Wie pc-welt.de meldet, werden zur Zeit stark auf den Empfänger zugeschnittene OWA E-Mails versendet, die vom Provider zu kommen scheinen.
Scheinbar stammen die E-Mails vom eigenen Mail-Provider oder sogar der eigenen Domain: Die gefälschte Absenderangabe verwendet lt. pc-welt.de "Adressen derselben Domain ..., mit Namen wie "alert", "automailer", "no-reply" und dergleichen mehr." In den Mails wird danack "stets die angeschriebene Mail-Adresse eingesetzt."
Unter Betreffs wie "A new settings file for the <Mail-Adresse> mailbox", "For the owner of the <Mail-Adresse> mailbox" oder auch "The settings for the <Mail-Adresse> were changed" wird auf Englisch behauptet, "die Konfiguration der Mailbox sei auf Grund eines Sicherheits-Updates geändert worden. Um die neuen Einstellungen zu übernehmen, möge man doch auf den Link klicken. Dieser führt zu aktuell noch aktiven Websites mit polnischen Domains (.pl), die das Aussehen von Outlook WebAccess nachahmen. Die Links sind hochgradig personalisiert. Aus den übergebenen URL-Parametern bastelt die Website eine scheinbar persönliche Web-Seite für das Opfer."
Die Links sollten auf keinen Fall angeklickt werden, um ein Laden von Schadsoftware (Ausnutzen einer Sicherheitslücke in Adobe bzw. Trojanisches Pferd) zu vermeiden. Genaueres bei pc-welt.de bzw. entwickler-magazin.de.
Quellen:
- pc-welt.de
- SANS.org
- entwickler-magazin.de