Malware? Logo in der Signatur wird ersetzt

  • Thunderbird-Version: 17.0.8
    Betriebssystem + Version: OS X 10.8.4
    Kontenart (POP / IMAP): POP
    Postfachanbieter (z.B. GMX): Strato
    Speicherdienst (z.B. Dropbox): ? auch Strato?
    Wenn es nicht dümmlich wäre, könnte man zwar lachen, aber heute wurde beim Versand einer Mail (zum 2ten Mal) unser Firmenlogo innerhalb der Signatur (HTML) durch das Logo eines Wettbewerbers ersetzt. Passiert nicht bei jeder Mail, anscheinend ab und zu.


    Hat jemand eine Idee, was da los ist? Avast hat nichts finden können.


    Vielen Dank schon mal für alle konstruktiven Antworten.

  • Hallo ghostrider! (<= Ja, so viel Zeit nehmen wir uns hier ... .)


    Ich betrachte es als sehr unwahrscheinlich, dass eine Konkurrenzfirma einen Programmierer mit Hang zu kriminellem Treiben beauftragt, um
    a) in die Rechner einer bestimmten Firma einzudringen,
    b) den von dir beschriebenen Effekt auszuführen, und
    c) auch noch dafür zu sorgen, dass dieses Schadprogramm eigene Wege geht und nicht mehr beherrschbar wird.
    => Fazit, für mich die allerletzte Variante!


    Deshalb ein paar Fragen zu eurer Klickibunti-Signatur:
    1.) Wie ist das Logo in die Signatur eingebunden? (Wird es von euch bei jeder Mail mitgeschickt oder lädt es der Client des Empfäners von "irgendwo" herunter?)
    2.) Heißt das Logo nur "logo.png" o.ä. oder hat es einen eindeutigen Namen? (Nicht, dass euch irgend ein Cache austrickst ...)
    2.) Wenn in der Signatur nur ein Link ist, wo befindet sich der Server, von dem das Logo heruntergeladen wird? (Firmenserver oder bei irgend einem Hoster?)
    3.) Ist die Integrität des Logos durchgängig garantiert? (Ja, ich denke auch an Innentäter!)
    4.) Passiert das bei allen oder nur bei bestimmten Empfängern (und auch Absendern innerhalb der Fa.)?
    5.) Ist das Logo in der gesendeten Mail das richtige? (Also im Gesendet-Ordner)
    6.) Dito, wenn ihr die Mail per BCC auch an euch selbst sendet?
    7.) usw.


    Ich würde also erst mal bei euch selbst suchen.


    BTW: Es gibt schon Gründe, warum man als Firma keine Klickibunti-Mails verschicken sollte. Es gibt keinen richtigen Standard für html bei E-Mail und eine Mail, die bei einem empfangenden Client perfekt aussieht, sieht bei einem anderen Client Sch**** aus. Oder bei sicherheitsbewussten Firmen, die vollständig auf html verzichten, wird (bestenfalls!) nur der Reintext und (schlimmstenfalls!!) der html-Code angezeigt.



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    vielen Dank für Deine prompte Antwort und Deine konstruktiven Fragen, die ich im folgenden beantworten möchte:


    1.) Wie ist das Logo in die Signatur eingebunden? (Wird es von euch bei jeder Mail mitgeschickt oder lädt es der Client des Empfäners von "irgendwo" herunter?)
    es wird bei jeder Mail mitgeschickt.
    Dazu wurde in TB eine HTML-Datei als Vorlage angelegt und dort das Logo als Grafik eingebunden.

    2.) Heißt das Logo nur "logo.png" o.ä. oder hat es einen eindeutigen Namen? (Nicht, dass euch irgend ein Cache austrickst ...)
    Es heißt in der Tag "nur" so.

    2.) Wenn in der Signatur nur ein Link ist, wo befindet sich der Server, von dem das Logo heruntergeladen wird? (Firmenserver oder bei irgend einem Hoster?)
    siehe 1.

    3.) Ist die Integrität des Logos durchgängig garantiert? (Ja, ich denke auch an Innentäter!)
    ja, dafür kann ich garantieren

    4.) Passiert das bei allen oder nur bei bestimmten Empfängern (und auch Absendern innerhalb der Fa.)?
    bis dato nur bei bestimmten Empfängern und auch nur von meinem MAC als Absender

    5.) Ist das Logo in der gesendeten Mail das richtige? (Also im Gesendet-Ordner)
    nein, bei nachträglichen Drüberschauen der versendeten Mail ist mir aufgefallen, dass das Logo nicht dem der Vorlage entspricht.
    Beim Verfassen der Mail, was es aber das korrekte.


    6.) Dito, wenn ihr die Mail per BCC auch an euch selbst sendet?
    bis dato waren die internen Mails immer korrekt

    7.) usw.
    hm, was antworte ich hierauf am besten?


    Deine Meinung zu Firmenlogos in Signaturen kam deutlich drüber und wurde verstanden.
    Ich habe die Signatur nun komplett überarbeitet und verwende zukünftig keine Bilder mehr darin.
    Parallel lasse ich gerade die Kasperle-Software (so heißt das wohl bei Euch ITlern) drüberlaufen.


    Grüße
    Steffen

  • Hallo Steffen,


    also meine Vermutung ist immer noch, dass:
    a) kein Schadcode dieses verursacht hat, und
    b) dich da irgend ein falscher Pfad, eine Datei im Cache o.ä
    narrt bzw. genarrt hat.
    Da es bei mehreren Empfängern und im Gegenzug nur bei Sendung von (d)einem Rechner aus passierte, schiele ich jetzt in eine ganz bestimmte Richtung ... .


    Das mit dem Scannen durch ein aktuelles AV-Programm kann trotzdem keinesfalls schaden, wobei die Wahrscheinlichkeit einer Infektion bei einem Mac (genau so wie bei meinem Linux) wirklich gegen NULL geht, bzw. sehr unwahrscheinlich ist.
    Trotzdem noch ein Tipp in diese Richtung:
    Moderne Schadsoftware der "besseren Art" ist heutzutage sehr wohl in der Lage sich sich vor der laufenden WinDOSe zu verstecken. Das bedeutet, dass ein Scan aus einem laufenden Windows-Betriebssystem heraus, IMHO nur eine sehr geringe Sicherheit bietet. (Es geht wohlgemerkt um Schadsoftware, die sich bereits auf dem Rechner eingenistet hat, also bereits aktiv ist. Es ist selbstverständlich weiterhin so, dass frisch erhaltene "bösartige" Mailanhänge o.ä. meistens gut erkannt werden.)
    Im Umkehrschluss ist nur ein Scan nach Schadsoftware wirklich aussagefähig, wenn der Rechner von einer CD/DVD mit eigenem Betriebssystem (i.d.Regel ein Linux) gebootet wird, und dann von diesem Betriebssystem ein oder besser noch hintereinander mehrere tagesaktuelle AV-Scanner auf den dann nicht aktiven Datenbestand der Festplatte losgelassen werden.
    Etwas derartiges liefert die Zeitschrift c´t 1-2 mal pro Jahr mit Ihrer DVD "desinfec´t" aus. Ganze vier frisch aktualisierte Scanner bieten zumindest die Sicherheit, welche du mit dem für dich als privaten Nutzer maximal zumutbaren Aufwand erreichen kannst.


    Und noch ein Wort zu Klickibunti in Firmenmails.
    Es ist tatsächlich so, dass ein geschickter Programmierer in einer html-Mail für Otto Normalnutzer nicht bemerkbare "Schweinereien" einbauen kann. Das beginnt mit unsichtbaren Pixeln in der Farbe des Hintergrundes, mit deren Hilfe der Empfang der Mail registriert werden kann (nennt sich "Webbug") und geht bis zu eingebettetem Code, welcher wirklich Schadroutinen ausführt. Auch wenn unser Thunderbird recht resistent gegen so etwas ist, lassen andere Mailclients dazu hinreisen, diesen Code auszuführen.
    Deshalb wird in vielen Firmen (vor allem in solchen, die sich eine IT-Sicheitsbetreuung leisten) die Betrachtung von E-Mails im html-Format per Weisung oder besser noch per fest vorgegebenen Einstellungen (die der User nicht ändern kann) verhindert.


    Und da selbiges auch in Word-Dokumenten eingebettet werden kann (bösartige Scripte), mögen es viele Firmen auch nicht, wenn sie derartige Dateien erhalten.
    Deshalb empfehle ich, grundsätzlich Reintextmails zu versenden und darin auf angehängte pfd-Dokumente zu verweisen. Und diese dann können beliebig mit Logo usw. gestaltet werden. So kommt dann auch die Firmenidentität rüber.



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!