Viren, Spyware, Datenschutz 11.250 Themen, 94.777 Beiträge

mawe2 winnigorny1 „Verbesserter Emotet“
Optionen

Am Ende läuft's immer wieder darauf hinaus, dass jemand eine Mail kriegt (und sich nicht fragt, warum, wieso) und in dieser Mail dann ein Makro startet (ohne sich zu überlegen, wozu das Makro gut sein soll).

Nach wie vor lassen sich diese Probleme vermeiden, wenn der Benutzer über ein Mindestmaß an Kompetenz verfügt...

bei Antwort benachrichtigen
winnigorny1 mawe2 „Am Ende läuft s immer wieder darauf hinaus, dass jemand eine Mail kriegt und sich nicht fragt, warum, wieso und in dieser ...“
Optionen
Am Ende läuft's immer wieder darauf hinaus, dass jemand eine Mail kriegt (und sich nicht fragt, warum, wieso) und in dieser Mail dann ein Makro startet (ohne sich zu überlegen, wozu das Makro gut sein soll).

Das ist natürlich alles richtig, was du schreibst. - Aber wenn Emotet sich eines E-Mail-Accounts von (Geschäfts)Freunden und Verwandten bemächtigt hat und dessen Adressbücher und Absendeadresse verwendet, dann wird es kompliziert.

Nach wie vor lassen sich diese Probleme vermeiden, wenn der Benutzer über ein Mindestmaß an Kompetenz verfügt...

Natürlich, man klickt nicht auf alles, was nicht bei "3" auf den Bäumen ist.... Aber:

Das heißt dann im Prinzip, dass man jeden der oben genannten Absender erstmal anrufen muss, ob er wirklich diese Mail geschrieben hat.Das ist schon nervig und zeitintensiv. - Und im Zweifelsfalls sogar kostenintensiv, wenn man wie ich Kunden in aller Welt sitzen hat.

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
mawe2 winnigorny1 „Das ist natürlich alles richtig, was du schreibst. - Aber wenn Emotet sich eines E-Mail-Accounts von Geschäfts Freunden ...“
Optionen
Das heißt dann im Prinzip, dass man jeden der oben genannten Absender erstmal anrufen muss, ob er wirklich diese Mail geschrieben hat.

Das muss man nicht, solange man sich beim Umgang mit dem Anhang zügelt und das Makro nicht ausführt.

Und wenn mir jemand eine Office-Datei schickt, in der begründeterweise ein Makro drin sein sollte, dann weiß ich das auch aus dem Gesamtzusammenhang und muss denjenigen nicht explizit anrufen.

Aber ich gebe Dir Recht: Es wird für viel mehr Leute zunehmend schwieriger, "Gut" und "Böse" noch zu unterscheiden.

Und es hilft trotzdem nur Kompetenz - sonst nichts.

bei Antwort benachrichtigen
winnigorny1 mawe2 „Das muss man nicht, solange man sich beim Umgang mit dem Anhang zügelt und das Makro nicht ausführt. Und wenn mir jemand ...“
Optionen
Und wenn mir jemand eine Office-Datei schickt, in der begründeterweise ein Makro drin sein sollte, dann weiß ich das auch aus dem Gesamtzusammenhang und muss denjenigen nicht explizit anrufen.

Stellt sich die Frage, woher man vorher weiß, ob da ein Makro drin ist oder nicht. Ich habe jedenfalls die Ausführung von Makros in meinem Libre Office deaktiviert...

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
mawe2 winnigorny1 „Stellt sich die Frage, woher man vorher weiß, ob da ein Makro drin ist oder nicht. Ich habe jedenfalls die Ausführung ...“
Optionen
Stellt sich die Frage, woher man vorher weiß, ob da ein Makro drin ist oder nicht.

Also...

Seit MS Office 2007 sieht man das schon an den Dateinamenserweiterungen (docm, xlsm statt docx, xlsx) ganz eindeutig, ob der Dateityp Makros enthalten kann oder nicht.

Bei den früheren Dateitypen (doc, xls) gab es diese einfache Unterscheidung, ob ein Makro drin ist oder nicht, noch nicht.

Daher nutzen die Verschlüsselungstrojaner etc. i.d.R. immer noch diese veralteten Dateitypen, um nicht von vornherein schon sehr leicht entdeckt zu werden.

Nun sollte die Kompetenz des Benutzers zumindest soweit reichen, dass er grundsätzlich skeptisch wird, wenn heute noch Mailanhänge mit seit 13 Jahren veralteten Dateiformaten verschickt werden.

Aber unabhängig davon, werden heute auch beim Öffnen einer doc- oder xls-Datei Makros nur dann automatisch ausgeführt, wenn der Benutzer im TrustCentrer von Word oder Excel die schlechteste (und deswegen nicht empfohlene) Sicherheitsstufe einstellt.

Gehen wir mal davon aus, dass die werksseitige Standardeinstellung in Office beibehalten wurde, dann werden Makros sowieso erstmal deaktiviert. Erst, wenn der Benutzer der Aufforderung nachkommt, die Makros zu aktivieren, werden sie ausgeführt.

Niemand kann also bei so einem Angriff (realistischerweise) behaupten, von der Existenz der Makros nichts gewusst zu haben. Und immer ist es nötig, dass der Benutzer den Weg für die Schadsoftware frei macht (falls ihm das überhaupt gestattet ist).

Ich habe jedenfalls die Ausführung von Makros in meinem Libre Office deaktiviert...

Kann Emotet oder andere Schadsoftware auf der Basis von LibreOffice überhaupt laufen???

Vorstellbar wäre das. Aber ist es auch schon in der Realität passiert?

bei Antwort benachrichtigen
winnigorny1 mawe2 „Also... Seit MS Office 2007 sieht man das schon an den Dateinamenserweiterungen docm, xlsm statt docx, xlsx ganz ...“
Optionen

Erstmal vielen Dank für die umfassende Aufklärung. Von MS-Office habe ich mich schon vor bestimmt 25 Jahren verabschiedet. Zu teuer und den Funktionumfang nutze ich ohnehin nicht. Bin als erstes zu OO übergelaufen und dann, als es eingestellt wurde, zu LO und bin damit sehr zufrieden.

Ich denke auch, dass es grundsätzlich möglich ist, dass unter LO diese Schadsoftware laufe kann, denn man kann grundsätzlich jede Version von MS Office damit öffnen und die Darstellung ist auch richtig. Aber diese Office-Alternativen haben, soweit ich das erinnere, schon immer nicht eigenständig einfach so Makros ausgeführt und vorher nachgefragt.

Da ich seit 25 Jahren (mindestens) kein MS-Office mehr habe, wusste ich nicht, dass das inzwischen so verändert wurde, dass das Programm auch nachfragt.

Aber auf der anderen Seite weiß ich auch nicht, um das Virus nicht in der Lage ist, diese Abfrage zu unterlaufen....

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
mawe2 winnigorny1 „Erstmal vielen Dank für die umfassende Aufklärung. Von MS-Office habe ich mich schon vor bestimmt 25 Jahren ...“
Optionen
Von MS-Office habe ich mich schon vor bestimmt 25 Jahren verabschiedet. Zu teuer und den Funktionumfang nutze ich ohnehin nicht. Bin als erstes zu OO übergelaufen

OpenOffice gibt's seit 2002. (Also nicht ganz "25 Jahre".)

und dann, als es eingestellt wurde

Eingestellt wurde es bisher noch nicht.

Es gibt lediglich seit 2011 die Abspaltung "LibreOffice".

Ich denke auch, dass es grundsätzlich möglich ist, dass unter LO diese Schadsoftware laufe kann, denn man kann grundsätzlich jede Version von MS Office damit öffnen

Das bedeutet aber keineswegs, dass auch jedes MS-Office-Makro unter LibreOffice läuft.

Da ich seit 25 Jahren (mindestens) kein MS-Office mehr habe

... müsstest Du also mindestens zwischen 1995 und 2002 noch irgendein anderes Office-Paket benutzt haben...

Aber auf der anderen Seite weiß ich auch nicht, um das Virus nicht in der Lage ist, diese Abfrage zu unterlaufen....

Das "Unterlaufen" sieht so aus, dass z.B. in der Word-Datei auf Seite 1 in sehr großen Großbuchstaben die Aufforderung steht, erstmal die Makros zuzulassen und dafür auf die entsprechende Schaltfläche zu klicken.

Hier ein Erfahrungsbericht dazu von Heise:

https://www.heise.de/ct/artikel/Trojaner-Befall-Emotet-bei-Heise-4437807.html

Der Benutzer wird mit dieser Aufforderung konfrontiert:

Selbst, wenn dieser Text in deutscher Sprache erscheinen würde: Wer im Jahr 2020 immer noch auf solche plumpen Tricks hereinfällt darf (zumindest bei der beruflichen Anwendung von MS Office) durchaus als wenig kompetent bezeichnet werden!

bei Antwort benachrichtigen
winnigorny1 mawe2 „OpenOffice gibt s seit 2002. Also nicht ganz 25 Jahre . Eingestellt wurde es bisher noch nicht. Es gibt lediglich seit ...“
Optionen
OpenOffice gibt's seit 2002. (Also nicht ganz "25 Jahre".)

OK - die Zeit läuft dann doch nicht ganz so schnell, wie es sich anfühlt..... Zwinkernd

Ansonsten nochmal danke für die weitgehende Aufklärung. Ja - sieht dann tatsächlich so aus, als müsste man schon ein Masochist sein, um sich das Ding einzufangen.

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen