Windows-Pishingseite endeckt!!!!

[stiifu]

Halle zusammen


Ich habe hier eine vermutung:

Diese Seite: http://windows.microsoft.com/ ist nach meiner Meinung eine sehr gut gelungene nachmachung der Offizieller MS-HP (www.microsoft.com)

1 Grund:
Wenn man auf der gefälschten Seite auf einen Download klickt der kostenlos ist, wird man auf die ofizielle Hompage weitergeleitet, abernur bei kostenlosen Downloads.


Kann mir das jemand bestätigen oder Irre ich mich?

Link kann nacher gelöscht werden oder nicht löschen damit es jeder erfährt.


(wer Rechtschreibefehler findet, darf sie behalten)

mfG

 

[Gaby Salvisberg]

Wieso sollte windows.microsoft.com eine Phishing-Seite sein? Dann müsste Microsoft sie selbst aufgesetzt haben.

Der springende Punkt ist die Domain microsoft.com. Die ist echt. Und windows.microsoft.com ist eine Subdomain davon.

Die Seite ist harmlos und sie gehört tatsächlich Microsoft. Dass man umgeleitet wird, ist doch normal. Schliesslich soll man ja auch dort landen, wo man hinwill, nämlich z.B. bei den Downloads, wenn man einen Download anklickt.

Also: Keine Panik.

Gruss
Gaby

 

[stiifu]

ICh bin nur draufgekommen, weil ich eine Mail mit so hyrogliphen-zeichen die ein einer anderen Sprache Buchstaben genannt werden, bekommen habe. Der Absender war ungültig (asdf@aofha.af) oder so und der TExt eine zeile mit diesem Link.

Hat Microsoft wirklich so was nötig?

Aber das mit der Phishingseite ist unwar^^ hab mich da verguckt.

 

[Gaby Salvisberg]

Hat Microsoft wirklich so was nötig?

Denkst du wirklich, Microsoft habe diese Mail verschickt? Hast du die Mail noch? Dann könnten wir uns den Header (die Kopfzeilen) vorknöpfen. Da lässt sich dann schon ungefähr herausfinden, aus welcher Ecke der Welt die Mail kommt.

Gruss
Gaby

 

[stiifu]

hmm ja die hätt ich glaub noch

 

[Gaby Salvisberg]

Welches Mailprogramm hast du? Falls es Thunderbird ist, kannst du die Mail anklicken und Ctrl+U drücken. Dann hast du den gesamten Quelltext inkl. Kopfzeilen. Bei anderen Mailprogrammen geht das anders. In Outlook ist es ein Rechtsklick auf die Mail und "Optionen". Unten die "Internetkopfzeilen" kopieren (Ctrl+A, Ctrl+C).

Kannst es hier in ein Posting einfügen.

Gruss
Gaby

 

[stiifu]

Received: from pop.wesma.ch (pop.wesma.ch [255.255.255.255])
by brunner-immobilien.ch with MERCUR Mailserver (v5.00.18 MTAzLTI5NDctNjQxNg==)
for <MailadresseEntschaerft@example.com>; Fri, 6 Nov 2009 10:34:15 +0100
Return-Path: <mickeytalls@hotmail.com>
X-Spam-Checker-Version: SpamAssassin 3.1.3 (2006-06-01) on www1.wesma.ch
X-Spam-Level: *
X-Spam-Status: No, score=1.5 required=6.0 tests=BAYES_00,DCC_CHECK,
DNS_FROM_RFC_ABUSE,DNS_FROM_RFC_POST,HTML_MESSAGE autolearn=no
version=3.1.3
X-Original-To: MailadresseEntschaerft@example.com
Delivered-To: pop.brunner@mail.wesma.ch
Received: from bay0-omc1-s41.bay0.hotmail.com (bay0-omc1-s41.bay0.hotmail.com [65.54.246.113])
by mail.wesma.ch (Postfix) with ESMTP id A17208A1A
for <MailadresseEntschaerft@example.com>; Fri, 6 Nov 2009 10:33:02 +0100 (CET)
Received: from BAY113-W36 ([65.54.168.136]) by bay0-omc1-s41.bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.3959);
Fri, 6 Nov 2009 01:32:57 -0800
Message-ID: <BAY113-W36A250AE28D787F0362FCAB9AF0@phx.gbl>
Content-Type: multipart/alternative;
boundary="_a45eec14-465a-47c4-b352-1454fd484b53_"
X-Originating-IP: [115.49.90.114]
From: Mickey Talls <mickeytalls@hotmail.com>
To: <MailadresseEntschaerft@example.com>
Subject: Re:Go to .... - -!
Date: Fri, 6 Nov 2009 10:32:56 +0100
Importance: Normal
MIME-Version: 1.0
X-OriginalArrivalTime: 06 Nov 2009 09:32:57.0134 (UTC) FILETIME=[1FAA5CE0:01CA5EC4]
X-UIDL: A8)!!2<8!!i9j"!%/("!
X-Envelope-To: <MailadresseEntschaerft@example.com>
X-Envelope-From: <mickeytalls@hotmail.com>

 

[Gaby Salvisberg]

Hi stiifu

Das ist keine Mail von Microsoft. Die "X-Originating IP" (ich habs oben fett markiert) deutet laut domaintools.com auf einen ADSL-Anschluss in China hin. Laut Microsoft könne man jener Headerzeile durchaus trauen, denn alle echten Hotmail-Mails müssen eine solche Zeile enthalten. Das ist die IP-Adresse des Absender-PCs.

Ich habe auch die unterste Received-Zeile markiert. Mails passieren zwischen Start- und Zielpunkt meist mehrere Server. Je weiter oben eine Received-Zeile steht, desto später ist sie hinzugekommen. In einem Mailheader kann zwar vieles gefälscht sein, aber der eigene Provider oder Server wird einen kaum anschwindeln.

Man prüft zuerst von oben nach unten, ob die Kette "X bekam die Mail von Y" lückenlos und schlüssig ist. Bei der untersten vertrauenswürdigen Zeile werden die IP-Adressen interessant. Hier ist es tatsächlich eine IP von Microsoft, aber das auch nur, weil Hotmail zu Microsoft gehört.

Post aus China - und dann noch von einem ADSL-Anschluss aus... das wird kaum von Microsoft sein. Und wenn die X-Originated-IP-Zeile gefälscht wäre, wäre das ein ziemlich doofer Fälscher, der ausgerechnet eine chinesische IP nimmt.

Was nun der "Zweck" dieser Spam-Mail war, da kann ich nur mutmassen. Wenn ein Anhang dabei war, enthält der vermutlich einen Schädling. Oder kann es sein, dass ev. in einem hier nicht sichtbaren HTML-Teil der E-Mail ganz andere Links standen? Oder dass das Wort "windows.microsoft.com" mit einer ganz anderen Adresse verlinkt war? Das müsste man in der Statuszeile (ev. Ansicht/Statuszeile) des Mailprogramms sehen, wenn man mit dem Mauszeiger über dem Link verharrt.

Vielleicht hat in China auch bloss ein Spammer-Frischling etwas geübt. Oder es war eine leere Mail, die diesen Windows-Link nur in der Signatur hatte.

Gruss
Gaby

 

[stiifu]

wahnsinn was man aus paar Buchstaben und ZAhlen herausfindet.

Und wieder was gelernt. Danke GAbi für deine Hilfe und deine kleine Unterrichtsstunde :P


LG