Ist Klick auf diesen Link in verdächtiger E-Mail als kompromittierend einzustufen?
 

Hallo,

heute ist es mir denn auch mal passiert: ein Klick auf einen Link in (sehr) verdächtiger E-Mail.
Den Anhang habe ich aber weder angeklickt noch geöffnet. Meine Frage zielt darauf, ob schon von diesem Klick auf den Link eine Gefahr ausgehen kann und ich den Rechner neu aufsetzen müsste.

Die Daten: openSUSE 12.2, Thunderbird Version 24.0, Ausführung als "Normal"-Benutzer mit den Gruppen users, lp und video.

Die betreffende Mail ist eine der typischen gefakten Paketdienst-Benachrichtigungen. Da sie zeitlich zusammenhängend mit einer aufgegebenen Bestellung reinkam, war meine Wachsamkeit leider herabgesetzt.

Habe die Mail im Vorschaumodus gesehen, aber noch keine externen Inhalte zugelassen. Stattdessen auf den Link "DHL Benachrichtigungsservice" geklickt. Es gab KEINE REAKTION, aber heißt das auch, dass nichts passiert ist?

In HTML betrachtet sieht der Link aus meiner Sicht verstümmelt aus:

<a href=3D"../derefe=
rrer?redirectUrl=3Dhttps%3A%2F%2Fnolb.dhl.de%2Fnextt-online-business%2Fgw=
%2Fevs%2FSendEmail.action" target=3D"_blank">DHL Benachrichtigungsservice=
</a>

Daraufhin habe ich einen Test vorgenommen und selbst einen ähnlichen Link in einer HTML-Datei erstellt und im Browser getestet, nach diesem Muster:

<a href=3D"n-tv.de" target=3D"_blank">NTV=</a>

Damit lande ich aber nicht auf hxxp://n-tv.de, sondern der Browser versucht den Link lokal zu dereferenzieren. So in etwa: file:///home/daedalossi/3D... Und da findet er natürlich nichts.

Deshalb hoffe ich, dass der Klick auf den Spam-Link in diesem Fall ebenfalls harmlos war. Kann das jemand bestätigen? Für einen klärenden Hinweis wäre ich sehr dankbar.



Hinweis zu meinem Rechner: ich nutze ihn gewerblich in meiner 1,25-Mann-Firma (besteht also aus meiner Wenigkeit und meiner Frau, die die Buchhaltungsunterlagen pflegt).



Anbei noch der komplette Quelltext des Mails (ohne Anhang, meine Empfängeradresse geändert):

Return-Path: <interrogatesgc2@dhl.de>
Received: from mailin55.aul.t-online.de ([172.20.27.4])
by ehead107.aul.t-online.de (Dovecot) with LMTP id i7KPNigrn1L7NQAA2OXCLA;
Wed, 04 Dec 2013 14:16:24 +0100
Received: from gateway.kinderhut.de ([217.86.225.164]) by mailin55.aul.t-online.de
with esmtp id 1VoCJS-0KrF0i0; Wed, 4 Dec 2013 14:16:22 +0100
X-Spam-Relays-Untrusted: [ ip=165.72.200.102 rdns= helo=gateway1c.dhl.com
by=mail5.getronics.com ident= envfrom= intl=0 id= auth= msa=0 ] [
ip=2.116.16.209 rdns=gb-dkgivr01.gb.dhl.com helo=gb-dkgivr01
by=gateway1c.dhl.com ident= envfrom= intl=0 id= auth= msa=0 ] [
ip=2.116.16.209 rdns= helo=gb-dkgivr01 by=gb-dkgivr01 ident= envfrom=
intl=0 id= auth= msa=0 ]
Received: from gateway1c.dhl.com ([165.72.200.102])
by mail5.getronics.com with ESMTP; Wed, 4 Dec 2013 14:16:20 +0100
Received: from gb-dkgivr01.gb.dhl.com (HELO gb-dkgivr01) ([2.116.16.209])
by gateway1c.dhl.com with ESMTP; Wed, 4 Dec 2013 14:16:20 +0100
Received: from gb-dkgivr01 ([2.116.16.209]) by gb-dkgivr01 with Microsoft
SMTPSVC(5.0.2195.6713); Wed, 4 Dec 2013 14:16:20 +0100
From: landwardto301@dhl.de
To: <daedalossi@daedalossi.de>
Date: Wed, 4 Dec 2013 14:16:20 +0100
Message-ID: <17-RBLDZ1NDVT42UWDOLV0S1SST@gb-dkgivr01.dhl.com>
Subject: DHL Paket Ihrer Sendung 304629603489
MIME-Version: 1.0
Message-ID: <UB1LY1QC26OXHSZFDUUGA2DH5YDM9V1M@kul-dc.dhl.com>
Content-Type: multipart/mixed;
boundary="----=mpoint__hswsxdpnsg_59_73_69"
X-TOI-SPAM: n;1;2013-12-04T13:16:24Z
X-TOI-VIRUSSCAN: unchecked
X-TOI-EXPURGATEID: 149288::1386162983-00001410-77926595/0-0/0-7
X-TOI-SPAMCLASS: DANGEROUS, VIRUS
X-TOI-MSGID: 6e2c9837-4629-451a-b66f-712206d21226
X-Seen: false
X-ENVELOPE-TO: <daedalossi@daedalossi.de>

------=mpoint__hswsxdpnsg_59_73_69
Content-Type: multipart/alternative;
boundary="----=_hswsxdpnsg_59_73_69"

------=_hswsxdpnsg_59_73_69
Content-Type: text/plain;
charset="windows-1250"
Content-Transfer-Encoding: quoted-printable





Sehr geehrte Kundin, sehr geehrter Kunde,die für Sie besti=
mmte Sendung 334123698513 wurde an DHL übergeben und wird voraussich=
tlich am 05.12.2013 zwischen 11:00 - 18:00 Uhrzugestellt.Weitere Info=
rmationen über den Sendungsstatus stehen Ihnen durch die direkte Sta=
tusabfrage über den folgenden Link zur Die befestigte DateiMit freun=
dlichen Grüßen,Ihr DHL TeamPS: Kennen Sie schon unser Privatkun=
denportal Paket.de? Registrieren Sie sich jetzt und profitieren Sie bei I=
hren zukünftigen DHL Paketen von unseren flexiblen Empfängerser=
vices.Diese Mail dient lediglich der Information und garantiert nicht die=
Zustellung der Sendung. Auf diese Mail kann nicht geantwortet werden. Ih=
re E-Mailadresse wird ausschließlich für die Paketankündig=
ung der oben genannten Sendung genutzt und nicht zu werblichen Zwecken ge=
speichert. Sollten Sie die Paketankündigung nicht mehr beziehen woll=
en, klicken Sie bitte hier: DHL Benachrichtigungsservice ImpressumDeutsch=
e Post AGVertreten durch den VorstandDr. Frank Appel, Vorsitz, Ken Allen,=
Roger Crook, Bruce Edwards, Jürgen Gerdes, Lawrence A. Rosen, Angel=
a TitzrathHandelsregister-Nr.: Registergericht Bonn HRB 6792, USt-IdNr.: =
DE 169838187Charles-de-Gaulle-Straße 20, 53113 Bonn=A9 2013 DHL





------=_hswsxdpnsg_59_73_69
Content-Type: text/html;
charset="windows-1250"
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=3DContent-Type content=3D"text/html; charset=3Dwindows-1=
250">
<STYLE>
jxfdv {
text-align: center;
}
</STYLE>
</HEAD>
<BODY class=3D"jxfdv">
<div class=3D"mail-content" id=3D"id50a"><!--p {
font-size: 12.0px;
line-height: 16.0px;
font-family: Arial;
}
a {
FONT-WEIGHT: normal;
COLOR: rgb(0,0,0);
TEXT-DECORATION: underline;
}
p.caption {
FONT-SIZE: 20.0px;
COLOR: rgb(217,5,17);
FONT-FAMILY: Arial;
margin: 0.0px;
}
table {
border: 0.0px;
border-spacing: 0.0px;
border-collapse: collapse;
padding: 0.0px;
}
p.footer_text {
text-align: right;
}
a.impressum {
font-size: 10.0px;
font-family: Arial;
}
a:link.impressum {
color: black;
}
a:visited.impressum {
color: black;
}
p.impressum_text {
font-size: 9.0px;
font-family: Arial;
line-height: 12.0px;
}
a.footer_link {
color: rgb(217,5,17);
font-weight: bold;
}
-->

<table cellpadding=3D"0" cellspacing=3D"0" width=3D"595">
<tbody><tr><td>

<table cellpadding=3D"0" cellspacing=3D"0" width=3D"100%">
<tbody><tr style=3D"height: 19.0px;"><td style=3D"width: 56.0px;"></td=
><td style=3D"width: 390.0px;"></td><td style=3D"width: 134.0px;"></td><t=
d></td></tr>
<tr style=3D"height: 40.0px;"><td></td><td></td><td><img alt=3D"" src=
=3D"hxxp://www.dhl.de/content/dam/dhlde/external/dhl-header.gif"></td>
</tr></tbody></table>
</td></tr>

<tr style=3D"height: 30.0px;"><td></td></tr>
<tr><td>

<table cellpadding=3D"0" cellspacing=3D"0" width=3D"100%">
<tbody><tr><td style=3D"width: 56.0px;"></td><td style=3D"width: 483.0p=
x;">
<div id=3D"content_div"><div id=3D"content_div">



<p>Sehr geehrte Kundin, sehr geehrter Kunde,</p>

<p>die für Sie bestimmte Sendung 334123698513 wurde an DHL über=
geben und wird voraussichtlich am <b>05.12.2013</b>
zwischen <b>11:00 - 18:00 Uhr</b>
zugestellt.<br>
</p>

<p>Weitere Informationen über den Sendungsstatus stehen Ihnen durch =
die direkte Statusabfrage über den folgenden Link zur Die befestigte=
Datei</p>

<p>Mit freundlichen Grüßen,<br>
Ihr DHL Team</p>


<p>PS: Kennen Sie schon unser Privatkundenportal Paket.de? Registrieren S=
ie sich jetzt und profitieren Sie bei Ihren <b>zukünftigen</b> DHL P=
aketen von unseren flexiblen Empfängerservices.</p>


<p style=3D"font-size: 8.0pt;">Diese Mail dient lediglich der Information=
und garantiert nicht die Zustellung der Sendung. Auf diese Mail kann nic=
ht geantwortet werden. Ihre E-Mailadresse wird ausschließlich fü=
;r die Paketankündigung der oben genannten Sendung genutzt und nicht=
zu werblichen Zwecken gespeichert. Sollten Sie die Paketankündigung=
nicht mehr beziehen wollen, klicken Sie bitte hier: <a href=3D"../derefe=
rrer?redirectUrl=3Dhttps%3A%2F%2Fnolb.dhl.de%2Fnextt-online-business%2Fgw=
%2Fevs%2FSendEmail.action" target=3D"_blank">DHL Benachrichtigungsservice=
</a></p>

</div>

<hr>
<b><p style=3D"font-size: 10.0px;font-family: Arial;">Impressum</p></b>
<p style=3D"font-size: 9.0px;font-family: Arial;">Deutsche Post AG<br>
Vertreten durch den Vorstand<br>
Dr. Frank Appel, Vorsitz, Ken Allen, Roger Crook, Bruce Edwards, Jür=
gen Gerdes, Lawrence A. Rosen, Angela Titzrath<br>
Handelsregister-Nr.: Registergericht Bonn HRB 6792, USt-IdNr.: DE 1698381=
87<br>
Charles-de-Gaulle-Straße 20, 53113 Bonn</p>
</div>
<p></p>
<p style=3D"line-height: 10.0px;font-size: 10.0px;font-family: Arial;text=
-align: left;"><b>=A9 2013 DHL</b></p>


</td><td style=3D"width: 56.0px;"></td></tr>
</tbody></table>
</td></tr>

<tr style=3D"height: 30.0px;"><td></td></tr>
<tr><td>
<table border=3D"0" cellpadding=3D"0" cellspacing=3D"0" width=3D"100%">
<colgroup>
<col width=3D"56px">
<col width=3D"483px">
<col width=3D"56px">
</colgroup>
<tr>
<td colspan=3D"3"><img alt=3D"" src=3D"hxxp://www.dhl.de/content/dam/dh=
lde/external/dhl-footer.gif">
</td>
</tr>
</table></td>
</tr></table>
</BODY></HTML>

------=_hswsxdpnsg_59_73_69--

Hallo,

hört auf dir gedanken zu machen, es gibt keine E-Mail-Schädlinge für Linux die man einfach so per doppelklick starten könnte
Du hast aber offensiichtlich diesen Link angeklickt in der spam, d.h. du musst damit rechnen dass es nun noch mehr spam gibt. Über Links in Spammails sind idR unique ids, damit wollen Spammer schauen welche Mailadresse noch "intakt" ist und ob der User doof genug ist draufzuklicken.

Super - danke dass Du kurz draufgeschaut hast.

Ich finde es schon sehr erstaunlich, dass es für Linux nach wie vor definitiv keine solche Schadsoftware gibt. Wäre doch auch ein interessanter Markt für die Angreifer?

Nun, um einzuschätzen, was in dieser Hinsicht auf Linux geht und was nicht, fehlt mir einfach die Sachkenntnis und deswegen nochmal Dank für Deine Mühe und klare Aussage!

Gruss Daedalossi

Interessanter Markt?
Als Desktop-System kommt Linux nur auf 1-2% der Rechnern zum Einsatz. Und diese sind aufgesplittet in mehreren Distros, die sich voneinander stark unterscheiden können. Heißt, die Malware läuft einfach nicht auf allen Linux-Distros gleichermaßen. Bei Windows läuft die Malware wie sie soll und zwar von Win2000 bis Win8 :D
Zudem kannst du auf einen Anhang rumklicken wie du willst, die Datei ist nicht ausführbar, sondern erst wenn das x-Flag gesetzt ist siehe Unix-Dateirechte ? Wikipedia

OK, verstehe - denn das x-Flag lässt sich nur in Verbindung mit dem Dateisystem setzen.

Und ich muss zugeben: dass Linux als Desktopsystem so weit abgeschlagen ist, war mir auch nicht bewusst. Hier habe ich mich gerade mal upgedatet: hxxp://en.wikipedia.org/wiki/Usage_share_of_operating_systems.

Noch schlimmer, selbst Icaza (führender Gnome-Entwickler) glaubt nicht mehr so recht an den Linux-Desktop: hxxp://www.techradar.com/news/software/operating-systems/is-the-linux-desktop-becoming-extinct--1146963.

Dafür ist Linux aber umso verbreiteter auf Servern (Debian, RedHat, CentOS, Suse Enterprise Linux) und auf Smartphones (Android, Ubuntu Phone)

Und die werden auch angegriffen, die Server und Smartphones

Vernünftige Server sind entsprechend von gescheiten UNIX-Admins abgesichert.
Und Smartphones mit ihrem Android, naja :pfeiff: