Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 13

Thema: Drive-by-Attacken / Adressbuchkontakte

  1. #1
    Medien- & Kaffeeguru Avatar von truelife
    Registriert seit
    28.01.2006
    Ort
    Vals (Graubünden)
    Beiträge
    19.337

    Standard Drive-by-Attacken / Adressbuchkontakte

    Hallo zusammen,

    seit einiger Zeit erhalte ich ähnliche E-Mails von Personen, die mich in deren Kontaktliste stehen haben, darunter auch ein Ebay-Händler. Entweder hat dieser einen Schädling auf dem Rechner oder jemand hat das Adressbuch gecrackt und verschickt unter seinem Namen.

    Die E-Mails sind recht einfach aufgebaut:

    Hello!

    Important message, visit whois: [Link nur für registrierte Mitglieder sichtbar. ]

    <E-Mail-Adresse des Senders>
    oder

    Hey!

    Have you already seen it? whois: [Link nur für registrierte Mitglieder sichtbar. ]

    <E-Mail-Adresse des Senders>
    oder

    Hey!

    Have you already seen it? whois: [Link nur für registrierte Mitglieder sichtbar. ]

    <E-Mail-Adresse des Senders>
    Ich habe die Links leicht modifiziert und den aktuellsten Link durch Anubis jagen lassen. Ich habe keine Ahnung, was da genau passiert - aber es passiert viel. So einen langen Anubis-Report habe ich noch nie gesehen: [Link nur für registrierte Mitglieder sichtbar. ]

    Beispielheader:


    header:
    01: Return-Path: <E-Mail-Adresse des Senders>@t-online.de
    02: Received: from smtpout.waoomail.dk ([31.193.238.199]) by mx-ha.gmx.net
    03: (mxgmx009) with ESMTPS (Nemesis) ID: [ID filtered]
    04: Received: from [172.23.0.18] (helo=smtp.waoomail.dk) by smtpout.waoomail.dk
    05: with esmtp (Exim 4.84) (envelope-from <emrich.licht [at] t-online.de>) ID: [ID filtered]
    06: Received: from [195.142.17.51] (helo=WORLDST-UQ3K9Q0) by smtp.waoomail.dk with
    07: esmtpsa (TLSv1.2:DHE-RSA-AES256-GCM-SHA384:256) (Exim 4.85 (FreeBSD)) (envelope-from
    08: <<E-Mail-Adresse des Senders>@t-online.de>) ID: [ID filtered]
    09: From: <<E-Mail-Adresse des Senders>@t-online.de>
    10: To: [snip] <[snip]@wagges.de>, [snip]
    11: <[snip]@gmx.de>, [snip] <[snip]@googlemail.com>,
    12: [snip] <[snip]@web.de>, [snip]
    13: <[snip]@moobooo.de>, [snip] <[snip]@yahoo.com>,
    14: [snip] <[snip]@gmx.de>, [snip] <[snip]@web.de>,
    15: [snip] <[snip]@yahoo.de>, [snip] <[snip]@gmx.de>,
    16: [snip] <[snip]@t-online.de>, [snip]
    17: <[snip]@members.ebay.de>, [snip] <[snip]@gmx.de>,
    18: [snip] <[snip]@telekom.de>, [snip]
    19: <[snip]@email-telekom.de>, [snip]
    20: <[snip]@email-telekom.de>, [snip] <[snip]@arcor.de>,
    21: [snip] <[snip]@gmx.de>, [snip]
    22: <[snip]@hotmail.com>, [snip] <[snip]@helle-barden.de>,
    23: [snip]<[snip]@yahoo.com>, [snip]
    24: <[snip]@t-online.de>, [snip] <[snip]@ewetel.net>,
    25: [snip] <[snip]@gmail.com>, [snip]
    26: <[snip]@freenet.de>,[snip] <[snip]@pawluc.de>,
    27: [snip] <[snip]@web.de>, [snip] <[snip]@arcor.de>,
    28: [snip] <[snip]@sch-mail.de>, [snip]
    29: <[snip]@gmx.de>, [snip] <[snip]@yahoo.de>, [snip]
    30: <[snip]@gmx.de>, [snip] <[snip]@web.de>, [snip]
    31: <[snip]@mail.ru>, [snip] <[snip]@gmx.de>, [snip]
    32: <[snip]@ebay.com>, [snip] <[snip]@googlemail.com>,
    33: [snip] <[snip]@yahoo.de>, [snip] <[snip]@gmx.de>,
    34: [snip] <[snip]@triplebuy.de>, [snip]
    35: <[snip]@gmx.de>, [snip] <[snip]@live.de>, [snip]
    36: <[snip]@gmx.de>, [snip] <[snip]@t-online.de>,
    37: [snip] <[snip]@gmx.de>, [snip] <[snip]@yahoo.de>,
    38: [snip] <[snip]@yahoo.com>, [snip]
    39: <[snip]@freenet.de>, [snip] <[snip]@poly2pixel.de>,
    40: [snip] <[snip]@gmx.de>, [snip]
    41: <[snip]@freenet.de>, [snip] <[snip]@amazon.de>,
    42: [snip] <[snip]@yahoo.com>, [snip]
    43: <[snip]@gmx.de>, [snip] <[snip]@tesenet.cz>,
    44: [snip] <[snip]@gmx.net>, [snip]
    45: <[snip]@online.de>, [snip] <[snip]@gmx.de>,
    46: [snip] <[snip]@icloud.com>,[snip] <[snip]@web.de>
    47: Date: Fri, 14 Aug 2015 xx:xx:xx +0200
    48: Message-ID: [ID filtered]
    49: MIME-Version: 1.0
    50: Content-Type: multipart/alternative;
    51: boundary="----=_NextPart_000_5756_d8b0_18ea"
    52: X-Mailer: Microsoft Outlook 15.0
    53: Thread-Index: [filtered]
    54: Content-Language: en-us
    55: X-Auth-ID: [ID filtered]
    56: X-Spam-Score: 9.5
    57: X-Spam-Report: Action: add header Symbol: HFILTER_HELO_NOT_FQDN(3.00) Symbol:
    58: ONCE_RECEIVED(1.00) Symbol: SUSPICIOUS_RECIPS(3.50) Symbol: R_TO_SEEMS_AUTO(2.00)
    59: Message-ID: [ID filtered]
    60: Envelope-To: <[snip]@gmx.de>
    61: Subject: *** GMX Spamverdacht *** Fw: try it out
    62: X-GMX-Antispam: 5 (nemesis mail header analyzer); Detail=V3;
    63: X-GMX-Antivirus: 0 (no virus found)
    "Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009
    Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
    "Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
    smayer@public-files.de smayer@fantasymail.de

  2. #2
    PKV Schreck Avatar von thomas1611
    Registriert seit
    25.09.2005
    Ort
    in der Mitte Deutschlands
    Beiträge
    3.788

    Standard

    So einen Fall hatte ich hier im Kundenkreis auch - es betraf etliche Kunden von denen - erstaunlicherweise bekam ich keine Mail von denen, obwohl ich auf den lokalen PCs im Adressbuch stehe. Ich gehe davon aus, dass es entweder auf dem weg zum Mailserver passiert ist oder in direkt auf Providerseite.
    Es wurden bei den ausgehenden Mail die Headerzeilen gefälscht, so das die Mail auf den ersten Blick tatsächlich via T-Online verschickt wurde.
    Zusätzlich wurde von dieser Mailadresse ( [Link nur für registrierte Mitglieder sichtbar. ]) auch eine Mail an [Link nur für registrierte Mitglieder sichtbar. ] versendet. Das hatte mich ja dann auf die Headerprüfung geschubst.
    In dem Fall führte der Link über 22(gefühlt) Umleitungen zu whois: [Link nur für registrierte Mitglieder sichtbar. ]

    Nachtrag: ich sehe grade, bei dir betrifft es ebenso eine t-online-Mailadresse. Wenn das nichtmal Teil des Puzzles ist.

  3. #3
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.069

    Standard

    Habe ich bei mir auch schon gesehen. Die Adresse war anscheinend der gecrackte Yahoo-Account eines ebay-Händlers, bei dem ich mal etwas gekauft hatte. Im Body dann der Link zu einem gecrackten Server, Bsp.:

    whois: [Link nur für registrierte Mitglieder sichtbar. ] (danach folgen noch einige Unterverzeichnisse)

    die als Redirector missbraucht werden. man landet dann auf, Bsp.:

    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    Ich glaube, man sieht das Muster. Binary Option und Pillz-Spam von der Russenmafia.
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  4. #4
    Medien- & Kaffeeguru Avatar von truelife
    Registriert seit
    28.01.2006
    Ort
    Vals (Graubünden)
    Beiträge
    19.337

    Standard

    Zitat Zitat von kjz1 Beitrag anzeigen
    Ich glaube, man sieht das Muster. Binary Option und Pillz-Spam von der Russenmafia.
    Ist das tatsächlich alles? Soviel wie im Anubis-Report drinsteht?

    [Link nur für registrierte Mitglieder sichtbar. ]

    @thomas: bei mir steht whois: [Link nur für registrierte Mitglieder sichtbar. ] auch im Anubis-Report. Hier mal die Header-Zeilen der ähnlichen Mails, inclusive der Angabe der Verbindung zu mir:


    header:
    01: Return-Path: [snip]@t-online.de
    02: Received: from todoimpresion.com ([146.255.102.175]) by mx-ha.gmx.net
    03: (mxgmx006) with ESMTPS (Nemesis) ID: [ID filtered]
    04: Received: (qmail 26844 invoked from network); 17 Aug 2015 xx:xx:xx +0000
    05: Received: from 201.166.33.169.cable.dyn.cableonline.com.mx (HELO WORLDST-UQ3K9Q0)
    06: (201.166.33.169) by todoimpresion.com with ESMTPSA (DHE-RSA-AES256-SHA encrypted,
    07: authenticated); 17 Aug 2015 xx:xx:xx +0000
    08: From: <[snip]@t-online.de >


    header:
    01: Return-Path: [snip]@t-online.de
    02: Received: from mailcloud.dogado.de ([37.218.251.62]) by mx-ha.gmx.net
    03: (mxgmx012) with ESMTPS (Nemesis) ID: [ID filtered]
    04: Received: from web40.dogado.de (web40.dogado.de [93.90.186.204]) by
    05: mailcloud.dogado.de (Postfix) with ESMTPS ID: [ID filtered]
    06: Received: from WORLDST-UQ3K9Q0 (unknown [187.132.58.219]) by web40.dogado.de
    07: (Postfix) with ESMTPSA ID: [ID filtered]
    08: From: <[snip]@t-online.de>


    header:
    01: Return-Path: [snip]@arcor.de
    02: Received: from mxwn01.webd.pl ([194.181.15.40]) by mx-ha.web.de (mxweb008) with
    03: ESMTPS (Nemesis) ID: [ID filtered]
    04: Received: from wn01.int.webd ([192.168.101.101] helo=wn01.webd.pl) by
    05: mxn02.webd.pl with esmtps (UNKNOWN:AES256-GCM-SHA384:256) (Exim 4.72) (envelope-from
    06: <[snip]@arcor.de>) ID: [ID filtered]
    07: Received: from [192.168.101.42] (port=41864 helo=localhost) by wn01.webd.pl
    08: with esmtp (Exim 4.85) (envelope-from <[snip]@arcor.de>) ID: [ID filtered]
    09: X-Quarantine-ID: [ID filtered]
    10: X-Virus-Scanned: amavisd-new at mxwn01.webd.pl
    11: Received: from wn01.webd.pl ([192.168.101.101]) by localhost (mxwn01.webd.pl
    12: [192.168.101.42]) (amavisd-new, port 10014) with ESMTP ID: [ID filtered]
    13: Received: from [78.179.162.205] (port=63986 helo=WORLDST-UQ3K9Q0) by
    14: wn01.webd.pl with esmtpsa (TLSv1.2:DHE-RSA-AES256-GCM-SHA384:256) (Exim 4.85) (envelope-from
    15: <[snip]@arcor.de>) ID: [ID filtered]
    16: From: [snip] <[snip]@arcor.de>


    header:
    01: Return-Path: [snip]@coloteam.com
    02: Received: from mout-xforward.perfora.net ([82.165.159.134]) by mx-ha.gmx.net
    03: (mxgmx005) with ESMTPS (Nemesis) ID: [ID filtered]
    04: Received: from smtp.1and1.com ([212.52.44.8]) by mrelay.perfora.net
    05: (mreueus002) with ESMTPA (Nemesis) ID: [ID filtered]
    06: Message-ID: [ID filtered]
    07: From: "[snip]" <[snip]@coloteam.com>
    "Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009
    Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
    "Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
    smayer@public-files.de smayer@fantasymail.de

  5. #5
    Deekaner Avatar von deekay
    Registriert seit
    07.07.2006
    Ort
    Lippe / NRW
    Beiträge
    7.451

    Standard

    Derartige Mails trudeln bei mir auch gerade ein
    "Es gibt tausendundeinen Grund, warum ein Mensch bestimmte Einzelheiten seiner Privatsphäre nicht offenbaren will, und es besteht nicht die geringste Pflicht, dies auch noch begründen zu müssen. Es reicht, dass man es nicht will."

    (Pär Ström, Autor und IT-Unternehmensberater)

  6. #6
    Mittwoch
    Gast

    Standard

    Im Anubis-Report steht nichts wirklich weltbewegendes. Ja, die Webseite ist vergleichsweise aktiv, setzt Cookies, lädt Schriften nach und nutzt das Notepad. Das tun aber auch andere Webseiten. Ich vermute, dass auf der Zielseite Flash oder ähnliches läuft.
    Mag sein, dass darüber ein Drive-By versucht wird, das würde sich dann aber nicht mehr bei Anubis niederschlagen, da der Flash-Plyer isoliert im IE läuft. Müsste man mit einer echten Sandbox und/oder einem Honeypot ausprobieren.

  7. #7
    Graue Pestilenz Avatar von Fidul
    Registriert seit
    16.07.2005
    Beiträge
    6.405

    Standard

    Siehe auch https://www.antispam-ev.de/forum/showthread.php?t=37444.

    [Link nur für registrierte Mitglieder sichtbar. ] + [Link nur für registrierte Mitglieder sichtbar. ]
    Wir kriegen euch alle!

  8. #8
    Mitglied
    Registriert seit
    16.03.2006
    Beiträge
    148

    Standard Spam von bekannten Mailadressen

    Moin moin,

    gerade ist hier auf gleich zwei Mailadressen meiner Firma Spam aufgeschlagen, dessen angeblichen Absender ich gut kenne und sicher bin, dass dieser Müll nicht von ihm selbst kommt.
    Adressiert an etliche weitere Empfänger, die ich natürlich alle nicht kenne...

    Mich interessiert nun die Frage, ob man herausbekommen kann, ob dessen Rechner mit nem Virus oder sonst einer Software verseucht ist, oder ist vielleicht dessen GMX-Konto gehackt worden?

    Hier mal ein Header:

    header:
    01: Return-Path: <xxxxxxxx [at] GMX.COM>
    02: X-Original-To: abcd [at] meinedomain.de
    03: Delivered-To: poor [at] spamvictim.tld
    04: X-Greylist: delayed 403 seconds by postgrey-1.34 at dd18730; Sat, 20 Feb 2016 xx:xx:xx
    05: CET
    06: X-policyd-weight: NOT_IN_SPAMCOP=-1.5 NOT_IN_IX_MANITU=-1.5 CL_IP_EQ_HELO_IP=-2 (check
    07: from: .gmx. - helo: .mx147.dnchosting. - helo-domain: .dnchosting.)
    08: FROM/MX_MATCHES_NOT_HELO(DOMAIN)=1; rate: -4
    09: Received: from mx147.dnchosting.com (mx147.dnchosting.com [104.171.16.147])
    10: by dd18730.kasserver.com (Postfix) with ESMTP ID: [ID filtered]
    11: for <poor [at] spamvictim.tld>; Sat, 20 Feb 2016 xx:xx:xx +0100 (CET)
    12: Received: from localhost (localhost [127.0.0.1])
    13: by mx8.dnchosting.com (Postfix) with ESMTP ID: [ID filtered]
    14: Sat, 20 Feb 2016 xx:xx:xx -0600 (CST)
    15: X-Virus-Scanned: amavisd-new at mx8.dnchosting.com
    16: Received: from mx8.dnchosting.com ([127.0.0.1])
    17: by localhost (mx8.dnchosting.com [127.0.0.1]) (amavisd-new, port 10024)
    18: with ESMTP ID: [ID filtered]
    19: Received: from web128.dnchosting.com (web128.dnchosting.com [199.7.108.132])
    20: by mx8.dnchosting.com (Postfix) with ESMTP ID: [ID filtered]
    21: Sat, 20 Feb 2016 xx:xx:xx -0600 (CST)
    22: Received: from [197.1.180.8] (port=4605 helo=euosli.com)
    23: by web128.dnchosting.com with esmtpsa (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
    24: (Exim 4.86)
    25: (envelope-from <xxxxxxxx [at] GMX.COM>)
    26: ID: [ID filtered]
    27: From: <xxxxxxxx [at] GMX.COM>
    28: To: "abcd" <poor [at] spamvictim.tld>
    29: Subject: Fw: new important message
    30: Date: Sat, 20 Feb 2016 xx:xx:xx +0300
    31: Message-ID: [ID filtered]
    32: MIME-Version: 1.0
    33: Content-Type: multipart/alternative;
    34: boundary="----=_NextPart_000_0001_127315D0.6602EF12"
    35: X-Mailer: Microsoft Outlook 15.0
    36: Thread-Index: [filtered]
    37: Content-Language: en-us
    38: X-OutGoing-Spam-Status: No, score=1.3
    39: X-KasLoop: m0117e2c
    Wer kann was dazu sagen?
    Wenn ich wüsste, dass der Freund sich einen Virus eingefangen hat, könnte man ja was degegen unternehmen.

    Dank euch schon mal!
    O si tacuisses, philosophus mansisses.

  9. #9
    Mittwoch
    Gast

    Standard

    Zitat Zitat von mogano3 Beitrag anzeigen
    Mich interessiert nun die Frage, ob man herausbekommen kann, ob dessen Rechner mit nem Virus oder sonst einer Software verseucht ist, oder ist vielleicht dessen GMX-Konto gehackt worden?
    EMailHeader liefert eine gute Anoeitung zur Analyse des Headers.

    Zeilen 9 bis 11: Die Mail wurde von der IP whois:104.171.16.147 beim Mailserver Deines Hosters (dd18730.kasserver.com) eingeliefert. Die IP passt zu dnchosting.com. Soweit unverdächtig, denn Directnic/DNC Holdings ist ein stinknormaler Hoster. Wenngleich er auch viele Services bietet, die Spammer gerne nutzen, muss das im Umkehrschluss nichts bedeuten.

    Ab hier muss man darauf zählen, dass die vorhergehenden Einträge verlässlich sind. Das vorausgesetzt zeigen die Zeilen 12 bis 21 ein paar interne Weiterleitungen bei DNC, die an sich unverdächtig sind. Die Zeilen 22 bis 26 wiederum zeigen, dass eine IP whois:197.1.180.8 die Mail bei DNC eingeliefert hat, und zwar per SMTP auf einem vermutlich gehackten oder gephishten Account. Die IP gehört zu einem tunesischen Anbieter, und aus dem Whois kann man leider nicht ableiten, ob die Quelle ein Dialup oder ein Server war.

    In Tunesien verlieren sich demnach die Spuren. Die Nutzung eines gehackten GMX-Accounts würde einen anderen Header produzieren. Was im Umkehrschluss aber nicht heißt, dass der GMX-Account Deines Freundes nicht gehackt wurde. Spammer sind ja nicht blöd. Sie hacken die Accounts A bis D und grasen dort alle Mailadressen ab. An die von Account B schicken sie via Account A, an die von C über B, C schickt an D und D beglückt A. So fällt ein Hack nicht gleich auf.

    Vermutlich war hier aber ein Botnetz involviert, oder ein direkt in Tunesien gekaufter Server. Beides spricht für die Existenz eines Schädlings auf irgendeinem Rechner, der Deine Mailadresse erfahren hat. Aber auch das muss nicht zwangsläufig der Deines Freundes gewesen sein. Es ist aber keine dumme Idee, mal einen aktuellen, von CD gestarteten Virenscanner zu bemühen. Und zwar auch auf Deinem Rechner, sofern der Windoof fährt.

    Schönen Gruß
    Mittwoch

  10. #10
    Urgestein Avatar von Wuschel_MUC
    Registriert seit
    01.02.2006
    Ort
    München
    Beiträge
    5.774

    Standard

    Zitat Zitat von mogano3 Beitrag anzeigen
    ...Frage, ob man herausbekommen kann, ob dessen Rechner ... verseucht ist...
    Du kannst den Freund natürlich bitten, eine Extra-Virensuche zu machen.

    Ich würde aber etwas anders vorgehen: lege dir bei deinem normalen Provider noch eine E-Mail-Adresse zu und schreibe sie in dein Adressbuch. Wenn dort Spam ankommt, hattest du selber einen Datendieb.

    Wuschel
    Wer mir was tut, sei auf der Hut!

Seite 1 von 2 12 LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen