Qualifizierter Spam

In den letzten Wochen habe ich immer mehr Anfragen von Personen gehabt, die viele "Unzustellbarkeiten" in ihrem Postfach gefunden haben. Ein klarer Fall von NDR-Spamming. Da sendet also wieder jemand mit einer fremden Absenderadresse. Soweit wäre das nichts besonderes, wenn man sich aus den Unzustellbarkeiten die Adressen genauer anschaut:

Hier mal eine Mail, die natürlich komplett gefälscht ist.

Man sieht auch, dass sich der Versender nicht viel Mühe gegeben hat, da bestimmte Namen doppelt erscheinen. Aber wer in der öffentlichen Mailingliste "ESUSG" Mitglied war, wird einige der Empfänger erkennen. Womit sich die Frage stellt, wie ein Spammer an so eine qualifizierte Liste gekommen ist.

In einem zweiten Fall hat angeblich ein Mitarbeiter von Net at Work so eine Spam-Mail von seinem Privat-Konto versendet. Viele der Empfänger waren auch hier keine "unbekannten Postfächer" sondern tatsächlich Personen, mit denen er durchaus in Kontakt gestanden hat. In dem Fall sogar viele Postfächer in der gleichen Firma, für die wir sogar tätig sind. Da schrillen natürlich erst mal die Alarmglocken, denn irgendwo müssen diese "guten Adressen" ja herkommen. Mit Hilfe eines der Empfänger konnten wir aber auch hier nachweisen dass die Mail nicht aus unserem Einzugsbereich stammt, sondern beim ersten vertrauenswürdigen Mailserver von einer asiatischen IP-Adresse eingeliefert wurde.

In beiden Fällen haben die Absender natürlich keine Vorkehrungen getroffen, um die Authentizität der Mail sicher zustellen und Mailservern eine Überprüfung des Absenders zu erlauben. Verfahren und Möglichkeiten gibt es schon, z.B.

Insofern ist es immer noch sehr einfach, eine Mail mit einem falschen Absender in die Welt zu pusten und sich nicht weiter um Rückläufer zu kümmern.

Interessant, dass Geheimdienste und Ermittlungsbehörden angeblich alles überwachen und mithören aber solche Personen letztlich doch nicht dingfest machen können. Das grenzt ja schon an Strafvereitelung im Amt, wenn

Viele bekannte Namen

Dennoch bleibt hier die Frage, woher dieses Detailwissen kommen kann. Da gibt es leider ein paar Optionen.

  • Absender hat einen Kontakt-Sammel- Trojaner
    Erster Ansatz war, dass ein Schadcode auf dem PC die Kontakte ausgelesen und nach extern geleitet hat. Diese Technik ist schon sehr alt und diente in der Zeit, ehe Personen ihre Kontaktdaten in Facebook, Twitter, Webseiten, Foren etc. publiziert haben, als Sammelwerkzeug für gute Mailadressen.
  • Postfach statt Kontakte
    Nu hat Outlook ja schon vor vielen Jahren dafür gesorgt, dass ein Zugriff auf die Kontakte per API durch eine Warnung blockiert wird. Ein Schadcode muss aber gar nicht mehr die Kontakte auslesen, sondern kann sehr problemlos auch den "Posteingang" und "Gesendete Objekte" auslesen und daraus sogar Kommunikationsbeziehungen ermitteln. Das ist sogar noch wertvoller, da ein Trojaner ja nun sogar weiß, wer mit wem kommuniziert und geschickt eine "Antwort" erstellen könnte.
  • Absender hat einen "Versand-Trojaner"
    Wenn jemand sich schon einen Trojaner eingefangen hat, dann könnte der ja auch direkt die Mails "als Anwender "versenden. Womöglich sogar mit digitaler Signatur und um SPF-Records zu umgehen. Allerdings wurden alle Mails, die ich abgefangen habe, über scheinbar "offene Relays" in der Welt versendet und nicht über den PC oder den Mailrouter des Absenders.
    Das ist zwar keine 100% Entwarnung aber eher ein Zeichen, dass der Spammer nicht das Absendersystem kompromittiert hat.
  • Einer der Empfänger wurde gekapert
    Wer immer eine Mail per AN/CC statt BCC an mehrere Leute sendet, muss damit leben, dass nicht nur der Empfänger die anderen Empfänger und den Absender sehen kann. Damit reicht es wenn einer der vielen Empfänger sich etwas einfängt, was genau diese Daten auswertet. Hier können es genau die gleichen Angriffsvektoren zum Einsatz kommen.
  • MessageTracking ?
    Immer mehr Mailserver verschlüsseln ihre Nachrichten auf dem Transport per TLS. Aber auf dem Mailsystem selbst sind die Nachrichten zwar ggfls. per SMIME oder PGP verschlüsselt, nicht aber der "Umschlag" (Envelope). Technische wäre es möglich, dass ein Schadcode oder ein krimineller Admin auf dem Mailserver die Logs extrahiert, in denen die "MAIL FROM" und "RCPT TO"-Adresse enthalten ist.

Aktuell weiß ich noch nicht, wie ein Spammer an solche Mailadressen gekommen ist, die zumindest nicht komplett ohne Zusammenhang wären. Dass es aber Listen zu sein scheinen könnte man daran ablesen, dass die Adressen alphabetisch sortiert sind.

Weitere Links