#Phishing: Empfangen (WICHTIG) – 26/10/2017

Posted onAuthorTmoWizardLeave a comment

Last Updated on 1 Jahr by TmoWizard

Werte Leserinnen und Leser,

SPAM!heute gibt es mal wieder einen netten Qualitätsspam! ;-) Dabei gehe ich auch mal wieder etwas näher auf die Machenschaft des Absenders ein, denn dessen Adresse ist gefälscht und das wollen wir uns doch mal etwas genauer betrachten.

Legen wir folglich mal los, das Ganze in der Reihenfolge mit dem Betreff, Absender, Inhalt und Anhang der E-Mail.

 

 Betreff: Empfangen (WICHTIG) – 26/10/2017

Der Absender:

Der Absender

Hier geht es schon mal richtig los, denn die Empfängeradresse ist versteckt und die Absenderadresse ist wie ihr euch eventuell denken könnt gefälscht!

Wie ihr außerdem sehen könnt sagt mein ClamAV, daß die E-Mail keinen Virus enthält, doch das interessiert nicht, stimmt aber tatsächlich. Nicht erkannt hat er jedoch, daß es sich bei der Mail um Phishing handelt, was natürlich etwas ärgerlich ist. Im gerade verlinkten Tutorial hat er es bei der damaligen Mail erkannt, das klappt halt nicht zuverlässig.

 

Das gilt übrigens für alle Virenscanner, bei Phishing muß man immer selbst aufpassen! Bei ClamAV muß man jedoch erwähnen, daß er gerade Phishing wesentlich besser erkennt wie viele andere Virenscanner, denn hierfür wurde er mehr oder weniger mal erschaffen.

 

Zur gefälschten E-Mail erst mal folgendes Video von SemperVideo:

In meinem Fall ist also eine Mail-Adresse angegeben, welche angeblich bei der British Telecommunications plc ist. Das Problem hierbei ist jedoch, daß man dort nur kostenpflichtige Produkte bekommt. Man benötigt dort also einen vertraglichen Account mit entsprechendem Tarif, kostenlos geht dort mal gar nicht!

Deshalb sehen wir uns nun den Quelltext der E-Mail an, besser gesagt einen bestimmten Teil davon, wobei ich zwei Dinge wie schon öfter besonders hervorhebe:

Received: from AM4PR07MB3185.eurprd07.prod.outlook.com
([fe80::709a:8473:f5e5:7303]) by AM4PR07MB3185.eurprd07.prod.outlook.com
([fe80::709a:8473:f5e5:7303%13]) with mapi id 15.20.0197.004; Thu, 26 Oct
2017 16:16:59 +0000
From: Nestor Ede <jbd34b@btconnect.com>
Subject: Empfangen (WICHTIG) – 26/10/2017
Thread-Topic: Empfangen (WICHTIG) – 26/10/2017
Thread-Index: AQHTTnO6ZGXLznTv30it49Lnhn98kw==
Date: Thu, 26 Oct 2017 16:16:59 +0000

 

Ja, ihr seht das gerade richtig:

Der angebliche „Nestor Ede“ mit einem angeblich kostenpflichtigen Account bei der British Telecommunications plc –> btconnect.com sendete in Wirklichkeit am 26.10.2017 um 16:16:59 Uhr über einen kostenlosen Account von Microsoft –> outlook.com!

Da sieht man erst, was einem der Quelltext einer E-Mail so alles verrät. Dieser gemeine Verräter! :mrgreen:

 

Der Textinhalt als Zitat:

 schreiben Sie für weitere Details für diese Transaktion

[1508351426242_PastedImage]

Wie man unschwer erkennen kann ist das reines Textformat, welches ein nettes Bildchen im Anhang hat. Im HTML-Format sieht die Mail so ähnlich aus, nur sieht man eben statt dem Text [1508351426242_PastedImage] das Bild im Anhang.

Mehr braucht man darüber nicht zu wissen, also weiter geht’s.

 

Der Anhang:

Anhang der Phishing-Mail

Ja da schau guck, nun hat der Gauner-Ede plötzlich eine ebenfalls kostenlose Mail-Adresse bei Google! 8-O Doch kommen wir zum Text, denn der ist garantiert wirklich an mich adressiert… NICHT!

Schon die Einleitung ist ja wohl mehr wie eindeutig, das geht ja mal gar nicht. Eine richtige Anrede mit meinem Namen gibt es nicht, da steht einfach nur das Wort „Aufmerksamkeit“. :-?

Weiter möchte dieser angebliche „Nestor Ede“ gerne ein Rechtsanwalt sein und für eine tödlich verautounfallte Familie mit unbekanntem Namen ein ziemliches (natürlich nicht vorhandenes) Vermögen verwalten. Diese (natürlich nicht existente) Familie soll dann auch noch den selben nicht genannten Nachnamen wie ich haben, weswegen er unbedingt ganz dringend ein paar Daten von mir benötigt, ich schwör!

Diese Daten soll ich ihm dann an seine kostenlose und mehr oder weniger anonyme Mail-Adresse bei Google schicken (NEIN, nicht an die Absenderadresse, wirklich niemals!), damit man danach eine nicht genannte unbekannte Bank irgendwo in Togo abzocken kann. Da stellt sich mir dann gleich mal die dringende Frage, welches Togo er damit eigentlich meint! :roll:

 

Betrug? NEIN, Phishing!

Natürlich wäre das Betrug, da ich ja wohl mit dieser Familie gar nicht verwandt bin. Da die immer noch unbekannte Familie aber nie existierte ist es schlicht Phishing, der will einfach nur meine Daten haben! Er verwendet hierfür jedoch eine Masche, welche sogar mir neu ist:

Er schreibt den Text einmal komplett so neutral wie nur möglich und macht daraus ein Bild, damit er das Ganze an so viele Empfänger (weiblich oder männlich ist damit egal!) wie nur möglich gleichzeitig senden kann!

Das ginge zwar als normaler Text ebenfalls, wird jedoch inzwischen von den meisten Mail-Programmen, Spamfiltern und auch von einigen speziell dafür gedachten Scannern wie eben der von mir verwendete ClamAV zu oft erkannt.

Interessant ist dabei für mich, daß mein ClamAV diese Mail nicht als Phishing erkannt hat. Er verwendet ja wie auch mein SeaMonkey für solche Sachen ebenfalls den SpamAssassin, so daß sie eigentlich beide die selbe Grundlage haben sollten! 8-O

 

Mein Fazit:

Es gibt hier offensichtlich einen relativ neue Masche des Phishing, bei welcher der wichtigste Teil, also der Text als Bild im Anhang verwendet wird! Zudem scheint ClamAV den SpamAssassin bzw. dessen Datenbank anders wie z. B. SeaMonkey zu verwenden. Ich werde mir das mal genauer ansehen und dann wenn nötig mein verlinktes Tutorial entsprechend anpassen, denn das sollte so eigentlich nicht passieren! motzender roter Smilie

Zudem habe ich mit dem Stückchen Quelltext und dem verlinkten Video aufgezeigt, wie einfach man eine Mailadresse fälschen kann. Aus dem Grund möchte ich auch wie schon öfter darauf hinweisen, daß man einer E-Mail selbst bei bekanntem Absender nicht einfach so vertrauen sollte!

Außerdem möchte ich ebenfalls zum wiederholten Male darauf hinweisen, daß ihr eure E-Mails immer als einfachen Text versendet und euch so auch anzeigen laßt! Bei dieser Mail wäre das zwar egal gewesen, aber das ist dann doch eher eine sehr große Ausnahme.

 

Damit nun weg mit der Mail in die Ablage P und ich verabschiede mich auch gleich für ein paar Tage, da mein „Söhnchen“  (der ist inzwischen fast so groß wie ich! ;-) ) Jonathan Merlin (ja, er ist wie viele andere Jugendliche bei YouTube!) heute zu meiner Ex-Ehefrau (also seiner Mutter Andrea) und mir nach Augsburg zu Besuch kommt! Da werde ich wohl noch weniger wie sonst hier auf dem Castle was schreiben können, außer er würde sich plötzlich für das Bloggen und dem Erstellen eines neuen Artikels interessieren. :mrgreen:

Ach ja, auch ich habe wie man in meiner Sidebar sehen kann eigentlich einen eigenen kleinen Kanal bei YouTube. Ich kann euch aber beruhigen, ihr werdet mich dort nicht auch noch ertragen müßen! :rofl: Ich mache keine eigenen Videos, das ist zum Glück für euch einfach nicht so mein Ding.

 

Viele Grüße nun aus TmoWizard’s Castle zu Augusta Vindelicorum

Y gwir yn erbyn Y byd!

Mike, TmoWizard Zaubersmilie

CC BY-NC-SA 4.0 #Phishing: Empfangen (WICHTIG) – 26/10/2017 von TmoWizard ist lizenziert unter Creative Commons Namensnennung-NichtKommerziell-Weitergabe unter gleichen Bedingungen 4.0 international.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Kommentarlinks könnten nofollow frei sein.