Phishing!!!

Engel Eiskalt · 24.04.2014

Mein G - DATA schlug sofort beim öffnen der Mail "Bigfarm wird 25" mit folgendem Inhalt an:

VIRENALARM

Phishing beim Öffnen von Web-Seiten gefunden.

Adresse: http://link.goodgame.com/img/ ......
Status: Der Zugriff wurde verweigert.

Bitte um Erklärung! Danke

harryklein (DE1) · 24.04.2014

sehr schön, das der link, vor dem dein virenprogramm, warnt hier ins forum gestellt wird^^

Engel Eiskalt · 24.04.2014

Na also wer dann noch aus Neugier draufklickt ....8)
Habs geändert...
Wollte ja das die Macher von BIGFARM gucken können was da faul ist ...in diesem Link...daher die volle Adresse....

Arec (DE1) · 24.04.2014

Phishing bedeutet ja "nur" dass man dazu verleitet werden soll, auf einer (falschen) Seite Zugangsdaten einzugeben - viele Warnprogramme sind allerdings so scharf eingestellt, dass sie bei jeder Mail einen Phishing-Verdacht aussprechen, in der ein Link zu einer Loginmaske ist
und so ein Link ist in der Mail nunmal (den man allerdings gar nicht nutzen muss wenn man sowieso das Spiel auf hat und dort direkt auf den Paymentshop klickt)

Engel Eiskalt · 24.04.2014

Ich hab den Gdata schon seit zig Jahren (liegt im 2 stelligen Bereich) und es war das erste mal das er mir eine Pishingwarnung angezeigt hat und ich bin nicht nur bei Goodgame registriert

und bekomme somit auch öfters solche Mails.... Es war auch nicht die erste Mail von Goodgame ...

Baphomed · 24.04.2014

Lieber Engel,

du bekommst eine 403 Meldung, das ist kein Phishing sondern ein Scanfehler Code. Das heißt dein G-Data ist nicht richtig eingestellt. Da er diesen Link mit den Aktuellen Einstellungen nicht scannen kann.

Dies wird dir in der Zukunft immer öfter Passieren, wenn du deine Einstellungen nicht anpasst oder anpassen lässt.

Code 403:

Die Anfrage wurde mangels Berechtigung des Clients nicht durchgeführt. Diese Entscheidung wurde – anders als im Fall des Statuscodes 401 – unabhängig von Authentifizierungsinformationen getroffen, auch etwa wenn eine als HTTPS konfigurierte URL nur mit HTTP aufgerufen wurde

[Deleted User] · 24.04.2014

dadurch es im http://link.goodgame.com/img/ - Ordner liegt, nehme ich mal an es handelt sich um ein Bild welches möglicherweise mit nem Exploit versehen war oder verlinkt wurde...

GDATA hat mit der neuen Scan-Engine zwar massig an Erkennungsrate zugelegt, aber davon sind auch ziemlich viele Fehlalarme. :S

Ein Screenshot wäre güntig um den Fall zu analysieren

Darfst mir den kompletten Link auch gern via PN schicken

Baphomed · 24.04.2014

Hallo Keksbix,

schaue dir mal den Quellcode der E-Mail an, da findest du den Link, und auch sobald du Ihn gefunden hast warum G-Data diesen Link Prüft und nicht den Link der Angeklikt wird um zum einlösen des code zu kommen.

G-Data macht hier einen Reihenfolge Fehler in der Prüfroutine weil Falsch eingestellt. Hab den Fehler Simuliert nachdem Arec mich auf diesen Strang aufmerksam gemacht hat ( Nochmal Danke)

Auf Bitte von einigen:

G-Data versucht ein Bild zu Prüfen und nicht den Link der dem Bild Hinterlegt wurde der zur einlogseite von GGS führt, ich hoffe das war jetzt Verständlich?

[Deleted User] · 24.04.2014

gefunden.
Aber mir erschließt sich einfach nicht der Sinn der Grafik.

es ist ein gif von einer Größe von 1x1px
es ist völlig nutzlos außerhalb des HTML-DOM's und damit nicht valid(!)
Was tut es oder soll es darstellen?

Das GDATA rummeckert weil die Grafik Fehler enthält ist dann doch n bissl affig, aber besser es blockt unbekannte Dinge, als alles zuzulassen ^^

Baphomed · 24.04.2014

Keksbix schrieb: »

gefunden.
Aber mir erschließt sich einfach nicht der Sinn der Grafik.

Das GDATA rummeckert weil die Grafik Fehler enthält ist dann doch n bissl affig, aber besser es blockt unbekannte Dinge, als alles zuzulassen ^^

Ja ist Affig, aber so ist G-Data eben, mehr kann man dazu nicht sagen.

Dazzle · 25.04.2014

Bitte überprüft immer den Absender der E-Mail, wenn ihr eine Phishing-Warnung angezeigt bekommt. Sofern die E-Mail von folgendem Absender stammt, ist alles in Ordnung:

Viele Grüße

Emmi07 (DE1) · 25.04.2014

Engel Eiskalt schrieb: »

Na also wer dann noch aus Neugier draufklickt ....8)
Habs geändert...
Wollte ja das die Macher von BIGFARM gucken können was da faul ist ...in diesem Link...daher die volle Adresse....

wäre wohl ein Fall für den Support...etwas ungeschickt den Link einzustellen, da ich nicht wissen möchte, wieviel ihn anclicken...
ich kann allerdings deine Intension auch verstehen!
LG

Engel Eiskalt · 25.04.2014

Keksbix schrieb: »

gefunden.

aber besser es blockt unbekannte Dinge, als alles zuzulassen ^^

Find ich auch... der blockt halt auch schon auf den leisesten Verdacht hin. Nicht umsonst Testsieger Stiftung Warentest 2014 (7.mal in Folge)
Und wenn sich da in dem Bild etwas befindet das da nicht hingehört ... dann meckert er ja zu recht

Auf den Link hab ich nicht geklickt gehabt, ich klicke nicht auf Links in Mails egal von welcher Seite

Vielen Dank Euch, das ihr Euch die Mühe gemacht habt und geschaut habt was da los ist

Flederfalle (DE1) · 25.04.2014

Dazzle schrieb: »

Bitte überprüft immer den Absender der E-Mail, wenn ihr eine Phishing-Warnung angezeigt bekommt. Sofern die E-Mail von folgendem Absender stammt, ist alles in Ordnung:

Viele Grüße

Ja, latürnich. Das funktioniert prima in einer Welt, in der man Absender-Adressen nicht fälschen kann. 8)

Nafaru · 25.04.2014

Hallo zusammen,

vielen Dank für eure Analyse.

Ich gebe mal an unser Marketing Team weiter, dass sich dieses .gif aus dem html-body herausgeschlichen hat und G-Data damit unheimlich wütend macht.

Bis dahin kann ich euch aber entwarnen. Es handelt sich dabei um keinen Phishing-Versuch un die E-Mail ist tatsächlich echt und bis auf den kleinen Fehler funktionstüchtig. ^^

Liebe Grüße,
Steffi

Phishing!!!

Kommentare