Re: Fake-Mail: welcher Rechner infiziert?

[Andreas Kohlbach]

On Thu, 8 Oct 2020 10:53:22 +0200, Louis Noser wrote:
>
> Ich habe heute ein Mail erhalten, das nicht vom Absender stammt, von
> dem das Mail herzukommen vorgibt.
>
> Inhalt des Fake-Mails:
> -------------------------------------
> Hallo Louis
> Ich möchte, dass du eine Überweisung machst. Lass mich wissen, ob du
> es sofort tun kannst, damit ich dir die Bankverbindung schicken kann.
> Warten auf Ihre Antwort
>
> Grüße
> Katrin Hoffmann
>
> Von meinem iPhone gesendet
> -------------------------------------
>
> Ist sowas schon ein Phishing-Mail?

Wahrscheinlich.

[...]

> Der Quellcode eines solchen Falsch-Absender-Mails unterscheidet sich
> stark von regulären Mails, richtig?
>
> Der Quellcode meines Mails, wo ich den Absender über den
> Betrugsversuch benachrichtige, beginnt in den ersten beiden Zeilen
> sogleich mit meiner Mailadresse und jener des Adressaten, was beim
> Fake-Mail nicht der Fall ist. Erste Zeile Fake-Mail: Return-Path:
> <yu...@haruzone.com>

Gab es eine URL? Wenn, bitte posten aber entstellen. Also etwa wissen

www . google . de (also Leerzeichen vor und hinter den Punkten)

Ich leite mal nach nach de.admin.net-abuse.mail weiter. IMO ist das reine
Betrachten einer Email mit einem nicht kaputten Reader kein
Sicherheitsrisiko. Mache ich jeden Tag. Interessant, wohin einige der
Links führen. Klicken dieser mag dann aber wieder ein Sicherheitsrisiko
sein.
--
Andreas

[Louis Noser]

Am 08.10.2020 um 21:31 schrieb Andreas Kohlbach:

> Gab es eine URL? Wenn, bitte posten...

Für mich als Laien hat es in jenem Mail mehr als eine URL. Deshalb
erlaube ich mir, hier einen Link auf einen Screenshot der Kopfzeilen im
Quelltext zu posten:

https://workupload.com/file/3hxLkHfB28L

Grüsse
Louis

[Andreas Kohlbach]

On Thu, 8 Oct 2020 22:27:04 +0200, Louis Noser wrote:
>
> Am 08.10.2020 um 21:31 schrieb Andreas Kohlbach:
>
>> Gab es eine URL? Wenn, bitte posten...
>
> Für mich als Laien hat es in jenem Mail mehr als eine URL.

Ein URL fängt häufig mit http:// an.

> Deshalb erlaube ich mir, hier einen Link auf einen Screenshot der
> Kopfzeilen im Quelltext zu posten:
>
> https://workupload.com/file/3hxLkHfB28L

Hilft nicht wirklich. Der Reply-To nach zu urteilen, ist das schnöder
Nigeria-Scam.
--
Andreas

PGP fingerprint 952B0A9F12C2FD6C9F7E68DAA9C2EA89D1A370E0

[Wolfgang Jäth]

Am 09.10.2020 um 08:34 schrieb Karl-Josef Ziegler:

> Am 08.10.2020 um 22:27 schrieb Louis Noser:
>
>> Für mich als Laien hat es in jenem Mail mehr als eine URL. Deshalb
>> erlaube ich mir, hier einen Link auf einen Screenshot der Kopfzeilen im
>> Quelltext zu posten:
>

> Sieht mir sehr nach 419/Nigeria-Scan aus. Phishing-Mails sind anders
> formuliert.

Nigeria aber auch; da wird erst mal Anteil an einem Riesenvermögen in
Aussicht gestellt, nur müsse man dafür ein paar kleine Gebüren auslegen.

/Warum/ der OP /überhaupt/ irgend eine Übrweisung tätigen soll
(Vorgeschichte, nicht gepostete Emailinhalte, ...), ist seinem Artikel
leider nicht zu entnehmen.

Wolf 'aber eigentlich ist es völlig egal, ob das nun Nigeria oder Viagra
oder Phishing oder sonst was ist, Spam ist Spam, Punkt' gang
--
Donald Trump ist ein großer Visionär, der seiner Zeit weit voraus ist:
Er verbreitet schon jetzt den Slogan "make America great again", obwohl
dieser erst in der Ära /nach/ ihm seine volle Bedeutung entfalten wird.

[Louis Noser]

Am 09.10.2020 um 10:53 schrieb Wolfgang Jäth:
> Am 09.10.2020 um 08:34 schrieb Karl-Josef Ziegler:

> /Warum/ der OP /überhaupt/ irgend eine Übrweisung tätigen soll
> (Vorgeschichte, nicht gepostete Emailinhalte, ...), ist seinem Artikel
> leider nicht zu entnehmen.

Ich bin Kassier in einem Verein. Die Dame, von der das Mail herzukommen
vorgibt, ist real und Präsidentin in diesem Verein. Von daher könnte sie
mir schon den Auftrag zur Geldüberweisung erteilen. Entweder ist es
Zufall oder die Urheber des Mails haben Kenntnis von dieser Konstellation.

Grüsse
Louis

[Louis Noser]

Hallo

Am 09.10.2020 um 00:36 schrieb Andreas Kohlbach:

> Ein URL fängt häufig mit http:// an.

Ich nehme an, dass alles, was eine IP-Adresse zugeordnet hat, als
Klartext eine URL ist, richtig?

Grüsse
Louis

[Wolfgang Jäth]

Am 10.10.2020 um 08:45 schrieb Louis Noser:
> Am 09.10.2020 um 10:53 schrieb Wolfgang Jäth:
>> Am 09.10.2020 um 08:34 schrieb Karl-Josef Ziegler:
>
>> /Warum/ der OP /überhaupt/ irgend eine Übrweisung tätigen soll
>> (Vorgeschichte, nicht gepostete Emailinhalte, ...), ist seinem Artikel
>> leider nicht zu entnehmen.
>
> Ich bin Kassier in einem Verein. Die Dame, von der das Mail herzukommen
> vorgibt, ist real und Präsidentin in diesem Verein. Von daher könnte sie
> mir schon den Auftrag zur Geldüberweisung erteilen.

Ah, ok; das erklärt die Zielsetzung. Und ja, es handelt sich eindeutig
um eine Phishing-Mail, es sei denn, besagte Dame postet üblicherweise
über einen amerikanischen Server (godaddy.com [1]) mit australischem
ReplyTo (.nf = Norfolk Island, Australien).

[1] wenn ich schon irgendwo godaddy.com lese, dann brauch ich eigentlich
gar nicht weiter lesen, denn das ist dann mit mehr als nur an Sicherheit
grenzender Wahrscheinlichkeit Spam. Godaddy ist ein bekanntermaßen
spammfreundlicher Hoster.

> Entweder ist es
> Zufall oder die Urheber des Mails haben Kenntnis von dieser Konstellation.

Letzteres; die Masche ist bekannt, siehe
https://de.wikipedia.org/wiki/CEO_Fraud . Mir ist allerdings neu, dass
die das bei kleinen Vereinen versuchen, normalerweise nehmen die sich
meines (bisherigen) Wissens nach eher lohnendere weil finanzkräftigere
mittelständische bis große Unternehmen. Btw, falls ihr in einem
Dachverband o. ä. seid, oder mit anderen Vereinen befreundet seid, würde es
sicherlich nicht schaden, die in einer kurzen Notiz über den Angriff
zu informieren, damit die nicht ihrerseits in eine solche Falle tappen, bzw.
das auch weiter verbreiten.

Wolfgang