Heute ist bei mir eine Spammail eingetroffen, die ich als gefährlich einstufe. Der Absender einer derartigen Spammail verfolgt möglicherweise kriminelle Ziele, da er mit Hilfe der Mail heimlich Daten ausspäht kann, die die Voraussetzung für einen Angriff auf meine IT-Infrastruktur darstellen. Diesen Angriff hat die c't erst vor ein paar Wochen beschrieben, der Text ist jetzt öffentlich auf heise.de zu lesen:
[Link nur für registrierte Mitglieder sichtbar. ]
( https://www.heise.de/ct/artikel/Ein-Spam-Opfer-hackt-zurueck-4416729.html )
header:01: From - Thu Jun 6 [...] 201902: Delivery-date: Thu, 06 Jun 2019 [...] +020003: Received: from [...] (helo=[...])04: by [...] with esmtps (TLSv1.2:[...]:256)05: (Exim 4.90_1)06: (envelope-from <newsletter [at] companiacorazon.de>)07: ID: [ID filtered]08: Return-path: <newsletter [at] companiacorazon.de>09: X-Envelope-to: [...]10: Received: from [134.119.1.181] (helo=mx1.koebe-kommunikation.de)11: by [...] with esmtps (TLSv1.2:[...]:256)12: (Exim 4.90_1)13: (envelope-from <newsletter [at] companiacorazon.de>)14: ID: [ID filtered]15: for [...]; Thu, 06 Jun 2019 [...] +020016: Received: from [192.168.0.7] (p5DEC44D5.dip0.t-ipconnect.de17: [93.236.68.213])18: (authenticated bits=0)19: by mx1.koebe-kommunikation.de (8.14.4/8.14.4/Debian-4) with ESMTP ID: [ID filtered]20: for <[...]>; Thu, 6 Jun 2019 [...] +020021: Message-ID: [ID filtered]22: Mime-Version: 1.023: List-Unsubscribe: <mailto:admin [at] koebe-kommunikation.de>24: From: FINCA ROTANA CORAZON <mail [at] premium-finca.de>25: To: [...]26: Subject: Genuss-, Wellness- und Erholungstage auf der FINCA ROTANA CORAZON - Mallorca27: 201928: Date: Thu, 6 Jun 2019 [...] +020029: X-Received-SPF: none ( [...].de: domain of companiacorazon.de does not provide30: an SPF record )
Schauen wir uns den Weg der Spammail an:
Abgeschickt wurde die Spammail von der IP-Adresse 93.236.68.213, diese gehört laut Domaintools zu einem Telekom-Anschluß in Reutlingen und paßt gut zu 72805 Lichtenstein.
Die an der Spamaktion beteidigten Domains und IP-Adressen:
koebe-kommunikation.de, 137.74.127.233, OVH, NS: domaindiscount24.net
mx1.koebe-kommunikation.de, 134.119.1.181, domainfactory GmbH, NS: domaindiscount24.net
premium-finca.de, 217.160.122.105, 1&1, NS: ui-dns
companiacorazon.de, 217.160.122.105, 1&1, NS: ui-dns
Die Spammail wurde offenkundig über die Infrastruktur von koebe-kommunikation.de von einem Telekon-Anschluß im Großraum Reutlingen versendet!
Hier nun der Textkörper, beworben werden die Domains koebe.de, fluege.de und premium-finca.de. Der Quelltext ist gespickt mit sogenannten "Webbugs", die scheinbar personenbezogene Daten an die Website koebe.de übermitteln:
Gesetzlich vorgeschriebene Pflichtangaben fehlen in dieser Spammail. Alle in der Spammail enthaltenen Links führen auf die Websiten koebe.de und premium-finca.de. Twei typische Beispiele für einen Webbug ist der folgende Code,die [...] ersetzen Ketten mit rund 250 Zeichen:2 Bonbon-Preise heute für Ihren Sommer- und Herbst-Urlaub 2019
auf der FINCA ROTANA CORAZON auf Mallorca
Liebe Finca Urlauber,
nutzen Sie heute unser Sommer- und Herbst - Special zum Kennenlernen:
Eine Auszeit nehmen, gutes Essen genießen, Tiefen-Entspannung finden, mal Ausschlafen, zur Ruhe kommen, Schwimmen, einen traumhaften Garten genießen ... dieses und noch mehr bietet Ihnen diese Traum-Finca, die ROTANA CORAZON auf Mallorca.
[...]
Flüge finden Sie immer problemlos bei Condor, TUIfly, Eurowings, Germanwings, Ryanair, Easyjet, Vueling, Laudamotion oder www.fluege.de etc.
Schnell und umfassend können Sie sich auf der Website www.premium-finca.de
im Detail über das Anwesen informieren.
Eine kompakte Infobroschüre steht Ihnen hier zum Download zur Verfügung.
[...]
Wir freuen uns auf Ihre Anfrage und verbleiben bis dahin
mit freundlichen Grüßen aus Lichtenstein / Württemberg
Julia Z[...] + Ulli K[...]
Das Team der FINCA ROTANA CORAZON
[...]
Buchungen, Reservierungen und weitere Informationen unter:
Tel.: 07129 936 8[...], Compania Corazon oder
www.premium-finca.de
© Compania Corazon | [Link nur für registrierte Mitglieder sichtbar. ] | Impressum
<img src=3D"http://www=2Ekoebe=2Ede/data/lm/lm=[...]?tk=[...]&url=3D" height=3D"1" width=3D"1" />Das auf koebe.de hinterlegte Impressum zeigt merkwürdige VAT-IDs, die zu keinem EU-Staat passen. Der Standort paßt zur oben genannten IP der Telekom aus Reutlingen.http://www.koebe.de/data/lm/lm.php?tk=[...]&url=http%3A%2F%2Fwww.premium-finca.de%2Fimpressum.html
Nebelwolf
Lesezeichen