Krümelomat
Anmeldungsdatum: 18. Oktober 2010
Beiträge: 1055
|
Habe mit Google Chrome Version 75.0.3770.100 (Offizieller Build) (64-Bit) mit https://duckduckgo.com nach "dbpower 4k manual" gesucht und auf den Link: https://dbpower.co/ rechtsgeklickt und in einem neuen Fenster geöffnet, statt der Seite wurde mir dieser Blödsinn angezeigt: http://play2627.ammophfdh20.agency/1702222187/?utm_campaign=bKMuT7EMVXU5Z6UvvSHONGlfu-yV43iC8T8uYixAFxs1&t=main9_185a3c06910c6e75&f=1 (https://bit.ly/2LI28Mw) (Kurzlink) und nach der "Umfrage" wurde ich auf: https://personalgift.co/ umgeleitet. Dort kann ich meine Kreditkartendaten eingeben und ein sehr teures Smartphone für 2 Euro gewinnen?..oder kaufen? Später konnte ich den gewünschten Link normal öffnen ohne umgeleitet zu werden. Wie kann sowas passieren? Ist Chrome kompromittiert oder leitet dbpower seine Besucher auf Betrugsseiten um? Im Anhang die Screenshots der Betrugsseiten.
- Bilder
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5323
|
Ja, da ist die Website gehackt worden. Je nach Browser bekommst du eine jeweilige Gewinnerseite. Die Seite bekommt man aber nur zu Gesicht, wenn man von einer Suchmaschine kommt, damit der Betreiber nicht so schnell darauf aufmerksam wird, weil der meist direkt auf die Website kommt.
|
Krümelomat
(Themenstarter)
Anmeldungsdatum: 18. Oktober 2010
Beiträge: 1055
|
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5323
|
Den Fall kann ich nun nicht nachvollziehen (Mit Chromium 75.0), was aber auch nix heissen muss. Dass die Fake-Gewinne hauptsaechlich ueber Werbung gestreut werden, ist dir wahrscheinlich eh bekannt. Ansonsten kann ich in dem Fall auch kaum weiterhelfen. Um zu pruefen, ob es an deinem Chrome liegt, kannst du die lokale Konfiguration verschieben (ich weiss nicht wo die liegt, aber ich bin sicher du findest es heraus) und nochmals testen.
|
RamSpeicher
Anmeldungsdatum: 17. Juli 2009
Beiträge: 2508
|
sebix schrieb: Dass die Fake-Gewinne hauptsaechlich ueber Werbung gestreut werden, ist dir wahrscheinlich eh bekannt.
Wenn das bei Krümelomat nicht der Fall sein sollte, Hilft die Telefonziege.
|
Krümelomat
(Themenstarter)
Anmeldungsdatum: 18. Oktober 2010
Beiträge: 1055
|
Das wäre dann aber Duckduckgo der die Werbung streut oder? Oder hat sich irgendein Schadcode ins Benutzerprofil von Chrome eingeschlichen?
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5323
|
Krümelomat schrieb: Das wäre dann aber Duckduckgo der die Werbung streut oder? Oder hat sich irgendein Schadcode ins Benutzerprofil von Chrome eingeschlichen?
Moeglich, aber weniger wahrscheinlich
|
Krümelomat
(Themenstarter)
Anmeldungsdatum: 18. Oktober 2010
Beiträge: 1055
|
Neuer Tag neue Ip, ich bin direkt auf den letzten Suchlink und auf das entsprechende Ergebnis: Nichts. Dann dbpower Webseite per Link aufgerufen, nichts, dann per duckduck dbpower gesucht und die Seite geöffnet und sieheda da bin ich wieder der glückliche chrome Gewinner. Neue Ip, diesmal Firefox, duckduck nach dbpower, dbpower hompage geklickt und glücklicher firefox gewinner. Dann müsste es entweder duckduckgo sein, oder aber etwas im chrome UND firefox Benutzerprofil.
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5323
|
Woraus schliesst du, dass es an duckduckgo liegt und nicht an dbpower?
|
Krümelomat
(Themenstarter)
Anmeldungsdatum: 18. Oktober 2010
Beiträge: 1055
|
Neue Ip, Livesystem, von google.de auf dbpower.co und ich bin wieder "glücklicher Gewinner". Entweder google und duckduck schalten die selbe Betrugswerbung, oder aber dbpower.co und diese andre Seite. Ich tippe auf dbpower. Würde mich nicht wundern wenn die Chinesen Malware über ihre USB Devices unters Volk bringen, sozusagen als zusätzliche Einnahmequelle. Dass man mit dem besten Virenscanner vor Malware nicht gefeit ist beweist wie leicht man mit open source Baukästen verschlüsselte Trojaner basteln kann, welche die kein Scanner erkennt. Die sich sogar vor jedem Scanner verstecken können, obwohl dieser ihn ohne Alarm scannen könnte. Außerdem erkennen die Scanner nur die bekannten Schadcodes, der dickere Anteil könnte sehr gut unentdeckter Code sein. Ich würde sagen wir haben es verpasst wirklich verlässliche IT Systeme zu entwickeln. Stattdessen verlassen wir uns auf eine chaotische Basis, wie in allen unseren Lebensbereichen. Das ist sozusagen gesellschaftlicher Konsens und hinterher schlägt man sich auf die Stirn und beklagt: "Das hätte ja niemand vorhersehen können, das kommt ja alles aus HEITEREM Himmel!"
|
kB
Supporter, Wikiteam
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 8558
Wohnort: Münster
|
Ich kann Deine Probleme nicht reproduzieren. Ich benutze firefox. Welche DNS-Server benutzt Du? Zeige bitte: systemd-resolve --status | grep Server Möglicherweise ist deren DNS-Cache vergiftet. Oft wird der eigene Router als Forwarding-DNS-Server benutzt. Lösche dessen Cache, indem Du den Router von der Stromversorgung trennst und neu startest.
|
Krümelomat
(Themenstarter)
Anmeldungsdatum: 18. Oktober 2010
Beiträge: 1055
|
systemd-resolve --status | grep Server
DNS Servers: 192.168.1.1 Danke das ist ein interessanter Beitrag, ich nutze Alice DLS von O2 und deren o2 HomeBox 6641, die sich automatisch einrichtet und wohl auch den DNS Server zuweist. In Ubuntu kann ich zusätzliche DNS Server bei der Netzwerkverbindung eintragen, kann man so das Problem umgehen? Welcher DNS Server wäre zu empfehlen? Bei der Homebox gibt es den Reiter "Internet - DynDNS-Konten, bis zu 16 Regeln" Kann man dort einen alternativen Dns Server eintragen? https://www.ccc.de/de/censorship/dns-howto https://almnet.de/privacy-handbuch/privacy-handbuch-html/handbuch_21g.htm Habe kein Routerpasswort, ist das ein Problem? Könnte Malware die Software auf dem Router verändern und würde ein Routerpasswort dagegen helfen? Angenommen ich verbinde den Router mit einem unsicheren Gerät.
|
kB
Supporter, Wikiteam
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 8558
Wohnort: Münster
|
Krümelomat schrieb: systemd-resolve --status | grep Server
DNS Servers: 192.168.1.1
Das ist wohl der Router in seiner Rolle als Forwarding-DNS-Server. Das ist so in Ornung. Ich würde nichts ändern.
[…] In Ubuntu kann ich zusätzliche DNS Server bei der Netzwerkverbindung eintragen
Ich empfehle, da nichts einzutragen.
[…] Bei der Homebox gibt es den Reiter "Internet - DynDNS-Konten, bis zu 16 Regeln" Kann man dort einen alternativen Dns Server eintragen?
Nein. DynDNS ist eitwas anderen als ein DNS-Server. Ich würde hier nichts eintragen. Ich würde die von Provider vorgesehenen DNS-Server verwenden, d.h. lass alles auf Automatik stehen.
[…] Habe kein Routerpasswort, ist das ein Problem?
Ja, daraus können sich Probleme ergeben. Starte den Router neu ohen Verbindung zu Internet und richte ein Passwort ein. Deaktiviere Fernwartung und möglichst alle Zugriffsmöglichkeiten aus dem Internet oder sicher diese mit Passwörtern ab. Danach erst den Router mit dem Internet verbinden.
Könnte Malware die Software auf dem Router verändern und würde ein Routerpasswort dagegen helfen?
Ja, und ja. Zumindestens wird ein nichttriviales Passwort den unbefugten Zugang erschweren.
|
Krümelomat
(Themenstarter)
Anmeldungsdatum: 18. Oktober 2010
Beiträge: 1055
|
Heute nochmal mit duckduckgo auf dbpower, dann Seite geschlossen, dann die Meldung "Wollen sie diese Seite wirklich verlassen", abbrechen geklickt, dann komme ich auf eine fake google Seite mit nicht funktionierenden Einstellungen Schaltern und Impressum Links etc. Seite ist als html im Anhang. Es steht im Text mit dabei, dass nur O2 Nutzer ausgewählt werden. Dann mal nen Werksreset des Routers durchgeführt und ein starkes Passwort vergeben. Immer noch das gleiche Problem. Ich möchte wissen wer dafür verantwortlich ist. Ich schätze mal dass ein paar Seiten gehackt wurden, darunter dbpower, weil ich bekomme das sonst nie. ABER warum können das dann andre nicht reproduzieren?!?!
- Herzlichen_Gluckwunsch_2019-07-16_18_17_16.html (129.3 KiB)
- Download Herzlichen_Gluckwunsch_2019-07-16_18_17_16.html
|
Krümelomat
(Themenstarter)
Anmeldungsdatum: 18. Oktober 2010
Beiträge: 1055
|
So, hab mal nslookup und whois probiert, aber der Browserlink ist ungültig: http://sweeps0656.ppcugdisosdm1.live/0725475804/?utm_campaign=bKMuT7EMVXU5Z6UvvSHONGlfu-yV43iC8T8uYixAFxs1&t=main9_185a3c06910c6e75&f=1 Habe mit Singlefile die Seite abgespeichert, danach läuft die Konfettianimation 100x schneller ab... Wie kann ich das Ganze zurückverfolgen?
|