Immer wieder finde ich in meinem Postfach Mails mit SPAM oder Schädlingen im Anhang.
Zum Glück werden viele davon direkt im SPAM-Bereich.
Doch immer wieder mal verirrt sich eine in das normale Postfach.
Im Juni 2016 habe ich eine solche Schädling-Mail, angeblich mit einer Bewerbung im Anhang, erhalten.
In diesem Beitrag zeige ich euch, woran diese Mail sehr schnell als Fake zu erkennen war.
Mehr zu den Grundlagen, wie man gefälschte oder SPAM-Mails erkennen kann, erfahrt ihr in diesem Betrag.
(Möglicherweise wurde der Text sogar von einer - ursprünglich real existierenden - Bewerbung-Mail kopiert. Z. B. indem sich ein Angreifer Zugang zu einem fremden Rechner verschafft hat. Schon das Foto im Anhang lässt diese Vermutung zu.)
Zum Glück werden viele davon direkt im SPAM-Bereich.
Doch immer wieder mal verirrt sich eine in das normale Postfach.
Im Juni 2016 habe ich eine solche Schädling-Mail, angeblich mit einer Bewerbung im Anhang, erhalten.
In diesem Beitrag zeige ich euch, woran diese Mail sehr schnell als Fake zu erkennen war.
Mehr zu den Grundlagen, wie man gefälschte oder SPAM-Mails erkennen kann, erfahrt ihr in diesem Betrag.
Schädling-Mail - angeblich als Bewerbung:
Inhalt + Aufbau stimmig
Auch diese Mail war inhaltlich und beim Aufbau so gut gemacht, dass sie einer tatsächlichen Bewerbung zum Verwechseln ähnlich sieht.(Möglicherweise wurde der Text sogar von einer - ursprünglich real existierenden - Bewerbung-Mail kopiert. Z. B. indem sich ein Angreifer Zugang zu einem fremden Rechner verschafft hat. Schon das Foto im Anhang lässt diese Vermutung zu.)
Gut getarnt: Die angebliche Bewerbung hat keine Fehler im Text:
- Es gibt - anders als bei anderen SPAM- oder Fake-Mails - keine Mängel bei Rechtschreibung und Grammatik.
- Es findet zwar keine persönliche Ansprache statt. Es wird anonym "Sehr geehrte Damen und Herren." angeschrieben.
(Die persönliche Ansprache ist aber - bei sog. Initial-Bewerbungen - selten der Fall, da man "auf Verdacht" eine Bewerbung schreibt und daher die Mitarbeiter und den passenden Ansprechpartner nicht kennt.) - Die Mail stammt von einer - vermutlich - real existierenden E-Mail-Adresse. Die auch zum Namen des vermeintlichen Absenders (sowie dessen Foto im Anhang) passt.
- In der Mail sind die üblichen Floskeln einer Bewerbung-Mail enthalten.
(Zwar kann man die Mail ansprechender gestalten. Aber viele Unternehmen akzeptieren - schon allein bei vielen Bewerbungen gleichzeitig - solche Standard-Texte trotzdem und konzentrieren sich auf die Inhalte der Bewerbungsmappe.) - Am Ende der Mail ist außerdem das übliche "Mit freundlichen Grüßen" mit dem Namen zu finden.
- Es gibt zwei Dateien: ein Foto (mit dem Namen des angeblichen Absenders) und eine vermeintliche Bewerbungsmappe im ZIP-Format.
(Es gibt zwar bessere Wege, um seine Dateien für eine Bewerbung zu versenden. Dazu gibt es in den nächsten Tagen einen weiteren Beitrag.
Allerdings ist es - vor allem - von unerfahrenen Anwendern üblich, die Bewerbungsunterlagen, z. B. das gescannte Zeugnis - in einer ZIP zusammen zu packen. Denn damit kann man mehrere Dateien zu einer zusammenpacken, ggf. die Größe der Datei reduzieren und einen einfacheren Dateinamen verwenden. Das macht die Mail überschaubarer.
An die Möglichkeit des Missbrauchs durch Schädlinge wird meist nicht - aus Unerfahrenheit - nicht gedacht.)
Auch Absender, Begrüßung + Schluss-Formel lassen nicht auf eine Schädlings-Mail schließen:
Was bei der Mail nicht passt ...
Vom allgemeinen Inhalt abgesehen, der vermutlich von einer ursprünglich real verschickten Mail kopiert wurde, mangelt es der Mail an zwei Fehlern.
Zwar bin ich bei meinestadt.de gelistet, aber eine Stellenangebot ist nicht dabei. Es gibt nur meine Adresse und Kontaktdaten.
Ich habe zwar in der Vergangenheit - da der Absender meine Firmengröße nicht kennt - schon Initiativ-Bewerbungen, also "auf gut Glück" erhalten. Aber dem Absender freundlich geschrieben, dass ich keine Mitarbeiter suche.
Doch wäre dies eine seriöse Mail, wäre ein Bewerber durch den Bezug auf einen nicht vorhandenen Eintrag oder aus einer falschen Quelle nicht mehr in der engeren Auswahl.
In der Zip-Datei mit der vermeintlichen Bewerbung finden sich zwei Dateien, beide als vermeintliche doc-Datei, also als angebliches Text-Dokument z. B. für Microsoft Word, getarnt.
Tatsächlich handelt es sich aber um zwei js-Dateien. Also Javascript, über die sich auf dem Rechner bzw. in einem Browser Schaden anrichten lässt.
In dem Fall aber soll eher schädlicher Programm-Code direkt auf dem Rechner - oder über den "Umweg" Browser gestartet werden. Das kann ein tatsächlicher Schädling sein, der vielleicht Programme angreift oder Dateien "gefangen nimmt" (Ransomware), um darüber Lösegeld zu erpressen.
Das kann aber auch Spyware, also Spionage von Zugangs- und persönlichen Daten, ein Backdoor-Programm, ein Trojaner uvm.
Genauer habe ich die beiden Dateien nicht untersucht, da ich meinen PC keiner Gefahr aussetzen wollte. Das ist auch nicht nötig, denn das machen die Entwickler von Schutz-Software, z. B. Kaspersky Labs bereits.
Ein deutliches Zeichen sind außerdem die falsche Quelle (meinestadt.de) bzw. die nicht existierende offene Stelle.
Deshalb wanderte diese Mail sofort in den SPAM-Bereich.
Keine Stellenausschreibung
Denn ich habe erstens aktuell keine Stelle zu vergeben. Deshalb kann es hierzu bei meinestadt.de keinen Eintrag geben.Zwar bin ich bei meinestadt.de gelistet, aber eine Stellenangebot ist nicht dabei. Es gibt nur meine Adresse und Kontaktdaten.
Fake-Mail erkannt: Es gibt keine ausgeschriebene Stelle ...
Ich habe zwar in der Vergangenheit - da der Absender meine Firmengröße nicht kennt - schon Initiativ-Bewerbungen, also "auf gut Glück" erhalten. Aber dem Absender freundlich geschrieben, dass ich keine Mitarbeiter suche.
Doch wäre dies eine seriöse Mail, wäre ein Bewerber durch den Bezug auf einen nicht vorhandenen Eintrag oder aus einer falschen Quelle nicht mehr in der engeren Auswahl.
Schädling im Anhang
Schon aus reiner Neugier - aber auch zur Analyse des Anhangs - habe ich den Anhang heruntergeladen und geöffnet.
Doch Vorsicht: In einem solchen Anhang kann ein Schädling versteckt sein, der Zugriff auf den Rechner bekommen will.
Ich selbst kenne ich aber aus. Und kenne die Gefahren und Abwehr-Maßnahmen.
Zumal beim Öffnen der Dateien innerhalb der ZIP-Datei Kaspersky Internet Security sofort Alarm geschlagen hat.
Deshalb war das bei mir kein Problem.
Ich selbst kenne ich aber aus. Und kenne die Gefahren und Abwehr-Maßnahmen.
Zumal beim Öffnen der Dateien innerhalb der ZIP-Datei Kaspersky Internet Security sofort Alarm geschlagen hat.
Deshalb war das bei mir kein Problem.
Schädling-Mail - Schädlinge versteckt im Zip-Anhang:
In der Zip-Datei mit der vermeintlichen Bewerbung finden sich zwei Dateien, beide als vermeintliche doc-Datei, also als angebliches Text-Dokument z. B. für Microsoft Word, getarnt.
Tatsächlich handelt es sich aber um zwei js-Dateien. Also Javascript, über die sich auf dem Rechner bzw. in einem Browser Schaden anrichten lässt.
Wozu der Schadcode dienen kann ...
Ein sauberer Javascript-Code sorgt i. d. R. in einer seriösen Webseite für zusätzliche Funktionen, z. B. eine Animation oder bestimmte Programm-Folgen.In dem Fall aber soll eher schädlicher Programm-Code direkt auf dem Rechner - oder über den "Umweg" Browser gestartet werden. Das kann ein tatsächlicher Schädling sein, der vielleicht Programme angreift oder Dateien "gefangen nimmt" (Ransomware), um darüber Lösegeld zu erpressen.
Das kann aber auch Spyware, also Spionage von Zugangs- und persönlichen Daten, ein Backdoor-Programm, ein Trojaner uvm.
Genauer habe ich die beiden Dateien nicht untersucht, da ich meinen PC keiner Gefahr aussetzen wollte. Das ist auch nicht nötig, denn das machen die Entwickler von Schutz-Software, z. B. Kaspersky Labs bereits.
Fazit:
Die Mail dient rein zur Verbreitung von Schad-Code. Denn eine tatsächliche Bewerbung könnte niemals mit einer Javascript-Datei funktionieren.
(Tipp: In einer Bewerbung sollte man ohnehin nach Möglichkeit keine Word-Dateien verschicken, da nicht jeder ein passendes Programm installiert hat und möglicherweise Schriftarten fehlen. Dafür eignen sich PDF-Dateien viel besser.
Eine Alternative zum Datei-Anhang ist außerdem die Nutzung von Cloud-Speichern, indem man diese freigibt und den Link im Mail-Text ergänzt. Das spart Speicherplatz im Postfach, die Dateien können direkt im Browser angezeigt werden und der Empfänger kann selbst entscheiden, was er herunterlädt.
Weitere Tipps gibt es in einem späteren Artikel.)
Eine Alternative zum Datei-Anhang ist außerdem die Nutzung von Cloud-Speichern, indem man diese freigibt und den Link im Mail-Text ergänzt. Das spart Speicherplatz im Postfach, die Dateien können direkt im Browser angezeigt werden und der Empfänger kann selbst entscheiden, was er herunterlädt.
Weitere Tipps gibt es in einem späteren Artikel.)
Ein deutliches Zeichen sind außerdem die falsche Quelle (meinestadt.de) bzw. die nicht existierende offene Stelle.
Deshalb wanderte diese Mail sofort in den SPAM-Bereich.
Keine Kommentare:
Kommentar veröffentlichen