Heute ist bei mir eine Spammail eingetroffen, die ich als gefährlich einstufe. Der Absender einer derartigen Spammail verfolgt möglicherweise kriminelle Ziele, da er mit Hilfe der Mail heimlich Daten ausspäht kann, die die Voraussetzung für einen Angriff auf meine IT-Infrastruktur darstellen. Diesen Angriff hat die c't erst vor ein paar Wochen beschrieben, der Text ist jetzt öffentlich auf heise.de zu lesen:

Ein Spam-Opfer hackt zurück.
( https://www.heise.de/ct/artikel/Ein-Spam-Opfer-hackt-zurueck-4416729.html )


header:
01: From - Thu Jun 6 [...] 2019
02: Delivery-date: Thu, 06 Jun 2019 [...] +0200
03: Received: from [...] (helo=[...])
04: by [...] with esmtps (TLSv1.2:[...]:256)
05: (Exim 4.90_1)
06: (envelope-from <newsletter [at] companiacorazon.de>)
07: ID: [ID filtered]
08: Return-path: <newsletter [at] companiacorazon.de>
09: X-Envelope-to: [...]
10: Received: from [134.119.1.181] (helo=mx1.koebe-kommunikation.de)
11: by [...] with esmtps (TLSv1.2:[...]:256)
12: (Exim 4.90_1)
13: (envelope-from <newsletter [at] companiacorazon.de>)
14: ID: [ID filtered]
15: for [...]; Thu, 06 Jun 2019 [...] +0200
16: Received: from [192.168.0.7] (p5DEC44D5.dip0.t-ipconnect.de
17: [93.236.68.213])
18: (authenticated bits=0)
19: by mx1.koebe-kommunikation.de (8.14.4/8.14.4/Debian-4) with ESMTP ID: [ID filtered]
20: for <[...]>; Thu, 6 Jun 2019 [...] +0200
21: Message-ID: [ID filtered]
22: Mime-Version: 1.0
23: List-Unsubscribe: <mailto:admin [at] koebe-kommunikation.de>
24: From: FINCA ROTANA CORAZON <mail [at] premium-finca.de>
25: To: [...]
26: Subject: Genuss-, Wellness- und Erholungstage auf der FINCA ROTANA CORAZON - Mallorca
27: 2019
28: Date: Thu, 6 Jun 2019 [...] +0200
29: X-Received-SPF: none ( [...].de: domain of companiacorazon.de does not provide
30: an SPF record )

Schauen wir uns den Weg der Spammail an:
Abgeschickt wurde die Spammail von der IP-Adresse 93.236.68.213, diese gehört laut Domaintools zu einem Telekom-Anschluß in Reutlingen und paßt gut zu 72805 Lichtenstein.

Die an der Spamaktion beteidigten Domains und IP-Adressen:
koebe-kommunikation.de, 137.74.127.233, OVH, NS: domaindiscount24.net
mx1.koebe-kommunikation.de, 134.119.1.181, domainfactory GmbH, NS: domaindiscount24.net
premium-finca.de, 217.160.122.105, 1&1, NS: ui-dns
companiacorazon.de, 217.160.122.105, 1&1, NS: ui-dns

Die Spammail wurde offenkundig über die Infrastruktur von koebe-kommunikation.de von einem Telekon-Anschluß im Großraum Reutlingen versendet!

Hier nun der Textkörper, beworben werden die Domains koebe.de, fluege.de und premium-finca.de. Der Quelltext ist gespickt mit sogenannten "Webbugs", die scheinbar personenbezogene Daten an die Website koebe.de übermitteln:

2 Bonbon-Preise heute für Ihren Sommer- und Herbst-Urlaub 2019
auf der FINCA ROTANA CORAZON auf Mallorca

Liebe Finca Urlauber,

nutzen Sie heute unser Sommer- und Herbst - Special zum Kennenlernen:

Eine Auszeit nehmen, gutes Essen genießen, Tiefen-Entspannung finden, mal Ausschlafen, zur Ruhe kommen, Schwimmen, einen traumhaften Garten genießen ... dieses und noch mehr bietet Ihnen diese Traum-Finca, die ROTANA CORAZON auf Mallorca.

[...]

Flüge finden Sie immer problemlos bei Condor, TUIfly, Eurowings, Germanwings, Ryanair, Easyjet, Vueling, Laudamotion oder www.fluege.de etc.

Schnell und umfassend können Sie sich auf der Website www.premium-finca.de
im Detail über das Anwesen informieren.
Eine kompakte Infobroschüre steht Ihnen hier zum Download zur Verfügung.

[...]

Wir freuen uns auf Ihre Anfrage und verbleiben bis dahin
mit freundlichen Grüßen aus Lichtenstein / Württemberg

Julia Z[...] + Ulli K[...]
Das Team der FINCA ROTANA CORAZON

[...]

Buchungen, Reservierungen und weitere Informationen unter:
Tel.: 07129 936 8[...], Compania Corazon oder
www.premium-finca.de

© Compania Corazon | mail@premium-finca.de | Impressum
Gesetzlich vorgeschriebene Pflichtangaben fehlen in dieser Spammail. Alle in der Spammail enthaltenen Links führen auf die Websiten koebe.de und premium-finca.de. Twei typische Beispiele für einen Webbug ist der folgende Code,die [...] ersetzen Ketten mit rund 250 Zeichen:

<img src=3D"http://www=2Ekoebe=2Ede/data/lm/lm=[...]?tk=[...]&url=3D" height=3D"1" width=3D"1" />
http://www.koebe.de/data/lm/lm.php?tk=[...]&url=http%3A%2F%2Fwww.premium-finca.de%2Fimpressum.html
Das auf koebe.de hinterlegte Impressum zeigt merkwürdige VAT-IDs, die zu keinem EU-Staat passen. Der Standort paßt zur oben genannten IP der Telekom aus Reutlingen.

Nebelwolf