Eine Mail die angeblich von einem Ebay-Shop stammt, versucht mal wieder auf eine virenverseuchte Seite bei Geocities zu locken.
Betreff:
Das spezielle Geschenk zum Kauf.
Mailtext:
Unsere herzlichsten Glückwünsche. Sie sind der Käufer #10.000 in unserem Geschäft, deshalb schenken wir Ihnen ein Geschenk. Welcher? Bitte, folgen Sie dem Link http://cgi.ebay.de/ws/eBayISAPI.dll?ViewItem&Item=220133405551&Category=133515 und erfahren Sie das. Wir danken Ihnen für die Benutzung der Dienstleistungen unseres Geschäftes. Kaufen Sie bitte noch.
Soweit der “normale” Mailtext. In der HTML-Version versucht man den Leser auf eine Virenverseuchte Seite zu locken.
Vorsicht, auf keinen Fall ansurfen!!!
Diese und andere Virenwarnungen kostenlos per Email bekommen?
Der Virennewsletter von Virennewsletter.de
Warnung vor gefälschten Telekom-Mails (T-Mobile)
Der Newsticker des Heiseverlags warnt vor gefälschten Mails von T-Mobile.
Diese locken den Empfänger mit Gutschriften aus dem SMS-Konto.
Betreff der Mails:
Betr.: Danke, dass Sie Ihre Rechnung rechtzeitig erganzt haben
Der Text der Mail lautet:
Die Gesellschaft “T-Mobile” dankt ihren Kunden, dass sie ihre Abrechnung des Mobiltelefonsimmer rechtzeitig ergänzen und dafür rechnet sie ihnen die Punkte an.1 Punkt sind gleich 20 kostenlose SMS. Die Punktmenge auf Ihrer Rechnung können Sie hier http://www.t-mobile.de/mein-t-mobile/0,9703,14244-_,00.html anschauen. Eine notwendige Bedingung des Erhaltens der Punkte ist die positive Abrechnung im Laufe von dem Quartal.
Ein Link in der Mail führt dann allerdings nicht auf eine T-Mobileseite, sondern wieder mal auf eine virenverseuchte Webseite, die dem Besucher durch einen nicht wahrnehmbaren Iframe durch Javascripte gefährliche Trojaner unterzuschieben versucht. Iframes nennt man die Technik, in normale Webseiten offen oder versteckt Inhalte anderer Webseiten einzubetten.
Erfolgversprechend dürfte so eine Mail ohnehin eigentlich nur bei Kunden von T-Mobile sein, aber man weiß ja nie.
Kompletter Text von heise:
http://www.heise.de/newsticker/meldung/93118
Auch T-Mobile selbst warnt:
http://www.t-mobile.de/virenwarnung
Diese und andere Virenwarnungen kostenlos per Email bekommen?
Der Virennewsletter von Virennewsletter.de
Das Muster ist immer dasselbe. Sogar der Verursacher ist derselbe, weil er definitiv mit Viren auf dem Server 203.223.158.26 arbeitet.
Im Mailpostfach tauchen scheinbar völlig harmlose Mails auf, die mit Billigangeboten locken. Meist ziemlich zusammengeschustert, aber ganz eindeutig nicht aus Deutschland stammend, wenngleich man die Sprache des Textes als deutsch bezeichnen könnte.
Derzeit lockt beispielsweise eine Mail mit spottbilligen Flügen der Fluggesellschaft Air Berlin. Das Betreff lautet:
Interessanter Angebot von “Berliner Airlines”
So so, DER Angebot, hmm? :-)
Weiter gehts mit der Radebrecherei:
Achtung! In diesem Sommersaison fuehrt die Gesellschaft ”Berliener Airlines” eine neue Aktion durch.
Sie koennen nun in jeden beliebigen Punkt innerhalb der EU fuer nur EUR 20 fliegen.
Sie bezahlen nur Ihre Versicherung und den Treibstoff. Beeiligen Sie sich!
Die Anzahl der Tickets ist stark beschraenkt.
Naeheres dazu unter http://XXXXXXXXX.biz/
Gut, das alles scheint (und ist) ja soweit ungefährlich. Personen mit einem IQ über 75 erkennen vermutlich auch sofort, dass es sich um Unsinn handelt. Nichtsdestotrotz weckt die Mail vielleicht bei dem einen oder anderen die Neugier. Mal sehen, was die denn wirklich verkaufen wollen…
Die wollen gar nichts verkaufen!
Folgt man dem Link, so landet man bei einer seltsamen, harmlos scheinenden Seite aus Korea. Der Trick liegt in einem eingebetteten Frame (iFrame), der eine Seite nachlädt, die wiederum ein hinterhältiges Javascript enthält. Dieses Javascript versucht, bekannte Exploits des Internetexplorers nachzuladen, um so die Kontrolle über Ihren Rechner zu bekommen.
OK, was kann man dagegen tun?
Das ist relativ einfach zusammenzufassen:
- Immer alle aktuellen Updates von Windows/Internet Explorer laden!
- Hirn einschalten! Die Air Berlin bietet nichts auf einer Seite an, die eine Topleveldomain biz hat und schon im Namen das Wort Korea.
- Merken: Nach neusten Untersuchungen sidn 80% aller Seiten unter .INFO bzw. .BIZ Virenschleudern.
- Javascript abschalten bzw. einen anderen Browser benutzen. Rechts neben diesem Artikel finden Sie die Hinweis-Box mit einem Link zu einem optimierten Firefoxbrwoser mit Googlefunktionen. Auf den wirken diese Exploits gar nicht!
- Einen Spamfilter benutzen.
Nochmal: Bitte nutzen Sie einen Spamfilter. Folgen Sie niemals Links in Spammails. Entweder holen Sie sich damit Schädlinge in den Rechner oder sie bestätigen den Spammern Ihre Emailadresse.
Nutzen Sie einen Browser wie Firefox (Link dazu rechts in der Hinweisbox)