Es scheint, dass der “Bundestrojaner” nur dazu gut ist, den Bürger zu verunsichern. Und ganz sicher wird hier auch das schlechte Gewissen des einen oder anderen Empfängers ausgenutzt.

Der Text in dieser Mail lautet:

Von: Herbert Klein “derrick@nilsonreport.com”
Betreff: Onlinedurchsuchung [89772619]

Sehr geehrter Internetnutzer,

im Rahmen unserer ständigen automatisierten Überprüfung von sogenannten Tauschbörsen im Internet, wurde folgende IP-Adresse auf unserem System ermittelt.
IP: 81.182.164.117

Der Inhalt Ihres Rechners wurde als Beweismittel mittels den neuen Bundestrojaner sichergestellt.
Es wird umgehend Anzeige gegen Sie erstatten, da sich illegale Software, Filme und/oder Musikdateien auf Ihren System befinden. Durch die Nutzung sogenannter Tauschbörsen, stellen Sie diese auch anderen Nutzern zu Verfügung und verstoßen somit gegen §§ 249ff StGB.

Das vollständige Protokoll Ihrer Online-Durchsuchung finden Sie im Anhang dieser Email.

Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten Tagen schriftlich zugestellt.

Herbert Klein, Kriminaldirektor, LKA Rheinland-Pfalz
Am Sportfeld 9c, 55124 Mainz
Tel.: 06131 – 970738
Fax: 06131 – 970731
Mobil: 0171 – 7504699
Mail: Hcklein51@aol.com

“Netterweise” wird auch gleich noch eine zip-Datei mit an die Mail gehängt, in dem sich das vollständige Protokoll Ihrer Online-Durchsuchung befinden soll. Ist natürlich ein Virus, klar.

Da ich natürlich keine Tauschbörsen benutze und natürlich auch keine illegale Software auf meinem Rechner habe, kann ich diese Mail ganz entspannt zerpflücken. Was zeigt uns, dass es sich hier um eine Spam/Virus/Worm/Hoax Mail handelt?

Mailheader:
Es lohnt sich immer einen Blick in den Header und auf den Absender zu werfen

Received: from [201.83.52.129] (helo=c9533481.virtua.com.br)
Herbert Klein 'derrick@nilsonreport.com'

Diese Mail wurde über einen brasilianischen SMTP-Server versendet, sehr verdächtig….

Herrn Klein gibt es tatsächlich, er ist, wie es auch richtig in der Mail formuliert ist, Kriminaldirektor beim LKA Rheinland-Pfalz und Chefredakteur des VDP – Verlag Deutsche Polizeiliteratur und erscheint z.B. bei einem Artikel bei der kriminalpolizei.de.
Er wird aber sicher eine andere Mail-Adresse haben und bei einer offiziellen Mail eine andere benutzen als Derrick@nilsonreport.com oder Hcklein51@aol.com. – Das dachte ich, stimmt aber nicht. Siehe hier!

Mailtext:
Wie bei Mails dieser Art üblich, keine direkte Ansprache, die IP-Adresse ist auch interessant. Ein Blick mit whois sagt uns folgendes:

route:        81.182.0.0/15
descr:        Hungarian Telecom
descr:        Public Internet Access Provider
descr:        Budapest, Hungary
descr:        HU
origin:       AS5483
mnt-by:       AS5483-MNT
source:       RIPE # Filtered

Wer bis hier ein schlechtes Gewissen hatte, kann sich ab jetzt entspannt zurücklehnen. Access Provider in Ungarn? OhKay!

Dann natürlich noch das zitierte Gesetz aus dem Strafgesetzbuch: §249 behandelt Raub und räuberischen Diebstahl, was IMHO nicht wirklich etwas mit Tauschbörsen zu tun hat.

Und natürlich noch der Anhang:
Dabei handelt es sich, wie schon erwähnt, um eine zip-Datei mit der Nummer aus dem Betreff, bei mir Nr-[89772619].zip in dieses Archiv befindet sich eine Ausführbare Datei (exe), aber mit pdf-Icon. Wer immer noch mit ausgeblendeten Dateierweiterungen unterwegs ist, hat hier schon verloren! In den Eigenschaften der Datei steht “Zulu.exe” und die Sprache ist ….. russisch.

Aber wie gesagt, derer Mails wird es ab jetzt viele geben. Und das mit dem Bundestrojaner scheint ja, oh Wunder, auch nicht richtig zu funktionieren.

Ach ja, ich bin mir ziemlich sicher, dass die Damen und Herren Strafverfolger einen potentiell verdächtigen nicht vorwarnen und ihm die Gelegenheit geben die Platten aufzuräumen, sondern im Morgengrauen vor der Tür stünden und sämtliches IT- Equipment beschlagnahmten.

Gibt es eigentlich noch jemanden, der darauf hineinfällt? Zwar sind die Seiten gut gemacht und kaum von den Originalseiten zu unterscheiden, aber mittlerweile sollte sich doch herumgesprochen haben, dass es sich hier um Phishing handelt.

Heute kam, eine für mich neue Seite an: Von der CitiBank. Niedlich fand ich den “Disclaimer” am Ende der Mail:

Geben Sie bitte keine Antwort auf sterben betreffende Mitteilung. E-Mail, gesandt ein Sterben betreffende Adresse, braucht keine Antwort. Um Hilfe zu leisten, gehen Sie ins System Ihres Kontos bei CitiBank ein und wählen Sie Bastelraum Hinweis “Hilfe” auf der beliebigen Seite aus.

CitiBank Email ID#543657

Das ist wohl wirklich eine sterbene Gattung …

Das Internet-Auktionshaus eBay fordert mehr als 100.000 deutsche Nutzer zur Wahl eines neuen Passworts auf. Eine Sicherheitssoftware habe anonym unsichere Zahlen- und Buchstabenkombinationen ermittelt, sagte eBay-Sprecherin Maike Fuest. Die betroffenen Mitglieder würden derzeit per automatisch generierter Mail angeschrieben. Ein neues Passwort muss dann über die offizielle eBay-Homepage eingerichtet werden.

Dagegen spricht ja erst einmal überhapt nichts, aber: Die betroffenen Mitglieder würden derzeit per automatisch generierter Mail angeschrieben … Da wird überall vor den Phishing-eMails gewarnt und dann das, unglaublich! Gerade eBay warnt ständig vor diesen Mails und dann verschicken die selber welche. In dem entsprechenden Forum auf Heise kommen dann natürlich auch noch andere “Lücken” ans Licht. So sind die Passwörter bei eBay nicht Case-Sensitiv, also wenn das Passwort z.B. “geheim” ist, dann geht auch “GeHeIm” oder “GEHEIM”. Weiterhin liegt die Vermutung nahe, dass eBay die Passwörter unverschlüsselt in der Datenbank ablegt. Das kann ich kaum glauben, aber es scheint wohl so.

Viel sicherer wäre es doch, wenn der eBay-User mit einem schwachen Passwort während des Anmeldevorgangs darauf hingewiesen wird. Das ist doch nicht schwer das umzusetzen. Schließlich musste ich doch auch erklären, ob ich meine getragenen Socken als gerwerbliches oder privates Mitglied verkaufe!

Ein netter Post in dem Forum kommt von einer Tanja Dörr unter dem Betreff Hinweis:

Hinweis
Tanja Dörr (33 Beiträge seit 29.9.04)

“Ihr Passwort ‘Penis’ ist nicht lang genug”

Auf der Schweizer Microsoft Seite gibt es einen Artikel darüber:

Bisher richteten sich Phishing-Betrüger gewöhnlich per E-Mail an ihre potenziellen Opfer und verleiteten Sie zum Aufrufen gefälschter Webseiten, um an ihre persönlichen Daten zu kommen. Nun gibt es eine neue Phishing-Version.

Anstatt aufgefordert zu werden, eine bestimmte Webseite aufzurufen, werden Sie möglicherweise gebeten, eine bestimmte Kundendienstnummer anzurufen. Unter dieser Nummer meldet sich eine Person oder ein Anrufbeantworter, die bzw. der Ihre Kontonummer, Ihre PIN, Ihr Kennwort oder andere wichtige persönliche Daten erfasst, um Ihr Identitätsprofil zu stehlen und auf Ihr Konto zuzugreifen. Häufig behauptet der Anrufer, dass ihr Konto geschlossen wird oder andere Probleme auftreten, wenn Sie nicht reagieren. Im Folgenden erfahren Sie, was Sie tun können, um auf solche Tricks nicht hereinzufallen. [...]

Message Labs warnt vor einer Version des Trojaneras IRCBot, der sich als Skype-Update tarnt. In Mails mit unterschiedlichen Betreffzeilen wie Skype for Windows 1.4 – Have you got the new Skype? versucht er den Anwender zum Öffnen des Dateianhangs zu bewegen, der ebenfalls den Namen Skype enthält. Wird dieser gestartet, erscheint eine Fehlermeldung. Im Hintergrund öffnet der Trojaner Ports und wartet auf Anweisungen.
Quelle: testticker.de