Attention! You have been hacked! Follow the instructions… äh, nein :D

Es macht immer wieder Spaß Emails von Amateuren zu bekommen. Auf den ersten Blick ist das nur die übliche „Wir haben Deinen PC übernommen und Deinen Pornokonsum gefilmt“ Mail, auf den zweiten übrigens auch 😉

Attention! You have been hacked! Follow the instructions… äh, nein 😀

Bei der Email unten ist nicht so wichtig was drinsteht, sondern an wen die Betrüger die Mail geschickt haben 😉 Die ging an eine Adresse, die Sie von der Mailingliste Full-Disclosure erscrapt haben ( scraping nennt man das, wenn man z.B. Email Adressen aus einem großen Umfang an Webseiten rauskratzt ). Auf der Liste schreiben i.d.R. nur Cybersicherheitsexperten, sowie und ein Rudel Journalisten und Admins die das mitlesen.
Wenn der möchtegern Scammer tatsächlich allen von denen so eine Mail geschickt hat, dann kann der jetzt vermutlich nicht mehr ruhig schlafen, weil er damit genug Leute ans Bein gepinkelt hat, die echt was draufhaben 😀 Daher, lieber indischer Scammer, entschuldige Dich lieber, sonst finden wir Dich schneller als Dir lieb ist 🙂
Jetzt kommt von Euch natürlich, das war aber doch ein VPN…. nein, wars nicht:
$ host 61.221.83.139
139.83.221.61.in-addr.arpa domain name pointer m.antnex.com.tw.
139.83.221.61.in-addr.arpa domain name pointer vpn.antnex.com.tw.
139.83.221.61.in-addr.arpa domain name pointer antnex.com.tw.
139.83.221.61.in-addr.arpa domain name pointer mail.antnex.com.tw.

Der Mailserver macht auch das VPN für die gehackte Firma:
Not shown: 1191 filtered tcp ports (no-response)
PORT STATE SERVICE
25/tcp open smtp
110/tcp open pop3
143/tcp open imap
443/tcp open https
465/tcp open smtps
587/tcp open submission
993/tcp open imaps
995/tcp open pop3s
1194/tcp open openvpn
Und jetzt viel Vergnügen mit dem Schwachsinn dieser offensichtlich mit einem Baukasten zusammengesetzten, sooooo gefährlichen, Betrugs-Email:
Return-path: <support@antnex.com.tw>
Envelope-to: fulldisclosure@XXXXXXXXXXXXXXXXXXXXXXX
Delivery-date: Wed, 15 Jun 2022 06:58:29 +0200
Received: from vpn.antnex.com.tw ([61.221.83.139] helo=m.antnex.com.tw)
 by XXXXXXXXXXXXXXXXXXXXXXX with esmtps (TLS1.3) tls TLS_AES_256_GCM_SHA384
 (Exim 4.94.2)
 (envelope-from <support@antnex.com.tw>)
 id 1o1L6q-00AL05-PR
 for fulldisclosure@XXXXXXXXXXXXXXXXXXXXXXX; Wed, 15 Jun 2022 06:58:29 +0200
Received: by m.antnex.com.tw (Postfix, from userid 98)
 id E888D9BB43; Wed, 15 Jun 2022 12:58:19 +0800 (CST)
Received: from [127.0.0.1] (unknown [43.224.182.87])
 (using TLSv1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits))
 (No client certificate requested)
 by m.antnex.com.tw (Postfix) with ESMTPSA id 2815FB8766
 for <fulldisclosure@XXXXXXXXXXXXXXXXXXXXXXX>; Wed, 15 Jun 2022 12:58:17 +0800 (CST)
Date: Wed, 15 Jun 2022 06:58:19 +0200
MIME-Version: 1.0
To: fulldisclosure@XXXXXXXXXXXXXXXXXXXXXXX
From: support@antnex.com.tw
Content-Transfer-Encoding: 8bit
Content-Type: text/plain; charset=UTF-8
Message-ID: <38381521293341.6453G20GAX@antnex.com.tw>
DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple; d=antnex.com.tw;
s=antnex; t=1655269099;
bh=fOF5T+fIJUkFhy6YN7TRDW4/lk59WRfUuUB+mVQcuf8=;
h=Date:To:From:Subject;
b=UgrsjIcPfuFsvR3m8jHiutMHaYLn5QHb2KsCcyb5ZG3pBIlBRvgiOkvvzNexCRQiT
y35Dql7iMAwMrkB8d+8vQIuodEcmgk2ragKsn0fY4/6gsPiQIsVewMLyo2VNjQ7FRf
a9KuZnpsIHyidMmEGlOwLMoLpCxuIL3o1Jncr+6E=
Subject: Attention! You have been hacked! Follow the instructions.Hi!

You can consider this message as the last warning.

We’ve hacked your system!We’ve copied all the data from your device to our own servers.

Curious videos were recorded from your camera and your actions while watching porn. Your device was infected with our virus when you visited the porn site.

Trojan virus gives us full access, allows us control your device. The virus allows not only to see your screen, but also to turn on your camera, microphone, without your awareness. We captured video from your screen and camera and then edited a video where you’re watching porn in one part of the screen and masturbating in the other one. But that’s not all! We have access to all the contacts from your phone book and social networks.

It won’t take us long to send this video to your friends, family and relatives on social networks, messengers and email in a few minutes. We have a lot of audio recordings of your personal conversations, where a lot of „interesting“ things are revealed!This information can destroy your reputation once and for all in a matter in minutes.

You have the opportunity to prevent irreversible consequences. To do so you need to:
Transfer 1200 USD (US dollars) to our Bitcoin wallet.

Don’t know how to make a transfer? Enter „Buy Bitcoin“ into the search box. Our Bitcoin wallet (BTC Wallet): bc1qkp5rfx26m3kt3mw2wvasfd963u233vs782xmsr
After you make the payment, your video and audio recordings will be completely destroyed and you can be 100% sure that we won’t bother you again.

You have time to think about it and make the transfer – 50 hours!After you read this letter, we’ll get an automatic notification. From that moment on, the timer will start. It is useless to complain, because Bitcoin-wallets can’t be tracked, as well as the sender email. You may not try to send a reply message, as it will not reach the addressee anyway.

We also advise you not to send the letter to anybody. In this case the system will automatically send a request to the server, and all data will be published in social networks and messengers. You will not be able to solve the problem by changing passwords in social networks, as all the information is already downloaded to the cluster of our servers. Think about what reputation means to you and how much the consequences will be.

You have 50 hours.

Linux am Dienstag: Programm für den 15.6.

Ich wußte ja, früher geht immer, aber diesmal .. wow 😀 Von mir jetzt schon einmal einen recht herzlichen Dank an alle, die nächsten Dienstag Vorträge halten werden.

Linux am Dienstag: Programm für den 15.6.

Und dabei ist das nur ein Ausschnitt des Programms, wir haben noch mehr in Petto 😀

u.a. im Programm am 15.6., ab 19 Uhr:

  • Firefox 89 – Layoutupdate doch nicht so tragisch?
  • Blender Einführung – Teil 2/6 – Wir modellieren: Einen Baum
  • OpenSuse – Schwere Fehler nach Update von Leap 15.3
  • DNF – Wie man es benutzt
  • Backups mit ZFS – Teil 1/2: Einführung in ZFS
  • 30 Jahre PGP – Glückwünsche an Phil Zimmermann
  • 8.4 Milliarden – Passwort Leak 2021
  • Linux Foundation – Das Covid-Zertifikate-Netzwerk
  • Bitcoin – erstes Land erklärt Bitcoin zum Zahlungsmittel

Wie immer jeden Dienstag, ab 19 Uhr auf https://meet.cloud-foo.de/Linux .

Die hi-teck Erpressung

Wollt Ihr mal was zu Lachen haben?

Die hi-teck Erpressung

Man achte auf die Details wie den Domainnamen, die lustige Sprache wie „alle einige Stunden“ des Übersetzungsbots und die faktische Unmöglichkeit der Behauptungen, die soooooo übertrieben werden, daß der Spinner als gottgleich erscheint 🙂

Absender: Aileen <abraham .at. hi-teck.com>

Grüß Gott!

Ich habe beobachtet Ihr Gerät im Netz seit langer Zeit und habe es geknackt.

Es war einfach für mich, weil ich mich damit schon lange beschäftige.

Wann Sie besuchten die pornografische Webseite ich habe angesteckt Ihr Computer mit dem Virus, der sicherte mir vollständigen Zugang zu Ihr Gerät, inklusive die Kamera, das Mikrofon, die Anrufe, die Messenger, zu all dem was geschieht am Bildschirm, zum Telefonbuch, zu Passworten aller sozialer Netzwerken und weiteres.

Um das Handeln meines Virus zu verstecken, ich habe gebastelt ein sonder-Driver, updated alle einige Stunden und daher vollständig unnachweisbar.

Ich habe herunterladen das Video aus Ihrem Bildschirm und Ihrer Kamera und habe geschnitten ein Video auf dem in einem Teil des Bildschirms Sie masturbieren und der andere Teil zeigt ein Porno-Video die Sie gleichzeitig schauten.

Ich kann schicken jederzeit allerlei Daten aus Ihrem Gerät ins Internet oder an alle jene, die stehen an Ihrer Kontaktliste, an den Messengern oder in sozialen Netzwerken.

Außerdem, ich kann bereitstellen den Zugang zu Ihren Messengern, sozialen Netzwerken oder zum E-Mail jedem beliebigen Menschen.

Wenn Sie dies vermeiden wollen tun Sie folgendes-

Überweisen Sie auf meine Bitcoin-Geldbörse 1300 amerikanische Dollars.

Adresse meiner Bitcoin-Geldbörse : bc1q3dwsh4ryljth0yemny3wp6pe87dkheaxyg9q32

Sie haben 48 Stunden zur Überweisung. Andernfalls ich werde alles Obenstehende dürchfuhren.
Der Zeitgeber hat gestartet automatisch sofort nachdem Sie den Brief eröffnet hatten.
Die Meldung über Eröffnung dieses Briefs bekomme ich auch automatisch.

Wenn Sie wissen nicht wie man das Geld überweist und was ist Bitcoin, schreiben Sie die Anfrage in Google „Bitcoin kaufen“.

Sofort nach Erhalt der notwendigen Summe das System wird mich automatisch benachrichtigen und wird anbieten aus meinen Servern alle von Ihnen erhaltene Daten zu löschen.

Und ich werde das Löschen bestätigen.

Beschwerden Sie sich nirgendwo – meine Geldbörse kann nicht nachgefolgt werden und der E-Mail aus dem der Brief wurde geschickt wird erstellt automatisch und es ist sinnlos mich etwas zu schreiben.

Sollten Sie diesen Brief irgendjemandem teilen wollen, das System wird die Anfrage auf die Server automatisch schicken und diese werden Ihre Daten in sozialen Netzwerken veröffentlichen. Außerdem, der Wechsel von Passworten in sozialen Netzwerken, von E-Mail und am Gerät wird Sie nicht helfen, weil alle Daten sind bereits herunterladen am Cluster meiner Server.

Ich wünsche Sie viel Glück und tun Sie keinen Blödsinn.

 

Das kam gestern Abend bei einem Kunden auf einer fiktiven Adresse an. Die Adresse benutzt der Server des Kunden um einem Postfachnutzer mitzuteilen, daß er doch SSL einschalten soll, wenn er Mails abholt. D.b. der PC eines Kunden wurde tatsächlich gehackt und der Angreifer hat einfach an alle Adressen, die er im Posteingang gefunden hat, diese Mail versendet. Vor so einem Hansel muß man keine große Angst haben, wenn man aktuelle Software und möglichst kein Windows einsetzt.

Ich werde jetzt mal versuchen den Kunden zu identifizieren, alleine an dem Merkmal kein SSL benutzt zu haben 😀 Wir schicken diese Nervmails nicht umsonst rum 😉

Nachtrag:

Hier könnt Ihr mal sehen, daß es nicht nur „uns“ und „Euch“ so erging 🙂

https://www.bitcoinabuse.com/reports/bc1q3dwsh4ryljth0yemny3wp6pe87dkheaxyg9q32

Ich habe übrigens tatsächlich einen verdächtigen Kunden-PC gefunden. Die Betonung liegt auf „verdächtig“, das muß der Kunde natürlich erst einmal selbst prüfen. Morgen wissen wir mehr.