7. Dezember 2010 / 6 Kommentare

Post von Microsoft bekommen?

Entschuldigt die Störung. Habt ihr heute auch Post von Microsoft bekommen? Folgende Mail landete heute in meinem Posteingang:

Lieber Microsoft-Kunde,

wir freuen uns Ihnen mitteilen zu dürfen,daß wir Ihnen zum bestehenden Sicherheitsproblem bzgl. Internet Explorer 9 und Firefox 3.x einen Update-Patch bereitstellen können. Kompatibel mit Windwos XP / VISTA und Windows 7.

Ihren Patch finden Sie unter:

http://www.microsoft-updates.de/web_update.exe

oder auf http://www.microsoft-updates.de/

Update for Windows XP, VISTA, WIN7

Installation:

1. Downloaden Sie den Update-Patch

2. Update-Patch ausführen durch Doppelklick oder Rechtsklick/öffnen 3. Nach der Installation starten Sie Ihr Betriebssystem neu.

Mit freundlichen Grüßen

Steve Lipner

Director of Security Assurance

Microsoft Corp.

Der erfahrene User von heute merkt natürlich sofort, dass dies ein kläglicher Versuch ist, uns dazu zu bewegen, irgendwelche Schadprogramme auf unserem Computer zu installieren. Was genau sich hinter dem Programm web_update.exe versteckt, weiß ich nicht und will es auch gar nicht wissen. Es ist aber ganz sicher kein Sicherheitsupdate von Microsoft.

All diejenigen, die hinter dieser Mail eine lobenswerte Aktion von Microsoft für unsere Internetsicherheit sehen, sollten vielleicht mal weiterlesen.

Wer mit etwas Skepsis im Internet unterwegs ist, dem könnten an der Mail mehrere Dinge aufgefallen sein:

  1. Woher hat Microsoft meine Mail-Adresse?
  2. Warum informiert Microsoft per Mail über Sicherheitsupdates, wo es doch Windows Update seit Windows 2000 gibt?
  3. Warum sollte Microsoft einen Patch für einen Konkurenzbrowser (Mozilla Firefox) veröffentlichen?
  4. Der größte Softwarehersteller verschickt sicherlich keine Mails mit Rechtschreib- und Grammatikfehlern.

Allein diese Punkte verdeutlichen, dass hier nicht Microsoft am Werk war und das diese Mail eine plumpe Fälschung ist.

Es gibt aber noch eine andere Möglichkeit um die Echtheit einer Mail zu prüfen. Schon mal etwas von der Nachrichtenkopfzeile oder Internetkopfzeile einer Mail gehört. Diese Kopfzeile hat jede Mail. Hier wird dokumentiert, woher die Mail stammt, welchen Weg die Mail über welche Mailserver genommen hat, wann sie versandt wurde, und und und.

Ihr könnt die Kopfzeile wie folgt aufrufen (hier am Beispiel von Outlook 2010):

Öffnet die Mail mit einem Doppelklick. Klickt auf Datei und wählt dann den Button Eigenschaften

Nun seht ihr im unteren Bereich die Kopfzeile

Sieht auf den ersten Blick etwas verwirrend aus, oder?

Das Interessante ist die Herkunft der Mail. Unter dem Punkt Received tragen sich die Mailserver ein, welche die Mail durchlaufen hat. Der letzte Mailserver in der Kette steht oben. Das ist derjenige, von dem ihr die Mail abgerufen habt, also in der Regel euer Webhoster. Der letzte Received-Eintrag unten zeigt uns den Mailserver, von dem die Mail versandt wurde.

Received: from hr-cac51d326be0 (unknown [92.241.165.69])	by v21169.1blu.de (Postfix) with ESMTP	for <meine@mailadresse.de>; Tue,  7 Dec 2010 15:59:22 +0000 (UTC)

Anhand der IP-Adresse können wir nun mal schauen, ob wirklich Microsoft hinter der Mail steckt. Unter der Internetadresse

[code]http://www.utrace.de[/code]

starten wir eine Whois-Abfrage.

Mit folgendem Ergebnis:

% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: This output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '92.241.164.1 - 92.241.165.255'

inetnum:        92.241.164.1 - 92.241.165.255
netname:        NET-2x4
descr:          2x4.ru network
country:        RU
admin-c:        UDF667-RIPE
tech-c:         UDF667-RIPE
status:         ASSIGNED PA
mnt-by:         RU-WEBALTA-MNT
source:         RIPE # Filtered

person:         Pavel Ivanov
address:        Sound & Vision House, Francis Rachel Str.
address:        Victoria, Mahe, Seychelles
remarks:        ***************************************
remarks:        Virtual and shared hosting, Windows Linux FreeBSD
remarks:        Virtual private Servers (VPS/VDS), Dedicated Servers
remarks:        Protected managed hosting solutions, DDOS protection systems
remarks:        Satellite CPC/VSAT telecomunications
remarks:        Wireless links services.
remarks:        English and Russian Sales contact: ICQ 758291
remarks:        ***************************************
abuse-mailbox:  abuse@2x4.ru
remarks:        West Europe customers office & NOC
phone:          +44 20 3286 6617
remarks:        East Europe customers office & NOC
phone:          +7 495 657-90-57
mnt-by:         IDEAL-MNT
nic-hdl:        UDF667-RIPE
source:         RIPE # Filtered

% Information related to '92.241.160.0/19AS41947'

route:          92.241.160.0/19
descr:          Wahome IP's =)
origin:         AS41947
mnt-by:         RU-WEBALTA-MNT
mnt-routes:     GIGABASE-MNT
mnt-routes:     RU-WEBALTA-MNT
source:         RIPE # Filtered

Betreiber des Mailservers, von dem die Mail versandt wurde, ist 2×4.ru Network aus Russland, die offensichtlich nichts mit Microsoft zu tun haben.

Ihr seht, Gefahren lauern auch bei vermeintlichen hilfreichen Mails. Öffnet Links in Mails wirklich nur dann, wenn ihr den Absender kennt oder ihr euch sicher seit, dass der Link in Ordnung ist.

6 Kommentare

  1. Stephan sagt:

    Hi!
    Habe diese Mail direkt gelöscht.
    Ich arbeite schon seit den 80ern mit Windows. MS hat solche Aktionen noch nie durchgeführt. Wie denn auch ?
    Ich bin schon seit Anfang der 90er in den Netzen unterwegs und es gibt immer wieder Idioten die versuchen arglose Nutzer zu täuschen.
    Ich weiß wie man derlei Mails behandelt. Nur kommen mir dann immer wieder die Gedanken hoch was nicht so versierte Benutzer mit sowas anfangen.
    Im Grunde müsste man den Autor PERSÖNLICH mal mit seiner Aktion konfrontieren und ihm mal kräftig eins auf die Nase geben !

  2. Jannewap sagt:

    Gefällt mir gut, Deine Recherche und hat mir selbst zur Klarheit verholfen, dass das kein offizieller MS-Download ist.

    Ich habs trotzdem mal in einem eigenen Artikel verwurstet, da ich noch eine andere Herangehensweise an die Recherche hatte.

    Danke und bitte weiter so.
    Jannewap

  3. Stefan sagt:

    Also mal ehrlich, als unbedarfter User, schaue ich mir ggf erst mal die Webseite selbst an, bevor ich im Outlook auf Eigenschaften klicke und mir irgendwelche „kryptsichen Mailheader“ ansehe.
    Und wenn man ein solches tut, dann landet man auf einer Seite, die im Auftritt der von MS, schon sehr ähnlich ist. Das Interessante hierbei ist, dass diese Webseite einer Dame aus Leipzig gehört und nicht MS.
    Selbst wenn man den Unterzeichner der Mail überprüft, dann stellt man fest, dass Steve Lipner ein echter Mitarbeiter ist und auch im genannten Bereich tätig ist.
    Also langer Rede, kurzer Sinn, das Ding ist gut gemacht und es wird sicherlich einige weniger erfahrene Nutzer geben, die darauf hereinfallen…

  4. Klaus sagt:

    Mich irritiert die Internet Adresse – wem gehört microsoft-support.de? Die Seite sieht identisch zu der Download Seite von Microsoft aus. Dahinter verbirgt sich aber lt. nic.de
    Domaininhaber: *****
    Adresse: *****
    PLZ: *****
    Ort: *****
    Land: DE
    Wie erklärt sich das?

    • Olli sagt:

      Hallo Klaus,

      habe Namen und Anschrift des Domaininhabers unkenntlich gemacht, da ich mir nicht sicher bin, ob die Veröffentlichung zulässig ist, oder nicht. Kann ja jeder selber mal nachschauen, wer sich hinter der Domain verbirgt.

      Finde es allerdings auch etwas merkwürdig, warum die Denic einen solchen Domainnamen, der offensichtlich nichts mit Microsoft zu tun hat, an eine natürliche Person vergeben kann.

      Gruß Olli

Dein Kommentar zu diesem Artikel