Seit Anfang des Jahres stellen wir eine deutlich ansteigende SPAM-Welle von neuer Qualität fest. Diese E-Mails sind nicht nur lästig, sondern beinhalten gefährliche Schadsoftware (Trojaner, Viren etc.) welche sich z.B. in falschen Rechnungen verstecken. Ein aktuelles Beispiel ist der Trojaner„Locky“.
Was macht Locky & Co so gefährlich?
Zum einen natürlich die konkreten Schäden, die sie im Infektionsfall durch Verschlüsselung von Daten anrichten – hierüber ist schon viel berichtet worden. Zum anderen aber durch die Raffinesse, mit der sie gängige Anti-Spam- und Anti-Malware-Software austricksen.
Es handelt sich bei diesen Trojanern um einfache, aber gut gemachte Spam E-Mails, die von vertrauenswürdigen Domains versendet werden, die nicht auf Blacklists auftauchen und oft nur einmalig für 2-3 Stunden verwendet werden. Wortfilter finden keine Anhaltspunkte und insbesondere alle Parameter des Mail-Headers bieten keinen Anlass zur „Beanstandung“.
Die Trojaner in den Datei-Anlagen sind zum Teil uralt, so dass sie in den aktuellen Pattern-Files nicht mehr enthalten sind. Darüber hinaus sind die Prüfsummen der Anhänge grundsätzlich unterschiedlich, so dass die Suche nach bekannten Mustern nur stark eingeschränkt möglich ist. Auch der vielzitierte Locky-Trojaner fällt in diese Kategorie.
Ein Beispiel einer solchen Mail finden Sie in einem weiterführenden Artikel: Weiterlesen
Eine weitere neue Bedrohungsklasse sind Targeted Spams, bei denen nach Ausforschung von Insider-Wissen unternehmensinterne Mails vorgetäuscht werden.
Um uns und unseren Kunden einen zuverlässigen Schutz vor aktuellen Trojanerwellen mit DOC, XLS und ZIP Anhängen zu verschaffen, haben wir seit Anfang des Jahres diverse Produkte getestet und vor paar Wochen haben wir endlich das richtige Produkt gefunden: NoSpamProxy!
Was macht No Spam Proxy anders?
NoSpamProxy wertet im Gegensatz zu bekannten Produkten von US-Anbietern den Absender sowohl im Envelope als auch im Header einer E-Mail aus, so dass eine von außen kommende Mail, die mit manipulierten „sent-from“ und anderen Parametern, echten Namen usw. die Mail eines Kollegen vortäuscht, keine Chance hat.
Aber auch NoSpamProxy kann bei der Malware-Erkennung nicht zaubern, so dass die Gefahr besteht, dass beim ersten Auftauchen einer neuen Spam-Welle E-Mails nicht durch den Spam-Filter sofort erkannt werden. Hier greift die Konfiguration mit dem NoSpamProxy Modul Large Files, das eine weitere Verteidigungslinie bildet und Anwender gezielt vor gefährlichen Dateianlagen schützt.
Die Konfiguration bewirkt, dass die Anlage nicht zugestellt wird. Die Datei wird mittels Large Files auf ein zugehöriges eigenes Web Portal hochgeladen und dem Empfänger wird die E-Mail ohne Anlage, aber mit einem Link auf das Web Portal zugestellt. Dies bietet doppelte Sicherheit: Der Anwender sieht damit auf Anhieb, dass diese Anlage eine Sonderbehandlung erfahren hat und kann diese nicht einfach nebenbei öffnen. Zudem findet eine zusätzliche Prüfung durch den auf dem Server vorhandenen Viren-Scanner statt – alte Makro-Trojaner werden von diesen zumeist problemlos erkannt.
Zusätzlich wurde bei der Scan-Erkennung über den globalen Anti-Spam Service Cyren die sogenannte „Olympus“-Option aktiviert, die jetzt auch „Uralt-Pattern“ in die Erkennung einbezieht. Damit werden jetzt auch bereits die ersten Mails einer neuen Welle erkannt. Sollte dies künftig einmal nicht der Fall sein, so greift die Behandlung der Anhänge mit Large Files als nächste Verteidigungslinie.
Damit „erwünschte“ E-Mails nicht fälschlicherweise als SPAM deklariert werden, bietet dieser Lösungsvorschlag Möglichkeiten regelmäßige E-Mail-Kontakte als vertrauenswürdig einzustufen und somit die Wahrscheinlichkeit eines sog. „False Positive“ zu minimieren.
Anhand Ihrer E-Mail-Kommunikation wird so die Entscheidung für jede E-Mail kontinuierlich neu bewertet.
Werden auch Sie in den letzten Monaten von Spam Mails überrollt? Dann nutzen Sie unsere Erfahrung und unser Know-how. Einfach eine Mail an markus.tranziska@skit.de schicken. Wir beraten und unterstützen Sie gerne und unterbreiten Ihnen ein attraktives Angebot.
