DHL: Ihr Paket wird in unserem Verteilzentrum zurückgehalten. Bitte befolgen Sie die Anweisungen, um die Zustellung sicherzustellen: dhl-express-packages
Dummerweise ist die sms jetzt verschwunden, so dass ich die Absender-Nummer nicht kenne. Problem: Ich Depp habe auf die url geklickt, natürlich ging keine Seite auf. Aktionen: Dann habe ich das Hirn eingeschaltet und bei der Websuche gefunden, dass es in den letzten Jahren schon mal zur Verteilung von Malware per sms gekommen ist. Nach einer der gefundenen Infos habe ich das Smartphone in den Flugmodus geschaltet, im abgesicherten Modus wieder hochgefahren. Allerdings konnte ich keinerlei Auffälligkeiten finden. Da ich das Smartphone mit Zugriff aufs Web brauche, habe ich es dann wieder normal gestartet, den Flugmodus ausgeschaltet, bislang nichts Außergewöhnliches feststellen können, außer der Tatsache, dass die Apps anders angeordnet sind. Fragen: Kennt jemand die Seite oder weiß, ob/welche Art von Malware damit verteilt wird (Ich traue mich nicht, mir die Seite am Rechner anzuschauen, bin diesbzgl. auch kein Experte)? Oder wie ich herausfinden kann, ob ich mir auf dem Smartphone Malware eingefangen habe? Und wie ich sie ggf. loswerde. Und ob ich den Vorfall bei der Polizei melden sollte? Weitere Infos: Ich habe auf dem Smartphone /e/ mit Android 11 installert, der Bootloader ist nicht gelockt, als Webbrowser nutze ich normalerweise die DuckDuckGo App.
Fällt unter “erst schießen - dann fragen”.
Ich kann nur JEDEM empfehlen NIE leichtfertig auf einen Link zu klicken der per SMS oder eMail
rein kommt. IMMER erst den Link checken WO er hinführt.
Da gibt es ettliche die so was als Einfalltor ausnutzen.
die ganzen Logistik (DHL, Ups…) phishing mails haben wenn ich mal durch den Spamordner gehe generierte Domains/Subdomains - bei “die Seite” schaust Du sicherlich in die tausende.
Wenn Du Dir sorgen machst reflashe einfach alles, dann besseres Gefühl wenigstens dass nichts hängen blieb.
Es gibt sicherlich Wege für malware über die App/System/firmware zu eskalieren und die Leiter hoch zu klettern, aber dafür müsstest Du schon Pech haben - also die Seite genau jene Payload verteilen die bei Dir auf dem Gerät sich verketten lässt, Android irgend einen Exploit haben gegen das dein Android 11 nicht gepatcht war. Es gab in letzter Zeit hardwarebasierte die nicht mehr patchbar sind weil vom Hersteller nichts mehr kommt, aber ob das auf Dich zutrifft? Ansonsten ist für normale Malware die “boundary” erstmal qksms / der e/OS messages fork und dann der Browser.
Dem stimme ich voll zu - bei einer Email wäre es mir sicherlich nicht passiert. Warum ich es bei der sms gemacht habe: Dummheit, wie gesagt, denn im Prinzip weiß ich das alles…
So wie es aussieht, scheint ein Bot installiert worden zu sein. In einem anderen Forum, wo ich auch gepostet hatte, kam ff. Rückmeldung:
Der Aufruf der Webseite (via TAILS) bringt:
Vous n’avez pas inscrit ce nom de domaine dans votre panel de controle, veuiller terminer la configuration directement depuis le bot ! Si vous avez déjà effectuer la configuration parfaitement, vérifiez que votre accès n’est pas bloqué (Banni) ou sinon contactez @crusix sur telegram directements
Google Translate übersetzt:
Sie haben diesen Domainnamen nicht in Ihrem Control Panel registriert, bitte schließen Sie die Konfiguration direkt aus dem Bot ab! Wenn Sie die Konfiguration bereits perfekt abgeschlossen haben, überprüfen Sie, ob Ihr Zugang nicht gesperrt (Gesperrt) ist, oder wenden Sie sich andernfalls direkt per Telegram an @crusix.
Mittlerweile ist die SIM-Karte gesperrt und ja, ich werde die “Gelegenheit” nutzen, um das Gerät neu zu installieren, Datenverlust inklusive
Was genau da installiert wurde ist erst mal “Nebensache”. Es ist zumindest ein “Fremdeingriff”.
Nur wenn man komplett mit Installation der original-Firmware wieder bei Null anfängt ist damit
der Fremdeingriff gelöscht. Bei der Installation der original-Firmware wird alles gelöscht.
Wer eine Custom-ROM (z.B. eOS) installiert hatte - hat jetzt eine “kleine” Flash-Orgie vor sich.
liest sich eher so als sei das die Info des Loaders an die Kunden des Tools zu Kontaktmöglichkeiten (ein Telegram Bot - auch unter Dieben wird lizensiert, siehe Domainname) - nicht an die Zielgruppe die gephisht werden sollen.
Ob Du etwas persistentes auf dem Gerät hast müsste man erstmal nachweisen. Klar flashe neu, aber nicht jede Phishingseite hat das Zeug einem etwas Potentes zuzuschieben, das meiste versucht es niederschwellig Dir irgendwas abzuklauben (Logins).
Genau das werde ich tun - mit einem Unterschied: Lt. Info in
braucht man die Firmware nicht zu installieren, weil sie mit /e/
installiert wird:
Judging from experience, it shouldn’t be necessary to install the stock
OS on Fairphone 3/3+. The e foundation gets the Fairphone firmware
components to include in /e/OS directly from Fairphone via their
official partnership.
Danke für die Info.
Auf jeden Fall führt das Problem dazu, dass ich das Thema
2-Faktor-Authentifizierung per SMS neu betrachten werde - mit einer
gesperrten SIM-Karte geht da nichts
Leider sind die sicheren Alternativen oft nicht implementiert oder in
der Realität schwieriger zu handhaben.
