Betreff der email:
Scheinbarer Absender:
Inhalt der schädlichen email (in Textform):
Inhalt der schädlichen email:
Lieber ....,
Kundennummer 295-856-917-778
Alle Barclaycard - Karten wurden aktualisiert. Ihr Karte ist gesperrt.
So bleibt es dem Link zu folgen, Ihr Karte zu reaktivieren:
Klicken Sie hier
Vielen Dank,
7264550180569938152491743948295038114575
7619916747661299079015104296880073367432
Lieber ....,
Kundennummer 295-856-917-778
Alle Barclaycard - Karten wurden aktualisiert. Ihr Karte ist gesperrt.
So bleibt es dem Link zu folgen, Ihr Karte zu reaktivieren:
Klicken Sie hier
Vielen Dank,
7264550180569938152491743948295038114575
7619916747661299079015104296880073367432
Bild (Screenshot):
Ergänzende Anmerkungen:
Der Link führt zu einer gefälschten Webseite. Diese sieht aus wie eine Webseite von barclycard und der (erschrockene und aufgeregte) User soll hier seinen Login versuchen. Diese wird automatisch an die Betrüger übermittelt, die diese gefälschte Webseite dort platziert haben.
Genaugenommen führt der Link zu:
Und das ist ein schönes Beispiel, wie Hacker sich fremde Serverbereiche aneignen, um ihren Geschäften nachzugehen. Mit Sicherheit weiß der Besitzer von officelink.net.au (eine IT-Firma), dass in seinem Unterordner "image" ein weiterer Unterordner ".x" errichtet wurde (der Punkt am Anfang eines Ordnernamens soll auch verhindern, dass der Unterordner angezeigt wird, wenn der Serverbesitzer seine Dateien auf dem Server betrachtet) und in diesem Unterodner eine index.php, also eine skriptfähige Webseite liegt.
Auf diese Weise arbeiten Hacker seit Jahren, Abertausende von Servern sind infiziert, ohne dass die Serverbesitzer es merken. Manchmal werden die Dateien auch nur vorübergehend installiert, dann später wieder gelöscht.
Da die IT-Firma, der der Server officelink.net.au gehört, ihren Server so eingestellt hat, dass man über den Browser den Ordnerinhalt von "/images" lesen kann, kann sich das jeder ansehen, wie sich hier ein unscheinbarer Unterordner namens .x versteckt. Geht man auf diesen, wird auch automatisch die "index.php" gestartet, also die oben gezeigte (gefälschte) Webseite.
Davon bekommt der Eigner der domain "officelink.net.au" (eine au-domain!) nichts mit. Die Firma ist eine riesige IT-Firma und betreut hauptsächlich "Fereral Government", schreibt sie, da dürfte sie ausgelastet sein und der Aufruf der o.g. index.php fällt beim Betrachten der Webserverstatistiken nicht auf.
