Fax.troj
Donnerstag, 25.2.2016, 08:04 > daMaxDer beliebte Erpressungstrojaner Locky tarnt sich seit neuestem als Fax. Technology full-circle
Der beliebte Erpressungstrojaner Locky tarnt sich seit neuestem als Fax. Technology full-circle
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>
Ey, lass mich einfach rein, okay? |
Ich will das hier nie wieder sehen. |
Ihr Browser versucht gerade eine Seite aus dem sogenannten Internet auszudrucken. Das Internet ist ein weltweites Netzwerk von Computern, das den Menschen ganz neue Möglichkeiten der Kommunikation bietet.
Da Politiker im Regelfall von neuen Dingen nichts verstehen, halten wir es für notwendig, sie davor zu schützen. Dies ist im beidseitigen Interesse, da unnötige Angstzustände bei ihnen verhindert werden, ebenso wie es uns vor profilierungs- und machtsüchtigen Politikern schützt.
Sollten Sie der Meinung sein, dass Sie diese Internetseite dennoch sehen sollten, so können Sie jederzeit durch normalen Gebrauch eines Internetbrowsers darauf zugreifen. Dazu sind aber minimale Computerkenntnisse erforderlich. Sollten Sie diese nicht haben, vergessen Sie einfach dieses Internet und lassen uns in Ruhe.
Die Umgehung dieser Ausdrucksperre ist nach §95a UrhG verboten.
Mehr Informationen unter www.politiker-stopp.de.
Die Meldung ist schon der Zeit hinterher. Jetzt ganz frisch beim Schadsoftwaredistributor Ihres Vertrauens: Locky als PDF-Attachment:
http://www.heise.de/forum/heise-Security/News-Kommentare/Neue-Virenwelle-Krypto-Trojaner-Locky-tarnt-sich-als-Fax/Der-Locky-nervt-einfach-nur/posting-24571421/show/
Prima. Vielleicht hören dann die überspezifischen Hinweise ("Öffne keine Emails von einer Wurstwarenfabrik") mal auf und wir kommen auf das Grundkonzept der Anwendung von Intelligenz zurück. Kenne ich den Absender? Was sagt mir der Betreff? Erwarte ich eine Mail? Noch dazu mit Attachment?
Warum ich da so erbarmungslos bin: Vor kurzem reichte mir eine Kollegin an der Arbeit eine Mail weiter. Es war eine Phishing-Mail von (scheinbar) PayPal, die unseren Spam-/Schadsoftwarefilter durchschlagen hat. Sie solle eine wohl unberechtigte Abbuchung von Ihrem PayPal-Konto prüfen. Sie wollte wissen, was sie jetzt mit PayPal klären muß und wie sie sich da anmeldet. WHAT!?!. Meine Frage: "Haben Sie überhaupt ein PayPal-Konto?". Sie: "Nein." Darauf ich: "Und wieso machen Sie sich dann Sorgen statt die Mail einfach zu löschen?". Herrjesses nochmal.
Ein anderes Beispiel habe ich ja letzte Tage schon geschildert.
My oh my. Locky: Lernen durch Schmerz. Gerne auch in immer neuen Geschmacksrichtungen. Und wenn dadurch die unselige Hin- und Hersenderei von Dokumenten mit aktiven Inhalten (Office, PDF) endlich diskreditiert wird, um so besser. Und nein, ein unverlangt zugesandtes Bild muß nicht "Anna Kournikova Naked" heißen, um Schadsoftware zu enthalten. Lernt es endlich! Ich kann kein Mitleid empfinden. Sorry.
Anwesende sind vom Rant - wie immer - ausgenommen.
Nur mal interessehalber geguckt, ob uns die Mails mit den "Fax"-Attachments von SipGate erreichen können. Wir werten hier SPF-Records aus, um Spoofer gleich an der Tür abzuweisen. "sipgate.de" hat einen SPF-Record. Ich wollte schon zu einem Lob ansetzen, dann sehe ich genauer hin:
"v=spf1 a mx a:mail-in.netzquadrat.de a:mx01.sipgate.net a:mx02.sipgate.
net include:aspmx.googlemail.com include:mail.zendesk.com ~all"
Bitte WAS? "~all" am Ende? Ooooch Leuteeee. Ihr machts den Spoofern aber auch wirklich einfach. Da hat ein "-all" zu stehen, sonst nix. Punkt!
… ein Überfax also?
@OldFart: Bahnhof
@da]v[ax:
Ein SPF-Record wird im DNS hinterlegt und definiert die zulässigen Mailserver, die Mails mit Absendeadressen dieser Domain versenden dürfen. Kurz gesagt: Der Eigentümer der Domain erklärt der Welt, daß Emails mit seinem Domänennamen als Absender nur von definierten Mailern aus kommen. Wer nicht in der Positivliste steht, nutzt die Absendeadresse mißbräuchlich. Diese Information kann beim Empfänger genutzt werden, um gefälsche Absender zu erkennen und die Mails direkt abzulehnen.
Am Ende der Positivliste von Mailservern steht eine "Default"-Anweisung, was passieren soll, wenn eine Mail NICHT von einem positiv gelisteteten Server kommt.
Wer immer sich "+all" als Default ausgedacht hat, muß vollgedröhnt gewesen sein. Das heißt: Trotzdem annehmen. Sehr sinnvoll.
"~all" heißt: Ist zwar nicht von uns, aber nimms trotzdem. Denk Dir was aus, was Du damit machst. Ergebnis: Die Mail wird im Wissen um die Absenderfälschung zugestellt. Unterschied zu "+all": Die Mail soll irgendwie "markiert" werden. Als ob das wen interessiert, wenns erstmal in der Mailbox liegt ...
Die einzig richtige Defaultanweisung ist also: "-all". Das steht für "nicht autorisiert - ablehen".
bin ich eigentlich paranoid, oder könnte diese schwemme an erpressungs-trojanern mit dem niedergang des bitcoin zusammenhängen? wenn die nachfrage nach diesen steigt, steigt der kurs, right? genau damit hatte dieses ponzi-scheme doch seit (haha) "neustem" zu kämpfen; und wenn ich mich nicht irre, sollen die opfer *grundsätzlich* in bitcoins zahlen (wieso nicht safePay?), um ihre daten wiederzubekommen. wurde der gedanke schon irgendwo geäussert?
oder ist das offensichtlich und ich nur stoned?
@DasKleineTeilchen: nee, das hatte ich so noch nicht gehört. Klingt zwar nicht gänzlich verkehrt, vielleicht denken Erpresser aber auch gar nicht so weit.