Phishing-Melde-Plugins

(1)

Installation und Bedienung

TUD-CERT

(2)

1 Einsatzzweck

Mit Hilfe der vom TUD-CERT bereitgestellten Plugins für E-Mail-Clientsoftware können betrügerische und bösartige E-Mails schnell und unkompliziert gemeldet werden. Hierunter fallen insbesondere sog.Phishing-Mails, mit denen Angreifer versuchen, an Informationen wie Zugangsdaten und persön- liche Daten zu gelangen. Auch E-Mails mit möglicherweise schadhaftem Anhang wie unbekannten ausführbaren Dateien oder schadhaften Office-Makros können mittels des Plugins gemeldet werden.

Das TUD-CERT prüft diese eingehenden Meldungen und ergreift ggf. Gegenmaßnahmen.

Phishing-Melde-Plugins stehen derzeit für folgende E-Mail-Clients zur Verfügung:

• Microsoft Outlook2010, 2013, 2016 und 2019 (Windows)

• Mozilla Thunderbird78 und neuer (Windows, macOS, Linux) - in derTestphase, bei Interesse bitte beicert@tu-dresden.demelden

Die Plugins sindNICHTdazu geeignet, Werbemails und sonstigen Spam zu melden. Als Faustregel für die Abgrenzung gilt, dass Mails von unbekannten Absendern mit fragwürdigen dringlichen Hand- lungsaufforderungen (z.B. “klicken Siehier, um Ihr Konto zu entsperren”) meldewürdig sind.

2 Microsoft Outlook

2.1 Installation

Falls Ihr Rechner Mitglied einer AD-Domäne ist, wird die Installation des Plugins zentral gesteuert und erfolgt automatisch. Sie brauchen in diesem Fall die nachfolgenden Schritte nicht auszuführen.

Wenden Sie sich bitte hierzu an Ihren verantwortlichen Administrator.

(3)

Das Plugin wird als 64bit-MSI-Installationspaket in zwei Varianten angeboten:

• TUD-CERT-Melde-Plugin_user.msi: Diese Variante installiert das Outlook-Plugin nur für den lokalen Nutzer, es werden keine Administratorrechte benötigt.

• TUD-CERT-Melde-Plugin_system.msi: Mit diesem Paket wird das Plugin systemweit installiert und steht danach allen lokalen Benutzern zur Verfügung. Es sind Administratorrechte für die Installation erforderlich. Falls Sie eine AD-Domäne betreuen, sollte dieses Paket zur Verteilung an die Benutzer verwendet werden.

Laden Sie das passende Installationspaket herunter und navigieren Sie im Windows-Explorer in das entsprechende Verzeichnis.

Figure 1:Installationsprogramm im Windows-Explorer

Beenden Sie nun eine möglicherweise noch laufende Outlook-Instanz und starten Sie dann das Installa- tionsprogramm mit einem Doppelklick. Bei aus dem Internet heruntergeladenen ausführbaren Dateien zeigt Windows unter Umständen eine Sicherheitswarnung an. Da in diesem konkreten Fall keine Gefahr vom Plugin-Installer ausgeht, kann diese Warnung mit einem Klick auf“Ausführen”ignoriert werden.

(4)

Figure 2:Windows warnt vor heruntergeladenen Dateien

Nach einem Klick auf“Weiter”schlägt der Installer ein Installationsverzeichnis vor. Der Standardwert kann hier in der Regel beibehalten und der Dialog mit einem weiteren Klick auf “Weiter” bestätigt werden.

Figure 3:Auswahl des Installationsverzeichnisses

Nach Beendigung der Installationsroutine kann Outlook neu gestartet werden, das Plugin ist daraufhin automatisch aktiviert.

2.2 Melden verdächtiger E-Mails

Um verdächtige E-Mails an das TUD-CERT zu melden, wählen Sie die betreffende E-Mail mit einem Klick aus und klicken Sie anschließend auf den Meldungs-Button im oberen Bereich des Fensters.

(5)

Figure 4:Auswahl einer verdächtigen Mail in Outlook

Das daraufhin erscheinende Dialogfenster mit der Rückfrage, ob die E-Mail tatsächlich an das Sicher- heitsteam weitergeleitet werden soll, bejahen Sie. Die fragwürdige E-Mail wird im Anschluss an das TUD-CERT weitergeleitet und in Ihr Spam-Verzeichnis verschoben.

Figure 5:Outlook-Sicherheitsabfrage

Falls Sie uns zur Mail noch zusätzliche Informationen mitteilen möchten, können Sie den nachfolgenden Dialog mit “Ja” beantworten und Ihre Nachricht an uns in das Freitextfeld darunter eintragen.

Andernfalls klicken sie hier einfach auf “Nein”.

(6)

Figure 6:Der Meldung weitere Informationen anhängen

Nach erfolgreicher Meldung sehen Sie einen weiteren Bestätigungsdialog, den Sie mit einem Klick auf

“OK”schließen können.

Figure 7:Bestätigung erfolgreich versandter Meldung

(7)

3 Mozilla Thunderbird

3.1 Installation

Das Plugin für Mozilla Thunderbird erfordert mindestens Thunderbird in Version 78.0 und ist kompatibel mit neueren Versionen. Es wird auf den Websiten des TUD-CERT zum Download angeboten und kann sowohl unter Windows, macOS als auch Linux installiert werden. Die folgende Anleitung zeigt den Installationsprozess unter Windows, die Schritte auf anderen Betriebssystemen ähneln sich jedoch stark. Laden Sie das Plugin herunter und navigieren Sie zur Kontrolle in das entsprechende Verzeichnis.

Dort sollte sich eine XPI-Datei befinden:

Figure 8:Thunderbird-Plugin im Windows-Explorer

Starten Sie Mozilla Thunderbird, wählen Sie den E-Mail-Tab aus und klicken Sie am rechten Fenster- rand auf das Menüsymbol. Klicken Sie dann im erscheinenden Menü auf den Eintrag“Add-ons und Themes”:

(8)

Figure 9:Navigation zur Add-on-Verwaltung

Es öffnet sich der Tab“Add-ons-Verwaltung”. Klicken Sie dort rechts neben der Überschrift“Erweiterun- gen verwalten”auf das Zahnrad und wählen Sie den Menüpunkt“Add-on aus Datei installieren. . . ” aus.

Figure 10:Add-on aus Datei installieren

(9)

Navigieren Sie im nun erscheinenden Dateiauswahl-Dialog zur zuvor heruntergeladenen XPI-Datei, wählen diese aus und klicken dann auf“Öffnen”. Thunderbird lädt nun das Plugin und zeigt zur Bestätigung einen weiteren Dialog mit Informationen über unser Phishing-Plugin an. Bestätigen Sie dies mit einem weiteren Klick auf“Hinzufügen”.

Figure 11:Add-on-Installation bestätigen

Das Plugin ist nun aktiviert und kann direkt verwendet werden.

Optional: Um das Verhalten des Plugins an Ihre Bedürfnisse anzupassen, können Sie eigene Einstel- lungen vornehmen. Klicken Sie hierfür in der“Add-ons-Verwaltung”neben dem“TUD-CERT Phishing Report Plugin”auf das Werkzeug-Symbol. Es werden daraufhin weitere Einstellungen sichtbar. Konkret können Sie wählen, ob eine gemeldete E-Mail nach der Meldung automatisch ins Junk-Verzeichnis oder den Papierkorb verschoben oder alternativ im Posteingang behalten werden soll. Zudem können Sie wählen, ob das Plugin automatisch beim Programmstart auf unserem Update-Server nach neuen Versionen suchen soll. Falls eine solche verfügbar ist, wird Ihnen nach dem Start von Thunderbird eine entsprechende Meldung angezeigt. Mit dem Button“Jetzt prüfen”können Sie diese Prüfung außerdem jederzeit manuell durchführen. Wenn Sie Änderungen an diesen Einstellungen vorgenommen haben, klicken Sie anschließend auf den Button“Speichern”.

(10)

Figure 12:Add-on-Einstellungen

3.2 Melden verdächtiger E-Mails

Um verdächtige E-Mails an das TUD-CERT zu melden, wählen Sie die betreffende E-Mail mit einem Klick aus und klicken Sie anschließend auf den Button mit der Aufschrift“E-Mail melden”im oberen rechten Bereich des Thunderbird-Fensters.

Figure 13:E-Mail melden in Thunderbird

(11)

Im daraufhin erscheinenden Dialogfenster können Sie einenoptionalenKommentar zur Meldung hinzufügen, um dem TUD-CERT bei der späteren Bewertung zu helfen. Mit einem abschließenden Klick auf den Button“Meldung abschicken”wird die gewählte E-Mail an das TUD-CERT gemeldet, was einige Sekunden dauern kann. Falls die Meldung nicht erfolgreich versandt werden konnte (es erscheint der Text“Meldung konnte nicht versendet werden, bitte versuchen Sie es später erneut”im Dialogfeld), vergewissern Sie sich zunächst, dass eine funktionierende Internetverbindung besteht und versuchen Sie es dann erneut. Falls auch nach mehrmaligen Versuchen keine Meldung möglich ist, melden Sie uns dies bitte per Mail ancert@tu-dresden.de.