Lonesome Walker

Wie ich mich zu so einer Überschrift erdreisten kann?

Nun, ganz einfach:
gestern nachmittag habe ich eine Email erhalten, die für mich ganz klar als Phishing zu erkennen war.

– – –
Betreff: XING: Lucian Hevataneo möchte Sie als Kontakt hinzufügen
Von: XING <mailrobot@xing.com>
An: „meine wenigkeit“ <xxx@xxx.de>
Datum: 17-09-2009 17:44
– – –
Jo, auch die Header stimmen, diese Email ist WIRKLICH von XING versendet worden!
– – –
Sehr geehrter Herr XXX,

Lucian Hevataneo möchte Sie auf XING als Kontakt hinzufügen.

„Hallo Alexander, tolles Foto.
http://xing-download.com/400126/dcim32567.img“

Bearbeiten Sie Ihre Kontakte hier:

(http://www.)xing.com/go/contacts?reagent=systemmail/mailcontactaddnotify1
– – –

Yo, also da wollte irgendwer mit dem Namen Lucian Hevataneo mich als Kontakt hinzufügen (oder auch nicht), und nutzt die Möglichkeit, ein wenig Text mitzusenden.

Soweit so gut, jetzt aber die Problematik:
Dieses Profil war ein Fake-Profil, mit dem Ziel, möglichst vielen Leuten diese Nachricht zukommen zu lassen.

Der Link in dieser Nachricht führt auf eine sehr ähnlich klingende Domain, auf der ein ganz nettes Programm mit der Endung .img zu laden ist.

Jo, also erst mal die .img entpackt, ei gugge mal:

<assembly
xmlns="urn:schemas-microsoft-com:asm.v1"
manifestVersion="1.0">
<assemblyIdentity
name="CiaoSoftware.Ciao.Shell.Contacts"
processorArchitecture="x86"
version="5.1.0.0"
type="win32"/>
<description>Windows Shell</description>
<dependency>
<dependentAssembly>
<assemblyIdentity
type="win32"
name="Microsoft.Windows.Common-Controls"
version="6.0.0.0"
processorArchitecture="x86"
publicKeyToken="6595b64144ccf1df"
language="*"
/>
</dependentAssembly>
</dependency>
</assembly>


Ja, dann gings halt weiter mit UPX rumspielen, HEX-Editor, und den Rest könnt Ihr Euch sicher denken…

So, wenn man jetzt aber bei XING versucht, dort die Nachricht aufzurufen, dann stellt man fest, DA IS JA GAR NIX!
Es wäre aber doch besser, das Profil nicht zu löschen, sondern zu sperren, mit dem Hinweis für alle sichtbar, daß über dieses Profil kürzlich Schadsoftware versendet worden ist.

Jo, manchmal ist Sperren wirklich besser als löschen (aber nur manchmal)
Denn so haben die User nur die Möglichkeit, auf den Link zu klicken, um zu erfahren, was denn das alles ist.
Tolle Wurst von XING, hier könnte man FAIL! nicht groß genug schreiben!

Da ich aber will, daß sich da auch seitens XING was tut, sprich Userinformation oder so, war ich gestern abend noch so frei, und habe dem ach so kompetenten Helpdesk eine freundliche Nachricht zukommen lassen.

Was ich heute als Antwort (auch auf die darin enthaltenen Vorwürfe) erhalten habe, läßt nur den Schluß zu, daß es der XING AG scheissegal ist, ob die User jetzt einen infizierten PC haben oder nicht.

– – –
Sehr geehrter Herr XXXX

herzlichen Dank für Ihren Hinweis.
Wir bedauern, dass Sie mit solchen Nachrichten belästigt wurden. Diese sind
uns bekannt und wir haben bereits Gegenmaßnahmen getroffen. Bitte klicken Sie
auf keinen Fall auf den Link. Wir bitten diese Unannehmlichkeit vielmals zu
entschuldigen und wünschen Ihnen einen angenehmen Tag.

–
Für weitere Fragen können Sie auch gerne unsere Online-Hilfe nutzen.
https://www.xing.com/cgi-bin/help.fpl

Mit freundlichem Gruß aus Hamburg

Bxxxx Lxxxx
–
XING-Team
de-support@xing.com
– – –

WO BLEIBT DIE AUFKLÄRUNGSMAIL AN ALL DIE BETROFFENEN?
Wenn Microsoft soetwas macht, heulen alle rum, wenn einer der größeren SocialNetwork-Betreiber sowas macht, tja, dann isses halt so…?

Update:
für die Analysten unter Euch, die mal gucken möchten, was man sich da so runterladen würde:
klick(rar) oder klick(7z)
(eigentlich relativ lustlos zusammengestöpselt…)

Update 2:
DAS DA ist der einzige offizielle Hinweis von XING auf die Fake-Mail.
Naja, mehr war dazu ja auch nicht zu erwarten…

hr hr hr hr, morgen Nachmittag erfahrt Ihr mehr zu diesem Thema.
(xing-download.com)

Ich sag‘ mal nur schon so viel:
Vertuschung, Vertuschung, Vertuschung.

Oh, und unfreiwillige Datenlöschung…

Ich bin gespannt, wie sich die XING AG dazu äußern wird…
AUF KEINEN FALL auf den Link in der Email klicken!
Die ist zwar von XING, aber das bedeutet nicht, daß auch XING drin steckt…

Stay tuned!

BOAH, es geht also DOCH noch immer ein Stück härter, als man glauben möchte…

Wie ich ja gerade vorher geschrieben habe, mahnt die mediafinanz AG aus Osnabrück gerade wieder mal unschuldige Opfer an.
In den Emails werden Behauptungen aufgestellt, die so nicht haltbar sind, und das Beste, auf deren Seite klebt „irgendein“ TÜV-Siegel.
(so weit ich mich nicht irre, das des TÜV Saarland)

So, ich persönlich glaubte als Admin natürlich erst mal an eine Fake-Email, aber der Header der Email war authentisch.
Kein Proxy oder Fakemailer, nein, wirklich DEREN Mailserver.

Hm…

Okay, dann mal die Suchmaschine unseres Vertrauens gefüttert, und die zeigt die Domain auch mit WOT-Plugin als grün an.
(gleich mal meine eigene Wertung hinzugefügt…)

Gut, weil ich es jetzt dann doch mal wissen wollte, wie genau sowas passieren kann, habe ich kurzerhand dort angerufen.

Eine freundliche Dame hat mein Gespräch entgegen genommen, und sich angehört, was ich da so per Email erhalten habe.
Den Emailversand aus ihrem Hause konnte sie aber bestätigen, nachdem ich ihr das Aktenzeichen aus der Email genannt hatte.
Da sie selbst aber nicht wußte, wie in so einem Falle zu verfahren ist, hat sie mich kurzerhand an eine Kollegin durchgestellt.

Diese meinte, wenn ich nicht Samer Fakhro bin, wird meine Mail gelöscht, und er würde anderweitig ermittelt werden.
Ebenso würde ich nie wieder was von ihnen hören/lesen.

Schön und gut, aber darum alleine geht es mir ja nicht.
Wie kann es sein, daß ein (angeblich) offiziell vom TÜV geprüftes Inkasso-Unternehmen Inkasso-Emails für dubiose Mandanten verschickt.
Klar, der Klassiker: Geld stinkt nicht, und die Mandantenwahl bleibt ja jedem selbst überlassen.

Gut, ich habe halt die Dame darauf aufmerksam gemacht, daß sie diese Information doch bitte nach ganz oben durchreichen sollte, wo die Entscheidung über solche Mandanten getroffen wird.
Ebenso war ich neugierig, was es denn mit dem TÜV-Logo so auf sich hat, denn meiner Erfahrung nach sieht das Logo des TÜV Saarland doch ein wenig anders aus.
Daraufhin meinte sie nur, das habe schon alles seine Richtigkeit so.

Wie man hier aber lesen kann (klick und klick) scheint das keine offizielle Zertifizierung gewesen zu sein, denn sonst würde da ja das richtige Siegel kleben, oder?

Ich zitiere mal ein wenig:

Der belegbar seriösen und transparenten Arbeitsweise sowie der hohen Dienstleistungsqualität vertrauen mittlerweile mehr als 11.000 Mandanten…

Ahahahahaha, gleich platze ich aber vor so viel Seriosität.

In der heutigen Email stand ja:
Sehr geehrter Herr Fakhro,
wie wir Ihnen bereits per Brief vom 04.09.2009 mitgeteilt haben, hat uns die Firma GO-ALK D.o.o. mit dem Einzug einer offenen Forderung beauftragt.

Klaaar, ich habe am 04.09. Post von denen gekriegt…?

Zu den Partnern gehören namhafte Auskunfteien und Ermittlungsdienste, deren Privatpersonen- und Firmenauskünfte, Adressprüfungen sowie weitere hochspezialisierte Rechercheoptionen den Mandanten der mediafinanz AG Sicherheit im alltäglichen Onlinehandel geben.

ROFL, deren Ermittlungsdienst ist sooooo toll, daß die nicht mal die Email-Adressen überprüfen können, geschweige denn simpelste Plausibilitäts-Checks…
Und sowas nennt sich TÜV-zertifiziert?
Wenn dem wirklich so ist, dann ist das aber ein harter Schlag gegen Verbraucherinformationen, wahrscheinlich auch ein Schritt hin zur Verbraucherverarschung.

Gut, da mir das Logo spanisch vorkam, habe ich mir die Mühe gemacht, und um 16:55 beim TÜV Saarland angerufen.
Dort hat man mich ebenso freundlich begrüßt, sich kurz angehört, was ich so erfahren habe, und war bemüht, das Problem aus der Welt zu schaffen.
Jedoch ist leider die Geschäftsleitung nicht mehr im Hause.

WHOA! So weit nach oben wollte ich dann doch nicht. Rechtsabteilung reicht eigentlich, denn die können ja ratzfatz feststellen, ob Siegel genehmigt, oder nicht.
(aber man beachte, sowas nenne ich dann Kundenservice in Extremform!)
Die Dame hat mich dann weiterverbunden zu einem Herrn, der sich die URL von mediafinanz kurz angeguckt hat, auch festgestellt hat, daß das Logo nicht wirklich so aussieht wie es aussehen sollte.
Notiert, und gibt es dann weiter an die Rechtsabteilung, vielleicht ist die mediafinanz AG ja doch zertifiziert.

Gut, ich werde da mal der Dinge harren, die da noch kommen werden.

Aber eins steht fest:
mediafinanz AG steht auf meiner Watchlist