Netzwölfe
Auch der gemeine Netzwolf hat sich hier einen Platz verdient, nervt er doch immer wenn Schneevater demnächst mit seinen Schweinen die Welt überfliegt, am meisten. Ich habe ja fast Verständnis für die armen Netzwölfe. Meist sitzt ein Wurf hungriger Welpen im Bau.... Ausser dem gibt es da ja noch die grosse Datenkrake und ihre Kinder, brr es schüttelt mich. Darum noch ein kurzes Stossgebet an Offler: "Oh Offler Du einzigartiger unter den Göttern, beschütze mich auf meinen Wegen im Netz und beschütze mich vor der NSA"

Netzwölfe wollen nur Dein bestes - Dein Geld,

dafür unternehmen sie alles, fantasievolle Phishing Versuche, toxische Mailanhänge oder infizierte Webseiten. Windows 10 eröffnet noch weitere Betätigungsfelder für die Netzwölfe wie Cloud-Poisoning.
Sie sind halt eine ganz besondere Spezies die gemeinen Netzwölfe. Der Name sagt es schon, sie treiben ihr Unwesen im weltweiten Datennetz. Gerade hat mir wieder einer eine schöne Phishing-Mail gesendet. Ich habe ein Problem mit Giropay und Paypal:

Return-path:
Received: from mout.kundenserver.de ([212.227.126.130]) by mx-ha.gmx.net
 (mxgmx012 [212.227.15.9]) with ESMTPS (Nemesis) id 0LjdZA-1clTvX0pyq-00bZ0Q
 for ; Thu, 24 Nov 2016 17:56:03 +0100
Received: from infong404.kundenserver.de (infong404.kundenserver.de
 [212.227.109.187]) by mrelayeu.kundenserver.de (node=mreue007) with ESMTP
 (Nemesis) id 0LhYCz-1cVpfH3fXd-00mvdx; Thu, 24 Nov 2016 17:56:02 +0100
Received: from 217.29.58.170 (IP may be forged by CGI script) by
 infong404.kundenserver.de with HTTP id 0aC8GE-1c97y53RVj-000vBn; Thu, 24 Nov
 2016 17:56:02 +0100
X-Sender-Info: <168118854(at)infong404(dot)kundenserver(dot)de>
Precedence: bulk
Date: Thu, 24 Nov 2016 17:56:02 +0100
To: "Gerald Fontaine"
From: "Abrechnung GiroPay24 AG"
Subject: Gerald Fontaine Ihre Rechnung 86922640 vom 18.11.2015
Message-ID:
X-Priority: 3
X-Mailer: Apple Mail
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 8bit
X-Provags-ID: V02:K0:yimPViCMlK4LvG5quHKnPaLm+GgGGftiQKKdhqNLrkI X523rUp/po+AVp9wSzQnfQBNpGjgbuwOtC6uOvdjKJ9WUzy2Hl zX5XomMt0MEHImuw1++ZO4mB7hLk+SJCdckXa/UP6jlley7DnO XbQimKqB1A276Eq5EVfONJSKluVWmg0a0icSET2GidbybXyyGQ hXN8HDkYjQxXcuSpOt5kkHDdzPEYMj/HpFtvuskmkRpnnduzyE d+9kPYi4vBhSHEZcQ7xCwUAKyxODoFMeycVbvSKh5LTXPKxbFH wLwaZBorNa9PSTeI/7bn1ivESJirXkBHvskYq8meSd1Q+N++Xn DzsLkPoqB2IEXDAanL7lCiUGj7Ww0lsgMN6FEQzbm7Kursj+Sa Ysh5jZe089Sx4HoRxSbXnumLVYLFkig++JDEvYIiYRrXKNP3Z4 t35jIMXT8CB+SFK7maATR3tYjCniahS14X/Oph1pVx2CEE+6Ug XMM7AbTj9YNkYAJlGAp/EkG9e/Gp6SMJiPmnrGUeA==
X-UI-Out-Filterresults: notjunk:1;V01:K0:vDhH41KLMI8=:RDFHAU4T/YPrwhr01s+lIC GIj5QSnyDMO779gWic0XDYga+srzB2lZUxdcnzvh/WyAY/XOGI3IDNnhtMRcoYZpmDgbxYJJf TzNcZsTHVUJjtdv82btzfk6rYaRB8iNJJucHbj1RCLq/qezvyza2CZtdwnFgF0jEG7Mg3lJgU wRyo4Yn5zuzMO5gx0QEUa9QlBzQ/hAWs9gI64+gMQkbxnYSF7/Gwmv0NhuaxG+8LELHmkLJ7j yjspnxj8BW+7I1H
Envelope-To:
X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
X-GMX-Antivirus: 0 (no virus found)
X-Antivirus-Status: Clean

Sehr geehrte/r Gerald Fontaine,

das von Ihnen vorliegende Girokonto war im Moment der Abbuchung nicht hinreichend gedeckt um die Lastschrift auszuführen. Unsere Zahlungserinnerung blieb bisher leider ohne Erfolg. Jetzt bieten wir Ihnen damit letztmalig die Möglichkeit, den ausbleibenden Betrag der Firma GiroPay24 AG zu überweisen. Aufgrund des andauernden Zahlungsrückstands sind Sie gezwungen zuzüglich, die durch unsere Beauftragung entstandenen Gebühren von 78,13 Euro zu bezahlen. Die Höhe des Betrags kann aufgrund berechneter Verzugszinsen abweichen.

Namens unseren Mandanten GiroPay24 AG ordnen wir Ihnen an, die noch offene Forderung sofort zu decken. Bei Rückfragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb von zwei Werktagen.

Die detaillierte Kostenaufstellung, der Sie alle Einzelpositionen entnehmen können, befindet sich im Anhang. Wir erwarten die Überweisung bis spätestens 20.11.2015 auf unser Bankkonto.

Mit besten Grüßen

Abrechnung Emil Massys

Ich habe das Werk an Paypal weitergeleitet und schon die Rückantwort:

Guten Tag, Gerald!
 
Vielen Dank für Ihre proaktive Meldung einer verdächtigen E-Mail an das
PayPal-Team. Die von Ihnen weitergeleitete E-Mail wird von unseren
Mitarbeitern auf bösartige Inhalte geprüft.
 
Wir achten stets darauf:
 
• Unsere Kunden mit dem in ihrem PayPal-Konto registrieren Vor- und
Nachnamen oder dem Firmennamen anzusprechen
 
Wir werden niemals:
 
• E-Mails an "unsichtbare Empfänger" oder mehrere E-Mail-Adressen
gleichzeitig senden
• Kunden dazu auffordern, durch Herunterladen eines Formulars oder einer
Datei ein Problem zu beheben
• Kunden per E-Mail zur Verifizierung ihres Kontos durch Angabe von
personenbezogenen Daten wie Name, Geburtsdatum, Führerschein oder
Adresse auffordern
• Kunden per E-Mail zur Verifizierung ihres Kontos durch Angabe von
Bankdaten wie Bankname, Bankleitzahl, Kontonummer oder PIN auffordern
• Kunden per E-Mail zur Verifizierung ihres Kontos durch Angabe von
Kreditkartendaten wie Typ oder Nummer der Kreditkarte, Gültigkeitsdatum,
Geldautomaten-PIN oder Kartenprüfnummer auffordern
• Kunden nach der vollständigen Kreditkartennummer fragen, ohne den
Kartentyp und die letzten zwei Stellen der Kartennummer zu nennen
• Kunden nach der vollständigen Kontonummer fragen, ohne den Banknamen,
den Kontotyp (Giro- oder Sparkonto) und die letzten zwei Stellen der
Kontonummer zu nennen
• Kunden zum Beantworten ihrer Sicherheitsfragen auffordern, ohne die
Sicherheitsfragen zu nennen
• Kunden dazu auffordern, einen Artikel zu versenden, eine Versandgebühr
zu bezahlen, Geld über Western Union zu überweisen oder eine
Nachverfolgungsnummer anzugeben, bevor die zugehörige eingehende Zahlung
im Kontoauszug des Kunden aufscheint
 
Wenn Sie per E-Mail über Änderungen Ihres PayPal-Kontos informiert
werden, sollten Sie sich als ersten Schritt in Ihr PayPal-Konto
einloggen. Sofern die E-Mail echt ist, werden die darin genannten
Änderungen auch in Ihrem Konto angezeigt. KLICKEN SIE IN E-MAILS NICHT
AUF VERMEINTLICHE LINKS ZUR PAYPAL-WEBSITE. Geben Sie stattdessen in
Ihrem Browser www.paypal.com ein und loggen Sie sich in Ihr Konto ein.
 
Was ist eine Phishing-E-Mail?
 
Vielleicht haben Sie schon einmal eine gefälschte E-Mail erhalten, die
angeblich von PayPal oder einer anderen bekannten Organisation stammte.
Diese Form von Betrug wird als "Phishing" bezeichnet, da der Sender nach
Ihren personenbezogenen Daten "fischt". Dabei verfolgen die Betrüger das
Ziel, den Nutzer über eine gefälschte Website oder eine vermeintliche
Kundendienstnummer zur Preisgabe von sensiblen Daten oder
Finanzinformationen zu verleiten.
 
Wenn Sie uns verdächtige E-Mails melden, werden alle relevanten Inhalte
eingehend überprüft. Falls wir für unsere Untersuchung weitere
Informationen brauchen, setzen wir uns mit Ihnen in Verbindung. Bei
Fragen zu der verdächtigen E-Mail, die Sie uns melden wollen, möchten
wir auf die Sicherheitstipps weiter oben verweisen.
 
Hilfe! Ich habe auf eine Phishing-E-Mail geantwortet!
 
Falls Sie aufgrund einer Phishing-E-Mail personenbezogene Daten
preisgegeben haben oder vermuten, dass jemand unberechtigt auf Ihr Konto
zugreift, sollten Sie umgehend Ihr Passwort und Ihre Sicherheitsfragen
ändern.
 
Zusätzlich sollten Sie den Fall an PayPal melden, damit wir Sie
unterstützen können.
 
    1. Öffnen Sie ein neues Browserfenster und geben Sie in der
Adresszeile www.paypal.com ein.
    2. Loggen Sie sich ein.
    3. Klicken Sie auf "Sicherheits-Center".
    4. Klicken Sie auf "Problem melden".
    5. Klicken Sie auf "Nicht genehmigte Transaktion".
    6. Klicken Sie auf "Unbefugter Kontozugriff".
 
Wir möchten uns für Ihre Mitarbeit bedanken.
 
Jede E-Mail zählt. Durch Ihre Weiterleitung einer verdächtigen E-Mail an
spoof(at)paypal(dot)com haben Sie dazu beigetragen, sich selbst und andere vor
Identitätsdiebstahl zu schützen.
 
Vielen Dank!
Ihr PayPal-Team

 

WannaCry – über 200.000 infizierte Rechner weltweit

Am Freitag (12.5.) infizierten bisher Unbekannte weltweit Tausende Rechner mit der Schadsoftware WannaCry. Insgesamt waren es 200.000 infizierte Rechner in mehr als 150 Ländern. Auf den betroffenen Computern allein in China bei knapp 30.000 Institutionen, sowie Computern bei Renault, Telefonica, dem russischen Innenministerium, britischen Krankenhäusern, der deutschen Bahn und FedEx wurden Daten verschlüsselt und Lösegeld in der Cryptowährung Bitcoin gefordert, um die Daten wieder freizugeben. Einige der betroffenen Unternehmen haben laut Symantec (Symantec sprach von 81 Transaktionen im Umfang von 28.600 Dollar bis Samstagmittag) offensichtlich Lösegeld gezahlt. 

Behörden gehen davon aus, dass die Zahl der infizierten Computer noch weiter steigt, wenn am Montag den 15.5. zahlreiche Rechner erstmals nach dem Wochenende wieder hochgefahren werden. Der Angriff ist der bisherige Höhepunkt des NSA Hacks vom vorigen Jahr, wo Hacker in den Besitz von „Cyberwaffen“ gekommen sind, die sie per Auktion versteigern wollten.

Unklar ist, ob die ursprünglichen Hacker für den Angriff vom Freitag verantwortlich sind, oder tatsächlich eine Versteigerung stattfand, und kriminelle Dritte dahinterstecken. Eine Ermittlung der Täter wird als schwierig eingeschätzt.

Insgesamt ist das ganze eine Pleite für die NSA, zum einen sind viele ihrer Werkzeuge jetzt öffentlich, und damit wertlos geworden. Zum anderen wirft Microsoft den US-Geheimdiensten wie CIA und NSA vor, sie hätten Softwarecodes „gehortet“, die von Hackern genutzt werden können. Zumindest hat sich der leitende Anwalt des Software-Herstellers Microsoft, Brad Smith, dahingehend geäußert. Microsoft kündigte an, in Zukunft Sicherheitsupdates auch für ältere Windows-Versionen gratis anzubieten, ein großer Teil der betroffenen Systeme waren nämlich XP-Rechner, welche aus Kostengründen (Updates für XP sind mittlerweile kostenpflichtig) nicht geupdatet wurden.

Übrigens ist die Gefahr noch nicht vorüber, nach der Einschätzung von Sicherheitsexperten ist es nur eine Frage der Zeit, bis sich die Schadsoftware in einer verbesserten Fassung weiter ausbreitet. Dass teilweise Zahlungen erfolgten, macht die Situation noch brisanter, damit hat sich der Angriff ausgezahlt. Ob diejenigen welche gezahlt haben, wieder Zugriff auf Ihre Daten haben ist bisher unbekannt.

Mittlerweile kursiert der Verdacht dass Nordkorea hinter dem Angriff steckt, allerdings fehlt mir der Glaube, tauchen doch mehr und mehr Schadprogramme auf welche alle aus den Beständen der NSA stammen. Ich zitiere N-TV: 

Hunderttausende Rechner sind von "WannaCry" betroffen. Experten mutmaßen nun, dass das Computervirus nur eine Ablenkung ist. Sie bringen einen Angriff mit "Adylkuzz" damit in Verbindung. Doch noch eine weitere Cyberwaffe der NSA taucht auf. Der neue Angriff "Adylkuzz" verfolge jedoch ein ganz anderes Ziel und arbeite im Verborgenen, teilten die Forscher mit. Auf den infizierten Rechnern werde im Hintergrund das virtuelle Geld Monero erzeugt. 

Der Angriff mit "Adylkuzz" begann den Angaben zufolge bereits spätestens am 2. Mai. Aktuell sollen Zehntausende Computer weltweit infiziert sein. Einen Schutz gebe es nur, wenn die Windows-Rechner mit den aktuellen Sicherheits-Updates von Microsoft auf dem aktuellen Stand sind.

Nach einem Bericht der "Financial Times" ist noch eine weitere aus NSA Beständen stammende Cyberwaffe im Darknet aufgetaucht , dabei handelt es sich laut Bericht um Software, die auf dem Hacker-Werkzeug "Esteem Audit" basiert. Fortinet schreibt dazu: 

In this blog, the FortiGuard team takes a look at Esteemaudit, which is an exploit that was included in the set of cybertools leaked by the hacker group known as "Shadow Brokers." They claim that they collected this set of cybertools from the compromised data of "Equation Group," a threat actor alleged to be tied to the United States National Security Agency (NSA).

Esteemaudit is a Remote Desktop Protocol (RDP) exploit that targets Microsoft Windows Server 2003 / Windows XP. The vulnerability this RDP exploit targets  will not be patched since Microsoft has stopped supporting these two products. By exploiting this vulnerability, a threat actor can target a remote RDP Service and eventually take control of the compromised system.

Also ist die Behauptung, dass Nordkorea dahintersteckt zwar sehr bequem, aber doch eher an den Haaren herbeigezogen, weils ins Feindbild passt. Verantwortlich für die Ausbreitung der Schadcodes ist ganz klar die NSA, sie hätte derartige Werkzeuge entweder besser schützen müssen, oder gar nicht erst entwickeln dürfen. Ich bin gespannt, ob Amerika die finanzielle Verantwortung übernimmt :-)

Was sollte man tun, um sich gegen derartige Angriffe abzusichern?

  1. häufige Datensicherung auf externe Datenträger (möglichst nicht mit Windows Backup sondern mit Acronis True Image o.Ä.)
  2. Einsatz von aktueller Sicherheitssoftware (Windows Defender ist meiner Meinung nach nicht unbedingt ausreichend, aber immerhin ein Anfang), das System von Zeit zu Zeit möglichst mit verschiedenen Programmen checken
  3. Kopf einschalten beim anklicken von E-Mail Anhängen (nur Anhänge von Mails von bekannten Absendern öffnen, und das nur wenn ein Anhang an der Mail erwartet wurde), Makros in Dokumenten (PDF und Office Dokumente) abschalten, keine gefährliche oder unbekannte Dateitypen öffnen.
  4. Systemaktualisierungen zeitnah einspielen, die betroffenen Systeme hatten in dieser Hinsicht Defizite
  5. möglichst nur vertrauenswürdige Webseiten besuchen
  6. Auch bei Apps aus Microsofts, Apples und Googles App-Stores waren schon Sicherheitsprobleme die Folge, also erst mal googeln ehe installiert wird, bei Programminstallationen generell den Kopf einschalten.
  7. aktuelle Browser verwenden, möglichst Mainstream vermeiden
  8. Wer auf Nummer sicher gehen will, sollte auf seinem Windows-Rechner Virtualbox installieren, und dann Linux in der Virtualbox betreiben, um mit Linux ins Internet zu gehen und E-Mails abzuwickeln.