Der Spam Bericht September / Oktober / November
Der Spam Bericht
September / Oktober / November 2018
Das eigene E-Mail Postfach, gerne überflutet mit zahlreichen Nachrichten, eine belangloser als die nächste.
Für viele Nutzer wird es mittlerweile zur Qual sich einzuloggen und E-Mails zu prüfen.
Eine hohe Zahl der deutschen Nutzer ist bei sogenannten Free-Mail Anbietern untergebracht.
E-Mail Dienstleistungen dürfen auch im Jahre 2018 nichts mehr kosten. Ein eigenes Spam-Verzeichnis ist mittlerweile purer Luxus, viel Anbieter spülen jeden Mist ungeprüft in den Posteingang (Freenet hust).
Übrigens: bei Firmen ist es üblich erkannten Spam hart abzulehnen. Der Sender bekommt eine Fehlermeldung und die Nachricht gilt rechtlich als nicht zugestellt.
Anbieter, die E-Mails annehmen (E-Mail Server antwortet mit Code 250: OK) aber nicht in den Posteingang oder Spamordner zustellen, agieren zumindest rechtlich fragwürdig. Die E-Mail gilt nachweisbar als zugestellt, ihr bekommt sie aber nie zu Gesicht. Von Anbietern, die Blackholing betreiben, solltet ihr euch lieber verabschieden.
Was fliegt denn aktuell an den Filtern vorbei?
Ab und an passiert es, dass Zugangsdaten von Diensteanbietern geklaut werden, und meistens auch verkauft werden. In den letzten paar Monaten war das der Fall:
E-Mail Adressen, Passwörter und die letzten Ziffern der Telefonnummer wurden einem unbekannten Anbieter entwendet und veröffentlicht. Kriminelle schicken damit fiktive Drohungen und untermalen diese mit den geklauten Daten.
Die Drohungen erhalten meistens folgende Passagen: (Original auf Englisch)
Ich habe dein Gerät mit einem Trojaner infiziert.
Dein Passwort war ******* (hier steht das geklaute Passwort).
Ich habe gesehen, was für (Erwachsenen)-Seiten du besuchst.
Ich habe ein Video von deinem Bildschirm gemacht, und ein Video mit deiner Kamera was du so tust, während du auf diesen Seiten unterwegs bist.
Du hast einen sehr interessanten Geschmack ;-)
Du hast 48h Zeit xxx$ (meist ein Betrag zwischen $900 und $5000) auf folgende BitCoin Adresse zu überweisen.
Solltest du das nicht tun, schicke ich das Video an fünf Leute aus deiner Kontaktliste.
Ich habe in die Mail einen Trackingpixel eingebaut, der Timer läuft also.
So oder so ähnlich landet das bei mir 5x die Woche im Spamfilter.
Dabei wird für mehrere Opfer die gleiche BitCoin Adresse verwendet. Eine Überprüfung dieser Adressen in einem Blockchain Explorer für BitCoin ergibt, dass tatsächlich Opfer Geld auf diese Adressen transferieren.
Das ist ein gutes Beispiel, dass man für verschiedene Seiten verschiedene Passphrasen haben sollte.
Auch Wegwerfpassphrasen sollte man besitzen. In dem Fall liegt die Schande bei mir: das war nämlich eines der Wegwerfpassphrasen die ich für "billige" Dienste verwende. Damit ist die Quelle des Leaks nicht bestimmbar. (Wobei komplexere Passphrasen nicht in Rainbowtables stehen - bei beiden Varianten ist die Quelle schlecht ermittelbar).
Für diejenigen, die das ganze Ernst nehmen würden: lasst euch nicht bei so einem Müll filmen. Hinterfragt solche E-Mails immer. Als Erpresser würde ich dir einen Link zu dem vermeintlichen Video schicken um zu zeigen: a) ich habe ein Drohmittel in der Hand und b) das Zeug habe ich schon hochgeladen. Es ist also ein Leichtes Konsequenzen zu ziehen falls du nicht zahlst.
Und sonst so?
Na leere E-Mails. Da wissen die ganzen Spamfilter erst in 10 Jahren was das ist.
Hier sind mir zwei Kategorien untergekommen:
die ganz leeren Mails. (Fast) komplett ohne verwertbaren Inhalt. Der Sinn dahinter ist mir noch nicht ganz bewusst.
Mutmaßlich lässt sich aber sagen: der Absender weiß, dass meine Mailadresse existiert und dass es einen Server gibt, der Mails unter dieser Adresse von jenem Absender annimmt.
Der Absender weiß umso mehr von mir, wenn ich auf "Antworten" klicke und hinterfrage, warum mir eine leere Mail geschickt wird.die scheinbar leere E-Mail. Fällt dadurch auf, dass externe Ressourcen nachgeladen werden sollen.
Diese Mails enthalten sog. Trackingpixel. E-Mail ist seit Jahren ein Multimedia Format (damit die Newsletter schön bunt sind und gut aussehen) und kann deshalb HTML ausführen.
Es wird also auf eine Ressource verwiesen, die als unsichtbar und in der Größe 1x1 px nachgeladen wird.
Sieht im Quelltext so aus:
<img id="img_tracker" src="http://example.com/tracking-resource/75aec868-87e0-4529-8cf0-f9ecffdb1f3a" style="display: none; position: absolute; width: 1px; height: 1px;">
Die Zahlenkolonne in der URL ist dann noch mir zugeordnet. Ein purer Informationsgewinn für jeden Angreifer:
- der Absender weiß, dass die Adresse existiert.
- der Absender kennt den Server, der diese Mail annimmt.
- einige Spamfilter besuchen sogar diese URL um zu prüfen, ob auf Schadsoftware verlinkt wird. Der Absender kennt also die IP Adresse meines Spamfilters und die Signatur.
- wenn ich auf Antworten klicke...
- der Absender kennt meine IP Adresse, mein verwendetes Betriebssystem und den verwendeten Mailclient.
- der Absender weiß, dass mein Mail-Client HTML unterstützt.
- der Absender weiß, dass der Client oder der Nutzer ungefragt Fremdinhalte nachlädt.
Und all das kann der Absender durch die einzigartige Zeichenkette meiner E-Mail Adresse zuordnen.
Zugegeben eine ganze Menge an Infos die hier gewonnen werden. Für Angriffe auf Firmen bestimmt Gold wert.
Punkt 3 ist besonders knusprig: IP und Signatur des Scanners sind bekannt. D.h. beim nächsten Angriff kann der Webserver unterscheiden, ob da gerade ein Scanner oder Client darauf zugreift. Dem Spamfilter liefere ich dann ganz einfach eine andere Datei aus als dem Mailclient. Ich kann ja jetzt beide von Einander unterscheiden und kenne auch das Verhalten beider.
Welches Fazit kann man daraus ziehen?
Ganz klar: leere Nachrichten sind sorgsam zu betrachten. Insbesondere wenn der Client fragt, ob externe Inhalte geladen werden dürfen.
Sind eure empfangenen Newsletter immer automatisch bunt: hier muss zwingend die Option gesetzt werden, dass hier eine Nachfrage stattzufinden hat. Dein Mailclient kann das nicht? Hol dir einen gescheiten Mailclient. Ich empfehle Thunderbird.
P.S.: E-Mail darf auch etwas kosten. Es gibt bereits gute Angebote für nur 1€/Monat.
Über Mail verschickt man meistens wichtige Sachen. (Für ein billiges "Hallo, wie geht es dir?" gibt es mittlerweile Whatsapp / SMS & Co. Auch geil: der Telefonhörer! - die einzigen bei denen das nicht klappt sind meine Eltern und gewisse Freunde mit Klapphandy). Für einen Brief gönnst du dir doch auch die 70ct Porto.
Diese Angebote bieten dir zu wenig Speicherplatz? E-Mail ist keine Dateiablage. Oder lagerst du in deinem Zeitungsständer auch immer 20 Romane?
Soll gut sein: https://mailbox.org/de/
Soll auch gut sein: https://posteo.de/de
Die wunderschöne Grafik für das Thumbnail habe ich kreatikar von Pixabay entnommen.
Ja, er lebt noch (wieder?). Einen Blog zu füllen mit anspruchsvollen Inhalten erfordert viel Durchhaltevermögen.
Man befindet sich im Internet, dem sollte man sich stets bewusst sein. Und das Internet ist rau. Schön, dass du hier nochmal an die Achtsamkeit eines jeden appelierst.
Ich habe schon von Polizisten gehört, die sich bei soetwas anwaltlich beraten haben lassen: "Kann das sein". Der Fakt, dass zumindest einige darauf reinfallen ist alarmierend.
Man könnte in Zusammenarbeit mit der Polizei einfach mal schauen, wo die BTC getradet werden, dann dort die Polizei die Exchange anfragen, sodass die den Namen rausrücken und schon hat man wen zum anklagen. ^^
Funktioniert aber nur bei bitcoin.de ;-)
Hallo ich bin Mikrobi,
dein Beitrag hat mir sehr gut gefallen und du bekommst von mir Upvote.
Ich bin ein Testbot, wenn ich alles richtig gemacht habe, findest du deinen Beitrag in meinem Report wieder.
LG
Mikrobi
Seltsam. Ich habe null Mailscamspam! Also Twitch hatte mir mal alles vollgepumpt, aber da ich da nicht mehr schaue, ist das auch vorbei.
Wäre aber auch egal, denn die wirklich wichtigen Nachrichten kommen auf anderen Mail-Konten an. (Wobei die ziemlich leer sind...)
Interessant, das wusste ich noch gar nicht. Ich hoste meine E-Mails selbst auf meinem V-Server. Da arbeite ich mit Postfix und Spam-Assassin, allerdings flagt der die E-Mails bei mir glaube ich nur. Da sollte ich wohl nochmal die Konfiguration anschauen und mal gucken, ob ich ihn nicht dazu bekomme die direkt mit Fehlermeldung abzulehnen.
Congratulations @unixfriend! You received a personal award!
Click here to view your Board