Google Meet Spam

Es war ja nur eine Frage der Zeit bis Spammer und "Agenten" auch Google als Spamversender missbrauchen.

Die Einladung

Am 27. Nov 2020 ist folgende "Termineinladung" in einem Testpostfach aufgeschlagen

Da ich kein Russisch verstehe, habe ich "deepl.com" als Übersetzer bemüht und die Texte sind schon eindeutig.

Sie wurden zu der Veranstaltung eingeladen. IHRER KARTE WIRD DAS GELD ZURÜCKERSTATTET, DAS SIE ZUVOR ABGEHOBEN HABEN....
...Auf der Grundlage der Prüfung wurde die Tatsache des Geldtransfers von Ihrer Bankkarte aufgedeckt. Unsere Staatskompanie ist gesetzlich befugt, Ihnen den vollen geschuldeten Geldbetrag zu zahlen.

Insofern ist die Intention sehr leicht zu durchschauen. Sie sollten die Mail aber besser einfach löschen, denn bei einer "Absage" könnte es ja passieren, dass Sie dem Absender unabsichtlich eine Rückmeldung zukommen lassen.

Wenn Sie über "Absagen" gehen, dann sollten Sie auf keinen Fall eine Antwort senden da damit der Absender ihre Mailadresse verifiziert hat.

Header

Auch bei einer Termineinladung kann man einen "Header" anschauen und der ist natürlich an vielen Stellen per UTF-8 codiert, damit auch russische Zeichen übertragen werden können. Ich habe einige Felder gekürzt, da Sie nicht weiter relevant sind. Die Mail kam aber schon über ein Google Mail-Konto mit der Adresse "zmagyskww@gmail.com".

Received: from mail-ed1-f73.google.com ([209.85.208.73]) by mx.kundenserver.de
 (mxeue010 [212.227.15.41]) with ESMTPS (Nemesis) id 1Mn1BX-1kJmfW2BdP-00kBDf
 for <xxxxx@carius.de>; Fri, 27 Nov 2020 18:58:41 +0100
Received: by mail-ed1-f73.google.com with SMTP id b68so2694562edf.9
        for <xxxx@carius.de>; Fri, 27 Nov 2020 09:58:41 -0800 (PST)
Reply-To: <zmagyskww@gmail.com>
From: <zmagyskww@gmail.com>
Sender: =?UTF-8?B?R29vZ2xlINCa0LDQu9C10L3QtNCw0YDRjA==?= <calendar-notification@google.com>
To: <xxxxxx@carius.de>
Subject: =?UTF-8?B?0J/QoNCe0JLQntCU0JjQotCh0K8g0JrQntCc0J/QldCd0KHQkNCm0JjQryDQoQ==?=
	=?UTF-8?B?0J3Qr9Ci0KvQpSDQoNCQ0J3QldCVINCU0JXQndCV0JMg0KEg0JLQkNCo0JXQmSA=?=
	=?UTF-8?B?0JrQkNCg0KLQqw==?=
Date: Fri, 27 Nov 2020 18:58:41 +0100
Message-ID: <0000000000002119b105b51a6914@google.com>
MIME-Version: 1.0
Content-Type: multipart/mixed;
	boundary="00000000000021199305b51a6913"
X-Mailer: Microsoft Outlook 16.0
Thread-Index: xxxxxx+hnqLBOpkw==
X-Spam-Flag: NO
 qmJAWK6/bM9wMBlkbmy9mQhPHlRsbeUUWtoXuVU=
X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=1e100.net; s=20161025;
        h=x-gm-message-state:mime-version:reply-to:sender:message-id:date
         :subject:from:to;
        bh=0d/W5ZkIsUJ62db4KXGWDIdl3v/uYhRLBbwH8OOi+/s=;
        b=xxxxxxxxxxxxxxxxxxxxxx
         bElQ==
X-Gm-Message-State: AOAM531ztWGzHOq6LnMnhP9LjJTeqYMxdk9jx+DzvqFgzj5EDZxN2gR9
	Mv3ADJVUX4AKPHUImYkrluQE+D/JvxKuCJhjFU/6
X-Google-Smtp-Source: ABdhPJz+xxxx/xxxx
X-Received: by 2002:a17:906:af43:: with SMTP id ly3mr9197093ejb.369.1606499921104;
 Fri, 27 Nov 2020 09:58:41 -0800 (PST)
X-OlkEid: xxxxxxxxxxxxxxxxxxxxxx
X-MS-TNEF-Correlator: <0000000000002119b105b51a6914@google.com>

This is a multipart message in MIME format.

--00000000000021199305b51a6913
Content-Type: text/plain;
	charset="UTF-8"
Content-Transfer-Encoding: 8bit


--00000000000021199305b51a6913
Content-Type: application/ms-tnef;
	name="winmail.dat"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
	filename="winmail.dat"


--00000000000021199305b51a6913--

Interessant ist hierbei, dass der Absender angeblich "Outlook" siehe "X-Mailer: Microsoft Outlook 16.0" nutzt un die Mail neben einer Text-Version auch eine "TNEF"-Version hat aber anscheinen keine HTML-Version. Mein Client dürfte also die TNEF-Version angezeigt haben und hat den Termin sogar schon "unter Vorbehalt" im Kalender angelegt.

Das kann natürlich schon sehr störend sein, wenn sehr viele Spammer diesen "Trick" verwenden und damit den Kalender eines Anwenders füllen.

Gegenmaßnahmen

Als Empfänger so einer Mail sind Gegenmaßnahmen nicht einfach, da die Mail ja von Google gesendet wird und sowohl SPF, SenderID passen und im Header auch eine gültiger DKIM-Signatur ist. Ein Spamfilter, der hier prüft, wird erst einmal nichts erkennen. Der Absender macht ziemlich viel richtig und wenn er nur wenige Mails pro Ziel sendet, ist auch mit Stochastik nicht viel möglich. Auch der Aufbau der Mail ist eine ganz gewöhnliche Termineinladung, wie die Geschäftskunden tagtäglich verwenden dürften. In dem Beispiel könnte natürlich die ungewöhnliche Sprache einen Spamfilter alarmieren aber nur deswegen wird er die Mail nicht ablehnen.

Ich bin sicher, dass Google so einen Missbrauch schnell verhindern wird und hier zeigt sich auch, dass die Provider gefordert sind. Für einen Spammer "lohnt" sich so ein Missbrauch nur, wenn er viele Mails in kurzer Zeit absendet. Die Rate von Empfänger, die so ein Meeting annehmen und dann noch im Meeting sich "überrumpeln" lassen dürfte nicht allzu große sein. Aber solange auch nur wenige Personen drauf rein fallen, kann der Spammer gewinnen.

Allerdings sendet im "Regelfall" ein Anwender nicht tausende von Termineinladungen an andere Domänen und ich kann nur hoffen, dass Google hier, analog zu Microsoft, entsprechende Grenzwerte einzieht. Die Angaben sind aber nicht sehr genaut

If a user sends 10,000 invites in a short period, the user’s calendar might go into read-only mode.
Quelle: Avoid Calendar use limits  - https://support.google.com/a/answer/2905486?hl=en

Aber auch für die Gäste gibt es limits.

To prevent spamming, Google Calendar limits the number of emails a user can send to external guests with the ‘Email Guests’ feature.
Quelle: Avoid Calendar use limits  - https://support.google.com/a/answer/2905486?hl=en

Allerdings gibt hier Google schon 2000 Mails an, was aus meiner Sicht sehr viele sind. Es gibt aber noch ein weitere Limit

For the legacy free edition of G Suite and Google Workspace trial accounts, limits are lower than those stated above.
Quelle: Avoid Calendar use limits  - https://support.google.com/a/answer/2905486?hl=en

Ohne aber die Limits genauer anzugeben. Leider gibt es in der Einladung selbst anscheinen keinen Link, mit dem der Empfänger die Einladung als "Spam/Unerwünscht" an Google melden kann. Ich habe Sie testweise an abuse@google.com gesendet und warte mal ab.

Wenn Sie z.B. nach "google invite spam" suchen, gibt es schon einige Artikel, die das Problem thematisieren. Allerdings eher in der umgekehrten Richtung, dass Google Calendar-Anwender ihren Kalender gefüllt wurde.

Weitere Links