Entries tagged as security

Angeblicher Microsoft-Support räumt Konten leer

In diesen Tagen macht eine neue Betrugsmasche die Runde. So werden offenbar zufällig gewählte Rufnummern angerufen, und die Anrufer geben sich als Microsoft Mitarbeiter aus, die sich melden, weil es Probleme mit der Windows-Lizenz des Angerufen gäbe. Der Grund soll ein angeblicher Virenbefall sein, weshalb sie sich remote auf den Rechner aufschalten wollen, um dies zu prüfen. Lässt man das zu, schaltet sich tatsächlich jemand remote auf und präsentiert vermeintliche Viren und Trojaner, die auf dem System gefunden wurden. In Wirklichkeit wird jedoch Schadsoftware platziert !
Um die vermeintlichen Schädlinge loszuwerden und die Lizenz zu aktualisieren, wird man aufgefordert, Kreditkartendaten anzugeben, da die Lizenz damit sofort erneuert werden könne. Das Einzige, das jedoch erneuert wird, ist der Kontostand, der danach dank nicht geringer abgebuchter Summen gar nicht mehr so toll aussieht.

Die Anrufer rufen übrigens aus Nepal und anderen entfernten Ländern an, weshalb man davon absehen sollte sie zurückzurufen. In einem mir bekannten Fall, wurde die Geschädigte knappe zwei Stunden in der Leitung gehalten, was neben denn Abbuchungen durch die entwendeten Kreditkartendaten auch noch eine satte Telefonrechnung zurfolge hatte.

Daher: unbedingt aufpassen und keinen angeblichen Microsoft Mitarbeiter auf's System lassen, denn Microsoft wird seine Kunden niemals über diesen Weg kontaktieren. Erst recht nicht, wenn man seine Lizenz nicht registriert hat. Woher soll Microsoft also wissen, wer man ist ?

Amazon Phishingmail

PayPal Phishingmails oder Nachrichten über eine angebliche Packstationsperrung sind mir nichts neues. Die heutige Mail, die angeblich von Amazon kam, kannte ich hingegen noch nicht:

"Sehr geehrter Amazonkunde,

Wir müssen Ihnen mitteilen, dass unser Anti-Fraudsystem einen unbefugten Zugriff auf Ihren Account festgestellt hat.
Fremde IP-Adresse lautet 153.110.61.223

Um eine Kontosperrung zu vermeiden, bitte wir Sie eine Verifikation vorzunehmen.
Überprüfen Sie Ihr Konto, indem Sie auf den Link klicken.
Wir bitten um Ihr Verständnis und danke für Ihre Mithilfe

Mit freundlichen Grüßen. Ihr Amazon-Team."


Sieht man mal von ein paar kleinen grammatikalischen Fehlern ab, wirkt die Nachricht doch recht authentisch. Es sind sogar Kommata vor dem erweiterten Infinitiv (um zu) sowie vor dem korrekt geschriebenen "dass" gesetzt.
Dennoch: in K9 für Android einfach mal den Finger auf den Link gehalten und schon sieht man was sich dahinter verbirgt und "http://httpss.tk/int/ger/welcome" klingt mir doch so gar nicht nach Amazon. ;-)

Virus per Spammail

Ich erhielt eine E-Mail, die auch mich erstmal grübeln ließ. Der Inhalt:

QUOTE:

KAUFBESTÄTIGUNG FÜR IHREN ROOMNIGHT GUTSCHEIN | EBAY-ARTIKEL-NR: 745111169579
[...]


Ich hätte also angeblich irgendetwas über eBay gekauft. Der Absender ist "Weltbild". Nach kurzem Überlegen und einer Prüfung bei eBay (kein Kauf vermerkt) sah ich mir nochmal den Absender an. Aha: "info-norply@weltbild.de". Da fehlt doch ein "e" in "noreply". Die Links in der E-Mail selbst führen zu regulären Seiten (per Mouse Rollover sichtbar), aber "interessant" ist der Anhang. Eine Rechnung in 'nem ZIP-Archiv. Soweit auch erstmal nichts ungewöhnliches. Dennoch: erst einmal gespeichert und mit Virenscannern geprüft: ergebnislos. Dann mal per Notepad++ reingeschaut und siehe da: "PK...N1CDFåتt.....†~....RE_659023801_783490876.xml.exeòšÀÀÌÀÀÀ......." . Die doppelte Dateiendung, die ich eigentlich beim ZIP-Archiv selbst erwartet hätte, verbirgt sich erst darin: XML.EXE . Also auch ein alter Hut. Alles weitere kann man sich ja sparen.

Für mich und die meisten Leser hier also nichts besonderes. Aber ins Firmenintranet als Tagestip eingestellt, sorgte es doch für interessierte Leser und E-Mails und Anrufe mit Bitten um weitere solcher Tips und ob man Virenmails generell so erkennen könne, etc. .
Das Bewusstsein für Spam, Schadsoftware und Spitzelprogramme hat sich also offenbar geschärft. Wäre jedenfalls gut.

Blog erneut unter Beschuss

Seit einigen Tagen steht das Blog erneut unter Beschuss, was auch die miserable Performance erklärt.
U.a. kommen die zahlreichen "Anfragen" von den Hostern

static.dim enoc.com
de.gigabit.perfect-privacy.com
fib ersunucu.com.tr
static.hostnoc.net
vpn999.com


die allesamt bereits informiert wurden.

Somit sorry für die Erreichbarkeitsprobleme im Moment.

Fragwürdige Seitenaufrufe

Da frage ich mich doch, was hier seit einigen Minuten los ist:


2013-06-07 20:23 http://www.nerd.junetz.de
/ Mozilla/5.0 (Windows NT
5.1; rv:13.0)
Gecko/20100101
Firefox/13.0.1

dhcp-5-254-139-117.cust.v pntunnel.se


2013-06-07 20:22 http://nerd.junetz.de/ Mozilla/4.0 (compatible;
MSIE 7.0; Windows NT 5.1;
Trident/4.0; .NET CLR
2.0.50727; .NET CLR
3.0.4506.2152; .NET CLR
3.5.30729)

198-49-66-248.static.dime noc.com


2013-06-07 20:22 http://nerd.junetz.de/ Mozilla/5.0 (Windows NT
6.1; WOW64)
AppleWebKit/535.1 (KHTML,
like Gecko)
Chrome/13.0.782.112
Safari/535.1

84-112-211-204.dynamic.su rfer.at


2013-06-07 20:22 http://nerd.junetz.de/ Mozilla/5.0 (Windows NT
6.1; WOW64)
AppleWebKit/535.1 (KHTML,
like Gecko)
Chrome/13.0.782.112
Safari/535.1

de.gigabit.perfect-privac y.com


2013-06-07 20:22 http://nerd.junetz.de/ Mozilla/4.0 (compatible;
MSIE 8.0; Windows NT 6.0;
Trident/4.0; Mozilla/4.0
(compatible; MSIE 6.0;
Windows NT 5.1; SV1) ;
.NET CLR 3.5.30729)

ks3321211.kimsufi.com


2013-06-07 20:21 http://nerd.junetz.de/ Mozilla/5.0 (Windows NT
6.1; rv:2.0b7pre)
Gecko/20100921
Firefox/4.0b7pre

84-112-211-204.dynamic.su rfer.at


Diese Liste ließe sich noch so weiterführen, aber wir schauen demjenigen jetzt lieber erst mal auf die Finger und fahren mal das einie oder andere System hoch. Dem Telefon des Bekannten bei der Cybercrime Unit beim BKA gönnen wir da erst einmal noch ein wenig Ruhe. ;-)

Page 1 of 5, totaling 25 entries