PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Verwendet Richpro gestohlene persönliche Nutzerdaten, die bei Adobe.com erbeutet wurd



Martin Belz
12.12.2015, 09:56
Seit Jahren erstelle ich für jede Registrierung eine eigene und somit einzigartige E.Mailadresse.
Wird bei einen Anbieter, die Datenbank gehackt oder gibt es bei diesen ein Datenleck, kann ich
aufkommenden Spam und Phishing direkt nachvollziehen.
Von Zeit zur Zeit kontrolliere ich meinen E.Mail-Honeypot.
In diesen landen alle Spam & Phishing E.Mails von gehakten Accounts.

Und siehe da, eine E.Mailadresse wird neuerdings mit Krankenkassenspam zugemüllt.
Diese wurde bei Adobe.com verwendet, wir erinnern uns Adobe.com wurde gehackt.

Der Verursacher verweist auf die Seite xxx. krankenkasse2015.de
Laut Impressum ist der Betreiber:

Richpro Internet GmbH
Otto-von-Guericke-Str.
Braunschweig
Vertreten durch den Geschäftsführer T. R.


"Return-Path: <system [at] bnm-server.com>
Received: from xxxxx.xxxxxxxxxx.de ([unix socket])
by xxxxx.xxxxxxxxxx.de (xxxxxxxxxxxxxxxxxxxxxxxx) with LMTPA;
xxx, xx Oct 2015 xx:xx:xx +0100
X-Sieve: CMU Sieve 2.2
Received: by xxxxx.xxxxxxxxxx.de (Postfix, from userID: [ID filtered]
ID: [ID filtered]
X-Spam-Checker-Version: SpamAssassin 3.3.1 (2010-03-16) on xxxxx.xxxxxxxxxx.de
X-Spam-Level: *
X-Spam-Status: No, score=1.6 required=5.0 tests=BAYES_50,HTML_IMAGE_ONLY_32,
HTML_MESSAGE,RDNS_NONE,URIBL_BLOCKED autolearn=no version=3.3.1
Received: from localhost (localhost.localdomain [127.0.0.1])
by xxxxx.xxxxxxxxxx.de (Postfix) with ESMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Tue, xx Oct 2015 xx:xx:xx +0100 (CET)
X-Virus-Scanned: xxxxxxxxxxxx at xxxxx.xxxxxxxxxx.xx
Received: from xxxxx.xxxxxxxxxx.xx ([xx.xxx.xxx.xxx])
by localhost (xxxxx.xxxxxxxxxx.de [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP ID: [ID filtered]
Tue, xx Oct 2015 xx:xx:xx +0100 (CET)
X-Greylist: delayed 558 seconds by postgrey-1.32 at xxxxx.xxxxxxxxxx.de; Tue, xx Oct 2015 xx:xx:xx CET
Received: from s5.bnm-server.com (s5.bnm-server.com [185.117.230.11])
(using TLSv1 with cipher ADH-AES256-SHA (256/256 bits))
(No client certificate requested)
by xxxxx.xxxxxxxxxx.de (Postfix) with ESMTPS ID: [ID filtered]
for <poor [at] spamvictim.tld>; Tue, xx Oct 2015 xx:xx:xx +0100 (CET)
Received: by s5.bnm-server.com (Postfix, from userID: [ID filtered]
ID: [ID filtered]
Subject: Sind Sie unter 55 Jahre alt?
To: ""Kundennr. xxxxxxxxxxxx"" <poor [at] spamvictim.tld>
From: ""Nora Weyer"" <system [at] bnm-server.com>
Reply-To: <info [at] bnm-server.com>
Date: Tue, xx Oct 2015 xx:xx:xx +0100
Message-ID: [ID filtered]
List-Unsubscribe: <h ttp://w ww.bnm-server.com/usr/nlu.php?[UNSUB filtered]>
X-SWM-BOUNCE: xxxxxxxxxxxxx
List-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=""----=_NextPart_xxxxxxxxxxxxx""

This is a multi-part message in MIME format.

------=_NextPart_xxxxxxxxxxxxx
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain; charset=""iso-8859-1"""




Nachrichteninhalt:
Guten Tag Kundennr. xxxxxxxx,

Alle Leser die unter 55 Jahre alt sind können jetzt mit
enormen Einsparungenbei der Krankenverischerung rechnen.

Unter 30 Jahre alt / ab 59,00 Euro/mtl.
Unter 40 Jahre alt / ab 69,00 Euro/mtl.
Unter 55 Jahre alt / ab 75,60 Euro/mtl.

Jetzt ansehen:
xxx. krankenkasse2015.de/vergleich.html

Möglich machen dieses die neuen Privat-Tarife. Sie werden
mehr Netto-Gehalt erhalten, da Sie jeden Monat Geld sparen.

Sie sind über 55 Jahre alt? Auch hier können Sie Geld einsparen.

Mit freundlichen Grüßen,

Nora Weyer
Kundenbetreuung


In weiteren Spamnachrichten nutz der Spammer folgende Adresse, xxx. hjk-server.com/pkv/vergleich.html

Martin Belz
12.12.2015, 10:59
Leider wurde der Titel aufgrund der Länge gekürzt. Der Titel lautet: Verwendet Richpro gestohlene persönliche Nutzerdaten, die bei Adobe.com erbeutet wurden?

euregio
12.12.2015, 11:11
Aufschluß darüber könnte nur eine Datenauskunft bringen. Diese würde ich dann einfach mal bei dem entsprechenden Unternehmen anfordern. Aber nicht wundern wenn als Datenherkunft Olga Kalashnikov oder Peter Owusu Yebuah aus Liberia genannt werden.
Gerade bei Krankenkassen Spam ist es immer wieder erstaunlich welche Wege die Daten nehmen. Belize, Dubai, Malta und andere Länder scheinen sehr eng mit dem Geschäft verflochten zu sein. Wahrscheinlich trägt es einen Hauptteil zum Bruttosozialprodukt bei.
Wenn Du den Verdacht hast das hier gewerbsmäßiger Datendiebstahl stattgefunden hat, solltest du die o.g. Schilderung in eine Strafanzeige bei der Polizei einfließen lassen. Unter Umständen wäre es auch interessant einen solchen Tatbestand dem betroffenen Unternehmen vorzutragen. Adobe hat meines Wissens einen US Gerichtsstand bzw. einen europäischen in Irland und ist nicht zimperlich bei der Aufklärung von Straftaten bzw. Lizenzvergehen.

schara56
12.12.2015, 11:19
Die Spam kam von der IPv4-Adresse 185.117.230.11

22: Received: from s5.bnm-server.com (s5.bnm-server.com [185.117.230.11])
23: (using TLSv1 with cipher ADH-AES256-SHA (256/256 bits))
24: (No client certificate requested)
25: by xxxxx.xxxxxxxxxx.de (Postfix) with ESMTPS ID: [ID filtered]
26: for <poor [at] spamvictim.tld>; Tue, xx Oct 2015 xx:xx:xx +0100 (CET)

Dahinter steckt der Betreiber gem. Whois:

inetnum: 185.117.228.0 - 185.117.231.255
netname: DE-RICHVESTOR-20150917
descr: Richvestor GmbH
country: DE
org: ORG-RG64-RIPE
admin-c: TR4651-RIPE
tech-c: TR4651-RIPE
status: ALLOCATED PA
mnt-by: RIPE-NCC-HM-MNT
mnt-lower: de-richvestor-1-mnt
mnt-routes: OCOM-MNT
changed: hostmaster [at] ripe.net 20150917
changed: bit-bucket [at] ripe.net 20150921
created: 2015-09-17Txx:xx:xxZ
last-modified: 2015-09-21Txx:xx:xxZ
source: RIPE

Beworben wird die URL krankenkasse2015.de (81.169.179.94) - lt. DeNIC ist diese Domain folgendem Unternehmen zugeordnet:

Organisation: Richpro Internet GmbH ( Kundenservice )
Adresse: Otto v. Guericke Str. 1
PLZ: 38122
Ort: Braunschweig
Land: DE

Da würde ich mal mit der volle RA-Breitseite feuern: Spam kommt von der Richvestor GmbH und bewirbt eine Domain von der Richpro Internet GmbH. Ich brauche wohl nicht erwähnen wer hinter den beiden Firmen steckt.

Ganz nebenbei:
Man kann seine verschiedenen Logins / E-Mail-Adressen hier prüfen lassen: https://haveibeenpwned.com

hoppala
12.12.2015, 11:39
Dass T.R. hinter dem Spam steckt, steht ja außer Frage.
Die interessante Frage hier wäre aber eben, auf welchem Weg die Adresse von adobe.com zu T.R. gelangt ist.
Ich denke, dass er seine Adressen nicht selbst "generiert", sondern Listen von einschlägigen dubiosen Quellen kauft. Das dürften tatsächlich irgendwelche Fantasieunternehmen sein, an deren Hintermänner man nicht rankommt. Möglicherweise ist das Ganze auch noch mehrstufig, d.h. selbst wenn man diese Unternehmen greifen könnte, hätte man damit noch nicht denjenigen, der die Daten bei adobe.com geklaut hat, das dürfte irgendeine Hackergruppe sein, die solche Sachen professionell macht, aber selbst nur auf dem Schwarzmarkt auftritt und nicht als "Unternehmen" identifizierbar ist.
Insofern hat die Frage nach der Datenherkunft bei T.R. wenig Aussicht auf Erfolg.

Was mich immer wieder wundert, ist die Bereitschaft "seriöser" Internetunternehmen, mit nachweislichen Spammern wie T.R. weiterhin Peering zu betreiben. In diesem Fall (leaseweb) schreibe ich seriös bewusst in Anführungszeichen. Leider ist leaseweb zu groß und zu gut angebunden und hostet auch legitime Dienste, so dass keiner sich trauen wird, sie abzuklemmen.
Aber IP-Bereiche wie z.B. 185.117.228.0/22 nullrouten sollte doch eigentlich für große Mail-Anbieter machbar sein - oder begibt man sich damit auf juristisches Glatteis? Ich weiß, dass es bei kleinen Mailservern (ein paar tausend Mailboxen) sehr gut wirkt, es hat jedenfalls das Spamaufkommen aus der Ecke deutlich besser eingedämmt als es jede Beschwerde tun könnte :-)

hoppala

KaiHH
12.12.2015, 11:56
Moinsen,

ich finde Die Idee, dass man adobe und T.R. mal "bekannt" machen sollte eigentlich ziemlich gut.

Zumal unser lieber T.R. in den Staaten ja seine *hust* Kirche hat, diesen Umstand würde ich adobe auch mitteilen, denn ich kann mir vorstellen, dass die Behörden in den USA auch gerne im eigenen Land eine Zugriffsmöglichkeit haben möchten...

Zumindest kann es nicht schaden seinen "Ruf" dort auch mal an ihn anzupassen.

Gruß
Kai

schara56
12.12.2015, 13:08
...] In weiteren Spamnachrichten nutz der Spammer folgende Adresse, xxx. hjk-server.com/pkv/vergleich.htmlInteressant: das Impressum auf der Seite (http://hjk-server.com/pkv/impressum.html) benennt die Richpro Internet GmbH. Für die *.com-Adresse hätte ich eher jemanden aus Belize erwartet.

Gesammelt wird hier:

<form method="post" action="http://www.richkunden.de/order/nl.php">
<input type="hidden" name="MailingListId" value="8" />
<input type="hidden" name="FormId" value="1" />
<input type="hidden" name="FormEncoding" value="iso-8859-1" />
<input type="hidden" name="Action" value="subscribe" checked="checked" />

Martin Belz
12.12.2015, 13:42
Hallo zusammen,

die Adobe Accountdaten wurden nach bekannt werden des Hackangriffes natürlich geändert.
Und die erbeutete E.Mailadresse wird bei mir intern umgeleitet, dieses Postfach kontrolliere ich dann gelegentlich.

In Sachen Datenauskunft und UE habe ich T.R. schon in der Vergangenheit (März 2014) , wegen zwei bespammten E.Mailadressen angeschrieben; jedoch erhielt keine Antwort. Im Gegenzug, nahm das Spamaufkommen bei den betreffenden E.Mailadressen zu. Der Spammer änderte natürlich auch seine Taktik, ein zurückverfolgen war aufgrund WhoisProtect, nicht ohne weiteres möglich.

Im Netz habe ich eine interessante Entdeckung gemacht …….
Besteht vielleicht die Möglichkeit, diesen Beitrag für die Öffentlichkeit zu sperren. (Mach einen dummen nicht schlau, den bekommt man nie wieder dumm)
Vermutlich seID: [ID filtered]

KaiHH
12.12.2015, 19:15
Berlin, Germany
American Embassy: 011-49-30-238-5174
Frankfurt Suboffice
American Consulate: 011-49-69-7535-0
Nations covered: Germany


Falls da ermittelt werden sollte, von Seiten der US-Behörden.. ;)