Erpressungstrojaner als Word-Dokument getarnt

VorsichtWir leben wieder einmal in Zeiten, in denen man allgemein den Dateianeghängen in den Mails mißtrauen sollte. In letzter Zeit häufen sich die Vorfälle, in denen präparierte Word-Dateien Computer infizieren. Die aktuelle Welle ist sogar bis ins Innenministerium von NRW vorgedrungen.

 

Bei Dateianhängen der neuesten Mails sollte man besonders vorsichtig sein, auch wenn die Absendeadresse von einem Bekannten stammt. Aktuell rollt eine Viren-Welle durch das Internet, bei der die Schädlinge – in erster Linie Verschlüsselungstrojaner – mit auf den ersten Blick harmlosen Word-Dokumenten (.doc) oder Zip-Dateien (.zip) daherkommen.

Die Word-Dateien weisen gefährliche Makros auf und die Archive enthalten bösartige ausführbare Dateien (.exe) oder JavaScript (.js). Auf JavaScript setzen die Angreifer, da dieses von vielen Mailservern nicht blockiert wird. Von der Viren-Welle sind in erster Linie Windows-Nutzer betroffen.

Bis zur Inbfektion sind allerdings mehrere Handgriffe notwendig. Beim Empfang einer Mail mit entsprechendem Anhang passiert ersteinmal gar nichts. Öffnet der Empfänger den Anhang, kann dieser eine bösartige ausführbarde Datei starten, die sich im System einnistet. Versteckt sich der Schadcode in einem Zip-Archiv, muß man dieses erst öffnen und die entpackte Datei ausführen. Es sind also mehrere Schritte nötig um die Infektion einzuleiten.

Die Makros in einer Word-Datei versuchen beim Öffnen der Datei Schadsoftware auf Computer zu laden. Derartige Makro-Viren galten eigentlich als quasi ausgestorben, doch vor einigen Monaten tauchte derartige Malware wieder auf. Die Makros in einer Word-Datei versuchen beim Öffnen der Datei Schadsoftware auf Computer zu laden. Derartige Makro-Viren galten eigentlich als quasi ausgestorben, doch vor einigen Monaten tauchte derartige Malware wieder auf. Da die Ganoven ihre Malware anscheinend regelmäßig warten, kommen die Anbieter von Antiviren-Anwendungen nicht hinterher, denn Leser von heise online berichten, dass ihre Virenscanner oft nicht anspringen.

Mittlerweile häufen sich die Berichte, daß Nutzer mittlerweile auch von Verwandten und Bekannten Mails mit schädlichem Dateianhang bekommen haben. Den Anhang sollte man bei bekanntem Absender nicht abnicken, sondern vorher ersteinmal nachfragen, ob der von der Mail auch etwas weis. Denn oft genug nutzen kriminelle Elemente gekaperte Mail-Accounts für ihre Zwecke und kopieren das Adressbuch des übernommenen Accounst gleich mit.

Erschreckend dabei ist, daß sich die Angreifer immer plausiblere Formulierungen einfallen lassen, damit der Empfänger den infizierten Dateianhang öffnet.

Wenn von einer bekannten Adresse Dateien versendet werden, fragt einfach beim Versender nach, was das ist. Weiß er nichts von der Mail, dann ist definitiv ein Trojaner drin. In dem Fall, sollte der Bekannte sein Passwort zu seinem Mailaccount sofort ändern.

Vorsicht vor extrem gut gemachten Phishing-E-Mails
Auch aktuelle Phishing-E-Mails werden immer perfider und selbst versierte und skeptische Internet-Anwender können auf die vermeintliche PayPal-Buchungen oder Amazon-Warnungen vor „ungewöhnlichen Logins“ hereinfallen.

In diesem Fall sollte man immer die URL, zu dem der Link aus einer Phishing-E-Mail führt, untersuchen, denn etwa

sicherheitscenter-9830.amazon-daten-updates.ru

gehört nicht zur Amazon-Domain.

Verschlüsselungstrojaner im Innenministerium

Im Zug der aktuellen Viren-Welle sorgen vor allem Verschlüsselungstrojaner für Frust. So einen hat sich auch das nordrhein-westfälische Innenministerium Mitte dieser Woche eingefangen und verschiedene Computer in der Verwaltung vorsorglich abgeschaltet. Sicherheitsrelevante Systeme, etwa von der Polizei, sind aber nicht betroffen, berichtet der WDR.

schaedlich
schaedlich

Phishing im Namen Amazons

Wieder einmal machen Phishingmails die Runde, dieses mal wieder im Namen von Amazon. Auffällig dabei ist wieder die Mailadresse des Absenders. Es ist keine Mail von Amazon, das erkennt man schon an der Erweiterung hinter dem @-Zeichen. Ein genauerer Blick in den Header der Mail brachte keine klaren Ergebnisse über die Herkunft. Laut Utrace kam die Mail aus einem Ort auf halben Wege zwischen Marburg und Kassel – von einer deutschen Firma – was aber nicht viel heißen mag, denn deren Server können unwissentlich gekapert worden sein und für Spam missbraucht werden.

Beunruhigender ist die Tatsache, daß man wirklich mit Vor- und Nachnamen angesprochen wird und eine Mailadresse verwendet wird, die schon lang nicht mehr bei Amazon registriert ist. Vielleicht wurde der Provider gehackt. Aus technischen Gründen habe ich die Mail hier anonymisiert. Auffällig ist diesmal, daß die Mail nur ganz simpel gestaltet ist. Schwarzer Text auf weißem Grund ohne irgendwelche Firmenlogos und Farben von Amazon.

Erwähnenswert ist noch der Anhang. Finger weg davon, es ist ein Schädling – digitale Influenza ist garantiert!

Sachbearbeiter Amazon GmbH < *****@webholic.de>
Von: Sachbearbeiter Amazon GmbH < *****@webholic.de>
Ordner: ********@gmx.de/Posteingang
Datum: Thu, 12 Mar 2015 11:03:00 GMT
Betreff: Petra Mustermann Ihr gespeichertes Konto ist nicht hinreichend gedeckt
Ein Anhang: Forderung an Petra Mustermann 12.03.2015 – Sachbearbeiter Amazon GmbH.zip (120 KB)

Sehr geehrte Kundin Petra Mustermann,

Ihr Kreditinstitut hat die Lastschrift zurück gebucht. Sie haben eine nicht bezahlte Forderung bei Amazon GmbH.

Aufgrund des bestehenden Zahlungsrückstands sind Sie gebunden außerdem, die durch unsere Beauftragung entstandenen Kosten von 45,63 Euro zu tragen. Wir erwarten die Überweisung inklusive der Mahnkosten bis spätestens 17.03.2015 auf unser Bankkonto.

Es erfolgt keine weitere Erinnerung oder Mahnung. Nach Ablauf der Frist wird die Angelegenheit dem Gericht und der Schufa übergeben. Die vollständige Forderungsausstellung, der Sie alle Einzelpositionen entnehmen können, ist beigefügt. Für Fragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb des selben Zeitraums.

In Vollmacht unseren Mandanten fordern wir Sie auf, die noch offene Forderung schnellstens zu bezahlen.

Mit verbindlichen Grüßen

Sachbearbeiter Brandt Alexander

Sicherheitsnotiz – Studentin bietet an, auf Webseiten Fehler zu suchen – Fiktion oder Realität?

Heute kam mir eine ganz neue Art von Spam unter :scratch:. In mein digitales Postfach kam heute eine Mail geflattert, von einer Studentin, die sich mit dem Korrigieren von Tipfehlern auf verschiedenen Webseiten ein bisschen Geld zusätzlich verdienen möchte. Zu aller erst wußte ich selbst nicht so genau was ich von dieser Mail an sich selbst so halten sollte. Mehr dazu folgt.

Die Fakten :unsure:

Die Mail :mail: an sich, hängt diesem Artikel weiter unten als Zitat bei, persönlich wichtige Sachen (Mailadressen) und potentiell gefährliche Links habe ich wegen dem Datenschutz entfernt. Bei einer Recherche im Internet bin ich auf verschiedene Foren gestoßen, mit Personen, die eine ähnliche Mail bekommen haben. Dort wurden oftmals auch sämtliche Links zum genaueren Überprüfen mit gepostet. Ich habe ein Live-Ubuntu (ein Linux auf Debian-Basis) mit mehreren Virenscannern von DVD gestartet. Hierbei handelte es sich um Desinfec’t von der Zeitschrift c’t. So konnte ich relativ gefahrlos die Links checken. :wacko:

Zwei Links führten zu einem Artikel und einer Seite von meinem Blog. Jeweils ein Wort wurde kritisiert. Weiter unten standen weitere Links, die im Firefox jeweils eine Seite auftaten und mich zum jeweilieg Artikel bzw der Seite führten. Zusätzlich wurde das falsch geschriebene Wort markiert. Oberhalb des „Vorschaubildes“ gab es noch einen Frame, in dem noch ein paar Informationen eingetragen werden konnten, ob das Angebot weiter genutzt werden wolle und nach Mailadressen und dergleichen. Leider habe ich die Mail zu schnell gelöscht, sonst hätte ich mir den Quelltext zu dieser Seite noch einmal genauer angeschaut.

Weiter unten in der Mail war ein Link zu Finden, der auf die Homepage jener Studentin führte. Dieser Spur bin ich dann einmal weiter nachgegangen. Hier erzählte die Studentin von sich, wie alt sie ist, was sie wo studiert und wie gut ihr Service derwegen angenommen wird. Sogar ein Bild von ihr und ein Video von einer zufriedenen Kundin ist zu sehen. Weiterhin verlangt sie bis zu 60 Euro pro Korrektur, je nach Länge der Webseite. Unteranderem bräuchte sie das Geld, um ihr Studium zu finanzieren. Völlig legitim mag man meinen, wenn das kleine Wörtchen aber nicht währe.

Schaut man sich zu aller erst die Domain einmal an. So verlinkt diese Domain auf irgendeinen Blog bei WordPress.com und ist mit dem davorgesetzten Namen nichts weiter als eine Subdomain. Für alle Laien mag das auf den ersten Blick vielleicht nur ein Achselzucken und ein „Na und?“ wert sein. Betrachtet man es aus dem Blickwinkel eines Geschäftes, so sind bei den vielen angeblich positiven Bewertungen zumindestens ein unter 10 Euro pro Jahr drinnen, eine Top-Level-Domain zu kaufen, ohne zwei oder mehrere Punkte zwischendrinnen. Eine TLD wirkt professioneller.

Ein weiterer Blick direkt auf die Hompage fördert zu Tage, daß es kein Impressum gibt, nur eine simple Mailadresse bei Google-Mail. In Deutschland ist es Pflicht, daß gewerbliche Anbieter von Dienstleistungen und Produkten ein komplettes Impressum mit Namen, Anschrift, Geschäftsinhaber, Angaben zum Handelsregister, Steuer-Identifikation und weitere wichtige Angaben fehlt. Verbraucher müssen sich in dieser Hinsicht über ihr Gegenüber, wo sie Geld überweisen, informieren können. Auch wenn das nur eine nebenberufliche Tätigkeit ist, die da angeboten wird, muß diese versteuert werden und irgendwo gemeldet sein.

Am Ende der Mail :mail: waren noch mehrere Links vorzufinden, die ich auch sicherheitshalber gelöscht habe. Es waren sogenannte Ref-Links, die beim Klicken noch Infos an die Mailserver übertragen haben. Hier konnte man unter anderem den Newsletter dieser Studentin abbestellen. Fakt ist, daß man auf Klick dieses Links eventuell die Mailadresse erst bestätigt. Will heißen, man zeigt den Autoren der Mail, daß die Adresse, an die die Phishing-Mail geschickt wurde, durchaus gültig ist. Beim Klick auf diesen Ref-Link wird die Adresse in einer Datenbank als „genutzt“ freigeschaltet und wird dann später als potenzielle Adresse für Spam und Werbung gehandelt.

Kurios :scratch:

Was mich selbst irritiert hat, war die Tatsache, daß diese Mail an die im Impressum meines Blogs verlinkte Mailadresse ging. Über die Adresse geht ansonsten kein Mailverkehr nach außen, außer alle paar Tage mal eine oder zwei Mails um eine Leserzuschrift zu beantworten. Weiterhin habe ich die Mailadresse nirgends benutzt um mich irgendwo (in Foren, sozialen Netzwerken und weiß der Geier wo) anzumelden. Wer die Medienspürnase und deren Impressum kennt, so ist diese Adresse auch nicht via verlinkt. Nur als ganz normalerText ist diese zu lesen. Zudem wurde das @ weitestgehend kodiert, so daß Spambots ihre liebe Mühe mit dieser Adresse haben. Man muß diese Adresse doch manuell irgendwie in die Datenbanken für den Mailverteiler eingegeben haben. Weiterhin war die Mail so personalisiert, daß direkt auf die mit Rechtschreibefehler behafteten Artikel verlinkt wurde. :unsure:

Fazit 🙁

Das ist eine recht interessante und kuriose Methode um die Leute abzuzocken. Anfangs wußte ich selbst noch nicht genau was ich mit soetwas anfangen sollte. Manch einer braucht einen Korrekturleser, gewerblich oder privat. Aber zum Korrekturlesen kann man durchaus mal bei Bekannten oder Verwandten herumfragen, o die nicht mal auf Fehler lesen. Aber auch denen entgeht der eine oder andere Tipfehler.

Jedenfals kann man sich die 60 Euro irgendwo sparen, zumal hier einiges nach Betrug riecht. Bekommt man als Webseitenbetreiber so eine Mail :mail: , kann man diese getrost in die Tonne kicken. Fragt ersteinmal im Freundeskreis, die lesen kleinere Texte auch schnell mal kostenlos oder gegen Vorlage einer Flasche Bier nach Feierabend.

 

Update 23.10.2014:

Ein Impressum existiert doch, mit der Anschrift und einer Mailadresse. Leider ist dieses durch vielleicht ungeschickte Farbwahl, Positionierung und Größe des Links ziemlich leicht zu übersehen. Neben der Anschrift müßten da noch verschiedene andere Angaben stehen, zumal die Dame eine Kostenpflichtige Dienstleistung anbietet. Dazu gehören eben verschiedene Geschäftsdaten, wie Handelsregister, Niederlassung ihres Geschäfts, welches ja wohl ihre private Anschrift wäre und diverses mehr. Ein Blick bei der Wikipedia auf Impressumspflicht (Link zu Wikipedia) bildet da weiter. Gestern erhielt ich noch eine zweite Mail mit genau dem selben Inhalt, nur von einer anderen Mailadresse und einem anderen Namen – wieder eine junge hübsche Frau. Von daher liegt jetzt der Verdacht nahe, daß man doch versucht irgendwo ein paar Webseitenbetreiber zur Kasse zu beten.

Kirsten Adler weblektorin
Von: Kirsten Adler weblektorin
An:
Ordner: /Posteingang
Datum: Tue, 21 Oct 2014 10:26:21 +0200 (CEST)
Betreff: Flüchtigkeitsfehler auf Ihrer Website xn--mediensprnase-3ob.de

Hallo,

ісh hаbе hеutе Іhrе Іntеrnеtsеіtе xn--mediensprnase-3ob.de еntdесkt, und mіr sіnd еіnіgе Flüсhtіgkеіtsfеhlеr аufgеfаllеn. Ісh zеіgе Іhnеn zwеі Веіsріеlе:

Fehlerhaftes Wort: zurückt Auf dieser Seite: www.xn--mediensprnase-3ob.de/3-2-1-mines/

Fehlerhaftes Wort: allererst Auf dieser Seite: www.xn--mediensprnase-3ob.de/in-eigener-sache/

Klicken Sie bitte hier (hier stand eine dubiose URL mit massig Zahlen und Buchstaben), um die Fehler anzusehen bzw. ein Angebot zu erhalten.

Іhr Gеsсhäft іst fеhlеrfrеі. Вrіngеn Ѕіе mіt mеіnеr Ніlfе Іhrе Wеbsеіtе аuf dеn glеісhеn Ѕtаnd!
Ісh bіn Ѕtudеntіn und аrbеіtе nеbеnbеі аls Wеblеktоrіn. Ісh рrüfе Wеbsеіtеn аuf Flüсhtіgkеіtsfеhlеr (Rесhtsсhrеіb- und Тіррfеhlеr), und ісh stеllе mеіnеn Κundеn Ändеrungsvоrsсhlägе zur Vеrfügung. Віttе kоntаktіеrеn Ѕіе mісh, wеnn Ѕіе dіе Vоllkоrrеktur Іhrеr Wеbsеіtе bеstеllеn möсhtеn.
Mit freundlichen Grüßen
Κіrstеn Аdlе
Wеblеktоrіn
Besuchen Sie meine Webseite (kirstenadler.wordpress.com)!
„Wenige-Fehler-Garantie!“ – Wenn ich weniger als 10 Fehler auf Ihrer Webseite finde, müssen Sie für die Überprüfung nicht zahlen.
PS: Sollten Sie nicht der/die richtige AnsprechpartnerIn sein, bitte ich Sie, diese E-Mail an die richtige Kontaktperson weiterzuleiten.
Vielen Dank im Voraus!
Danke, ich bitte um keine weiteren E-Mails bezüglich der Rechtschreibfehler auf meiner Homepage.

Vorsicht vor der DiBa Kundenwarnung

Heute kam mal wieder eine Mail in meinen Posteingang geflattert, deren Text ich hier mal reinkopiert habe. Dabei handelt es sich um eine Kundenwarnung, die angeblich von der Ing-DiBa stammen soll. Diese Mail stammt aus dem Postfach support@diba.de was durchaus gefälscht sein kann. Auffälliger ist der Link am Ende der Mail www.di-ba-du-sicherheit.cc. Diese Domain ist auf .cc registriert, also bei den Cocos (Keeling) Islands südlich von Indonesien im indischen Ozean. Eine IP-Abfrage der Senderadresse über Whois führte nur zu einer Postfachadresse in Amsterdam. Allerdings sind diese Angaben mit Vorsicht zu geniesen, denn der Mail-Header kann durchaus auch gefälscht sein, um Spuren zu verwischen.

Eine direkte telefonische Verbindung (die Daten dazu findet man bei der Ing-DiBa höchst persönlich) brachte die Antwort zu Tage, daß solche Mails in den letzten Tagen vermehrt unterwegs sind. Die DiBa schreibt die Leute bei Fragen und Vertragssachen schriftlich an und hinterlegt eine Kopie des Schreibens in der Postbox beim DiBa-Account. Nur in seltenen Fällen wendet die DiBa sich telefonisch an ihre Kunden.

Fazit

Die Mail mit folgendem Inhalt ist eine Fälschung, die man getrost in die Abfalltonne kicken kann. Nicht weiter reagieren. Wer allerdings den Fehler gemacht hat, diese Daten anzugeben, dem sei geraten, seine Konten bei der DiBa zu prüfen und die Zugangsdaten ändern zu lassen. Wie man selbst Mails ein bisschen genauer unter die Lupe nehmen kann, habe ich letztes Jahr kurz beschrieben. Mehr dazu findet man auf

1
BLZ: 500 105 17 | BIC: INGDDEFFXXX
ING-DiBa – Kundenwarnung!
*Sehr geehrte Damen und Herren,*

um unseren Kunden bei der ING-DiBa die höchste Stufe an Sicherheit bieten zu können, haben unsere Entwickler ein neues Konzept erstellt.

In Zukunft wird jede Aktion die getätigt wird, über unsere Rechenzentren abgeglichen und bei einer fehlerhaften Übereinstimmung abgelehnt. Sie werden anschließend über diese Aktion benachrichtigt.

Dies dient dazu, Missbrauch durch Dritte zu verhindern. Um dieses neue Konzept aktivieren zu können, ist die erneute Eingabe Ihrer persönlichen Daten, welche bei ING-DiBa hinterlegt sind, erforderlich.

Bitte geben Sie alle erforderlichen Daten wahrheitsgetreu und vollständig an.

> Jetzt aktivieren !

www.di-ba-du-sicherheit.cc/kunden/center/aktualisierung>

Wir bedanken uns bei Ihnen für Ihr Verständnis und bitten Sie die Umstände zu
entschuldigen.
Mit freundlichen Grüßen
*Ihre ING-DiBa*

Eingetragen im Handelsregister des Amtsgerichts Frankfurt am Main unter der
Registernummer HRB 7727. Die Bank hat ihren Sitz in Frankfurt am Main.
Umsatzsteueridentifikationsnummer (UST-Id.-Nr.): DE114103475
Bankleitzahl (BLZ): 500 105 17
BIC: INGDDEFFXXX
© 2014 ING DiBa Inc., ING Europe S.à r.l. 22-24 Boulevard Royal, L-2449, Luxemburg

Sicherheitsnotiz – Schadplugin für WordPress

Seit kurzer Zeit geht eine Phishingwelle um, die sich besonders an WordPress-Administratoren richtet, also jene Leute, die WordPress nur technisch betreuen und jene, die es selbst betreuen und damit Bloggen. Die Phishing Mail soll dazu verleiten, eine kostenlose Pro-Version (Premium) des allseits beliebten All in One SEO Pack zu installieren.

Was ist das All in One SEO Pack? Wozu wird es gnutzt?

Das All in One SEO Pack ist ein Plugin um den Blog durch Seitenbeschreibungen, Tags und Titel (Überschrift) den Blog für Suchmaschinen freundlicher zu gestallten. Dadurch erhöht sich die Chance, bei Google und Co. in der Trefferliste weiter nach vorn zu gelangen. Hiervon gibt es eine kostenlose Version und eine, die man bezahlen muß. Die kostenpflichte Pro-Version umfasst einige Funktionen mehr als die kostenlose. Natürlich ist in der Pro-Version auch besserer Support enthalten.

Was hat es mit der Phihing-Mail nun auf sich?

Die Phishing-Mail bietet WordPress-Administratoren und Bloggern die kostenplfichtige Pro-Version von All in One SEO Pack kostenlos zum Download an. Klackert man auf den Downloadlink in der Mail, so wird man nicht auf die offizielle Plugin-Seite von WordPress geleitet,

http://wordpress.org/plugins/

sondern landet auf einer von Spammern infizierten Seite in Australien oder Brasilien mit den Domainkürzeln *.com *.au oder *.br. Ab hier sollte man bereits das Hirn einschalten und stutzig werden.

Laut der Sicherheitsfirma Sucuri haben bereits einige deren Kunden das Plugin installiert. Und hierbei wird es kriminell. Mit dem Plugin installiert man sich einen Schadcode, der eine Hintertür im Server öffnet und die index.php der betreffenden WordPress-Blogs austauscht. Ab diesem Zeitpunkt ist es möglich, daß Ganoven beliebigen Code in den Blog ihres Opfers einschleusen können, mit dem man die Rechner der Besucher der infizierten Blogseite angreifen kann. Manche Versionen des Schadcodes leiten die Besucher beispielsweise auf Pornoseiten oder andere Server weiter, die weitere Maleware verbreiten.

Fazit

WordPress ist eine beliebte Blogsoftware und daher weit verbreitet. Durch die hohe Verbreitung von WordPress ist es auch ein beliebtes Angriffsziel um Schadcode zu verbreiten oder Spam zu verschicken. Als Blogger der WordPress verwendet oder Administrator für die technische Betreuung für WordPress sollte man dieses natürlich von Anfang an gut absichern. Hierzu findet man im Netz seitenweise Tutorials und How to’s. Auch sollte man Plugins von der offiziellen WordPress-Seite nutzen und nicht irgendwelche dubiosen Angebote aus irgendwelchen Quellen, die mal irgendwer (unbekanntes) per Mail verschickt. Klar können sich auf der Plugin-Seite von WordPress auch dubiose Angebote finden, die Wahrscheinlichkeit ist hier geringer, denn die Community darf hier Bewertungen abgeben und die Zuätzlichen Funktionen auseinandernehmen und überprüfen.

Links

http://wordpress.org/plugins/ Offizielle Seite für WordPress Plugins

Von Katzen und Mäusen – Den Phishing Mails auf der Spur

Wer schonmal den Film Jagd auf roter Oktober gesehen hat kennt das recht berühmte Zitat

Die Schwierigkeit am Katz‘ und Maus-Spiel ist zu wissen wer die Katze ist!

als das amerikanische U-Boot USS Dallas das sowjetische Jagd U-Boot von Kapitän Tupolev mit dessen eigenem Torpedos zerstört. In einem anderen Kontext kann man das Zitat nun doch auch anwenden, beim Enttarnen von betrügerischen Phishing Mails zum Beispiel.

Es gibt doch ein paar Merkmale, an denen man die meist recht gut gemachten Phishing-Mails erkennen kann. Aber man sollte bei Mails immer den gesunden Menschenverstand walten lassen und mit offenen Augen lesen, denn Mailbetrüger machen schon recht geschickt E-Mails nach, wie einige meiner früheren Beiträge zeigten. Mit einigen wenigen Hilfsmitteln kann der ratlose User sich schon weiterhelfen. Mein früherer Chef pflegte immer „Lieber drahtlos als ratlos“ zu sagen.

Merkmale in Text und Schreibweise

Manchmal scheint es, als habe der Betrüger beim Verfassen einer solchen Phishingmail von Duden und Blasen keine Ahnung. Das betrifft die Rechtschreibung, aber auch die Grammatik oder die Kodierung von Sonderzeichen und Umlauten. Oftmals merkt man den Mails an, daß diese mit den Übersetzungstools von Google und co. erstellt wurden. Falsche Ausdrücke, besonders Fachwörter werden im falschen Kontext gebraucht. Die Mails von Unternehmen und Dienstleistern allerdings beinhalten zwar auch den einen oder anderen Fehler, aber die Fehlerquote ist um ein Vielfaches geringer.

Wichtige Daten per Mail?

Gerade wenn wichtige Daten (beispielsweise PINs/TANs oder Kreditkartennummern oder Kontodaten) gefordert werden, oder wenn sich irgendwelche Zahlungsmodalitäten ändern, sollte man schon hellhörig werden. Mails sind im Prinzip nichts anderes als Postkarten, die jeder Provider oder Postbote, der diese weiterleitet, mitlesen kann. Und so verschickt man keine sensiblen Daten. Anderenfals werden Unternehmen und Banken, aber auch Inkassobüros die Infos mindestens als verschlüsselte Mail, aber hauptsächlich per Einschreiben mit der Post versenden. Also stutzig werden, wenn die Bank auf einmal per Mail nach Geheimdaten verlangt.

„Hallo Welt“

Die meisten Unternehmen werden sich eher bemühen, ihre Mails und Newsletter zu personalisieren, also den Empfänger direkt ansprechen. Dazu verwenden die Unternehmen die Namen und Daten, die Sie schon bei der Registrierung angegeben haben. Die Anrede „Sehr geehrte/r Kunde/Kundin“ zeigt, daß der Name nicht vorhanden ist. Vertrauen kommt erst durch Personalisierung, das wissen auch Betrüger. Daher werden Phishingmails mit korrekter Anrede immer häufiger. Diese Daten kommen natürlich dann aus Einbrüchen in die Datenbanken von Unternehmen und Online-Shops, bei denen man schon einmal Waren bezogen hat. Solche Listen mit kompletten Datensätzen werden in Untergrundforen für recht teures Geld gehandelt, für mehr Geld als nur nackte E-Mailadressen.

Spielerische Klickereien

Wirken Anrede und Rechtschreibung authentisch, so macht man sich über eingefügte Buttons und Links her. Profis werden sich von HTML-Mails den Quelltext anschauen wo sie die Links hinter den Buttons besser lesen können. Aber keine Bange, es geht noch etwas einfacher. Man bewege seinen Mauszeiger einfach auf die entsprechenden Buttons oder Links und nun wird die URL in der Statusleiste des verwendeten Browsers oder Mailprogrammes ankommen. Meist sollte doch eine Mail von der Postbank, PayPal oder der INGDiBA auf URLs wie

http://diba.de

oder

http://postbank.de

verweisen. Kommen allerdings seltsame und lange URLs wie

http://britih.com/-vti-bin usw.usw.

heraus ist das ein Merkmal, daß da etwas nicht stimmt. Mir selbst ist da auch schonmal die URL

http://paypal5.net

untergekommen. Meistens arbeiten die Phishingmails mit einem gewissen Druck, beispielsweise sollen Anwalts- und Inkassobüros eingeschaltet werden, wenn keine Zahlung kommt, oder man brauche Geld weil irgendwelche Schwierigkeitren vorliegen, oder es werden Kontosperrungen angedroht. Die Möglichkeiten sind da vielfältig. Hier gilt es dann Ruhe und einen kühlen Kopf zu bewahren. Große Unternehmen und Banken verschicken Mahnungen meist per Einschreiben mit der Post oder einem anderen Brief- und Paketdienst und setzen zumeist angemessene Fristen bis zu einem bestimmten Datum.

Manchmal sind Betrüger so dreist, daß man die Domains von Banken mit sogenannten Subdomains fälschen will. Das ganze sieht dann beispielsweise so aus:

http://ing-diba.de.ht/webkunden

oder

http://verifysparkasse.webs.com

. In den genanten Beispielen wären die Domains

webs.com

und

de.ht

Meist sind auch echte Domains und URLs nicht einfach zu erkennen. Aber viele URLs bestehen aus zwei Hauptteilen:

http://sparkasse.de

wobei das .de Das Länderkürzel ist und

sparkasse.de

die Domain ist und das ist meist der Vordere Teil der URL. Backslashes / dienen in einer URL meist als Trennung für weitere Pfad- und Dateiangaben in die Tiefe eines Servers, der im Prinzip mit genau solchen Ordnern und Dateien arbeitet wie ihr Computer daheim. Wer Zweifel an der Echtheit einer Domain hat, der kann mit dem Tool Whois weitere Recherchen anstoßen und damit ganz einfach die Hintermänner einer mysteriösen Domain ausfindig zumachen. Am Ende des Artikels verlinke ich natürlich wieder auf die verwendeten und genannten Tools.

Können Sie Gedanken lesen?

Um weitere aufschlussreiche Informationen zu bekommen, kann man einer Mail in den Header (Kopf) gucken. Dort stehen die Verbindungsdaten der Mail drinnen. Diese geben Auskunft von wo sie stammen, welchen Weg sie durchs Internet direkt in Ihr Postfach genommen haben und zu welchem Empfänger sie unterwegs waren. Das sind die sogenannten Meta-Daten, und auf diese sind aktuell so einige Regierungen und Geheimdienste scharf.

Und diese Verbindungsdaten kann man mit ein paar kleinen Mausklicks herausfinden. Allerdings läßt sich die Absenderadresse recht einfach fälschen, von daher gibt diese Info nicht viel her. Schwerer zu fälschen sind die Informationen, über welche Server die Mail gegangen ist.

Aber nun ganz von vorn. Wie komme ich an diese Daten heran? Thunderbird verbirgt einen Befehl im, Menü Ansicht–>Kopfzeile–>Alle, Outlook befindet sich die Kopfzeile der geöffneten Mail unter Ansicht–>Optionen–>Nachrichtenoptionen. Bei den Webmailern GMX und Web.de bekommt man die gewünschten Infos über das kleine i neben der Datumsanzeige. Yahoo zeigt den Header, wenn in den Aktionen den gesamten Kopfbereich anwählt. Original anzeigen ist bei Gmail der richtige Weg zu diesen Infos.

Was steht denn nun drin in dem Header?

Eine Received Zeile hat folgende Form:

Received from smtp-out-127-10.amazon.com...
[176.32.127.10]... 
by mx.google.com... 
for &lt; ...@gmail.com&gt;
Ultrace erkennt die im Beispiel verwendete IP Adresse
Ultrace erkennt die im Beispiel verwendete IP Adresse

Der Server der die Mail versendet steht hinter dem Attruibut from und by zeigt uns den Server an, der die Mail empfangen hat. Hat man nun in der betreffenden Zeile den Server des eigenen Providers (GMX, Web.de, Google, T-Online oder Yahoo) gefunden, kann man diesen Informationen trauen, wenn der Provider sagt, daß die Mail beispielsweise von Amazon.com ist. Ist die Sachlage nicht ganz so klar, weil die Sendeadresse vielleicht gefälscht ist, gibt es ein kostenloses Tool mit dem Namen Utrace. Dieser Dienst sucht eine IP Adresse und die dazugehörende Region, wo diese derzeit registriert ist. Und diese sieht man auf der Weltkarte von Google-Maps, wo sich denn die Adresse befindet. In meinem Beispiel von oben, wurde die IP Adresse 176.32.127.10 bei Utrace angebenen und mir wurde von diesem Dienst der Sitz Amazons in Irland gezeigt dazu noch der Firmenname.

Bei Amazon weiß man, daß dieses Unternehmen auch Standorte in Irland betreibt. Würde die Adresse irgendwo auf einen Ort nahe Hintertupfingens zeigen, kann man davon ausgehen, daß diese Mail dann doch unlautere Absichten verfolgt. Ist dem so, hat dann kein richtiger Server die Mail im Postfach abgegeben, sondern irgendein mit Schädlingen verseuchter Zombie-PC aus Hintertupfingen, der Teil eines Bot-Netzes ist. Die PCs in solchen Botnetzen bekommen dann eine Mailvorlage und eine Liste mit einer Menge gesammelter potentieller Mail-Adressen, vielleicht dazu noch Namen und dergleichen. An diese Mail-Adressen werdenn dann so lang E-Mails an, bis das Botnetz auffliegt oder der betreffende PC von Schädlingen gereinigt wird. Phishingmails kommen auch von vielen Freemailern, bei denen sich die Phisher viele Accounts, zu dem Zweck möglichst viel Spam zu versenden, anlegen. Das geht so lang, bis die Accounts vom Provider gesperrt werden.

Nimm die Lupe und gehe nun in die freie Wildbahn

HTTPS Zertifikat der Postbank
HTTPS Zertifikat der Postbank

Mit den oben genannten Methoden hat man die Mails nun doch schon recht gut beschaut. Sind dabei keine verwertbaren Infos herausgekommen, kann man sich den Links zuwenden, fals man sich nicht ganz sicher ist. Dazu brauchts ein gut gesichertes Betriebssystem mit aktuellen Updates, einer guten Virensoftware und für den Browser eine Sandbox. Besser ist es, wenn man sich ein Live-Linux herunterlädt, auf eine CD/DVD bannt und es von nur von dort startet, damit eventuelle Schädlinge keine Chance haben sich auf dem System einzunisten. Bei zweifelhaften Mails kann man noch 2 bis 3 Tage warten, dann kann der Virenwächter sicherer gegen eventuell verseuchte Inhalte vorgehen.

Der erste Blick sollte dann doch einmal auf die Adresszeile oben im Browser gerichtet werden. Ist die Seite der Bank verschlüsselt? Wie sieht die URL aus? Stimmt das Design mit dem Design des Webauftritts der Hausbank überein? Stellt man Fehlerhafte Rechtschreibung und Grammatik fest? Stimmt das HTTPS Zertifikat? Um das zu überprüfen klickt man auf das grüne Schloss. Dort kann man nachlesen, für welchen Anbieter das Zertifikat von wem ausgestellt wurde. Meist stehen in dem Zertifikat noch die Adressdaten beispielsweise der Hausbank drin. Je nach Browser sind dann auch Teile der Adresszeile grün hinterlegt.

Achtung Mailanhänge

Besondere Gefahr geht von Mailanhängen aus, in denen Rechnungen, Mahnungen und dergleichen enthalten sein sollen. Häufig holt man sich ein Trojaner, ein Spionageprogramm, auf seinen Rechner, wenn man diesen Anhang dann doch öffnet. Besteht ein Verdachtsmoment am Absender der Mail heißt es am besten: Finger weg davon! Ausführende Dateien (Endungen auf *.bat, *.exe, *.com, *.dat, *.js, *.cmd, *.jar, *.vbs und so weiter) sind besonders gefährlich. Hier installiert man sich schnell einen Schädling, der gerne mal noch andere Schädlinge aus dem Netz nachlädt. Aber auch Vorsicht bei *.zip und *.rar Dateien, allgemein bei Archivdateien. Diese enthalten gerne statt der versprochenen Rechnung als PDF eine ausführbare Datei. Kriminelle können sogar ihre Schädlinge als Word-, Excel- oder PDF Dokument maskieren. In Office Dateien werden häufig Makros eingebaut, das sind gewissermaßen Automatismen für Routineaufgaben in den allermeisten Dokumenten. Aber diese Makros können auch gefährlichen Inhalt auf den PC laden, wenn sie ausgeführt werden.

Noch gefährlicher sind Dateien mit sogenannten „doppelten Dateiendungen“ wie Rechnung.pdf.exe . Alle gängigen Betriebssysteme haben die Möglichkeit Dateiendungen einzublenden, bei Windows sind die per Standardausgeblendet. Aktivieren kann man das in den Ordneroptionen im Reiter Ansicht – in dem man den Haken bei „Erweiterungen bei bekannten Dateitypen ausblenden“ entfernt. Diese Einstellung ist bei Windows global und wirkt sich auf jeden Ordner aus. Jetzt wird jede Datei mit der Endung (ob doppelt oder nicht) angezeigt.

Ein Telefonanruf genügt

Reißen doch alle Stränge und es besteht ein Verdachtsmoment, sollte man sich doch bei dem Versender der Mail erkundigen. Nein… man nimmt dazu nicht die Telefonnummern, die in der Mail stehen, die können gefälscht sein. Ausgefuchste Cyberkriminelle betreiben irgendwo auf der Welt, aber auch in Deutschland eigene Callcenter und kassieren zusätzlich mit horrenden Telefonpreisen ab. Dazu geht man auf den Webauftritt der Bank oder des Webshops, dort sind im Impressum Kontaktdaten, wie Telefonnummern und dergleichen hinterlegt. Machen Sie sich die Mühe und fragen dort nach, auch wenn man ein wenig in der Warteschleife feststeckt oder das Telefonat ein paar Cent kosten sollte.

Meist wird man von den Phishern per Mail oder sozialem Netzwerk gedrängt, schnell mal Geld zu überweisen, irgendwelche Geheimdaten zu ändern oder das Konto zu verifizieren und zu bestätigen. Seriöse Unternehmen setzen meist angemessene Fristen, beispielsweise 10 oder 14 Tage nach Erhalt der Post ohne sofort Druck auszuüben und Forderungen zu stellen. Oftmals geschehen solche Dinge noch über den guten alten Postweg. Also lassen Sie sich Zeit und prüfen Sie ihre Post sorgfältig. Auch ein Gang zur nächsten Filiale Ihrer Bank, kann so manches Problem der Bank mit Ihnen aufklären

Fazit

Gehen sie mit ein bisschen gesundem Menschenverstand an eine zweifelhafte Mail heran, betrachten Sie diese Mail von vorn bis hinten von links nach rechts und auch umgekehrt wenn es denn sein muß. Tips zum Vorbeugen von Irrtümern sind hier gegeben. Werden Sie im Film von der Maus zur Katze, in dem Sie den Betrügern nicht auf den Leim gehen. Und lieber Leser… Geben sie mir ein Ping!

Links

  1. Herkunft von IP mit Utrace bestimmen
  2. WHOIS Tool von Heise – Wer steckt hinter einer IP?
  3. Gefälschte E-Mails angeblich von Amazon
  4. Erneutes Phishing im Namen von Amazon
  5. Gefährliche Mails von einem Inkassobüro – angeblich im Auftrag von Walbusch

Erneutes Phishing im Namen von Amazon

Heute habe ich wieder einmal eine recht täuschend ähnliche E-Mail erhalten. Angeblich wolle Amazon die Sicherheit des Zahlsystems für Kunden und Händler erhöhen und fordert die Nutzer auf, innerhalb von 8 Tagen einen Link zu öffnen und dort die Anschrift und die verwendeten Kreditkartendaten einzugeben. Ansonsten würde der Zugang zum Konto unwiderruflich gesperrt. Die Mail kommt von datenabgleich@amazon-presse.de. Nur wird Amazon sie niemals per Mail auffordern irgendwelche Kartendaten per Webformular zu verifizieren.

Erhält man solche Mails kann man diese vertrauensvoll an stop-spoofing[add]amazon.com schicken. (das [add] ist durch ein @ zu ersetzen)

Folgenden Inhalt hat die Mail:

Sehr geehrter Amazon Kunde,
Sicherheit hat für Amazon.de höchste Priorität. Wir sorgen für ein sicheres Zahlungssystem, schützen Karteninhaber, Händler,unsere Mitglieder sowie Unternehmen und tragen zum Wachstum bei.

Amazon.de Datenabgleich (Verifizierungsvorgang)

Bitte beachten Sie folgende Hinweise:

Aufgrund sicherheitstechnischen Mängeln bei Online-Anbieter sind wir gezwungen, mit unseren Kunden einen Datenabgleich durchzuführen.

Sollten Sie eine Visa, Master oder AmericanExpress-Card besitzen, bitten wie Sie eine
Adress- und Kartenverifizierung durchzuführen um eine Account/ Kartensperre zu verhindern.

Bitte führen Sie Ihren Datenabgleich baldmöglichst aus. Sollten Sie nicht innerhalb der nächsten 8 Tage Ihren Datenabgleich ausführen, sperrt unser System automatisch Ihren Amazon-Zugang unwiederuflich.

Achtung: Eine Reaktivierung Ihres Amazon.de Kontos ist in diesem Fall nichtmehr möglich!

Klicken Sie hier oder öffnen Sie die Datei in Ihrem Emailanhang und wählen Sie „öffnen mit“ aus.
Füllen Sie alle Daten aus und klicken Sie dann auf „Verifizieren“.
Nach überprüfung Ihrer Daten erhalten Sie eine gesonderte Email zur bestätigung.

Copyright © 2012 Amazon.com,
Amazon EU S.à.r.l.
5, Rue Plaetis
L-2338 Luxemburg

Und sie sieht täuschend echt aus:

Falsche Mail angeblich von Amazon
Falsche Mail angeblich von Amazon

Folgt man den Anweisungen, öffnet sich ein HTML-Dokument, welches der Mail beiliegt. Dort wird man aufgefordert seine Wohnanschrift und Kreditkartennummern zu hinterlegen. Klickert man auf Verifizieren, dann gehts ab zu einem Datensammler, der die Kreditkartennummern und Anschriften für seine Zwecke verwenden wird.

Falsche Weiterleitung
Falsche Weiterleitung

Gefälschte E-Mails angeblich von Amazon

Heute kam bei mir eine E-Mail von Amazon ins Postfach geflattert mit folgendem Inhalt:

Betreff: Bestellung Storniert

Sehr geehrter Kunde,
leider müssen wir Ihnen mitteilen, dass fremde auf Ihr
Amazon Konto zugriff beschaffen konnten.
Die Bestellungen die von Ihrem Amazon Konto an folgende Adresse:

Markus Braun
Ludwig-BeckstraЯe 32
37933 Göttingen

getätigt wurde, haben wir soeben annulliert.
Wir bitten Sie daher, Ihr Kundenkonto schnell zu kontrollieren
und weitere Fehler dem Service Team zu melden.
Öffnen sie dazu bitte den angegebenen Link und befolgen sie die Anweisungen:

HIER KLICKEN

Wir entschuldigen uns für dadurch entstandene Schwierigkeiten und Bitten Sie
um Verständniss.
Ihr Amazon Kunden-Support.

Diese Mail mit dem oder Mails mit ähnlichem Inhalt sind eine Fälschung. Wie ist das als Fälschung zu erkennen? Nun erstmal am Absender der da lautet: noreply@netlogmail.com. Mails von Amazon haben meist die Domains Amazon.com, Amazon.de, Amazon.uk hinter dem @-Zeichen.

Klickt man auf Hier Klicken wird man zu einer Eingabeseite von Amazon geleitet, wo man seine Daten zur Adresse und zu Zahlungsarten ändern soll. (zur Vergrößerung bitte auf das Bild klicken)

Falsche Verifizierungsseite
Falsche Verifizierungsseite

Gibt man dort seine Daten ein, werden diese zwar zu Amazon geleitet, aber im Hintergrund werden diese noch ein zweites mal mit gespeichert und die Betrüger können dann mit den Daten auf Ihre Kosten einkaufen. Hinter dem Button Hier Klicken steckt folgender Eintrag: [http : //amz-kdm . biz].

Die kompromitierte Seite erkennt man an folgendem Link in der Adresszeile seines Lieblingsbrowsers (Klick auf das Bild zum Vergrößern):

Amazon falscher Link
Amazon falscher Link

Sollte man sich dennoch auf diese Seite verirren, erkennt ein aktueller Browser (bei mir war es Firefox 19.02) daß hinter dieser Seite ein Betrüger steckt, aber man sollte sich nicht darauf verlassen, daß diese Seite überall gelistet ist.

Man kann die Mail durchaus in seinem normalen Posteingangsordner bekommen, so wie es mir heute Abend passiert ist, deswegen ist Vorsicht geboten. Diese Mail trudelte am 31. März gegen 22 Uhr bei mir ein. Hier will der Versender der Mail sich wahrscheinlich den 1. April zu Nutze machen, weil man an diesem Datum solche Nachrichten nicht ganz ernst nimmt.

Achtung, das ist kein schlechter Aprilscherz