Nur Spam oder doch Schadsoftware? Wohl Letzteres

Bewertung:  / 1
SchwachSuper 

Ein befreundeter Cacher berichtet mir, er hätte heute Abend über das Groundspeak Message-Center eine seltsame Nachricht bekommen. Ist das nun Spam oder soll einem ein Virus untergeschoben werden?

Die Nachricht lautete: "Hey! Check out http://cacheprize.*** if you want to view all the premium caches in your area for FREE!!". Der Absender war bei ihm Elvis5660.

Bei mir läuten bei sowas immer erst mal die Alarm-Glocken. Ein unbekannter Absender, dazu noch verschiedene, ein "verlockendes" Angebot, welches voll an der Zielgruppe vorbei geht (der Empfänger ist bereits PM und kann daher die Caches eh sehen) und ein Link auf eine fremde Website.

Ich habe mir jetzt mal folgendes angeschaut:

 

Der User:

Der ist ja nigelnagelneu. Das Profil wurde heute erst angelegt (http://www.geocaching.com/profile/?guid=9d96c9d8-2793-417b-b0a4-26acd0bc18fe). Seltsamerweise gelangt man nicht zum Profil, wenn man die "Find a User"-Funktion auf der GS-Website benutzt, sondern nur über den Link in der Benachrichtigungs-E-Mail.

 Ich habe die anderen User nicht ebenfalls nachgeschaut, gehe aber davon aus, da wird es dasselbe sein.

 

Website:

Diese wurde am 07.01.2016 registriert. Also auch erst vor Kurzem. Und in Panama. Nähere Informationen werden nicht ausgegeben. Auch das macht mich stutzig. Google selber hat zu dieser Website noch keine Treffer. Ich habe dann die Site mal durch URLVoid abklopfen lassen (http://www.urlvoid.com/scan/cacheprize.***/). Hier wird mir als Ergebnis "No active threats were reported by the scanning engines. However, the website is a subdomain of the domain name xyz.UNKNOWN, make sure to scan the domain name too, so you have more info to analyze." ausgegeben. Ich gebe zu, das hier nicht einschätzen zu können. Verschleiert hier jemand die wahre URL? Ist das überhaupt möglich?

 

Sonstiges:

Ich gebe zu, viel finde ich nicht. Auch Google spuckt nicht viel aus. Auch nicht zum User. Aber ein G'schmäckle hat das für mich und ich werde die Site nicht aufrufen. Wer selber mal etwas nachforschen will, ersetzt bei der Domain die drei Sternchen durch xyz.

Während ich diesen Artikel schrieb, kam es auch bei mir an, allerdings mit dem Absender Macdonald7788. Es kamen aber bei manchem schon mehrmals diese Nachrichten, aber immer unter einem anderen Absender, mittlerweile habe ich es auch mehrfach erhalten, so daß meine Zweifel an der Seriösität stark gewachsen sind.

 

Nachtrag 09.01.2016, 21:55:

Hätte ich nicht an diesem Artikel geschrieben, sondern meine Twitter-Timeline gelesen, hätte ich mitbekommen, daß das eine ganze Welle mit Phishing-Nachrichten ist, die da derzeit rum geht. GS ist derzeit fieberhaft daran, die entsprechenden Accounts zu sperren. Dazu braucht GS aber diese Usernamen. Ihr könnt sie über das Webformular unter http://support.groundspeak.com/index.php?pg=request melden - oder uns hier in die Kommentare schreiben, wir haben da, Moe Skeeto sei Dank, gerade eine direkte Verbindung ;-)

Das Sperren verhindert aber nur das Versenden von diesem Account aus. Ein neuer Account ist grundsätzlich schnell angelegt. Und hier zeigt sich die Schwachstelle des Messaging-Centers: Jeder kann sich einen Account bei GS anlegen und dann Nachrichten versenden. Selbst die daraus generierten E-Mails, die GS dann an die Empfänger verschickt werden, zumindest bei mir, nicht vom Spam-Filter erfaßt, da der Absender ja bekannt ist - Groundspeak eben.

Kommentare   

 
# Geomoin 2016-01-10 00:08
Ergänzung zu den (dürftigen) Domaininformationen.
Interessant sind die Zeilen 10 und 11. Ganz offensichtlich wurden bereits vorbereitende Maßnahmen zur Sperrung der Domain eingeleitet:

Domain Name: CACHEPRIZE.XYZ
Domain ID: D14314275-CNIC
WHOIS Server: whois.namecheap.com
Referral URL:
Updated Date: 2016-01-07T08:16:32.0Z
Creation Date: 2016-01-07T08:16:30.0Z
Registry Expiry Date: 2017-01-07T23:59:59.0Z
Sponsoring Registrar: Namecheap
Sponsoring Registrar IANA ID: 1068
Domain Status: serverTransferP rohibited https://icann.org/epp#serverTransferP rohibited
Domain Status: clientTransferP rohibited https://icann.org/epp#clientTransferP rohibited
Domain Status: addPeriod https://icann.org/epp#addPeriod
Registrant ID: C38399880-CNIC
Registrant Name: WhoisGuard Protected
Registrant Organization: WhoisGuard, Inc.
Registrant Street: P.O. Box 0823-03411
Registrant City: Panama
Registrant State/Province: Panama
Registrant Postal Code: 00000
Registrant Country: PA
Registrant Phone: +507.8365503
Registrant Phone Ext:
Registrant Fax: +51.17057182
Registrant Fax Ext:
Registrant Email:
Admin ID: C38399874-CNIC
Admin Name: WhoisGuard Protected
Admin Organization: WhoisGuard, Inc.
Admin Street: P.O. Box 0823-03411
Admin City: Panama
Admin State/Province: Panama
Admin Postal Code: 00000
Admin Country: PA
Admin Phone: +507.8365503
Admin Phone Ext:
Admin Fax: +51.17057182
Admin Fax Ext:
Admin Email:
Tech ID: C38399886-CNIC
Tech Name: WhoisGuard Protected
Tech Organization: WhoisGuard, Inc.
Tech Street: P.O. Box 0823-03411
Tech City: Panama
Tech State/Province: Panama
Tech Postal Code: 00000
Tech Country: PA
Tech Phone: +507.8365503
Tech Phone Ext:
Tech Fax: +51.17057182
Tech Fax Ext:
Tech Email:
Name Server: NS1.PANAMASERVER.COM
Name Server: NS2.PANAMASERVER.COM
DNSSEC: unsigned
Billing ID: C38399877-CNIC
Billing Name: WhoisGuard Protected
Billing Organization: WhoisGuard, Inc.
Billing Street: P.O. Box 0823-03411
Billing City: Panama
Billing State/Province: Panama
Billing Postal Code: 00000
Billing Country: PA
Billing Phone: +507.8365503
Billing Phone Ext:
Billing Fax: +51.17057182
Billing Fax Ext:
Billing Email:
>>> Last update of WHOIS database: 2016-01-09T23:0 4:50.0Z
Antworten | Antworten mit Zitat | Zitieren
 
 
# Nuffy66 2016-01-10 10:35
Ich glaube nicht, daß der Eintrag "CLIENT TRANSFER PROHIBITED" was damit zu tun hat, daß hier jemand Maßnahmen ergriffen hat. Das scheint eher normal zu sein und in der Tatsache begründet, daß die Domain erst vor kurzem registriert wurde. Siehe dazu www.nethosting24.de/faq/questions/144/Was-bedeutet-der-Status-CLIENT-TRANSFER-PROHIBITED%3F.

Viele Grüße,
Nuffy
Antworten | Antworten mit Zitat | Zitieren
 

Kommentar schreiben

Sicherheitscode
Aktualisieren