12
Merkwürdiges Spam Problem
Hi,
gestern erreichte uns direkt von mehreren unserer Kunden der Hinweis, dass sie Spam-Mails von erhalten würden.
Die E-Mail enthält einen Link zu einem infiltrierten ZIP-File (anscheinend kompromittiertes Wordpress). Der Text der E-Mail variiert. Der „Absender“ nicht. (Virus Total)
Den PC vom Kollegen habe ich direkt vom Netz genommen und zur Analyse in der VM gestartet. Ich hatte angenommen, dass die Kontakte aus Outlooks Autosuggestion stammen könnten da die Begrüßung die gleiche wie der Text aus dem From-Header ist (z.B. Guten Tag Max Firma Muster), aber die Adressen existierten nicht im Autosuggestions-File. Auch nicht als gespeicherte Adressen oder Kontakte. Auch hat der Mitarbeiter für gewöhnlich keinen Kontakt zu diesen Kunden.
Abwegig finde ich, dass MitarbeiterA selbst eine seiner Spam E-Mails bekommen hat.
Offensichtlich ist, dass die E-Mails nicht von unserem Mail-Server rausgegangen sind sondern jedes mal von einem anderen open relay. Unser E-Mail Server ist inkl. im Shared-Hosting bei einem namhaften deutschen Provider (Keine Groupware o.ä.).
Der Check mit diversen Live-Scannern brachte keinen Erfolg.
Ich möchte nicht auf einen dummen Zufall hoffen. Vielleicht kann mir jemand von euch einen Tipp geben wo ich noch ansetzen könnte?
gestern erreichte uns direkt von mehreren unserer Kunden der Hinweis, dass sie Spam-Mails von erhalten würden.
From: "MITARBEITERA@example.com" <susan@***.co.uk>
To: "Max Firma Muster" <max.muster@example.com>
Subject: Nr. 7596900, 03. December 2014 / 07:22:55
Date: Wed, 3 Dec 2014 08:26:12 +0100
To: "Max Firma Muster" <max.muster@example.com>
Subject: Nr. 7596900, 03. December 2014 / 07:22:55
Date: Wed, 3 Dec 2014 08:26:12 +0100
Die E-Mail enthält einen Link zu einem infiltrierten ZIP-File (anscheinend kompromittiertes Wordpress). Der Text der E-Mail variiert. Der „Absender“ nicht. (Virus Total)
Den PC vom Kollegen habe ich direkt vom Netz genommen und zur Analyse in der VM gestartet. Ich hatte angenommen, dass die Kontakte aus Outlooks Autosuggestion stammen könnten da die Begrüßung die gleiche wie der Text aus dem From-Header ist (z.B. Guten Tag Max Firma Muster), aber die Adressen existierten nicht im Autosuggestions-File. Auch nicht als gespeicherte Adressen oder Kontakte. Auch hat der Mitarbeiter für gewöhnlich keinen Kontakt zu diesen Kunden.
Abwegig finde ich, dass MitarbeiterA selbst eine seiner Spam E-Mails bekommen hat.
Offensichtlich ist, dass die E-Mails nicht von unserem Mail-Server rausgegangen sind sondern jedes mal von einem anderen open relay. Unser E-Mail Server ist inkl. im Shared-Hosting bei einem namhaften deutschen Provider (Keine Groupware o.ä.).
Der Check mit diversen Live-Scannern brachte keinen Erfolg.
Ich möchte nicht auf einen dummen Zufall hoffen. Vielleicht kann mir jemand von euch einen Tipp geben wo ich noch ansetzen könnte?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 256735
Url: https://administrator.de/contentid/256735
Printed on: April 16, 2024 at 10:04 o'clock
12 Comments
Latest comment
Hi,
auf jeden Fall mal die Mailheader genau unter die Lupe nehmen. Vielleicht finden sich da verwertbare Informationen.
Gruß
ankh
auf jeden Fall mal die Mailheader genau unter die Lupe nehmen. Vielleicht finden sich da verwertbare Informationen.
Gruß
ankh
Zitat von @Sparlampe:
Ich möchte nicht auf einen dummen Zufall hoffen. Vielleicht kann mir jemand von euch einen Tipp geben wo ich noch ansetzen
könnte?
Ich möchte nicht auf einen dummen Zufall hoffen. Vielleicht kann mir jemand von euch einen Tipp geben wo ich noch ansetzen
könnte?
Wenn du die Header geprüft hast und festgesteltl hast, daß dier mails von offenenen relays gesendet wurden, kannst Du erstmal nicht viel dagegen unetrnehmen.
Offensichtlich hat es aber ein datenleck gegeben, wo de Adresseliste "geklaut" wurde. Da bliebe erstmal zu klären, wo das Leck genauer ist.
ob Du bei einem namhaften Provider hostest oder nciht, shützt Dich nciht davor, "gehackt" zu werden. Insbesodnere die großen provider sind bevorzugte Angriffsziele, eben weil es da besodners viel zu holen gibt. es kann als durchaus sein, daß bei denen irgendwo eien Laus im Pelz sitzt.
lks
PS: Seid Ihr oder ein Kunde ein Unternehmen, das wirtschaftlich für die USA, Russlan, China, etc. interessant sein könnte? dann könnte es genausogut ein Wirtschaftsspionageangriff sein, der als "SPAM" getarnt ist.
Hi ihr beiden,
ihr seid hier aber flott!
Die E-Mail-Header sind total nichtssagend und waren leider mein einzige Anhaltspunkt.
Das merkwürdige ist: Wir führen keine zentralen Adressbestände. Der Support weiß natürlich von nichts und sollte es ein Leck bei ihm sein würde wahrscheinlich der Versand direkt erfolgen und nicht über wechselnde Relays.
Da die Verbindungen sind bei allen MUAs SSL-Verschlüsselt.
Anubis ist leider down so, dass ich die EXE nicht analysieren lassen kann.
Ich weiß leider überhaupt nicht wie ich mich in der Situation weiter verhalten soll. Unsere Kunden sind natürlich nicht gerade „amused“ darüber.
ihr seid hier aber flott!
Die E-Mail-Header sind total nichtssagend und waren leider mein einzige Anhaltspunkt.
Zitat von @Lochkartenstanzer:
Offensichtlich hat es aber ein datenleck gegeben, wo de Adresseliste "geklaut" wurde. Da bliebe erstmal zu klären,
wo das Leck genauer ist.
Offensichtlich hat es aber ein datenleck gegeben, wo de Adresseliste "geklaut" wurde. Da bliebe erstmal zu klären,
wo das Leck genauer ist.
Das merkwürdige ist: Wir führen keine zentralen Adressbestände. Der Support weiß natürlich von nichts und sollte es ein Leck bei ihm sein würde wahrscheinlich der Versand direkt erfolgen und nicht über wechselnde Relays.
Da die Verbindungen sind bei allen MUAs SSL-Verschlüsselt.
Anubis ist leider down so, dass ich die EXE nicht analysieren lassen kann.
Ich weiß leider überhaupt nicht wie ich mich in der Situation weiter verhalten soll. Unsere Kunden sind natürlich nicht gerade „amused“ darüber.
Zitat von @Sparlampe:
Ich weiß leider überhaupt nicht wie ich mich in der Situation weiter verhalten soll. Unsere Kunden sind natürlich
nicht gerade „amused“ darüber.
Ich weiß leider überhaupt nicht wie ich mich in der Situation weiter verhalten soll. Unsere Kunden sind natürlich
nicht gerade „amused“ darüber.
Du kannst ihnen aber anhand der Header erklären, daß Ihr nicht dafür verantwortlich wart. Am besten imerm das beispiel eines normalen briefes mit gefälschtem Absender nehmen, der in irgendein Postzustellzentrum eingeworfen wurde. Wenn die nicht total doof sind beruhgt das erstmal die gemüter.
lks
Hallo,
die Mailadresse Eures Mitarbeiters kann beim Spamer durch irgendeinen Kunden den Euer mitarbeiter mal angeschrieben hat abgekommen sein.
Für Spameinstufung:
"MITARBEITERA@example.com" <susan@*.co.uk>
Ist susan@*.co.uk die Absendeadresse und ***.co.uk der Server.
MITARBEITERA@example.com ISt ein Feld das auch fuvhw9fvgwgf97wg hätte heißen können und hat nichts mit dem eigentlichen Absender zutun.
Aber es wird von vielen Mailprogrammen als der Name/Person des Absenders Interpretiert und darauf spekulieren die Spamer.
Gruß
Chonta
die Mailadresse Eures Mitarbeiters kann beim Spamer durch irgendeinen Kunden den Euer mitarbeiter mal angeschrieben hat abgekommen sein.
Für Spameinstufung:
"MITARBEITERA@example.com" <susan@*.co.uk>
Ist susan@*.co.uk die Absendeadresse und ***.co.uk der Server.
MITARBEITERA@example.com ISt ein Feld das auch fuvhw9fvgwgf97wg hätte heißen können und hat nichts mit dem eigentlichen Absender zutun.
Aber es wird von vielen Mailprogrammen als der Name/Person des Absenders Interpretiert und darauf spekulieren die Spamer.
Gruß
Chonta
Hier mal ein Beispiel, wie ich eine E-Mail mit beliebigen Absender-Daten erstellen kann (Powershell):
Ich habe es probiert, und es lüpp!
Function SendEMail ([String]$To = "Name@Firma.de", [String]$Subj = "Test")
{
$PSEmailServer = "mail.Firma.de"
$From = "anywho@anywhere.de"
$Body = "Test für Send-MailMessage ..."
$Cred = "Sender"
Send-MailMessage -to $To -from $From -Subject $Subj -body $Body -Credential $Cred -encoding ([System.Text.Encoding]::UTF8)Ich habe es probiert, und es lüpp!
Wetten, daß Dein Beispiel SO nicht lüppt?
Lonesome Walker
Zitat von @16568:
> Zitat von @AnkhMorpork:
> Ich habe es probiert, und es lüpp!
Wetten, daß Dein Beispiel SO nicht lüppt?
Lonesome Walker
> Zitat von @AnkhMorpork:
> Ich habe es probiert, und es lüpp!
Wetten, daß Dein Beispiel SO nicht lüppt?
Lonesome Walker
Wenn ich in die Platzhalter gültige Einträge schreibe schon.
Hi,
wie einfach es ist ist mir bewusst (selbst schon dutzende male einen Mailstack aufgesetzt). Aber wie die Adressen abhanden gekommen sind in diesem großen Ausmaß das ist mir ein Rätsel.
wie einfach es ist ist mir bewusst (selbst schon dutzende male einen Mailstack aufgesetzt). Aber wie die Adressen abhanden gekommen sind in diesem großen Ausmaß das ist mir ein Rätsel.
Wurde mit jedem Eurer Mitarbeiter als Absender eine Spammail versendet?
Wie können Mailadressen "abhanden" kommen?
Einem der ne Mail von euch bekommen hat ist das Adressbuch geklaut worden.
Mailadressen auf Euerer Webseite /Facebook angegeben.
Newsletter usv.
Gruß
Chonta
Wie können Mailadressen "abhanden" kommen?
Einem der ne Mail von euch bekommen hat ist das Adressbuch geklaut worden.
Mailadressen auf Euerer Webseite /Facebook angegeben.
Newsletter usv.
Gruß
Chonta
Klammer...?
Lonesome Walker
Zitat von @16568:
> Zitat von @AnkhMorpork:
> Wenn ich in die Platzhalter gültige Einträge schreibe schon.
Klammer...?
Lonesome Walker
> Zitat von @AnkhMorpork:
> Wenn ich in die Platzhalter gültige Einträge schreibe schon.
Klammer...?
Lonesome Walker
Tja, erwischt! Schönen Gruß vom Copy & Paste ...
Aber davon ab: Ich wollte nur zeigen, mit welch wenig Aufwand eine Spam-Schleuder arbeitet. Fürs Versenden hole man sich eine Trash-EMail Adresse, als Absender kann ich eintragen, was ich will, und das wars.
Schönes Rest-WE
ankh