Entries from Security

Berlin unter Top Malware-Versendern !?

Cisco zeigt auf seiner Seite http://www.senderbase.org/static/malware/#tab=1 eine Übersicht der aktuellen Top Malware-Versender, auf der u.a. Deutschland hervorsticht. Zoomt man in die Karte hinein, sieht man, dass der Marker über Berlin schwebt:



Zoomt man auch hier weiter rein, sieht man, dass der Versand aus einem Gebiet zwischen "Berliner Dom", "Deutsches Historisches Museum" und "Auswärtiges Amt der Bundesrepublik Deutschland" erfolgt. Insbesondere das Auswärtige Amt fällt dabei ins Auge (Entfernungsabweichungen bei IP Tracing berücksichtigt):



Zufall oder nicht, aber da fallen einem direkt wieder die letzten Meldungen über infizierte Rechner in Merkes Büro und die Cyberattacke auf den Bundestag ein. Wäre ja nicht abwegig, wenn Malware auch auf die Rechner im Auswärtigen Amt übertragen oder dort parallel dazu platziert wurde . Aber vermutlich ist das alles nur Zufall und es ist gar nichts passiert. Vielleicht tauchen demnächst aber mal wieder Informationen auf Wikileaks (https://www.tagesschau.de/inland/nsa-wikileaks-103.html) auf. Man wird sehen. ^^

Angeblicher Microsoft-Support räumt Konten leer

In diesen Tagen macht eine neue Betrugsmasche die Runde. So werden offenbar zufällig gewählte Rufnummern angerufen, und die Anrufer geben sich als Microsoft Mitarbeiter aus, die sich melden, weil es Probleme mit der Windows-Lizenz des Angerufen gäbe. Der Grund soll ein angeblicher Virenbefall sein, weshalb sie sich remote auf den Rechner aufschalten wollen, um dies zu prüfen. Lässt man das zu, schaltet sich tatsächlich jemand remote auf und präsentiert vermeintliche Viren und Trojaner, die auf dem System gefunden wurden. In Wirklichkeit wird jedoch Schadsoftware platziert !
Um die vermeintlichen Schädlinge loszuwerden und die Lizenz zu aktualisieren, wird man aufgefordert, Kreditkartendaten anzugeben, da die Lizenz damit sofort erneuert werden könne. Das Einzige, das jedoch erneuert wird, ist der Kontostand, der danach dank nicht geringer abgebuchter Summen gar nicht mehr so toll aussieht.

Die Anrufer rufen übrigens aus Nepal und anderen entfernten Ländern an, weshalb man davon absehen sollte sie zurückzurufen. In einem mir bekannten Fall, wurde die Geschädigte knappe zwei Stunden in der Leitung gehalten, was neben denn Abbuchungen durch die entwendeten Kreditkartendaten auch noch eine satte Telefonrechnung zurfolge hatte.

Daher: unbedingt aufpassen und keinen angeblichen Microsoft Mitarbeiter auf's System lassen, denn Microsoft wird seine Kunden niemals über diesen Weg kontaktieren. Erst recht nicht, wenn man seine Lizenz nicht registriert hat. Woher soll Microsoft also wissen, wer man ist ?

Amazon Phishingmail

PayPal Phishingmails oder Nachrichten über eine angebliche Packstationsperrung sind mir nichts neues. Die heutige Mail, die angeblich von Amazon kam, kannte ich hingegen noch nicht:

"Sehr geehrter Amazonkunde,

Wir müssen Ihnen mitteilen, dass unser Anti-Fraudsystem einen unbefugten Zugriff auf Ihren Account festgestellt hat.
Fremde IP-Adresse lautet 153.110.61.223

Um eine Kontosperrung zu vermeiden, bitte wir Sie eine Verifikation vorzunehmen.
Überprüfen Sie Ihr Konto, indem Sie auf den Link klicken.
Wir bitten um Ihr Verständnis und danke für Ihre Mithilfe

Mit freundlichen Grüßen. Ihr Amazon-Team."


Sieht man mal von ein paar kleinen grammatikalischen Fehlern ab, wirkt die Nachricht doch recht authentisch. Es sind sogar Kommata vor dem erweiterten Infinitiv (um zu) sowie vor dem korrekt geschriebenen "dass" gesetzt.
Dennoch: in K9 für Android einfach mal den Finger auf den Link gehalten und schon sieht man was sich dahinter verbirgt und "http://httpss.tk/int/ger/welcome" klingt mir doch so gar nicht nach Amazon. ;-)

Virus per Spammail

Ich erhielt eine E-Mail, die auch mich erstmal grübeln ließ. Der Inhalt:

QUOTE:

KAUFBESTÄTIGUNG FÜR IHREN ROOMNIGHT GUTSCHEIN | EBAY-ARTIKEL-NR: 745111169579
[...]


Ich hätte also angeblich irgendetwas über eBay gekauft. Der Absender ist "Weltbild". Nach kurzem Überlegen und einer Prüfung bei eBay (kein Kauf vermerkt) sah ich mir nochmal den Absender an. Aha: "info-norply@weltbild.de". Da fehlt doch ein "e" in "noreply". Die Links in der E-Mail selbst führen zu regulären Seiten (per Mouse Rollover sichtbar), aber "interessant" ist der Anhang. Eine Rechnung in 'nem ZIP-Archiv. Soweit auch erstmal nichts ungewöhnliches. Dennoch: erst einmal gespeichert und mit Virenscannern geprüft: ergebnislos. Dann mal per Notepad++ reingeschaut und siehe da: "PK...N1CDFåتt.....†~....RE_659023801_783490876.xml.exeòšÀÀÌÀÀÀ......." . Die doppelte Dateiendung, die ich eigentlich beim ZIP-Archiv selbst erwartet hätte, verbirgt sich erst darin: XML.EXE . Also auch ein alter Hut. Alles weitere kann man sich ja sparen.

Für mich und die meisten Leser hier also nichts besonderes. Aber ins Firmenintranet als Tagestip eingestellt, sorgte es doch für interessierte Leser und E-Mails und Anrufe mit Bitten um weitere solcher Tips und ob man Virenmails generell so erkennen könne, etc. .
Das Bewusstsein für Spam, Schadsoftware und Spitzelprogramme hat sich also offenbar geschärft. Wäre jedenfalls gut.

Blogbeschuss: Erste Reaktionen

Der Beschuss hält noch an, aber inzwischen haben die ersten Hoster offenbar reagiert, da Zugriffe von ihren Adressen nicht mehr zu verzeichnen sind.
Jetzt fehlen noch:

de.gigabit.perfect-privacy.com
hosted-by.slaskdatacenter.pl
ks3282917.kimsufi.com
static.hos tnoc.net

Damit wär der Traffic von den meist gelisteten Anbietern gstoppt. Inzwischen verteilen sich die Anfragen auf einzelne IPs, aber auch die dürften ja Hostern zuzuordnen sein.

Page 1 of 4, totaling 19 entries