• 7. Dezember 2010
  • 6
  • Sicherheit Web
  • Post von Microsoft bekommen?

    Entschuldigt die Störung. Habt ihr heute auch Post von Microsoft bekommen? Folgende Mail landete heute in meinem Posteingang:

    Lieber Microsoft-Kunde,

    wir freuen uns Ihnen mitteilen zu dürfen,daß wir Ihnen zum bestehenden Sicherheitsproblem bzgl. Internet Explorer 9 und Firefox 3.x einen Update-Patch bereitstellen können. Kompatibel mit Windwos XP / VISTA und Windows 7.

    Ihren Patch finden Sie unter:

    http://www.microsoft-updates.de/web_update.exe

    oder auf http://www.microsoft-updates.de/

    Update for Windows XP, VISTA, WIN7

    Installation:

    1. Downloaden Sie den Update-Patch

    2. Update-Patch ausführen durch Doppelklick oder Rechtsklick/öffnen 3. Nach der Installation starten Sie Ihr Betriebssystem neu.

    Mit freundlichen Grüßen

    Steve Lipner

    Director of Security Assurance

    Microsoft Corp.

    Der erfahrene User von heute merkt natürlich sofort, dass dies ein kläglicher Versuch ist, uns dazu zu bewegen, irgendwelche Schadprogramme auf unserem Computer zu installieren. Was genau sich hinter dem Programm web_update.exe versteckt, weiß ich nicht und will es auch gar nicht wissen. Es ist aber ganz sicher kein Sicherheitsupdate von Microsoft.

    All diejenigen, die hinter dieser Mail eine lobenswerte Aktion von Microsoft für unsere Internetsicherheit sehen, sollten vielleicht mal weiterlesen.

    Wer mit etwas Skepsis im Internet unterwegs ist, dem könnten an der Mail mehrere Dinge aufgefallen sein:

    1. Woher hat Microsoft meine Mail-Adresse?
    2. Warum informiert Microsoft per Mail über Sicherheitsupdates, wo es doch Windows Update seit Windows 2000 gibt?
    3. Warum sollte Microsoft einen Patch für einen Konkurenzbrowser (Mozilla Firefox) veröffentlichen?
    4. Der größte Softwarehersteller verschickt sicherlich keine Mails mit Rechtschreib- und Grammatikfehlern.

    Allein diese Punkte verdeutlichen, dass hier nicht Microsoft am Werk war und das diese Mail eine plumpe Fälschung ist.

    Es gibt aber noch eine andere Möglichkeit um die Echtheit einer Mail zu prüfen. Schon mal etwas von der Nachrichtenkopfzeile oder Internetkopfzeile einer Mail gehört. Diese Kopfzeile hat jede Mail. Hier wird dokumentiert, woher die Mail stammt, welchen Weg die Mail über welche Mailserver genommen hat, wann sie versandt wurde, und und und.

    Ihr könnt die Kopfzeile wie folgt aufrufen (hier am Beispiel von Outlook 2010):

    Öffnet die Mail mit einem Doppelklick. Klickt auf Datei und wählt dann den Button Eigenschaften

    Nun seht ihr im unteren Bereich die Kopfzeile

    Sieht auf den ersten Blick etwas verwirrend aus, oder?

    Das Interessante ist die Herkunft der Mail. Unter dem Punkt Received tragen sich die Mailserver ein, welche die Mail durchlaufen hat. Der letzte Mailserver in der Kette steht oben. Das ist derjenige, von dem ihr die Mail abgerufen habt, also in der Regel euer Webhoster. Der letzte Received-Eintrag unten zeigt uns den Mailserver, von dem die Mail versandt wurde.

    Received: from hr-cac51d326be0 (unknown [92.241.165.69])	by v21169.1blu.de (Postfix) with ESMTP	for <meine@mailadresse.de>; Tue,  7 Dec 2010 15:59:22 +0000 (UTC)

    Anhand der IP-Adresse können wir nun mal schauen, ob wirklich Microsoft hinter der Mail steckt. Unter der Internetadresse

    http://www.utrace.de

    starten wir eine Whois-Abfrage.

    Mit folgendem Ergebnis:

    % This is the RIPE Database query service.
    % The objects are in RPSL format.
    %
    % The RIPE Database is subject to Terms and Conditions.
    % See http://www.ripe.net/db/support/db-terms-conditions.pdf
    
    % Note: This output has been filtered.
    %       To receive output for a database update, use the "-B" flag.
    
    % Information related to '92.241.164.1 - 92.241.165.255'
    
    inetnum:        92.241.164.1 - 92.241.165.255
    netname:        NET-2x4
    descr:          2x4.ru network
    country:        RU
    admin-c:        UDF667-RIPE
    tech-c:         UDF667-RIPE
    status:         ASSIGNED PA
    mnt-by:         RU-WEBALTA-MNT
    source:         RIPE # Filtered
    
    person:         Pavel Ivanov
    address:        Sound & Vision House, Francis Rachel Str.
    address:        Victoria, Mahe, Seychelles
    remarks:        ***************************************
    remarks:        Virtual and shared hosting, Windows Linux FreeBSD
    remarks:        Virtual private Servers (VPS/VDS), Dedicated Servers
    remarks:        Protected managed hosting solutions, DDOS protection systems
    remarks:        Satellite CPC/VSAT telecomunications
    remarks:        Wireless links services.
    remarks:        English and Russian Sales contact: ICQ 758291
    remarks:        ***************************************
    abuse-mailbox:  abuse@2x4.ru
    remarks:        West Europe customers office & NOC
    phone:          +44 20 3286 6617
    remarks:        East Europe customers office & NOC
    phone:          +7 495 657-90-57
    mnt-by:         IDEAL-MNT
    nic-hdl:        UDF667-RIPE
    source:         RIPE # Filtered
    
    % Information related to '92.241.160.0/19AS41947'
    
    route:          92.241.160.0/19
    descr:          Wahome IP's =)
    origin:         AS41947
    mnt-by:         RU-WEBALTA-MNT
    mnt-routes:     GIGABASE-MNT
    mnt-routes:     RU-WEBALTA-MNT
    source:         RIPE # Filtered

    Betreiber des Mailservers, von dem die Mail versandt wurde, ist 2×4.ru Network aus Russland, die offensichtlich nichts mit Microsoft zu tun haben.

    Ihr seht, Gefahren lauern auch bei vermeintlichen hilfreichen Mails. Öffnet Links in Mails wirklich nur dann, wenn ihr den Absender kennt oder ihr euch sicher seit, dass der Link in Ordnung ist.

    6 Kommentare

    • Stephan sagt:

      Hi!
      Habe diese Mail direkt gelöscht.
      Ich arbeite schon seit den 80ern mit Windows. MS hat solche Aktionen noch nie durchgeführt. Wie denn auch ?
      Ich bin schon seit Anfang der 90er in den Netzen unterwegs und es gibt immer wieder Idioten die versuchen arglose Nutzer zu täuschen.
      Ich weiß wie man derlei Mails behandelt. Nur kommen mir dann immer wieder die Gedanken hoch was nicht so versierte Benutzer mit sowas anfangen.
      Im Grunde müsste man den Autor PERSÖNLICH mal mit seiner Aktion konfrontieren und ihm mal kräftig eins auf die Nase geben !

    • Jannewap sagt:

      Gefällt mir gut, Deine Recherche und hat mir selbst zur Klarheit verholfen, dass das kein offizieller MS-Download ist.

      Ich habs trotzdem mal in einem eigenen Artikel verwurstet, da ich noch eine andere Herangehensweise an die Recherche hatte.

      Danke und bitte weiter so.
      Jannewap

    • Stefan sagt:

      Also mal ehrlich, als unbedarfter User, schaue ich mir ggf erst mal die Webseite selbst an, bevor ich im Outlook auf Eigenschaften klicke und mir irgendwelche „kryptsichen Mailheader“ ansehe.
      Und wenn man ein solches tut, dann landet man auf einer Seite, die im Auftritt der von MS, schon sehr ähnlich ist. Das Interessante hierbei ist, dass diese Webseite einer Dame aus Leipzig gehört und nicht MS.
      Selbst wenn man den Unterzeichner der Mail überprüft, dann stellt man fest, dass Steve Lipner ein echter Mitarbeiter ist und auch im genannten Bereich tätig ist.
      Also langer Rede, kurzer Sinn, das Ding ist gut gemacht und es wird sicherlich einige weniger erfahrene Nutzer geben, die darauf hereinfallen…

    • Klaus sagt:

      Mich irritiert die Internet Adresse – wem gehört microsoft-support.de? Die Seite sieht identisch zu der Download Seite von Microsoft aus. Dahinter verbirgt sich aber lt. nic.de
      Domaininhaber: *****
      Adresse: *****
      PLZ: *****
      Ort: *****
      Land: DE
      Wie erklärt sich das?

      • Olli sagt:

        Hallo Klaus,

        habe Namen und Anschrift des Domaininhabers unkenntlich gemacht, da ich mir nicht sicher bin, ob die Veröffentlichung zulässig ist, oder nicht. Kann ja jeder selber mal nachschauen, wer sich hinter der Domain verbirgt.

        Finde es allerdings auch etwas merkwürdig, warum die Denic einen solchen Domainnamen, der offensichtlich nichts mit Microsoft zu tun hat, an eine natürliche Person vergeben kann.

        Gruß Olli

    Dein Kommentar