Kategorie-Archive: News

Select a news topic from the list below, then select a news article to read.

FileZilla-Version mit untergeschobenem Trojaner

Veröffentlicht am

Einem Bericht vom deutschen Heise Verlag oder bei Computerbase zufolge wurden manipulierte Binaries des FTP-Clients FileZilla, die um Spionagefunktionen ergänzt wurden über ebenfalls gefälschte Downloadseiten zum Download angeboten. Die Entwickler der trojanisierten Fassungen haben sich dabei anscheinend große Mühe gegeben, nicht aufzufallen uns spionieren Zugangsdaten zu Domains aus.

Falls Sie als graz4u-Kunde ebenfalls mit diesem beliebten Programm arbeiten, überprüfen Sie bitte Ihre Version. (Siehe Screenshot)

Filezilla mit Trojaner, Original und Fälschungen (Bild: AVAST)

Original und Fälschungen: Die Änderungen liegen im Detail. (Bild: Avast)

Auszug aus dem Heise-Bericht:

Der Virenschutz-Hersteller Avast hat manipulierte Versionen des FTP-Clients FileZilla entdeckt, welche die genutzten Zugangsdaten heimlich an einen deutschen Server übertragen. Die Fälschungen sind kaum vom Original zu unterscheiden und voll funktionsfähig.

Laut Avast werden die trojanisierten Ausgaben der FileZilla-Versionen 3.7.3 und 3.5.3 über Download-Seiten verbreitet, die optisch an die Herstellerseite angelehnt sind und auf gehackten Servern platziert wurden. Die Entwickler der trojanisierten Fassungen haben sich große Mühe gegeben, nicht aufzufallen: Genau wie das Original installieren sich die Malware-Zwillinge mit dem Nullsoft-Installer, ferner bietet sie alle von FileZilla bekannten Funktionen. Die Spionagefunktionen wurden direkt in das Binary eingebaut.

Die Malware-Versionen unterscheiden sich nur in kleinen Details vom Original: Sie wurden offenbar mit einer älteren Version von GnuTLS kompiliert, nämlich 2.8.6 statt 3.1.11. Dies zeigt FileZilla auch wahrheitsgemäß unter „Hilfe“, „Über…“ an. Dort findet sich bei einer Fälschung eine ältere SQLite-Version, bei einer anderen Variante fehlt diese Angabe ganz.

Nutzt man die Schadsoftware, überträgt Sie gesichtete Zugangsdaten per HTTP an einen Server, der laut Avast bei dem deutschen Hoster Hetzner steht. Er ist über drei russische Domains (.ru) erreichbar. Bei einem Test am Dienstagnachmittag hielten nur sieben der 50 bei VirusTotal vertretenen Virenscanner das Installationsprogramm der verseuchten Version 3.7.3 für schädlich.

Download von Filezilla

Das hier ist der offizielle Download von FileZilla!
Bitte immer nur von dieser WebSite die Software beziehen.

phishing10_bawagpsk

die PHISHING Welle reisst nicht ab…

Veröffentlicht am

phishing10_bawagpskDie im letzten Posting beschriebene Welle von Phishingmails reisst nicht ab – nahezu stündlich melden sich User mit exakt den selben Mails (Zahlenwerte, Absender und Links ändern sich, die Mail kann auch kaum als Spam geblockt werden)

Das (gefälschte) Mail der Telkom hat es am Donnerstag sogar in die ZIP2 geschaft. Auch das BMI hat durch die neue Welle eine entsprechende Warnung herausgegeben. Siehe auch hier bei Mimikama

Nun ist wie zuvor schon befürchtet die Welle auch bei Österreichischen Instituten angekommen – soeben haben wir wieder ein neues Mail aufgefangen, das in seiner Aktualität (SEPA-Umstellung), Einfachheit und guten Rechschreibung sehr zum Klick auf den mitgelieferten Link einladet:

 

 

Betreff:SEPA – UMSTELLUNG/ SICHERHEIT IM ONLINE-BANKING
Datum:Mon, 20 Jan 2014 17:39:05 +0100
Von:BAWAG P.S.K <sepa.umstellung@bawag.at>
Antwort an:sepa.umstellung@bawag.at
An:Recipients <sepa.umstellung@bawag.at>

 

BAWAG PSK
GEORG-COCH-PLATZ 2
1018 WIEN
20.01.2014

Sehr geehrter Kunde,

Wie Ihnen wahrscheinlich bekannt ist, tritt ab 01.Februar 2014 das neue SEPA-Zahlungssystem in Kraft. SEPA (Single Euro Payments Area) ist das neue vereinheitlichte Zahlungssystem, das europaweit gilt. Mit dem neuen SEPA-System werden Überweisungen nicht nur schneller und zuverlässiger, der Zahlungsverkehr wird durch dieses neue System auch sicherer.
Bitte folgen Sie den Anweisungen des untenstehenden Links:

www-bawagpsk.com/kundenservise/sepa.abteilung

Nach Vervollständigung dieses Schrittes werden Sie von einem Mitarbeiter unseres Kundendienstes zum Status Ihres Kontos kontaktiert.

Beim Online-Banking haben Sie per Mausklick alles im Griff! Mit dem komfortablen Online-Banking Ihrer BAWAG PSK haben Sie schnellen und problemlosen Zugang zu Ihrem Girokonto und erledigen Überweisungen und Daueraufträge bequem per Mausklick. Das Online-Banking bietet aber noch viele weitere Vorteile.

DIE VORTEILE DES ONLINE-BANKINGS AUF EINEN BLICK:

–     Kontozugang rund um die Uhr
–     Schneller Zugriff aufs Girokonto
–     Online-Banking bequem vom PC aus
–     Flexibel in jedem Winkel der Welt
–     Übersichtliche Kontoführung
–     Hohe Sicherheitsstandards
–     Online-Banking ist kombinierbar mit Telefon-Banking

Um diese Dienste weiterhin problemlos nutzen zu können, führen Sie bitte das Update zur SEPA-Umstellung so schnell wie möglich durch. 

Mit freundlichen Grüßen,
SEPA/e-Banking-Abteilung
BAWAG PSK

— Ende des gefälschten Mails

Die Fälschung klingt so plausibel, dass sie auf den ersten Blick wirklich kaum zu erkennen ist – einzig der Link sieht etwas komisch aus (www- statt www. und bawagpsk.com statt .at)
Fährt man mit der Maus über den Link und bleibt dort stehen, sieht man das echte Ziel (gelbes Kästchen „hghreleaser.co.uk“) – ganz sicher nicht der Link der PSK…

Banken schicken solche Links in Mails schon länger NICHT!  Siehe auch http://www.bankaustria.at/sicherheit/die-tricks-der-internet-betrueger-phishing.jsp

Wir haben im vorliegenden Fall darauf verzichtet auf den Link zu klicken, sondern das Mail nur gelöscht. Inzwischen (22.01.2014) haben wir aber bei der PSK selbst eine entsprechende Warunung und einen Screenshot gefunden, wie die Seite aussieht – siehe unten

phishing11_bawagpsk_muster

Im Zweifelsfall klicken Sie also nie auf solche Links, sondern gehen Sie einfach über ein neues Browserfenster mit einem Link aus Ihren Favoriten oder der direkten Eingabe von (z.B: www.bawagpsk.com) auf die Seite und loggen sich dort ganz normal ein.
Dann sind sie auch entsprechend sicher!

phishing04_vodafone

wieder größere PHISHING Angriffe

Veröffentlicht am

Da uns in den letzten beiden Tagen besonders viele Anfragen zu Phishing-Mails erreicht haben, wollen wir diesbezüglich nun eine allgemeine Warnmeldung herausgeben.

Die Mails waren bisher alle als Rechnungen für die „deutsche Telekom“, „Vodafone“ und die „Heidenheimer Volksbanken EG“ ausgegeben worden – es ist anzunehmen, dass noch weitere möglicherweise auch für österreichische Banken und Telefonunternehmen folgen.

Da einige unserer Kunden tatsächlich teilweise Kunden der Unternehmen sind, ist die Verlockung auf den Link zu klicken recht groß. Glücklicherweise haben viele bei uns nachgefragt, bzw. zumindest keine Daten eingegeben.
Obwohl Firmenkunden in diesem Fall wohl die besten Ziele sind, beschränken sich diese Mails keinesfalls nur auf Firmenadressen. Auch private haben sich bei uns gemeldet und zuvor bereits auf die Links geklickt. Daher könnte es leicht sein, dass Sie auch privat vermehrt ähnliche Mails bekommen.

Meist sind solche Phishingmails in besonders schlechtem Deutsch geschrieben und enthalten falsche Sonderzeichen – diesmal sind die Fälschungen aber besonders gut und nicht sofort zu erkennen!

Bitte ignorieren Sie diese Mails, bzw. löschen SIe sie.

Aktuelle Beispiele:

 

phishing04_vodafone

Fährt man mit der Maus über den Link und bleibt dort stehen, sieht man das echte Ziel (gelbes Kästchen „moiiu.ru“) – ganz sicher nicht die Telekom oder Vodafone…
(Beispiel Screenshot Outlook)

 

 

phishing03_volksbank

Fährt man mit der Maus über den Link und bleibt dort stehen, sieht man das echte Ziel (gelbes kästchen „moiiu.ru“) – ganz sicher nicht die Telekom. (Beispiel Screenshot Outlook)

 

phishing09_telekom_hints

Falls Sie andere Thunderbird verwenden, sieht man es dort ähnlich – hier z.B. unten in der Taskleiste: (pososh.ru)
Sie erkennen die Fälschungen aber auch z.B. am Absender (dieser ist nicht bei allen Mailern sichtbar und ist zumeist auch noch gefälscht – in diesem Fall aber recht gut zu erkennen) und in unserem Beispiel auch am Empfänger (Der User Mailerdeamon@graz4u erhält sicher keine Rechnungen…

(Banken schicken solche Links in Mails schon länger NICHT!) http://www.bankaustria.at/sicherheit/die-tricks-der-internet-betrueger-phishing.jsp

Haben Sie trotzdem auf einen solchen Link geklickt finden Sie unter Umständen eine solche Seite… – Bitte Achten Sie auf die URL im Header: www.makyre.com/cms/ba/index.html – das ist sicher nicht die URL der BankAustria!

bankaustria_201304

Verwirrenderweise gibt es von den Telefongesellschaften aber tatsächlich ähnliche Mails mit Direktlinks die kein Phishing sind:

phishing06_t-mobile_regular_mail

Fährt man mit der Maus auf „Zur Onlinerechnung“ sieht man ganz unten den Link https://mail.t-mobile.at/….

Dieser Link scheint sicher – Wenn Sie darauf klicken, sollten Sie sich im Browser dann  auch noch davon überzeugen, dass das Schlosssymbol geschlossen ist, und durch einen Klick daneben durch die „Websiteidentifizierung“ sicher ist, dass Sie sich auf der richtigen Seite befinden und nicht einfach auf „xy.com/t-mobile“

phishing07_t-mobile_browser

Ansicht im Internet Explorer nach einem Klick auf „zur Onlinerechnung“ und anschließendem Klick auf das Schlosssymbol:

Hier gibt es dann tatsächlich nichts dagegen einzuwenden.

Im Zweifelsfall klicken Sie aber NICHT auf den Link, sondern gehen Sie einfach über ein neues Browserfenster mit einem Link aus Ihren Favoriten oder der direkten Eingabe von (z.B: t-mobile.at) auf die Seite und loggen sich dort ganz normal ein.
Dann sind sie auch entsprechend sicher!

kurzer Ausfall Mailserver mail.graz4u.at

Veröffentlicht am

Der Mailserver mail.graz4u.at ist vor einigen Minuten ausgefallen – an dem Thema wird bereits gearbeitet.

Wir hoffen, dass es in wenigen Minuten wieder weitergeht!

User von Zimbra und Zarafa sind nicht betroffen, wie auch unsere User für die wir nur Spamprüfung und Mailweiterleitung machen.

Die vorgelagerten Eingangsserver nehmen die Mails weiterhin normal an, so dass auch nichts verloren geht, sind dadurch aber bereits überlastet, weil sie große Mengen dieser Mails nicht an den Hauptserver mail.graz4u.at weiterleiten können – dadurch kommt es leider auch in diesem Bereich zu Wartezeiten bei der Mailzustellung!

Mailserver Alle Mails zugestellt und wieder Normalbetrieb

Veröffentlicht am

Die Situation hat sich nun vollends beruhigt, alle Mails konnten zugestellt werden und die Belastung ist nun wieder im grünen Bereich.

Wir bitten alle graz4u-Kunden um Entschuldigung für den langen Ausfall bzw. die Umstände

Hier nocheinmal der Hinweis:
Da die aktuell kurzfristig verwendete Hardware jedoch für den Dauerbetrieb nicht ausreichend ist, werden wir am Wochenende nun nochmal mit dem gesamten Server siedeln – das geplante Zeitfenster ist Sa. 21.11. von 16-21h

Mit freundlichen Grüßen, Ihr grazu4u-Team

qrcode_email_support

QR-Code Scanner

Veröffentlicht am

QR-Codes sind immer stärker im Kommen und werden für ganz verschiedene Dinge eingesetzt, es sind auch spezielle Marker möglich bei denen Aktionen ausgelöst werden können. Speziell bei Handies ist es interessant komplette Kontaktdaten, Telefonnummern oder eMail Adressen zu hinterlegen. Wenn Sie Fragen haben, schicken Sie uns einfach eine Mail!

qrcode_email_support

QR-Code Scanner für Android gibt es zum Beispiel hier:
https://play.google.com/store/apps/details?id=com.google.zxing.client.android

QR-Code Scanner für Apple Produkte wie zum Beispiel iPhone gibt es hier:
https://itunes.apple.com/at/app/barcode-scanner-pro-qr-code/id426815248?mt=8&l=de

Natürlich sind die zwei Apps nur ein Vorschlag – es gibt derer wie Sand am Meer.

web-of-trust-01

Updates bei WOT (Web of Trust)

Veröffentlicht am

Das BrowserAddIn „WOT“ wurde kürzlich aktualisiert und verspricht nun noch mehr Funktionalität und noch einfachere Handhabung.

Für alle graz4u-Kunden mit eigener Homepage ist dieses AddIn deshalb interessant, weil es einiges über die Reputation der eigenen Website aussagt, bzw. diese verbessern kann. Dies betrifft also nicht die Suchmaschinenoptimierung, sondern eine mögliche Empfehlung, ob die Seite vertrauenswürdig, Kindergerecht, oder allgemeiner „eine gute Seite“ ist.

 

Wir von graz4u haben immer wieder ein Auge auf die Seiten auf unseren Servern und versuchen bei einigermaßen gegebener Qualität dies auch bei WOT für jede Seite immer mit guten Ratings unsererseits zu unterstreichen – natürlich haben auch wir nur „eine Stimme“.
Es sind uns auch schon Seiten auf unseren Servern mit schlechten Ratings untergekommen ohne dass die Seitenbetreiber davon gewusst hätten – in solchen Fällen informieren wir die Besitzer der Seiten nach Möglichkeit, bzw. ermöglichen Ihm/Ihr somit das Ergebnis zu verbessern oder den Grund für die schlechte Bewertung heraus zu finden.

Die meisten schlechten Bewertungen kamen übrigens immer wieder durch kompromittierte Seiten – oder teilweise geknackte Seiten zustande – ein weiterer Grund seine Homepage immer auf dem technisch neuesten Stand zu halten!!

Abgesehen vom Monitoring der eigenen Seite ist das Web Of Trust ein super Tool um nicht auf betrügerische Seiten reinzufallen – bei der gleichzeitigen freien Entscheidung die Seite bei Bedarf trotzdem zu besuchen, oder sogar ein positives Rating abzugeben, wenn man andere Erfahrung gemacht hat, anderer Meinung ist, oder sich die Seite in der Zwischenzeit einfach wieder geändert hat!

Beispiel beim Besuch einer Seite mit „schlechter Reputation“

web-of-trust-01

http://www.mywot.com/

Hier ein kurzes Video zum Update:

http://www.youtube.com/watch?v=KtwamDprgWM&feature=player_embedded

Wartung: WEBSERVER

Veröffentlicht am

Bei diesen beiden Servern steht für Dienstag, 13. August, ab ca 2100 Uhr eine Wartung an.
Es ist mit einer Downtime von rund 1 Stunde zu rechnen.
Wir bitten für den Ausfall um Ihr Verständnis!

Ob Ihr Hosting davon betroffen ist, finden Sie durch einen Traceroute auf Ihren Server heraus. Traceroutes können Sie z.B. auf der Webseite www.traceroute.org durchführen.
Für Österreich ist dieser Trace zuständig:  http://hax.at/trace/index.php?action=trace

Geben Sie dann im Eingabefeld einfach den Namen Ihrer Webpräsenz ein, zBsp: www.meine-domain.at
Nach dem Klick auf „GO!“ erscheint dann der gemachte Trace, sollte im Ziel WEB01.graz4u.at, WEB02.graz4u.at oder WEB03.graz4u.at vorkommen, ist Ihr VHost kurz offline. Wann genau jeder einzelne WebServer gewartet wird ist nicht genau zu sagen, der Ausfall sollte aber jeweils nur kurz sein.

Im Traceroute steht dann z.B.:

Tracing route to de02-he03-d1.graz4u.at [2a01:4f8:130:4242::20] over a maximum of 30 hops:
  1    <1 ms    <1 ms    <1 ms  2a01:4f8:130:50e0::1    2     3 ms     *        3 ms  hos-tr3.ex3k4.rz13.hetzner.de [2a01:4f8:0:13:3:a:13:4]    3    <1 ms    <1 ms    <1 ms  ns3.SIRIUS-Soft.at [2a01:4f8:130:4242::53]    4    <1 ms    <1 ms    <1 ms  web02.graz4u.at [2a01:4f8:130:4242::20] 
Trace complete.

Bei Fragen stehen wir Ihnen gerne zur Verfügung unter support@graz4u.at 

Ausfall einiger Domains wegen Einbruchs

Veröffentlicht am

Leider haben wir uns heute Nacht zu früh gefreut – der Hacker hat unseren Server web01 nochmals übernehmen können und der Server musst daher vom Rechenzentrum ein zweites Mal vom Netz genommen werden.

Wir arbeiten weiterhin an der Behebung und hoffen den Server wieder so bald wie möglich frei zu bekommen!

Mit freundlichen Grüßen, Ihr Graz4u-Team

[Update] 14:30h: Alle Domains auf Web01 sind wieder erreichbar. Es sind zwar nun nochmals weitere Einbruchstellen gefunden worden, es gab aber bisher keine Schäden.

Nachdem wir nun feststellen konnten, dass alle erkannten Einbrüche über ein nicht upgedatetes Joomla-Modul (JCE-Editor) über einen ungesicherten Admin-Link passiert sind, haben wir generell für alle Domains auf allen Servern nun vorsorglich das /administrator-Verzeichnis von Joomla aber auch spezielle Verzeichnisse von WordPress und Co. mit einem zusätzlichen User und Passwort abgesichert – somit kommen Hacker über diesen Weg vorerst nicht mehr ins System.

Wir informieren alle Kunden entsprechend über diesen Schutz bzw. das neue Passwort. (Sollten Sie es bisher noch nicht bekommen haben, bitte um kurze Info an support@graz4u.at)
Wir bitte dennoch dringend ALLE Kunden, ihre Domains regelmäßig am letzten technischen Stand zu bringen.

Ausfall einiger Domains wegen Einbruchsversuch

Veröffentlicht am

Leider mussten wir heute unseren Webserver web01.graz4u.at seit ca. 9h nach der Meldung eines Hacks vom Netz nehmen.

Wir sind derzeit noch bemüht die Einbruchstelle und die genauen Umstände zu untersuchen, bevor wir in kürze wieder Online gehen können.

Sollte Ihre Domain unter den betroffenen sein, bitten wir Sie um Entschuldigung und versichern, das Problem so schnell wie möglich zu lösen.

Mit freundlichen Grüßen, Ihr Graz4u-Team

[Update] 14h: Alle Domains auf Web01 sind wieder erreichbar, soweit wir das feststellen konnten, gab es keine Schäden.

[Update] 23h: Die Einbruchstelle wurde nun erkannt, der Kunde informiert, Kunden mit äühnlichen Systemen werden gesondert informiert, damit Sie Ihre Systeme sofort updaten können.