Viren, Spyware, Datenschutz 11.255 Themen, 94.796 Beiträge

News: Warnung vor der Mahnung

Warnung - gefälschte Mahnung von 1und1 unterwegs

xafford / 18 Antworten / Baumansicht Nickles
Bescheidenes Ergebnis (Quelle: Screenshot Virustotal)
Vor wenigen Minuten erreichte eine Mail von 1&1 mein Postfach - eine Mahnung laut Betreff. Zwar bin ich Kunde bei 1&1 und erhalte auch meine Rechnungen just von der (natürlich gefälschten) Absender-Adresse rechnungsstelle@1und1.de - aber der berechtigte Verdacht liegt nahe, dass es natürlich keine echte Mail ist, denn Mahnungen werden üblicherweise nicht per Mail verschickt und diese Masche ist auch altbekannt.

SPAM-Mails, Phishing-Mails und Viren-Mails sind an für sich nichts besonderes mehr und alltäglich - es lohnt sich in der Regel nicht darüber zu berichten. Warum ich über diesen Fall trotzdem berichte hat mehrere Gründe.

Zum einen ist diese Mail im Vergleich zu dem üblichen Mist recht gut gemacht - keine falschen Sonderzeichen, keine Schreibfehler (zumindest auf den ersten Block), korrekte Grammatik und auch die passende Absender-Adresse. Die Mail enthält auch keinen verdächtigen Anhang, sondern (auch nicht unüblich) einen Link (vorgeblich) zum Control-Center. Allerdings führt der Link (wie vermutet) nicht zum Control-Center von 1&1, sondern zu einem Download von einem Server mit einer schlecht gewarteten Joomla-Installation. Spätestens jetzt, wo hinter dem Link direkt ohne Authentifizierung der Download einer ZIP-Datei angeboten wird sollten alle Alarmglocken schrillen.

Wer die ZIP-Datei trotzdem herunter läd und entpackt findet darin eine ausführbare EXE-Datei, die jedoch mittels PDF-Icon und überlangem Dateinamen als PDF getarnt ist. Wer Dateierweiterungen ausblendet könnte wirklich auf den Gedanken kommen, es handle sich um eine solche.

Was das ganze jedoch besonders brisant macht ist der Umstand, dass aktuell (Stand 16.01.2014) noch sehr wenige Virenscanner diesen Schädling erkennen, laut Virustotal gerade einmal 14 von 48. Der kostenlose Scanner Microsoft gehört zu den Virenscnannern, die hier versagen und die Datei als sauber einstufen.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
PaoloP xafford „Warnung - gefälschte Mahnung von 1und1 unterwegs“
Optionen

Bist du in der Mail persönlich mit Name und Vorname angesprochen worden? (Wenn ja, dann hat 1&1 ein fettes Problem aber das war bestimmt nicht der Fall)
Hat das Prozedere ohne JavaScript funktioniert.Meistens landet man erst auf einer gehackten Unschuldsdomain die einen direkt via js weiterleiten will. Die Proxy Domain(der Mail Text und alles was sonst relevant für Frühwarnsysteme ist, varriert dabei innerhalb des massenhaften Versendens.
Dieser Dummenfang wird vermutlich nie aufhören, vor kurzem hat es eine Heise Artikel gut auf den Punkt gebracht "E-Mail ist kaputt, wir brauchen etwas sichereres und besseres."

Jedes mal wenn jemand "Cloud" sagt, verliert ein Engel seine Flügel.
bei Antwort benachrichtigen
xafford PaoloP „Bist du in der Mail persönlich mit Name und Vorname ...“
Optionen
Bist du in der Mail persönlich mit Name und Vorname angesprochen worden?

Nein, es war eine nicht personalisierte Mail, also sind wohl bei 1&1 keine Daten abhanden gekommen.

Hat das Prozedere ohne JavaScript funktioniert

Ja, hat es. In der Mail war ein Link auf eine wohl gehackt Homepage, die mit einer (wahrscheinlich veralteten) Joomla-Installation lief. Die ZIP-Datei wurde direkt von dem verlinkten Server ausgeliefert und der Link führte auch direkt auf die Datei ohne Zwischenseite.

Es ist wohl so, dass diese Mail-Aktion aktuell nicht nur 1&1 betrifft und es haben auch bereits Personen 1&1-Mails bekommen, die nicht bei 1&1 sind - es ist also wohl eine Aktion nach dem Gießkannen-Prinzip und nicht auf vorhandene Daten basierend.

Was eben an diesen Mails recht brisant scheint ist, dass zum einen die Mails aufgrund ihrer Aufmachung einen ahnungslosen User nicht direkt entgegen schreien "Ich bin ein Betrug" und dass der Schädling ziemlich neu erscheint. Leider habe ich momentan nicht genug Zeit um ihn eingehender zu untersuchen, ich gehe aber mal blind davon aus, dass er der üblichen Masche folgt und versucht Login-Daten und Online-Banking ab zu greifen - eventuell ein neuer Zeus-Abkömmling.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
PaoloP xafford „Nein, es war eine nicht personalisierte Mail, also sind ...“
Optionen

Danke für die Antwort:
Was mich intereressieren würde: Hat der Klick auf den Link, automatisch den Download zur Folge gehabt?  Oder musstest du auf der Fake Page den Mist nochmal direkt anklicken?

Nur zur Ergänzung: Nahezu perfekt aufgemachte Angriffe(in sauberem deutsch) via Mail musste ich auf den Systemen die ich in meiner näheren Bekanntschaft betreue in letzter Zeit zunehmend feststellen. Wir sollten uns vielleicht von der Vorstellung verabschieden das nur am Text auszumachen, Sender und Reciever Adresse sprechen aber immer noch Bände.

Die meisten, ernstgemeinten Angriffe die ich zuletzt beobachtet habe waren Amazon, Ebay und WOW.(DHL ist gerade ziemlich ruhig)  Danach noch einige weitere,  wie natürlich Facebook und auch einige mobilen Tochterfirmen. Diese Mails waren auch ziemlich perfekt gefaked aber natürlich in englisch. Zumindest das konnte ich meinen klickgeilen Hiwies eintrichtern, englisch ganz böse!!!

Jedes mal wenn jemand "Cloud" sagt, verliert ein Engel seine Flügel.
bei Antwort benachrichtigen
xafford PaoloP „Danke für die Antwort: Was mich intereressieren würde: Hat ...“
Optionen
Was mich intereressieren würde: Hat der Klick auf den Link, automatisch den Download zur Folge gehabt?

Wie gesagt, der Link führte direkt ohne Weiterleitung oder Zwischenseite zum Download der ZIP-Datei, es war auch ein reguläres ZIP, kein selbstentpackendes. Aus Sicht der Betrüger wäre natürlich eine Fake-Seite mit Login-Maske (muss ja nicht die Daten wirklich korrekt prüfen, dafür könnte sie sie abgreifen) wäre noch perfekter gewesen, obwohl dann wahrscheinlich die falsche URL noch mehr aufgefallen wäre.

Nur zur Ergänzung: Nahezu perfekt aufgemachte Angriffe(in sauberem deutsch) via Mail musste ich auf den Systemen die ich in meiner näheren Bekanntschaft betreue in letzter Zeit zunehmend feststellen.

Ich denke auch, dass mittlerweile einige der Betrüger einen muttersprachlichen Hintergrund haben - die Erfolgsquoten sind wohl nach wie vor hoch genug, dass es sich auch in einem Hochlohn-Land wie Deutschland rechnet.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
PaoloP xafford „Wie gesagt, der Link führte direkt ohne Weiterleitung oder ...“
Optionen

c

Jedes mal wenn jemand "Cloud" sagt, verliert ein Engel seine Flügel.
bei Antwort benachrichtigen
PaoloP xafford „Wie gesagt, der Link führte direkt ohne Weiterleitung oder ...“
Optionen

(BTW: Über das Thema Hochlohn Land reden wir in ein paar Jahren nochmal. Mag sein das dies für dich und mich gilt aber bereit jetzt arbeitet 1% der Bürger Vollzeit und muss danach immer noch zum Amt gehen um Stütze zu beantragen. Ich glaube in 20 Jahren werden das wohl locker 10-bis20%sein)

"Von 40 Stunden Arbeit die Woche und mehr muss man leben können, und zwar hier und nich nicht in Bangladesh" - Volker Pispers

Jedes mal wenn jemand "Cloud" sagt, verliert ein Engel seine Flügel.
bei Antwort benachrichtigen
xafford PaoloP „BTW: Über das Thema Hochlohn Land reden wir in ein paar ...“
Optionen
Mag sein das dies für dich und mich gilt

Hm, also für Dich kann ich nicht reden, aber mein Stundenlohn als Selbständiger ist leider nicht einmal in den Regionen eines Mindestlohn nach CDU-Niveau. Ich beklage mich nicht darüber, dafür habe ich andere Freiheiten, aber als Hochlöhner würde ich mich nicht bezeichnen - trotzdem sind wir (zum Glück und wer weiß wie lange noch) von Stundenlöhnen im Bereich von 50 Cent und weniger noch entfernt.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
dieterguenter PaoloP „Danke für die Antwort: Was mich intereressieren würde: Hat ...“
Optionen

ich habe auch schon etliche phishing mails erhalten

am montag mal wieder von `paypal´ mein konto würde eingeschränkt wenni ich nicht........

dhl-amazon-telekom waren auch schon dabei

grundsätzlich würde ich NIE bei solch verdächtigen mails einen link anklicken,weil ich ja nicht weis wo ich wirklich ankomme

als uralter aol kunde kommen meine mails über aol und da kann ich einen link sowiso nicht direkt anklicken

ich muß den link erst freigeben und das bei jeder mail einzeln

bei Antwort benachrichtigen
Hassashin xafford „Warnung - gefälschte Mahnung von 1und1 unterwegs“
Optionen
... keine Schreibfehler (zumindest auf den ersten Block),...

Tschuldige xafford, aber das ist an unfreiwilliger Komik kaum zu überbieten. Hast du dich jetzt selbst als Phisher entlarvt? ;-)

Ansonsten ein solider Artikel, danke dafür.

Gruß Hassashin -- Farcebook ist die Pest des Internet und gehört ausgerottet.
bei Antwort benachrichtigen
xafford Hassashin „Tschuldige xafford, aber das ist an unfreiwilliger Komik ...“
Optionen
Hast du dich jetzt selbst als Phisher entlarvt? ;-)

Merde... da ist sie dahin, meine Karriere als Programmierer von Virenmails - Du hast mich entlarvt :)

Ansonsten ein solider Artikel, danke dafür.

Und danke für die Rückmeldung - ich gebe mir zwar immer wieder Mühe, aber meine Rechtschreibschwäche kann ich wohl nicht verleugnen :)

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
xafford Hassashin „Tschuldige xafford, aber das ist an unfreiwilliger Komik ...“
Optionen
Tschuldige xafford, aber das ist an unfreiwilliger Komik kaum zu überbieten.

Na wer sagt, dass die unfreiwillig war? Nein, im Ernst - ich habe leider ein latentes Problem mit der Rechtschreibung dessen ich mir schmerzlich bewusst bin :)

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
peterdeutzmann xafford „Warnung - gefälschte Mahnung von 1und1 unterwegs“
Optionen

Hallo, und JUTEN Tach erst mal, xafford, und an alle anderen hier!

Bin zwar kein Spezialist, "FUMMLER" - aber das Interesse, weckt mich immer noch, bei solchen E-Mails!

Wenn ich die Klamotte, auf einem alten PC, mit Live-"CD-Stick"-LINUX aufmache, einfach alles darin mal anklicke, was könnte der müll machen?

Gruß

Peter

Wer anderen eine GRUBE gräbt, soll sehen das er sein GELD bekommt!!! © "Gehirn" Anno 2014 - D. J. P. P. ©
bei Antwort benachrichtigen
Hassashin peterdeutzmann „Hallo, und JUTEN Tach erst mal, xafford, und an alle anderen ...“
Optionen
Wenn ich die Klamotte ... mit Live-"CD-Stick"-LINUX aufmache, ... was könnte der müll machen?

Dir deinen CD-Stick verbrennen. Wenn dein CD-Stick rund und silbern ist, passiert relativ wenig. Wenn er einen Stecker hat und blinkt, solltest du aufpassen.

Gruß Hassashin -- Farcebook ist die Pest des Internet und gehört ausgerottet.
bei Antwort benachrichtigen
peterdeutzmann Hassashin „Dir deinen CD-Stick verbrennen. Wenn dein CD-Stick rund und ...“
Optionen

Danke,

habe aber auch einen Stick der blockiert werden kann, von TrekStor, da dürfte dann ja auch nichts mit passieren, Denke gerade, mit den SanDisk Karten auch nicht, wenn man den reiter hoch schiebt?!

Gruß

PIT

Wer anderen eine GRUBE gräbt, soll sehen das er sein GELD bekommt!!! © "Gehirn" Anno 2014 - D. J. P. P. ©
bei Antwort benachrichtigen
xafford peterdeutzmann „Hallo, und JUTEN Tach erst mal, xafford, und an alle anderen ...“
Optionen
Wenn ich die Klamotte, auf einem alten PC, mit Live-"CD-Stick"-LINUX aufmache, einfach alles darin mal anklicke, was könnte der müll machen?

Nichts - dein Linux würde höchstens eine Fehlermeldung präsentieren, dass es mit der Datei nichts anfangen kann. Zum Glück sind Schädlinge in aller Regel abhängig von der Plattform und zu 99% ist diese Plattform Windows. Kurzum, Du würdest also Deine zeit verschwenden, wenn Du darauf klickst :)

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Hewal xafford „Warnung - gefälschte Mahnung von 1und1 unterwegs“
Optionen
denn Mahnungen werden üblicherweise nicht per Mail verschickt

Moin xafford,

ich hab von Maxdome schonmal eine Mahnung per Mail erhalten. Die sind ja auch ein Unternehmen von 1und1...

Am Donnerstag tragen bei zwei von mir betreuten PCs eine Rechnung von der Deutschen Telekom ein. Ahnliche Vorgehensweise wie bei dir. Perfektes Deutsch, sah offiziell aus. Alle Links in der Mail (Hilfe, Tips usw.) führten auf die offizielle Webseite von der Telekom. 

Zu erkennen ist der Fake an zwei Dingen: falscher Absender und der Link zur Rechnung führt auf eine Domain mit der Endung ru. 

Das Problem an der Sache ist für viele Anwender, dass diese im Alltagsgeschäft nicht genau hinsehen. Die email wird überflogen, und wenn diese auf dern ersten Blick keine groben Mängel aufweist (Grammatik, Rechtschreibung usw), wird diese recht schnell als legitim eingestuft. 

Vor ein paar Wochen hab ich immer auf meine info@ Adresse mails von "Paypal" erhaltne. Die sahen  verdammt echt aus. Einzig erkennbarer Fehler war, dass VOR jedem Satzzeichen ein Leerzeichen war. In meinem Fall wußte ich auch deshalb sofort, dass das Spam ist, weil ich über meine info@ keine Paypal registrierung habe. Aber ich kann mir sehr gut vorstlellen, nachdem der Betreff irgendwas mit "Ungewöhnliche Aktivitäten auf Ihrem Paypal Konto" lautetete und der Text darauf hinwies, dass ein verdächtiger Zugriff auf das Konto stattfand, dass viele ihre Vorsicht über Bord werfern und auf die entsprechenden Links klicken. 

Was ich auch sehr viel erhalte, sind angebliche Voicemails oder Fax2mail Sachen. Manchmal schon sehr nervig, aber mein Virenschutz sortiert da gottseidank ziemlich gut aus und erspart mir so einiges an Nerven und arbeit.

Schreibfehler sind specialeffects meiner Tastatur.
bei Antwort benachrichtigen
Monster07 Hewal „Moin xafford, ich hab von Maxdome schonmal eine Mahnung per ...“
Optionen

 Hallo Leute

 Heute eingegangen:

Ihre Rechnung vom 17.01.2014 Nr. 0984729197499942 

17.01.2014

Guten Tag,

wir verzeichnen bei Ihrem Vodafone Kundenkonto eine offenstehende Forderung.

Summe offener Posten 399,55 EUR

Download 'Ihre Vodafone Online-Rechnung für den Monat Januar 2014' unter https://www.vodafone.de/control-center?linkId-0984729197499942=Rechnung_Januar_2014

Viele freundliche Grüße

Ihr Vodafone-Team

Diese E-Mail wurde automatisch an Sie verschickt. Wenn Sie uns antworten möchten, nutzen Sie bitte das Kontakformular. Klicken Sie bitte nicht auf "Antworten" oder "Reply" in Ihrem E-Mail-Programm!

Vodafone D2 GmbH

Am Seestern 1, D-40547 Düsseldorf, Postfach: D-40543 Düsseldorf

Geschäftsführer: Friedrich Joussen (Vorsitzender), Jan Geldmacher, Frank Rosenberger, Dr. Volker Ruloff, Michele Angelo Verna, Achim Weusthoff

Vorsitzender des Aufsichtsrats: Hartmut Kremling

-----------------------------------------------------------------------------------------------------------------------------

Diese Leute versuchen doch mit aller Macht, andere über den Tisch zu ziehen

Ich bin nicht bei dieser Firma u. habe den Link auch nicht angeklickt

Nur zur Information

M.f.G

 

               

 

               

               

bei Antwort benachrichtigen
gelöscht_265507 Monster07 „Hallo Leute Heute eingegangen: Ihre Rechnung vom 17.01.2014 ...“
Optionen
Summe offener Posten 399,55 EUR

Den Betrag kenne ich. Das ist der Standardbetrag einer Betrügerbande.

Ich denke, die arbeiten auf 400 € - Basis.

bei Antwort benachrichtigen