Viren, Spyware, Datenschutz 11.214 Themen, 94.192 Beiträge

News: Warnung vor der Mahnung

Warnung - gefälschte Mahnung von 1und1 unterwegs

xafford / 18 Antworten / Flachansicht Nickles
Bescheidenes Ergebnis (Quelle: Screenshot Virustotal)
Vor wenigen Minuten erreichte eine Mail von 1&1 mein Postfach - eine Mahnung laut Betreff. Zwar bin ich Kunde bei 1&1 und erhalte auch meine Rechnungen just von der (natürlich gefälschten) Absender-Adresse rechnungsstelle@1und1.de - aber der berechtigte Verdacht liegt nahe, dass es natürlich keine echte Mail ist, denn Mahnungen werden üblicherweise nicht per Mail verschickt und diese Masche ist auch altbekannt.

SPAM-Mails, Phishing-Mails und Viren-Mails sind an für sich nichts besonderes mehr und alltäglich - es lohnt sich in der Regel nicht darüber zu berichten. Warum ich über diesen Fall trotzdem berichte hat mehrere Gründe.

Zum einen ist diese Mail im Vergleich zu dem üblichen Mist recht gut gemacht - keine falschen Sonderzeichen, keine Schreibfehler (zumindest auf den ersten Block), korrekte Grammatik und auch die passende Absender-Adresse. Die Mail enthält auch keinen verdächtigen Anhang, sondern (auch nicht unüblich) einen Link (vorgeblich) zum Control-Center. Allerdings führt der Link (wie vermutet) nicht zum Control-Center von 1&1, sondern zu einem Download von einem Server mit einer schlecht gewarteten Joomla-Installation. Spätestens jetzt, wo hinter dem Link direkt ohne Authentifizierung der Download einer ZIP-Datei angeboten wird sollten alle Alarmglocken schrillen.

Wer die ZIP-Datei trotzdem herunter läd und entpackt findet darin eine ausführbare EXE-Datei, die jedoch mittels PDF-Icon und überlangem Dateinamen als PDF getarnt ist. Wer Dateierweiterungen ausblendet könnte wirklich auf den Gedanken kommen, es handle sich um eine solche.

Was das ganze jedoch besonders brisant macht ist der Umstand, dass aktuell (Stand 16.01.2014) noch sehr wenige Virenscanner diesen Schädling erkennen, laut Virustotal gerade einmal 14 von 48. Der kostenlose Scanner Microsoft gehört zu den Virenscnannern, die hier versagen und die Datei als sauber einstufen.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
xafford PaoloP „Danke für die Antwort: Was mich intereressieren würde: Hat ...“
Optionen
Was mich intereressieren würde: Hat der Klick auf den Link, automatisch den Download zur Folge gehabt?

Wie gesagt, der Link führte direkt ohne Weiterleitung oder Zwischenseite zum Download der ZIP-Datei, es war auch ein reguläres ZIP, kein selbstentpackendes. Aus Sicht der Betrüger wäre natürlich eine Fake-Seite mit Login-Maske (muss ja nicht die Daten wirklich korrekt prüfen, dafür könnte sie sie abgreifen) wäre noch perfekter gewesen, obwohl dann wahrscheinlich die falsche URL noch mehr aufgefallen wäre.

Nur zur Ergänzung: Nahezu perfekt aufgemachte Angriffe(in sauberem deutsch) via Mail musste ich auf den Systemen die ich in meiner näheren Bekanntschaft betreue in letzter Zeit zunehmend feststellen.

Ich denke auch, dass mittlerweile einige der Betrüger einen muttersprachlichen Hintergrund haben - die Erfolgsquoten sind wohl nach wie vor hoch genug, dass es sich auch in einem Hochlohn-Land wie Deutschland rechnet.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
c PaoloP