AdWords Phishing

[profo]

Hallo zusammen,

ich will kurz eine Warnung von JoJo weitergeben: Achtung: Google AdWords Phishing Versuch

Offenbar haben die Phisher nun auch die Webmaster für sich entdeckt. Ich dachte zuerst, dass es wohl eine "schwierige" Zielgruppe ist, aber natürlich gibt es unter den Adwords-Kunden auch viele technische Laien, die ihre Stärken im Marketing oder dergleichen haben.

Also, bei merkwürdigen Mails mit dem Tenor: "Please Update Your Billing Information", "Your AdWords Google Account is stoped", "Account Reactivation" die übliche Vorsicht walten lassen.

 

[Duvi]

hab gestern auch so eine mail bekommen. phishing war leicht zu erkennen:

QUOTE
... please sign into your AdWords account at
<a href="http://adwords.google.com.session932.cn/select/Login/" target="_blank">https://adwords.google.com</a>, and update your billing information. ...



das für mich erstaunliche: ich wollte mir dann die seite mal aus neugier anschauen. und siehe da, die seite ist nicht erreichbar. über einen anonymen proxy war sie dann aber erreichbar.
hab daraus geschlossen, dass es bei den providern eine ziemlich schnell reagierende task-force gibt, die solche seiten umgehend sperren!?

 

[profo]

QUOTE hab daraus geschlossen, dass es bei den providern eine ziemlich schnell reagierende task-force gibt, die solche seiten umgehend sperren!?


Entweder das (liest hier ein Provider mit und kann dazu was sagen?), oder das folgende:


QUOTE
> host -v adwords.google.com.session932.cn
Query about adwords.google.com.session932.cn for record types A
Trying adwords.google.com.session932.cn ...
Query done, 10 answers, status: no error
The following answer is not authoritative:
adwords.google.com.session932.cn 1705 IN A 85.64.54.195
adwords.google.com.session932.cn 1705 IN A 85.130.35.217
adwords.google.com.session932.cn 1705 IN A 86.126.80.28
adwords.google.com.session932.cn 1705 IN A 87.11.218.122
adwords.google.com.session932.cn 1705 IN A 79.113.70.113
adwords.google.com.session932.cn 1705 IN A 79.116.243.75
adwords.google.com.session932.cn 1705 IN A 79.117.154.230
adwords.google.com.session932.cn 1705 IN A 79.117.213.126
adwords.google.com.session932.cn 1705 IN A 79.119.0.180
adwords.google.com.session932.cn 1705 IN A 81.29.29.154




QUOTE
> whois session932.cn
Domain Name: session932.cn
ROID: 20080324s10001s70163102-cn
Domain Status: ok
Registrant Organization: gfdthy
Registrant Name: hrthhtfhrth
Administrative Email: hfgdhf@nfrujhn.cn
...
Name Server:ns1.borxl.com
Name Server:ns2.borxl.com
Registration Date: 2008-03-24 02:27
Expiration Date: 2009-03-24 02:27



Es sind ja nicht mehr einzelne Phishing-Zielseiten, sondern eine ganze Rotte. Mit kurzer Lebensdauer, und bekanntlich ständig geändert (TTL < 30 Minuten). Die Domain dazu mit Fake-Daten erst gestern reserviert, die Domain des Nameservers mit vermutlich ebenfalls Fake-Daten vor 10 Tagen. Wobei die Domain ja auch schon für sich spricht, wenn man die Borks ganz platt als Bot-Armee verstehen will...

Sprich: bei Deinem Test hast Du wahrscheinlich einfach auf unterschiedliche IP-Adressen aufgelöst, und einer der darunter agierenden Bot-PCs war platt.

 

[Duvi]

QUOTE Sprich: bei Deinem Test hast Du wahrscheinlich einfach auf unterschiedliche IP-Adressen aufgelöst, und einer der darunter agierenden Bot-PCs war platt

hab das zwar gestern abend, gestern nacht und heute morgen versucht .. aber ja! jetzt wo ich das lese und die ganze armada sehe, scheint am wahrscheinlichsten das es so war.

hab mir die seite mitlerweile angeschaut. 1:1 layout (wie erwartet) und sehr gefährlich gemacht. wenn man die seite aufruft, kann es schon zu spät sein. dann wenn man seine passwörter im browser speichert und die dann beim laden der seiten automatisch in die eingabe felder setzen läßt.

 

[faris]

QUOTE (Duvi @ Mi 26.03.2008, 01:15) wenn man die seite aufruft, kann es schon zu spät sein. dann wenn man seine passwörter im browser speichert und die dann beim laden der seiten automatisch in die eingabe felder setzen läßt.

Firefox geht bei den gespeicherten Passwörtern nach dem Host

D.h., hier werden keine Daten automatisch ausgefüllt.