Phishing Paylife

Phishing, SCAM – „Ihre PayLife Karte ist aus Sicherheitsgründen begrenzt.“

Wieder mal eine Anfrage die sich als Phishing bzw. als SCAM entpuppt – diesmal ganz mit Österreich-Bezug und schon relativ wenigen Rechtschreib- und Grammatikfehlern…

Folgende Meldung erreicht uns und unsere Kunden wieder seit einigen Tagen:

 Betreff: Wichtig: Ihr PayLife Karte ist aus Sicherheitsgründen begrenzt.  Von: PayLife Bank GmbH Entsperren Karte aufsperren@paylife.kreditkarte.at    Sehr geehrte Mitglieder PayLife Bank,  Ihre PayLife Karte ist aus Sicherheitsgründen begrenzt.  Wir glauben, dass jemand sich mit Ihrer Karte für betrügerische Nutzung.    Um Beschränkung zu entfernen und zu sichern Ihre Karte laden Sie   bitte das beigefügte Formular aus und folgen Sie den Schritten. 
 Wenn Sie nicht abgeschlossen haben alle Schritte Ihrer Karte endgültig gesperrt werden.   Wir bedauern die Unannehmlichkeiten,   PayLife Bank GmbH  Postfach 574, 1011 Wien 

Die Schreibweise und Rechtschreibung sollte den Leser an sich schon etwas fraglich stimmen – kann eine Bank so schlecht schreiben? Natürlich nicht – es handelt sich hier um einen dreisten Phishingversuch!
Allerdings gibt es trotzdem immer wieder User die darauf hereinfallen und genau die Angst bekommen, die das Mail erzeugen soll und tatsächlich versuchen ihre Karte zu entsperren.

Danach kommt dann als Oberdreistigkeit auch noch folgendes HTML-Formular:

Phishing Paylife

Im Screenshot ist schon zu sehen, dass in unserem Beispiel das Mailprogramm bereits vor einem Phishingversuch warnt – was in diesem Fall absolut ernst zu nehmen ist. Die Eingabe der Codes und Passwörter öffnet dem Angreifer natürlich erst recht die Tür – trotzdem gibt es anscheinend immer wieder Fälle in denen User einfach Ihre Daten eingeben un diese einfach absenden.

Neben „Phishing“ gibt es eine weitere verwandte Bezeichnung für diese Mails: Sie verunsichern die meisten Empfänger und werden daher „SCAM“ (eine Kombination aus „scare“ (sich fürchten) und „SPAM“) benannt.

Der vermeintliche Absender weiß höchstwahrscheinlich gar nichts von diesem Mail und würde ein solche Mail auch nie versenden – loggen Sie sich in einem solchen Fall immer ganz ohne Link auf der Homepage des „echten“ Betreibers ein und schauen Sie, ob dort auch wirklich eine gleichlautende Meldung steht. Beim Login ist zusätzlich darauf zu achten, dass in der Browser-URL HTTPS zu finden ist und auch das Schlüssel-Symbol für eine gesicherte Verbindung aufscheint.

Bitte ignorieren Sie solche Anfragen genauso wie sie auch jede Viagra-SPAM-Mail ignorieren würden – leider rutschen solche Mails am Beginn durch die meisten Spamfilter, weil sie nicht in so großen Massen auftreten wie Spams und auch nicht eindeutig als SPAM zu klassifizieren sind.
Im besten Fall leiten Sie solche Mails an die „Abuse“-Adresse der jeweiligen Bank weiter – also z.B. abuse@paylife.at – das zeigt den zuständigen Administratoren möglicherweise dass es wieder eine neue noch nicht bekannte Welle von Phishing-Versuchen bzw. SCAM gibt, und diese können auf ihrer Homepage reagieren…

Unsere Kategorien & Produkte

 

Hosting Operating Virtualisierung Entwicklung
Produkt Matrix
Web-Hosting Komplett Operating IT-Landschaft von Linux/Windows – XEN (Std. Linux)
– Citrix-Xen Server
– Citrix App-Server
– VMWare VSphere
– Microsoft
Sprachen:
– PHP
– Java
– Perl
– Standard/Komplett (ssh/web/mail/mysql)
– Joomla/Drupal/Typo3/WordPress
– Eigenes Doku-Wiki
– OTRS

– VPN
– Vernetzung
– Firewall
– Virtualisierung
– IP-Telephonie
– Diverse CMS Produkte (Joomla, Drupal, …)
  Eigenes Framework für Sonder ERP/CRM
Mail-Hosting ERP-Systeme
 – Navision
 – SAP
 – Open-Z
  Web-Anbindungen & Erweiterungen für Standard-ERPs
– Standard
– Zarafa / Zimba / Exchange
– Spam/Virus + Weiterleitung
Remote Support

  Wiki-Extensions
Agenturen     Integration diverser OpenSource Produkte in beliebige andere Systeme
      Entwicklung Joomla Komponenten
DomainReselling      
       
Server Housing/Hosting      
– Hosting virtueller Server von Windows/Linux      
       

 

Domains    
20110902_defacing_h4tsa

Defacing von mehreren Kundenseiten

 

In der Nacht von 02. auf 03. September wurden mehrere Joomla-Kundenseiten auf einem unserer Server von einer Defacing-Attake des Hackes h4TsA heimgesucht.

Nahezu zeitgleich zeigten mehr als zehn Kundenseiten statt der gewohnten Startseite nur noch folgendes Bild:

20110902_defacing_h4tsa

Um ca. 07:30 haben dann die verschiedenen Benachrichtigungsmechanismen angeschlagen und das graz4u-Team hat die betroffenen Seiten identifiziert und die Daten von der Sicherung restauriert. Die betroffenen Kunden wurden informiert.

Der Hacker gehört übrigens zur Kategorie „Friendly Hacker“ der mit seinem Defacement zwar für einige Aufregung gesorgt, jedoch im Grunde bewußt so wenig wie möglich zerstört hatte.
Leider konnte bisher nicht geklärt werden, über welche Schwachstelle der Hacker in das System eindringen konnte – allerdings waren nur dezitiert Joomla-Seiten betroffen. Seiten mit anderen CMS am selben Server blieben auf unseren Servern unangetastet, eine kurze Internetrecherche ergab jedoch, dass auch zahreiche andere Seiten mit verschiedensten CMS betroffen waren.
Wir gehen trotzdem aktuell von einer neueren Joomla-Schwachstelle oder auch von einer Schwachstelle in einer zusätzlichen Komponente wie etwa JoomFish die von fast allen Seiten genutzt wird aus und raten allen Joomla-Kunden auf die neuesten Versionen up zu daten – bzw, sich mit uns in Verbindung zu setzen, sofern Sie dabei Hilfe benötigen!

citrix_serveredition_01

Citrix Fehlermeldung Lizenzabruffehler (500) nach Neuinstallation

Nach der Neuinstallation eines Citrix-Servers 4.5 unter Server 2003 kommt es beim Versuch sich als User einzuloggen zu folgender Fehlermeldung:

Lizenzabruffehler (500) Es konnte keine Lizenz vom Server (xxx) abgerufen werden

 

Weiters kommt in einer zweiten Messagebox die Meldung:

 

Anmeldung
Sie müssen über die Zugriffsberechtigung für Terminalserverbenutzer auf dem Computer
verfügen, um sich remote anmelden zu können. Standardmäßig verfügen Mitglieder der
Gruppe „Remotedesktopbenutzer" über diese Berechtigung.
Wenn Sie kein Mitglied der Gruppe „Remotedesktopbenutzer" oder einer anderen Gruppe,
die über diese Berechtigung verfügt, sind bzw. wenn die Gruppe „Remotedesktopbenutzer"
nicht über diese Berechtigung verfügt, muss Ihnen die entsprechende Berechtigung
manuell zugewiesen werden.

Allerdings wurde zuvor schon sichergestellt, dass alle Benutzer der Domain der Gruppe „Remotedesktopbenutzer“ angehören und auch die Administratoren der Domain entsprechend in diese Gruppe eingetragen.

Die selbe Frage ohne konkrete Lösungen findet man auch etwa hier:

http://www.circleofexpertise.com/forum/12-xenapp–citrix-presentation-server/43706-lizenzabruffehler-500.html
http://www.circleofexpertise.com/forum/12-xenapp–citrix-presentation-server/42556-lizenzabruffehler-500-nach-evaluierungslizenz.html

Lösung:

Es liegt möglicherweise an der Serveredition. In unserem Fall wurde bei der Installation irrtümlich die „Enterprise Edition“ gewählt, die aber nicht lizenziert ist.
In den in den Links beschriebenen Fällen ist das selbe passiert, weil z.B. zuzvor die Evaluierungslizenz und somit ebenfalls „Enterprise Edition“ eingestellt war – nach der Umstellung auf die Normallizenz „Advanced Edition“ wurde nich auf diese Version umgestellt. (Wie auch – die Fehlermeldung ist diesbezüglich üpberhaupt nicht eindeutig…)

Umstellung der Edition: Betroffenen Server in der Delivery Console auswählen, rechte Maus, „alle Aufgaben“, „Serveredition einstellen“

citrix_serveredition_01

hier wird dann die ensprechende Version gewählt und der Server rebootet. Danach funktioniert das Login ohne die oben genannten Fehlermeldungen.

citrix_serveredition_02

Tags: „citrix edition ändern“