Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Phishing: Click to play

Montag, 15. Juni 2009, 4:55 Uhr

Dies ist eine typische Phishing-Spam des „Web Zwo Null“, wie man sie als „Nachricht“ bekommen kann, wenn das Profil eines „Freundes“ in einem so genannten „social network“ von Verbrechern übernommen wurde. Dieses Beispiel stammt aus MySpace, die gleiche Masche geht aber fast überall und wird wohl auch fast überall angewendet:

LOL watch this - Click to play

Es handelt sich hier nicht um einen Videoplayer, sondern um eine eingebettete, verlinkte Grafik, die wie ein Videoplayer aussieht. Ich habe diesen Phishing-Versuch auch mit einem animierten GIF gesehen. Wenn man darauf klickt, landet man auch nicht bei einem Video, sondern auf einer nachgemachten Login-Seite von MySpace, die nur durch ihre überlange Adresse (beginnt mit myspace.com) verrät, dass hier etwas nicht stimmen kann. Das Ziel dieses kriminellen Angriffes ist es, dass das Opfer seine Mailadresse und sein Passwort auf der Website von Verbrechern ablegt – diese können damit mindestens ein MySpace-Profil übernehmen, um auf die gleiche Weise weitere Opfer zu finden.

Mit dem MySpace-Profil lässt sich aus der Sicht der Kriminellen schon einiges anfangen, nicht nur weiteres Phishing. Zum Beispiel kann man eine „Werbung“ darin unterbringen, wie ich sie etwa beim „Absender“ der tollen „Video-Nachricht“ im Profil gefunden habe:

Kiffe, die man nicht durch einen Urintest nachweisen kann

So sehr sich das einige Menschen auch wünschen mögen: Dass man bei diesem „Versender“ [URL von mir unkenntlich gemacht] weder billige Kiffe kriegt, die überdem durch einen Urintest nicht nachweisbar ist, noch überhaupt etwas für sein Geld kriegt, dürfte wohl klar sein. Mit Spammern kann man nicht ins Geschäft kommen, man wird nur betrogen. Aber bei einigen Kiffern setzen ja die Verstandesfunktionen schon aus, wenn sie nur eine prächtige Blüte auf einem Bild sehen.

Dieses eine Ad ist übrigens nur ein besonders hervorstechenes „Fundstück“ im übernommenen Profil, es gab noch etliche mehr. Zu diesem ganzen Zeug zum Thema Drogen, Pr0n und Zocken standen die unveränderten Daten des „Freundes“. Wenn man sich gerade um einen Job bewirbt, kann dies alles doch einen etwas schrägen Eindruck hinterlassen, der meist nicht förderlich sein wird… 😉

Da viele Menschen überdem an allen möglichen Stellen im Internet das gleiche Passwort benutzen, können die Spammer oft noch einiges mehr anrichten. In einigen Fällen wird mit den so gewonnenen Daten eine direkte Anmeldung bei PayPal möglich sein, und dann kann mit betrügerischen Transaktionen das Konto geplündert werden. Die Spammer wären dumm, wenn sie es nicht einfach versuchen würden.

Und das alles nur, weil man durch ein scheinbares Video überrumpelt wurde, sein Passwort preiszugeben. Wer das gehackte Profil besucht, erhält diese Möglichkeit gleich noch einmal:

Video mit einem ziemlich unbekleideten Hinterteil

Schließlich setzt ja auch beim Anblick praller Backen bei vielen Menschen der kritische Verstand aus – da übersieht man auch mal schnell, dass der gegenwärtige YouTube-Player doch ein etwas anderes Layout bekommen hat. Schön, dass man von so einem Arsch daran erinnert wird, wie YouTube einmal aussah.

(Übrigens: Wie die Spammer hier den scheinbaren „Abspielen“-Pfeil platziert haben, das ist psychologisch einfach gelungen und sehr perfide! Darauf wird schon geklickt, weil er weg soll.)

WICHTIGE HINWEISE GEGEN PHISHING

Wenn man bei MySpace, FaceBook oder was auch immer angemeldet ist, denn braucht man sich nicht nochmal anzumelden. Wenn man nach irgendeinem Klick in einer Anmeldeseite landet und sein Passwort eingeben soll, dann sollten die Alarmglocken läuten. Einfach in einem weiteren Tab (oder Browserfenster) die Startseite von MySpace, FaceBook oder was auch immer aufrufen und nachschauen, ob man noch angemeldet ist. Wenn dies der Fall ist, hat man gerade einen Phishing-Versuch erlebt, die scheinbare Abmeldung war nur vorgetäuscht.

Wenn dieser Phishing-Versuch von einem offen sichtbaren Profil ausging, dann wurde dieses Profil wahrscheinlich von Kriminellen übernommen. Es hat keinen Sinn, dem Inhaber des Profils eine Nachricht zu senden, denn er wird diese gar nicht mehr erhalten. Vielmehr müssen die Betreiber der Site, also MySpace, FaceBook oder was auch immer sofort auf die missbräuchliche Verwendung des Profils aufmerksam gemacht werden, damit kein weiterer Schaden angerichtet wird. Solche Profile werden in der Regel binnen weniger Minuten gesperrt.

Das gleiche gilt, wenn man – wie im hier gegebenen Beispiel – durch die Nachricht eines „Freundes“ zum Opfer gemacht werden sollte. Das Profil des „Freundes“ ist übernommen und sollte sofort gemeldet werden, damit es nicht zu weiteren Schäden kommt.

Persönliche Mitteilungen im „Web Zwo Null“, die scheinbar ein Video enthalten, sind verdächtig. Das gleiche gilt für die Teilnahme an Online-Gewinnspielen und Umfragen, auch darüber habe ich schon Phishing-Versuche erlebt. In diesen Zusammenhängen ist also erhöhte Aufmerksamkeit gefragt – und wenn nach dem Klick ein Passwort eingegeben werden soll, denn handelt es sich beinahe immer um Phishing.

MySpace-Nutzer aufgemerkt! Es gibt keinen einzigen funktionierenden Besucher-Tracker für MySpace, aber es gibt ein paar Betrüger-Seiten [Ratet mal, warum ich die nicht verlinke…], die so tun, als gäbe es dort einen. Was meint ihr wohl, was die mit dem dort einzugebenden MySpace-Passwort tun werden? Wer auf die unendlich doofe Idee kommt, sich von Leuten, die so etwas anbieten, auch noch Software auf den eigenen Rechner zu spielen, für den kommt jede Hilfe zu spät. Er sollte seinen Computer verkaufen und sich fortan mit einem Matchbox-Auto oder einem Brummkreisel begnügen. Dieser Absatz ist keine Satire. Die Dummheit vieler (wohl gemerkt: nicht aller) MySpace-Nutzer leider auch nicht. Wer seine Zugangsdaten frei Haus liefert, nur, um eine sinnfreie technische Spielerei betreiben zu können, der braucht ja nicht einmal mehr die minimale betrügerische Anstrengung des Phishings, um zu seinem Schaden zu kommen.

Auf keinen Fall für alle Seiten im Internet das gleiche Passwort verwenden, sonst wird der Schaden durch einen einzigen kompromittierten Account schnell immens. Das bisschen Mehraufwand mit verschiedenen Passwörtern ist schnell bares Geld wert, wenn es einmal darauf ankommt. Wer sich nicht für jede Seite ein neues Passwort merken kann, der sollte zumindest überall dort, wo es um direkt oder indirekt Geld geht, jeweils sichere und einzigartige Passwörter benutzen.

Und mehr ist auch nicht nötig. Das kann jeder. So einfach ist der Schutz.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert