Deutsche Bank Phishing 2016 2

Deutsche Bank Phishing: Bitte aktualisieren Sie Ihre Daten

Deutsche Bank Phishing 2016 2"Von: Deutsche Bank [mailto:[email protected]

Gesendet: Mittwoch, 29. Juni 2016 09:16
An: [email protected]
Betreff: Bitte aktualisieren Sie Ihre Daten
Sehr geehrter Deutsche Bank Kunde,
wir bemühen uns stets, Ihre Sicherheit auf dem höchsten Niveau zu halten.
Kürzlich haben wir unser Sicherheitssystem verbessert und optimiert um Sie noch besser vor Betrug zu schützen.
Bedingt durch die neuen Sicherheitsrichtlinien bitten wir Sie, Ihre Daten, sowie Ihre Mobilfunknummer zu aktualisieren und Ihr Konto den neuen Standarts anzupassen.
Falls in 48 Stunden keine Aktualisierung Ihrerseits erfolgt, erheben wir eine Bearbeitungsgebühr von 23,99 EUR. Der Betrag wird automatisch von Ihrem Konto eingezogen und Sie erhalten den das Schreiben innerhalb weniger Tage per Post.
Klicken Sie unten auf den Link und ersparen Sie sich und uns die Mühe indem Sie das Update kostenlos online durchlaufen.
Hier klicken um Kundendaten und Mobilfunknummer jetzt aktualisieren.
Mit freundlichen Grüßen
Eva Ratermann
Deutsche Bank AG
Taunusanlage 12
60325 FRANKFURT AM MAIN (für Briefe und Postkarten: 60262)
DEUTSCHLAND"
Gleich noch ein Phishing Versuch der für Daten der Deutschen Bank hinterher. Aber wer hat bei dieser kriminellen Vereinigung (der Deutschen Bank) schon ein Konto?! Ich jedenfalls würde mich schämen. 😀
Der Link jedenfalls führt zu h**p://meine.deutsche-bank.de.checkcookie8495192946655345119918773730408.livingblueprint-testserver.com/trxm/db/init.do/?checkCookie
Auch liest man die Adresse vom ersten / an rückwärts und sieht den Server namens livingblueprint-testserver .com. Die kreativ gewählte Subdomain „checkcookie8495192946655345119918773730408“ suggeriert ein Session Cookie hinter der Domain deutsche-bank.de. Hier erkennt man allerdings, das der / fehlt und durch einen Punkt ersetrzt ist, da es kein Session-Cookie, sondern eine Sub-Subdomain ist.
Jedenfalls gilt auch hier Ignorieren und Löschen!

amazon phishing 06 2016

Amazon-Phishing: Bestätigen Sie Ihre Daten! Ruslan Umkhayev

amazon phishing 06 2016"Von: Amazon.de [mailto:[email protected]

Gesendet: Mittwoch, 29. Juni 2016 10:09
An: name <[email protected]>;
Betreff: Bestätigen Sie Ihre Daten!
Ihr Amazon.de | Angebote | Alle Kategorien
Guten Tag mein Na??me,
Ihre Sicherheit ist uns wichtig, daher findet regelmäßig eine Überprüfung der Accounts unserer Kunden statt.
Unser System konnte bei Ihrem Kundenkonto einige unregelmäßige Aktivitäten feststellen.
Ihr Kundenkonto wurde somit automatisch gesperrt, um weitere Risiken zu vermeiden.
Um Ihr Kundenkonto wieder zu entsperren, klicken Sie bitte auf den unten aufgeführten Link, und folgen Sie den weiteren Anweisungen im Formular.
Während des Vorgangs entstehen keine weiteren Kosten für Sie. Folgend sind die geänderte Liefer- und Rechnungsadresse aufgelistet. Bitte entschuldigen Sie aufkommende Unannehmlichkeiten.
› Klicken Sie hier um Ihre Daten zu bestätigen
Bestellinformationen:
E-Mail-Adresse: [email protected]
Rechnungsadresse:
Ruslan Umkhayev
Ollenhauer Str. 91
70190 Stuttgart Mitte
Deutschland Versandadresse:
Ruslan Umkhayev
Ollenhauer Str. 91
70190 Stuttgart Mitte
Deutschland
Bestellübersicht:
Bestellnummer: 296-3749605-8401639
Versand: Standardversand 6,90 €
Artikel: 79,95 €
Verpackung & Versand:
Gesamtbetrag: 86,85 €
Copyright © 1999–2015 Amazon. Alle Rechte vorbehalten.
Amazon (Europe) S.à r.l. et Cie, S.C.A., Société en Commandite par Actions.
Eingetragener Firmensitz: 22–24 Boulevard Royal, L-2449 Luxembourg RCS Luxembourg B 118 349."
Hier wieder eine Amazon-Phishing E-Mail. Der Link führt über h**p://short_punkt_lu/0c7x0 zu h**p://amazon.de-junehelp.ga/3623303/B0054PDP2Q/egc_dp_brand_click_do_de/Dgno_yam_ya/customer/pageId/# wo eine Amazon sehr ähnliche Log-In Maske erscheint. Dort natürlich keine Daten eingeben! Die werden umgehend an die Kriminellen weitergleitet…
Wie immer: Ignorieren und Löschen!

 

trojaner computer

Erpressungstrojaner im Anhang: DHL-Paket-Lieferung fehlgeschlagen, Sendungverfolgungsnummer 056392024191

trojaner computer"Von: DHL Sendungsverfolgung [mailto:[email protected]]

Gesendet: Dienstag, 28. Juni 2016 12:47
An: [email protected]
Betreff: DHL-Paket-Lieferung fehlgeschlagen
Sehr geehrter Kunde,
die Lieferung für das Paket mit der Sendungverfolgungsnummer 056392024191 ist fehlgeschlagen.
Der Kurier war zum wiederholten Male nicht in der Lage Sie persönlich anzutreffen.
Bitte senden Sie uns das ausgefüllte Versandetikett um einen erneuten Lieferungsversuch in Auftrag zu geben.
Das Versandetikett für Ihre Lieferung finden Sie im Anhang dieser E-Mail.
Mit freundlichen Grüßen,
DHL EXPRESS
Deutsche Post AG
Charles-de-Gaulle-Straße 20
PLZ/ Ort: 53113 Bonn"
Im Moment ist wieder einmal eine Welle mit Verschlüsselungstrojanern im Netz unterwegs. Aktuell handelt es sich wohl um eine modifizierte Variante von Locky, welche sich BART nennt. Nach einem Bericht von HEISE werden alle Dateien verschlüsselt und als .bart.zip Dateien gespeichert. Den Schlüssel zum Entpacken kann man dann für 300 – 1700 € bei den Erpressern kaufen.
Im Anhang der E-Mail befindet sich die Datei Sendung_056392024191.zip, welche aktuell nur von 6 der 53 Virenscannern auf Virustotal.com als Gefahr erkannt wird. In der ZIP Datei befinden sich die Dateien „Sendungsetikett_056392024191.pdf.js.js“ und „Sendungsinformationen_056392024191.pdf.js.js“.

Das sind natürlich keine Etiketten oder Informationen, sondern direkt ausführbare Java-1Scripte, welche den Trojaner downloaden und starten.
Wie immer gilt auch hier: Ignorieren und Löschen!

paypal 06 2016 2

PayPal-Phishing: Kontoeinschränkung – Bitte bestätigen Sie Ihre Daten

paypal 06 2016 2"Von: Paypal Sicherheit [mailto:[email protected]]
Gesendet: Sonntag, 26. Juni 2016 00:16
An: mich [email protected] 
Betreff: Kontoeinschränkung - Bitte bestätigen Sie Ihre Daten
Sicherheitsmaßnahme. Einfach Immer PayPal
Ihr Konto wird eingeschränkt
Sehr geehrte/r Kunde/in,
Bitte unterstützen Sie uns dabei, Ihr PayPal-Konto wieder in Sicherheit zu bringen,
Bis dahin haben wir den Zugang zu Ihrem PayPal Konto vorübergehend eingeschränkt.
Wo liegt das Problem?
Aufgrund einer Änderung im Geldewäschegesetz müssen wir Ihre Angaben erneut verifizieren.
Was mache ich jetzt?
Bitte verifizieren Sie sich über folgenden Link als rechtmäßiger E1gentümer. Im Anschluss können Sie Ihr Paypal-Konto wieder uneingeschränkt nutzen.
Zur Verifikation"
Hier mal wieder ein PayPal Phishing Versuch. Die ganze E-Mail ist ein Bild, um möglicherweise Anti-Virus-Software oder Spamfilter auszutricksen. 
Das gesamte Bild ist verlinkt nach zu einem URL Verkürzer. Die Seite, die eigentlich dahinter steckt ist nicht erreichbar, jedenfalls gerade nicht.
Wie immer gilt auch hier: Ignorieren und Löschen.

trojaner mediamarkt1

Ransomware CERBER über E-Mail „Mediamarkt“: Dein Buchung wird ausgeliefert 019568

trojaner mediamarkt1"Von: Frank Wick [mailto:[email protected]

Gesendet: Freitag, 24. Juni 2016 05:45
An: [email protected]
Betreff: Dein Buchung wird ausgeliefert 019568
Sehr verehrter Client,
Vielen Dank für die Bestellung von "alfi 3522.000.150 isolierkanne."
Geschätztes Ankunftsdatum ist morgen,
berechnet auf Basis der eingetragenen
Lieferadresse im mediamarkt.de Online Store.
Um Ihren Kaufpurchasing zu bestätigen (oder abzubrechen), bitte benutzen
Sie Ihren einzigartigen Client Identifikations Schlüssel,
indem Sie den unten genannten
Klicken Sie hier.
Wir möchten uns herzlich bei Ihnen dafür bedanken, dass Sie unseren Handel
für Ihren Kauf ausgesucht haben.
Im Falle von Problemen, zögern Sie nicht, uns anzurufen.
Hochachtungsvoll,
Frank Wick"
Hier eine fingierte E-Mail vom „Mediamarkt“, welche einen Geschäftsabschluss vortäuscht. Der Link führt zu h**p://www.jobisez.com/redirect.aspx?URL=http://tvr489eo8z.vseandroidhost.ru/jy8lfawz9b . Dort holt man sich dann über die heruntergeladene ZIP-Datei einen Trojaner ab, welcher den PC verschlüsselt. Der Krypto-Trojaner CERBER ist Ransomware, welche für das entsprechende Entschlüsselungsprogramm ca. 500€ in Bitcoins verlangt. Die Erpresser erklären ausserdem, das wenn man nicht innerhalb von 5 Tagen zahlt, sich die Summe verdoppelt.
Wie immer gilt auch hier: Ignorieren und Löschen!

dhl sendungsmanager breaky 1

Trojaner in DHL E-Mail: Ihre Sendung ist auf dem Weg! Sendungsnummer: 9230428

dhl sendungsmanager breaky 1"Von: DHL [mailto:[email protected]

Gesendet: Mittwoch, 22. Juni 2016 23:26
An: [email protected]
Betreff: Ihre Sendung ist auf dem Weg!
Sehr geehrte/r mein Name,
die folgende Sendung an Sie, wurde soebend an uns übergeben.
Die Ausliegerung erfolgt voraussichtlich am 26.06.2016
Sendungsnummer: 9230428
Alle weiteren Informationen, wie Versender, Zoll Informationen und Auslierferungsstatus,
entnehmen Sie bitte über eine gesicherte Verbindung mit unserem neuen DHL Sendungsmanager.
Diesen können Sie hier herunterladen: Herunterladen"
Gerade erhielt ich diese E-Mail, welche angeblich von DHL stammt. Der Link führt direkt zum Download der Datei „DHL Sendungsmanager.exe“. Laut Virustotal (Erkennungsrate ist noch gering bei 6/54) enthält die Datei den „MSIL.Trojan.Kryptik.l“ Trojaner.
Auch hier gilt die Devise: Ignorieren und Löschen!

Nicht den Link anklicken und schon gar nicht die Datei ausführen!

gtmetrix3

Joomla, Cloudflare, Google AMP und das mit gutem PageSpeed und YSlow?

gtmetrix3Kurz: Ja. Das geht! Wie, das möchte ich hier kurz beschreiben. Die Optimierung von Joomla-Seiten beschäftigt mich schon sehr lange. Angefangen habe ich damit als Joomla noch Mambo hieß.

Da Google immer wieder neue Rankingkriterien einführt und bestehende ablöst, ist die Optimierung von Webseiten ein beständiger Prozess, welcher eigentlich nie abgeschlossen wird.
Um aktuell ein gutes Ranking und eine gute Benutzbarkeit, unabhängig vom verwendeten Gerät zu erzielen, sollte man meiner Meinung nach auch folgenden Punkte abdecken:
– https
– CDN (mit Cloudflare)
– Google AMP (Accelerated Mobile Pages)

– >90% PageSpeed Score bei GTmetrix
– >90% YSlow Score bei GTmetrix
cloudflare page rule1Zunächst sollte man sein Joomla ausmisten und alles Unnötige rauswerfen, z.B. unbenutzte Plugins, Komponenten, alte Templates und Module. Dann installiert man 2 Plugins, um Cloudflare nutzen zu können:
CloudFlare Plugin http://extensions.joomla.org/extension/cloudflare und das Cloudflare Universal SSL Plugin https://www.simbunch.com/products/free-extensions/cloudflare-for-joomla.
Dann erstellt man sich ein kostenloses Cloudflare Konto und fügt die gewünschte Webseite hinzu. Nachdem man die DNS-Einstellungen nach der Schritt-für-Schritt Anleitung von Cloudflare angepasst hat und die beiden Plugins aktiviert hat, sollte es eigentlich laufen. Nach ein paar Stunden erhält man auch sein SSL Zertifikat und kann die Webseite nun über HTTPS erreichen. Damit die Seite immer über HTTPS aufgerufen wird, erstellt man einfach eine Page-Rule ind Cloudflare.
Nun kann man langsam anfangen die Optimierungsfunktionen von Cloudflare einzuschalten und zu prüfen, ob die Webseite das mitmacht 🙂
Gleichzeitig kann man bei GTmetrix prüfen, wieviel Pluspunkte es bringt.
Wichtig ist, dass man nicht mehrere Funktionen zur Optimierung von Javascript, CSS und HTML benutzt. Lange habe ich JCH Optimize benutzt um gute Werte zu erreichen. Das ist nun mittlerweile nahezu überflüssig, weil man mit dem Cloudflare CDN bessere Werte erreicht.
Nun kann man das Plugin „wbAMP Community Edition“ http://extensions.joomla.org/extensions/extension/site-management/seo-a-metadata/wbamp-community-edition installieren und entsprechend konfigurieren.
Wann man nun die im Plugin beschriebene AMP-Validierung mit Google Chrome durchführt, bekommt man einen Script-Fehler: „The tag ’script‘ is disallowed except in specific forms.“ und die Validierung schlägt fehl. Nach langem Suchen und Probieren habe ich dafür folgende Lösung gefunden:
Grund dafür ist der Rocket-Loader in Cloudflare, der versucht Javascript zu optimieren. Das ist natürlich bei AMP-Seiten Blödsinn. Deshalb einfach per Page-Rule in Cloudflare die AMP Seiten vom Rocket-Loader ausschließen und schon läuft das. Die AMP-Validierung funktioniert nun problemlos.amp valide
Gleichzeitig werden sehr gute Werte beim Seitentest mit GTmetrix erzielt.

bewerbung fake1

Krypto-Trojaner JS.TeslaCrypt.4.Gen. in Bewerbung von Tim Lerchner

bewerbung fake1"Von: Tim Lerchner [mailto:[email protected]

Gesendet: Montag, 20. Juni 2016 11:02
An: [email protected]
Betreff: Bewerbung
Sehr geehrte Damen und Herren,
anbei erhalten Sie meine Bewerbung für Ihre bei meinestadt.de ausgeschriebene Stelle. Warum ich die Stelle optimal ausfüllen kann und Ihrem Unternehmen durch meine Erfahrung zahlreiche Vorteile biete, entnehmen Sie bitte meinen ausführlichen und angehängten Bewerbungsunterlagen.
Ich freue mich, wenn ich mich Ihnen noch einmal persönlich vorstellen kann.
Mit freundlichen Grüßen,
Tim Lerchner"
Lieber „Tim“, vielen Dank für deine Bewerbung. Deine ausführlichen Dokumente kannst du also in einer 4 kb großen Zip Datei verpacken? Das kann nicht wirklich viel sein 😉
Nun aber mal Spaß beiseite. Diese Mail ist natürlich keine echte Bewerbung, ich habe ja auch keine Stelle ausgeschrieben. Sie enthält den Teslacrypt Trojaner der 4. Generation und zielt darauf ab, meine Daten zu kompromittieren.
Wie immer gilt auch hier: Ignorieren und Löschen!

Seit Ende Mai gibt es ein kostenloses Entschlüsselungstool für alle Teslacrypt Geschädigten:

http://www.heise.de/security/meldung/Erpressungs-Trojaner-TeslaCrypt-gibt-auf-Master-Schluessel-veroeffentlicht-3210654.html

amazon phishing 06 2016 1

Amazon Konto Phishing: Benachrichtigung vom Sicherheitsdienst: #028-3371403-3338007

amazon phishing 06 2016 1"Von: Amazon.de [mailto:[email protected]

Gesendet: Sonntag, 19. Juni 2016 09:27
An: [email protected]
Betreff: Benachrichtigung vom Sicherheitsdienst: #028-3371403-3338007
Sicherheitsmeldung
E-Mail Referenz: #028-3371161-3388007
Sehr geehrte/r Kunde/in,
bei Ihrem Amaz?n-Konto wurden verdächtige Aktivitäten festgestellt. Wir bei Amazon nehmen die Kunden-Sicherheit äußerst ernst. Aus Sicherheitsgründen müssen Sie bei Ihrem Nutzerkonto Ihre persönlichen Daten bestätigen. Bis dahin wurde Ihr Nutzerkonto eingeschränkt.
Diese Sicherheitsmaßnahme schützt Sie vor Missbrauch durch Dritte.
Bei der Bestätigung müssen Sie alle nötigen Informationen zu Ihrem Nutzerkonto und Zahlungsdaten eintragen, da Sie sonst nicht mehr in der Lage sind, weitere Einkäufe durchzuführen.
Klicken Sie auf den unten angezeigten Link und folgen Sie den Anweisungen.
Wird festgestellt, dass Sie falsche Informationen / falsche Zahlungsdaten eingeben oder diese Bestätigung ignorieren, wird Ihr Nutzerkonto vollständig gesperrt und Sie an unsere Sicherheitsabteilung gemeldet.
Weiter (über den Sicherheitsserver)
Nach der Bestätigung wird Ihr Account reaktiviert.
Wir danken Ihnen für Ihr Verständnis.
Mit freundlichen Grüßen
Ihr Amazon Kundenservice
Dies ist eine automatisch versendete Nachricht. Bitte antworten Sie nicht auf dieses Schreiben, da die Adresse nur zur Versendung von E-Mails eingerichtet ist."

Das ist mal wieder der Versuch an die Zugangsdaten von Amazon Konten zu gelangen. Es wird wirklich immer professioneller, die Optik, die Rechtschreibung und Grammatik. Man muss wirklich vorsichtig sein. Viele Internetnutzer wissen immer noch nicht, dass weder Amazon, noch irgend ein anderer seriöser Dienst solche E-Mails nie verschickt. Der Link führt zum URL-Verkürzer h**p://bit.ly/redirekt-konto und von dort weiter zu h**p://amazon.de.konto-45950123.de/810029/de/bestatigen

Den Domaininhaber habe ich bereits informiert.

Wie immer mein rat an dieser Stelle: Ignorieren und Löschen!

paypal 06 2016

PayPal Phishing: Sie haben eine Zahlung gesendet – GambleLTD.de

paypal 06 2016"Von: PayPal [mailto:[email protected]

Gesendet: Donnerstag, 16. Juni 2016 23:46
An: [email protected]
Betreff: Sie haben eine Zahlung gesendet
Sie haben eine Zahlung gesendet Transaktionscode: 559449121
Sehr geehrter Herr mein Name,
Sie haben eine Zahlung über 269,00 EUR an GambleLTD.de gesendet.
Details zu dieser Transaktion online anzeigen
Von Ihnen gesendeter Betrag: 269,00 EUR
Gesendet am: 12. Juni 2016
Viele Grüße
Ihr Team von PayPal
Hilfe | Konfliktlösungen | Sicherheits-Center
Bitte antworten Sie nicht auf diese E-Mail. E-Mails an diese Adresse werden von uns nicht gelesen. Um mit einem Mitarbeiter unseres Kundenservice zu sprechen, loggen Sie sich in Ihr PayPal-Konto ein und klicken Sie unten auf "Kontakt".
Copyright © 1999-2016 PayPal. Alle Rechte vorbehalten.
PayPal (Europe) S.Ar.l.et Cie, S.C.A.Sitz: 22-24 Boulevard Royal, L-2449 Luxemburg
RCS Luxemburg B 118 349
PayPal-E-Mail-ID 559449121"

Hier wieder ein PayPal-Phishing Versuch. Alle Links in der Mail führen zu h**p://goo.gl/vUYUBP, welcher dann zu h**p://zahlungautorisierung.net/thiIXyaP und dan weiter zu der eigentlichen Phishing-Seite paypal.de-web39.online/public/cgi-bin/portal/web/home. Diese Seite ist sogar mit einem Comodo SSL Zertifikat „abgesichert“. Trotzdem ist das natürlich ein Betrugsversuch. Die Merkmal, zum Identifizieren sind: Fehlerhafter Zeichensatz in der E-Mail, kein HTTPS, Alle Links in der E-Mail führen zur selben Seite. Schliesslich landet man beim Web-Server paypal.de-web39.online, also der Subdomain paypal, der Domain de-web39.online – die natürlich nichts mit PayPal zu tun hat.
Wie immer gilt auch hier: Ignorieren und Löschen!