Man sollte den Hinweis (Wenn die unten angezeigten Aktivitäten nicht von Ihnen stammen, ändern Sie sofort Ihr Passwort) unbedingt ernst nehmen und seine Onlineaktivitäten der letzten Tage nochmal checken. Auf diese Seite könnt ihr übrigens auch zugreifen, wenn ihr in eurem Google Mail Konto ganz unten unter dem Punkt “Letzte Kontoaktivität: vor XX Minuten unter dieser IP X” auf Details klickt.

Nach einer kurzen Google Suche konnte ich den ganzen Spuk dann relativ schnell auflösen. Schuld war der youtubeunblocker, eine Proxyseite mit der man gesperrte YouTube Videos gucken kann. Ich habe versucht mich darüber bei Google einzuloggen und das führte dann zu der Warnmeldung. Zum Glück also kein Hack.

Erstens schreibt VISA seine Karteninhaber niemals direkt (geschweige denn mit “Hallo Gast Visa Europe”) an, da der eigentliche Vertragspartner die ausgebende Bank ist. Zweitens ist die Mail voller Rechtschreib- und Grammatikfehler. Und drittens ist neben dem VISA auch noch ein Mastercard Logo in der Mail. Hier der Rest:

Hallo Gast Visa Europe,

Ihre Kreditkarte wurde ausgesetzt, weil wir ein Problem festgestellt, auf Ihrem Konto.

Wir haben zu bestimmen,dass jemand Ihre Karte ohne Ihre Erlaubnis verwendet haben. Für Ihren Schutz haben wir Ihre Kreditkarte aufgehangen. Um diese Suspension aufzuheben Klicken Sie hier und folgen Sie den Staat zur Aktualisierung der Informationen in Ihrer Kreditkarte.

Vermerk: Wenn diese nicht vollständig ist , werden wir gezwungen sein, Ihre Karte aussetzen

Wir bedanken uns fur Ihre Zusammenarbeit in dieser Angelegenheit.

Dossier n : PP-1124-075-998
Danke,
Kunden-Support-Service.

Eigentlich könnte man über solche Versuche herzlich lachen, wenn nicht immer noch unvorsichtige Nutzer drauf reinfallen würden. Zum Glück werden die Fake URLs durch Firefox und IE blockiert. Nur Chrome zeigt mir die Seiten ohne jegliche Warnung an.

Wem die Nummer gehört, war mir zunächst nicht bekannt. Aber dank des Internet findet man sowas heutzutage sehr schnell raus. So findet man z.B. hier acht Seiten voll mit Beschwerden zu der 08005889210001. Teilweise meldet sich gar keiner, wenn man abhebt, da die Nummern automatisch gewählt werden. Fairerweise muss man aber auch sagen, dass die Hotline Ruhe gibt, wenn man einmal klargestellt hat, dass man keine Angebote erhalten möchte.

Viele empfehlen bei der Kündigung direkt mit rein zuschreiben, dass man von Rückhohlversuchen Abstand nehmen soll. Ob das jedoch wirksam ist, bezweifele ich irgendwie. Zum Glück haben wir hier eine Fritz!Box stehen. Einfach Nummer unter “eingehende Anrufe” sperren und schon ist Ruhe im Karton. Natürlich versuchen sie es trotzdem, aber das Telefon bleibt stumm.

Dear Manager,

We are a Network Service Company which is the domain name registration center in Shanghai, China. On July,13th,2010, We received HUATAI Company’s application that they are registering the name “mediauser” as their Internet Trademark and “mediauser.cn”,”mediauser.com.cn” ,”mediauser.asia”domain names etc.,It is China and ASIA domain names.But after auditing we found the brand name been used by your company. As the domain name registrar in China, it is our duty to notice you, so I am sending you this Email to check.According to the principle in China,your company is the owner of the trademark,In our auditing time we can keep the domain names safe for you firstly, but our audit period is limited, if you object the third party application these domain names and need to protect the brand in china and Asia by yourself, please let the responsible officer contact us as soon as possible. Thank you!

Kind regards

Angela Zhang

Angela Zhang

Registration Department Manager
3002, Nanhai Building 854.Nandan Road
Xuhui District, Shanghai
Office: +86 216296 2950
Fax: +86 216296 1557
Email: info@ygnetwork.cn
web: http://ygnetwork.cn
web: http://www.ygnetwork.cn

Ich soll mich also melden und die Domain sichern. Klingt alles mehr oder weniger glaubwürdig, aber eine kurze Suche bei Google zeigt, dass es sich um Betrug handelt. Diese Mails werden in vielen verschiedenen Versionen verschickt und machen auf den ersten Blick einen seriösen Eindruck.

Wenn man sich jedoch beim Absender meldet, dann werden mehrere hundert Dollar für die Domainregistrierung verlangt. Ob die Domain dann tatsächlich angemeldet wird, darf bezweifelt werden. Also ab damit in den Papierkorb!

Virenscanner gibt es wie Sand am Meer. Man sucht sich irgendeinen aus, installiert ihn und das wars dann. Meistens bleibt dann aber noch ein Gedanke im Hinterkopf: Funktioniert das Ding auch wirklich? Theoretisch könnte man jetzt das Web nach bösen Seiten durchsuchen und unter realen Bedingungen testen. Also so ähnlich wie mit einem neuen Minensuchgerät direkt in ein Minenfeld laufen.

Es geht aber auch einfacher und vor allem ungefählicher. Wer seinen Virenscanner testen möchte, der kann das ganz einfach und schnell mit einer einfach Codezeile tun. Einfach eine Textdatei erstellen, folgenden Inhalt kopieren und das ganze abspeichern:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Der vom EICAR (European Institute for Computer Anti-Virus Research) entwickelte Code ist absolut harmlos und richtet keinen Schaden an. Wenn euer Virenscanner nicht sofort anschlägt, dann versucht einfach mal die Datei mit der Endung “.com” abzuspeichern.

Sollte es bei beiden Tests keinen Alarm geben, dann müsst ihr überprüfen ob der Echtzeitschutz des Virenscanners auch aktiviert ist. Ist dies der Fall, solltet ihr euch einen neuen Scanner suchen, da dieser Test sehr simpel ist und von jedem Scanner unbedingt erkannt werden muss. Ich persönlich empfehle “Security Essentials” von Microsoft.

Das Erkennen ist eine Sache. Wie schützt man jedoch andere Surfer, die den Betrug nicht sofort bemerken? Man könnte eine Strafanzeige stellen, jedoch ist zu bezweifeln ob die Staatsanwaltschaft eine Phishingseite schnell und effektiv abschalten kann. Meistens verschwinden die Seiten nach ein paar Tagen von alleine.

Zum Glück gibt es in in den meisten Browsern ziemlich effektive Sicherheitssysteme. Besucht man eine Phishingseite, so erscheint meistens ein Warnhinweis und der Zugang wird verweigert. Das funktioniert jedoch nur, wenn die Seite nach Entdeckung schnell von mehreren Personen gemeldet wird.

Wie kann man also Phising Webseiten melden? Mit den gängisten Browsern (Firefox, IE, Chrome) ist das sehr einfach und schnell möglich:

Firefox: Oben im Menü auf “Hilfe” und dann “Betrugsversuch melden” klicken. Schon werdet ihr auf diese Google Seite weitergeleitet und könnt einen Bericht senden.

Internet Explorer 8: Bei Microsoft’s Browser ist es ebenfalls sehr leicht Phishing zu melden. Dazu müsst ihr oben im Menü auf “Extras” klicken, den Punkt “SmartScrren-Filter” anwählen und dann auf “Unsichere Website melden” klicken. Ihr werdet dann auf diese Microsoft Seite weitergeleitet, auf der man neben Phishing auch Seiten mit Malware melden kann.

Internet Explorer 9: Oben rechts auf das Zahnrad klicken, dann “Sicherheit” auswählen und schließlich auf “Unsichere Website melden” klicken.

Chrome: Bei Chrome müsst ihr oben rechts auf das Blattsymbol mit dem Eselsohr klicken. Nach einem Klick auf den letzten Punkt “Fehler oder defekte Website melden” erscheint ein Pop-up Menü, wo ihr unter “Fehlertyp” als Grund “Phishing-Seite” auswählen könnt:

Edit: In der aktuellen Chrome Version ist es leider etwas umständlicher. Man muss oben rechts auf das Werkzeugsymbol klicken, dann “Tools” auswählen und schließlich auf “Problem melden” klicken. Wieso Google das so kompliziert macht, kann ich mir leider nicht erklären.

Wie ihr sehen könnt, ist das Melden von Phishing Websites (und anderen Betrugsmethoden) sehr einfach möglich und kostet kaum Zeit. Sobald ihr also im Netz eine betrügerische Website findet, dann nehmt euch bitte ein paar Sekunden Zeit und helft mit andere Surfer zu schützen!

Ich habe heute morgen gleich vier Stück dieser Dinger bekommen. Der Text ist bei allen gleich, jedoch werden unterschiedliche Betreffzeilen wie DHL International. You need to get a parcel NR.7914, DHL Customer Services. Please get your parcel NR.3407 und DHL Services. Get your parcel NR.6124 verwendet. Die Nummern der angeblichen Pakete variieren genau wie der angebliche Absender der Mails.

Da der Text in englisch ist, dürften die meisten deutschen Empfänger schnell stutzig werden und vermuten, dass es sich um einen Betrugsversuch handelt. Hier der Inhalt der Mail:

Hello!

The courier service was not able to deliver your parcel at your address.

Cause: Mistake in address

You may pickup the parcel at our post office personally.

The delivery advice is attached to this e-mail.
Print this label to get this package at our post office.

Please do not reply to this e-mail, it is an unmonitored mailbox!

Thank you,
DHL Delivery Services.

Der Absender wird unterschiedlich als DHL Delivery Services, DHL Global Forwarding Services und DHL Express Services angegeben.

Welchen Inhalt die DHL_Label_9312.zip Datei hat, habe ich nicht überprüft, jedoch ist zu 99% davon auszugehen, dass ein Virus, Trojaner oder Ähnliches enthalten ist. Falls ihr die Mail ebenfalls erhalten habt, dann ab damit in den Papierkorb und auf keinen Fall die Datei öffnen!

Diesmal war es eine getürkte eMail mit dem Titel Microsoft Security Patch vom Microsoft Update Center (support@microsoft-updates.de). Zwar ist der Betrugsversuch diesmal leichter zu erkennen, da der Text amateurhaft ohne Absatz geschrieben ist, jedoch wurde wieder eine echte DE Domain verwendet. Hier der Inhalt der Mail:

Lieber Microsoft-Kunde, wir freuen uns Ihnen mitteilen zu dürfen,daß wir Ihnen zum bestehenden Sicherheitsproblem bzgl. Internet Explorer 7 und Firefox 3.x einen Update-Patch bereitstellen können. Kompatibel mit Windwos XP / VISTA und Windows 7. Sie können den aktuellen Patch hier direkt downloaden http://microsoft-updates.de/WindowsXP-VISTA-WIN7-KB932823-v3-x86-DEU.exe oder auf unserer Update-Seite http://microsoft-updates.de unter dem Punkt “Update for Windows XP/VISTA/WIN7″ 1. Downloaden Sie den Update-Patch 2. Update-Patch ausführen durch Doppelklick oder Rechtsklick/öffnen 3. Nach der Installation starten Sie Ihr Betriebssystem neu. Mit freundlichen Grüßen Steve Lipner Director of Security Assurance Microsoft Corp.

Inzwischen findet sich auf der Website kein Inhalt mehr und sie wird auch nicht mehr vom Browser blockiert. Bleibt nur noch die Frage wie die Phisher an echte DE Domains rankommen? Werden die Seiten einfach mit gefälschten Daten registriert oder bestehende URLs übernommen? Jedenfalls werden die eMails durch die deutschen Domains deutlich gefährlicher.

Phishing Mails werden immer bedrohlicher. Das beste Beispiel dafür ist eine vor kurzem versandte eMail, die angeblich von DHL kommt und an Packstation Kunden gerichtet ist.

Ehrlich gesagt ist mir beim ersten Blick gar nicht aufgefallen, dass es sich hierbei um Phishing handelt. Die eMail sieht sehr seriös aus und vermittelt tatsächlich den Eindruck, dass sie von DHL kommt. Im Betreff steht Packstation inaktiv? und der Absender wird mit DHL PACKSTATION – Kundenservice | support@dhl-kundenservice.de angegeben.

In der eMail werden Packstation Kunden angesprochen, die ihren Account schon längere Zeit nicht mehr benutzt haben, was bei mir tatsächlich der Fall ist. Hinzu kommt, dass die angegebene URL http://www.dhl-kundenservice.de/ sehr plausibel aussieht und nicht an irgendwelche Server im Ausland weiterleitet. Die Seite wird inzwischen von Browsern als Phishing erkannt und blockiert. Hier der Inhalt der Mail:

Sehr geehrter PACKSTATION-Kunde, sehr geehrte PACKSTATION-Kundin,

aufgrund der großen Nachfrage des PACKSTATION-Systems sind wir gezwungen dauerhaft inaktive Accounts für neue Kunden freizugeben.

Selbstverständlich können Sie auf Wunsch weiterhin Ihre PACKSTATION nutzen. Hierfür ist lediglich ein Login unter

http://www.dhl-kundenservice.de/

nötig, um Ihren Account automatisch dauerhaft zu registrieren.

Sollten Sie künftig auf Ihre PACKSTATION verzichten können, so ist kein weiteres Agieren Ihrerseits nötig.
Ihr Account wird dann innerhalb 7 Tagen an Neukunden vergeben.

Wir bitten um Ihr Verständnis und bedanken uns für Ihr Vertrauen.

Mit freundlichen Grüßen,

DHL-Kundenservice
Ursula Schmidt

DHL Vertriebs GmbH & Co. OHG

Charles-de-Gaulle-Straße 20
PLZ/Ort: 53113 Bonn

Eine Phishing Mail dieser Qualität ist mir noch nicht untergekommen. Hätte mich mein Browser nicht gewarnt, dann wäre ich möglicherweise drauf reingefallen, obwohl ich mich nicht gerade als Neuling im Internet betrachte und schon öfters mit Phishing zu tun hatte. Wer seine Daten bereits eingegeben hat, der sollte sein Passwort sofort auf der echten DHL Seite ändern!

Update 09.03.2010 Heute kam schon wieder eine neue Phishingmail an. Der Betreff lautet Packstation verlaengern innerhalb von 7 Tagen. Der Text:

Sehr geehrte Kunden,

aufgrund der grossen Nachfrage unseres PACKSTATION-Systems sind wir gezwungen inaktive Accounts fuer neue Kunden freizugeben.
Natuerlich koennen Sie auf Wunsch weiterhin Ihre PACKSTATION nutzen.

Um Ihre PACKSTATION automatisch dauerhaft zu registrieren, ist lediglich ein Login unter

www dhl.de (leitet weiter über eine tinyurl.com Adresse)

Sollten Sie kuenftig auf Ihre PACKSTATION verzichten koennen, so ist kein Agieren Ihrerseits noetig.
Ihr Account wird dann innerhalb 7 Tagen an neue Kunden vergeben.

Wir bedanken uns fuer Ihr Verstaendniss und hoffen, Sie weiterhin als Kunden behalten zu koennen.

Mit freundlichen Gruessen,

Ihr DHL Kundenservice
—————————————————–

DHL Vertriebs GmbH & Co. OHG

Telefon: 0180 5 00 29 75
E-Mail: kontakt@dhl.de

Man kann an zwei Methoden erkennen, ob die eigene Seite infiziert worden ist. Zum einen werden die URLs verändert und enthalten kryptische Zusätze. Dies kann z.B. so aussehen:

example.com/category/post-title/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%/

Dabei tauchen immer die zwei Schlüsselwörter eval und base64_decode auf. Bei der zweiten Methode überprüft man einfach, ob ein zweiter Administrator erstellt wurde. Meistens hat dieser Account den Namen Administrator (2) oder ähnlich.

Wenn man bereits infiziert worden ist, dann sieht es schlecht aus. Der Wurm frisst sich tief ins System und die Datenbank. Es wird empfohlen das komplette System neu zu installieren. Dabei darf jedoch NICHT mehr die alte Datenbank verwendet werden. Die Beiträge, Seiten, Kommentare usw. kann man mit dem XML WordPress Export retten und dann wieder in die neue Installation importieren.