Zwei Fragen zur Sicherheit beim Anzeigen von SPAM-Mails

Sharptype

Aktives Mitglied
Thread Starter
Dabei seit
23.05.2015
Beiträge
1.144
Punkte Reaktionen
107
Guten morgen zusammen,

neulich hab ich mal einen alten Mailaccount im Webinterface des Anbieters gecheckt. Benutzt habe ich MacOS Sierra + Firefox mit uBO und uMatrix (1st party scripts per default geblockt, für die Anbieterseite selbst aber aktiviert) und bin mal grob über ein paar E-Mails geflogen. Eine Mail von Amazon habe ich im Webinterface geöffnet. Das das eine typische Phising Mail war habe ich aber erst dann gesehen. Die Mail wurde leider auch vollständig geladen (Grafiken, HTML). Sah in erster Linie erstmal auch echt gut gemacht aus :hehehe:.

Der E-Mail-Anbieter hat nur sein Web-UI ggü. meinem letzten Besuch vor Monaten geändert und damit auch die Option "Externe Inhalte und HTML vollständig laden" (die zuvor von mir deaktiviert war) mal wieder über den Haufen geworfen :motz:, deswegen wurde die Mail auch vollständig angezeigt. BTW: Das allein ist schon ein Grund den Anbieter zu wechseln :mad:.

Dazu hab ich aber mal zwei Fragen an die Experten:

1) Kann durch das bloße Anzeigen aller Inhalte solch einer E-Mail (HTML, Grafiken usw.) mittlerweile schon was an Malware übertragen werden? (die Mail wurde danach natürlich in den Papierkorb verfrachtet bzw. gelöscht, aber vollständig angezeigt und geladen war sie :Oldno:)
Gedanke: Man kann das bloße Laden/Anzeigen manchmal so schnell gar nicht verhindern, einige Mailprogramme haben Preview-Anzeigen oder per Default wird die erste Mail in der Liste angezeigt und geladen und wenn das eben so eine SPAM-Mail ist, wird diese halt geladen :noplan:

2) Rein aus Neugier: Wäre ich so verpennt gewesen und hätte so einen Link in der Mail angeklickt, müsste dann nicht in meinem Fall uMatrix oder uBO greifen und das sowieso blockieren?
Hatte ja geschrieben, dass ich Firefox + uBO und uMatrix (1st party scripts sind per default deaktiviert!) benutze. Und so eine Malwareseite braucht doch bestimmt aktivierte Skripts? :suspect:
 

oneOeight

Aktives Mitglied
Dabei seit
23.11.2004
Beiträge
63.811
Punkte Reaktionen
13.023
um beim bloßen angucken einer mail eine malware zu übertragen müssten dann schon schwachstellen in den ganzen grafik libraries vorhanden sein und dann noch passender payload in der grafik für dein system untergebracht sein.
das wäre dann schon ein maßgeschneiderter angriff.
da ist doch einfach dich was runter laden zu lassen und es zu starten.

solche mails kommen ja meist auch mit einen CSS, da können auch grafiken drin verlinkt sein und die werden dann auch stupide geladen.
dazu braucht es dann keine skripte.
 

Sharptype

Aktives Mitglied
Thread Starter
Dabei seit
23.05.2015
Beiträge
1.144
Punkte Reaktionen
107
Danke für die Rückmeldung. Also kann man SPAM-Mails grundsätzlich bedenkenlos vollständig laden zum betrachten?

Und wie wäre es im Falle von Frage 2?
 

Difool

Frontend Admin
Dabei seit
18.03.2004
Beiträge
15.239
Punkte Reaktionen
10.498
Danke für die Rückmeldung. Also kann man SPAM-Mails grundsätzlich bedenkenlos vollständig laden zum betrachten?
Via Webmailer-Zugriff ist's eh Banane…
Und wie wäre es im Falle von Frage 2?
Letztendlich sollte dein System bzw. Browser eh immer so eingestellt sein, dass bei Anfragen von aktiven Downloads eine User-Anfrage kommt, wohin er speichern soll.
Dann kann man das notfalls abbrechen.
 

Sharptype

Aktives Mitglied
Thread Starter
Dabei seit
23.05.2015
Beiträge
1.144
Punkte Reaktionen
107
Via Webmailer-Zugriff ist's eh Banane…
Okay, was macht hier den Unterschied aus (abgesehen von einem Anhang, den es glaube ich nicht gab und ich auch natürlich nicht runtergeladen habe)?
Safari läuft glaube ich nur in einer Sandbox, oder? FF glaube ich nicht :suspect:

Letztendlich sollte dein System bzw. Browser eh immer so eingestellt sein, dass bei Anfragen von aktiven Downloads eine User-Anfrage kommt, wohin er speichern soll.
Dann kann man das notfalls abbrechen.
Gut, das tut der Firefox bei mir sowieso und sollte der Standard sein. Ich habe nur keine Ahnung (eben weil ich noch nie wissentlich auf so einen Malwarelink geklickt habe und das auch ungern ausprobieren wollen würde :D) was da so passieren kann, wenn man lediglich den böshaftigen Link besucht und nix weiter macht? Dahingehend ist meine Frage ausgerichtet.

Ich gehe mal davon aus, dass hinter dem Malwarelink eine Amazon ähnliche Seite nachgebaut wurde inder dann meine Zugangsdaten abgefragt werden. Wer die dann eingibt, ok dem ist nicht mehr zu helfen, aber...meine Frage ist da ja eher, was könnte unwissentlich bei so einem böshaftigen Link ggf. ohne mein zutun geschehen?
Und hier hoffe ich eben, dass zumindest uBO oder uMatrix einschreiten würden und ich hier explizit die Skripte für Freigeben müsste, damit überhaupt was ohne mein zutun passieren würde? :kopfkratz:

:zeitung:
 

Difool

Frontend Admin
Dabei seit
18.03.2004
Beiträge
15.239
Punkte Reaktionen
10.498
[…], aber...meine Frage ist da ja eher, was könnte unwissentlich bei so einem böshaftigen Link ggf. ohne mein zutun geschehen?
Naja, bestenfalls bist du mit deinem System so unterwegs, dass mindestens bei "install-Anfragen" dein Admin-Passwort verlangt wird.
Dann kann man ja entscheiden.
Und generell gilt immer: via eMail eine Aufforderung irgendwo was anzuklicken machen zu 99% nur die bösen Buben im Netz.
Das restliche 1% sind schlecht beratene Firmen oder Einzelunternehmer. :teeth:

edit:
Generell überlege dir eher, was du tun kannst, um erst keinen Spam zu bekommen. ;)
 

oneOeight

Aktives Mitglied
Dabei seit
23.11.2004
Beiträge
63.811
Punkte Reaktionen
13.023
Danke für die Rückmeldung. Also kann man SPAM-Mails grundsätzlich bedenkenlos vollständig laden zum betrachten?

Und wie wäre es im Falle von Frage 2?

wie schon gesagt, manche spam mails benutzen u.a. den CSS trick, um zu gucken, ob die auch gelesen werden.
zu frage 2 wäre ja die antwort gewesen, da ist nicht notwendiger weise ein script mit dabei.

Safari läuft glaube ich nur in einer Sandbox, oder? FF glaube ich nicht :suspect:

sandbox hört sich ja toll an, aber da wird auch regelmäßig raus ausgebrochen ;)
 

Sharptype

Aktives Mitglied
Thread Starter
Dabei seit
23.05.2015
Beiträge
1.144
Punkte Reaktionen
107
Naja, bestenfalls bist du mit deinem System so unterwegs, dass mindestens bei "install-Anfragen" dein Admin-Passwort verlangt wird.
Klar! Ich frage aus rein technischem Interesse, was mittlerweile so möglich ist und wie weit man eigentlich kommen kann/darf, ohne sich was "einzufangen".

Da ich nirgends draufgeklickt habe aber durch den blöden Einstellungsreset (externe Inhalte nachladen) vom neuen Web-UI könnte der Spamer jetzt wissen (CSS Trick), dass meine E-Mail aktiv ist, mehr aber nicht oder?

Achso und wieso ist es bei nem Webmailer (Downloads von Anhängen außer acht gelassen) Banane?
 

Difool

Frontend Admin
Dabei seit
18.03.2004
Beiträge
15.239
Punkte Reaktionen
10.498
Klar! Ich frage aus rein technischem Interesse, was mittlerweile so möglich ist und wie weit man eigentlich kommen kann/darf, ohne sich was "einzufangen".
"Möglich" ist immer alles!
Aber ob das auch dem möglichen Wert entspricht, den es evtl. zu erreichen gilt, ist eher fraglich.
Der "normale Spam" bedient eher immer den sogenannten "Angstfaktor" der User – das nennt sich dann "Scam" oder "Vorschussbetrug".
Ich bsw. habe eher überwiegend mit "JoeJobs" zu tun, weil ich Websites erstelle.

Hast du MacOS und lädst kurrupte eMails, dann passiert erstmal so nix.
Ist das System mit normalem User bzw. der Admin mit Passwort unterwegs – geht nix automatisch ohne (Passwort-)Bestätigung.

Schlicht: gucken darf man – anfassen (ausführen) nicht.
 

Sharptype

Aktives Mitglied
Thread Starter
Dabei seit
23.05.2015
Beiträge
1.144
Punkte Reaktionen
107
Sehr interessant, vor allem der Artikel zu JoeJobs, danke dafür. Ist die E-Mail von mir hier, die ich hier gepostet habe kürzlich auch ein JoeJob? --> https://www.macuser.de/threads/seit-gestern-ploetzlich-spammails-en-masse.809825/page-2#post-9949815

Ich kenne das auch noch so, dass man für Malware am Mac immernoch ein Adminpasswort braucht. Hat sich also noch nichts geändert. Seeeehr gut.

War einfach unsicher, ob das bloße Betrachten und Nachladen (externe Inhalte und HTML) solch einer E-Mail schon zu einem Problem werden kann. Irgendwie muss man ja auch manchmal eine SPAM-Mail ansehen, wenn man aus den Preview-Infos nicht 100%ig ausschließen kann, dass es sich nicht doch um eine echte Mail handelt. Wenn sie wenigstens schon vorher im SPAM-Ordner gelandet ist, verhindern ja meistens (auch die Webmailer) die korrekte Darstellung und das Nachladen externer Inhalte.

In meinem Fall aber war die irgendwie im Posteingang und wurde halt dummerweise komplett geladen. Daher sah sie auch so gut gefaked aus :D
Daher hatte ich mir etwas Sorgen gemacht :eek:
 

Zockerherz

Mitglied
Dabei seit
08.08.2017
Beiträge
952
Punkte Reaktionen
679
Danke für die Rückmeldung. Also kann man SPAM-Mails grundsätzlich bedenkenlos vollständig laden zum betrachten?
Sobald die Bilder vom Server abgerufen werden, erhält der Absender auch eine Bestätigung, dass die Mailadresse existiert. Hast du nun einen Spamroboter, der wahllos Adressnamen probiert gibst du dem eine Rückmeldung und wirst auf lange Sicht gesehen noch mehr SPAM auf die Adresse erhalten.
Daher würd ich das grundsätzlich schon aus diesem Grunde nicht laden lassen. :)

Zumindest soweit ich es im Kopf habe. Falls ich hier falsch liegen sollte, korrigiert mich bitte.
 

Schiffversenker

Aktives Mitglied
Dabei seit
25.06.2012
Beiträge
13.458
Punkte Reaktionen
5.503
Bevor man auf etwas klickt, kann man sich ja in der Fußleiste die wahre Adresse anzeigen lassen - ist immer ein gutes Indiz, ob's Fake-/Phishing-Mails sind. Kommt natürlich darauf an, ob das Mailprogramm oder der Browser diese Möglichkeit anbieten (und ob man's ggf eingeschaltet hat).
 

frimp

unregistriert
Dabei seit
04.10.2012
Beiträge
974
Punkte Reaktionen
870
Trotzdem - das Nachladen von Bildern sollte immer besser manuelll geschehen. Mail.app benutzt wie auch Safari Webkit-Libraries. Warum sollte es einen Unterschied machen ob man den Standardmailer oder Safari nutzt?
Schon das Anzeigen eines Bildes könnte Schadcode über einen Bufferoverflow einschleusen, sofern eine Lücke 8m Webkit vorhanden ist. Das ist zwar alles sehr theoretisch, aber möglich.
Und eine Sandbox kann auch umgangen werden, wie die letzten Meltdown und Spectres andeuten.
Nein, sicher ist hier gar nichts. Also immer schön die Augen aufhalten und zumindestens versuchen, die Risiken zu minimieren, auch wenn das jetzt vielleicht paranoid klingt.
 

Schiffversenker

Aktives Mitglied
Dabei seit
25.06.2012
Beiträge
13.458
Punkte Reaktionen
5.503
Nein, sicher ist hier gar nichts.
Das ist der entscheidende Satz, der eigentlich für alles gilt. Niemand kann ein total sicheres System schaffen, man kann nur versuchen, sich anzunähern.
Der normale Benutzer kann hoffen, daß sein System einigermaßen sicher ist gegen Massenangriffe (Viren, Würmer), und er kann sein Hirn einsetzen (Phising).
Aber gegen gezielte Angriffe auf den individuellen Rechner, wenn jemand genügend Manpower einsetzen will… da müsste man entsprechend viel eigene Manpower einsetzen für die Abwehr.
Zum Glück arbeiten Kriminelle ökonomisch (die Grenzen zur "normalen" Wirtschaft sind ja auch fließend) und wir Normalos müssen in dieser Hinsicht wenig befürchten.
 

Sharptype

Aktives Mitglied
Thread Starter
Dabei seit
23.05.2015
Beiträge
1.144
Punkte Reaktionen
107
Ja das stimmt auf jeden Fall. Ich baue aber immernoch darauf bzw. hoffe, dass zumindest gerade was so SPAM-Mails angeht, MacOS recht immun ist. Allein aus dem Grund, dass SPAM auf die Masse zugeschnitten ist, um eben die Wahrscheinlichkeit zu erhöhen und wenn es um Masse geht kommt ja gleich Windows ins Spiel. Wenn ich also nicht gerade dumm bin, würde ich als Ersteller von derartiger Malware keine Zeit für MacOS verschwenden.

Anders ausgedrückt, was auch immer an Malware in dieser SPAM-Mail enthalten hätte sein können/war, wird - so hoffe ich - keinen Schaden anrichten können, da ich eben kein Windows-PC benutzt habe?
 
Oben Unten