Heute noch eine kleine Warnung vor einem Phishing-Versuch – mir sind zwei Mails durch den Phishing-Filter von 1&1 gerutscht, obwohl dieser sonst recht zuverlässig arbeitet. Beide Male wir in den Mails erzählt, dass ein Virus gefunden wurde und ich mein System schützen möge – Links zum Schutz sind natürlich dabei. Die URLs werden übrigens nicht auf VirusTotal als schädlich angezeigt. Ich habe den Fall mal ausführlich als Beispiel dokumentiert, wie man als Empfänger einer Phishing-Mail vorgehen könnte.
Anzeige
Die Phishing-Mails
Ich habe in den letzten Tagen gleich zwei Mails erhalten, die durch den Phishing-Filter von 1&1 gerutscht sind. Hier eine dieser Mails, die sofort alle Alarmglocken läuten ließen.
Es war nicht die Behauptung, dass ein verdächtiger Virus entdeckt wurde. Da bin ich mir sicher, dass dies unzutreffend ist – denn dann hätte das infizierte System und der Virus präziser benannt werden. Die Alarmglocken wurden durch diverse Feinheiten getriggert.
Neben fehlenden Details ist da ist beispielsweise die E-Mail-Adresse "Virus Schutz" mit einer kryptischen Angabe bc4407[.]9106 [at] anti530[.]net, die sofort Misstrauen hervorruft. Auch die Formulierung "Klicken sie fÜr eine detaÜillierte SicherheitsÜprfung …" ist ziemlich eindeutig.
Anzeige
Weiterhin passt die Zieladresse auf einem Amazon Web Store (AWS) in das typische Schema des Phishing-Versuchs. Auf der Zielseite soll die Überprüfung auf Viren erfolgen – aber beide URLs in der Mail sind gleich. Im Header habe ich noch gesehen, dass sie von banitaa[.]life und ohne dkim-Verifizierung übermittelt wurde.
URL-Scanner versagen
Ich habe dann die obige URL versucht, bei Online-Scannern wie VirusTotal oder hybrid-analysis.com überprüfen zu lassen. Alle verwendeten Virenscanner lösen keinen Alarm aus. Hier die VirtusTotal-Ausgabe mit den Ergebnissen.
An der Stelle war ich baff. Aber die Überprüfung bei hybrid-analysis.com ergab ebenfalls keinen Fund. Ich erkläre es mir so, dass dort auf der Zielseite keine direkt schädlichen Inhalte zu finden sind.
Bing und CoPilot befragt
Dann kam ich auf die Idee, die "Segnungen der künstlichen Intelligenz" auszuprobieren. CoPilot wird ja jedem Nutzer, der bei Drei nicht auf den Bäumen ist, angedient. Ich habe also auf bing.com den CoPilot angewählt, den Link in das Prompt-Fenster kopiert und die Anweisung gegeben, mir zu verraten, was auf der Zielseite liegt, beiläufig aber erwähnt, dass es schädliche oder Phishing sei.
Das Ergebnis war (wie in vielen anderen Fällen) ernüchternd. Externe Links kann das AI-Modell nicht abrufen, stattdessen schwurbelt CoPilot mit Plattitüden. Wenn das die "Revolution in der Arbeitswelt der Zukunft" werden soll, dann muss diese wohl in naher Zukunft ausfallen.
Was liegt auf der Zielseite?
Wie komme ich nach der Pleite mit CoPilot weiter? Da muss ich mir wohl oder übel den Inhalt der Zielseite inspizieren. Zum Testen rufe ich die Links nicht in einem Browser auf meinen System auf, sondern versuche einen Online-Browser zu verwenden. Auf browser.lol oder browserling.com wird mir folgender Inhalt angezeigt.
Es liegt nur noch eine XML-Datei vor, die mitteilt, dass das Objekt, was sich dort befand, deaktiviert wurde. Damit ist klar, warum VirusTotal nicht anschlug. Warum das Objekt deaktiviert wurde, ob das durch Amazon oder die Besitzer des AWS-Buckets oder die Phisher passierte, ist mir unbekannt. Wer Zugriff auf die AWS-Instanz hat, könnte das Objekt aber jederzeit wieder aktivieren, schätze ich mal.
Anzeige
Solche Mails mit Virus entdeckt sind immer Phishing.
Die lösche ich immer ungelesen.
Man muß nur einmal darüber nachdenken, wie denn ein Externer feststellen könnte, das der eigene Rechner mit einem Virus infiziert ist.
Dazu müsste er ja den Rechner scannen können und das kann er i.d.R. (wenn keine andere Schadsoftware vorhanden ist) nicht. Und vor sich selbst warnen wird wohl keine Schadsoftware.
Wenn eine Antiviruslösung installiert ist, wird die einen auch nicht per Email informieren, sondern per Popup-Fenster o.Ä.
"verdächtiger Virus" sollte ein Virus nicht immer verdächtig sein
Die Mail habe ich auch bekommen, nicht über einen 1&1 Account, sie wurde im Thunderbird aber gleich als Spam erkannt. Wie Sie habe ich zuvor auch schon per browserling mal einige Links von Spam-Mails untersucht und dabei ähnliche Resultate gesehen. Entweder war da schon jemand tätig und hat die Seite unschädlich gemacht, oder aber die Seite kann sogar erkennen, von wo sie aufgerufen wird, und falls da bekannte Online-Browser dabei sind, versteckt sie den schädlichen Inhalt der Seite und zeigt statt dessen irgendwelche Fehlermeldungen oder sinnloses XML-Gebrabbel an.
Das xml-Zeug ist von Amazon S3 und normal, wenn Inhalte nicht abrufbar sind.
Und Fehlermeldungen deuten oft auf erfolgreiche Abuse-Reports.
Virustotal benutzt aber angeblich immer andere Adressen zum scannen verdächtiger Seiten, so das es mühsam wird, den Virutotal Seiten etwas vorzumachen.
bez. der Offline Browser ist es natürlich möglich zu faken.
Also wenn dann warnt dich dein Virus Scanner vor Malwarebefall, aber sicher niemals eine eMail von unbekannt… echt jetzt? da muss man noch drüber nachdenken?
Ich sage es wieder und wieder Phishing läßt sich zu 100% aussschalten wenn man sein Hinr nutzt!
Dass gute Virenscanner auch in Emails rein schauen, ist dir aber schon bewusst?
Ja, aber da warnt mich ebenso der Virenscanner und keine externe Mail von unbekannt! Gute Scanner schicken sogar dem Admin ne Mail, aber dann ebvenso nichjt von unbekant, sondern mit klarem Absender!
Und? Schon klar, nur warnt mich da mein Virenscanner auch direkt und nicht per Mail von unbekannter externe Quelle.
Gut mein Virenscanner kann dem Admin auch ne Mail mit Befundwarnung schicken (bieten gute Scanner), nur auch da: ist da nie eine Mail von unbekannter externe Quelle.
Hallo Günter,
vielen Dank für diese ausführliche Dokumentation.
Ich habe meine Checkliste für solche Fälle direkt erweitert. Die Online-Browser hatte ich bis jetzt nicht auf dem Schirm. Sehr nützlich!
Wer eine Freenet-Mailadresse nutzt und die ganzen nicht deaktivierbaren Info- und Newsletter-Mails dort im Freenet eigenen System als Junk markiert, wird auch bemerken, das einige der Freenet-Mails im Virus-Filter hängen bleiben, statt "nur" im Junk-Filter zu enden. Sehr lustig zu sehen, wie sie ihre eigenen Mails als schädlich erkennen. ;-)