• Willkommen im Geoclub - dem größten deutschsprachigen Geocaching-Forum. Registriere dich kostenlos, um alle Inhalte zu sehen und neue Beiträge zu erstellen.

Schadsoftware-Verteilung durch Found-Logs?

F

Frugge

Geocacher
Es ist jetzt bereits das dritte Mal, dass mir ein Found-Log mit folgendem Wortlaut unterkommt:

I fairly enjoyed this find. Thanks
-----
Found with hints from gcpro.co.uk

Bei dem Autor scheint es sich um eine Sockenpuppe zu handeln, die quer über ganz Europa Caches loggt. Es soll wohl auf die Seite 'gcpro.co.uk' hingewiesen werden, die beim Aufruf und folgender Benutzung versucht, "Apps" auf dem Handy zu installieren.
Inwieweit es sich um Schadsoftware bzw. Phishingsoftware handeln könnte, kann ich nicht sagen, da ich mich hüten werde, etwas zu installieren ...

Weiß jemand etwas Näheres? Ähnliche Beobachtungen?

Die zitierte Logmessage stammt von 'Clifford5435' beim Cache GC25FG2 und ist vom 05.09.2015, ich erinnere mich aber auch an andere Logs ähnlicher oder gleicher Art in letzter Zeit.
 
OP
F

Frugge

Geocacher
Clements3833 schreibt bei GC1BZDG (05.09.2015):

I quite liked this find. TFTC
-----
Found with tips from gcpro.co.uk

Na, das kann ja lustig werdig, wenn da jetzt Robots die Logs verfassen ...
 
widdi

widdi

Geowizard
Ja ist Schadsoftware. Einer bei uns hat ne Sandbox getestet.

Ich suche auch Logs von vor 2-3 Monaten... da war jemand mit Fundlogs rund um den Wrdball unterwegs... aber ohne Schadsoftware.
 
K

KGE

Geocacher
Genau das selbe ist bei mir am WE auf aufgetreten.
Habe diese Log´s sang und klanglos gelöscht
 
moenk

moenk

Administrator
Teammitglied
Wenn das mal nicht amerikanische Methode ist um nun Plaintext-Logs durchzudrücken. Dient ja der Sicherheit und nur dem Schutz unserer Benutzer. Kipo und Terror, Ihr wisst schon.
 
jennergruhle

jennergruhle

Geoguru
Hach, das ist ja fast mein aktuelles Arbeitsgebiet: Security, speziell XSS (Cross-Site-Scripting).
Hier aber kann man nicht wirklich von XSS sprechen, da ja nicht was Nutzer A eingibt bei Nutzer B unmittelbar eine Aktion auslöst.

Meiner Kenntnis nach blockt Groundspeak ja externe Skripte. Und das zu Recht, es ist ja eine Angriffsmöglichkeit.
Das Mimimi von Leuten, die gerne mit Cachelistings und -Logs unglaublich tolle Dinge mit externen Skripts "designen" würden, sollte man hier tunlichst nach /dev/null (also Rundablage) verschieben.

Insgesamt ist das also eher ein klassischer Phishing-Angriff, da erst der Nutzer dazu verleitet werden muss, einen Link aufzurufen, der einem dann Dinge unterschiebt. Ein automatisierter Scan über die Logs mit Entfernung der "kriminellen" Links würde aber auch kaum etwas bringen, weil ja dann die E-Mails mit Links schon raus sind. Höchstens ein Scan vor dem E-Mail-Versand - aber dafür müsste GS ja ein Blacklist pflegen. Also alles Aufwand, der nicht getrieben wird weil er nicht die Kasse klingeln lässt.... :my2cents:
 
Netheron

Netheron

Geowizard
KGE schrieb:
Genau das selbe ist bei mir am WE auf aufgetreten.
Habe diese Log´s sang und klanglos gelöscht
Zum Vergrößern anklicken....

Die Logs erscheinen gar nicht auf der GC-Seite sonderen nur in der email-notification.
Und die lasse ich mir eh' nicht auf mein Handy schicken.
 
jennergruhle

jennergruhle

Geoguru
Ich schon, aber ich würde nicht auf die Idee kommen, einem Link in einem Log zu folgen. Der ist für mich genauso Spam wie "geloggt mit SuperTollesTool V1.2.3" oder "Bitte!! Geht auch auf meine Supitolle Blogseite!!1!!11!! Sonst stirbt ein Einhorn!!11!1!"
 
K

KGE

Geocacher
Netheron schrieb:
KGE schrieb:
Genau das selbe ist bei mir am WE auf aufgetreten.
Habe diese Log´s sang und klanglos gelöscht
Zum Vergrößern anklicken....

Die Logs erscheinen gar nicht auf der GC-Seite sonderen nur in der email-notification.
Und die lasse ich mir eh' nicht auf mein Handy schicken.
Zum Vergrößern anklicken....


Das ist so leider nicht ganz richtig
 

Anhänge

  • Unbenannt.JPG
    Unbenannt.JPG
    15 KB · Aufrufe: 784
Netheron

Netheron

Geowizard
Ah Ok - bei mir waren es Joel1300 & Isreal6488 und die sind beide schon von GC.com verarztet worden und genießen nun den Status:

Locked Member
 
jennergruhle

jennergruhle

Geoguru
Da können sie ja bei GS ein Wörterbuch der Vornamen mit vierstelligen Nummern konkatenieren und haben 99% der Accounts erschlagen... ;)
 
blackbeard69

blackbeard69

Geomaster
Wie gut, dass ich nur eine zweistellige Nummer habe!

Letztlich ist der beste Virenjäger immer noch „brain.exe“… und Danke (nicht nur) an den FRED-Eröffner, der ihn offenbar einsetzt.
 
baer2006

baer2006

Geoguru
jennergruhle schrieb:
Da können sie ja bei GS ein Wörterbuch der Vornamen mit vierstelligen Nummern konkatenieren und haben 99% der Accounts erschlagen... ;)
Zum Vergrößern anklicken....
In dem Fall hätte ich ja Riesenglück, dass "baer" kein Vorname ist :D .
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben