[English]Heute noch eine kurze Sicherheitsinfo: Ein Blog-Leser hat mich auf eine spezielle Bedrohungsvariante in E-Mails hingewiesen. Eine Mail enthält ein anklickbares Bild, welches dann auf Malware-Seiten führt.
Anzeige
Die Ideen der Phisher sind schier unendlich. Weil es sich möglicherweise herumgesprochen hat, dass Anhänge und Links in E-Mails möglicherweise 'gefährlich sein können', muss ein anderer Wurm an den 'Angelhaken'. Die Idee: Man könnte ja ein Bild in eine Nachricht einbetten, und das Ganze per E-Mail breit verteilen. Das Bild liegt auf einem Webserver, wird aber extrem verkleinert in der Nachricht untergebracht.
Nachfolgender Screenshot zeigt ein solches Beispiel, wo vorgeblich eine Tabelle von einer Bestellung übermittelt wurde. Der Inhalt ist aber nicht wirklich zu lesen, so dass so mancher Nutzer reflexhaft auf das Bild klickt, um dieses ggf. zu vergrößern. Dann schlägt die Falle zu, denn das Bild ist mit einem Link unterlegt, der zu einer bösartigen Webseite führt, wo Malware ausgespielt wird oder Phishing-Angriffe versucht stattfinden.
Die Warnung eines Blog-Lesers
Blog-Leser Michael G. hat mir gestern eine kurze Mail zu einem konkreten Fall mit den nachfolgenden Informationen zukommen lassen (danke dafür). Ich stelle sie einfach mal zur Information hier ein. Michael schrieb:
heute hat mir ein Anwender eine Mail weitergeleitet ohne auf den Link zu klicken (nach dem letzten Anschiss hat es endlich mal funktioniert!)
Die Mail beinhaltet einen Text und mittig eine Vorschau in einem Bild, was leider total schwer zu erkennen ist.
Anzeige
Wenn man neugierig genug ist und auf das Bild klickt, wird man auf die Seite:
http*://ninetoes[dot]com
weitergeleitet. Natürlich geht es wieder um eine angebliche Rechnung.
Michael schreibt, dass er die Seite nicht öffnen könne, weil Endpoint Protection das verhindert. In einem solchen Fall kann man Seiten wie Virustotal, urlvoid.com oder Bitdefender im Browser aufrufen und die verdächtige URL eingeben. Mir wurden bei der Überprüfung auf Virustotal und urlvoid mitgeteilt, dass drei Antivirus-Anbieter die Seite als verdächtig (Malware, Phishing) einstufen.
Also immer schön vorsichtig bleiben und die Anwender auf diese Gefahr beim Anklicken eines verlinkten Bilds auf die Gefahren hinweisen.
Anzeige
In der Signatur ist die E-Mail Adresse falsch. Wieder durchgefallen ;)
im Sandkasten ausprobiert …
von der URL Weiterleitung zu onedrive, von dort Filedownload von
"IMG_WA-D0014.lzh"
entpacken mit WinRar gibt:
IMG_WA-D0014.exe
IMG_WA-L9915.exe
Analyse:
https://www.virustotal.com/gui/file/458ea5c258bf60dc9bc05e215e1dfbe360ebdd5e7d1e4cacb8afb2d459d8c589
Danke für die Ergänzung.
Es ist generell keine neue Masche, sondern alt und immer so.
Ich habe deshalb u.a. – da die Masche bekannt ist – bei mir im Outlook in den Sicherheitseinstellungen das Herunterladen von Bildern generell verhindert. Hier wird es aber wohl so sein, dass das Bild aufgesetzt. Das ist auch nicht neu. Ich erläutere das unten.
Man kann als Empfänger von E-Mails generell nicht einschätzen, wie der Versender die E-Mails gestrickt hat. Hinzu kommt, dass wohl mehrere Provider die E-Mails dann auch verändern, also mindestens zwei, Absenderprovider und Empfängerprovider. Das ist Tatsache. Dazu braucht man kein NSA, die mischen aber auch mit.
Gerade bei Internetshops und sonstige, auch von Behörden und der Bundesregierung und deren Ministerien, werden Bilder eingepflegt, die erst zusätzlich heruntergeladen werden (müssen). Das dazu, damit ihr E-Mail toll aussieht. das birgt aber alles Risiken und dieses Risiko ist bekannt (!).
In dem vorliegenden Fall ist das gar nicht neu, sondern alt und bekannt (!!).
Die gesamte Ransomware nud Trojaner-Masche von gefälschten E-Mails von paypal, Telefonabietern etc. läuft oft darauf hinaus.
Da Leute immer alles sofort und schnell sehen wollen und nichts überprüfen, so sind diese auch selbst schuld. Der generierte, sich selbst aufgelegte, Zeitdruck führt dazu, dass eben die Diebe leichtes Spiel haben.
Das umgekehrte an dem Ganzen ist, dass von den Providern E-Mails nicht oder mit hoher Verzögerung zugestellt werden. Ich habe mehrere E-Mails nicht oder mit Verzögerung von teilweise bis zu mehreren Wochen erhalten. Beim Versenden ist es das gleiche. E-Mails, die im Nirvana verschwinden sind wohl Milliarden.
Bei komischen E-Mails verschiebe ich diese immer (trotz dem die Bilder nicht heruntergeladen werden) in den Junk-E-Mail. Dabei wird man schnell dahinter kommen, dass in einem mitgelieferten Bild ein Link steckt, der nicht koscher ist.
Das ist eben die Masche von diesen E-Mails. Meistens ist es ein eingebautes Bild (wird mitgeliefert, also nicht separat heruntergeladen) mit dem Beispieltext "Klicken Sie hier". In diesem Beispiel war es eben ein anderes Bild.
Der E-Mail-Verkehr ist generell keine sichere Verbindung, egal ob verschlüsselt oder ob man mit einer Behörde kommuniziert. Das will man aber nicht wahrhaben und so wird es nicht lange dauern, bis die nächste Behörde lahmgelegt wird. Der vom Staat vorangetrieben elektronische Verkehr lässt dem Bürger im Regen stehen und auch mit den Kosten allein. Das ist Wegelagerung vom Staat (heißt rechtsdeutsch – Die Indienstnahme Privater für die Erfüllung hoheitlicher Aufgaben).
Mein Text sollte nicht so lang werden.
Jedenfalls ist die detaillierte Aufarbeitung von Günter und mit Blogleser Michael gut und hilfreich.
man kann nie genug darauf hinweisen und hoffentlich erwischt es einen nicht selbst.
Ich rede mir nämlich immer den Mund fusselig auf Bilder nicht zu klicken und die Funktion im E-Mail des Herunterladen auszuschalten.
McAfee stuft die Seite auch als "Malicious" mit "High Risk" ein, danke für die Warnung und ein ruhiges Wochenende