Dubiose Spammail

Matthias Wenzel · 16. Juni 2014

Hey ho,

Folgendes:

Meine Frau trifft gestern eine alte Studienbekannte. (Nur kurzer Gruss und weitergings)
Am nächsten Tag erhielt sie auf ihren email account eine Virenspammail mit dem Namen der Studienkollegin.

Ich kann mir das nur so erklären. Die Bekannte hat nen ,,Gast´´ auf´m Rechner.
Sie sucht den Namen meiner Frau via Netz und der Bot sieht seine Chance mal nicht mit Hannelore Hilde Kubicki in der Absendermail einen Treffer zu landen.

right?

Sven Blau · 16. Juni 2014

Right!

Alles andere wäre was für die VTler

Cyborg · 17. Juni 2014

Name Name schrieb:
Hey ho,

Folgendes:

Meine Frau trifft gestern eine alte Studienbekannte. (Nur kurzer Gruss und weitergings)
Am nächsten Tag erhielt sie auf ihren email account eine Virenspammail mit dem Namen der Studienkollegin.

Ich kann mir das nur so erklären. Die Bekannte hat nen ,,Gast´´ auf´m Rechner.
Sie sucht den Namen meiner Frau via Netz und der Bot sieht seine Chance mal nicht mit Hannelore Hilde Kubicki in der Absendermail einen Treffer zu landen.

right?

Hmm, die Studienbekannte die kurz angebunden war und weitereilte könnte evtl. einen Hass auf Deine Frau haben. Alte Wunden die aufgerissen werden tun weh und vielleicht war das pure Absicht. Wäre doch auch möglich...
Menschen machen manchmal dumme Dinge. Klärung per Telefon wäre eine Option, oder diese Dame in den Email-Filter eintragen, Emails sowieso nur als TEXT lesen und keine Anhänge öffnen. (es sei denn in einer Sandbox)

kl~ak · 17. Juni 2014

es sind aktuell viele accounts gehackt !

vor allem

yahoo
gmx
web

oft sind nur die adressbücher kopiert und es wird vom account versendet - meißt nur ein link !

diesen nicht anklicken - verlicnkt sind oft dubiose seiten mit porno spielen etc. -> ABER im hintergrund läuft direkt ein trojaner rein ... vor allem für mac aktuell ne menge.

gibt zwei verschiedene versionen: einmal direkt aus dem account eines bekannten - oder (merkt man beim antworten) von einem anderen account und es erscheint nur der absender wie von einem bekannten.

auf jeden fall diesen informieren, da über die mailaccounts eben auch passwörter aktualisiert werden können.

habe jetzt mehre fishings bekommen mit sehr gut nachgebauten paypal-seiten (service.paypal.de etc.) mit der bitte eine zahlung die vermutlich nicht authorisiert ist zu bestätigen oder paypal zu informieren das jemand unberechtigten zugriff auf meinen account hat - nach dem einloggen ist man auch wirklich bei paypal - aber das passwort wird weitergeleitet.

-> die fishingseiten sind meißt nur kurz aktiv, weil paypal da sehr hinterher ist (20min oder so) aber der persönliche schaden ist sicherlich beträchtlich.

(mich hats nicht erwischt - wollte nur das beispiel beschreiben)

also da wirklich achtung und nur über die paypalseite einloggen !!!##

was es auch gibt ist, dass ein normaler text drinnen ist und wenn man antwortet bekommt man eine mail mit "unzustellbare mail" und einem link drinnen wo der bekannte auf seine neue website verweißt ... selbes thema mit dem trojaner !

fanwander · 17. Juni 2014

kl~ak schrieb:
es wird vom account versendet

Also um mal folgendes klarzustellen. Keine einzige Spammail wird "vom gehackten Account" versendet. Im Prinzip kann man in die From-Zeile des mailheaders reinschreiben, was man will. Eine Mail mit irgendeiner Mailadresse kann von jedem beliebigen entsprechend konfigurierten Rechner problemlos versendet werden. Das sind alles keine hacks sondern Standard-Konfigurationen.

Was tatsächlich von solchen Spy-Programmen gelesen wird, sind ggf die Adressbücher der Mailprogramme. Die holen sich die Spammer (bzw defacto die Adresshändler, die sie an Spammer verkaufen). Aber auch das ist noch mühsam. Typischerweise hängen solchen Bots sich in irgendeine Datenleitung (also zwischen zwei Servern - nicht zwischen Muttis Rechner zu Hause und Ihrem Provider) rein, und parsen den Traffic und holen dort die Adressen raus (wie das parsen geht, kann jeder in jedem beliebigen Unix-Adminkurs zweiter Teil lernen).

Und noch zum Thema Verifizierung. Es gibt nur zwei Methoden
1.) der Mailserver bei dem die Mail vom Absender zuerst abgeliefert wird, kann (muss aber nicht) prüfen, ob die From-Adresse mit einer Adresse des absendenden Accounts übereinstimmt. Unser Spammer ist aber auf keinen fremden Mailserver angewiesen; er kauft einen Aldirechner, setzt da eine Standard Linux-Server-Instanz auf (das ist einfacher als eine Windows-installation!), und flups hat er sein eigenen Mail-server.
2.) alle weiterleitenden Mailserver können nur noch prüfen, ob es den Domainanteil der Absenderadresse gibt (also das hinter dem @). Ob es die Adresse insgesamt stimmt (also auch das vor dem @) kann niemand prüfen. Da das ganze zudem Performance frisst sparen es sich die meisten Mailserver.

kl~ak · 17. Juni 2014

stimmt soweit - aber warum kommen dann die antworten dort an wo man sie vermutet => also bei bekannten ?

fanwander · 18. Juni 2014

kl~ak schrieb:
stimmt soweit - aber warum kommen dann die antworten dort an wo man sie vermutet => also bei bekannten ?

Wenn man die Adresse aus einem Adressbuch hat, dann weiss man ja, dass A an B schreiben würde. Wenn die Adresse aus einem Datenstrom gefischt wurde, dann kann man ja eine dezidierte Mail gefunden haben, die von A an B geschickt wurde. Und dann gibt es noch die weitergehenden Recherchen: das Namensalias an der From-Adresse (also sowas wie "Vorname Nachname <vornachname@domain>" kommt in eine Datenbank, ein Programm geht zu Facebook und checkt alle Freunde von "Vorname Nachname" und geht mit den Ergebnissen zurück in die Datenbank und macht nun die Rücksuche nach deren Mailadresse. (Wobei ich mir sicher bin dass der größte Adresshändler der Welt Facebook heißt - die agieren natürlich nicht unter diesem Namen, sondern da gibts eine "Direct Marketing Agency", die einem Eignerkonglomerat gehört und einer der Eigner gehört zufälligerweise zu 100% zu Facebook).

Feedback · 18. Juni 2014

kl~ak schrieb:
stimmt soweit - aber warum kommen dann die antworten dort an wo man sie vermutet => also bei bekannten ?

Das liegt daran, dass bei einem email eine ReplyTo Adresse angegeben werden kann. D.h. es gibt einen Sender (Klarname), eine Sender email-Adressse und eine ReplyTo-email (kann auch eine Liste sein). Wenn der Spam-Mailer nun diese ReplyTo Adresse mit der (ja bekannten) Fake-Absender-Adresse füllt, geht die Antwort auch an den Absender, von dem es angeblich kommt.

Grundsätzlich gilt heutzutage: Wir machen grundsätzlich keine links in Mails mehr auf.

fanwander · 18. Juni 2014

Feedback schrieb:
kl~ak schrieb:

stimmt soweit - aber warum kommen dann die antworten dort an wo man sie vermutet => also bei bekannten ?

Zum Vergrößern anklicken....

Das liegt daran, dass bei einem email eine ReplyTo Adresse angegeben werden kann.

Nein. In der From-Adresse steht ja die Bekannte tatsächlich drin. Wenn Du mir Deine Mailadresse sagst, dann wirst Du in zehn Minuten eine Mail von mir bekommen, in der Du selbst als Absender stehst. Diese Mail werde aber ich Dir geschickt haben.
Nochmals: die From-Adresse hat technisch NICHTS mit dem tatsächlichen Absender zu tun. Da kann man reinschreiben was man will. Da schreibt der böse Spammer einfach die Adresse der Bekannten rein.

Feedback · 18. Juni 2014

stimmt auch wieder, zu weit um die Ecke gedacht. ReplyTo brauchts gar nicht, man kann ja alles frei befüllen...

Dubiose Spammail

Matthias Wenzel

Guest

Sven Blau

temporarily logged off, permanently

Cyborg

|

kl~ak

|

fanwander

************************

kl~ak

|

fanwander

************************

Feedback

Individueller Benutzer

fanwander

************************

Feedback

Individueller Benutzer

Neueste Beiträge

News