Offen gesagt Benutzer sind dumm
Natürlich nicht alle. Wenn Sie die E-Mail jedoch für Hunderte oder sogar Tausende von Benutzern bearbeiten, haben Sie einige Benutzer, die alles öffnen und ihre Anmeldeinformationen auf jeder Phishing-Seite (sogar) angeben diejenigen, die eine andere Site imitieren!) usw.
Daher werden Mail-Systemen alle Arten von Filtern hinzugefügt, um zu verhindern, dass böswillige Inhalte bei den Benutzern ankommen. Dazu gehören möglicherweise die URL-Reputation, die Antivirenfilterung und eine der leistungsstärksten Funktionen besteht darin, bestimmte Inhalte einfach zu blockieren.
Wann mussten Sie das letzte Mal eine Erweiterung per E-Mail an die Windows-Systemsteuerung senden? Ja, einige Leute entwickeln sie. Der Rest der Welt, der einen erhält, ist nur ein Virus. Auch wenn es von Ihrer AV-Lösung nicht erkannt wird.
In einem Kommentar erwähnt Ismael Miguel ebenfalls ISO-Dateien. Was nützt es, eine ISO-Datei per E-Mail zu senden? Eine typische ISO-Datei ist mindestens 500-600 MB groß. Einige Ihrer Benutzer würden sie gerne per E-Mail senden (sogar mit 4 GB), aber das ist ein Missbrauch des Systems, E-Mail ist nicht für die gemeinsame Nutzung von Dateien ausgelegt und leistet dabei relativ schlechte Arbeit. Sie sollten sich andere Lösungen für die Dateifreigabe ansehen (E-Mail ist jedoch der faule Weg).
Tatsache ist, dass Viren seltsame Formate wie .iso oder alte Komprimierungsformate verwenden, um genau zu überwinden ( E-Mail) -Filter, die ihren Virus blockieren würden, wenn sie einen häufigeren Container (z. B. zip) verwenden würden.
Ja, es dient einfach dazu, naive Benutzer vor der expliziten Ausführung zu schützen ein nicht vertrauenswürdiger Anhang.
Wäre es nicht ausreichend, eine große, fette Warnung zu verwenden, auch bekannt als "Sind Sie wirklich sicher, dass Sie dies tun möchten?"
Die Erfahrung hat gezeigt, dass dies nicht der Fall ist.
Sehen Sie sich beim Öffnen eines Dokuments mit Makros die Benutzeroberfläche von Microsoft Office an. Genau das wird beim Öffnen einer aus dem Internet heruntergeladenen Datei / einer E-Mail eine Leiste angezeigt, z. B.:
Seien Sie vorsichtig - E-Mail-Anhänge können Viren enthalten. Sofern Sie keine Änderungen vornehmen müssen, ist es sicherer, in der geschützten Ansicht zu bleiben.
( Liste der Nachrichten in der geschützten Ansicht)
Fast alle Das schädliche Dokument enthält Inhalte, die den Benutzer anweisen, die geschützte Ansicht zu deaktivieren, "um das Dokument anzuzeigen". Eigentlich, damit die böswilligen Makros ausgeführt werden.
Und die schlechte Nachricht ist, dass sie - für einen Bruchteil der Benutzer - funktionieren. Benutzer erhalten schädliche E-Mails, öffnen die angehängten (oder verknüpften) Dokumente, die mit Makros infiziert sind, deaktivieren die geschützte Ansicht "Sandbox" und werden infiziert. Die jüngsten Emotet-Infektionswellen verwendeten meistens (?) Makrodokumente. Und die Leute wurden infiziert. Durch Lasten.
Es ist nicht so, dass es ein schlechtes Design ist. Tatsächlich hatten die Microsoft-Ingenieure keine andere Wahl, als den Benutzern das Überschreiben zu erlauben (Hinweis: Der Systemadministrator kann erzwingen, dass sie blockiert werden), da es bestimmte legitime Fälle für das Senden und Empfangen von Dokumenten gibt mit Makros.
Es gibt natürlich legitime Fälle für den Empfang von ansonsten blockierten Anhängen, einschließlich verdächtiger oder sogar als schädlich bekannter Inhalte. Beispielsweise sollte eine Missbrauchs-E-Mail-Adresse in der Lage sein, eine Benachrichtigung über die schädliche URL in ihrer eigenen Infrastruktur zu erhalten, die einen Trojaner oder ein Beispiel der E-Mail bedient Sie senden , anstatt es wie einige Systeme beim Empfang zu blockieren (die beste Vorgehensweise wäre, Filter sowohl beim Senden als auch beim Empfangen anzuwenden).
Somit könnten die Filter sein konfiguriert, um bestimmte Absender / Empfänger / Postfächer auszunehmen, die benötigen, um ansonsten blockierte Anhänge zu empfangen. Ein gutes Setup kann außerdem sicherstellen, dass nur von bestimmten Systemen (möglicherweise isoliert vom Netzwerk?) Und / oder von einigen Benutzern, von denen bekannt ist, dass sie nicht dumm sind, auf sie zugegriffen werden kann. :-)