Google Meet Spam
Es war ja nur eine Frage der Zeit bis Spammer und "Agenten" auch Google als Spamversender missbrauchen.
Die Einladung
Am 27. Nov 2020 ist folgende "Termineinladung" in einem Testpostfach aufgeschlagen
Da ich kein Russisch verstehe, habe ich "deepl.com" als Übersetzer bemüht und die Texte sind schon eindeutig.
Sie wurden zu der Veranstaltung
eingeladen. IHRER KARTE WIRD DAS GELD ZURÜCKERSTATTET, DAS
SIE ZUVOR ABGEHOBEN HABEN....
...Auf der Grundlage der Prüfung wurde die Tatsache des
Geldtransfers von Ihrer Bankkarte aufgedeckt. Unsere
Staatskompanie ist gesetzlich befugt, Ihnen den vollen
geschuldeten Geldbetrag zu zahlen.
Insofern ist die Intention sehr leicht zu durchschauen. Sie sollten die Mail aber besser einfach löschen, denn bei einer "Absage" könnte es ja passieren, dass Sie dem Absender unabsichtlich eine Rückmeldung zukommen lassen.
Wenn Sie über "Absagen" gehen, dann sollten Sie auf keinen Fall eine Antwort senden da damit der Absender ihre Mailadresse verifiziert hat.
Header
Auch bei einer Termineinladung kann man einen "Header" anschauen und der ist natürlich an vielen Stellen per UTF-8 codiert, damit auch russische Zeichen übertragen werden können. Ich habe einige Felder gekürzt, da Sie nicht weiter relevant sind. Die Mail kam aber schon über ein Google Mail-Konto mit der Adresse "zmagyskww@gmail.com".
Received: from mail-ed1-f73.google.com ([209.85.208.73]) by mx.kundenserver.de (mxeue010 [212.227.15.41]) with ESMTPS (Nemesis) id 1Mn1BX-1kJmfW2BdP-00kBDf for <xxxxx@carius.de>; Fri, 27 Nov 2020 18:58:41 +0100 Received: by mail-ed1-f73.google.com with SMTP id b68so2694562edf.9 for <xxxx@carius.de>; Fri, 27 Nov 2020 09:58:41 -0800 (PST) Reply-To: <zmagyskww@gmail.com> From: <zmagyskww@gmail.com> Sender: =?UTF-8?B?R29vZ2xlINCa0LDQu9C10L3QtNCw0YDRjA==?= <calendar-notification@google.com> To: <xxxxxx@carius.de> Subject: =?UTF-8?B?0J/QoNCe0JLQntCU0JjQotCh0K8g0JrQntCc0J/QldCd0KHQkNCm0JjQryDQoQ==?= =?UTF-8?B?0J3Qr9Ci0KvQpSDQoNCQ0J3QldCVINCU0JXQndCV0JMg0KEg0JLQkNCo0JXQmSA=?= =?UTF-8?B?0JrQkNCg0KLQqw==?= Date: Fri, 27 Nov 2020 18:58:41 +0100 Message-ID: <0000000000002119b105b51a6914@google.com> MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="00000000000021199305b51a6913" X-Mailer: Microsoft Outlook 16.0 Thread-Index: xxxxxx+hnqLBOpkw== X-Spam-Flag: NO qmJAWK6/bM9wMBlkbmy9mQhPHlRsbeUUWtoXuVU= X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=1e100.net; s=20161025; h=x-gm-message-state:mime-version:reply-to:sender:message-id:date :subject:from:to; bh=0d/W5ZkIsUJ62db4KXGWDIdl3v/uYhRLBbwH8OOi+/s=; b=xxxxxxxxxxxxxxxxxxxxxx bElQ== X-Gm-Message-State: AOAM531ztWGzHOq6LnMnhP9LjJTeqYMxdk9jx+DzvqFgzj5EDZxN2gR9 Mv3ADJVUX4AKPHUImYkrluQE+D/JvxKuCJhjFU/6 X-Google-Smtp-Source: ABdhPJz+xxxx/xxxx X-Received: by 2002:a17:906:af43:: with SMTP id ly3mr9197093ejb.369.1606499921104; Fri, 27 Nov 2020 09:58:41 -0800 (PST) X-OlkEid: xxxxxxxxxxxxxxxxxxxxxx X-MS-TNEF-Correlator: <0000000000002119b105b51a6914@google.com> This is a multipart message in MIME format. --00000000000021199305b51a6913 Content-Type: text/plain; charset="UTF-8" Content-Transfer-Encoding: 8bit --00000000000021199305b51a6913 Content-Type: application/ms-tnef; name="winmail.dat" Content-Transfer-Encoding: base64 Content-Disposition: attachment; filename="winmail.dat" --00000000000021199305b51a6913--
Interessant ist hierbei, dass der Absender angeblich "Outlook" siehe "X-Mailer: Microsoft Outlook 16.0" nutzt un die Mail neben einer Text-Version auch eine "TNEF"-Version hat aber anscheinen keine HTML-Version. Mein Client dürfte also die TNEF-Version angezeigt haben und hat den Termin sogar schon "unter Vorbehalt" im Kalender angelegt.
Das kann natürlich schon sehr störend sein, wenn sehr viele Spammer diesen "Trick" verwenden und damit den Kalender eines Anwenders füllen.
Gegenmaßnahmen
Als Empfänger so einer Mail sind Gegenmaßnahmen nicht einfach, da die Mail ja von Google gesendet wird und sowohl SPF, SenderID passen und im Header auch eine gültiger DKIM-Signatur ist. Ein Spamfilter, der hier prüft, wird erst einmal nichts erkennen. Der Absender macht ziemlich viel richtig und wenn er nur wenige Mails pro Ziel sendet, ist auch mit Stochastik nicht viel möglich. Auch der Aufbau der Mail ist eine ganz gewöhnliche Termineinladung, wie die Geschäftskunden tagtäglich verwenden dürften. In dem Beispiel könnte natürlich die ungewöhnliche Sprache einen Spamfilter alarmieren aber nur deswegen wird er die Mail nicht ablehnen.
Ich bin sicher, dass Google so einen Missbrauch schnell verhindern wird und hier zeigt sich auch, dass die Provider gefordert sind. Für einen Spammer "lohnt" sich so ein Missbrauch nur, wenn er viele Mails in kurzer Zeit absendet. Die Rate von Empfänger, die so ein Meeting annehmen und dann noch im Meeting sich "überrumpeln" lassen dürfte nicht allzu große sein. Aber solange auch nur wenige Personen drauf rein fallen, kann der Spammer gewinnen.
Allerdings sendet im "Regelfall" ein Anwender nicht tausende von Termineinladungen an andere Domänen und ich kann nur hoffen, dass Google hier, analog zu Microsoft, entsprechende Grenzwerte einzieht. Die Angaben sind aber nicht sehr genaut
If a user sends 10,000 invites in a short period, the user’s calendar might go
into read-only mode.
Quelle: Avoid Calendar use limits -
https://support.google.com/a/answer/2905486?hl=en
Aber auch für die Gäste gibt es limits.
To prevent spamming, Google Calendar limits the number of emails a user can send
to external guests with the ‘Email Guests’ feature.
Quelle: Avoid Calendar use limits -
https://support.google.com/a/answer/2905486?hl=en
Allerdings gibt hier Google schon 2000 Mails an, was aus meiner Sicht sehr viele sind. Es gibt aber noch ein weitere Limit
For the legacy free edition of G Suite and Google Workspace trial accounts,
limits are lower than those stated above.
Quelle: Avoid Calendar use limits -
https://support.google.com/a/answer/2905486?hl=en
Ohne aber die Limits genauer anzugeben. Leider gibt es in der Einladung selbst anscheinen keinen Link, mit dem der Empfänger die Einladung als "Spam/Unerwünscht" an Google melden kann. Ich habe Sie testweise an abuse@google.com gesendet und warte mal ab.
Wenn Sie z.B. nach "google invite spam" suchen, gibt es schon einige Artikel, die das Problem thematisieren. Allerdings eher in der umgekehrten Richtung, dass Google Calendar-Anwender ihren Kalender gefüllt wurde.
Weitere Links
- SPF, SenderID
- DKIM
- Avoid Calendar use limits
https://support.google.com/a/answer/2905486?hl=en - Google is finally addressing Calendar invite spam
https://www.xda-developers.com/google-calendar-spam-invite-events/ - Here’s how to stop all the Google calendar spam you’re suddenly gettin
https://www.cnbc.com/2019/08/27/how-to-stop-google-calendar-spam.html