Hier—in Punkt 5 der Liste—ist eine Empfehlung, anonyme E-Mails wegen der Möglichkeit einer Infektion nicht zu beantworten. Ich weiß, dass das früher einmal möglich warwegen JavaScript. Aber ist das immer noch ein Problem? Insbesondere bei E-Mail-Diensten mit höherer Sicherheit wie Gmail.
Antwort1
Das Risiko beim Beantworten von E-Mails zur Domänenregistrierung besteht in den Randrisiken einer Social-Engineering-Entführung und nicht in der tatsächlichen „Infektion“.
Hier – in Punkt 5 der Liste – findet sich die Empfehlung, wegen der Möglichkeit einer Infektion nicht auf anonyme E-Mails zu antworten.
AnschauenArtikelnummer 5 auf der Seite, auf die Sie verlinkenzeigt, dass nichts davon etwas mit grundlegenden E-Mail-Infektionen der Endbenutzer zu tun hat:
5. Antworten Sie nicht auf E-Mail-Korrespondenz zu einer Domain, die Sie nicht kennen (und klicken Sie auch nicht auf Links).Achten Sie auch darauf, nicht auf „offiziell wirkende“ Verlängerungsbenachrichtigungen zu antworten, die Sie per Post von Unternehmen erhalten, die Sie nicht kennen. Domain-Hijacker und skrupellose Registrare sind dafür bekannt, massenhaft Übertragungen vorzunehmen, in der Hoffnung, dass ein kleiner Prozentsatz verwirrter Registranten die Übertragungen versehentlich bestätigt. Wenden Sie sich im Zweifelsfall an Ihren ursprünglichen Registrar, um verdächtige Nachrichten zu überprüfen.
Nachdem Sie das gelesen haben, ist es ziemlich klar, dass es sich bei dem Rat darum handelt, wie Sie betrügerische Übertragungen von Domänennamenregistrierungen und damit verbundene Änderungen des Domänenregistrars vermeiden können. Das heißt, wenn Sie von Ihrem echten Domänenregistrar eine E-Mail-Benachrichtigung erhalten, dass „Ihre Aktion erforderlich ist“, um einen Vorgang abzuschließen, sollten Sie überhaupt nichts unternehmen. Andernfalls laufen Sie Gefahr, einen Vorgang in Gang zu setzen, bei dem jemand – der nicht Sie ist – Ihnen Ihren Domänennamen direkt vor der Nase wegschnappen könnte.
Allerdings wirken diese Anweisungen ziemlich veraltet. Das Copyright der Seite stammt aus dem Jahr 2009, aber selbst damals war es nicht so „magisch“ einfach, auf diese Weise eine Domain-Registrierung zu stehlen.
Die Realität ist, dass Änderungen bei der Domänenregistrierung heutzutage ein paar mehr Kontrollen und Abwägungen erfordern – und viel mehr „Social Engineering“-Fähigkeiten (auch bekannt als: ein kompletter Betrüger zu sein) – und nicht einfach durch das Auslösen einer einfachen E-Mail bewirkt werden können. Obwohl dieser Ratschlag einigermaßen vernünftig ist – es ist immer gut, unerwünschte E-Mails zu ignorieren – ist er auch ein bisschen paranoid.
Zur Kernfrage, ob das Beantworten von E-Mails generell ein Infektionsrisiko darstellt.
Ich weiß, dass das früher einmal dank JavaScript möglich war. Aber ist das heute immer noch ein Problem? Insbesondere bei E-Mail-Diensten mit höherer Sicherheit wie Gmail.
Die Wahrscheinlichkeit, dass Sie sich beim Beantworten einer E-Mail infizieren, ist relativ gering bis gar nicht vorhanden, daantwortenhatniemalsein Vektor gewesen. Das einzige E-Mail-Infektionsrisiko, das einst bestand, kam vonsuchenan – oderÖffnung—eine E-Mail, denn wenn die E-Mail HTML-Inhalte hätte,Warein Risiko, dass HTMLkönnteenthalten eingebettetes bösartiges JavaScript.
Dies war früher ein Risiko in einigen E-Mail-Browsern/-Programmen, die JavaScript nicht richtig aus E-Mails herausfilterten/deaktivierten, wie z. B. – Trommelwirbel – Microsoft Outlook, das HTML-E-Mails behandelte, als wären sie bloß HTML-Webseiten. Allein die bloße Behandlung einer HTML-E-Mail als HTML-Webseite öffnete eine ziemlich große Tür für Infektionen, indem man sich die E-Mail einfach nur ansah.
Sie haben also 100% Recht, wenn Sie meinen, dass es heutzutage mehr Schutzmaßnahmen gibt. Und der wichtigste „Schutz“ besteht darin, dass jedewirklich kompetentmodernen E-Mail-Browser/Programm ist einfachnichtJavaScript überhaupt ausführen, wenn HTML-E-Mail-Inhalte angezeigt werden. Wie auf dieser Seite erklärt„Die Do's und Don'ts von E-Mail-HTML“:
Verwenden Sie kein Javascript. Es wird ignoriert oder sogar als Sicherheitsrisiko behandelt. Wenn jemand einmal eine Sicherheitsbenachrichtigung zu einer Ihrer E-Mails erhält, wird er wahrscheinlich nie wieder eine öffnen.
Das einzige Randrisiko, das mir einfällt, ist, wenn Sie irgendwie einen veralteten, browserbasierten E-Mail-Client verwenden, der JavaScript in HTML-E-Mails nicht aktiv filtert. In diesem Fall würde das browserbasierte E-Mail-Programm die HTML-E-Mail einfach in einem Webbrowser anzeigen. Der würde – natürlich – nur den HTML-Inhalt der E-Mail anzeigen, als wäre es eine reine Webbrowser-HTML-Seite … JavaScript und alles. Aber wie ich schon sagte, das iststrengDies ist heutzutage ein geringes Risiko, Sie sollten sich dessen jedoch bewusst sein, wenn Sie auf ein browserbasiertes E-Mail-Programm stoßen und es verwenden müssen.
Antwort2
Der Grund, warum häufig empfohlen wird, Spam-E-Mails ungeöffnet zu löschen, besteht darin, die Rückmeldungen an die Spammer einzuschränken.
Im Idealfall soll es für Spammer unmöglich sein, zwischen einer E-Mail zu unterscheiden, die von einem Spamfilter abgefangen wurde, und einer E-Mail, die zwar den Spamfilter passiert hat, vom Benutzer jedoch als Spam erkannt wurde.
Wenn die Spammer den Unterschied zwischen den beiden Szenarien erkennen, können sie ihre Spam-Mails automatisch anpassen, um die Spamfilter zu umgehen.
Das Beantworten einer E-Mail, das Klicken auf einen Link in einer E-Mail oder das Laden externer Dateien zum Rendern des Ganzen liefert Feedback an Spammer, was wir vermeiden möchten.
In manchen Kontexten wird der Ratschlag ohne Erklärung des Grundes dafür gegeben, und manchmal mit der impliziten Begründung, dass die Nichtbefolgung des Ratschlags dazu führen würde, dass Ihr Computer mit einem Virus infiziert wird. Obwohl es Schwachstellen gab, die solche Infektionen möglich machten, war dies nie der Hauptgrund für den Ratschlag.
Wie bereits in derAntwort von @Giacomo1968, die Seite, auf die Sie verlinken, bietet einen weiteren Grund, nicht zu antworten oder auf Links zu klicken. Dieser Grund bezieht sich auf bestimmte Arbeitsabläufe im Zusammenhang mit der Domänenverwaltung. Er kann jedoch auch auf andere Arbeitsabläufe zutreffen, und generell kann jede Spam-Mail Teil eines Social-Engineering-Angriffs sein. Manchmal können diese Social-Engineering-Angriffe so kompliziert sein, dass selbst die sicherheitsbewusstesten Benutzer die E-Mail verdächtig finden, aber überhaupt nicht erklären können, wie sie als Teil eines Social-Engineering-Angriffs nützlich sein könnte.
Ob alle drei Gründe oder nur einer der drei auf eine bestimmte E-Mail zutrifft, der Ratschlag bleibt derselbe. Und manche Benutzer sind ganz zufrieden, wenn sie sich nur den Ratschlag merken, nicht aber die Begründung dahinter.