Achtung - Gut gemachte Fake-Email der Polizei NRW unterwegs! Einstellungen

[Kaeras]

Moin

... ich habe heute morgen eine eMail von der Polizei NRW bekommen die verdammt echt aussieht, vor allem auf dem ersten Blick.

Selbst ich musst da erst mal genau nachsehen. Anrede, Email-Adresse und auch die Daten von der Polizei (Adresse usw.) stimmen. Der HEADER sieht auch gut aus, bis auf die Tatsache das die Polizei ggf. nicht über Stratoserver arbeitet und im Text wurden Links mit "tinyurl" genutzt. Zudem wird man beim anklicken (hatte noch ein altes Handy rumliegen um mal zu testen *g*) auf eine deutsche Seite geleitet welche dann ein Java-Applett startet ... Inhaltlich war sie fehlerfreien Deutsch verfasst, hatte jedoch beim lesen einen inhaltlichen Widerspruch, da man zuvor als Opfer genannt wird, aber nachher als Täter die Beweislast einsehen soll (TinyUrl)

Man erkennt die gefakte Mail an folgenden Punkten:

- Der Receive-HEADER beinhaltet stratoserver.net / 85.214.35.150 (war zumindest bei mir und 5 weiteren bekannten so)
- die Endung der Polizei ist falsch: statt polizeinrw.de musss es richtig lauten: polizei.nrw.de (Also mit einem PUNKT zwischen "polizei" und "nrw")
- Zudem meldet sich ein "Polizeibeamter" mit Absender aus Wiesbaden (Hessen) NICHT mit einer "nrw-Endung" (Nordrhein-Westfalen).
- Die Polizei würde meines wissen NIEMALS eine Kontaktformular per TinyUrl verlinken usw.

Ansonsten sieht die ziemlich echt aus!

Virustotal zeigte zu MEINEM Zeitpunkt an das die URLS ok sind!
https://www.virustotal.com/de/url/e5ceefdb8...sis/1386666067/
https://www.virustotal.com/de/url/bf1aa1165...sis/1386666079/

Die tinyurl-Links werde ich hier nicht posten, wer sie unbedingt haben möchte kurz ne PN schreiben. Kann auch sein das sie mittlerweile gelöscht wurden da ich an den Web-Hoster eine Abuse-Meldung gesendet hatte ...

Gibt auch eine offizielle Warnmeldung des BKA dazu:
Das Bundeskriminalamt (BKA) warnt vor gefälschten E-Mails mit BKA-Absender - Enthaltene Links (URLs) auf keinen Fall öffnen!
http://www.bka.de/DE/Presse/Pressemitteilu...html?__nnn=true

oder

http://www.bka.de/DE/Aktuell/aktuell__node.html?__nnn=true
Meldung vom 09.12.2013

Der Beitrag wurde von Kaeras bearbeitet: 10.12.2013, 11:39

[Gast_blueX_*]

Erschreckender finde ich, dass das schädliche Java-Applet, das beim Besuch der Website ausgeführt wird, von fast keinem AV erkannt wird, obwohl dieses bereits vor mehreren Monaten bei VirusTotal das erste Mal gescannt wurde:

https://www.virustotal.com/de/file/4f30eb38...sis/1386713084/

Die schädliche Datei wurde an die Virenschutzhersteller weitergeleitet. Die Erkennung sollte in einigen Stunden erheblich verbessert worden sein.

[Kenshiro]

Stand der Erkennungsrate: 11.12.13 04:50 h: 3/49

[citro]

Stand der Erkennungsrate: 11.12.13 04:50 h: 3/49

Jeweils andere Hashes, ist womöglich nicht immer dieselbe Datei

Der Beitrag wurde von citro bearbeitet: 11.12.2013, 13:59

[Gast_blueX_*]

Jeweils andere Hashes, ist womöglich nicht immer dieselbe Datei

In diesem Fall nicht - es handelt sich um die gleiche Datei.
Aktuell sieht es so aus: https://www.virustotal.com/de/file/4f30eb38...sis/1386796234/

Unverständlich, dass dies solange dauert.

[citro]

Unverständlich, dass dies solange dauert.

Es ist halt keine .exe PE etc., die sonst automatisch ausgewertet werden sollten


https://www.virustotal.com/de/file/b185112f...sis/1386797737/

edit:Emsi schlägt schon an

[SLE]

@citro und Bluex: Ihr berichtet von verschiedenen Dingen. Bei bluex ist es ein jar...

Wenn das Skript selbt nicht gefährlich ist, wird es nicht unbedingt eingestuft.

[Kaeras]

Die tinyurls verlinkten auf einen Server mit der IP 31.220.3.68, dort wurde eine Domain betrieben "koddos.com" deren Inhaber aus Hong Kong waren. Beim der deutschen Serverbetreiber bzw. Inhaber der IPs hatte ich ebenfalls auch eine abuse Meldung gemacht:

Abuse contact for '31.220.0.0 - 31.220.3.255' is 'abuse@terratransit.de'

https://apps.db.ripe.net/search/query.html?...h#resultsAnchor

Allerdings blieb die Abuse-Meldung wohl ungehört, da sich das Java-Applet anscheinend immer noch AKTIV auf dem Server befindet und gestartet wird! Der Polizist hieß in meinem Fall "Maurice Herbst (KI35)". folgt man dem Link (hab es mit einem alten Handy mal spasseshalber getestet *g*), kommt dann die "Meldung": "Ich bin nicht Maurice Herbst, mir war langweilig" und ein Java-Applet versucht etwas zu machen ...

Aktuell werden meine o.g. tinyurls immer noch nur von 1/52 bzw 2/52 als "Malware Site" erkannt, und zwar BEIDE von "Bitdefender" und eine davon auch von GData.

https://www.virustotal.com/de/url/e5ceefdb8...sis/1386832684/
https://www.virustotal.com/de/url/bf1aa1165...sis/1386832686/

Der überwiegende Anteil der Scanner (95%+), zeigt bei beiden URLs : "CLEAN SITE".

Was ja ggf. nicht bedeutet das man sich dann auch was einfängt. Mit Emsisoft hatte ich schon Kontakt (Forum und PN an 2 Mitarbeiter von Emsisoft) deswegen und die haben sich das angesehen und versichert das bei der Ausführung spätestens die Verhaltensanalyse anspringt:

http://support.emsisoft.com/index.php?app=...p;st=0#msg21294

Wie gesagt, wer es mal testen will kann die tinyurls von mir haben. Allerdings dürfe hier jeder in der Lage sein diese selbst zu finden in o.g. virustotal Links und auch die entschlüsselte tinyurl "URL after redirects" unter "Zusätzliche Informationen" ... Natürlich auf eigene Gefahr!

Edit: Ich glaube mittlerweile bricht das Applet ab und es kommt eine Fehlerseite mit einer Umleitung zu einer wortlosen BKA-Seite und einer Email-Adresse? Die sieht allerdings nicht so wirklich echt aus? Nur das Logo und eine Email-Adresse, hmmm ... OK, gerade mal nachgeprüft DIESMAL wohl ein echter NAME eines BKAlers, allerdings ist dieser Name des Mannes öffentlich auf der Webseite des BKA zu finden, Fachbereich "Berufsperspektive"... hmmmm ... Stellt sich wohl die Frage ist diese Umleitung echt oder Fake Stufe 2?




Der Beitrag wurde von Kaeras bearbeitet: 12.12.2013, 09:16

[simracer]

Kaeras, bei dem 1. Link bringt Firefox eine Warnmeldung das es einer Betrügerwebseite sei, bei dem 2. Link nicht und es baut sich die angebliche BKA Seite auf auf der nur ein "Mitarbeiter" Name zu sehen ist und gleich darauf erscheint dieses Warnfenster:

[Kaeras]

Mag sein, das es jetzt so ist. Ich hatte die Mail am 10.12. um ca. 2 Uhr Nachts bekommen, da ging alles OHNE Meldung "durch" (FF 26.0). Am 11.12. und heute morgen ging sie auch noch meldungslos "durch" bis halt beim Start des Java-Applets Emsisoft und Eset angeschlagen hatten auf nem kleinen Test-PC. Im übrigen ist die Meldung auch nicht wirklich eine explizite Warnung vor genau dieser Seite, sondern eine allgemeine (PUP)-Warnmeldung vor Webseiten mit unbekannten Herausgeber.

Auf dem Handy (wie gesagt altes Handy mit Android was eh nen Display Schaden hat) kann man es auch noch gut verfolgen. Geschützt bin ich ja auf meinen Arbeits/Live-PCs, das soll ja auch wie gesagt nur ne Warnung sein. Da ich (wie wohl viele hier) im Freundes- Bekanntschafts- und Verwandschaftskreis in der Regel derjenige bin der dann angerufen wird um das ganze wieder zu "reparieren", kann ich gut und gerne sagen dass ich so viele Anrufe wie diesesmal noch nicht hatte. Mag auch sein das es ein Zeit-Phänomen war da hier ja zeitgleich diese Abmahnwelle für Porno- und Video-Streams im Gange ist, da haben wohl dann einige Gedacht das es "ernst" sei und wirklich auf die URLs geklickt (LOL, Panik *g*). Vor allem waren in meinem Bekanntenkreis etliche "Gamer" dabei die ziemlich oft Streams ansehen.

Aber es ist echt teils erschreckend was man so sieht: Für ein Spiel wird gerne mal der eine oder andere Hunni rausgehauen, seien es nur für 20 Stunden Spielspaß aber Sicherheitssoftware NEE bloß nicht, teils wird noch nicht mal Freeware installiert mit dem tollen Pseudo-Argument "Dann ist mein Ping schlechter in BF3/4 und Co. und das Spiel unspielbar". Abgesehen davon das die Zeiten solcher Probleme in der Regel schon längst vorbei sind. Tjo, aber dann wundern wenn was passiert! Naja, wenn das so weiter geht wie heute, habe ich wahrscheinlich bei Emsisoft die nächsten 2 Jahre ausgesorgt mit kostenlosen Lizenzverlängerungen

Aber Fakt ist das die URLs immer noch zu ihrem Ziel führen und dort auch das Java-Applet noch aktiv ist. Offenbar auch immer noch zum gleichen Server wie am 10.12. Gibt halt Firmen die kümmern sich anscheinen trotz erfolgter Abuse-Meldung nicht um ihre Sicherheit.

Der Beitrag wurde von Kaeras bearbeitet: 12.12.2013, 11:19

[SLE]

... Aber es ist echt teils erschreckend was man so sieht: Für ein Spiel wird gerne mal der eine oder andere Hunni rausgehauen, seien es nur für 20 Stunden Spielspaß aber Sicherheitssoftware NEE bloß nicht, teils wird noch nicht mal Freeware installiert ...

Dein Beispiel hier spricht aber doch im Prinzip für keines! der traditionellen Sicherheitssoftwareprodukte. Wenn sogar der Browser eher ist... ;-)

[citro]

@citro und Bluex: Ihr berichtet von verschiedenen Dingen. Bei bluex ist es ein jar...

Wenn das Skript selbt nicht gefährlich ist, wird es nicht unbedingt eingestuft.

Ich habe die Datei aus dem Java Cache, Warnmeldung nicht ausgeführt

Screenshot von @simracer kopiert: http://abload.de/image.php?img=bild11sysfd.jpg

https://www.virustotal.com/de/file/b185112f...sis/1386846971/

[SLE]

Ich habe die Datei aus dem Java Cache, Warnmeldung nicht ausgeführt

Ich meinte nur, dass ihr über verschiedene VT Analysen redet - deshalb auch verschiedene Erkennung.

Kaeras hat die Seite analysieren lassen.
Bluex das JavaApplet (jar)
Du das was darüber geladen wird (und das kann durchaus variieren, weshalb da verschiedene Files möglich sind, wie du oben richtig erwähntest)

Und meiner Ansicht nach macht nur das erkennen des letzten Sinn, deshalb braucht man sich nicht wundern wenn das eigentliche Skript nicht eingefügt wird.

Der Beitrag wurde von SLE bearbeitet: 12.12.2013, 14:22

[Gast_blueX_*]

Ich meinte nur, dass ihr über verschiedene VT Analysen redet - deshalb auch verschiedene Erkennung.

Kaeras hat die Seite analysieren lassen.
Bluex das JavaApplet (jar)
Du das was darüber geladen wird (und das kann durchaus variieren, weshalb da verschiedene Files möglich sind, wie du oben richtig erwähntest)

Das ist falsch!

citro hat auch das Applet scannen lassen.
Geladen und ausgeführt, wird diese Datei: https://www.virustotal.com/de/file/a973b7a8...sis/1386873207/

[SLE]

Das ist falsch!
citro hat auch das Applet scannen lassen.

Aber ein anderes als du, wie klar bei den VT Links erkennbar.