicherer, bisher habe ich es jedoch nicht genutzt.

Ändere es künftig in Nur-Text mit optionaler, jeweils temporärer HTML-Aktivierbarkeit. Die Nur-Text-Variante erleichtert u.a. das eigene Erkennen von Phishing-Mails auf den ersten Blick.

Ich klicke auf keine dubiosen Anhänge,

Zur Infektion eines Systems reichen auch "nicht dubiose Anhänge", je nach Sicherheitskonzept am betreffenden PC (beispielsweise Aktualität / "Patchstand" von Anwendungen und deren Konfiguration, beispielsweise JavaScript in PDFs oder Makros in Office-Dokumenten).

frage mich jedoch, ob man trotz meinen oben genannten Einstellungen es leicht hätte Zugang auf mein System zu erhalten.

Das hängt, neben der Konfiguration für E-Mail, auch noch an vielen weiteren Absicherungsmaßnahmen des Systems an sich (beispielsweise die berüchtigte standardmäßige Windows-Konfig für Dateinamenerweiterungen).

Was mich sehr interessiert, ist nur über das öffnen einer HTML-Mail ein größerer Zugang auf das System möglich?

Es vergrößert zumindest die potentielle Angriffsfläche für eintreffende Schad-E-Mails, und zum Minimieren der Angriffsfläche gehört in diesem Fall das Abschalten von HTML als Anzeigestandard.

 

[C+1+]

Vielen Dank @Dr. McCoy, Allow HTML temp habe ich durch die Recherche auch schon installiert und HTML deaktiviert.

Ich halte die Software immer auf dem aktuellen Stand, Thunderbird, Windows, Defender etc.

Das hier habe ich auch zusätzlich gefunden, wahrscheinlich nur für unerfahrene Mitarbeiter interessant: https://addons.thunderbird.net/de/thunderbird/addon/warnattachment/?src=ss

Ich habe überlegt ob es sinnvoll sein kann Malwarebytes oder Kaspersky Small Office zu installieren. Im privaten sagt man ja Defender reicht aus, für meine Zwecke bin ich mir allerdings nicht sicher.

Ich bin grundsätzlich sehr vorsichtig, es gibt unzählig viel Malware, trotzdem fühle ich mich durch den Defender relativ sicher, da ich ohnehin nichts unbekanntes zulasse. Das mit den HTML-Mails hat mich allerdings verunsichert, weil es ja sehr unscheinbar ist.
HTML kann an sich ja keine Scripts ausführen, außer es ist möglich .js mit einzubinden, wenn ich die Datei mit IMAP dann per Doppelklick runterlade und somit öffne, werden zwar keine externen Inhalte geladen, trotzdem wird mir das HTML in der Mail angezeigt, rein technisch ist es mir unschlüssig wie man darüber zugriff bekommen kann.

Es ist nun deaktiviert, das ist eine einfache Lösung des Problems, trotzdem könnte die Mail von heute dann zum kompromittieren ausgereicht haben.

Kannst du gute Absicherungsmaßnahmen empfehlen?

 

[Dr. McCoy]

Ich habe überlegt ob es sinnvoll sein kann Malwarebytes oder Kaspersky Small Office zu installieren. Im privaten sagt man ja Defender reicht aus, für meine Zwecke bin ich mir allerdings nicht sicher.

Bevor man an zusätzliche Kaufsoftware denkt, rate ich immer dazu, erstmal alle anderen "Basis-Absicherungsmaßnahmen" auf Vorhandensein und Umsetzung abzuklopfen (z.B. Aufstellen einer Checkliste). Das alleine ist meist schon weitaus effektiver (nützlicher).

Ich bin grundsätzlich sehr vorsichtig, es gibt unzählig viel Malware, trotzdem fühle ich mich durch den Defender relativ sicher, da ich ohnehin nichts unbekanntes zulasse.

Der Defender kann (wie jeder andere Virenscanner auch) nur einen Teil des Schutzes abdecken, alleine schon wegen solcher seit langem gängiger Praxis. Der eigentliche Schutz besteht jedoch in Maßnahmen u.a. von Pflege und Konfiguration des Systems und der eingesetzten Software, sowie ein überlegtes Nutzerverhalten.

HTML kann an sich ja keine Scripts ausführen, außer es ist möglich .js mit einzubinden

Es können JavaScripte in den HTML-Quelltext eingebettet sein, aber JavaScript ist in Thunderbird standardmäßig inaktiv.

wenn ich die Datei mit IMAP dann per Doppelklick runterlade und somit öffne, werden zwar keine externen Inhalte geladen, trotzdem wird mir das HTML in der Mail angezeigt, rein technisch ist es mir unschlüssig wie man darüber zugriff bekommen kann.

Grundsätzlich über Sicherheitslücken. Hier nur mal ein Beispiel für ein Umgehen eigentlich bestehender Schutzbeschränkungen:
https://www.mozilla.org/en-US/security/advisories/mfsa2022-50/

Es ist nun deaktiviert, das ist eine einfache Lösung des Problems, trotzdem könnte die Mail von heute dann zum kompromittieren ausgereicht haben.

Dazu müsste eine Sicherheitslücke ausgenutzt worden sein.

Kannst du gute Absicherungsmaßnahmen empfehlen?

Einige Punkte habe ich oben im ersten Beitrag noch zusätzlich nachträglich mit Verlinkungen hinterlegt. Wichtig ist es vor allem,

• die verwendete Software stets aktuell zu halten,
• die Angriffsfläche in System und Anwendungen durch angepasste Konfiguration zu minimieren (siehe oben),
• mit schädigenden Inhalten auch von "bekannten Absendern" zu rechnen (Malware versendet sich nach Kompromittierung auch automatisch an alle Einträge von Adressbüchern unter der Absender-E-Mail-Adresse des Betroffenen, um bei den Empfängern mit einem "Vertrauensvorschuss" das Öffnen von Links oder Anhängen zu pushen),
• bei bestehendem Zweifel nicht zu klicken/öffnen, sondern stattdessen z.B. bei E-Mails in deren Quelltext zu schauen, usw.,
• Backups extern vorzuhalten, um im Falle einer Infektion mit Ransomware nicht erpressbar zu sein (allerdings muss jede Kompromittierung vermieden werden, alleine schon, um einen Dantenabfluss sensibler (Firmen-/Kunden-) Daten zu verhindern.) Dennoch sind solche Backups elementar.

 

[Noninterlaced]

Wie siehts denn generell mit Datensicherung aus?

Die größte Gefahr geht ja eigentlich durch unvorsichtige/unbedachte Anwender aus, muss ja keine Absicht sein.
Sei es kompromittierten Mailanhang geöffnet, privaten USB Stick eingesteckt, präparierte Website aufgerufen etc ...

Läuft das alles lokal bei den Nutzern, oder gibts einen Server, oder eine zentrale Datenablage, kommt das alles in ne Cloud?

Benutzt ihr Branchen spezifische Software?

Vielleicht ein guter Zeitpunkt sich tatsächlich mal Gedanken betreff eines worst case Szenarios zu machen.

Was muss ausfallen, damit ihr komplett handlungsunfähig seid?
Was muss unbedingt weiter laufen, wie ist das gewährleistet, bzw. wie hoch ist der Aufwand, das wieder funktional zu bekommen, sprich Zeit, Verlust von Daten, hinzuziehen von externen Betreuern etc.

Das kann ja auch durch einen Hardwaredefekt ausgelöst werden, SSD/HDD defekt z.B.

 

[C+1+]

Vielen Dank an euch beide, ich werde sehr viel davon umsetzen, insbesondere unsere vertrauenswürdigen Partner, da würde der Mitarbeiter wahrscheinlich ohne zu zucken auf .pdf Dateien wie Rechnungen klicken um diese auszudrucken.

Die Daten und Sicherung sind extern auf einem Cloud-Server in DE, grundsätzlich wird auch ein Master-Passwort Lokal verwendet. Immer unterschiedliche Passwörter in Kombination mit Bitwarden dazu 2FA etc… Da sind wir grundsätzlich gut aufgestellt, keine wirklich sensiblen Daten sind auf den Laptops selbst, aber klar sind dort auch Daten vorhanden, die nicht in dritte Hände kommen sollten.
Ein Keylogger als PDF getarnt könnte definitiv schaden anrichten, obwohl Bitwarden & der Cloud Server nicht wirklich angreifbar wären (2FA).
Nur über Bitwarden, hat man die nötigen Zugänge. Da müsste dann die Echtzeit-Erkennung vom AV greifen. Nach meiner Erfahrung ist die Software gegen gängige Malware auch recht gut, bei einem individuellen ausgeklügelten Angriff sieht es wahrscheinlich anders aus. Da sind dann diese Endpointlösungen durchaus sinnvoll.

Backups haben wir stündlich von unserem Hoster der den Cloud-Server anbietet, da hat niemand ohne weiteres Zugriff drauf. Im worst case sind wir also schnell wieder einsatzbereit, trotzdem sollte man eine Kompromittierung unter allen Umständen verhindern. Daher informiere ich mich und versuche das ganze sicher zu gestalten.

Vielen Dank noch mal!