Wie ich mich zu so einer Überschrift erdreisten kann?
Nun, ganz einfach:
gestern nachmittag habe ich eine Email erhalten, die für mich ganz klar als Phishing zu erkennen war.
— — —
Betreff: XING: Lucian Hevataneo möchte Sie als Kontakt hinzufügen
Von: XING <mailrobot@xing.com>
An: „meine wenigkeit“ <xxx@xxx.de>
Datum: 17-09-2009 17:44
— — —
Jo, auch die Header stimmen, diese Email ist WIRKLICH von XING versendet worden!
— — —
Sehr geehrter Herr XXX,
Lucian Hevataneo möchte Sie auf XING als Kontakt hinzufügen.
„Hallo Alexander, tolles Foto.
http://xing-download.com/400126/dcim32567.img“
Bearbeiten Sie Ihre Kontakte hier:
(http://www.)xing.com/go/contacts?reagent=systemmail/mailcontactaddnotify1
— — —
Yo, also da wollte irgendwer mit dem Namen Lucian Hevataneo mich als Kontakt hinzufügen (oder auch nicht), und nutzt die Möglichkeit, ein wenig Text mitzusenden.
Soweit so gut, jetzt aber die Problematik:
Dieses Profil war ein Fake-Profil, mit dem Ziel, möglichst vielen Leuten diese Nachricht zukommen zu lassen.
Der Link in dieser Nachricht führt auf eine sehr ähnlich klingende Domain, auf der ein ganz nettes Programm mit der Endung .img zu laden ist.
Jo, also erst mal die .img entpackt, ei gugge mal:
<assembly
xmlns="urn:schemas-microsoft-com:asm.v1"
manifestVersion="1.0">
<assemblyIdentity
name="CiaoSoftware.Ciao.Shell.Contacts"
processorArchitecture="x86"
version="5.1.0.0"
type="win32"/>
<description>Windows Shell</description>
<dependency>
<dependentAssembly>
<assemblyIdentity
type="win32"
name="Microsoft.Windows.Common-Controls"
version="6.0.0.0"
processorArchitecture="x86"
publicKeyToken="6595b64144ccf1df"
language="*"
/>
</dependentAssembly>
</dependency>
</assembly>
Ja, dann gings halt weiter mit UPX rumspielen, HEX-Editor, und den Rest könnt Ihr Euch sicher denken…
So, wenn man jetzt aber bei XING versucht, dort die Nachricht aufzurufen, dann stellt man fest, DA IS JA GAR NIX!
Es wäre aber doch besser, das Profil nicht zu löschen, sondern zu sperren, mit dem Hinweis für alle sichtbar, daß über dieses Profil kürzlich Schadsoftware versendet worden ist.
Jo, manchmal ist Sperren wirklich besser als löschen (aber nur manchmal)
Denn so haben die User nur die Möglichkeit, auf den Link zu klicken, um zu erfahren, was denn das alles ist.
Tolle Wurst von XING, hier könnte man FAIL! nicht groß genug schreiben!
Da ich aber will, daß sich da auch seitens XING was tut, sprich Userinformation oder so, war ich gestern abend noch so frei, und habe dem ach so kompetenten Helpdesk eine freundliche Nachricht zukommen lassen.
Was ich heute als Antwort (auch auf die darin enthaltenen Vorwürfe) erhalten habe, läßt nur den Schluß zu, daß es der XING AG scheissegal ist, ob die User jetzt einen infizierten PC haben oder nicht.
— — —
Sehr geehrter Herr XXXX
herzlichen Dank für Ihren Hinweis.
Wir bedauern, dass Sie mit solchen Nachrichten belästigt wurden. Diese sind
uns bekannt und wir haben bereits Gegenmaßnahmen getroffen. Bitte klicken Sie
auf keinen Fall auf den Link. Wir bitten diese Unannehmlichkeit vielmals zu
entschuldigen und wünschen Ihnen einen angenehmen Tag.
—
Für weitere Fragen können Sie auch gerne unsere Online-Hilfe nutzen.
https://www.xing.com/cgi-bin/help.fpl
Mit freundlichem Gruß aus Hamburg
Bxxxx Lxxxx
—
XING-Team
de-support@xing.com
— — —
WO BLEIBT DIE AUFKLÄRUNGSMAIL AN ALL DIE BETROFFENEN?
Wenn Microsoft soetwas macht, heulen alle rum, wenn einer der größeren SocialNetwork-Betreiber sowas macht, tja, dann isses halt so…?
Update:
für die Analysten unter Euch, die mal gucken möchten, was man sich da so runterladen würde:
klick(rar) oder klick(7z)
(eigentlich relativ lustlos zusammengestöpselt…)
Update 2:
DAS DA ist der einzige offizielle Hinweis von XING auf die Fake-Mail.
Naja, mehr war dazu ja auch nicht zu erwarten…