Phishing/Spam-Mails getarnt als Twitter- bzw. YouTube-Benachrichtigungen [Update]

Spam als Twitter-Meldung

Spam als Twitter-Meldung

Ich weiß nicht genau ob die Phishing-Mails, die heute bei mir gelandet sind, wirklich eine neue Masche sind. Aber ich hatte sie heute zum ersten Mail in meiner Mailbox.

Die erste Mail kam angeblich von Twitter und sah aus wie eine der Benachrichtungsmails, die man beim Erhalt einer Direktnachricht bekommt. Stutzig machte mich bei der Mail zunächst einmal, das ich den Absender nicht kannte und der Versand von Direktnachrichten nur zwischen Personen möglich ist, die sich gegenseitig folgen. Das zweite, das mich stutzig machte, war die Mail-Adresse, an der diese Nachricht geschickt wurde. Ich habe mich bei Twitter - wie auch bei allen anderen ähnlichen Diensten - mit einer anderen Adresse registriert.

Jetzt war ich natürlich neugierig und wollte mal sehen, was sich hinter den Links in der Mail verbarg. Schon beim Drüberfahren mit der Maus war ersichtlich, das sie nicht von Twitter selbst kamen. Da ich nicht wissen konnte, wo ich landen würde und natürlich bei solchen Mails immer die Gefahr besteht, sich einen Trojaner oder einen Virus einzufangen, verwende ich für derartige Analysen immer eine virtuelle Maschine mit Linux.

Also die Maschine gestartet, dort die Mail geöffnet und die Links angeklickt: kein Trojaner sondern eine Website mit russischer Domain, auf der Viagra verkauft wird. In diesem Fall vermutlich nichts gefährliches, sondern nur nervend. Aber wer weiß schon, was sich beim nächsten Mal hinter einer solchen Mail verbirgt.

Spam als Youtube-Nachricht

Spam als Youtube-Nachricht

Während ich noch die vorgebliche Twitter-Mail untersuchte, kam eine neue Benachrichtigungsmail. Dieses Mal angeblich von YouTube. Interessanterweise mit dem selben Text wie die angebliche Twitter-Meldung. Klickt man die Links in dieser Mail an, so landet man auf der selben Verkaufsseite für Viagra wie bei der der Twitter-Mail.

Beide Spam-Mails scheinen also von der selben Quelle zu stammen. Verschickt wurden sie von Servern aus Spanien, Brasilien und den USA. Vermutlich gekaperte Rechner. Auffällig ist, dass sie wirklich perfekt gemacht sind und exakt so aussehen wie die Originale. Anders als sonst bei dieser Art von Mails sind nicht einmal Schreibfehler zu finden.

Bei einer weiteren vorgeblichen YouTube-Nachricht sprang dann auch der Phishing-Filter in Outlook an und warnte mich.

Auch wenn die Mails dieses Mal harmlos waren, kann ich ich doch nur noch einmal davor warnen die Links in solchen Benachrichtigungsmails anzuklicken, selbst wenn sie sich nicht vom Original unterscheiden. Ich fahre immer zunächst mit der Maus über die Links und schaue dann nach, wo sie wirklich hinzeigen (diese Funktion ist in jedem Mail-Client verfügbar). Wenn der Link von einem Linkverkürzer wie bit.ly oder anderen kommt, ist schon mal Vorsicht geboten, da man nicht sofort sehen kann, wo sie wirklich herkommt. In diesem Fall nicht anklicken, sondern die Website aufsuchen, wo die Mail angeblich herkommt und dort prüfen ob man wirklich eine Nachricht bekommen hat.

Ich würde auch empfehlen, sich mehrere Mailadressen zuzulegen (kostet ja nichts) und z.B. für die Registrierung bei Diensten wie Twitter, YouTube, Facebook eine separate Adresse zu verwenden. Erst Recht sollte man für irgendwelche Registrierung oder für die Teilnahme an Gewinnspielen (mindestens) eine spezielle Adresse verwenden, da hier die Gefahr groß ist, das die Adresse bei irgendwelchen Spam-Versendern landet.

Update 26.02.2012: Nach Twitter und YouTube kam jetzt eine Mail mit einer angeblichen Einladung zu Dropbox. Der Link ging zu einer kanadischen Website, auf der Medikamente verkauft werden. Die Mail selber ist wie bei den anderen täuschend echt und der Outlook-Phishing-Filter hat nicht reagiert.

comments powered by Disqus