Schlagwort-Archive: Phishing

Neuer Phishing Trick über Facebook

Facebook Phishing

Nachdem selbst Webhinterwäldler wissen, daß Viren usw gerne über Email verschickt werden, versucht die Hackerszene mit neuen Methoden ans Ziel zu kommen. Heute lief eine neue FAKE Email ein, die wie eine Facebook Nachricht aussieht. Der Link

3 friend request zeigt aber nicht zu Facebook, sondern zu einer verdächtigen Website. Leider bin ich auf diesen Trick hereingefallen, obwohl ich grundsätzlich Links in Email im Quelltext prüfe. Auch hier gilt – Vertrauen ist gut Kontrolle ist besser!

Phishing mit Twitter, Facebook,WhatsApp und Co

Phishing über Email ist zu einer Plage geworden. Täglich gehen auf meinem allgemeinen Email Konto etwa fünf Phishing Versuche ein. Viele Phishing Anfänger versuchen, mit verfügbaren Phishing Tools und seit Jahren bekannten Tricks Benutzer zu einem Klick auf einen Link zu bewegen. Neu ist z.B. der Trick bei dem mit einem Klick auf OK zur  Cookie Nutzung (wird von EU verlangt) zu einer  Phishing Seite weitergeleitet wird.

Nachdem aber selbst unbedarfte Webnutzer den Trick mit der Email kennen geht man jetzt zu Phishing Links z.B. mit WhatsApp, Facebook,,Twitter  (Twitter Phishing NYT) , MMS oder anderen Messaging Services über.

Hier sorgen dann die einfältigen Benutzer für die Verteilung der Phishing Nachrichten. Es wird empfohlen auf automatisch generierte Nachrichten bei Social Media überhaupt nicht oder nur mit äusserster Vorsicht zu reagieren.

Es ist nicht verständlich, dass selbst Email Plattformen wie Googlemail altbekannte Phishing Schemes nicht erkennen und martieren. Ein Virus auf dem PC oder Handy ist für die Benutzer wesentlich schädlicher als ein sogenannter „Hasskommentar“. Hier könnte der Gesetzgeber etwas sinnvolles für die Bürger tun und von den Plattformbetreibern wirksame Phishing Filter verlangen.

Häufig werden Phishing Links auch in Kommentaren platziert. Deshalb gebe ich Kommentare nur nach Prüfung frei. Achtung: man kann aber nicht verhindern daß Links später geändert werden oder ine Weiterleitung zu einer Phishing Seite eingerichtet wird. Die Prüfung eines Links oder einer Webseite sollte immer unabhängig vom Absender erfolgen. Der größte Teil der Webnutzer hat nicht die für eine Prüfung notwendigen Kenntnisse – Experten haben meist keine Zeit zur Prüfung. Deshalb sollte man auch Nachrichten von alten Webhasen nicht trauen.

Autofill Superfishing mit Safari und Chrome

CyberwarkerZur Zeit gehen viele Emails bei mir ein, in denen man aufgefordert wird, ein Formular auszufüllen und per Email abzusenden. Themen der Emails sind z.B. Gewinne, Angebote für Prämien, Drohbriefe usw. Dahinter steht meist eine neue Art von Phishing mit der viele Benutzerdaten durch Autofill Phishing abgegriffen werden. Betroffen sind dabei die „komfortablen“ Browser wie Safari und Chrome sowie Derivate dieser Browser. Der Firefox Browser ist davon nicht betroffen. Grundsätzlich sollte man keiner Aufforderung folgen, auf einen Link zu einer unbekannten, ungewollten Webseite zu klicken.

Es wird empfohlen speziell Passwörter nicht durch Autofill und auch nicht durch Copy/Paste (auch bei Firefox) einzugeben. Da die Daten im Copy/Paste Buffer von jeder beliebigen besuchten Websites ausgelesen werden können. Grundsätzlich wird empfohlen, das automatische Nachladen von externen Inhalten im Browser zu sperren sondern nur nach Bestätigung durch den Benutzer zu erlauben. Das ist sehr wirksam gegen versteckte Angriffe aber leider auch lästig, da viele Webseiten externe Inhalte nachladen.

Siehe auch: Passwort Diebstahl – komplizierte Passwörter sind sinnlos

PayPal Phishing mit Adressen aus Deutschland

 Zur Zeit wird massenhaft ein recht plumper PayPal Phishing Versuch verschickt. Dabei werden sowohl Email Adressen und Server Namen mit .de Endung verwendet. Früher wurden solche Attacken noch zu Servern im Ausland geleitet. Das ist selbst für digital Naive verdächtig. Jetzt benutzt man offensichtlich deutsche Email Adressen (1&1) und deutsche (oder britische in Deutschland) Host Domains. Mit WhoIs kann man leicht feststellen dass z.B. die Domain startdedicated.de dem Hostmaster intergenia AG gehört. Nun kann sich ein Hostmaster sicher nicht um alle Kundenserver kümmern. Er sollte aber eine Webmaster Email Adresse angeben, bei der Mißbrauch gemeldet werden kann. Bei der intergenia AG scheinen aber die Eigentumsverhältnisse und die Zuständigkeiten ziemlich kompliziert zu sein. Will man sich als Deutscher bei einer Firma in England beklagen, hat man wohl wenig Aussicht auf Erfolg. Als Web Helfer hat man schließlich keine Lust mit sich mit Firmeninterna zu beschäftigen. Als Kunde sollte man aber Hoster meiden, die nicht konsequent gegen SPAM Schleudern vorgehen. Deren Domains kommen schnell auf Sperrlisten. Da möchte man nicht unbedingt betroffen sein. 

__________________________________________

paypal_phish

 

 

 

Email Source Code der PayPal Attacke:

Return-Path: <kundenservice_reply37@online.de>
Received: from mout.kundenserver.de ([217.72.192.73]) by mx.kundenserver.de
(mxeue006 [212.227.15.41]) with ESMTPS (Nemesis) id 0Ma3rv-1c20ya0ciF-00LpB9
for XXXX@.XXXXX.com>; Sat, 17 Dec 2016 18:27:47 +0100
Received: from malta1003.startdedicated.de ([85.25.214.7]) by
mrelayeu.kundenserver.de (mreue102 [212.227.15.183]) with ESMTPSA (Nemesis)
id 0LlWdD-1cqoB424AR-00bHPV for <hhenn@portaleco.com>; Sat, 17 Dec 2016
18:27:46 +0100
From: „PayPal Sicherheitsteam“ <kundenservice_reply37@online.de>
Subject: Ihr PayPal Konto – Wichtige Mitteilung
To: XXXXXXXXXXXXXXX
Content-Type: multipart/related; boundary=“97Mvk2isFTs2BhqCkCTk94RDtQUrOyf=_g“
MIME-Version: 1.0
Organization: PayPal Sicherheitsteam
Date: Sat, 17 Dec 2016 18:27:36 +0100
Message-ID: <0M8QnS-1cW6We2t4E-00vxSm@mrelayeu.kundenserver.de>
X-Provags-ID: V03:K0:sZjNLeYfDV7UdPrJJ1ThSr1sgQ/0F2VLuyhBNtUQceonrhEmYbY
cQ4UD8oqPf4pHch47MhVeOwvJ40p6ovGlCipyHaQ0CDAqJkBqrronu6wna0tkd5P32Pc7LL
NiUhrI5Y9vzbfk1sp31zfcxT/Z/jEofTbJv5O34OGbRDV769Vq42H+/VqgwB3T0f7dUHgi2
17BdyNSkINyoyHGSBG1ww==

 

So erhalten auch Sie Email von Angela Merkel

Unsere Bundestagsabgeordneten haben gefälschte Email von der Bundeskanzlerin erhalten, was ihrem Ego sicher gut tut. Der einfache Bürger muss seine Fake Emails schon selbst machen. Da das Fälschen eines Email Absenders ähnlich einfach ist wie die Fälschung eines Absenders bei einem Brief gibt es Internet Services, mit denen man ohne jegliche Anstrengung Fake Briefe schreiben kann. Im Briefkasten sieht das dann beeindruckend aus (Thunderbird).

eMail-Merkel 1

Email Nachricht (Fälschung)

Die Meldung sollte man natürlich so auf den Bildschirm bringen, dass die Kollegen sie lesen können wenn man schnell einen Kaffee holt.

In der zweiten Stufe kann man den ganzen Text anzeigen. Die Werbeeinblendung wird unterdrückt, wenn man dem Fake Mail Service 10$ spendiert (aber Click Here nicht benutzen!).

Email Merkel 2

Gefälschte Email mit Werbeeinblendung

Wer sein EGO aufpäppeln will, kann sich natürlich Emails vom Oberboss mit einer Einladung zum Golf schicken. Man sollte dabei natürlich die Sekretärin auf cc setzen. Sonst erfährt es niemand.

Natürlich kann man mit dieser Funktion beliebigen Missbrauch treiben. Jedem Benutzer sollte sich nach diesem Beispiel klar darüber sein, wie leicht Email gefälscht werden kann. Allerdings ist es nicht immer einfach Phishing Mail zu erkennen. Ich habe selbst den INTEL Phishing Email Test gemacht und lag nur im oberen Mittelfeld. Im Tagesbetrieb kann man Email von Unbekannten einfach löschen. Phishing Mail kommt aber heute oft mit Bekannten (oder Freunden) als Absender. Die meisten Benutzer erlauben ja unzähligen Apps auf ihre Kontaktliste zuzugreifen. Gern werden auch die Adressen von Facebook „Freunden“ als Absender von Phishing Mail verwendet. Einen schlimmen Virus habe ich einmal von einem Sicherheitsguru per Email bekommen, dem ich blind vertraut habe. Der Email Absender Adresse kann man also in keinem Fall mehr trauen egal ob die Adresse bekannt oder unbekannt ist.

Für eine einfache Prüfung sollte man sich den Quelltext der Email ansehen (Thunderbird: Menue (rechts oben) -> Nachrichten -> Quelltext )

Email Quelltext Absender

Email Quelltext Absender

Frau Merkel kann zwar russisch wird aber wohl ihre Email nicht einem russischen Server anvertrauen.

 

Vergiftete Suchresultate – neue Tricks der Scammer und Phisher

AnonymViele Benutzer benutzen Suchmaschinen um auf häufig benutzte Websites zu gelangen und sparen sich das Erstellen von Bookmarks. Von den Suchmaschinen wird das natürlich gerne gesehen, kann man damit natürlich Werbung auf den Bildschirm der Kunden bringen. Vorsicht ist jedoch angebracht – auch Scammer, Phisher und andere Webgauner (WG) benutzen Suchresultate, um die Benutzer über „vergiftete“ Links auf ihre Seiten zu lenken.   Häufig sieht man aber schon am Link, dass man irgendwo hingeführt werden soll, wo man eigentlich gar nicht hin möchte. Raffiniertere WGs bauen Link Adressen die gängige Markennamen wie youtube, facebook, amazon usw in den Link Adresse einbauen (Brand Hijacking), die Seriosität vortäuschen sollen. Immer beliebter wird auch die illegale Nutzung von Bildern und Markenzeichen zur Täuschung.

Mit Search Engine Optimization (SEO) durch Verwendung z.B. aktueller Schlagworte in den Tags ihrer Website versuchen die Webgauner ihre Site in die Top Positionen bei der Suche zu bringen. Was auf der ersten Seite der Suchergebnisse auftaucht ist nicht unbedingt sicher. Folgt man Links, die als Ergebnis bei der Suche angezeigt werden, sollte man deshalb immer vorsichtig sein.

Die Suchmaschinen versuchen diese Betrugsversuche zu entdecken z.B. durch Plausibilitätsprüfungen oder Blockierlisten. Bei Google gibt es auch eine Funktion verdächtige Links zu melden. Kaum haben die Suchmaschinen aber ein Schema erkannt werden von den WGs neue Tricks entwickelt. Man muss deshalb immer selbst auf der Hut sein.

Viren und Trojaner selbst installiert – auf zur PC und Smartphone Kehrwoche!

AnonymObwohl immer wieder davor gewarnt wird, auf dem eigenen PC Software von unbekannten Quellen zu installieren  (Google: Vor Malware schützen), fällt man doch ab und zu auf die Tricks der Betrüger im Web rein. Häufig wird man beim Herunterladen von PDFs, Videos oder Musik aufgefordert, doch das eine oder andere Hilfsprogramm oder einen Update für übliche Reader and Player herunterzuladen. Selbst wenn man vorher in Wikipedia oder im Web mit Google die Seriosität des Download Anbieters prüft, kann man reinfallen. Die Erwähnung einer Firma in Wikipedia sagt ja nichts aus über die Seriosität – oft werden auch die Namen von seriösen Firmen für die unseriösen Downloads verwendet. Negative Bemerkungen über eine Schwindelfirma findet man meist nicht auf den ersten Seiten von Google. Ein beliebter Trick ist auch zu behaupten, dass der eigene PC infiziert ist und man ein Programm zur Entfernung der Schadsoftware herunterladen sollte. In den Foren findet man auch „schlaue“ Ratschläge obskure  Viren Scanner zu installieren, die dann selbst Malware enthalten. Nur wenige werden diesen Schwindlern auch noch ihre Kreditkartennummer verraten indem sie auf das DONATE  Feld klicken!

Ganz übel ist es aber, wenn man eine Malware deinstalliert und dabei eine neue Malware mit anderem Namen installiert wird. Neben echter Malware kommt immer mehr Datenerfassungs- und Werbesoftware im Browser zum Einsatz. Mit der Installation von eigenen Toolbars, Umleitung auf eigene Websites oder speziellen  Suchseiten versucht man Werbeeinnahmen zu generieren. An diesem Unfug beteiligen sich auch durchaus seriöse Firmen.

Es wird empfohlem mindestens einmal im Monat eine PC Kehrwoche durchzuführen, bei der man prüft, ob man Programme auf dem PC und Add Ons im Browser installiert hat, die man nicht mehr braucht. Da sollte man zuerst einmal aufräumen.

Danach sollte man prüfen ob die Schutzmechanismen (Firewall und Virenscanner) ordnungsmäßig installiert und aktiviert sind. Für die meisten Windows Anwender reichen die freien Standardprogramme von Microsoft (Windows Defender, Microsoft Security Essentials) aus, die auch relativ einfach zu bedienen sind. Natürlich kann man sich auch für gutes Geld ein professionelles Virenschutzprogramm kaufen, das seriös getestet wurde z.B. Antivirus Test Resultate: AV Test Award  . Da die verschiedenen Virenscanner nicht alle Probleme erkennen, empfiehlt es sich eine „zweite Meinung“ z.B. mit  Kaspersky Security Test (FREE) einzuholen. Man wird aber damit leben müssen, dass auch teure Virenscanner nicht alle Probleme finden können. Dann muss man versuchen, in den verschieden Foren vernünftig Hilfe zu finden. Vorsicht ist aber auch hier angebracht, wenn die Tipps von Nichtexperten kommen. Auf alle Fälle sollte man vor aufwändigen Reperaturen und nach der Kehrwoche einen BackUp des PC Systems machen.

Ist man stolzer Besitzer eines Smartphones (iPhone, Android, MS,  .. ) empfiehlt es sich auch beim Smartphone eine Kehrwoche durchzuführen und alle Apps, die man nicht wirklich braucht zu entfernen. Grundsätzlich sollte man auch bei der Installation von Apps zurückhaltend sein. Auch hier gilt die alte Regel: ein Programm, das nicht installiert ist, macht auch keine Probleme. Hat man zu viele Apps installiert, können die notwendigen Updates schon lästig werden. Bei Smartphones ist die Angriffsdichte noch nicht so hoch wie bei PCs. Bei den Smartphones ist eine der größten Gefahren, dass persönliche Daten z.B. das Adressbuch ausgespäht wird. Ich halte deshalb auf meinem Smartphone nur die wirklich wichtigen Telefonnummern und eMail Adressen. Der Großteil der Adressen (>300) und meiner privaten Daten liegen auf meinem geschützten Privat Portal Server. Telefongespräche und eMails können von dort mit einem Klick gestartet werden. Ich möchte auch nicht meine gesamten Kontakte dem Apple BackUp Server anvertrauen. So kann ich auch relativ leicht auf ein Smartphone einer anderen Marke umsteigen und bin nicht hilflos wenn man Smartphone mal verloren oder kaputt geht.

 

Neue Phishing Masche – Jahresgebühr für Search Engine

Zur Zeit werden Zahlungsaufforderungen an Domain Besitzer, die einen Custom Search bei Google aufgesetzt haben, verschickt. Für ein weiteres Jahr soll man 75$ bezahlen. Nun ist aber der Google Search bis jetzt noch kostenlos und die Zahlungsaufforderung kommt auch nicht von Google sondern vom Server d5.d.de.static.xlhost.com (Wahrscheinlich werden aber unterschiedliche Server Adressen verwendet). Es handelt sich also um einen recht plumpen Phishing Versuch, der als Service Angebot verkleidet wird ( Our services provide submission and search engine ranking for domain owners.)

Offensichtlich haben die Phisher sehr gute Suchalgorithemn mit denen sie die relevanten Daten im Web zusammensuchen um der eMail einen Hauch von Seriosität zu geben.

Sicherheitslücken beim Kauf von iPhone Apps

Für mein Apple Konto zum Einkaufen im App Store verwende ich eine spezielle Kreditkarte, die nur bei meinem Apple Konto verwendet wird. Dies Karte verwende ich nicht für Online oder Offline Zahlungen. Es ist deshalb sehr verwunderlich wenn plötzlich Phishing Email mit Hinweis auf meine Kreditkarte an meine Apple Email Adresse gesendet wird, die eigentlich außer Apple niemand kennen dürfte. Da gibt es offensichtlich eine Lücke im Sicherheitssystem von Apple. Das stärkt gerade nicht das Vetrauen in das Apple Sicherheitssystem und die Dienstleister für den App Store.

Sicherheitslücke iPhone – keine Analyse von Phishing Email möglich!

Zur Zeit werden wieder Phishing Emails an Master Card Kunden verschickt. Auf dem PC schaut man sich bei verdächtigen Emails im HTML Format an. Sieht man sich da den Absender  an

Received: from mail131.elasticemail.co.uk (mail131.elasticemail.co.uk [178.33.69.131])

so kann man den Phishing Versuch leicht erkennen. Beim iPhone geht das aber nicht, da die Email Funktion (wie auch der iPhone Browser) auf dem iPhone, keine einfache Möglichkeit hat, den HTML Code der Email anzuzeigen. Steve Jobs war überzeugt, dass die Benutzer seiner Produkte so komplizierte Sachen gar nicht wollen. Die Webgauner haben das bereits erkannt und verschicken zunehmend Phishing Angriffe und Links auf  betrügerische Webseiten an Smartphones. Man hofft, dass die Benutzer unterwegs nicht so sorgfältig arbeiten wie zu Hause am PC.

Empfehlung: Verdächtige Emails auf den PC weiterleiten und dort analysieren (oder an Apple Product Security zur Analyse schicken).