Social Engeneering "Bewerbung"

Luebke

Luebke

Urgestein
Thread Starter
Mitglied seit
26.03.2010
Beiträge
3.069
Hallo,
ich brauche mal die Hilfe von Profis: man soll es nicht für möglich halten, aber in unserem kleinen Unternehmen hat ein neugieriger Mitarbeiter den Anhang einer "Bewerbung" geöffnet, die vom Spamfilter nicht erkannt wurde. :wall: Typ der Datei ist PDF.
Rechner aus dem Netzwerk genommen und Virenscan laufen lassen, aber der Scanner (ESET) findet keinen Schädling. Was hat der besagte Mitarbeiter damit wohl eingeschleust und wie kann ich den Rechner (und das bis dahin verbundene Netzwerk) säubern? Wer kennt sich mit dem Mist aus?

LG
Lübke
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Also es heißt ja nicht unbedingt, dass in der PDF ein Schädling gewesen ist.
Oft wird das auch so gemacht, dass dubiose links in PDF versteckt werden, wo dann drauf geklickt wird.
 
Wie soll ich jetzt mit dem Rechner umgehen? Nach dem ergebnislosen Scan wieder ins Netzwerk lassen? Gibt es andere Maßnahmen, um sicherzustellen, dass der Rechner wirklich sauber ist?
 
PC ausm Produktiv Netzwerk raus. Ab in überwachtes GastWLAN. Dann erstmal Process Explorer Check gegen Virustotal machen. Dann sieht man ja, was der PC ins Internet sendet und ob überhaupt was drauf ist
 
danke für den Tip. Virustotal hat nichts ergeben (aber die gleichen Dateien wurden dort offenbar schon häufiger prüfen lassen). Ohne dass ein Program geöffnet ist, gibt es keine Netzwerkaktivität.
Unser EDV-Dienstleister meinte, dass eine PDF-Datei ungefährlich sei, stimmt das? Kann eine PDF-Datei keine schädlichen Makros (z. B. lade externen Inhalt XY nach) oder ähnliches ausführen? Ich kenne mich auf dem Gebiet so gar nicht aus.
 
Kein Profi, solange das Programm zum pdf-gucken aktuell gehalten wurde, würde ich da eher kein Problem sehen. Im Zweifel halt formatieren. So ganz versteh ich die Paranoia nicht.
 
Rechner einfach neu rollen / neu installieren. Fertig
 
BobbyD schrieb:
So ganz versteh ich die Paranoia nicht.
Zum Vergrößern anklicken....
es ist nicht Paranoia, es ist Unsicherheit aufgrund Unwissenheit. Genau darum frage ich ja: ich möchte wissen, ob das was auf den Hacken hat oder nicht. Offenbar nicht, Frage beantwortet.

Danke für Eure Hilfe, insbesondere @kaiser , der Beitrag war genau was ich gesucht hab und virustotal kannte ich noch nicht. Wieder was gelernt. ;)
 
@Luebke Exploits in pfds sind vermutlich weniger häufig als früher. Ich hatte auch schon problematische pdfs gesehen, die nur ein eingescanntes Blatt waren, also technisch ein Bild. Das ist dann kein Exploit, sondern im Text war dann irgendwas problematisches, was einem zu irgendwas verleiten soll. Also kein Problem, wenn man da mit gesunder Skepsis ran geht.
 
Luebke schrieb:
aber in unserem kleinen Unternehmen hat ein neugieriger Mitarbeiter den Anhang einer "Bewerbung" geöffnet, die vom Spamfilter nicht erkannt wurde. :wall: Typ der Datei ist PDF.
Zum Vergrößern anklicken....
Ist das nicht Standard, das man bei Bewerbungen Lebenslauf, etc. als PDF anhängt?
Was soll man sonst anhängen? docx? Da hätte ich mehr Bedenken als bei einem PDF. :ROFLMAO:

Also mit anderen Worten: Warum wird hier angenommen, das da irgendwas faul sein MUSS, nur weil ein PDF an einer E-Mail hing? Ich kenne natürlich den Inhalt der Mail nicht und auch nicht ob eure Firma aktuell sogar Stellenanzeigen offen hat, aber vielleicht ist es wirklich nur eine ernst gemeinte Bewerbung?
Vorsicht ist natürlich immer gut, aber grundsätzlich immer was "böses" anzunehmen ist Paranoia. ;)

Und um auf den Betreff "Social Engineering" zurückzukommen: Wenn in dem PDF ein Makro oder sowas versteckt wäre was eine Tojaner/Virus/wasauchimmer installiert, dann wäre es eben kein Social Engineering. Social Engineering geht darauf zurück, das man z.B. einem Mitarbeiter geheime Daten entlocken will... Also "Ich bin von der Versicherung, deine Schwester hatte einen Unfall und das Krankenhaus braucht unbedingt dringend deine Kreditkartennummer, sonst kann deine Schwester nicht behandelt werden". DAS wäre Social Engineering. Da wird nix installiert, da wird darauf gehofft, das der Leser tatsächlich "selbstständig" die echten Daten rausrückt.

BTW: Im Zweifel sowas einfach auf einem isoliertem Linux-Rechner lesen, bzw sogar nur einem Live-Linux auf diesem Rechner gebootet. Selbst wenn in dem PDF irgendwas drinsteckt, ist die Wahrscheinlichkeit sehr hoch, das das unter Linux schlicht und einfach nicht funktioniert. Wenn man dann feststellt, das die Bewerbung sowieso nicht tauglich ist, einfach löschen.
 
Liesel Weppen schrieb:
Ist das nicht Standard, das man bei Bewerbungen Lebenslauf, etc. als PDF anhängt?
Was soll man sonst anhängen? docx? Da hätte ich mehr Bedenken als bei einem PDF. :ROFLMAO:
Zum Vergrößern anklicken....
es geht nicht darum, dass bei einer echten Bewerbung ein Anhang geöffnet wurde, sondern bei einer Fake-Bewerbung. Ein ganz klassischer Spam.
Liesel Weppen schrieb:
Ich kenne natürlich den Inhalt der Mail nicht und auch nicht ob eure Firma aktuell sogar Stellenanzeigen offen hat, aber vielleicht ist es wirklich nur eine ernst gemeinte Bewerbung?
Zum Vergrößern anklicken....
nein, es ist eine sehr offenkundige Fake-Bewerbung. Die fischt unser Spam-Filter gefühlt fast täglich raus. Solche Posten gibt es in Kleinunternehmen wie unserem gar nicht. Das wüsste ein realer Bewerber auch, ohne sich über unsere Firma zu informieren. Dass der "Bewerber" weder unser Unternehmen noch unsere Branche auch nur mit einer Silbe erwähnt,... der Spam ist ähnlich "professionell" wie die Mails von afrikanischen Prinzen, die Millionenbeträge zu verschenken haben.
 
Jetzt ist das Kind zwar schon in den Brunnen gefallen, aaaaber eventuell eine Lösung:

Solche Postfächer nur in einer VM einrichten.
Die Kollegen haben nur in dieser VM Zugriff darauf und keinerlei Verbindung zum Firmennetz.
Werden dann Anhänge geklickt oder man vermutet ein 0 Day Exploit, macht nicht direkt alles die Grätsche.

Das bringt zwar auch Komfortverlust mit sich, aber verhindert das Schlimmeres passieren kann.
Allerdings verhindert das nicht das solche Mails dann weitergeleitet und von den Empfängern geöffnet werden.
Aber mit passender Ansprache oder Kollegen die im Zweifelsfall genauer drauf schauen bevor es soweit kommt, sollte sich das lösen lassen.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh