Linux am Dienstag – Programm der letzten Ausgabe 2023

Es ist mal wieder Dienstag, wir haben einiges an Linux und anderen IT-Themen und… es ist die letzte Ausgabe vor den Feiertagen. Wir zeigen Möchtegern Hacks, Möchtegern-Scams und machen mit dem LPIC 101 weiter.

Linux am Dienstag – Programm der letzten Ausgabe 2023

u.a. im Programm am 19.12.2023, ab 19 Uhr:

  • Sicherheit – Steuersystem vom Russland gehackt
  • Vortrag – LPIC Teil 7 (Marius)
  • Analyse – versuchter Install eins Monero Miners (Marius)(letzte Woche ausgefallen)
  • Analyse – Der-„Wenn einem die eigene IT den Saft abdrehen will“-Scam (Marius)
  • Sicherheit – eigene Überwachungskameras, die jemand anderen überwachen

und andere IT-Newsbeiträge aus aller Welt. Wie jede Woche per Videokonferenz auf https://meet.cloud-foo.de/Linux .

Hinweis: Die bisherigen Vorträge findet man unter https://linux-am-dienstag.de/archiv/ .

Attention! You have been hacked! Follow the instructions… äh, nein :D

Es macht immer wieder Spaß Emails von Amateuren zu bekommen. Auf den ersten Blick ist das nur die übliche „Wir haben Deinen PC übernommen und Deinen Pornokonsum gefilmt“ Mail, auf den zweiten übrigens auch 😉

Attention! You have been hacked! Follow the instructions… äh, nein 😀

Bei der Email unten ist nicht so wichtig was drinsteht, sondern an wen die Betrüger die Mail geschickt haben 😉 Die ging an eine Adresse, die Sie von der Mailingliste Full-Disclosure erscrapt haben ( scraping nennt man das, wenn man z.B. Email Adressen aus einem großen Umfang an Webseiten rauskratzt ). Auf der Liste schreiben i.d.R. nur Cybersicherheitsexperten, sowie und ein Rudel Journalisten und Admins die das mitlesen.
Wenn der möchtegern Scammer tatsächlich allen von denen so eine Mail geschickt hat, dann kann der jetzt vermutlich nicht mehr ruhig schlafen, weil er damit genug Leute ans Bein gepinkelt hat, die echt was draufhaben 😀 Daher, lieber indischer Scammer, entschuldige Dich lieber, sonst finden wir Dich schneller als Dir lieb ist 🙂
Jetzt kommt von Euch natürlich, das war aber doch ein VPN…. nein, wars nicht:
$ host 61.221.83.139
139.83.221.61.in-addr.arpa domain name pointer m.antnex.com.tw.
139.83.221.61.in-addr.arpa domain name pointer vpn.antnex.com.tw.
139.83.221.61.in-addr.arpa domain name pointer antnex.com.tw.
139.83.221.61.in-addr.arpa domain name pointer mail.antnex.com.tw.

Der Mailserver macht auch das VPN für die gehackte Firma:
Not shown: 1191 filtered tcp ports (no-response)
PORT STATE SERVICE
25/tcp open smtp
110/tcp open pop3
143/tcp open imap
443/tcp open https
465/tcp open smtps
587/tcp open submission
993/tcp open imaps
995/tcp open pop3s
1194/tcp open openvpn
Und jetzt viel Vergnügen mit dem Schwachsinn dieser offensichtlich mit einem Baukasten zusammengesetzten, sooooo gefährlichen, Betrugs-Email:
Return-path: <support@antnex.com.tw>
Envelope-to: fulldisclosure@XXXXXXXXXXXXXXXXXXXXXXX
Delivery-date: Wed, 15 Jun 2022 06:58:29 +0200
Received: from vpn.antnex.com.tw ([61.221.83.139] helo=m.antnex.com.tw)
 by XXXXXXXXXXXXXXXXXXXXXXX with esmtps (TLS1.3) tls TLS_AES_256_GCM_SHA384
 (Exim 4.94.2)
 (envelope-from <support@antnex.com.tw>)
 id 1o1L6q-00AL05-PR
 for fulldisclosure@XXXXXXXXXXXXXXXXXXXXXXX; Wed, 15 Jun 2022 06:58:29 +0200
Received: by m.antnex.com.tw (Postfix, from userid 98)
 id E888D9BB43; Wed, 15 Jun 2022 12:58:19 +0800 (CST)
Received: from [127.0.0.1] (unknown [43.224.182.87])
 (using TLSv1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits))
 (No client certificate requested)
 by m.antnex.com.tw (Postfix) with ESMTPSA id 2815FB8766
 for <fulldisclosure@XXXXXXXXXXXXXXXXXXXXXXX>; Wed, 15 Jun 2022 12:58:17 +0800 (CST)
Date: Wed, 15 Jun 2022 06:58:19 +0200
MIME-Version: 1.0
To: fulldisclosure@XXXXXXXXXXXXXXXXXXXXXXX
From: support@antnex.com.tw
Content-Transfer-Encoding: 8bit
Content-Type: text/plain; charset=UTF-8
Message-ID: <38381521293341.6453G20GAX@antnex.com.tw>
DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple; d=antnex.com.tw;
s=antnex; t=1655269099;
bh=fOF5T+fIJUkFhy6YN7TRDW4/lk59WRfUuUB+mVQcuf8=;
h=Date:To:From:Subject;
b=UgrsjIcPfuFsvR3m8jHiutMHaYLn5QHb2KsCcyb5ZG3pBIlBRvgiOkvvzNexCRQiT
y35Dql7iMAwMrkB8d+8vQIuodEcmgk2ragKsn0fY4/6gsPiQIsVewMLyo2VNjQ7FRf
a9KuZnpsIHyidMmEGlOwLMoLpCxuIL3o1Jncr+6E=
Subject: Attention! You have been hacked! Follow the instructions.Hi!

You can consider this message as the last warning.

We’ve hacked your system!We’ve copied all the data from your device to our own servers.

Curious videos were recorded from your camera and your actions while watching porn. Your device was infected with our virus when you visited the porn site.

Trojan virus gives us full access, allows us control your device. The virus allows not only to see your screen, but also to turn on your camera, microphone, without your awareness. We captured video from your screen and camera and then edited a video where you’re watching porn in one part of the screen and masturbating in the other one. But that’s not all! We have access to all the contacts from your phone book and social networks.

It won’t take us long to send this video to your friends, family and relatives on social networks, messengers and email in a few minutes. We have a lot of audio recordings of your personal conversations, where a lot of „interesting“ things are revealed!This information can destroy your reputation once and for all in a matter in minutes.

You have the opportunity to prevent irreversible consequences. To do so you need to:
Transfer 1200 USD (US dollars) to our Bitcoin wallet.

Don’t know how to make a transfer? Enter „Buy Bitcoin“ into the search box. Our Bitcoin wallet (BTC Wallet): bc1qkp5rfx26m3kt3mw2wvasfd963u233vs782xmsr
After you make the payment, your video and audio recordings will be completely destroyed and you can be 100% sure that we won’t bother you again.

You have time to think about it and make the transfer – 50 hours!After you read this letter, we’ll get an automatic notification. From that moment on, the timer will start. It is useless to complain, because Bitcoin-wallets can’t be tracked, as well as the sender email. You may not try to send a reply message, as it will not reach the addressee anyway.

We also advise you not to send the letter to anybody. In this case the system will automatically send a request to the server, and all data will be published in social networks and messengers. You will not be able to solve the problem by changing passwords in social networks, as all the information is already downloaded to the cluster of our servers. Think about what reputation means to you and how much the consequences will be.

You have 50 hours.

Gut gefälschte Emails der Deutschen Telekom im Umlauf

Zum Glück sind nicht alle älteren Menschen leichtgläubige Narren oder Technikneuländer. Deswegen erreichte mich heute morgen ein Anruf, ob ich da mal einen Blick drauf werfen könnte.

Gut gefälschte Emails der Deutschen Telekom im Umlauf

Hier erst einmal der Inhalt der Mail mit dem echten Link(*), also nicht drauf drücken:

„Sehr geehrter Kunde,

Ab dem 16. Oktober 2021 werden wir keine E-Mail-Adressen mehr unterstützen,
deren Kontaktinformationen noch nicht aktualisiert wurden.

Bitte besuchen Sie das Telekom Kundencenter <https://elpregon.net.ve/ws.php> für weitere Informationen.

Diese Aktion soll dazu beitragen, Missbrauch auf unseren Servern zu verhindern und Ihre Privatsphäre im Internet und mehr zu schützen.

Ein Bestätigungscode <https://elpregon.net.ve/ws.php> wird Ihnen innerhalb von 24 Stunden per E-Mail zugesandt, sobald dies abgeschlossen ist.

Freundliche Grüße,
Ihre Telekom“

*) In der normalen HTML Version war der Link natürlich nicht direkt zu sehen, weil ist ja als HTML gekommen …

Keine Rechtschreibfehler, alles in UTF-8 mit Umlauten(*). Jetzt mal der Header dazu:

Return-Path: <teldatenschutzen@t-online.de>
Received: from fwd79.dcpf.telekom.de ([10.223.144.105])
         by ehead21b02.aul.t-online.de with LMTP
         id KLbFJDtIaWGlcwAASjMwlQ
(envelope-from <teldatenschutzen@t-online.de>); Fri, 15 Oct 2021 11:22:03 +0200
Received: from spica40.aul.t-online.de ([172.20.102.122]) by fwd79.dcpf.telekom.de
         with esmtp id 1mbJIu-040aDA0; Fri, 15 Oct 2021 11:15:05 +0200
Received: from 35.178.149.175:9839 by cmpweb25.aul.t-online.de with HTTP/1.1 (Lisa V6-9-3-0.0 on API V5-37-0-0); Fri, 15 Oct 21 11:15:04 +0200
Received: from 172.20.102.138:41152 by spica40.aul.t-online.de:8080; Fri, 15 Oct 2021 11:15:04 +0200 (CEST)
Date: Fri, 15 Oct 2021 11:15:04 +0200 (CEST)
From: Telekom Logın <Noreply.>
<teldatenschutzen@t-online.de>kripo
Sender: Telekom Logın <Noreply.>
<teldatenschutzen@t-online.de>
Reply-To: Telekom Logın <Noreply.>
<teldatenschutzen@t-online.de>
To: „noreply@telekom.de“ <noreply@telekom.de>
Message-ID: <1634289304044.4922465.570724ce670bd12ae45b9b590bd6329927fd6b11@spica.telekom.de>
Subject: Mıtteılung Sıe Ihre Anmeldung

*) Umlaute in der Mail, aber nicht korrekt in den Headerfeldern, aber wer würde da als Empfänger schon drauf achten?

Auch wenn in der Email alles korrekt geschrieben wurde, ist gerade im Header der einzige Fehler der Scammer zu finden: „Mıtteılung Sıe Ihre Anmeldung“ ist natürlich Blödsinn. Auch die Emailadresse mit dem Schreibfehler ist offensichtlich: <teldatenschutzen@t-online.de>

Erschreckend ist, daß die Email nur interne Telekomsystem in den Received-Headern hat, von denen die letzten zwei auch gefälscht sein könnten, es aber wohl nicht sind. Nehmen wir das mal so wie es dort steht, dann wurde über irgendeine DTAG-API via HTTP diese Fake-Mail eingeliefert und an echte DTAG Kunden verschickt. Ich vermute ein WebMail oder gleich den „E-Mailcenter“ der DTAG selbst unter Zuhilfenahme von gehackten Zugangsdaten.

Ob das so war und ob 2FA helfen würde, könnte uns nur die DTAG beantworten, die ohne Twitter notorisch schwierig erreichbar ist.Was ist so schwer an einer Emaildresse für Security-Fragen?

Für Euch zu merken: IMMER Absender checken, LINKS checken und bei DTAG Mails steht immer der Anschluß und der Name des Kunden drin!