Nur Spam oder doch Schadsoftware? Wohl Letzteres
Ein befreundeter Cacher berichtet mir, er hätte heute Abend über das Groundspeak Message-Center eine seltsame Nachricht bekommen. Ist das nun Spam oder soll einem ein Virus untergeschoben werden?
Die Nachricht lautete: "Hey! Check out http://cacheprize.*** if you want to view all the premium caches in your area for FREE!!". Der Absender war bei ihm Elvis5660.
Bei mir läuten bei sowas immer erst mal die Alarm-Glocken. Ein unbekannter Absender, dazu noch verschiedene, ein "verlockendes" Angebot, welches voll an der Zielgruppe vorbei geht (der Empfänger ist bereits PM und kann daher die Caches eh sehen) und ein Link auf eine fremde Website.
Ich habe mir jetzt mal folgendes angeschaut:
Der User:
Der ist ja nigelnagelneu. Das Profil wurde heute erst angelegt (http://www.geocaching.com/profile/?guid=9d96c9d8-2793-417b-b0a4-26acd0bc18fe). Seltsamerweise gelangt man nicht zum Profil, wenn man die "Find a User"-Funktion auf der GS-Website benutzt, sondern nur über den Link in der Benachrichtigungs-E-Mail.
Ich habe die anderen User nicht ebenfalls nachgeschaut, gehe aber davon aus, da wird es dasselbe sein.
Website:
Diese wurde am 07.01.2016 registriert. Also auch erst vor Kurzem. Und in Panama. Nähere Informationen werden nicht ausgegeben. Auch das macht mich stutzig. Google selber hat zu dieser Website noch keine Treffer. Ich habe dann die Site mal durch URLVoid abklopfen lassen (http://www.urlvoid.com/scan/cacheprize.***/). Hier wird mir als Ergebnis "No active threats were reported by the scanning engines. However, the website is a subdomain of the domain name xyz.UNKNOWN, make sure to scan the domain name too, so you have more info to analyze." ausgegeben. Ich gebe zu, das hier nicht einschätzen zu können. Verschleiert hier jemand die wahre URL? Ist das überhaupt möglich?
Sonstiges:
Ich gebe zu, viel finde ich nicht. Auch Google spuckt nicht viel aus. Auch nicht zum User. Aber ein G'schmäckle hat das für mich und ich werde die Site nicht aufrufen. Wer selber mal etwas nachforschen will, ersetzt bei der Domain die drei Sternchen durch xyz.
Während ich diesen Artikel schrieb, kam es auch bei mir an, allerdings mit dem Absender Macdonald7788. Es kamen aber bei manchem schon mehrmals diese Nachrichten, aber immer unter einem anderen Absender, mittlerweile habe ich es auch mehrfach erhalten, so daß meine Zweifel an der Seriösität stark gewachsen sind.
Nachtrag 09.01.2016, 21:55:
Hätte ich nicht an diesem Artikel geschrieben, sondern meine Twitter-Timeline gelesen, hätte ich mitbekommen, daß das eine ganze Welle mit Phishing-Nachrichten ist, die da derzeit rum geht. GS ist derzeit fieberhaft daran, die entsprechenden Accounts zu sperren. Dazu braucht GS aber diese Usernamen. Ihr könnt sie über das Webformular unter http://support.groundspeak.com/index.php?pg=request melden - oder uns hier in die Kommentare schreiben, wir haben da, Moe Skeeto sei Dank, gerade eine direkte Verbindung ;-)
Das Sperren verhindert aber nur das Versenden von diesem Account aus. Ein neuer Account ist grundsätzlich schnell angelegt. Und hier zeigt sich die Schwachstelle des Messaging-Centers: Jeder kann sich einen Account bei GS anlegen und dann Nachrichten versenden. Selbst die daraus generierten E-Mails, die GS dann an die Empfänger verschickt werden, zumindest bei mir, nicht vom Spam-Filter erfaßt, da der Absender ja bekannt ist - Groundspeak eben.
{jcomments on}