eine richtig gute Virenmail: „RechnungOnline Monat April 2013“

Posted on by

Wir gratulieren dem glücklichen Gewinner des erstmal verliehenen Anerkennungspreises für eine gelungene Virenemail: Herzlich Glückwunsch in die Ukraine.

Da die Email  nahezu perfekt ist, keine Deutschfehler enthält und auch keine Phisinglinks auf verdächtige Webseiten, müssen wir uns den Emailheader vornehmen:

Hier der nur leicht geänderte Header ( wir möchten ja nicht zuviel über unsere Fallen verraten ):

Return-path: <fidgetingjg@telekom.de>
Envelope-to: <Unsere Spamfallen verraten wir nicht>
Delivery-date: Thu, 16 May 2013 01:22:45 +0200
Received: from 36-231-89-213.dynamic-ip.hinet.net ([36.231.89.213])
	by <Unsere Spamfallen verraten wir nicht> with esmtp (Exim 4.76)
	(envelope-from <fidgetingjg@telekom.de>)
	id 1UyvV3-0002xl-1E
	for <Unsere Spamfallen verraten wir nicht>; Thu, 16 May 2013 12:34:21 +0200
Received: from [67.99.155.25] (account carpenteredqkj7@telekom.de HELO lgumvcvdfcmhbd.cnbtwtwlo.ua)
	by 36-231-89-213.dynamic-ip.hinet.net (CommuniGate Pro SMTP 5.2.3)
	with ESMTPA id XXXXXXXXXXXXXXX for <Unsere Spamfallen verraten wir nicht>; Thu, 16 May 2013 17:14:12 +0800
From: <rechnungonline.@telekom.de>
To: <Unsere Spamfallen verraten wir nicht>
Date: Thu, 16 May 2013 16:14:12 +0800
MIME-Version: 1.0
X-Priority: 3
X-Mailer: iwmexoinn_57
Message-ID: <56S980021XX76808.SSS$DY630SXX@jaxbjxqcnxv.uxfouxpniaeskql.com>
Content-Type: multipart/mixed;
  boundary="----=a__wiye_36_38_75"
Subject:  RechnungOnline Monat April 2013

Wie man im Receivedheader schön nachlesen kann, stammt die ursprüngliche Email aus der Ukraine und damit natürlich nicht mehr von der Telekom:

lgumvcvdfcmhbd.cnbtwtwlo.ua

Der unbekannte Mailversender hatte  wohl Spaß bei der Sache:

X-Mailer: iwmexoinn_57

So könnte der Name zustande gekommen sein:

„I want my email exchanged over internet“ (Version 57)

Was es auch in Wirklichkeit bedeuten mag, es ist kein übliches Programm zum Senden von Mails.

From: <rechnungonline.@telekom.de>

Der Punkt in dem Absendernamen ist uns ja schon hinlänglich bekannt, von früheren EMails dieser kriminellen Bande. Die Rücksendeadresse:

Return-path: <fidgetingjg@telekom.de>

sieht natürlich auch verdächtig nach Fiktion aus.

Sollte man all dies übersehen haben, ist natürlich der angefügte Virus/Trojaner das beste Indiz für einen versuchten Angriff, vom Umstand, daß man gar kein Kunde bei der Telekom ist, mal ganz abgesehen.

Seriöse Unternehmen schicken Ihnen eine EMail, in der die neue Rechnung mit Betrag erwähnt wird und einem Verweis, daß Sie diese im Kundencenter einsehen und herunterladen können.  Ohne Links in den Kundencenter, den den haben Sie ja als Kunde bereits.

 

„Ihr Kreditkartenkonto wurde aus Sicherheitsgründen temporär eingeschränkt.“

Posted on by

Offensichtlich haben meine ständigen Reklamationen über die Verwendung der deutschen Sprache in Spams und Phisingmails doch was bewirkt, denn diese Mail :

dit kundenummer : 0087932231
din kundereference : ID9438

Ihr Kreditkartenkonto wurde aus Sicherheitsgründen temporär eingeschränkt.

Sehr geehrter Kunde,

Nach einer Identitätsprüfung können Sie Ihre Kreditkarte sofort wieder benutzen.

Bitte bedenken Sie, dass Sie ohne Freischaltung zukünftig nicht bei teilnehmenden Händlern einkaufen können.

Um die Kontobegrenzung sofort aufheben zu können, bitten wir Sie folgende Informationen zu bestätigen.

* Alle Felder sind Pflichtfelder, bitte beachten Sie dass die Genauigkeit Ihre Daten für die Überprüfung extrem wichtig ist.

> Erhalten Sie Zugang zu Ihren Bankkonten.

Herzlichen Dank für Ihr Verständnis

Harald Fischer
Mastercard Sicherheitsteam Deutschland,,

hat nur zwei deutliche Fehler : die vielen Kommata und natürlich muß es Ihrer Daten lauten.. Da kann man leider schonmal drüber wegsehen als Opfer.

Der in der Email angegebene Link, geht natürlich nicht zu Mastercard, sondern irgendwo hin in der Welt. In meinem Fall nach Korea :

www.health-mart.co.kr/hshop/ch/images/0re.html

Und jetzt kommt die Magie, ohne überhaupt auf dem gehackten Webacocunt geschaut zu haben, kann man hier einen Klassiker der Sicherheitslücken als Ursache ausmachen:

Das nicht auf den Inhalt prüfende Bildhochladescript einer Webanwendung.

Leicht zu erkennen an der URL „/images/“ und der Endung „html“ , meistens aber „php“. Bilder sollen immer .jpg, .png usw. enthalten und das prüft das Script sicher nicht. Gern wird auch mal nur geprüft, ob der Endungsstring überhaupt drin vorkommen, was z.b. „hacker.png.php“ erlaubt. Wenn man  nun den Webpfad kennt unter dem das „Bild“ hätte erreichbar sein sollen, kann man dort das PHP Script aufrufen und schon ist der Webaccount unter der Kontrolle des Angreifers.

Ich frag mich immer wieder, wieso jeder Webanwendungen schreiben darf, auch wenn er/sie keine Ahnung davon hat. Gibt doch sonst für alles ein Gesetz 😉

Natürlich werden wir den Koreaner informieren, keine Frage.

 

Blinken ist Glückssache

Posted on by

Den Spruch kennt sicher jeder und auch jeder hat schon mal vergessen zu blinken, aber wenn ein LKW Gespann bei 130 ohne zu blinken einfach auf die Überholspur zieht und nur 80 fährt, dann wirds gefährlich. So auch heute auf der A39, als ein LKW aus Salzgitter genau das gemacht hat, um sich dann ein nicht zu gewinnendes Elefantenrennen zu liefern, welches nach wenigen Meter schon vorbei war, da eine Baustelle mit einstreifiger Verkehrsführung die Beteiligten ausbremste. Keine 10 Minuten später, meinte ein Dannenberger Fahrer, es dem LKW gleich tun zu müssen. Seine wackelige Fahrradhalterkonstruktion war bei diesem Manöver nicht gerade vertrauenserweckend. Auch jener Fahrer mußte feststellen, daß der Baustelle seine Art des Vorankommens egal ist.

In die gleiche Richtung geht dann auch der Verkehsverstoß eines Hannoveraner Gärtnereibetriebs, der sein Fahrzeug wiederrechtlich mitten auf der Straße abgestellt hat. Natürlich direkt vor unserer Ein- und Ausfahrt. Dabei ist auf der Höhe eine Ausbuchtung in der man problemlos parken kann.

Der tägliche Ärger mit den anderen Deppen am Steuer halt 😉

image

Jeder Autofahrer glaubt ja ohnehin, daß er der Beste, der Schnellste, der Sicherste ist. Alles Selbstbetrug.

Wissen Sie eigentlich wie der Sicherheitsabstand berechnet wird ? Den Satz mit dem halben Tachowert kennt man noch aus der Fahrschule, aber wie setzt sich das zusammen ?

Dazu muß man etwas ausholen. Erstmal das biologische: Die Informationsgeschwindigkeit in Nerven beträgt 1m pro Sekunde. Vom Hirn zum Fußmuskel sind es also im Mittel 1,5 m . Immer dran denken, daß Nerven nicht grade Linien sind und nur im Idealfall direkt a mit b verbinden.
D.b. daß alleine 1,5 Sekunden Zeit vergeht, bevor das Bein dem Befehl des Gehirns gehorchen kann. Dazu kommt die Zeit, die das Hirn überhaupt braucht um die Gefahr zu erkennen und das Auto braucht auch noch Zeit um die Bremsen zu betätigen, wenn Sie das Pedal treffen. Das sind rund 2 Sekunden Zeit die vergehen, bevor das Auto überhaupt zu bremsen beginnt. Dann wird Ihr Auto langsamer, aber wenn der vor Ihnen auf etwas aufgefahren ist, dann baut der viel schneller Geschwindigkeit ab, als Sie das können. Es kommt dann unweigerlich zum Auffahrunfall. IHREM Auffahrunfall.

Rechenbeispiel:

100km/h => 100 000 m / 3600 s = 27.77m pro Sekunde die das Auto zurück legt.

2 Sekunden Reaktionszeit sind dann also rund 55 Meter.

Kein Mensch kann dies schneller erledigen, auch kein Formel 1 Fahrer. Die biologischen und physikalischen Gegebenheiten kann man nicht bei Seite schieben. Niemand kann das. Machen Sie sich nix vor, es ist physikalisch nicht möglich. Deswegen müssen Sie Abstand halten, um sich selbst und Anderen eine Chance aufs Überleben zu geben. Daß Bremsen auch nicht perfekt sind, muß ich nicht extra erwähnen oder?

Jeder der dem Vordermann am Auspuff schnuppert, riecht nur seinen eigenen Todesgeruch. Fahren Sie bitte mit Hirn, statt ohne.

Womit wir wieder beim Anfang wären. Wenn der LKW vor einem Auto das 100 Km/h fährt, unter 55 Meter rauszieht, gibt es einen Unfall, so sicher wie das Amen in der Kirche. Deswegen blinkt man, damit die nachfolgenden Autofahrer rechtzeitig, meistens sogar unbewußt, den Fuß vom Gas nehmen können.

Haben Sie eigentlich gewußt, daß Ihr Hirn Ihnen vorgaukelt, daß sich Ihr Bein bewegt hat, als Sie dachten, daß es sich bewegen soll ? Natürlich haben Sie das nicht gewußt. Das Gehirn rechnet sich Zusammenhänge schön, wenn man so will. Wir haben ja oben gelernt, daß die Informationsgeschwindigkeit in Nerven 1 m/s beträgt. Wenn Sie also bewußt denken „Fuß beweg Dich“ und er erst 1.5 Sekunden später wirklich etwas tut, dann wären Sie irritiert . Deswegen berechnet das Unterbewußtsein, daß Sie den Fuß bewegen wollen und schickt die Information 1,5 Sekunden später ans Bewußtsein, damit Sie vor Schreck nicht umfallen. Ihr Unterbewußtsein, weiß auch vor Ihrem Bewußtsein, daß Sie jetzt gleich umfallen werden. Ihr Kleinhirn ist viel cleverer als Sie Ihm zugestehen werden. Es rechnet in technischen Begriffen etwa mit 200 Kbit/s, wogegen ihr Großhirn nur 50 bit/s schafft, also das 400fache mehr. Aber es ist dabei ungenauer als das Großhirn. Aber für die ganzen wiederkehrenden Prozesse reicht eine kleine Ungenauigkeit vollkommen aus. Bis .. ja bis zu dem 1 mm den das rechte Bein nicht hochgenug gehoben wurde und Sie den Bordstein treffen, statt den Fuß auf den Bürgersteig zu setzen.

Natürlich ist der biologische Zusammenhang hier stark vereinfach dargestellt. In Wirklichkeit laufen sehr viele verschiedene und hoch komplexe Sachen gleichzeitig ab.

Der Grund wieso Sie stolpern ist übrigens genau diese Zeitverzögerung, denn Sie gehen nicht bewußt die Straße lang. Das Gehen an sich erledigt das Kleinhirn, oder denken Sie darüber nach wie das eine Bein vors Andere setzen? Also ich nicht. Ich „lasse“ das steuern. Mein Großhirn beschäftigt sich damit, was ich hinter der nächsten Ecke erwarten kann und was ich nachher machen will. Aber übers Gehen, da denke ich nicht aktiv nach. Natürlich nur, wenn ich keine Artikel dazu schreibe, aber da gehe ich ja auch selten bei 🙂