Linux am Dienstag: Programm für den 15.6.

Ich wußte ja, früher geht immer, aber diesmal .. wow 😀 Von mir jetzt schon einmal einen recht herzlichen Dank an alle, die nächsten Dienstag Vorträge halten werden.

Linux am Dienstag: Programm für den 15.6.

Und dabei ist das nur ein Ausschnitt des Programms, wir haben noch mehr in Petto 😀

u.a. im Programm am 15.6., ab 19 Uhr:

  • Firefox 89 – Layoutupdate doch nicht so tragisch?
  • Blender Einführung – Teil 2/6 – Wir modellieren: Einen Baum
  • OpenSuse – Schwere Fehler nach Update von Leap 15.3
  • DNF – Wie man es benutzt
  • Backups mit ZFS – Teil 1/2: Einführung in ZFS
  • 30 Jahre PGP – Glückwünsche an Phil Zimmermann
  • 8.4 Milliarden – Passwort Leak 2021
  • Linux Foundation – Das Covid-Zertifikate-Netzwerk
  • Bitcoin – erstes Land erklärt Bitcoin zum Zahlungsmittel

Wie immer jeden Dienstag, ab 19 Uhr auf https://meet.cloud-foo.de/Linux .

Die hi-teck Erpressung

Wollt Ihr mal was zu Lachen haben?

Die hi-teck Erpressung

Man achte auf die Details wie den Domainnamen, die lustige Sprache wie „alle einige Stunden“ des Übersetzungsbots und die faktische Unmöglichkeit der Behauptungen, die soooooo übertrieben werden, daß der Spinner als gottgleich erscheint 🙂

Absender: Aileen <abraham .at. hi-teck.com>

Grüß Gott!

Ich habe beobachtet Ihr Gerät im Netz seit langer Zeit und habe es geknackt.

Es war einfach für mich, weil ich mich damit schon lange beschäftige.

Wann Sie besuchten die pornografische Webseite ich habe angesteckt Ihr Computer mit dem Virus, der sicherte mir vollständigen Zugang zu Ihr Gerät, inklusive die Kamera, das Mikrofon, die Anrufe, die Messenger, zu all dem was geschieht am Bildschirm, zum Telefonbuch, zu Passworten aller sozialer Netzwerken und weiteres.

Um das Handeln meines Virus zu verstecken, ich habe gebastelt ein sonder-Driver, updated alle einige Stunden und daher vollständig unnachweisbar.

Ich habe herunterladen das Video aus Ihrem Bildschirm und Ihrer Kamera und habe geschnitten ein Video auf dem in einem Teil des Bildschirms Sie masturbieren und der andere Teil zeigt ein Porno-Video die Sie gleichzeitig schauten.

Ich kann schicken jederzeit allerlei Daten aus Ihrem Gerät ins Internet oder an alle jene, die stehen an Ihrer Kontaktliste, an den Messengern oder in sozialen Netzwerken.

Außerdem, ich kann bereitstellen den Zugang zu Ihren Messengern, sozialen Netzwerken oder zum E-Mail jedem beliebigen Menschen.

Wenn Sie dies vermeiden wollen tun Sie folgendes-

Überweisen Sie auf meine Bitcoin-Geldbörse 1300 amerikanische Dollars.

Adresse meiner Bitcoin-Geldbörse : bc1q3dwsh4ryljth0yemny3wp6pe87dkheaxyg9q32

Sie haben 48 Stunden zur Überweisung. Andernfalls ich werde alles Obenstehende dürchfuhren.
Der Zeitgeber hat gestartet automatisch sofort nachdem Sie den Brief eröffnet hatten.
Die Meldung über Eröffnung dieses Briefs bekomme ich auch automatisch.

Wenn Sie wissen nicht wie man das Geld überweist und was ist Bitcoin, schreiben Sie die Anfrage in Google „Bitcoin kaufen“.

Sofort nach Erhalt der notwendigen Summe das System wird mich automatisch benachrichtigen und wird anbieten aus meinen Servern alle von Ihnen erhaltene Daten zu löschen.

Und ich werde das Löschen bestätigen.

Beschwerden Sie sich nirgendwo – meine Geldbörse kann nicht nachgefolgt werden und der E-Mail aus dem der Brief wurde geschickt wird erstellt automatisch und es ist sinnlos mich etwas zu schreiben.

Sollten Sie diesen Brief irgendjemandem teilen wollen, das System wird die Anfrage auf die Server automatisch schicken und diese werden Ihre Daten in sozialen Netzwerken veröffentlichen. Außerdem, der Wechsel von Passworten in sozialen Netzwerken, von E-Mail und am Gerät wird Sie nicht helfen, weil alle Daten sind bereits herunterladen am Cluster meiner Server.

Ich wünsche Sie viel Glück und tun Sie keinen Blödsinn.

 

Das kam gestern Abend bei einem Kunden auf einer fiktiven Adresse an. Die Adresse benutzt der Server des Kunden um einem Postfachnutzer mitzuteilen, daß er doch SSL einschalten soll, wenn er Mails abholt. D.b. der PC eines Kunden wurde tatsächlich gehackt und der Angreifer hat einfach an alle Adressen, die er im Posteingang gefunden hat, diese Mail versendet. Vor so einem Hansel muß man keine große Angst haben, wenn man aktuelle Software und möglichst kein Windows einsetzt.

Ich werde jetzt mal versuchen den Kunden zu identifizieren, alleine an dem Merkmal kein SSL benutzt zu haben 😀 Wir schicken diese Nervmails nicht umsonst rum 😉

Nachtrag:

Hier könnt Ihr mal sehen, daß es nicht nur „uns“ und „Euch“ so erging 🙂

https://www.bitcoinabuse.com/reports/bc1q3dwsh4ryljth0yemny3wp6pe87dkheaxyg9q32

Ich habe übrigens tatsächlich einen verdächtigen Kunden-PC gefunden. Die Betonung liegt auf „verdächtig“, das muß der Kunde natürlich erst einmal selbst prüfen. Morgen wissen wir mehr.

Wir erpressen Sie jetzt mal..oder so :D

Herzlich Willkommen zu einer neuen Ausgabe von „Erpresser – Man muß sie einfach gern haben“ .. wieso? na weil ich dann wieder was zu schreiben habe und Ihr was zu Lachen 😀

Kommen wir zu dieser Erpresser-Spam:

Ich markiere mal die Anekdoten farblich…

Return-path: <junko@kotorinouta.com>
Envelope-to: <#### eine unserer echten Adressen####>
Delivery-date: Mon, 08 Jul 2019 11:44:24 +0200
Received: from www1765.sakura.ne.jp ([112.78.112.75])
	by XXXXXXXXXXX.de with esmtps (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
	(XXXXXXXXXXXXXXXXXXXXXXXXXX)
	(envelope-from <junko@kotorinouta.com>)
	id XXXXXXXXXXXXXXXXX
	for <#### eine unserer echten Adressen####>; Mon, 08 Jul 2019 10:44:23 +0200
Received: from [127.0.0.1] (dynamic-189-45-26-22.webnet.psi.br [189.45.26.22])
	(authenticated bits=0)
	by www1765.sakura.ne.jp (8.15.2/8.15.2) with ESMTPSA id x585vAi13157658
	(version=TLSv1 cipher=DHE-RSA-AES256-SHA bits=256 verify=NO)
	for <#### eine unserer echten Adressen####>; Mon, 8 Jul 2019 17:44:21 +0900 (JST)
	(envelope-from junko@kotorinouta.com)
To: <#### eine unserer echten Adressen####>
From: Mylah <junko@kotorinouta.com>
MIME-Version: 1.0
Message-ID: <2b514q3322k452d@kotorinouta.com>
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain; charset=UTF-8
Date: Mon, 8 Jul 2019 12:56:54 +0300
List-Help: <http://friend.kotorinouta.com/help/forsubscribers>
X-EVENT_NAME: trxzzkst
X-Virus-Flag: YES
Subject:  Security Alert. Your accounts were hacked by a criminal group.

Hello!

I am a hacker who has access to your operating system.
I also have full access to your account.

I've been watching you for a few months now.
The fact is that you were infected with malware through an adult site =
that you visited.

If you are not familiar with this, I will explain.
Trojan Virus gives me full access and control over a computer or other=
 device.
This means that I can see everything on your screen, turn on the camer=
a and microphone, but you do not know about it.

I also have access to all your contacts and all your correspondence.

Why your antivirus did not detect malware?
Answer: My malware uses the driver, I update its signatures every 4 ho=
urs so that your antivirus is silent.

I made a video showing how you satisfy yourself in the left half of th=
e screen, and in the right half you see the video that you watched.
With one click of the mouse, I can send this video to all your emails =
and contacts on social networks.
I can also post access to all your e-mail correspondence and messenger=
s that you use.

If you want to prevent this,
transfer the amount of $500 to my bitcoin address (if you do not know =
how to do this, write to Google: "Buy Bitcoin").

My bitcoin address (BTC Wallet) is:  3HsB65YE6xgdt6x8Nnrxjck1YMNK1kMka=
L

After receiving the payment, I will delete the video and you will neve=
r hear me again.
I give you 50 hours (more than 2 days) to pay.
I have a notice reading this letter, and the timer will work when you =
see this letter.

Filing a complaint somewhere does not make sense because this email ca=
nnot be tracked like my bitcoin address.
I do not make any mistakes.

If I find that you have shared this message with someone else, the vid=
eo will be immediately distributed.

Best regards!

Solche Emails gibt es ja zu Hauf, der braucht man inhaltlich keine große Aufmerksamkeit schenken. Wir schauen uns mal an, was wir so über den Möchtegernerpresser herausbekommen:

1. Die Einlieferung der Email stammt aus Brasilien, DSL Anschluß, ergo gehackter PC oder seine echte IP 🙂

from [127.0.0.1] (dynamic-189-45-26-22.webnet.psi.br [189.45.26.22])

2. Was auch immer da per SMTP die Email in Japan eingeliefert hat, es hält nicht viel von moderner Software:

(version=TLSv1 cipher=DHE-RSA-AES256-SHA bits=256 verify=NO)

3. Es handelt sich möglicherweise um eine Mailingliste bei einer Kinder-Sozialhilfe:

List-Help: <http://friend.kotorinouta.com/help/forsubscribers>

Google kennt zu der Domain folgende Info:

Poesie-Kindergarten für das Sozialhilfswerk Koori no Uta-Kindergarten Chigasaki-Stadt, privater Kindergarten der Präfektur Kanagawa

Also ein ziemlich fieser Charakter dieser Erpresser, wenn er einen Kindergarten als Tarnung für seine Aktivitäten benutzt.

4. Offensichtlich hat der Erpresser auch von der Technik keine Ahnung:

Filing a complaint somewhere does not make sense because this email cannot be tracked like my bitcoin address. I do not make any mistakes.

Der erste Fehler war, die Email an uns zuschicken. Fehler Nummer 2, natürlich kann man Emails bis zur Sender IP  verfolgen, wobei man das gar nicht muß, da uns der Erpresser freundlicherwiese seine Bitcoinadresse genannt hat

Bitcoin Adressen, und damit Bitcoins, lassen sich durch die Blockchain tracken, egal ob Bitcoin Mixer im Spiel sind oder nicht. Die Blockchain ist nicht anonym und der Benutzer auch nicht, im Gegensatz zu echtem Bargeld, das ist bis auf die Fingerabdrücke und DNS Spuren anonym! Es ist nämlich im wahrsten Sinne waschbar 🙂

Wenn man Bitcoins waschen will, muß man damit ins Spielcasino gehen. in China nehmen viele Casinos auch Digitales Geld an und man muß es ja nicht zwangsweise verlieren 😉

Es hat wohl noch niemand bezahlt

Stand 13:30 Uhr hat wohl niemand etwas auf dieses Konto überwiesen, was mich nicht wundert, die Scamwelle schappt ja schon seit jetztem Sommer durchs Netz:

https://www.blockchain.com/de/btc/address/3HsB65YE6xgdt6x8Nnrxjck1YMNK1kMkaL

oder auch

https://www.bitcoinabuse.com/reports/3HsB65YE6xgdt6x8Nnrxjck1YMNK1kMkaL

Wie immer …

Ab in die digitale Müllhalde damit!