Viren-Mails erkennen

IMG_0006Ein immer wieder beliebtes Thema ist, wie man Viren-Mails erkennt. Darunter gibt es zwei Kategorien: 1. die Schadsoftware kommt direkt als Anhang mit und 2. man wird dazu verleitet, auf einen Link zu klicken, hinter dem sich Schadsoftware verbirgt.

Die erste Methode hat den „Nachteil“, dass die Viren erst gar nicht beim Empfänger ankommen könnten, weil sie möglicherweise von einem Anti-Virus-Gateway, der dem Mailserver vorgeschaltet ist, erkannt und entfernt werden. Der Vorteil ist, dass man dem User auf direktem Wege die Schadsoftware unterjubeln kann, ohne dass er durch einen weiteren Download vielleicht misstrauischer wird. Bei Methode zwei ist es dann quasi genau anders herum.

Ich gehe aber mal von der Situation aus, dass die Schadsoftware nicht erkannt wurde und bei dem Benutzer nun im Postfach liegt. Da so eine Schadsoftware im Anhang ja nicht direkt als solche erkannt werden soll, heißt sie natürlich nicht „ichbineinvirusalsoklickmich.exe“, sondern der Dateiname wird verschleiert. Dann wird daraus eben „Rechnung_08154711.exe“ oder – in Anlehnung an das Format digitaler Kameras „IMG_000234.jpg.exe“. Gerne wird eine solche ausführbare Datei dann auch mit einem üblichen Icon von Adobe PDF, Microsoft Word Dokument, Bilddateien oder einem anderen, dem vorgetäuschten Format entsprechenden Icon, versehen. Dass die Dateiendung .exe lautet, übersehen dann viele Benutzer oder – weil unter Windows die Anzeige von bekannten Dateierweiterungen standardmäßig nicht angeschaltet ist – sehen es erst gar nicht. Im guten Glauben, dass es sich dabei um den suggerierten Dokumententyp handelt, wird die Schadsoftware dann ausgeführt. Häufig kommt es auch vor, dass doppelte Dateiendungen verwendet werden. So wird aus unserem Beispiel dann „Rechnung_08154711.pdf.exe“. Das hat natürlich auch was mit der Standardeinstellung von Windows zu tun, soll und könnte aber auch bei aktivierter Anzeige von bekannten Dateiendungen den nicht so versierten Benutzer in die Irre führen. Da viele Mailprogramme, zumindest die aktuellen Generationen, aber .exe-Dateien selbständig als potentiell gefährlich blockieren und dem Benutzer dann nicht ohne Weiteres Zugriff auf den Anhang gewähren, sind die Virenschreiber dazu übergangen, die .exe-Datei in einer Zip-Datei zu verpacken. Dann kommt eine E-Mail mit dem Anhang „Rechnung_08154711.pdf.zip“, in der sich jedoch die schadhafte .exe-Datei befindet.

Solche Viren-Mails setzen darauf, dass der Empfänger entweder aufgrund seiner täglichen Arbeit (z.B. Buchhaltung), Neugierde („hier guck mal, das Foto von dir“) oder Angst (Mahnungen oder horrende Rechnungsbeträge) den Anhang öffnet oder einen bösartigen Link anklickt. Gerade weil auch manche Unternehmen keine Rechnungen als Anhang versenden, sondern in ihren echten E-Mails den Benutzer dazu auffordern, sich die Rechnung im jeweiligen Kundencenter herunter zu laden (am besten mit direktem Link zur Rechnung), können die Virenschreiber die Empfänger relativ einfach dazu verleiten, den bösartigen Link aufzurufen. Dahinter verbirgt sich dann direkt eine schadhafte Datei oder ein Exploit. Zum Beispiel könnte die aus dem vorherigen Abschnitt bekannte Schadsoftware unter dem Namen „Rechnung_08154711.pdf.exe“ dort direkt als Download starten. Oder aber eine manipulierte Dokumentendatei, die eine Sicherheitslücke (entweder eine alte oder eine Zero-Day-Lücke) ausnutzt, um Schadsoftware zu installieren. Und selbstverständlich eine Webseite, die versucht, mit Exploits den Browser zu kompromittieren und darüber die Schadsoftware in das System zu bringen.

Und auch wenn Nutzer von Linux-Systemen oder MacOS X weniger selbst gefährdet sind, sich eine Schadsoftware einzufangen, so habe ich es dennoch erlebt, dass diese solche E-Mails stumpf, ohne nachzudenken, an die Buchhaltung oder Geschäftsführung ihres Unternehmens weiterleiten, wo wiederum Windows eingesetzt wird. Auch solche Nutzer sollten also sensibilisiert werden, um Gefährdung anderer Nutzer vermeiden.

Die Zeiten, in denen böswillige E-Mails oft noch leicht zu erkennen waren, sind vorbei. Die Virenschreiber geben sich beim Verfassen und Versenden der Viren-Mails immer mehr Mühe, so dass es auch versierten Nutzern immer schwerer fällt, eine bösartige Mail von einer legitimen Mail zu unterscheiden.

Dennoch gelten nachfolgende Regeln nach wie vor:

  1. Begrüßung
    Wird man mit Namen gegrüßt, wie es die meisten Unternehmen machen, oder steht dort nur sowas unpersönliches wie „Guten Tag“ oder „Sehr geehrter Kunde“? Da die Virenschreiber in eigentlich keinem Fall die Namen der Empfänger wissen (Achtung, es gibt hier natürlich auch Ausnahmen!), wird keine persönliche Anrede genutzt, sondern man versucht sich allgemein zu halten.
  2. Rechtschreibung und Grammatik
    Zwar wird es immer besser, aber viele Viren-Mails sind in einem so grausamen Deutsch verfasst, dass der Empfänger, so er denn nicht selbst über sehr eingeschränkte Deutsch-Kenntnisse verfügt, stutzig werden sollte. Wer bei „Wolle kucke rechnung dan du klicke hierr!!!!“ immer noch glaubt, dass sich dahinter was seriöses verbirgt, dem sollte man den Zugang zu einem Computer verbieten. Verlässlich ist dieses Kriterium natürlich nicht. In letzter Zeit habe ich etliche E-Mails gesehen, deren Rechtschreibung und Grammatik zwar nicht tadellos war, aber für viele wohl auch nicht auf den ersten Blick auffällig.
  3. Neugierde oder Angst weckend
    Wenn wildfremde Leute dir ein Foto schicken, auf dem du angeblich drauf bist. Oder ein Video verlinken, in dem du vorkommen sollst. Oder du eine Mahnung erhälst, wo du richtig viel Ascha abdrücken sollst. Oder eine solche Rechnung. Dann überleg doch mal: kann das überhaupt sein? Ist das, was behauptet wird, schlüssig? T-Mobile verschickt zum Beispiel ihre Rechungen immer nur für den vorausgegangenen Monat. Wenn ich also am 15. Januar eine Rechnung über 325,76 € für Januar erhalten soll, dann kann ich sicher sein, dass diese Rechnung nicht wirklich von T-Mobile kommt.
  4. Dubiose Server
    Ein Link ist nicht immer so, wie er scheint. Unter dem Link http://www.bing.de habe ich die Suchmaschine Google versteckt. Das gleiche Prinzip wird auch bei Viren-Mails verwendet. Dort wird augenscheinlich eine legitime Adresse angegeben, stattdessen wird aber, weil der Link-Text unabhängig vom verlinkten Inhalt ist, auf einen dubiosen Server im Ausland verlinkt. Wer ein gutes E-Mail-Programm einsetzt, dem wird auf irgendeine Weise (bspw. unten im Status oder als PopUp-Information) die Adresse angezeigt, auf die tatsächlich verlinkt wird, wenn man den Mauszeiger über den Link bewegt. Doch auch hier sollte man aufpassen. Ist eine Adresse wie http://kjdhgnkkk67rdnizu7.au.br/telekom/ noch recht auffällig, so könnte man sich von http://www.telekom.de.security-server.djmhbgsz.au.br/ eher in die Irre führen lassen. Ganz wichtig zu wissen ist also, dass eine Server-Adresse erst nach dem ersten Slash endet. Die Server der Telekom wäre http://www.telekom.de/ und im oben genannten Beispiel wäre der tatsächliche Server http://djmhbgsz.au.br/ (der Teil „www.telekom.de.security-server.“ ist nur eine Subdomain und die kann man sich selbst so anlegen, wie man gerade möchte).
  5. Absender
    Ist der Absender wirklich der, für den er sich ausgibt? Den Absender einer E-Mail-Adresse zu fälschen ist leicht. Das ist von technischer Seite sogar so gewollt, auch wenn man sich damals, als das SMTP-Protokoll erschaffen wurde, noch nicht so viele Gedanken über Missbrauch gemacht hat. Aber letztendlich kann man ja auch auf einen Briefumschlag einen falschen Absender drauf schreiben. Manche Virenschreiber geben sich Mühe und spiegeln dem Empfänger vor, die falsche Telekom-Rechnung komme tatsächlich von rechnung@telekom.de. Manche machen es eher halbherzig und bringen es nur fertig, dass als Absendername bspw. „Telekom Kundenservice“ steht, als Adresse ist dann aber info@waldorfschule-pankow.de eingetragen. Jedes vernünftige E-Mail-Programm zeigt die (wenn auch gefälschte) Absenderadresse an. Wer hier jedoch bei einer plausiblen Absenderadresse herausfinden möchte, ob die E-Mail legitim ist, kommt um eine Prüfung des E-Mail-Headers und der übrigen Kriterien nicht herum.
  6. Empfängeradresse
    In Unternehmen gehen Rechungen in aller Regel an entsprechend eingerichtete Buchhaltungs-Adressen. Wer in einem Unternehmen unerwartet eine Rechnung erhält, obwohl er bisher noch nie Rechungen erhalten hat und auch gar nicht dafür zuständig ist, der muss sich dann auch in der Regel gar keine Gedanken darüber machen, ob er die E-Mail an die Buchhaltung weiterleiten oder lieber direkt löschen sollte. Und wer in der Buchhaltung arbeitet, sollte prüfen, ob die E-Mail wie gewohnt an die Service-Adresse gegangen ist oder ungewöhlich an die eigene. Aber auch im privaten Rahmen sollte man sich fragen, ob es plausibel ist, dass man an seine E-Mail-Adresse die Rechnung erhält. Hatte man zum Beispiel noch nie irgendeinen Kundenkontakt zu T-Mobile, weil man möglicherweise Vodafone-Kunde ist, braucht man einer angeblichen T-Mobile-Rechnung auch keine Aufmerksamkeit zu schenken.

Ich hoffe, ich konnte mit dieser kurzen Erklärung es etwas vereinfachen, auch gut gemachte Viren-Mails zu erkennen. Um einige Sachen besser zu verstehen und nachzuvollziehen, müsste ich womöglich viel weiter ins Detail gehen. Das kann ich gerne auch machen, hier in diesem Beitrag würde das jedoch den Rahmen sprengen. Und ich glaube auch, das zu viele technische Hintergründe für weniger versierte Nutzer eher ermüdend und langweilig sind oder zu Resignation führen, obwohl das gar nicht nötig wäre.

Scheinheiligtum

Dass katholische Priester sich gerne an kleinen Jungs vergreifen, ist eine schon lang bekannte Tatsache und hat es auch in das Repertoire geschmackloser Witze geschafft. So lange ich lesen kann und ich mich für Nachrichten interessiere, kam immer mal wieder ein Fall in die Presse, wo ein katholischer Priester seine Schützlinge misshandelt oder sexuell missbraucht hat. Seit nun knapp einem Jahr aber hat die Anzahl der bekannt gewordenen Übergriffe auf Kinder durch Priester, Mönche, Nonnen und weitere Angestellte der katholischen Kirche drastisch zugenommen. Ok, die Fälle liegen meist sehr lange zurück und haben es erst jetzt ans Licht der Öffentlichkeit geschafft, dennoch handelt es sich um einen Skandal sondergleichen, der stark an den Festen der katholischen Kirche rüttelt. Natürlich ist nicht jeder Priester ein pädophiler Gewalttäter – zum Glück ist es immer noch nur ein geringer Teil (angeblich nicht mal 0,1%). Daher ist es falsch, pauschal alle Priester zu beschuldigen, sich an Kindern zu vergreifen. Aber es ist lange kein Grund, die Taten herunter zu spielen oder zu vertuschen, wie es die katholische Kirche seit Jahren – ach was, vielleicht sogar seit Jahrhunderten tut.

Nicht nur, dass die Priester, die bei solchen Verbrechen erwischt worden sind, vorbei an der Staatsanwaltschaft in andere Gemeinden versetzt wurden – nein, die Kirche hat es noch nicht einmal für nötig befunden, sich um das Problem der Priester zu kümmern (damit meine ich nicht irgendwelche Strafen, sondern Therapien!) – ob irgendwelche Hilfe den Opfern, so sie denn bekannt waren, angeboten wurde, ist auch stark zu bezweifeln, schließlich würde das ein Schuldeingeständnis sein, welches im krassen Widerspruch mit der unfehlbaren Kirche wäre. Stattdessen werden diese Verbrechen verharmlost oder gar die Opfer zu schuldigen gemacht. Als vor kurzem die Missbrauchsfälle in Deutschland bekannt wurden, hieß es u.a., dass das ja schon so lange zurück liege und dass damals die Erziehung mit Prügel gesellschaftlicher Usus gewesen sei. Selbst wenn das der Fall gewesen wäre, dass es normal war, Kinder dermaßen durch ihre Erzieher zu verprügeln, stünde das doch schon im Gegensatz zur von den Christen proklamierten Nächstenliebe. Jesus würde sich im Grab herum drehen, wenn er nicht auferstanden wäre. Und selbst wenn es in den 1950ern und früher Usus gewesen sei, so war es in den 1990ern definitiv nicht mehr so – dennoch wurde bei den Regensburger Domspatzen laut Presseberichten geprügelt. Der Vorwurf des sexuellen Missbrauchs hingegen kann auch mit gesellschaftlicher Gewohnheit nicht begründet werden. Hier hat sich die katholische Kirche schon das nächste schwarze Schaf gesucht, um nicht die Schuld bei sich selbst zu suchen: die sexuelle Revolution.

Dass die katholische Kirche sehr schnell und entschlossen andere Schuldige für eigenes Versagen findet, zeigt sich schon seit dem finsteren Mittelalter. Für die Pest waren die Juden verantwortlich – und nicht die Kirche, die die Sauberkeit als Sünde der Eitelkeit bezeichnete. Die Juden mussten für noch vieles weitere als Sündenbock herhalten. Und kam gerade kein Jude in Frage, waren Frauen an irgendeiner Misere schuld. In vergleichsweise wenigen Fällen auch Männer. Hexen und Hexer wurden Frauen und Männer genannt, die gegen kirchliche Konventionen verstießen, gebildeter waren als es ihnen zustand oder offen ihre Meinung sagten oder allein Gedanken aussprachen, die die kirchliche Lehre aus einer anderen Sicht darstellte. Aber ich schweife zu weit vom Thema ab.

Nachdem man die sexuelle Revolution offiziell als Schuldigen für die sexuellen Übergriffe auf Kinder durch katholische Kirchenmänner (aber auch -frauen) vorgestellt hat, war die Welt für die katholische Kirche die Welt wieder in Ordnung. Man hatte ja einen externen Schuldigen gefunden – und das schon häufig kritisierte Zölibat. Das Zölibat – vielmehr das Enthaltsamkeitszölibat – wurde im Jahr 306 auf der Synode von Elvira festgeschrieben – vermutlich gab es das schon längere Zeit vorher. Eine biblische Verpflichtung, dass Kirchenmänner enthaltsam leben müssen, gibt es aber nicht – es kann lediglich von einer freiwilligen Enthaltsamkeit die Rede sein. Das Ehezölibat ist sogar erst seit der Synode von Pavia im Jahre 1022 ein kirchliches Gesetz.

Es ist natürlich auch problematisch, das Zölibat als Wurzel des Übels hinzustellen. Es trägt sicherlich einen Teil dazu bei, aber auch eine Abschaffung des Zölibats würde nicht absolut gegen sexuelle Übergriffe von Priestern auf Kinder schützen. Allerdings wäre die Gefahr vermutlich deutlich gebannter, da Priester ihre natürlichen sexuellen Instinkte verfolgen und ausleben dürften, anstatt, wenn der Druck zu groß geworden ist, über wehrlose Kinder her zu fallen.

Inzwischen sieht sich die katholische Kirche allerdings selbst als Opfer. Es wird von einer Kampagne gegen den Papst geredet und man bezeichnet die Kritik am Papst, der es bis jetzt nicht einmal für nötig hielt, irgendeine klare Aussage zu den Vorfällen zu machen, als „Barbarei„. Hallo? Das Oberhaupt der katholischen Kirche ist m.E. dazu verpflichtet, sich klar zu äußern, wenn in seinem Laden so richtige Scheiße passiert. Das würde ich übrigens nicht nur vom Papst erwarten, sondern von jedem Chef, dessen Mitarbeiter richtigen Mist gebaut haben. Wer das nicht tut, ist ein Arschloch. Und wer das unnötig heraus zögert, bewegt sich in die gleiche Richtung.

Und dass die katholische Kirche teilweise nicht zimperlich mit ihren Kritikern umgeht, beweisen nicht nur mittelalterliche Ketzerprozesse, sondern auch ein aktueller Fall, in dem u.a. ein Marburger Blogger, der sich zu den Missbrauchsfällen in Regensburg geäußert hatte, von einem katholischen Würdenträger abgemahnt wurde und somit zum Schweigen gebracht werden sollte. Offenbar hat auch die katholische Kirche die Macht von Blogs erkannt und bangt nun auch im Internet um ihr Ansehen. Und weil im Internet so viele Ungläubige (Agnostiker, Atheisten, Heiden, Satanisten, etc.) ihr Unwesen treiben, hat der Papst sogar vor kurzem einen Missionierungsauftrag für das Internet gegeben – aber das ist ein anderes Thema.

Ich schließe jetzt meinen Beitrag ab und wünsche mir, dass die katholische Kirche mal in sich geht, Fehler erkennt, eingesteht und sie endlich mal mit richtigen Methoden behandelt, bekämpft und zukünftig verhindert.

PS: Auch die evangelische Kirche ist nicht vor Missbrauchsfällen gefeit – und dort gibt es kein Zölibat.