Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

 
Reply to this topicStart new topic
> Achtung - Gut gemachte Fake-Email der Polizei NRW unterwegs!
Kaeras
Beitrag 10.12.2013, 10:19
Beitrag #1



Kennt sich hier aus
***

Gruppe: Mitglieder
Beiträge: 177
Mitglied seit: 08.01.2011
Mitglieds-Nr.: 8.320

Betriebssystem:
Win10 Pro x64
Virenscanner:
ESET IS + HMP.A
Firewall:
ESET IS



Moin smile.gif

... ich habe heute morgen eine eMail von der Polizei NRW bekommen die verdammt echt aussieht, vor allem auf dem ersten Blick.

Selbst ich musst da erst mal genau nachsehen. Anrede, Email-Adresse und auch die Daten von der Polizei (Adresse usw.) stimmen. Der HEADER sieht auch gut aus, bis auf die Tatsache das die Polizei ggf. nicht über Stratoserver arbeitet und im Text wurden Links mit "tinyurl" genutzt. Zudem wird man beim anklicken (hatte noch ein altes Handy rumliegen um mal zu testen *g*) auf eine deutsche Seite geleitet welche dann ein Java-Applett startet ... Inhaltlich war sie fehlerfreien Deutsch verfasst, hatte jedoch beim lesen einen inhaltlichen Widerspruch, da man zuvor als Opfer genannt wird, aber nachher als Täter die Beweislast einsehen soll (TinyUrl)

Man erkennt die gefakte Mail an folgenden Punkten:

- Der Receive-HEADER beinhaltet stratoserver.net / 85.214.35.150 (war zumindest bei mir und 5 weiteren bekannten so)
- die Endung der Polizei ist falsch: statt polizeinrw.de musss es richtig lauten: polizei.nrw.de (Also mit einem PUNKT zwischen "polizei" und "nrw")
- Zudem meldet sich ein "Polizeibeamter" mit Absender aus Wiesbaden (Hessen) NICHT mit einer "nrw-Endung" (Nordrhein-Westfalen).
- Die Polizei würde meines wissen NIEMALS eine Kontaktformular per TinyUrl verlinken usw.

Ansonsten sieht die ziemlich echt aus!

Virustotal zeigte zu MEINEM Zeitpunkt an das die URLS ok sind!
https://www.virustotal.com/de/url/e5ceefdb8...sis/1386666067/
https://www.virustotal.com/de/url/bf1aa1165...sis/1386666079/

Die tinyurl-Links werde ich hier nicht posten, wer sie unbedingt haben möchte kurz ne PN schreiben. Kann auch sein das sie mittlerweile gelöscht wurden da ich an den Web-Hoster eine Abuse-Meldung gesendet hatte ...

Gibt auch eine offizielle Warnmeldung des BKA dazu:
Das Bundeskriminalamt (BKA) warnt vor gefälschten E-Mails mit BKA-Absender - Enthaltene Links (URLs) auf keinen Fall öffnen!
http://www.bka.de/DE/Presse/Pressemitteilu...html?__nnn=true

oder

http://www.bka.de/DE/Aktuell/aktuell__node.html?__nnn=true
Meldung vom 09.12.2013

Der Beitrag wurde von Kaeras bearbeitet: 10.12.2013, 11:39
Go to the top of the page
 
+Quote Post
Gast_blueX_*
Beitrag 10.12.2013, 23:08
Beitrag #2






Gäste






Erschreckender finde ich, dass das schädliche Java-Applet, das beim Besuch der Website ausgeführt wird, von fast keinem AV erkannt wird, obwohl dieses bereits vor mehreren Monaten bei VirusTotal das erste Mal gescannt wurde:

https://www.virustotal.com/de/file/4f30eb38...sis/1386713084/

Die schädliche Datei wurde an die Virenschutzhersteller weitergeleitet. Die Erkennung sollte in einigen Stunden erheblich verbessert worden sein.


Go to the top of the page
 
+Quote Post
Kenshiro
Beitrag 11.12.2013, 04:54
Beitrag #3



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 5.295
Mitglied seit: 02.04.2005
Wohnort: Localhost
Mitglieds-Nr.: 2.320

Betriebssystem:
W7 Home[x32]
Virenscanner:
Dr. Web Security Space
Firewall:
Dr. Web Security Space



Stand der Erkennungsrate: 11.12.13 04:50 h: 3/49


--------------------
Dr. Web live
Dr. Web´s History

"Kenshi" sagt sayonara
Wer lächelt statt zu toben, ist immer der Stärkere. [japan. Sprichwort]


Das Internet ist ein gefährlicher Ort, und Windows-Nutzer wissen, dass man eine Rüstung tragen sollte. Apple-Nutzer tragen stattdessen Hawaii-Hemden."
[Jewgenij Kaspersky]

Ubuntu Beryl Matrix 3D Desktop
Go to the top of the page
 
+Quote Post
citro
Beitrag 11.12.2013, 13:59
Beitrag #4



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.812
Mitglied seit: 06.10.2005
Mitglieds-Nr.: 3.709

Betriebssystem:
Win 10 Home (1703)
Virenscanner:
Avira free
Firewall:
Comodo



ZITAT(Kenshiro @ 11.12.2013, 04:53) *
Stand der Erkennungsrate: 11.12.13 04:50 h: 3/49


Jeweils andere Hashes, ist womöglich nicht immer dieselbe Datei

Der Beitrag wurde von citro bearbeitet: 11.12.2013, 13:59
Go to the top of the page
 
+Quote Post
Gast_blueX_*
Beitrag 11.12.2013, 22:14
Beitrag #5






Gäste






ZITAT(citro @ 11.12.2013, 14:58) *
Jeweils andere Hashes, ist womöglich nicht immer dieselbe Datei


In diesem Fall nicht - es handelt sich um die gleiche Datei.
Aktuell sieht es so aus: https://www.virustotal.com/de/file/4f30eb38...sis/1386796234/

Unverständlich, dass dies solange dauert.


Go to the top of the page
 
+Quote Post
citro
Beitrag 11.12.2013, 22:38
Beitrag #6



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.812
Mitglied seit: 06.10.2005
Mitglieds-Nr.: 3.709

Betriebssystem:
Win 10 Home (1703)
Virenscanner:
Avira free
Firewall:
Comodo



ZITAT(blueX @ 11.12.2013, 22:13) *
Unverständlich, dass dies solange dauert.


Es ist halt keine .exe PE etc., die sonst automatisch ausgewertet werden sollten


https://www.virustotal.com/de/file/b185112f...sis/1386797737/

edit:Emsi schlägt schon an
Go to the top of the page
 
+Quote Post
SLE
Beitrag 12.12.2013, 00:47
Beitrag #7



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.994
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



@citro und Bluex: Ihr berichtet von verschiedenen Dingen. Bei bluex ist es ein jar...

Wenn das Skript selbt nicht gefährlich ist, wird es nicht unbedingt eingestuft.


--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post
Kaeras
Beitrag 12.12.2013, 08:32
Beitrag #8


Threadersteller

Kennt sich hier aus
***

Gruppe: Mitglieder
Beiträge: 177
Mitglied seit: 08.01.2011
Mitglieds-Nr.: 8.320

Betriebssystem:
Win10 Pro x64
Virenscanner:
ESET IS + HMP.A
Firewall:
ESET IS



Die tinyurls verlinkten auf einen Server mit der IP 31.220.3.68, dort wurde eine Domain betrieben "koddos.com" deren Inhaber aus Hong Kong waren. Beim der deutschen Serverbetreiber bzw. Inhaber der IPs hatte ich ebenfalls auch eine abuse Meldung gemacht:

Abuse contact for '31.220.0.0 - 31.220.3.255' is 'abuse@terratransit.de'

https://apps.db.ripe.net/search/query.html?...h#resultsAnchor

Allerdings blieb die Abuse-Meldung wohl ungehört, da sich das Java-Applet anscheinend immer noch AKTIV auf dem Server befindet und gestartet wird! Der Polizist hieß in meinem Fall "Maurice Herbst (KI35)". folgt man dem Link (hab es mit einem alten Handy mal spasseshalber getestet *g*), kommt dann die "Meldung": "Ich bin nicht Maurice Herbst, mir war langweilig" und ein Java-Applet versucht etwas zu machen ...

Aktuell werden meine o.g. tinyurls immer noch nur von 1/52 bzw 2/52 als "Malware Site" erkannt, und zwar BEIDE von "Bitdefender" und eine davon auch von GData.

https://www.virustotal.com/de/url/e5ceefdb8...sis/1386832684/
https://www.virustotal.com/de/url/bf1aa1165...sis/1386832686/

Der überwiegende Anteil der Scanner (95%+), zeigt bei beiden URLs : "CLEAN SITE".

Was ja ggf. nicht bedeutet das man sich dann auch was einfängt. Mit Emsisoft hatte ich schon Kontakt (Forum und PN an 2 Mitarbeiter von Emsisoft) deswegen und die haben sich das angesehen und versichert das bei der Ausführung spätestens die Verhaltensanalyse anspringt:

http://support.emsisoft.com/index.php?app=...p;st=0#msg21294

Wie gesagt, wer es mal testen will kann die tinyurls von mir haben. Allerdings dürfe hier jeder in der Lage sein diese selbst zu finden in o.g. virustotal Links und auch die entschlüsselte tinyurl "URL after redirects" unter "Zusätzliche Informationen" ... Natürlich auf eigene Gefahr!

Edit: Ich glaube mittlerweile bricht das Applet ab und es kommt eine Fehlerseite mit einer Umleitung zu einer wortlosen BKA-Seite und einer Email-Adresse? Die sieht allerdings nicht so wirklich echt aus? Nur das Logo und eine Email-Adresse, hmmm ... OK, gerade mal nachgeprüft DIESMAL wohl ein echter NAME eines BKAlers, allerdings ist dieser Name des Mannes öffentlich auf der Webseite des BKA zu finden, Fachbereich "Berufsperspektive"... hmmmm ... Stellt sich wohl die Frage ist diese Umleitung echt oder Fake Stufe 2?




Der Beitrag wurde von Kaeras bearbeitet: 12.12.2013, 09:16
Go to the top of the page
 
+Quote Post
simracer
Beitrag 12.12.2013, 10:31
Beitrag #9



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.008
Mitglied seit: 17.03.2012
Mitglieds-Nr.: 9.353

Betriebssystem:
Windows 7 64 Prof.
Virenscanner:
Avast Antivirus Free
Firewall:
GlassWire Free



Kaeras, bei dem 1. Link bringt Firefox eine Warnmeldung das es einer Betrügerwebseite sei, bei dem 2. Link nicht und es baut sich die angebliche BKA Seite auf auf der nur ein "Mitarbeiter" Name zu sehen ist und gleich darauf erscheint dieses Warnfenster:


--------------------
Go to the top of the page
 
+Quote Post
Kaeras
Beitrag 12.12.2013, 10:48
Beitrag #10


Threadersteller

Kennt sich hier aus
***

Gruppe: Mitglieder
Beiträge: 177
Mitglied seit: 08.01.2011
Mitglieds-Nr.: 8.320

Betriebssystem:
Win10 Pro x64
Virenscanner:
ESET IS + HMP.A
Firewall:
ESET IS



Mag sein, das es jetzt so ist. Ich hatte die Mail am 10.12. um ca. 2 Uhr Nachts bekommen, da ging alles OHNE Meldung "durch" (FF 26.0). Am 11.12. und heute morgen ging sie auch noch meldungslos "durch" bis halt beim Start des Java-Applets Emsisoft und Eset angeschlagen hatten auf nem kleinen Test-PC. Im übrigen ist die Meldung auch nicht wirklich eine explizite Warnung vor genau dieser Seite, sondern eine allgemeine (PUP)-Warnmeldung vor Webseiten mit unbekannten Herausgeber.

Auf dem Handy (wie gesagt altes Handy mit Android was eh nen Display Schaden hat) kann man es auch noch gut verfolgen. Geschützt bin ich ja auf meinen Arbeits/Live-PCs, das soll ja auch wie gesagt nur ne Warnung sein. Da ich (wie wohl viele hier) im Freundes- Bekanntschafts- und Verwandschaftskreis in der Regel derjenige bin der dann angerufen wird um das ganze wieder zu "reparieren", kann ich gut und gerne sagen dass ich so viele Anrufe wie diesesmal noch nicht hatte. Mag auch sein das es ein Zeit-Phänomen war da hier ja zeitgleich diese Abmahnwelle für Porno- und Video-Streams im Gange ist, da haben wohl dann einige Gedacht das es "ernst" sei und wirklich auf die URLs geklickt (LOL, Panik *g*). Vor allem waren in meinem Bekanntenkreis etliche "Gamer" dabei die ziemlich oft Streams ansehen.

Aber es ist echt teils erschreckend was man so sieht: Für ein Spiel wird gerne mal der eine oder andere Hunni rausgehauen, seien es nur für 20 Stunden Spielspaß aber Sicherheitssoftware NEE bloß nicht, teils wird noch nicht mal Freeware installiert mit dem tollen Pseudo-Argument "Dann ist mein Ping schlechter in BF3/4 und Co. und das Spiel unspielbar". Abgesehen davon das die Zeiten solcher Probleme in der Regel schon längst vorbei sind. Tjo, aber dann wundern wenn was passiert! stirnklatsch.gif Naja, wenn das so weiter geht wie heute, habe ich wahrscheinlich bei Emsisoft die nächsten 2 Jahre ausgesorgt mit kostenlosen Lizenzverlängerungen whistling.gif

Aber Fakt ist das die URLs immer noch zu ihrem Ziel führen und dort auch das Java-Applet noch aktiv ist. Offenbar auch immer noch zum gleichen Server wie am 10.12. Gibt halt Firmen die kümmern sich anscheinen trotz erfolgter Abuse-Meldung nicht um ihre Sicherheit.

Der Beitrag wurde von Kaeras bearbeitet: 12.12.2013, 11:19
Go to the top of the page
 
+Quote Post
SLE
Beitrag 12.12.2013, 11:00
Beitrag #11



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.994
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



ZITAT(Kaeras @ 12.12.2013, 10:47) *
... Aber es ist echt teils erschreckend was man so sieht: Für ein Spiel wird gerne mal der eine oder andere Hunni rausgehauen, seien es nur für 20 Stunden Spielspaß aber Sicherheitssoftware NEE bloß nicht, teils wird noch nicht mal Freeware installiert ...


Dein Beispiel hier spricht aber doch im Prinzip für keines! der traditionellen Sicherheitssoftwareprodukte. Wenn sogar der Browser eher ist... ;-)


--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post
citro
Beitrag 12.12.2013, 12:20
Beitrag #12



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.812
Mitglied seit: 06.10.2005
Mitglieds-Nr.: 3.709

Betriebssystem:
Win 10 Home (1703)
Virenscanner:
Avira free
Firewall:
Comodo



ZITAT(SLE @ 12.12.2013, 00:46) *
@citro und Bluex: Ihr berichtet von verschiedenen Dingen. Bei bluex ist es ein jar...

Wenn das Skript selbt nicht gefährlich ist, wird es nicht unbedingt eingestuft.



Ich habe die Datei aus dem Java Cache, Warnmeldung nicht ausgeführt

Screenshot von @simracer kopiert: http://abload.de/image.php?img=bild11sysfd.jpg

https://www.virustotal.com/de/file/b185112f...sis/1386846971/
Go to the top of the page
 
+Quote Post
SLE
Beitrag 12.12.2013, 14:21
Beitrag #13



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.994
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



ZITAT(citro @ 12.12.2013, 12:19) *
Ich habe die Datei aus dem Java Cache, Warnmeldung nicht ausgeführt


Ich meinte nur, dass ihr über verschiedene VT Analysen redet - deshalb auch verschiedene Erkennung.

Kaeras hat die Seite analysieren lassen.
Bluex das JavaApplet (jar)
Du das was darüber geladen wird (und das kann durchaus variieren, weshalb da verschiedene Files möglich sind, wie du oben richtig erwähntest)

Und meiner Ansicht nach macht nur das erkennen des letzten Sinn, deshalb braucht man sich nicht wundern wenn das eigentliche Skript nicht eingefügt wird.

Der Beitrag wurde von SLE bearbeitet: 12.12.2013, 14:22


--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post
Gast_blueX_*
Beitrag 12.12.2013, 19:35
Beitrag #14






Gäste






ZITAT(SLE @ 12.12.2013, 15:20) *
Ich meinte nur, dass ihr über verschiedene VT Analysen redet - deshalb auch verschiedene Erkennung.

Kaeras hat die Seite analysieren lassen.
Bluex das JavaApplet (jar)
Du das was darüber geladen wird (und das kann durchaus variieren, weshalb da verschiedene Files möglich sind, wie du oben richtig erwähntest)


Das ist falsch!

citro hat auch das Applet scannen lassen.
Geladen und ausgeführt, wird diese Datei: https://www.virustotal.com/de/file/a973b7a8...sis/1386873207/

Go to the top of the page
 
+Quote Post
SLE
Beitrag 12.12.2013, 23:52
Beitrag #15



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.994
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



ZITAT(blueX @ 12.12.2013, 19:34) *
Das ist falsch!
citro hat auch das Applet scannen lassen.


Aber ein anderes als du, wie klar bei den VT Links erkennbar.


--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 25.04.2018, 07:34
Impressum