Facebook: Trojanerangriff durch gefakte Freundschaftsanfragen
TechBlog - Dies und Das
Im Moment sind vermehrt gefakte Freundschaftsanfragen von Facebook unterwegs. Auf keinen Fall aus dem Mailprogramm heraus auf diese Mails antworten.
Es handelt sich um einen ganz perfider Trick um Rechner mit Trojanern zu verseuchen. Die Mail stammt NICHT von Facebook. Hier die Analyse des Mailheaders. Der entscheidende Teil ist rot markiert. Mail stammt vermutlich von einem gehackten Rechner (in den meisten Fällen selber ein Opfer das kurz zuvor auf eine Freundschaftsanfrage geantwortet hatte .......)
Received: from eu3sys201amo104.postini.com (eu3sys201amo104.postini.com [207.126.148.100])
by plesk4.quat.net (Postfix) with ESMTPS id 436B414E0276
for < Diese E-Mail-Adresse ist gegen Spambots geschützt! JavaScript muss aktiviert werden, damit sie angezeigt werden kann. >; Wed, 21 Aug 2013 09:39:25 +0200 (CEST)
Received: from facebook.com (eu3sys201amc103.postini.com [207.126.148.113])
by eu3sys201amo104.postini.com (Postfix) with SMTP id BEDAE2450366
for < Diese E-Mail-Adresse ist gegen Spambots geschützt! JavaScript muss aktiviert werden, damit sie angezeigt werden kann. >; Wed, 21 Aug 2013 07:39:31 +0000 (UTC)
Received: from rrcs-50-84-40-66.sw.biz.rr.com ([50.84.40.66]) by eu3sys201amx108.postini.com ([207.126.154.13]) with SMTP;
Tue, 20 Aug 2013 18:16:02 GMT
Received: from 50.84.40.66(helo=vcfqbkeyuyueon.guamz.va)
by rrcs-50-84-40-66.sw.biz.rr.com with esmtpa (Exim 4.69)
(envelope-from )
id 1MM7U3-0276xn-J8
for < Diese E-Mail-Adresse ist gegen Spambots geschützt! JavaScript muss aktiviert werden, damit sie angezeigt werden kann. >; Tue, 20 Aug 2013 12:16:01 -0600
From: "Facebook" <update+ Diese E-Mail-Adresse ist gegen Spambots geschützt! JavaScript muss aktiviert werden, damit sie angezeigt werden kann. >
Die täuschend echt gemachte Facebook Nachricht gibt vor das eine Freundschaftsanfrage vorliegt. Jeder Knopf/aktives Element auf der Mail allerdings zeigt auf einen Rechner der mit Facebook nichts zu tun hat. In unserem Beispiel:
http://www.mypadefenselawyer.com/bipartisan/index.html
Ich habe diese Datei in einer Sandbox geladen und voila, so sieht es aus. Wer also irgendwo in der Mail geklickt hat würde nun folgendes sehen:
Received: from eu3sys201amo104.postini.com (eu3sys201amo104.postini.com [207.126.148.100])
by plesk4.quat.net (Postfix) with ESMTPS id 436B414E0276
for < Diese E-Mail-Adresse ist gegen Spambots geschützt! JavaScript muss aktiviert werden, damit sie angezeigt werden kann. >; Wed, 21 Aug 2013 09:39:25 +0200 (CEST)
Received: from facebook.com (eu3sys201amc103.postini.com [207.126.148.113])
by eu3sys201amo104.postini.com (Postfix) with SMTP id BEDAE2450366
for < Diese E-Mail-Adresse ist gegen Spambots geschützt! JavaScript muss aktiviert werden, damit sie angezeigt werden kann. >; Wed, 21 Aug 2013 07:39:31 +0000 (UTC)
Received: from rrcs-50-84-40-66.sw.biz.rr.com ([50.84.40.66]) by eu3sys201amx108.postini.com ([207.126.154.13]) with SMTP;
Tue, 20 Aug 2013 18:16:02 GMT
Received: from 50.84.40.66(helo=vcfqbkeyuyueon.guamz.va)
by rrcs-50-84-40-66.sw.biz.rr.com with esmtpa (Exim 4.69)
(envelope-from )
id 1MM7U3-0276xn-J8
for < Diese E-Mail-Adresse ist gegen Spambots geschützt! JavaScript muss aktiviert werden, damit sie angezeigt werden kann. >; Tue, 20 Aug 2013 12:16:01 -0600
From: "Facebook" <update+ Diese E-Mail-Adresse ist gegen Spambots geschützt! JavaScript muss aktiviert werden, damit sie angezeigt werden kann. >
Die täuschend echt gemachte Facebook Nachricht gibt vor das eine Freundschaftsanfrage vorliegt. Jeder Knopf/aktives Element auf der Mail allerdings zeigt auf einen Rechner der mit Facebook nichts zu tun hat. In unserem Beispiel:
http://www.mypadefenselawyer.com/bipartisan/index.html
Ich habe diese Datei in einer Sandbox geladen und voila, so sieht es aus. Wer also irgendwo in der Mail geklickt hat würde nun folgendes sehen:
Und das passiert in Wirklichkeit, drei verschiedene Trojanerkits werden von verschiedenen Adressen im Netz geladen und greifen den Rechner an. Weist der Rechner irgend eine Vulnerabilität auf (kein aktuelles Flash/Adobe Reader/Java/OS Update) dann ist es das gewesen ..........
NIEMALS AUF MAILS DIESER ART KLICKEN !!!!!!