Phishing-Melde-Plugins

Installations- und Bedienungsanleitung

Einsatzzweck

Mit Hilfe der vom TUD-CERT bereitgestellten Plugins für E-Mail-Clientsoftware können betrügerische und bösartige E-Mails schnell und unkompliziert gemeldet werden. Hierunter fallen insbesondere sog. Phishing-Mails, mit denen Angreifer versuchen, an Informationen wie Zugangsdaten und persönliche Daten zu gelangen. Auch E-Mails mit möglicherweise schadhaftem Anhang wie unbekannten ausführbaren Dateien oder schadhaften Office-Makros können mittels des Plugins gemeldet werden. Das TUD-CERT prüft diese eingehenden Meldungen und ergreift ggf. Gegenmaßnahmen.

Phishing-Melde-Plugins stehen derzeit für folgende E-Mail-Clients zur Verfügung:

Die Plugins sind NICHT dazu geeignet, Werbemails und sonstigen Spam zu melden. Als Faustregel für die Abgrenzung gilt, dass Mails von unbekannten Absendern mit fragwürdigen dringlichen Handlungsaufforderungen (z.B. “klicken Sie hier, um Ihr Konto zu entsperren”) meldewürdig sind.

Microsoft Outlook

Installation

Falls Ihr Rechner Mitglied einer AD-Domäne ist, wird die Installation des Plugins zentral gesteuert und erfolgt automatisch. Sie brauchen in diesem Fall die nachfolgenden Schritte nicht auszuführen, kontaktieren Sie stattdessen Ihren verantwortlichen Administrator.

Das Plugin wird auf unserer Downloadseite als 64bit-Installationspaket in zwei Varianten angeboten:

  • TUD-CERT-Melde-Plugin_VERSION_user.zip: Diese Variante installiert das Outlook-Plugin nur für den lokalen Nutzer, es werden keine Administratorrechte benötigt.
  • TUD-CERT-Melde-Plugin_VERSION_system.zip: Mit diesem Paket wird das Plugin systemweit installiert und steht danach allen lokalen Benutzern zur Verfügung. Es sind Administratorrechte für die Installation erforderlich. Falls Sie eine AD-Domäne betreuen, sollte dieses Paket zur Verteilung an die Benutzer verwendet werden.

Laden Sie das passende Installationspaket herunter und navigieren Sie im Windows Explorer in das entsprechende Verzeichnis.

Screenshot des Installationspakets im Windows Explorer

Öffnen Sie das Paket mit einem Doppelklick, woraufhin das eigentliche Installationsprogramm sichtbar wird:

Screenshot des Installationsprogramms im Windows Explorer

Beenden Sie nun eine möglicherweise noch laufende Outlook-Instanz und starten Sie dann das Installationsprogramm mit einem Doppelklick. Bei aus dem Internet heruntergeladenen ausführbaren Dateien zeigt Windows unter Umständen eine Sicherheitswarnung an. Da in diesem konkreten Fall keine Gefahr vom Plugin-Installer ausgeht, kann diese Warnung mit einem Klick auf “Ausführen” ignoriert werden.

Screenshot der Windows-Warnung vor heruntergeladenen Dateien

Nach einem Klick auf “Weiter” schlägt der Installer ein Installationsverzeichnis vor. Der Standardwert kann hier in der Regel beibehalten und der Dialog mit einem weiteren Klick auf “Weiter” bestätigt werden.

Screenshot der Auswahl des Installationsverzeichnisses

Nach Beendigung der Installationsroutine kann Outlook neu gestartet werden, das Plugin ist daraufhin automatisch aktiviert.

Melden verdächtiger E-Mails

Um verdächtige E-Mails an das TUD-CERT zu melden, wählen Sie die betreffende E-Mail mit einem Klick aus und klicken Sie anschließend auf den Meldungs-Button im oberen Bereich des Fensters.

Screenshot der Auswahl einer verdächtigen E-Mail in Outlook

Das daraufhin erscheinende Dialogfenster mit der Rückfrage, ob die E-Mail tatsächlich an das Sicherheitsteam weitergeleitet werden soll, bejahen Sie. Die fragwürdige E-Mail wird im Anschluss an das TUD-CERT weitergeleitet und in Ihr Spam-Verzeichnis verschoben.

Screenshot der Outlook-Sicherheitsabfrage

Falls Sie uns zur Mail noch zusätzliche Informationen mitteilen möchten, können Sie den nachfolgenden Dialog mit “Ja” beantworten und Ihre Nachricht an uns in das Freitextfeld darunter eintragen. Andernfalls klicken sie hier einfach auf “Nein”.

Screenshot der Nachfrage, weitere Informationen anzuhängen

Nach erfolgreicher Meldung sehen Sie einen weiteren Bestätigungsdialog, den Sie mit einem Klick auf “OK” schließen können.

Screenshot der Bestätigung einer erfolgreich versandten Meldung

Mozilla Thunderbird

Installation

Das Plugin für Mozilla Thunderbird erfordert mindestens Thunderbird in Version 78.0 und ist kompatibel mit neueren Versionen. Es steht auf der offiziellen Webseite für Mozilla-Thunderbird-Add-Ons zum Download bereit und kann somit sowohl unter Windows, macOS als auch Linux direkt aus Thunderbird heraus installiert werden. Die folgende Anleitung zeigt den Installationsprozess unter Windows, die Schritte unter anderen Betriebssystemen ähneln sich jedoch stark.

Starten Sie Mozilla Thunderbird, wählen Sie den E-Mail-Tab aus und klicken Sie am rechten Fensterrand auf das Menüsymbol. Klicken Sie dann im erscheinenden Menü auf den Eintrag “Add-ons und Themes”:

Screenshot der Navigation zur Add-on-Verwaltung

Es öffnet sich der Tab “Add-ons-Verwaltung”. Suchen Sie im Feld “Weitere Add-ons finden” nach TUD-CERT und bestätigen Sie den Suchauftrag mit der Enter-Taste:

Screenshot der Add-on-Suche

In der Ergebnisliste suchen Sie nun nach dem Plugin “TUD-CERT Phishing Report” und klicken auf den Button “Zu Thunderbird hinzufügen”.

Screenshot des Hinzufügens eines Add-ons

Ein weiterer Dialog bittet noch einmal explizit um Erlaubnis der Installation.

Hinweis: Das Plugin benötigt laut der Dialogbox “vollständigen Zugriff auf Ihren Computer”. Aus technischen Gründen ist eine Einschränkung dieser Rechte derzeit in Thunderbird noch nicht möglich, da das Plugin die Meldungen im Hintergrund als E-Mail versendet, was innerhalb von Thunderbird nur mit vollumfänglichen Rechten möglich ist. Mozilla beschreibt die zugrundeliegenden Ursachen auf ihren Hilfe-Seiten. Damit diese umfassenden Rechte nicht missbraucht werden, durchläuft unser Melde-Plugin vor der Veröffentlichung den manuellen Review-Prozess von Mozilla. Zusätzlich haben wir den Quellcode unter einer freien Lizenz veröffentlicht.

Bestätigen Sie die Installation mit einem Klick auf “Hinzufügen”:

Screenshot der Add-on-Installation

Danach ist das Plugin aktiv und kann direkt verwendet werden.

Optional: Um das Verhalten des Plugins an Ihre Bedürfnisse anzupassen, können Sie eigene Einstellungen vornehmen. Klicken Sie hierfür in der “Add-ons-Verwaltung” neben dem “TUD-CERT Phishing Report” auf das Werkzeug-Symbol. Es werden daraufhin weitere Einstellungen sichtbar. Konkret können Sie wählen, ob eine gemeldete E-Mail nach der Meldung automatisch ins Junk-Verzeichnis oder den Papierkorb verschoben oder alternativ im Posteingang behalten werden soll. Wenn Sie Änderungen an diesen Einstellungen vorgenommen haben, klicken Sie anschließend auf den Button “Speichern”.

Screenshot der Add-on-Einstellungen

Melden verdächtiger E-Mails

Um verdächtige E-Mails an das TUD-CERT zu melden, wählen Sie die betreffende E-Mail mit einem Klick aus und klicken Sie im Vorschaufenster der E-Mail auf den Button mit der Aufschrift “Melden” (neben den Buttons “Antworten”, “Allen antworten” usw.)

Screenshot des Meldens einer E-Mail in Thunderbird

Im daraufhin erscheinenden Dialogfenster können Sie einen optionalen Kommentar zur Meldung hinzufügen, um dem TUD-CERT bei der späteren Bewertung zu helfen. Mit einem abschließenden Klick auf den Button “Meldung abschicken” wird die gewählte E-Mail an das TUD-CERT gemeldet, was einige Sekunden dauern kann. Falls die Meldung nicht erfolgreich versandt werden konnte (es erscheint der Text “Meldung konnte nicht versendet werden, bitte versuchen Sie es später erneut” im Dialogfeld), vergewissern Sie sich zunächst, dass eine funktionierende Internetverbindung besteht und versuchen Sie es dann erneut. Falls auch nach mehrmaligen Versuchen keine Meldung möglich ist, melden Sie uns dies bitte per Mail an cert@tu-dresden.de.