Florida Medical Educational Services missbraucht

Heute morgen erreichte mich eine Nachricht vom FMES, in der ich implizit informiert wurde, daß der FMES gehackt wurde. WTF ist der FMES???

FMES – Florida Medical Educational Services missbraucht

Ok, den FMES als „gehackt“ zu bezeichnen wäre vermutlich als Schweregrad des Cybervorfalls zu viel des Guten, einigen wir uns auf „missbraucht worden“. Das Registrierungsformular der Webseite scheint den angegebenen Benutzernamen nicht auf Validität zu prüfen und schickt dann „Sie haben sich erfolgreich angemeldet“-Emails an unschuldige Opfer, was dann so aussieht:

Message-ID: <a0a144bdf43122b651f881ea14ea579e@fmes.net>
Date: Sat, 14 May 2022 23:20:16 -0500
From: Florida Medical Educational Services <fmes@fmes.net>
Subject: You are registered successfully with FMES.net

Welcome to FMES

Your account information :Name : 🤍 Carolyn sent you a private message! View Message: https://sklbx.com/oy3x0ufO?m8d17 🤍 34m0nk

Username : dh89gl

Password : AOxG22YZyFhi

Phone : 412843779785

Die Seite des FMES ist bei genauerer Betrachtung eine Copy&Paste Seite aus den 90ern, aufgepeppt mit etwas Jquery, in dem noch Kommentare des echten Authors zufinden sind. Vermutlich ist der gesamte Security-Context auch per Copy&Paste erzeugt worden, also nicht existent. Die Email ist so schlecht gemacht, das nicht mal einTag im Body ist, obwohl die Email als TEXT/HTML markiert ist.

Sie hätten bei der Webseite vielleicht auf Profis setzen sollen 😉

Wer also von FMES.NET eine Email bekommt, kann die gleich ungesehen löschen.

Linux am Dienstag: Programm für den 19.4.2022

Ihr habt bis Dienstag Zeit Eure Osterpfündchen loszuwerden, denn Linux am Dienstag wird auch diesmal wieder Ausdauer erfordern 🙂

Linux am Dienstag : Programm für den 19.4.2022

Diesmal haben wir ab 19 Uhr u.a. im Programm:

      • Sicherheit – Cisco WebEx hört auch stumm mit.
      • CyberCrime – trotz Lösegeld hat T-Mobiles Daten daten jetzt wer anderes
      • Vortrag – Handschriftliche Notizen mit Xjournal++ (3. Versuch)
      • WordPress – Hack oder Nicht-Hack, das ist hier die Frage!
      • Websuche – und Weg war Youtube-DL .. bei DuckDuckGo und Bing

Wie jede Woche per Videokonferenz auf https://meet.cloud-foo.de/Linux .

Kleine Anmerkung: Die bisherigen Vorträge findet man jetzt unter https://linux-am-dienstag.de/archiv/ .

Spearphising mit den eigenen Mails

Da ich gerade aus unserer Kundschaft die zweite Information zu so einem Vorfall bekommen habe, möchte ich Euch heute vor einer aktuellen Phishing Methode mit besonders hoher Erfolgswahrscheinlichkeit warnen.

Spearphising mit den eigenen Mails

Zwei unserer Kunden haben sich mit seltsamen Emails an uns gewendet, beide hatten DOCX Anlagen dran, aber der Inhalt war eine alte Email, die von dem vermeintlichen Absender an das Opfer früher schon einmal gesendet wurde.

Da kommen nur zwei Ursachen für in Frage: ein Hack eines Pcs oder der Hack den Mailserverkontos.

Klar, ein Hack des Mailservers an sich wäre auch möglich, aber deutlich unwahrscheinlicher als der Hack von einem Windows PC. In einem Fall konnten wir das aufklären, da sind die Angreifer an die Daten des Mailkontos und die darin befindlichen Emails gelangt. Ob der PC geknackt wurde und die Daten da abgezogen wurden, oder ob die per BruteForce den Mailserver durchgetestet haben, ist nicht bekannt. Da der Mailserver über eine Bruteforcesperre verfügt, ist der Hack des Windows PCs wahrscheinlich.

In dem aufgeklärten Fall, ist der PC/Konto des Absenders des Virus-Docxs gehackt worden. Es würde ja auch nur bedingt Sinn machen, einem bereits infiltrierten PC noch mal einen Trojaner zu schicken, oder? 🙂

Wenn Euch also demnächst DOCX Files in Emails unterkommen, die Ihr die Tage vorher schon mal ohne Virusanhang in der Post hattet, dann ruft den Absender sofort an und informiert ihn über den Vorfall, weil er/sie/es dann ein dickes Problem hat.