Termin-Spam

Inhaltsverzeichnis

Die fragliche Mail
Header
Spam im Kalender und auf dem mobilen Client
Absage ?
Weitere Links

Eigentlich habe ich mich schon gewundert, dass darauf noch nicht früher ein Spammer gekommen ist. Am 26.4 hat es dann aber ein polnischer Server geschafft, mit eine Spam-Mails in Form einer Termineinladung zu senden. Das ist insofern vielleicht eine bessere Idee, da Exchange und Outlook gerne solche Termineinladungen schon als "Vorreservierung" in dem Kalender mit anzeigen und sogar Erinnerungen möglich sind. Sie wird dann auch auf dem Smartphone schon als Termin angezeigt.

Auch verleitet das andere Icon den Empfänger vielleicht eher dazu, dieser Anfrage seine Aufmerksamkeit zu schenken.

Die fragliche Mail

Dass diese erste Mail noch nicht so richtig durchdacht war, kann man schon dran erkennen, dass es ein "Ganztags-Termin" war. Pfiffiger wäre es gewesen, wenn die Anfrage sich z.B.: auf 30 Minuten in der näheren Zukunft bezogen hätte:

Hier die Mail in voller Pracht.

Die Sprache dürfte aber eher dem niederländischen Kreis angehören und handelt von Angeboten für Kredite. In der Hinsicht schon mal nichts neues.

Interessant wird das doch mal, wenn eine Termineinladung mit angehängter PowerPoint-Datei zur Präsentation eintrifft. Die PowerPoint-Datei wäre dann aber wieder ein Trojaner a la Locky und Co.

Header

Natürlich steht auch ein Blick in den Header an. Hier ist recht schnell zu sehen, dass die Mail gar keine großen Umwege genommen hat sondern in zwei Stationen von einem angeblichen GroupWise-System in Polen zum Provider gelaufen ist. Hinter www.up.wroc.pl steckt natürlich wieder eine Universität und das Konto dürfte also entweder gehackt worden sein oder ein Trojaner bedient sich dem Versand.

Received: from karnet.up.wroc.pl ([156.17.187.240]) by mx.emig.kundenserver.de
 (mxeue008) with ESMTPS (Nemesis) id 0MgM1n-1b6Z4V1CkA-00NgC2 for
 <Carsten@Carius.de>; Tue, 26 Apr 2016 09:29:57 +0200
Received: from jowisz.up.wroc.pl ([156.17.187.230] helo=up.wroc.pl)
	by karnet.up.wroc.pl with esmtp (Exim 4.68)
	(envelope-from <maria.pytlarz-kozickax@up.wroc.pl>)
	id 1auxOI-0003GQ-1u
	for Frankc@Carius.de; Tue, 26 Apr 2016 09:26:42 +0200
Received: from UPDOMEX-MTA by up.wroc.pl
	with Novell_GroupWise; Tue, 26 Apr 2016 09:06:15 +0200
Message-Id: <571F2F85020000D00001FA46@up.wroc.pl>
X-Mailer: Novell GroupWise Internet Agent 14.0.1 
Content-class: urn:content-classes:calendarmessage
Date: Tue, 26 Apr 2016 09:06:13 +0200
From: "Maria Pytlarz-Kozicka" <maria.pytlarz-kozicka@up.wroc.pl>
Subject: 
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary="=__Part46700375.16__="
Envelope-To: <frankc@carius.de>

Dass diese Nachricht nicht als Mail sondern als Terminanfrage erscheint ist der einen Zeile hier geschuldet.

Content-class: urn:content-classes:calendarmessage

Spam im Kalender und auf dem mobilen Client

Normalerweise landen Mails im Posteingang und warten darauf, gelesen zu werden. Für Terminanfragen gibt es aber zumindest in der Exchange/Outlook-Welt eine Besonderheit. Sowohl Outlook als auch Exchange können die Terminanfragen "erkennen" und tragen diese je nach Einstellung schon mal im Kalender ein.

Für den Anwender ist das insofern angenehm, wenn Termine selbst ohne die Mail gelesen zu haben schon "unter Vorbehalt" im Kalender stehen und damit Mehrfachbuchungen reduziert werden. Speziell intern können anderen Mitarbeiter ja sehen (Stichwort Frei/Belegt Zeiten), wann ein Teilnehmer für das Meeting frei ist.

Schlägt die gleiche Logik aber nun auch auf solche externen TerminSpam-Mails zu, dann hat das natürlich ein komplett neues Störpotential. Nicht nur, dass so eine Mail einen Zeitraum im Kalender eines Mitarbeiters blockt, der Mitarbeiter sieht die Spammail auch als Termin in seinem Kalender und auf der Startseite des Smartphones und ist natürlich schon gezwungen diese zumindest zu öffnen.

Absage ?

Instinktiv wird der geübte Anwender den Termin natürlich als Spam erkennen aber vermutlich wird ein nicht unerheblicher Teil hier auf "Ablehnen" drücken, weil man das mit Terminen ebenso macht. Das spielt aber dem Spammer wieder in die Hände, zumindest solange er eine gültige Absenderadresse verwendet hat. Er bekommt dann nämlich von ihrem Mailclient eine "Absage" zurück. Damit weiß der Spammer auch noch, dass die Mailadresse nicht nur gültig ist, sondern der Empfänger auch einen "kompatiblen" Client nutzt.