Zurück   Trojaner-Board > Web/PC > Alles rund um Mac OSX & Linux

Alles rund um Mac OSX & Linux: Ist Klick auf diesen Link in verdächtiger E-Mail als kompromittierend einzustufen?

Windows 7 Für alle Fragen rund um Mac OSX, Linux und andere Unix-Derivate.

Antwort
Alt 05.12.2013, 12:03   #1
Daedalossi
 
Ist Klick auf diesen Link in verdächtiger E-Mail als kompromittierend einzustufen? - Standard

Ist Klick auf diesen Link in verdächtiger E-Mail als kompromittierend einzustufen?



Hallo,

heute ist es mir denn auch mal passiert: ein Klick auf einen Link in (sehr) verdächtiger E-Mail.
Den Anhang habe ich aber weder angeklickt noch geöffnet. Meine Frage zielt darauf, ob schon von diesem Klick auf den Link eine Gefahr ausgehen kann und ich den Rechner neu aufsetzen müsste.

Die Daten: openSUSE 12.2, Thunderbird Version 24.0, Ausführung als "Normal"-Benutzer mit den Gruppen users, lp und video.

Die betreffende Mail ist eine der typischen gefakten Paketdienst-Benachrichtigungen. Da sie zeitlich zusammenhängend mit einer aufgegebenen Bestellung reinkam, war meine Wachsamkeit leider herabgesetzt.

Habe die Mail im Vorschaumodus gesehen, aber noch keine externen Inhalte zugelassen. Stattdessen auf den Link "DHL Benachrichtigungsservice" geklickt. Es gab KEINE REAKTION, aber heißt das auch, dass nichts passiert ist?

In HTML betrachtet sieht der Link aus meiner Sicht verstümmelt aus:

<a href=3D"../derefe=
rrer?redirectUrl=3Dhttps%3A%2F%2Fnolb.dhl.de%2Fnextt-online-business%2Fgw=
%2Fevs%2FSendEmail.action" target=3D"_blank">DHL Benachrichtigungsservice=
</a>

Daraufhin habe ich einen Test vorgenommen und selbst einen ähnlichen Link in einer HTML-Datei erstellt und im Browser getestet, nach diesem Muster:

<a href=3D"n-tv.de" target=3D"_blank">NTV=</a>

Damit lande ich aber nicht auf hxxp://n-tv.de, sondern der Browser versucht den Link lokal zu dereferenzieren. So in etwa: file:///home/daedalossi/3D... Und da findet er natürlich nichts.

Deshalb hoffe ich, dass der Klick auf den Spam-Link in diesem Fall ebenfalls harmlos war. Kann das jemand bestätigen? Für einen klärenden Hinweis wäre ich sehr dankbar.



Hinweis zu meinem Rechner: ich nutze ihn gewerblich in meiner 1,25-Mann-Firma (besteht also aus meiner Wenigkeit und meiner Frau, die die Buchhaltungsunterlagen pflegt).



Anbei noch der komplette Quelltext des Mails (ohne Anhang, meine Empfängeradresse geändert):

Return-Path: <interrogatesgc2@dhl.de>
Received: from mailin55.aul.t-online.de ([172.20.27.4])
by ehead107.aul.t-online.de (Dovecot) with LMTP id i7KPNigrn1L7NQAA2OXCLA;
Wed, 04 Dec 2013 14:16:24 +0100
Received: from gateway.kinderhut.de ([217.86.225.164]) by mailin55.aul.t-online.de
with esmtp id 1VoCJS-0KrF0i0; Wed, 4 Dec 2013 14:16:22 +0100
X-Spam-Relays-Untrusted: [ ip=165.72.200.102 rdns= helo=gateway1c.dhl.com
by=mail5.getronics.com ident= envfrom= intl=0 id= auth= msa=0 ] [
ip=2.116.16.209 rdns=gb-dkgivr01.gb.dhl.com helo=gb-dkgivr01
by=gateway1c.dhl.com ident= envfrom= intl=0 id= auth= msa=0 ] [
ip=2.116.16.209 rdns= helo=gb-dkgivr01 by=gb-dkgivr01 ident= envfrom=
intl=0 id= auth= msa=0 ]
Received: from gateway1c.dhl.com ([165.72.200.102])
by mail5.getronics.com with ESMTP; Wed, 4 Dec 2013 14:16:20 +0100
Received: from gb-dkgivr01.gb.dhl.com (HELO gb-dkgivr01) ([2.116.16.209])
by gateway1c.dhl.com with ESMTP; Wed, 4 Dec 2013 14:16:20 +0100
Received: from gb-dkgivr01 ([2.116.16.209]) by gb-dkgivr01 with Microsoft
SMTPSVC(5.0.2195.6713); Wed, 4 Dec 2013 14:16:20 +0100
From: landwardto301@dhl.de
To: <daedalossi@daedalossi.de>
Date: Wed, 4 Dec 2013 14:16:20 +0100
Message-ID: <17-RBLDZ1NDVT42UWDOLV0S1SST@gb-dkgivr01.dhl.com>
Subject: DHL Paket Ihrer Sendung 304629603489
MIME-Version: 1.0
Message-ID: <UB1LY1QC26OXHSZFDUUGA2DH5YDM9V1M@kul-dc.dhl.com>
Content-Type: multipart/mixed;
boundary="----=mpoint__hswsxdpnsg_59_73_69"
X-TOI-SPAM: n;1;2013-12-04T13:16:24Z
X-TOI-VIRUSSCAN: unchecked
X-TOI-EXPURGATEID: 149288::1386162983-00001410-77926595/0-0/0-7
X-TOI-SPAMCLASS: DANGEROUS, VIRUS
X-TOI-MSGID: 6e2c9837-4629-451a-b66f-712206d21226
X-Seen: false
X-ENVELOPE-TO: <daedalossi@daedalossi.de>

------=mpoint__hswsxdpnsg_59_73_69
Content-Type: multipart/alternative;
boundary="----=_hswsxdpnsg_59_73_69"

------=_hswsxdpnsg_59_73_69
Content-Type: text/plain;
charset="windows-1250"
Content-Transfer-Encoding: quoted-printable





Sehr geehrte Kundin, sehr geehrter Kunde,die für Sie besti=
mmte Sendung 334123698513 wurde an DHL übergeben und wird voraussich=
tlich am 05.12.2013 zwischen 11:00 - 18:00 Uhrzugestellt.Weitere Info=
rmationen über den Sendungsstatus stehen Ihnen durch die direkte Sta=
tusabfrage über den folgenden Link zur Die befestigte DateiMit freun=
dlichen Grüßen,Ihr DHL TeamPS: Kennen Sie schon unser Privatkun=
denportal Paket.de? Registrieren Sie sich jetzt und profitieren Sie bei I=
hren zukünftigen DHL Paketen von unseren flexiblen Empfängerser=
vices.Diese Mail dient lediglich der Information und garantiert nicht die=
Zustellung der Sendung. Auf diese Mail kann nicht geantwortet werden. Ih=
re E-Mailadresse wird ausschließlich für die Paketankündig=
ung der oben genannten Sendung genutzt und nicht zu werblichen Zwecken ge=
speichert. Sollten Sie die Paketankündigung nicht mehr beziehen woll=
en, klicken Sie bitte hier: DHL Benachrichtigungsservice ImpressumDeutsch=
e Post AGVertreten durch den VorstandDr. Frank Appel, Vorsitz, Ken Allen,=
Roger Crook, Bruce Edwards, Jürgen Gerdes, Lawrence A. Rosen, Angel=
a TitzrathHandelsregister-Nr.: Registergericht Bonn HRB 6792, USt-IdNr.: =
DE 169838187Charles-de-Gaulle-Straße 20, 53113 Bonn=A9 2013 DHL





------=_hswsxdpnsg_59_73_69
Content-Type: text/html;
charset="windows-1250"
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=3DContent-Type content=3D"text/html; charset=3Dwindows-1=
250">
<STYLE>
jxfdv {
text-align: center;
}
</STYLE>
</HEAD>
<BODY class=3D"jxfdv">
<div class=3D"mail-content" id=3D"id50a"><!--p {
font-size: 12.0px;
line-height: 16.0px;
font-family: Arial;
}
a {
FONT-WEIGHT: normal;
COLOR: rgb(0,0,0);
TEXT-DECORATION: underline;
}
p.caption {
FONT-SIZE: 20.0px;
COLOR: rgb(217,5,17);
FONT-FAMILY: Arial;
margin: 0.0px;
}
table {
border: 0.0px;
border-spacing: 0.0px;
border-collapse: collapse;
padding: 0.0px;
}
p.footer_text {
text-align: right;
}
a.impressum {
font-size: 10.0px;
font-family: Arial;
}
a:link.impressum {
color: black;
}
a:visited.impressum {
color: black;
}
p.impressum_text {
font-size: 9.0px;
font-family: Arial;
line-height: 12.0px;
}
a.footer_link {
color: rgb(217,5,17);
font-weight: bold;
}
-->

<table cellpadding=3D"0" cellspacing=3D"0" width=3D"595">
<tbody><tr><td>

<table cellpadding=3D"0" cellspacing=3D"0" width=3D"100%">
<tbody><tr style=3D"height: 19.0px;"><td style=3D"width: 56.0px;"></td=
><td style=3D"width: 390.0px;"></td><td style=3D"width: 134.0px;"></td><t=
d></td></tr>
<tr style=3D"height: 40.0px;"><td></td><td></td><td><img alt=3D"" src=
=3D"hxxp://www.dhl.de/content/dam/dhlde/external/dhl-header.gif"></td>
</tr></tbody></table>
</td></tr>

<tr style=3D"height: 30.0px;"><td></td></tr>
<tr><td>

<table cellpadding=3D"0" cellspacing=3D"0" width=3D"100%">
<tbody><tr><td style=3D"width: 56.0px;"></td><td style=3D"width: 483.0p=
x;">
<div id=3D"content_div"><div id=3D"content_div">



<p>Sehr geehrte Kundin, sehr geehrter Kunde,</p>

<p>die für Sie bestimmte Sendung 334123698513 wurde an DHL über=
geben und wird voraussichtlich am <b>05.12.2013</b>
zwischen <b>11:00 - 18:00 Uhr</b>
zugestellt.<br>
</p>

<p>Weitere Informationen über den Sendungsstatus stehen Ihnen durch =
die direkte Statusabfrage über den folgenden Link zur Die befestigte=
Datei</p>

<p>Mit freundlichen Grüßen,<br>
Ihr DHL Team</p>


<p>PS: Kennen Sie schon unser Privatkundenportal Paket.de? Registrieren S=
ie sich jetzt und profitieren Sie bei Ihren <b>zukünftigen</b> DHL P=
aketen von unseren flexiblen Empfängerservices.</p>


<p style=3D"font-size: 8.0pt;">Diese Mail dient lediglich der Information=
und garantiert nicht die Zustellung der Sendung. Auf diese Mail kann nic=
ht geantwortet werden. Ihre E-Mailadresse wird ausschließlich fü=
;r die Paketankündigung der oben genannten Sendung genutzt und nicht=
zu werblichen Zwecken gespeichert. Sollten Sie die Paketankündigung=
nicht mehr beziehen wollen, klicken Sie bitte hier: <a href=3D"../derefe=
rrer?redirectUrl=3Dhttps%3A%2F%2Fnolb.dhl.de%2Fnextt-online-business%2Fgw=
%2Fevs%2FSendEmail.action" target=3D"_blank">DHL Benachrichtigungsservice=
</a></p>

</div>

<hr>
<b><p style=3D"font-size: 10.0px;font-family: Arial;">Impressum</p></b>
<p style=3D"font-size: 9.0px;font-family: Arial;">Deutsche Post AG<br>
Vertreten durch den Vorstand<br>
Dr. Frank Appel, Vorsitz, Ken Allen, Roger Crook, Bruce Edwards, Jür=
gen Gerdes, Lawrence A. Rosen, Angela Titzrath<br>
Handelsregister-Nr.: Registergericht Bonn HRB 6792, USt-IdNr.: DE 1698381=
87<br>
Charles-de-Gaulle-Straße 20, 53113 Bonn</p>
</div>
<p></p>
<p style=3D"line-height: 10.0px;font-size: 10.0px;font-family: Arial;text=
-align: left;"><b>=A9 2013 DHL</b></p>


</td><td style=3D"width: 56.0px;"></td></tr>
</tbody></table>
</td></tr>

<tr style=3D"height: 30.0px;"><td></td></tr>
<tr><td>
<table border=3D"0" cellpadding=3D"0" cellspacing=3D"0" width=3D"100%">
<colgroup>
<col width=3D"56px">
<col width=3D"483px">
<col width=3D"56px">
</colgroup>
<tr>
<td colspan=3D"3"><img alt=3D"" src=3D"hxxp://www.dhl.de/content/dam/dh=
lde/external/dhl-footer.gif">
</td>
</tr>
</table></td>
</tr></table>
</BODY></HTML>

------=_hswsxdpnsg_59_73_69--

Alt 06.12.2013, 01:28   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ist Klick auf diesen Link in verdächtiger E-Mail als kompromittierend einzustufen? - Standard

Ist Klick auf diesen Link in verdächtiger E-Mail als kompromittierend einzustufen?



Zitat:
Die Daten: openSUSE 12.2,
Hallo,

hört auf dir gedanken zu machen, es gibt keine E-Mail-Schädlinge für Linux die man einfach so per doppelklick starten könnte
Du hast aber offensiichtlich diesen Link angeklickt in der spam, d.h. du musst damit rechnen dass es nun noch mehr spam gibt. Über Links in Spammails sind idR unique ids, damit wollen Spammer schauen welche Mailadresse noch "intakt" ist und ob der User doof genug ist draufzuklicken.
__________________

__________________

Alt 06.12.2013, 10:12   #3
Daedalossi
 
Ist Klick auf diesen Link in verdächtiger E-Mail als kompromittierend einzustufen? - Standard

Ist Klick auf diesen Link in verdächtiger E-Mail als kompromittierend einzustufen?



Super - danke dass Du kurz draufgeschaut hast.

Ich finde es schon sehr erstaunlich, dass es für Linux nach wie vor definitiv keine solche Schadsoftware gibt. Wäre doch auch ein interessanter Markt für die Angreifer?

Nun, um einzuschätzen, was in dieser Hinsicht auf Linux geht und was nicht, fehlt mir einfach die Sachkenntnis und deswegen nochmal Dank für Deine Mühe und klare Aussage!

Gruss Daedalossi
__________________

Alt 06.12.2013, 10:51   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ist Klick auf diesen Link in verdächtiger E-Mail als kompromittierend einzustufen? - Standard

Ist Klick auf diesen Link in verdächtiger E-Mail als kompromittierend einzustufen?



Zitat:
Ich finde es schon sehr erstaunlich, dass es für Linux nach wie vor definitiv keine solche Schadsoftware gibt. Wäre doch auch ein interessanter Markt für die Angreifer?
Interessanter Markt?
Als Desktop-System kommt Linux nur auf 1-2% der Rechnern zum Einsatz. Und diese sind aufgesplittet in mehreren Distros, die sich voneinander stark unterscheiden können. Heißt, die Malware läuft einfach nicht auf allen Linux-Distros gleichermaßen. Bei Windows läuft die Malware wie sie soll und zwar von Win2000 bis Win8
Zudem kannst du auf einen Anhang rumklicken wie du willst, die Datei ist nicht ausführbar, sondern erst wenn das x-Flag gesetzt ist siehe Unix-Dateirechte ? Wikipedia
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 06.12.2013, 11:41   #5
Daedalossi
 
Ist Klick auf diesen Link in verdächtiger E-Mail als kompromittierend einzustufen? - Standard

Ist Klick auf diesen Link in verdächtiger E-Mail als kompromittierend einzustufen?



OK, verstehe - denn das x-Flag lässt sich nur in Verbindung mit dem Dateisystem setzen.

Und ich muss zugeben: dass Linux als Desktopsystem so weit abgeschlagen ist, war mir auch nicht bewusst. Hier habe ich mich gerade mal upgedatet: hxxp://en.wikipedia.org/wiki/Usage_share_of_operating_systems.

Noch schlimmer, selbst Icaza (führender Gnome-Entwickler) glaubt nicht mehr so recht an den Linux-Desktop: hxxp://www.techradar.com/news/software/operating-systems/is-the-linux-desktop-becoming-extinct--1146963.


Alt 06.12.2013, 13:20   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ist Klick auf diesen Link in verdächtiger E-Mail als kompromittierend einzustufen? - Standard

Ist Klick auf diesen Link in verdächtiger E-Mail als kompromittierend einzustufen?



Dafür ist Linux aber umso verbreiteter auf Servern (Debian, RedHat, CentOS, Suse Enterprise Linux) und auf Smartphones (Android, Ubuntu Phone)
__________________
--> Ist Klick auf diesen Link in verdächtiger E-Mail als kompromittierend einzustufen?

Alt 06.12.2013, 15:18   #7
Fragerin
/// TB-Senior
 
Ist Klick auf diesen Link in verdächtiger E-Mail als kompromittierend einzustufen? - Standard

Ist Klick auf diesen Link in verdächtiger E-Mail als kompromittierend einzustufen?



Und die werden auch angegriffen, die Server und Smartphones
__________________
Zum Schutz vor Trojanerinnen und Femaleware ist bei einem aktuellen Windows 10 die Windows-Defenderin ausreichend.

Alt 06.12.2013, 16:04   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ist Klick auf diesen Link in verdächtiger E-Mail als kompromittierend einzustufen? - Standard

Ist Klick auf diesen Link in verdächtiger E-Mail als kompromittierend einzustufen?



Vernünftige Server sind entsprechend von gescheiten UNIX-Admins abgesichert.
Und Smartphones mit ihrem Android, naja
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Ist Klick auf diesen Link in verdächtiger E-Mail als kompromittierend einzustufen?
100%, aufsetzen, bla, blank, browser, center, e-mail, file, folge, frage, html, klick, klicke, kunde, link, link angeklickt, linux, lokal, neu, nicht mehr, pakete, profi, reaktion, rechner, suse, test, tiere, version




Ähnliche Themen: Ist Klick auf diesen Link in verdächtiger E-Mail als kompromittierend einzustufen?


  1. verdächtiger Link in Browser-Chronik
    Plagegeister aller Art und deren Bekämpfung - 08.11.2015 (9)
  2. Chrome öffnet bei Klick auf Link Werbung & Werbung PopUps im Browser
    Plagegeister aller Art und deren Bekämpfung - 03.11.2015 (1)
  3. Bei jedem Klick auf einen Link öffnet sich falsche Seite
    Log-Analyse und Auswertung - 24.09.2015 (20)
  4. Link Klick öffnet zunächst eine Link Fremde Seite " Casino Werbung " " Siele Werbung " "Erotik Seiten " oder ähnliches!
    Plagegeister aller Art und deren Bekämpfung - 26.08.2015 (17)
  5. Nach Klick auf einen Link öffnet sich Werbung in einem neuen Tab (Chrome)
    Log-Analyse und Auswertung - 05.08.2015 (9)
  6. Windows 7: Verdächtiger Link in E-Mail angeklickt - Spybot Warnung
    Plagegeister aller Art und deren Bekämpfung - 15.03.2015 (15)
  7. Umleitung nach Klick auf Link in Google Suche
    Log-Analyse und Auswertung - 29.01.2015 (28)
  8. Link in verdächtiger Email angeklickt
    Plagegeister aller Art und deren Bekämpfung - 14.11.2014 (13)
  9. Werbefenster, Umleitung von Webseitenaufrufen bzw. win64/adware.adpeak.c nach Klick auf E-Mail-Attachment
    Log-Analyse und Auswertung - 27.06.2014 (9)
  10. Befürchte Trojaner durch Klick auf Phishing-Link (Win7)
    Log-Analyse und Auswertung - 23.04.2014 (7)
  11. Paypal Phishing, Link Klick, der Depp halt, und nun? :-(
    Plagegeister aller Art und deren Bekämpfung - 15.10.2013 (11)
  12. Pay Pal Phishing Mail mit Link erhalten (Link ausgeführt)
    Plagegeister aller Art und deren Bekämpfung - 08.06.2013 (9)
  13. Verdächtiger Anhang einer Mail geöffnet
    Plagegeister aller Art und deren Bekämpfung - 18.03.2013 (2)
  14. Verdächtiger Hyperlink via Mail
    Plagegeister aller Art und deren Bekämpfung - 12.07.2012 (1)
  15. Google schaltet bei Link klick auf Werbeseiten um
    Log-Analyse und Auswertung - 07.02.2012 (8)
  16. svchost frisst arbeitsspeicher, ungewollte umleitung bei klick auf link usw.
    Plagegeister aller Art und deren Bekämpfung - 17.10.2011 (3)
  17. primäre CD Schublade fährt bei Klick auf Link aus
    Plagegeister aller Art und deren Bekämpfung - 16.10.2006 (3)

Zum Thema Ist Klick auf diesen Link in verdächtiger E-Mail als kompromittierend einzustufen? - Hallo, heute ist es mir denn auch mal passiert: ein Klick auf einen Link in (sehr) verdächtiger E-Mail. Den Anhang habe ich aber weder angeklickt noch geöffnet. Meine Frage zielt - Ist Klick auf diesen Link in verdächtiger E-Mail als kompromittierend einzustufen?...
Archiv
Du betrachtest: Ist Klick auf diesen Link in verdächtiger E-Mail als kompromittierend einzustufen? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.