31.8.2012
Eine gefährliche Sicherheitslücke in Java ermöglich dem sozialen Bodensatz unserer Gesellschaft, über manipulierte Webseiten harmlose Internetsurfer anzugreifen und schädlichen Code auszuführen.
Hersteller Oracle warnt, dass so etwa Programme installiert werden können und der Angreifer die Kontrolle über den Rechner bekommt. So können z.B. Kontopasswörter ausgeschnüffelt werden.
Die aktuellste Version von Java soll die Lücken schließen. Erste manipulierte Webseiten sind schon aufgetaucht.
Um festzustellen, ob man die aktuellste Version von Java hat, kann man die Testseite von Oracle besuchen.
http://www.java.com/de/download/testjava.jsp
Dort bekommt man auch die aktuelle Version.
Man sollte dringend ein Update durchführen. Laut Oracle sind allein in Deutschland Millionen Rechner gefährdet.
Die Volksbank-Phisher versuchen es mal wieder!
Angeblich muss man mal wieder seine Kundendaten ausfüllen. Dazu wird man angeblich auf eine Seite der Volksbank gebeten.
Tatsächlich wird aber eine chinesische Webadresse aufgerufen, die dem Besucher ein Formular zum Ausfüllen präsentiert.
Bereits mit dem Text der Mail haben die – vermutlich nicht deutschen – Idioten Probleme. Und auch das Formular ist nicht in der Lage, Umlaute korrekt darzustellen.
Betreff
Neuer Zugang zum Online-Banking
Der Mailtext
HTML-Version:
Sehr geehrter Kunde, sehr geehrte Kundin,
Die Technische Abteilung der Volksbanken Raiffeisenbanken möchte Sie bitten,
die Formular zur Bestätigung der Kundendaten auszufüllen.
Das Ausfüllen dieses Formulars ist obligatorisch für alle Bankkunden.
Wir möchten Sie bitten, unten auf den Link zu klicken und Ihre Kundendaten
zu bestätigen. Bitte füllen Sie dieses Formular vollständig aus.
http://www.vr-networld.de/DEGCB/JPS/portal/Index.do
Wir bitten Sie, eventuelle Unannehmlichkeiten zu entschuldigen, und danken
Ihnen für Ihre Mithilfe.
***** Bitte antworten sie nicht auf diese mail *****
Diese Nachricht wurde automatisch generiert
Reiner Text (Umlautprobleme)
Sehr geehrter Kunde, sehr geehrte Kundin,
Die Technische Abteilung der Volksbanken Raiffeisenbanken mochte Sie bitten,
die Formular zur Bestatigung der Kundendaten auszufullen.
Das Ausfullen dieses Formulars ist obligatorisch fur alle Bankkunden.
Wir mochten Sie bitten, unten auf den Link zu klicken und Ihre Kundendaten
zu bestatigen. Bitte fullen Sie dieses Formular vollstandig aus.
http://www.volksbank.deinst31.cn/DEGCB/JPS/portal/Index.do
Wir bitten Sie, eventuelle Unannehmlichkeiten zu entschuldigen, und danken
Ihnen fur Ihre Mithilfe.
***** Bitte antworten sie nicht auf diese mail *****
Diese Nachricht wurde automatisch generiert
Tatsächlich geht es zu:
http://vr-networld.de.firu10.cn/DEGCB/JPS/gad
einer chinesischen Adresse auf einem rumänischen Server.
Vorsicht, weiterlesen. Könnte Exploit im iFrame enthalten!!!
Firefox erkennt die Phishing-Attacke sofort!
Warnung
Die oben genannte Seite enthält noch einen 1-Pixel großen iFrame, welcher zu einem Server in Hong Kong führt. Der könnte ein Exploit beinhalten!
Verhaltensregel
Ihre Bank wird Sie niemals auffordern, ihre Daten auf so einer Seite einzugeben. NIEMALS! Ignorieren Sie solche Mails. Löschen Sie sie. Gucken Sie NICHT aus Neugier nach, was sich dahinter verbirgt!
Paypalkunden sollen verlockt werden auf einer in Dänemark liegenden Seite namens palupdate.dk ihre Paypaldaten einzugeben.
Sollte das klappen, ist es für die Verbrecher sicher genauso lohnend, wie in ein Bankkonto einzubrechen. Mit dem Unterschied, dass keine weiteren Sicherheitssperren wie TANs etc. existieren.
VORSICHT: Script!
Man kann davon ausgehen, dass diese Seite auch „virenverseucht“ ist und mithilfe eines sogenannten „Cross-Site-Scripting“ Versuchs (XSS) versucht, Besucher der Seite über Browserlücken anzugreifen, um etwa einen Trojaner zu installieren. Auf jeden Fall gibt Firefox entsprechende Warnungen aus!
Betreff der Mail:
Neu PayPal-Sicherheits-Center 2008
Mailtext:
Neu PayPal-Sicherheits-Center 2008.
Guten Tag,
Die PayPal Sicherheitsabteilung hat ein neues Datenschutzsystem entwickelt.Da zur Zeit die Betrügereien mit den PayPal-Konten von unseren Kunden häufig geworden sind, müssen wir notgedrungn nachträglich eine zusätzliche Autorisation von den PayPal-Kontobesitzern durchführen.
Der Sicherheitsdienst der PayPal traf die Entscheidung,eine neue Sicherung von den Datenvorzunehmen.Dazu wurden von unseren Spezialisten sowohl die Protokolle der Informations-übertragung, als auch die Kodierungsart der übertragenen Daten erneuert.
Der Vorgang ist jedoch noch nicht abgeschlossen.
Sie müssen auf den Link unten klicken und Ihr Passwort auf der folgenden Seite eingeben, um diese E-Mail-Adresse zu bestätigen.
Klicken Sie hier, um Ihre E-Mail-Adresse zu bestätigen
Sie können Ihre E-Mail-Adresse auch bestätigen, indem Sie sich unter https://www.paypal.com/de/ in Ihr PayPal-Konto einloggen.
Vielen Dank, dass Sie sich für PayPal entschieden haben.
Ihr PayPal-Team
Angeblicher Besitzer ist ein Pelle Schmidt mit einer Postfachadresse.
Virenkiller.de-Rat:
- Auf keinen Fall ansurfen! Unterdrücken Sie Ihre Neugier!
- Besorgen Sie sich einen sicheren Browser (Firefox-Download befindet sich rechts im Menü von www.virenkiller.de)
- Tragen Sie sich in unseren Virennewsletter ein.
Das Muster ist immer dasselbe. Sogar der Verursacher ist derselbe, weil er definitiv mit Viren auf dem Server 203.223.158.26 arbeitet.
Im Mailpostfach tauchen scheinbar völlig harmlose Mails auf, die mit Billigangeboten locken. Meist ziemlich zusammengeschustert, aber ganz eindeutig nicht aus Deutschland stammend, wenngleich man die Sprache des Textes als deutsch bezeichnen könnte.
Derzeit lockt beispielsweise eine Mail mit spottbilligen Flügen der Fluggesellschaft Air Berlin. Das Betreff lautet:
Interessanter Angebot von „Berliner Airlines“
So so, DER Angebot, hmm? :-)
Weiter gehts mit der Radebrecherei:
Achtung! In diesem Sommersaison fuehrt die Gesellschaft „Berliener Airlines“ eine neue Aktion durch.
Sie koennen nun in jeden beliebigen Punkt innerhalb der EU fuer nur EUR 20 fliegen.
Sie bezahlen nur Ihre Versicherung und den Treibstoff. Beeiligen Sie sich!
Die Anzahl der Tickets ist stark beschraenkt.
Naeheres dazu unter http://XXXXXXXXX.biz/
Gut, das alles scheint (und ist) ja soweit ungefährlich. Personen mit einem IQ über 75 erkennen vermutlich auch sofort, dass es sich um Unsinn handelt. Nichtsdestotrotz weckt die Mail vielleicht bei dem einen oder anderen die Neugier. Mal sehen, was die denn wirklich verkaufen wollen…
Die wollen gar nichts verkaufen!
Folgt man dem Link, so landet man bei einer seltsamen, harmlos scheinenden Seite aus Korea. Der Trick liegt in einem eingebetteten Frame (iFrame), der eine Seite nachlädt, die wiederum ein hinterhältiges Javascript enthält. Dieses Javascript versucht, bekannte Exploits des Internetexplorers nachzuladen, um so die Kontrolle über Ihren Rechner zu bekommen.
OK, was kann man dagegen tun?
Das ist relativ einfach zusammenzufassen:
- Immer alle aktuellen Updates von Windows/Internet Explorer laden!
- Hirn einschalten! Die Air Berlin bietet nichts auf einer Seite an, die eine Topleveldomain biz hat und schon im Namen das Wort Korea.
- Merken: Nach neusten Untersuchungen sidn 80% aller Seiten unter .INFO bzw. .BIZ Virenschleudern.
- Javascript abschalten bzw. einen anderen Browser benutzen. Rechts neben diesem Artikel finden Sie die Hinweis-Box mit einem Link zu einem optimierten Firefoxbrwoser mit Googlefunktionen. Auf den wirken diese Exploits gar nicht!
- Einen Spamfilter benutzen.
Nochmal: Bitte nutzen Sie einen Spamfilter. Folgen Sie niemals Links in Spammails. Entweder holen Sie sich damit Schädlinge in den Rechner oder sie bestätigen den Spammern Ihre Emailadresse.
Nutzen Sie einen Browser wie Firefox (Link dazu rechts in der Hinweisbox)
