|
bösartige referrer in emails Hi, habe im Forum nach "referrer" und "account hacking" gesucht, aber nichts Passendes gefunden. Sollte es das Thema schon geben, bitte ich um einen link darauf. Danke. Dass man auf links in verdächtigen emails nicht klicken sollte, ist ja schonmal klar. Ich habe eine email eines game forums erhalten, wonach ich meinen account bestätigen soll. Konnte mich aber nicht erinnern, mich gerade iwo registriert zu haben. Die referrer sahen alle seltsam aus. Gibt es hier Experten, die das Funktionsprinzip beim unten angeführten Beispiel erklären können? (Nur vom Prinzip, ich will das nicht nachbauen!) Ein normaler referrer in emails enthält ja üblicherweise einen link a la dereferrer?redirectUrl=hxxp://...; den sehe ich aber im Beispiel aus der erwähnten email nicht: dereferrer?to=aHR0cDovL2VjaG83LmJsdWVob3JuZXQuY29tL2N0LzI3ODU3Njc3OjkwNzE5NjU1MjE6b------------------------------yYWRkN2RjNThmNGVhMzUyMmE2MzAyODpy Die Minuszeichen überschreiben zur Sicherheit die originalen Zeichen. Insgesamt sinds 83; das sind alles ASCII-Zeichen zwischen 'A' (0x41) und 'z' (0x7F). Ein regulärer link ist es offenbar nicht. Aber Schadcode (für Java z.B.) scheint es auch nicht zu sein. Kann ein "Wissender" meine Verwirrung zerstreuen? |
:hallo: der Parameter ist die URL die Base64 Codiert ist: Code: hxxp:// echo7 .bluehornet .com /ct/27857677 |
Wow, das nenne ich mal eine perfekte Anwort. Exzellent. Vielen Dank! (Jetzt muss ich nur noch rausfinden, ob das ein account hacker Angriff ist. Wenn ich mich auf der gamesite (runescape) einloggen will (also direkt, ohne Nutzung des dereferrers), will Java unbeschränkten Zugriff auf meinen PC. Ich glaub', es "hackt". Muss ich mal 'nen intensiven PC check durchführen.) edit: hmm, ja, offenbar ist bluehornet der email sender von Jagex, "they handle our messaging" trotzdem suspekt, das Ganze... |
Zitat:
Warum deaktivierst du es nicht? |
Zitat:
Als ich mich einloggen wollte, kam die message, dass ich Java aktivieren solle. (genauen Wortlaut habe ich vergessen). Also das plugin aktiviert und dann sollte ich halt die Erlaubnis für unbegrenzten Zugriff geben, was ich natürlich verweigert habe. PS: "einloggen" heisst: über "Passwort vergessen", weil ich den account vor Ewigkeiten erstellt habe und das Passwort nicht mehr kenne. edit2: ok, jetzt wird's interessant. Habe das mal über einen UNI-PC probiert (der wird jeden Morgen komplett neu aufgesetzt): Beim Passwort-Vergessen-Login erzählt mir die runescape site, nachdem ich meine email-Adresse eingegeben hab: "Für Ihr Konto liegt in unserem System keine E-Mail-Adresse vor." Interessant. Und wo hatten die dann meine email-Adresse her, um mir einen Aktivierungslink zu schicken? Und dann: "Sie müssen wenigstens ein korrektes Passwort angeben, aber wenn Sie mehrere ältere Passwörter einsenden, können wir Sie einfacher als rechtmäßigen Benutzer des Kontos bestätigen" Zum Glück verliere ich nichts, wenn ich das Konto einfach ruhen lasse. Wenn die im Eingangspost erwähnte email tatsächlich von Jagex/Runescape stammte, hätte da wohl drinngestannden, dass und warum eine Kontowiederherstellung erforderlich ist, weil sie iwelche Daten "vergessen" haben. Und nicht nur einen Account-Aktivierungslink enthalten. Kann mir jetzt noch jemand aufgrund dieser Erörterung bestätigen, dass es sich bei der email mit dem Accountaktivierungslink um einen account-Hacking-Angriff handeln muss? |
Hat dir (d)ein Virenscanner jemals Funde gemeldet? |
Bezogen auf das aktuelle "Problem"? - Nein. Werde aber mal mit 'ner aktuellen Virenscan-boot-disk booten, wenn ich wieder zuhause bin... (Ist aber auch gut möglich, dass die Aufregung unbegründet ist und Jagex nur eine etwas "unbeholfene" Kontorestauration durchführen will. Kann ja mal von der Runescape Kundenbetreuung eine Authentizitätsbestätigung besagter email erbitten.) edit: so, habe jetzt einfach den account per "If you did not create this account, please click here." gelöscht. Mal gucken, was passiert. Der referrer war hxxps://xx.xxx.de/mail/client/dereferrer?redirectUrl=hxxp://echo7.bluehornet.com/ct/--------:----------:m Das scheint ein authentischer link zu sein. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:11 Uhr. |
Copyright ©2000-2025, Trojaner-Board