Category Archives: Internet

Spammer sind so blöd, das schreit förmlich nach einer eigenen Meisterschaft

Posted on by

Vor ein paar Tagen erreichte uns ja diese Phisingmail mit dem Docx Anhang eines Dienstes, mit dem wir unmöglich in Verbindung stehen können: Aber natürlich will ich wissen, was für ein Docx da auf mich wartet! . Die Geschichte geht in die 2. und 3. Runde, und das … gleichzeitig \o/

Spammer sind so blöd, das schreit förmlich nach einer eigenen Meisterschaft

Zeitgleich liefen heute zwei Emails ein, die alle „von uns“ wären und „an uns“ gesendet wurden 😉 Klar, wir sind komplett schizo und wissen nicht was wir uns so mailen, besonders in einer uns „fremden“ Sprache 😀

Mail 1:

Betreff: Hello info@{eineunsererdomains} your email server is temporarily blocked, kindly verify urgently to avoid closurel

Email server indicates that your mail server account has low security verification, this means that sending and receiving of mail messages for your mail server has been temporarily blocked until a verification process has been done. Therefore you MUST verify your mail server account to avoid the termination of the mail server access.<br><br>Kindly click below to sign in and verify your mail account and we will help you take the corrective action automatically.

Kindly click below to sign in and verify your mail account and we will help you take the corrective action automatically.

<hier ein Link zu einem Redirekt auf eine Fake-Seite eines mir völlig unbekannten Dienstes>

Once you have verified your mail server account, the verification process will beupdated automatically

Mail 2:

Empfänger: sales@iqbal-gloves.com
Betreff: Shutdown Notice For info@{eineunsererdomains}

We received your instruction few hours ago to terminate your email info@{eineunsererdomains} account on our server!

Your email will be terminated in: 1:13:36 seconds

[Dicker Button „Stop this action Now!“] [Dicker Button „Ignore warning & shutdown Email“]

Wie Ihr sehen könnt, gehören die oder der eine Phisher zur absoluten Elite und würden die Meisterschaft im Phishen total dominieren 😀  „1:13:36 seconds“ die Typen sind sooooo blöde 😀 Die Links auf den klickbaren Elementen der HTML Email gehen alle zu dem komischen Redirectservice ct.sendgrid.net . Wird Zeit, die URL bei Spamassassin in den Filter einzufügen, die Jungs nerven nur noch 🙂

Spearphising mit den eigenen Mails

Posted on by

Da ich gerade aus unserer Kundschaft die zweite Information zu so einem Vorfall bekommen habe, möchte ich Euch heute vor einer aktuellen Phishing Methode mit besonders hoher Erfolgswahrscheinlichkeit warnen.

Spearphising mit den eigenen Mails

Zwei unserer Kunden haben sich mit seltsamen Emails an uns gewendet, beide hatten DOCX Anlagen dran, aber der Inhalt war eine alte Email, die von dem vermeintlichen Absender an das Opfer früher schon einmal gesendet wurde.

Da kommen nur zwei Ursachen für in Frage: ein Hack eines Pcs oder der Hack den Mailserverkontos.

Klar, ein Hack des Mailservers an sich wäre auch möglich, aber deutlich unwahrscheinlicher als der Hack von einem Windows PC. In einem Fall konnten wir das aufklären, da sind die Angreifer an die Daten des Mailkontos und die darin befindlichen Emails gelangt. Ob der PC geknackt wurde und die Daten da abgezogen wurden, oder ob die per BruteForce den Mailserver durchgetestet haben, ist nicht bekannt. Da der Mailserver über eine Bruteforcesperre verfügt, ist der Hack des Windows PCs wahrscheinlich.

In dem aufgeklärten Fall, ist der PC/Konto des Absenders des Virus-Docxs gehackt worden. Es würde ja auch nur bedingt Sinn machen, einem bereits infiltrierten PC noch mal einen Trojaner zu schicken, oder? 🙂

Wenn Euch also demnächst DOCX Files in Emails unterkommen, die Ihr die Tage vorher schon mal ohne Virusanhang in der Post hattet, dann ruft den Absender sofort an und informiert ihn über den Vorfall, weil er/sie/es dann ein dickes Problem hat.

Aber natürlich will ich wissen, was für ein Docx da auf mich wartet!

Posted on by

Aber natürlich will ich wissen, was für ein Docx da auf mich wartet!

Klaro, und ich bin natürlich blöd genug auf den Link zu klicken, damit der Verbrecher weiß, daß die Adresse gelesen wird 🙂

Wem sowas hier ins Haus flattert …

 Microsoft Docx Portal Notifier for info@{eineunsererdomains.de} Mail. 
 
   
RECEIVED: 3/3 pages scanned file awaits your review on info@{eineunsererdomains.de} Microsoft Docx

<a href=“http://uxxxxxxxxx.ct.sendgrid.net/ls/click?upn=MÜLLENTFERNT!“> REVIEW NOW: </a>

by {eineunsererdomains.de} Microsoft Document Portal

direkt in die digitale Mülltonne damit! Wer nur den Absender sieht, so sieht sowas aus.
From: "{eineunsererdomains.de} Microsoft Docu Portal" <ainal@satextilesourcing.com>
To: info@{eineunsererdomains.de}
Subject: 3/3 Pages New Document.

Leicht zu erkennen, daß das nicht von M$ ist und da „wir“ gar nicht mit Windows arbeiten, werden „wir“ natürlich auch nicht das „Online“ Docu Portal von M$ benutzen, oder Ihr etwa??? 😉