SPAM: SEPA Umstellung

SEPA-Umstellung

[tawarning onall=“yes“] Derzeit erfreut sich die SEPA Umstellung erheblicher Beliebtheit bei den Kriminellen. Nach und nach werden alle Banken und Firmen abgeklappert, die mir nie eine Mail schicken, um die Trojaner an den Mann oder die Frau zu bringen. Heute war die Sparkasse dran. Die Mail ist nicht mal gut gemacht. Der Link im Text-Teil ist verweist nicht auf den Trojaner. Man beachte auch den „-“ statt des „.“ hinter „www“.

Text: wwwsparkasse.de/kundenservise/sepa.abteilung
HTML: http://arabeskfm.net/www.sparkasse.de/sepa-umstellung.htm

Kameraden: Im HTML-Message-Body hätte Ihr im Link wwwsparkasse.de ruhig in www.sparkasse.de umwandeln können.

Übrigens: Die Domain www-sparkasse.de gibt es wirklich, nur hat sie keine IP-Adresse und ist auf von der Finanz Informatik GmbH & Co. KG registriert.

Die SEPA-Umstellung geht von ganz alleine. Sie müssen nichts tun. Insbesondere nicht dubiosen Links in noch dubioseren Mails folgen.

SPAM: Luftfrachsendung AWB (79698779548732)

Luftfrachtsendung AWB.pdf
E-Mail mit einem Anhang AWB.pdf, der angeblich geprüft werden soll.

Es ist ein – zumindest mir – neue Form des Trojaners unterwegs. Diesmal ist die angehängte Datei AWB.pdf wirklich eine PDF Datei und kein in einem ZIP File mit doppelter Endung eingepacktes Programm. Beim Aufruf mit Adobe Acroread wird nur eine Seite anzeigt, die mitteilt, dass der Adobe Acrobat Reader aktualisiert werden muss. Unter Windows könnte es einen Link geben. Hier unter Linux wird kein Link angezeigt.

Kann nicht geoffnet Dokumentation. Aktualisieren Sie den Adobe Acrobat Reader.

„SPAM: Luftfrachsendung AWB (79698779548732)“ weiterlesen

Angriffe auf den SSH-Port

Vor einigen Wochen hatte ich letztmalig über Angriffe auf den SSH-Port geschrieben. Die meisten Angriffe erfolgte aus dem Netz der STRATO AG. In den folgenden Tagen habe ich STRATO jeden Tag eine Mail mit den IP-Adressen der Angreifer an abuse-server ( at ) strato.de geschickt. Lange Zeit hat sich nichts getan.

„Angriffe auf den SSH-Port“ weiterlesen

Telekom Rechnung – Original und Fälschung

Original  Telekom Rechnungsmail
Original Telekom Rechnungsmail

Gestern kamen einige gefälschte Telekom Rechnungen für den Monat Oktober (Original siehe oben, Fälschung siehe unten) herein. Das Original gab es heute. Wie üblich ist die Rechnung bei der Fälschung keine PDF-Datei, sondern eine ZIP-Datei mit einem Trojaner; klar erkennbar an der doppelten Dateiendung „.pdf.exe“. Weitere Unterschiede zur Original-Rechnung:

  1. Keine Anrede mit Namen
  2. Fehlende/Falsche Buchungskontonummer im Betreff
  3. Falsche Absenderadresse

Besonders deutlich wird der Fake in der Text- statt HTML- Ansicht. In der Text-Ansicht ist die Original-Mail gut formatiert, die gefälschte Rechnungsmail jedoch kaum lesbar.

Tipp: Merken Sie sich Ihre Buchungskontonummer, es dürften die ersten oder letzten drei Stellen reichen, und die Betrüger haben weniger Chancen, auch wenn Sie mit Namen angeredet werden. Außerdem: Die Telekom verschickt keine ZIP-Dateien.

Gefälschte Telekom Rechnungsmail
Gefälschte Telekom Rechnungsmail

Arbeitsangebote von Anderegg Allround Service

[tawarning align=“left“ onall=“yes“] Vor einigen Tagen bekam ich einen Hinweis, dass die Betrüger auch unter dem Firmennamen Anderegg Allround Service agieren und dazu die Domain anderegg-as.com auf dem Server mit der bekannten IP-Adresse 109.163.237.38[1], nutzen. Sie haben sich tatsächlich der Mühsal unterzogen, den Inhalt ins Adobe Flash Format zu konvertieren. Im Firefox unter Linux baut sich die Seite nicht sonderlich elegant auf. Jungs, daran muss noch etwas gearbeitet werden.

Ansonsten nichts neues.

Update 16.06.2013

Ich hätte den Artikel vielleicht ein paar Tage früher schreiben sollen. Am Samstag erhielt ich ein Anruf mit der Nachfrage, ob ich mir sicher wäre, dass dies Betrug ist. Da war der unterschriebene Arbeitsvertrag raus. Da die ersten Bestellungen bereits unterwegs sind, bevor der Arbeitsvertrag beginnt, ist es zwar nicht sinnlos eine Mail zu schreiben, dass man den Arbeitsvertrag widerruft, aber der Ärger kommt mit großer Wahrscheinlichkeit ins Haus; und mit den ersten Paketen schnell die Polizei. Da ist es ratsam schneller zu sein, selbst zur Polizei zu gehen und Anzeige zu erstatten. Auf keinen Fall die Pakete nach Arbeitsanweisung weiterleiten. Zurückschicken und Bestellung stornieren.

  1. [1]Siehe den Artikel: Fake: Versandmitarbeiter für MS Transporte Schwab – Team (2) vom 10. April 2013

Netter Versuch

… aber ich sichere meinen Server nicht im document root.

Heute fiel mir ein seltsamer Besucher auf, der nach Dateien byggvir.de.zip, byggvir.de.rar oder .7z suchte. Hier ein Log Eintrag.


192.74.229.180 - - [01/Jun/2013:00:01:15 +0200] "GET /byggvir.de.zip HTTP/1.1" 200 139 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler ; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727)"

Die Idee, dass ein Admin seinen Server sichert und die Sicherung auf dem Server selbst zum Herunterladen ablegt ist nicht schlecht. So käme man an die .htaccess oder das Password für den MySQL Server.

Daraus wird nichts: So etwas mach ich nicht!

BTW: Wer behauptet einen alten MSIE 6.0 zu nutzen, der erhält eine kleine Datei mit dem Hinweis, dass der Browser veraltet ist. Mit den Angaben im User Agent scheinen es die Kameraden nicht so genau zu nehmen. Da finden sich viele lustiger Einträge. Ein doppeltes „MSIE 6.0“ ist nur wirklich nicht nötig.

Trojaner: Ihre Vertragsbest tigung

[tawarning] Heute sind drei Vertragsbestätigungen ohne „ä“ im Postfach, die nicht als Spam erkannt wurden. Alle stammen von kontakt-noreply@kundenservice-energie.de. Da braucht man nicht nachdenken, um zu erkennen, was es ist. Der Anhang ist eine Zip-Datei Auftragsbestaetigung_600975.zip, die wiederum einen Trojaner Auftragsbestaetigung_659022.pdf.exe und enthält.

Das ist langweilig; lasst euch etwas Neues einfallen. Gute Nacht