Netzwelt Betrügerische E-Mails mit gefälschten ST-Absendern unterwegs
Mitglied_17db832
Administrator
Betrügerische E-Mails mit gefälschten ST-Absendern unterwegs
geschrieben von ehemaliges Mitglied
Hallo zusammen,
derzeit sind in mehreren Sprachen E-Mails unterwegs, die offensichtlich von einem virenverseuchten PC eines STlers stammen müssen. Es gibt Virenprogramme, die Computer infizieren und die E-Mailadressen aus dem lokalen E-Mail-Adressbuch des Nutzers für Absender und Empfängeradressen verwenden, um SPAM zu versenden. Vor vielen Jahren war auch meine Frau einmal das Opfer eines solchen Programms, weil ihre E-Mail Adresse bei vielen Lehrern im Adressbuch stand. Es war sehr mühsam entsetzte Empfänger zu überzeugen, dass nicht sie diese E-Mails gesendet hatte.
Ich vermute, dass eine Vireninfektion auf dem Computer eines STlers wieder so etwas in Gang gesetzt hat (eine gezielte Aktion kann ich mir nicht vorstellen) und deshalb werden wahrscheinlich mehrere aus unserem Kreis solche Mails erhalten. Das sieht dann oberflächlich so aus, als bräuchte ein Bekannter aus dem ST Hilfe.
Das ist die typische Diktion von SPAM-Mail. Typisch ist auch, es fehlt die Unterschrift, denn es werden unterschiedliche Absender eingesetzt, auf die eine Unterschrift nicht passen würde. Bitte achtet auch auf den ausführlichen Kopf der E-Mail (meistens wird ja nur die angebliche Absenderadresse genannt, aber man kann bei den Einstellungen des E-Mailprogramms sich den vollständigen Pfad der E-mail anzeigen lassen und wird dann sehen, dass der Mail-Ursprung ein anderer ist.
Lasst Euch bitte nicht verunsichern, falls ihr eine solche E-Mail erhaltet, das ist eine ganz gemeine Masche und wir sollten diesen Leuten das Geschäft durch Aufklärung vermasseln,
Karl
derzeit sind in mehreren Sprachen E-Mails unterwegs, die offensichtlich von einem virenverseuchten PC eines STlers stammen müssen. Es gibt Virenprogramme, die Computer infizieren und die E-Mailadressen aus dem lokalen E-Mail-Adressbuch des Nutzers für Absender und Empfängeradressen verwenden, um SPAM zu versenden. Vor vielen Jahren war auch meine Frau einmal das Opfer eines solchen Programms, weil ihre E-Mail Adresse bei vielen Lehrern im Adressbuch stand. Es war sehr mühsam entsetzte Empfänger zu überzeugen, dass nicht sie diese E-Mails gesendet hatte.
Ich vermute, dass eine Vireninfektion auf dem Computer eines STlers wieder so etwas in Gang gesetzt hat (eine gezielte Aktion kann ich mir nicht vorstellen) und deshalb werden wahrscheinlich mehrere aus unserem Kreis solche Mails erhalten. Das sieht dann oberflächlich so aus, als bräuchte ein Bekannter aus dem ST Hilfe.
Betreff: Hallo, ich brauche Ihre Hilfe
Hallo, ich bin mit dem Anliegen schriftlich. Ich erzähle Ihnen erst jetzt entschuldigen. Ich machte eine Reise nach Malaysia im Notprogramm. Leider wurde mir gestohlen, und ich verlor alle meine Amtszeit. Ich bin nicht in der Lage, meine Rechnungen zu bezahlen und eine Reise in seine Heimat zurück und verfügen nicht über das Telefon Anrufe tätigen oder empfangen. Ich bitte Sie, mich mit dem Betrag von 2500 Dollar heute helfen, damit ich die Hotelrechnung bezahlen kann und mich zum fliegen heute nach Hause. Und das Geld wird erstattet, wenn ich sicher angekommen.
Lassen Sie es mich wissen, wenn Sie helfen können, damit ich meine Daten senden können zu verwenden, wenn Sie Geld durch Western Union schicken.
Ich freue mich auf das Lesen von Ihnen im Laufe des Tages.
Das ist die typische Diktion von SPAM-Mail. Typisch ist auch, es fehlt die Unterschrift, denn es werden unterschiedliche Absender eingesetzt, auf die eine Unterschrift nicht passen würde. Bitte achtet auch auf den ausführlichen Kopf der E-Mail (meistens wird ja nur die angebliche Absenderadresse genannt, aber man kann bei den Einstellungen des E-Mailprogramms sich den vollständigen Pfad der E-mail anzeigen lassen und wird dann sehen, dass der Mail-Ursprung ein anderer ist.
Lasst Euch bitte nicht verunsichern, falls ihr eine solche E-Mail erhaltet, das ist eine ganz gemeine Masche und wir sollten diesen Leuten das Geschäft durch Aufklärung vermasseln,
Karl
Mitglied_5ccaf87
Mitglied
Re: Betrügerische E-Mails mit gefälschten ST-Absendern unterwegs
geschrieben von ehemaliges Mitglied
derzeit sind in mehreren Sprachen E-Mails unterwegs, die offensichtlich von einem virenverseuchten PC eines STlers stammen müssen.
Die Möglichkeit besteht, muß aber nicht zwingend so sein. Es kann sich auch ganz simpel um eine missbrauchte Adresse bzw. IP handeln. Ich verweise auf http://community.seniorentreff.de/forum/board/Virenprogramme;tpc12,313062 in welchem ich darüber gestern erst aus eigener Erfahrung berichtete.
Eine Anleitung, wie man einen Infekt mit höchster Sicherheit auch ohne Scanner oder Internetsecurity erkennt und diesen entfernt, habe ich in http://community.seniorentreff.de/lokales/gruppen/Anleitungen-und-Tutorials;gruppe0,84,B::art11994,45869 ausführlich beschrieben. Eine funktionsfähige BartPE zur Entfernung befindet sich hier: http://kurzlink.seniorentreff.de/DRhJuaJKi
User, die nicht mit der genannten Software umgehen können, sollten eine vertrauenswürdige Person um Hilfe bitten.
Karl
Administrator
Re: Betrügerische E-Mails mit gefälschten ST-Absendern unterwegs
geschrieben von Karl
Danke für die Info! Ich möchte noch einmal nachhaken. Du schreibst "Es kann sich auch ganz simpel um eine missbrauchte Adresse bzw. IP handeln." Könnte es also sein, dass jemand eine gezielte Attacke gegen einen User hier führt?
Das wäre interessant zu wissen, denn dann würde ich diesen Vorfall der Polizei übergeben.
Karl
Das wäre interessant zu wissen, denn dann würde ich diesen Vorfall der Polizei übergeben.
Karl
Mitglied_5ccaf87
Mitglied
Re: Betrügerische E-Mails mit gefälschten ST-Absendern unterwegs
geschrieben von ehemaliges Mitglied
Das wäre interessant zu wissen, denn dann würde ich diesen Vorfall der Polizei übergeben.
Nichts überbewerten! Die Mailadresse kann irgendwo im Internet mittels Robot gefunden worden sein. Das funktioniert ähnlich wie eine Suchmaschine in sozialen Netzwerken. In "Gelbe Seiten" können auch Adressen stehen.
Aber es ist auch leicht möglich, das sie per Zufallsgenerator erzeugt wurde. Letzteres ist die modernere Form. Dabei werden per Zufallsgenerator irgendwo im Internet Adressen am laufenden Band erzeugt und an jede von ihnen eine Mail mit unsinnigen Inhalt versandt. Kommen sie nicht Retour, sind es reale Adressen. Die werden dann verkauft. Der Inhalt der Mail deutet auf eine solche Methode. Der Empfänger einer solchen DummMail könnte also zukünftig Spam in größeren Mengen erwarten.
Auch gibt es Malware, die nichts anderes tut, als Mailadressen zu sammeln. Diese können von einem gehackten PC stammen. Beispielsweise: X schreibt an Y das Z eine bestimmte Adresse besitzt. Wo willst du jetzt suchen? Das kann besonders dann passieren, wenn OutlockExpress bzw Outlock als MailClient benutzt wird. Beim Thunderbird weniger, da bei Moz&Co im Profil alles in Archiven speichert.
Zu guter Letzt gibt es sogar skrupellose Mailboxbetreiber: http://www.heise.de/newsticker/meldung/Spammer-Helfer-muss-fuer-15-Monate-ins-Gefaengnis-123782.html Meine Adresse bei AOL besaß in diesem Fall einen Marktwert von 0,09 $us
Ich halte meine Hände nicht dafür ins Feuer, das sie endgültig ausgestorben sind.
lalelu
Mitglied
Re: Betrügerische E-Mails mit gefälschten ST-Absendern unterwegs
geschrieben von lalelu
Vor einiger Zeit bekam ich in unregelmäßigen Abständen Mails an meine AOL-Adresse von einem mir unbekannten Absender aus Amerika. Mir wurde immer mitgeteilt, dass ein bestimmter Betrag (jeweils kleinere Beträge) von meinem Konto abgebucht würde und zwar für Musik, die ich aus dem Internet heruntergeladen hätte.
Da ich weder Musik heruntergeladen, geschweige denn irgendein Konto angegeben hatte, glaubte ich an einen Tippfehler in der Adresse und unternahm gar nichts. Antworten konnte man übrigens sowieso nicht.
Sollte ich mir anfangen, Gedanken zu machen?
Lalelu
Da ich weder Musik heruntergeladen, geschweige denn irgendein Konto angegeben hatte, glaubte ich an einen Tippfehler in der Adresse und unternahm gar nichts. Antworten konnte man übrigens sowieso nicht.
Sollte ich mir anfangen, Gedanken zu machen?
Lalelu
Karl
Administrator
Re: Betrügerische E-Mails mit gefälschten ST-Absendern unterwegs
geschrieben von Karl
Vielleicht ist es in meinem Ausgangsposting untergegangen. Das Perfide an den von mir beanstandeten SPAM-Mails ist die "bekannte" Absenderadresse, man denkt also, jemand Bekanntes habe die E-Mail gesendet. Ich habe diese falsche Absenderadresse hier aber natürlich nicht ins Posting übernommen.
Diese SPAM arbeitet mit der Grundidee, dass häufig Deine Freunde sich auch untereinander kennen. Wenn also ein Virenprogramm aus Deinem E-Mailadressbuch einen Absender nimmt und die SPAM Mail an die anderen Adressen in Deinem Adressbuch versendet, besteht eine große Chance, dass einige Empfänger glauben, dass jemand Bekanntes um Hilfe bittet.
Karl
Diese SPAM arbeitet mit der Grundidee, dass häufig Deine Freunde sich auch untereinander kennen. Wenn also ein Virenprogramm aus Deinem E-Mailadressbuch einen Absender nimmt und die SPAM Mail an die anderen Adressen in Deinem Adressbuch versendet, besteht eine große Chance, dass einige Empfänger glauben, dass jemand Bekanntes um Hilfe bittet.
Karl
Mitglied_5ccaf87
Mitglied
Re: Betrügerische E-Mails mit gefälschten ST-Absendern unterwegs
geschrieben von ehemaliges Mitglied
Vielleicht ist es in meinem Ausgangsposting untergegangen. Das Perfide an den von mir beanstandeten SPAM-Mails ist die "bekannte" Absenderadresse, man denkt also, jemand Bekanntes habe die E-Mail gesendet.
Genau so ist es. Das ist aber nur die eine Seite.
Irgendwo im Bekanntenkreis ist eine undichte Stelle und dessen Adressbuch wurde vermutlich kopiert. Da es eine relativ kleine Datei ist, wird es nicht bemerkt. Folgender Vorgang ist denkbar:
1. Empfang eines Trojanerscript von einer stark frequentierten jedoch gehackten Webseite
2. Mit Hilfe des Scriptes wird die Registry nach dem Speicherort der Adressdatei abgefragt.
3. Der Trojaner veranlasst die Kopie der Adressdatei ins Web.
4. Fertig
Da an diesem Vorgang nur M$-Komponente beteiligt sind, kann eine Firewall nichts sperren. Windows darf immer arbeiten, ansonsten würde es nicht funktionieren.
An anderer Stelle schrieb ich schon, das zur sicheren Erkennung einer Schadsoftware immer die Signatur vorhanden sein muss. Ist sie neu, könnte eventuell nur noch eine Heuristik mit vagen Ergebnissen helfen. Versierte Kriminelle haben zudem die meisten Scanner ausprobiert und bleiben dadurch wenigstens in den ersten Tagen relativ unerkannt.
Der Speicherort der Adressdatei steht für den OjE stets bei HCU\Software\Microsoft\WAB\Wab File Name\... Es ist ein Leichtes die dort gespeicherte Variable auszulesen und in den Copy-Befehl zu übernehmen. Das beherrscht ein Coder-Azubi im ersten Lehrjahr. Der beschriebene Vorgang funktioniert nur bei IÄ&OjE.
Bei FF&Thunderbird (oder andere Kombinationen) geht das nicht, denn der TB trägt den Speicherort nicht in die Registry ein. Der FF besitzt zudem einen Schutz (NoScript, soweit dieser richtig konfiguriert ist) gegen Ausführung von Scripten, welche auf externe Seiten verweisen. Selbst wenn der Trojaner auf anderem Weg eindringt (Download), kopiert er das (meist) leere Adressbuch des OjE. Das Profil des TB-Nutzers in Bezug auf den Speicherplatz des Adressbuches und seinen Namen abzufragen, lässt sich nur schwer verwirklichen und wird darum unterlassen. Es beginnt schon damit, das die Adresse des Profils in einer Datei steht, dessen Verzeichnis bei jedem Anwender einen anderen kryptischen Namen besitzt.
Wobei ich nicht behaupten will, das es beim FF&TB grundsätzlich unmöglich ist. Jedoch ist es ungleich schwerer und der notwendige Script-Code würde sich nicht nur auf 3-5 Zeilen beschränken. Je größer ein Schadcode ist, desto auffälliger wird er. Zudem ist die Trefferrate bei IÄ&OjE wesentlich größer. Das wirst du aber in Google-Analytics
schon längst erkannt haben.