URL Phishing 29. December 2005 um 08:47 Uhr / Censure

Eingestellt am 29. December 2005 um 08:47 Uhr » Censure

Ich bekomme immer wieder mal Grußkarten per E-Mail von allem möglichen Leuten, die verschiedene Onlinedienste dafür nutzen. Genau so eine Grußkarte kam gerade von einer gewissen Claudia hinein (ich glaube ich kenne keine Claudia persönlich). Es war eine HTML E-Mail die aussah als ob sie von Google kommen würde, also mit dem aktuellen Google Logo und auch von der Sprache der von Google sehr ähnlich, aber seht selbst:

Screenshot der Google E-Mail

Natürlich kenne ich ziemlich viele Phishing E-Mails, die versuchen mir eine falsche URL unterzuschieben, deshalb schaue ich mir immer die wirkliche URL an, nicht den Linktext, der angezeigt wird. So auch jetzt. Interessanterweise fangen beide URLs mit http://www.google.com/ an, nur der hintere Teil unterscheidet sich. Die Wirkliche Adresse nutzt den Google Umleitungsdienst um auf eine Seite umzuleiten auf welcher sofort ein Downloaddialog geöffnet wird und eine Datei mit dem Namen xpladv582.wmf zum Download angeboten wird.

Ich muss zugeben, dass ich diese Dateiendung nicht kannte. Deshalb habe ich mich ein wenig auf die Suche gemacht und herausgefunden dass WMF die Abkürzung für »Windows MetaFile« ist, einem Dateiformat von Microsoft für Vectorgrafiken, also ansich nichts gefährliches. Durch Zufall kam ich aber dann auch gleich auf diesen Artikel: Exploit für WMF-Sicherheitslücke. Dort wird beschrieben dass man mit Hilfe dieser Dateien schädlichen Code auf dem Rechner ausführen kann.

Also war es doch nur eine ganz normale Phishingmail und keine Grußkarte. Rafiniert und nennenswert fand ich aber vor allem das man sich als Google ausgibt und auch noch die Google Seite für das Phishing benutzt. Wenn man nur den Anfang liest fällt es einem gar nicht auf, vor allem da Google in letzter Zeit auch einen Dienst nach dem anderen herausbringt wundert man sich gar nicht, dass man einen dieser Dienste nicht kennt und dann ist es schon zu spät.


Kommentare

Die Kommentare sind für diesen Eintrag geschlossen.