mkr's blog

Als Internetuser bekommt man neben Spam ja immer häufiger auch Phishing-Mails. Darunter hatte es sehr viele schlechte, auf die man kaum hereinfällt. Der Text war völlig fehlerhaft übersetzt und Links zeigten direkt auf IP-Adressen.

Heute Morgen habe ich ein recht gut gemachtes Mail bekommen, welches mir meine Kreditkartendaten entlocken wollte. Absender war "security@visa.com", der Betreff lautete: "Alert: Your Visa Credit Card Information".

Der Text:

Sie haben diese Mail erhalten, weil wir den starken Verdacht haben, dass Ihre VISA Kreditkarte in letzter Zeit missbraucht wurde. Um das Eintreten jeglicher betrügerischer Aktivitäten zu verhindern, erfordert es der Einleitung einer Untersuchung.

Per Kundenvereinbarung, Sektion 9, konnten wir sofort eine Warnung aussprechen, vorläufig außer Kraft setzen, auf unbestimmte Zeit außer Kraft setzen oder Ihre Mitgliedschaft terminieren und ablehnen unseren Service nachzukommen, wenn wir glauben, dass Ihre Aktionen finanziellen Verlust oder legale Verpflichtungen Ihnen, unseren Benutzern oder uns gegenüber verursachen könnte. Wir werden auch diese Handlungen durchführen, wenn wir nicht in der Lage sind jegliche Informationen die Sie uns liefern nachzuprüfen oder zu authentifizieren.

Wenn Ihr Benutzerkonto in den nächsten 72 Stunden nicht aktualisiert wird, vermuten wir, dass es sich voraussetzen um einen Kreditkartenbetrug bei Ihnen handelt, woraufhin Ihre Karte außer Kraft gesetzt wird. Wir entschuldigen uns für diese Unannehmlichkeit, jedoch bezweckt diese Verifikation, dass Ihr VISA Konto nicht für betrügerische Zwecke missbraucht wird und um Betrug zu bekämpfen.

Bitte scannen Sie dir folgenden Dokumente ein und fügen diese einer Email an folgende Adresse hinzu: verification@visa-europe.net

- Ihre Kredit-/ Kundenkarte (Vorder- und Rückseite)
- Ihre Kredit-/ Kundenkarten Abrechnung oder Nutzungsrechungen (Strom, Telefonrechnung)
- Eine gültige Photo ID (Beispiel: Reisepass, Führerschein, etc�)

Die Vervollständigung aller in der Checkliste genannten Posten führt zu einer automatischen Behebung Ihrer Kreditkarte.

Danke für Ihre bereitwillige Aufmerksamkeit in dieser Angelegenheit. Bitte haben Sie Verständnis, dass es sich hierbei um eine Sicherheitsmaßnahme handelt, die Sie und Ihr Konto beschützen soll.

Mit freundlichen Grüßen

Sicherheitsabteilung
Visa Card, Inc Schweiz

Positiv:

- recht fehlerfreier, deutscher Text
- bezieht sich auf die Schweiz
- Kreditkartennummer soll an eine Mailadresse geschickt werden, kein HTTP-Link. So schlagen die Phishing-Filter neuerer Browser keinen Alarm.
- die Webseite "visa-europe.net" leitete auf die Schweizer Seite der Viseca weiter (jetzt ist die Seite nicht mehr erreichbar)
- die Domain "visa-europe.net" ist auf die Firma "Western Union" registriert

Die Phisher haben aber auch einige Fehler gemacht:

- im Mailheader taucht die Domain "account-register.com" auf, das sieht recht verdächtig aus
- im Mailheader steht "X-PHP-Script: visa-europe.net/mail/index.php", unter der Adresse hat sich heute Morgen ein "Guerilla Mailer" zum Massenmailversand gemeldet
- eine Bank fragt nie nach solchen Daten per Mail, wirklich nie

Grösster Fehler: Ich besitze gar keine Visa-Card.

Wie wahrscheinlich viele Admins, die im KMU-Bereich tätig sind, werde auch ich dazu "genötigt", Exchange als Mailserver im Internet einzusetzen. Die Version 2003 läuft aber eigentlich ganz gut, zumindest für die Verwendung in kleineren Unternehmen. Schon seit einiger Zeit bin ich ein nerviges Problem am analysieren: Seit der Installation von SP2 für Windows 2003 verschwinden Mails manchmal einfach, wenn deren Empfänger Greylisting verwenden. Im SMTP-Log taucht ein Zustellversuch auf, der fehlschlägt. Die "Nachrichtenverfolgung" meldet, das Mail sei erfolgreich zugestellt worden. Auch in der Warteschlange ist es nicht zu finden.

Gestern habe ich über die SwiNOG-Mailingliste erfahren, dass es sich dabei um einen Bug im SMTP-Dienst handelt. Das Problem tritt auf, wenn während dem SMTP-Dialog ein 4xx Fehler gemeldet wird (wie es unter anderem Greylisting macht). Manche Mails verschwinden dann einfach.

Die Mails werden nach einem Neustart des SMTP-Dienstes erfolgreich zugestellt, sie sind also nicht verloren.

Temporäre Lösung bis zum Erscheinen eines Patchs: den SMTP-Dienst täglich (oder bei Bedarf häufiger) neu starten.

Referenz: Exchange 2003 SP2 Greylisting bug - survey - microsoft.public.exchange.admin | Google Groups