{"id":295713,"date":"2024-05-31T00:11:00","date_gmt":"2024-05-30T22:11:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=295713"},"modified":"2024-05-30T22:19:07","modified_gmt":"2024-05-30T20:19:07","slug":"phishing-welle-mit-warnung-vor-angeblichem-virus","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/05\/31\/phishing-welle-mit-warnung-vor-angeblichem-virus\/","title":{"rendered":"Phishing-Welle mit Warnung vor angeblichem Virus"},"content":{"rendered":"<p><img decoding=\"async\" title=\"Stop - Pixabay\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" alt=\"Stop - Pixabay\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/06\/Stop01.jpg\" align=\"left\"\/>Heute noch eine kleine Warnung vor einem Phishing-Versuch \u2013 mir sind zwei Mails durch den Phishing-Filter von 1&amp;1 gerutscht, obwohl dieser sonst recht zuverl\u00e4ssig arbeitet. Beide Male wir in den Mails erz\u00e4hlt, dass ein Virus gefunden wurde und ich mein System sch\u00fctzen m\u00f6ge \u2013 Links zum Schutz sind nat\u00fcrlich dabei. Die URLs werden \u00fcbrigens nicht auf VirusTotal als sch\u00e4dlich angezeigt. Ich habe den Fall mal ausf\u00fchrlich als Beispiel dokumentiert, wie man als Empf\u00e4nger einer Phishing-Mail vorgehen k\u00f6nnte.<\/p>\n<p><!--more--><\/p>\n<h2>Die Phishing-Mails<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg08.met.vgwort.de\/na\/8adbe17a48444c0db55c0b8bf7a51858\" width=\"1\" height=\"1\"\/>Ich habe in den letzten Tagen gleich zwei Mails erhalten, die durch den Phishing-Filter von 1&amp;1 gerutscht sind. Hier eine dieser Mails, die sofort alle Alarmglocken l\u00e4uten lie\u00dfen.<\/p>\n<p><img decoding=\"async\" title=\"Phishing-Mail Viren und Malware\" alt=\"Phishing-Mail Viren und Malware\" src=\"https:\/\/i.postimg.cc\/VkFS64CB\/image.png\"\/><\/p>\n<p>Es war nicht die Behauptung, dass ein verd\u00e4chtiger Virus entdeckt wurde. Da bin ich mir sicher, dass dies unzutreffend ist \u2013 denn dann h\u00e4tte das infizierte System und der Virus pr\u00e4ziser benannt werden. Die Alarmglocken wurden durch diverse Feinheiten getriggert. <\/p>\n<p>Neben fehlenden Details ist da ist beispielsweise die E-Mail-Adresse \"Virus Schutz\" mit einer kryptischen Angabe <em>bc4407[.]9106 [at] anti530[.]net, <\/em>die sofort Misstrauen hervorruft. Auch die Formulierung \"<em>Klicken sie f\u00dcr eine deta\u00dcillierte Sicherheits\u00dcprfung \u2026<\/em>\" ist ziemlich eindeutig.<\/p>\n<p><img decoding=\"async\" title=\"Phishing-Ziel-URL\" alt=\"Phishing-Ziel-URL\" src=\"https:\/\/i.postimg.cc\/xdNK68TF\/image.png\"\/><\/p>\n<p>Weiterhin passt die Zieladresse auf einem Amazon Web Store (AWS) in das typische Schema des Phishing-Versuchs. Auf der Zielseite soll die \u00dcberpr\u00fcfung auf Viren erfolgen \u2013 aber beide URLs in der Mail sind gleich. Im Header habe ich noch gesehen, dass sie von <em>banitaa[.]life<\/em> und ohne dkim-Verifizierung \u00fcbermittelt wurde. <\/p>\n<h2>URL-Scanner versagen<\/h2>\n<p>Ich habe dann die obige URL versucht, bei Online-Scannern wie VirusTotal oder <em>hybrid-analysis.com<\/em> \u00fcberpr\u00fcfen zu lassen. Alle verwendeten Virenscanner l\u00f6sen keinen Alarm aus. Hier die <a href=\"https:\/\/www.virustotal.com\/gui\/url\/d7b895e1e8ecae2aa6be96134e9bd382b872397771713dd313bf4dc92558a5f9\" target=\"_blank\" rel=\"noopener\">VirtusTotal-Ausgabe<\/a> mit den Ergebnissen.<\/p>\n<p><a href=\"https:\/\/www.virustotal.com\/gui\/url\/d7b895e1e8ecae2aa6be96134e9bd382b872397771713dd313bf4dc92558a5f9\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"VirusTotal-Pr&uuml;fergebnisse\" alt=\"VirusTotal-Pr&uuml;fergebnisse\" src=\"https:\/\/i.postimg.cc\/MKDbHXGh\/image.png\"\/><\/a><\/p>\n<p>An der Stelle war ich baff. Aber die \u00dcberpr\u00fcfung bei <em>hybrid-analysis.com<\/em> ergab ebenfalls keinen Fund. Ich erkl\u00e4re es mir so, dass dort auf der Zielseite keine direkt sch\u00e4dlichen Inhalte zu finden sind. <\/p>\n<h2>Bing und CoPilot befragt<\/h2>\n<p>Dann kam ich auf die Idee, die \"Segnungen der k\u00fcnstlichen Intelligenz\" auszuprobieren. CoPilot wird ja jedem Nutzer, der bei Drei nicht auf den B\u00e4umen ist, angedient. Ich habe also auf <em>bing.com<\/em> den CoPilot angew\u00e4hlt, den Link in das Prompt-Fenster kopiert und die Anweisung gegeben, mir zu verraten, was auf der Zielseite liegt, beil\u00e4ufig aber erw\u00e4hnt, dass es sch\u00e4dliche oder Phishing sei.<\/p>\n<p><img decoding=\"async\" title=\"CoPilot zu Phishing-Seite befragt\" alt=\"CoPilot zu Phishing-Seite befragt\" src=\"https:\/\/i.postimg.cc\/kgbfmgv0\/image.png\"\/><\/p>\n<p>Das Ergebnis war (wie in vielen anderen F\u00e4llen) ern\u00fcchternd. Externe Links kann das AI-Modell nicht abrufen, stattdessen schwurbelt CoPilot mit Plattit\u00fcden. Wenn das die \"Revolution in der Arbeitswelt der Zukunft\" werden soll, dann muss diese wohl in naher Zukunft ausfallen.<\/p>\n<h2>Was liegt auf der Zielseite?<\/h2>\n<p>Wie komme ich nach der Pleite mit CoPilot weiter? Da muss ich mir wohl oder \u00fcbel den Inhalt der Zielseite inspizieren. Zum Testen rufe ich die Links nicht in einem Browser auf meinen System auf, sondern versuche einen Online-Browser zu verwenden. Auf <em>browser.lol oder browserling.com <\/em>wird mir folgender Inhalt angezeigt.<\/p>\n<p><img decoding=\"async\" title=\"Inhalt der Phishing-Site\" alt=\"Inhalt der Phishing-Site\" src=\"https:\/\/i.postimg.cc\/vHg3mfjD\/image.png\"\/><\/p>\n<p>Es liegt nur noch eine XML-Datei vor, die mitteilt, dass das Objekt, was sich dort befand, deaktiviert wurde. Damit ist klar, warum VirusTotal nicht anschlug. Warum das Objekt deaktiviert wurde, ob das durch Amazon oder die Besitzer des AWS-Buckets oder die Phisher passierte, ist mir unbekannt. Wer Zugriff auf die AWS-Instanz hat, k\u00f6nnte das Objekt aber jederzeit wieder aktivieren, sch\u00e4tze ich mal.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Heute noch eine kleine Warnung vor einem Phishing-Versuch \u2013 mir sind zwei Mails durch den Phishing-Filter von 1&amp;1 gerutscht, obwohl dieser sonst recht zuverl\u00e4ssig arbeitet. Beide Male wir in den Mails erz\u00e4hlt, dass ein Virus gefunden wurde und ich mein &hellip; <a href=\"https:\/\/borncity.com\/blog\/2024\/05\/31\/phishing-welle-mit-warnung-vor-angeblichem-virus\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-295713","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/295713","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=295713"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/295713\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=295713"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=295713"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=295713"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}