Kurze Rundfrage an die Administratoren, die eine Sophos-Firewall unter ihrer Verwaltung haben. Bekommt ihr dort in den letzten Tagen verstärkt Malware-Alarme gemeldet? Ein Administrator hat sich gestern per E-Mail bei mir gemeldet, weil seine Kundensysteme mit Sophos-Firewalls verstärkt Meldungen über Malware liefern. Es scheint mit Anzeigen von Booking-com-Werbefenstern zusammen zu hängen.
Anzeige
Blog-Leser Michael ist in einer IT-Firma im Süden Deutschlands tätig udn betreut wohl auch Sophos-Firewalls bei verschiedenen Kunden. In einer Mail mit dem Betreff "Malware-Alarme an SOPHOS Firewalls bei Benutzung von booking.com" schrieb er mir folgendes:
Seit ein paar Tagen werden von den SOPHOS Firewalls unserer Kunden Alarmmeldungen hinsichtlich der Benutzung von „www.booking.com" generiert. Ich bin mir aktuell nicht sicher, ob es sich um False-Positives handelt.
Michael hat mir dann noch ein Werbefenster per Screenshot geschickt, von dem er annimmt, dass dies die Ursache sein könnte. Er schrieb: "Meine Vermutung liegt an einem Werbefenster, welches auf manchen Seiten bei Booking.com erscheint."
Sobald diese Werbung erscheint, bekomme er an der betroffenen Firewall ca. 10-15 Meldungen. Die SOPHOS Firewalls melden folgendes:
Anzeige
Was Michael und mir bei diesem Sachverhalt sofort durch den Kopf geht, ist der Vorfall von 2023 bei booking.com. Ich hatte es im Blog-Beitrag Booking.com von Cyberangreifern missbraucht – Phishing und Malware verschickt aufgegriffen. Cyberkriminelle missbrauchen wohl immer wieder die Buchungsplattform booking.com für Phishing und Betrug. Die Opfer erhalten dann die Phishing-Nachrichten direkt über die booking.com-App. Dahinter steckt ein grundsätzliches Problem, da die Cyberkriminellen die Systeme der Vermieter kompromittieren und dann das booking.com-System missbrauchen, um Ofer in die Falle zu locken.
Möglicherweise hängen die obigen Alarme von Sophos mit diesem Vorfall bzw. den Erkenntnissen zusammen. Frage an andere Sophos-Administratoren, ob dieses Verhalten die letzten Tage auch aufgefallen ist.
Anzeige
Ich formuliere es mal so: da http://www.booking.com keine Webseite ist, die im Rahmen der jeweiligen Tätigkeit unserer Mitarbeiter benötigt wird, gibt es hier auch keinen Mitarbeiter, der diese Webseite aufrufen würde.
http sollte sowieso immer ignoriert werden. Wenn dann https://
Typo, zu spät entdeckt. Ändert nichts am verwendeten Protokoll und am Ziel der Reise (schönes Wortspiel in dem Zusammenhang). Vom Arbeitgeber zur Verfügung gestellte Mittel und Verbindungen dürfen nicht für private Zwecke genutzt werden.
Oh Gott, solche Chefs liebe ich ja…
Thema verfehlt tät ich sagen.
Gefragt waren Administratoren, welche selbige Beobachtungen unter bestimmten Voraussetzungen bei/nach Aufruf der entspr. Seite beobachten konnten oder Erfahrungsberichte diesbezüglich (erhalten) haben.
Wenn sich jetzt alle Leute melden, die die Seite garnicht aufrufen, dann ist das nicht nur übertrieben schlau, sondern auch ganz besonders intelligent.
Zu sagen, dass es nicht wichtig sei, weil man es nicht nutzen dürfe, ist nicht professionell. In meinen Augen eine Ausweichtaktik. Hier werden Erfahrungsberichte anderer Administratoren mit dem Thema angefragt.
Dann habt ihr da Glück.
Bei uns gibts das eigentlich auch nicht, aber wenn Mitarbeiter z.B. auf Messen gehen, um sich über Neuheiten zu informieren, müssen die ja irgendwo schlafen… Innerhalb dieses Szenarios kann das durchaus mal vorkommen.
Schwer zu sagen. Wie soll man genau die Werbung anzeigen lassen? Beim Aufruf der Seite bekomme ich jedenfalls keine Meldung. Ich hab aber noch nen PiHole laufen. Vielleicht filtert der die Werbung gleich raus oder der Popup Blocker im Edge blockt das weg.
Ich im Moment mit Sophos auch nicht. Die Reproduzierbarkeit dürfte aber gering sein, da ja Werbung (die bei Booking exzessiv ist) dynamisch eingeblendet wird und damit kein Seitenabruf wie der andere ist. Zudem war Booking schon öfters Thema hier im Blog (zuletzt 2023/12/07) wo in den Kommentaren auch Schwächen der Booking-Seite selbst vermutet wurden.
Diese Meldungen sehe ich schon seit langer Zeit. Wichtig, die Sophos Firewall deklariert hierbei nicht direkt als Virus/Malware sondern als "Unscannable". "Internet" > "Allgemeine Einstellung" > "Schutz" / "Schadprogramm- und Inhaltsscans" –> "Maßnahme beim Fehlschlagen des Schadprogramm-Scans" sollte das passende Setting dazu sein.
Sehr richtig!
Ich frage mich an der Stelle nur:
– Warum (im Moment) nur bei booking.com?
– Was passiert, wenn nicht geblockt wird? Ist das dann etwas "gefährliches"?
Deswegen bin ich ja auch hinsichtlich False-Positive so hin- und hergerissen.
Grundsätzlich verfahren wir auch so bei Emailanhängen, welche nicht untersuchbar sind. Diese werden einfach geblockt. Lieber mal zuviel, als dass es dann knallt.
Ja, die Einstellung so belassen macht definitiv Sinn. Diese Meldungen sehe ich aber sporadisch schon bestimmt seit einem Jahr, also gehe ich höchstwahrscheinlich von einem False-Positive aus. Wenn Du es genauer wissen willst, für Kunden etc., würde ich Dir empfehlen entweder einen Case bei Sophos zu eröffnen oder auch mal im Sophos-Community-Forum nachzufragen.
in der Warnung steht klar der
Fehler
Status 403 Forbitten.
Warum Sophos daraus einen Virus macht?
Wichtigtuerei.
Zum Status 403 hat Wikipedia einen ausführlichen Artikel.
Es also ein PBCK (Lesekompetenz) und Sophos, das so etwas meint als Virus einordnen zu müssen.
darf das Wort PUA nicht mehr vorkommen?
Ich bekomme eine Fehlermeldung, das ich zu schnell schreiben würde, wenn das Wort PUA erscheint.
Ohne verschwindet mein Beitrag. Vermutlich zur Moderation.