Pishing: Facebook – Account verification

Finger weg von den Links in diesen Mails
Facebook - Account verification fake
Facebook – Account verification fake

Netter Versuch Jungs, doch diese Mail-Adresse kennt Facebook nicht.

From: „Facebook.Team“ <9AF3AA6C@moostique.ch>
To: <thomas@excample.com>
Subject: Account verification
Date: Wed, 19 Dec 2012 10:36:39 -0500
Hi thomas,

Your account has been blocked due to spam activity.
To
activate account, please follow this link:
You may be asked to enter this confirmation code: 0754718
The Facebook Team
Didn’t sign up for Facebook? Please let us know.

Hinter dem angeblichen Facebook Link verbirgt sich in Wirklichkeit die Seite datingbest2012.info, die ich hier, genau wie meine Domain, durch example.com ersetzt habe. Die Domain datingbest2012.info ist erst gestern angemeldet worden, hat aber schon heute keine IP-Adresse mehr. Damit läuft der Link ins Leere und ich kann leider nicht ausprobieren, was geschieht. Aber Vorsicht: Es gibt sicher nicht nur einen Server und eine Domain.

Absender ist ein Rechner in Lima, Peru. Wie klein die Welt ist.

Auffällig ist die E-Mail-Adresse des angeblichen Absenders: „Facebook.Team“ <9AF3AA6C@moostique.ch>. So eine Adresse wird sicher nicht von Facebook genutzt. Hier wurde der Lokalteil (Teil vor dem @) der Adresse – zufällig? – generiert und besteht aus acht hexadezimalen Zahlen. Damit entspricht der Aufbau des Lokalteils entspricht dem Aufbau eines bestimmten sehr lästigen Typs Spam. Teilweise werden auch die Empfänger zufällig generiert und dann landen die Rückmeldungen (Zustellfehler) der empfangenden Mail-Server beim Mail-Server missbrauchten Domain. Sehr lästig, wenn man alles als gültigen Adressaten akzeptiert. Das „Default-Postfach“ bekommt dann reichlich Zustellfehler.

Damit soll es genug sein.

HaJo Erzbach: Ein Fake?

In dem Artikel zu den Binary Options Mails habe ich die technische Herkunft der Mails untersucht. Eine bisher vernachlässigte Frage, steht hinter HaJo Erzbach eine reale Person. Diese Frage sollte mit Informationen aus dem Netz zu beantworten sein.

Legen wir los.

„HaJo Erzbach: Ein Fake?“ weiterlesen

Facebook is following you

You have 4 lost messages on Facebook
Facebook Spam
Heute habe ich mir eine weitere facebook Spam E-Mail angesehen. Kmail zeigt mir grundsätzlich nur den Textteil an und lädt keine Quellen aus dem Internet. Facebook Originale haben einen Text- und einen HTML Teil. durch meine Einstellungen bekomme ich den HTML-Teil nie sehen. Nur die Spam Mails verzichten aus gutem Grund auf den Text-Teil. In diesem Fall verweist kmail mangels Alternativen auf den HTML-Teil. Für den Screenshot und um zu sehen, wie die Spam E-Mail ohne diese Sicherheitseinstellungen aussieht, ließ ich – nach Entschärfen des Inhaltes – die E-Mail im Inline-Browser darstellen.

Nur ein Link führt zu facebook, die anderen auf Seiten des Absenders. Dieses Verhalten kenne ich schon. Es interessierte mich heute nicht. Heute wollte ich dem HTML-Code zu Leibe rücken. Der erwies sich bis auf das Ende als langweilig. Gegen Ende fand ich folgendes Konstrukt:


<img src="http://www.facebook.com/email_open_log_pic.php?mid=[..]" style="border:0;width:1px;height:1px;" />
<bgsound src="http://www.facebook.com/email_open_log_pic.php?mid=[..]&sa" volume="-10000"/>

Hier werden offensichtlich Dateien von facebook nachgeladen. Es handelt sich hier um PHP-Script, das mit dem ersten Abruf ein transparentes GIF-Bild in der Größe 1×1 Pixel und mit dem zweiten eine Sound Datei zurück liefert. Wenig sinnvoll, diese minimale Information mit einem solch großen Parameter zu steuern, wenn man im Hintergrund nicht noch mehr beabsichtigt. Der Name deutet auf die Absicht hin: Hier soll verfolgt werden, ob der Nutzer die Mail geöffnet hat. Mit dem Abruf des für den Nutzer unsichtbaren Bildchen und Sound kann die E-Mail nach Hause telefonieren. Was dann dort wohl alles registriert und gespeichert wird? Auf Web-Seiten wäre dazu noch Javascript und mindestens ein Cookies erforderlich. Diese Dinge sind nicht im Code enthalten. In einer individuellen Mail ist dies nicht erforderlich, da der Absender weiß, wem er die E-Mail schickt und für jeden Adressaten einen individuellen Schlüssel generieren kann.

„Facebook is following you“ weiterlesen

WP socialshareprivacy – Anpassungen

Da mir das Erscheinungsbild der Buttonleiste nicht ganz zusagt, habe ich ein paar Anpassungen für dieses Blog vorgenommen.

  • Hintergrund-Farbe grau
  • Vergrößern der Box
  • Buttons über statt unter dem Inhalt

Für Hintergrundfarbe habe ich in wp-socialshareprivacy/socialshareprivacy.css unter .social_share_privacy_area die Zeile background-color: #dddddd; eingefügt. Dann hängen die Buttons jedoch direk unter der oberen Kante. Also zusätzlich ein padding-top: 5px !important; einfügen und die Höhe von 25px auf 30px ändern.

Um die Buttons nun oberhalb des Inhaltes zu plazieren muss in wp-socialshareprivacy/wp-socialshareprivacy.php in der Funktion add_content die Zeile

$content .= ‚<div id=“socialshareprivacy“></div>‘;

in

$content = ‚<div id=“socialshareprivacy“></div>‘ . $content ;

geändert werden. Fertig!

Facebook, Twitter und Co

Das bisherige Script für die Facebook, Twitter und Co Buttons habe ich durch ein Datenschutz freundlicheres Script von heise.de ersetzt. Die Buttons müssen jetzt mit einem Klick aktiviert werden, bevor sie Daten an Facebook, Twitter und Co senden.

Für WordPress gibt es zwei Versionen zur Auswahl:

  • „XSD socialshareprivacy“
  • „WP socialshareprivacy“

Nach einem kurzen Test habe ich mich für „WP socialshareprivacy“ entschieden. „XSD socialshareprivacy“ zeigte keinen Facebook-Like-Button an und in der Plugin-Übersicht fehlt ein Link zur Konfiguration. Auch den Programm-Code finde ich bei „WP socialshareprivacy“ übersichtlicher und strukturierter.

In beiden Fällen erscheinen die Button jedoch nur unter den Artikeln und nur in der Einzelansicht der Artikel. Ich hätte die Buttons lieber unter dem Titel. Mal sehen, was sich da machen lässt.