smime.p7s aus Spammail geöffnet - WTF ist das

Glurr

Neues Mitglied
Thread Starter
Dabei seit
02.10.2018
Beiträge
5
Reaktionspunkte
0
"Schatz, ich hab hier auf irgendwas geklickt"
Jeder Mann weiß, dass daraufhin eine Menge Arbeit folgt.

Aber hallo erstmal,
meine Frau hat auf Ihrem Macbook (mit Catalina) eine Fake DHL Benachrichtigung bekommen und eine smime.p7s Datei geöffnet.
Es hat sich dann der Schlüsselbund geöffnet und wollte das Adminpasswort.
Sie hat dann auf Abbrechen geklickt, worauf das ganze noch ein Paar Mal gefragt wurde mit irgendwelchen Global Sign o.ä. Begründungen.
Von der letzten Meldung habe ich dann einen Screenshot machen können. Ist angehängt.

Ich hab dann ausgeschaltet und vom anderen Benutzer, der auch Admin ist Malwarebytes mit vollem Festplattenzugriff aktiviert laufen lassen.
Hat aber keine Bedrohungen gefunden, was mich stutzig macht. Es wurden auch nur ca. 22.000 Dateien durchsucht. Müssten das nicht sehr viel mehr sein?
Sollte ich MalwareBytes nochmal auf dem Benutzer, wo sie es geöffnet hatte installieren und laufen lassen? Dazu müsste ich ja aber das Kennwort eingeben, kann dann abgegriffen werden?

Achso und bitte lyncht mich nicht, aber es gibt kein aktuelles BackUp. Ich weiß, dumm und selbst schuld. Ich denk mir das selbe, aber damit muss ich jetzt leben und das Teil wieder i.O. kriegen. Thx


Bildschirmfoto 2021-11-24 um 21.51.43.png
 
Dateien mit der .p7s Erweiterung sind E-Mail-Nachrichten im E-Mail-Management-Programme für das Senden, Empfangen oder einfach nur betrachten sichere E-Mails mit digitaler Signatur verschlüsselt verwendet.
Secure / Multipurpose Internet Mail Extensions (S/MIME) ist ein Standard für die Verschlüsselung und das Signieren von MIME-Objekten durch ein asymmetrisches Kryptosystem. S/MIME wird in sehr vielen Protokollen zur Absicherung in der Anwendungsschicht (Application Layer) eingesetzt. Typische Einsatzfälle von S/MIME sind E-Mail, AS2 und viele weitere. In der Praxis kann S/MIME (Inhaltsebene) mit TLS (Transportebene) kombiniert werden.

Also nichts bedrohliches. Jedoch habe ich von DHL noch nie eine verschlüsselte Mail erhalten.
 
Scheint wirklich i.O. zu sein, nur hat mich der Mailinhalt stutzig gemacht. Dieses "Hallo" wirkt so unprofessionell, aber vielleicht haben sie bei DHL einfach mal nen Praktikanten Texten lassen.
Danke euch.

Bildschirmfoto 2021-11-28 um 15.30.48.png
 
DHL spricht mich immer mit dem vollständigen Namen an. Den Namen kennen sie ja auch schließlich. Du kannst davon ausgehen, dass die Mail ein Fake ist.
 
  • Gefällt mir
Reaktionen: JARVIS1187
Hi,
Diesen Müll einfach Löschen und vergessen.
Franz
 
Ich würde die E-Mail in einem reinen Texteditor öffnen und prüfen, wohin die Links führen.

Die Anrede „Hallo“ ist normal, ist auch bei mir bei Paketankündigungen der DHL so.
Viel „schlimmer“ finde ich den restlichen Text, stylistisch ist das ne glatte fünf - ich hätte eigentlich vermutet, dass die ein paar Leute für Customer Experience beschäftigen.
 
  • Gefällt mir
Reaktionen: Mihahn und dg2rbf
Diese Art E-Mail habe ich auch schon bekommen, aber ohne Anhang. Sie scheint echt zu sein. Wenn man bei DHL eine unzulässige Zustellalternative angibt, bekommt man exakt diesen Text.

Ich würde auf Reintext stellen und den Header prüfen, das sollte alles passen. Installieren würde ich trotzdem nichts.
 
  • Gefällt mir
Reaktionen: Mihahn und dg2rbf
Ich würde auf Reintext stellen und den Header prüfen, das sollte alles passen. Installieren würde ich trotzdem nichts.
Exakt.
Angeblich sollen nämlich von dieser Mail-Variante auch Phising-Mails unterwegs sein.

Alternativ:
Um betrügerische E-Mails effektiv bekämpfen zu können, senden Sie die verdächtige E-Mail als Anhang (via Drag-and-drop in eine neue E-Mail ziehen) an
phishing-dpdhl[at]deutschepost.de.

Screenshots, URLs zu verdächtigen Inhalten, Fotos oder andere Beweise können ebenfalls hilfreich sein, jedoch ist die original E-Mail als Anhang und nicht bloß als Weiterleitung das effektivste Beweisstück.
Quelle: https://www.dhl.de/de/toolbar/footer/sicherheitshinweise.html
 
  • Gefällt mir
Reaktionen: ben-der, Mihahn und dg2rbf
Malwarebytes durchsucht nicht jede datei...
Dass es schon 22000 sind ist trauig.
 
Jedoch habe ich von DHL noch nie eine verschlüsselte Mail erhalten.
Also ich schon (von noreply@dhl.de):
Screenshot 2021-11-29 at 16.22.03.png


DHL spricht mich immer mit dem vollständigen Namen an. Den Namen kennen sie ja auch schließlich. Du kannst davon ausgehen, dass die Mail ein Fake ist.
Ich habe gerade mal nachgesehen und habe von DHL folgende Anreden in meinen Mails gefunden:
  • Hallo
  • Hallo lieber Kunde
  • Hallo Vorname Nachname
  • Guten Tag,
  • Guten Tag Herr Nachname
Trotzdem natürlich den Header prüfen und die gängigen Sicherheitshinweise beachten.
 
  • Gefällt mir
Reaktionen: dg2rbf
Ein smime.p7s Anhang muss nicht zwingend auf eine verschlüsselte Mail hinweisen. Signierte E-Mails enthalten ebenfalls dieses Zertifikat im Anhang. Damit lässt sich mit Hilfe des zugehörige öffentlichen Zertifikats zweifelsfrei der Absender identifizieren und verifizieren. Mit Verschlüsselung hat das erstmal herzlich wenig zu tun, das ist eine weitere Funktion der S/MIME PKI.
 
  • Gefällt mir
Reaktionen: dg2rbf
Zurück
Oben Unten