Trojaner Email ohne Trojaner

Das sieht man auch selten, daß ein Angreifer so derbe ins Klo greift mit seiner Virenemail :

Von: WhαtsΑρρ <idealpropertiesspain5964554552565484@idealpropertiesspain.es>
Subject: Situation aktualisiert am 10.03.2018

Sеhr gееhrtеr Кundе

Bittе schauеn Siе sich dеn WhαtsΑρρ -РDF-Anhαng mit diеsеr E-Mαil αn
um Ihr Jαhrеsabonnеmеnt zu vеrlängеrn

Dankе
WhαtsΑρρ-Untеrstüzung

Nicht nur die kryptischen Versuche einer Worterkennung eines Antispamprogramms zu entgehen fallen auf, nein, auch hatten die Angreifer gar kein „PDF“ Attachment an die Email angehängt 🙂

So was nenne ich mal einen richtigen Fail 😀

Wie üblich, ab in die Tonne!

Auch dreiste Abzocke

Der „Kundendienst“ schrieb unserer Spamfalle…

„Diese Daten fehlen von Ihnen“

Sehr geehrte(r) Kundennr. W-124342,

bitte schließen Sie Ihre [Link kostenlose Anmeldung] ab, damit ich Ihnen Ihre heutigen Einnahmen i.H.v 2287,00 Euro überweisen kann.

Dazu starten Sie einfach unsere [Link automatische Software], nach ca. 1 Stunde wird das o.g. Guthaben zur verfügung stehen.

Viele Grüsse,
Sophia Kammerer

Kundenbetreuung

Natürlich gehen die Links in der Email, die ich entfernt habe, zu einem Trojaner, der einmal installiert, den Rechner verschlüsselt. An sich ist das ja nichts besonderes, aber wenn man die Fortsetzung der Email ein paar Tage später bekommt, wird einem die Dimension dieser Kriminellen Banden erst richtig bewußt.

Diesmal schrieb unserer Spamfalle der „Kundenservice“

2. Aufforderung: Folgende Daten fehlen

Sehr geehrte/r Kundennr. W-124342,

bitte schließen Sie Ihre [Link kostenlose Anmeldung] in der Bitcoin-App ab, damit ich Ihnen Ihre heutigen Einnahmen i.H.v 2204,00 Euro überweisen kann.

Dazu starten Sie einfach unsere [Link automatische Software], nach ca. 1 Stunde wird das o.g. Guthaben zur Verfügung stehen.

Mit freundlichen Grüßen,
Michelle Ruf

Kundendienst

Ganz unverhohlen setzt diese Email auf die Gier diverser Menschen, die alles haben wollen, ohne die Folgen zu bedenken.

Wie immer, ab in die digitale Mülltonne damit!

Exploits via JPG Bilder im Umlauf

Manchmal machen es einem den Verbrecher besonders einfach, nicht auf Ihre Masche hereinzufallen. Wer als Deutscher sowas in der Email hat:

Chinesische Emailklickt gar nicht erst auf die Grafik, die im Anhang drin ist drauf, sondern löscht die Mail gleich.

Trotzdem sollten alle Leser auf der Hut sein, denn im JPEG2000 Decoder diverser Anwendungen und Betriebssysteme steckt ein schwerer Fehler, der es dem Angreifer erlaubt, Code auf dem PC des Opfers auszuführen, alleine durch das Ansehen von veränderten Bildern.

Wer im obigen Bild genau hingesehen hat, der hat unten das Attachement gesehen: „…. .jpg“

Ausschnittvergrößerung

Inhaltlich hatte die Spam nichts zu bieten, spaßeshalber habe ich den Text mal übersetzen lassen:

您好:

敝司為保健食品品牌商,敝司優秀的研發團隊研發出一支百億活性益生菌粉劑,且與擁有HACCP/ISO22000雙項國際食品安全管理系統以及國內首批通過TQF之生技大廠配合,不論是產品原料,配方,生產品質均優良

Hallo:

Geräumige Sekretär für Gesundheit Lebensmittel-Marken, geräumige Sekretär hervorragende F & E-Team entwickelte eine zehn Milliarden aktiven Probiotika, und mit dem Besitz von HACCP / ISO22000 Dual internationalen und nationalen Lebensmittelsicherheit-Management-System durch die erste Charge von komplexen Biotech-Riese TQF , ob Rohstoffe, Formulierungen, die Produktionsqualität sind ausgezeichnet

Kommt nur Gebrabbel raus. Kein Wunder daß übersetzte Spams so leicht zu erkennen sind 😉

Also, wie immer, nicht Lesen, sondern ab in die Tonne damit.

Millionen von Emailzugangsdaten auf Vorrat

Wie ja grade auf diversen Newsportalen berichtet wird, gibt es bei Kriminellen hundertmillionen Sätze mit Zugangsdaten zu Emailkonten. Es wird dann natürlich immer behauptet, daß die Konten geknackt wurden, was aber in den wenigsten Fällen stimmt.

„Knacken“ suggeriert, daß jemand z.b. einen Mailserver gehackt hat um an die Daten zu kommen, oder daß per Brute-Force-Angriff mit Hilfe von Wörterbüchern einfach durchgetestet wurde, ob ein gängiges Passwort verwendet wurde, was ja auch nur beweist, wie wenig kreativ die Menschen sind 😉

Die meisten Zugangsdaten werden nicht geknackt, sondern schlicht abgegriffen und zwar beim Besitzer selbst, weil der sich auf seinem PC oder Smartphone einen Keylogger eingefangen hat.

Wir sehen bei uns in der Firma bei Analysen eigentlich immer das gleiche Schema. Wie aus dem Nichts tauchen die Zugriffe eines Botnetzes in den Logfiles auf. Da es keine fehlerhaften Authentifizierungsversuche gab, gibt es nur einen gültigen Schluß:

Die Kriminellen hatten die korrekten Zugangsdaten bereits, als Sie angefangen haben.

Es braucht keinen Sherlock Holmes um herauszubekommen, was passiert ist. Die wahre Flut von ZIP/JS/Docx Dateien, die per Email anbranden und alle einen Trojaner/KeyLogger/Virus enthalten und der Infektionsrate von Webseiten, ist es ja nur eine Frage der Zeit bis man zwangsweise einen einfängt. Kommen da noch Windows XP im Jahr 2016 dazu, für das es nebenbei bemerkt, tatsächlich noch offizielle Updates gibt :), steigt das Risiko deutlich an.

Ein Umstieg auf Linux, wie er am letzten Samstag beim Linux Presentation Day, könnte helfen, daß Problem einzudämmen. Allerdings werden sich die Kriminellen anpassen und noch gezielter Exploitkits für Linux zusammenbauen.  Linux kann wenigstens damit Punkten, daß es keinen Patchday gibt, was meint, daß die Updatezyklen wesentlich kürzer sind als bei Windows. Bei gewichtigen Sicherheitslücken dauerte es oft nur Stunden, bis die Lücken geschlossen waren. Ehrlicherweise muß man auch erwähnen, daß dies nicht bei allen Programmfehlern so schnell geht. Dazu kommt es noch auf die Maintainer in den Distributionen an, ob die auf Zack sind. Open-Source ist also Segen und Fluch zugleich, denn es kann schnell gehen, aber keiner kann es erzwingen.

Was macht mich jetzt aber so sicher, daß keine Bruteforceattacken für die Zugangsdaten benutzt wurden?

Bruteforceattacken binden bei den Mailhostern Ressourcen und die werden genau überwacht. Man kann es sich schlicht nicht leisten, daß die CPU für den Angriff missbraucht wird. Daher haben alle mir bekannten Mailhoster, die den Namen verdienen, Gegenmaßnahmen laufen, z.b. Ratelimits, die einen Bruteforceangriff so in die Länge ziehen, daß er Monate dauert und nicht mehr lukrativ ist. Wir z.b. sperren die Angreifer gleich komplett aus, wenn Sie mehr als X Versuche falsch machen. Einen guten Hoster erkennen Sie übrigens daran, daß Sie sich dort gerade nicht mit Ihrer Emailaddresse beim Mailserver anmelden, sondern mit einem Benutzernamen.

Wieso ?

Die Emailadresse kann man bei Einbrüchen in den Adressbüchern der Opfer finden, zu welchem Server sie gehört, steht hinter dem „@“, aber den Benutzernamen kennt dagegen nur der Kontoinhaber. Meldet man sich also mit der Emailadresse an, kennt man bereits einen Teil des Geheimnisses und macht einen Bruteforceangriff erfolgreicher.  Das eigentliche Sicherheitsproblem ist aber die Bequemlichkeit, denn natürlich ist es einfacher sich nur die Emailadresse und ein Passwort merken zu müssen, auf der anderen Seite, wer trägt seine Zugangsdaten schon mehr als einmal in ein Emailprogramm ein ? Selbstverständlich ist es auch bequemer, keine Updates für Windows oder den Browser einzuspielen, aber wo das in letzter Konsequenz hinführt, kann jeder täglich in seinem Emaileingang  feststellen, was uns wieder zum Anfang der Geschichte bringt 🙂

Referenz: Auch-Google-und-Microsoft-betroffen-Millionen-E-Mail-Konten-gehackt