Achtung - Gut gemachte Fake-Email der Polizei NRW unterwegs! Einstellungen

[Kaeras]

Moin

... ich habe heute morgen eine eMail von der Polizei NRW bekommen die verdammt echt aussieht, vor allem auf dem ersten Blick.

Selbst ich musst da erst mal genau nachsehen. Anrede, Email-Adresse und auch die Daten von der Polizei (Adresse usw.) stimmen. Der HEADER sieht auch gut aus, bis auf die Tatsache das die Polizei ggf. nicht über Stratoserver arbeitet und im Text wurden Links mit "tinyurl" genutzt. Zudem wird man beim anklicken (hatte noch ein altes Handy rumliegen um mal zu testen *g*) auf eine deutsche Seite geleitet welche dann ein Java-Applett startet ... Inhaltlich war sie fehlerfreien Deutsch verfasst, hatte jedoch beim lesen einen inhaltlichen Widerspruch, da man zuvor als Opfer genannt wird, aber nachher als Täter die Beweislast einsehen soll (TinyUrl)

Man erkennt die gefakte Mail an folgenden Punkten:

- Der Receive-HEADER beinhaltet stratoserver.net / 85.214.35.150 (war zumindest bei mir und 5 weiteren bekannten so)
- die Endung der Polizei ist falsch: statt polizeinrw.de musss es richtig lauten: polizei.nrw.de (Also mit einem PUNKT zwischen "polizei" und "nrw")
- Zudem meldet sich ein "Polizeibeamter" mit Absender aus Wiesbaden (Hessen) NICHT mit einer "nrw-Endung" (Nordrhein-Westfalen).
- Die Polizei würde meines wissen NIEMALS eine Kontaktformular per TinyUrl verlinken usw.

Ansonsten sieht die ziemlich echt aus!

Virustotal zeigte zu MEINEM Zeitpunkt an das die URLS ok sind!
https://www.virustotal.com/de/url/e5ceefdb8...sis/1386666067/
https://www.virustotal.com/de/url/bf1aa1165...sis/1386666079/

Die tinyurl-Links werde ich hier nicht posten, wer sie unbedingt haben möchte kurz ne PN schreiben. Kann auch sein das sie mittlerweile gelöscht wurden da ich an den Web-Hoster eine Abuse-Meldung gesendet hatte ...

Gibt auch eine offizielle Warnmeldung des BKA dazu:
Das Bundeskriminalamt (BKA) warnt vor gefälschten E-Mails mit BKA-Absender - Enthaltene Links (URLs) auf keinen Fall öffnen!
http://www.bka.de/DE/Presse/Pressemitteilu...html?__nnn=true

oder

http://www.bka.de/DE/Aktuell/aktuell__node.html?__nnn=true
Meldung vom 09.12.2013

Der Beitrag wurde von Kaeras bearbeitet: 10.12.2013, 11:39

[Kaeras]

Mag sein, das es jetzt so ist. Ich hatte die Mail am 10.12. um ca. 2 Uhr Nachts bekommen, da ging alles OHNE Meldung "durch" (FF 26.0). Am 11.12. und heute morgen ging sie auch noch meldungslos "durch" bis halt beim Start des Java-Applets Emsisoft und Eset angeschlagen hatten auf nem kleinen Test-PC. Im übrigen ist die Meldung auch nicht wirklich eine explizite Warnung vor genau dieser Seite, sondern eine allgemeine (PUP)-Warnmeldung vor Webseiten mit unbekannten Herausgeber.

Auf dem Handy (wie gesagt altes Handy mit Android was eh nen Display Schaden hat) kann man es auch noch gut verfolgen. Geschützt bin ich ja auf meinen Arbeits/Live-PCs, das soll ja auch wie gesagt nur ne Warnung sein. Da ich (wie wohl viele hier) im Freundes- Bekanntschafts- und Verwandschaftskreis in der Regel derjenige bin der dann angerufen wird um das ganze wieder zu "reparieren", kann ich gut und gerne sagen dass ich so viele Anrufe wie diesesmal noch nicht hatte. Mag auch sein das es ein Zeit-Phänomen war da hier ja zeitgleich diese Abmahnwelle für Porno- und Video-Streams im Gange ist, da haben wohl dann einige Gedacht das es "ernst" sei und wirklich auf die URLs geklickt (LOL, Panik *g*). Vor allem waren in meinem Bekanntenkreis etliche "Gamer" dabei die ziemlich oft Streams ansehen.

Aber es ist echt teils erschreckend was man so sieht: Für ein Spiel wird gerne mal der eine oder andere Hunni rausgehauen, seien es nur für 20 Stunden Spielspaß aber Sicherheitssoftware NEE bloß nicht, teils wird noch nicht mal Freeware installiert mit dem tollen Pseudo-Argument "Dann ist mein Ping schlechter in BF3/4 und Co. und das Spiel unspielbar". Abgesehen davon das die Zeiten solcher Probleme in der Regel schon längst vorbei sind. Tjo, aber dann wundern wenn was passiert! Naja, wenn das so weiter geht wie heute, habe ich wahrscheinlich bei Emsisoft die nächsten 2 Jahre ausgesorgt mit kostenlosen Lizenzverlängerungen

Aber Fakt ist das die URLs immer noch zu ihrem Ziel führen und dort auch das Java-Applet noch aktiv ist. Offenbar auch immer noch zum gleichen Server wie am 10.12. Gibt halt Firmen die kümmern sich anscheinen trotz erfolgter Abuse-Meldung nicht um ihre Sicherheit.

Der Beitrag wurde von Kaeras bearbeitet: 12.12.2013, 11:19