Office 365 Girls-Spam
Ich frage mich ja immer noch, wie viele Personen denn auf Spam/Phishing reinfallen aber manchmal habe ich den Eindruck, dass auch die Versender solcher Mails ihre Systeme nicht unter Kontrolle haben.
Der Thread hat von Die Flut hat sich auf 11.6.2022-15.6-2022 mit 118 Mails von 118 Tenants angehalten
Posteingang nach dem Wochenende
Anders kann ich mir nicht die folgende Mailflut erklären, die in einem meiner Postfächer mit Standard-Spamfilter des Providers gelandet ist.
Das ist schon mal eine signifikanten Häufig und wenn es nicht nur mein Postfach erwischt, dann dürfte das eine große Welle sein.
Absender: Microsoft
Aber ich war natürlich neugierig, welche Absender und welche Mailserver dazu verwendet wurde. Also habe ich einige Mails daraufhin analysiert und interessante Daten bekommen.
Absenderdomain Mailserver Provider Henriette Albert h-eng.helwan.edu.eg 52.100.7.233 henghelwanedu.onmicrosoft.com Luisa Hofer students.uajy.ac.id 40.107.215.135 studentsuajyac.onmicrosoft.com Kristina Hochberg unasam.edu.pe 52.100.157.228 unasam.onmicrosoft.com Mona Straub emasi.edu.vn 52.100.0.221 Office 365 Lisa Abel srikdu.edu.my 40.107.117.60 srikdu.onmicrosoft.com Linda Brauer tulkarm.edu.ps 40.107.117.67 tulkarmdoe.onmicrosoft.com Mina Fried student.iuh.edu.vn 40.107.215.99 iuhedu.onmicrosoft.com Sabine Klein itsjapon.edu.ec 52.100.155.201 itsjaponec.onmicrosoft.com
Ich habe hier dann aufgehört die weiteren Mails zu analysieren, denn es ist schon auffällig, dass alle Mails über Office 365 Tenants von Universitäten eingeliefert wurden. Zudem waren alle Mails auf den deutschen Markt ausgerichtet. Es gab also keine Mail mit Content in Englisch oder einer anderen Sprache.
Payload
Die Mails selbst sind alle quasi identisch aufgemacht:
Sie haben genau zwei Möglichkeiten der Interaktion:
- Klick auf einen Link
- Abmeldung per Mail
Links
Interessanterweise gehen alle Links auf Google, aber triggert dort direkt eine Weiterleitung.
Das finde ich dann schon etwas befremdlich, dass Google schon wieder als "Redirector" missbraucht werden kann.
https://www.google.com/url?q=https.........&sa=D&sntz=1&usg=xxxxxxxxx
Wen ich an der URL einer der Parameter verändere, dann wird nicht weitergeleitet, sondern Google zeigt seine Seite:
Anscheinend haben aber die Spammer einen Weg gefunden, ihre URL hinter Google zu verbergen. Die Ziele sind aber immer unterschiedlich, d.h. zumindest auf den ersten Blick haben die Spammer ein ganzes Netzwerk solcher Portale aufgebaut. Die Adresse bybaly.shop ist angeblich in Frankreich bei M247 gehostet.
Abmeldung per Mail
Etwas anders ist es bei dem zweiten Link, über Sie sich der Empfänger angeblich abmelden kann. Das ist kein HTTP-Link sondern die folgende Mailadresse.
mailto:admin@27corpuunsubscribe.site?subject=Abbestellen
Die URL "27corpuunsubscribe.site" verweist zum Provider "@timeweb.ru" auf eine leere Seite. Sie dürfte auch ins Leere laufen oder der Empfänger freut sich darüber, über die Rückmeldung weitere Details zum Empfänger zu erhalten. Sie sollten nicht davon ausgehen , dass Sie sich damit aus solchen Listen austragen können.
Einschätzung
Es scheint weiterhin Personen bzw. Firmen zu geben, die gerne gezielt deutsche Mailnutzer dazu verleiten wollen, entweder ihre "Einsamkeit" durch den Besuch entsprechender Webseiten zu lösen oder darauf hoffen, durch eine Abmeldung verschont zu bleiben. Bei diesem "Mailsturm" sind mir aber andere Dinge aufgefallen.
- Zugänge zum Mailsystem von Universitäten
Die Absender der Mails waren keine gekaperten Mailserver oder offene Relays, sondern anscheinend legitime Konten von Office 365 von Universitäten. Es waren also keine "Developer Tenants "oder andere temporäre Tenants. Entweder haben die Studenten ihr Konto samt Zugangsdaten absichtlich oder leichtfertig verloren, so dass die Spammer diese missbrauchen konnten.
Das zeigt aber wieder, wie wichtig z.B. MFA ist, um dem einfachen Kennwortklau einen Riegel vorzuschieben.
Bei studentischen Konten könnte man nun das als unwichtig abtun aber sind sie sicher, dass im OneDrive des Studenten nicht auch forschungsrelevante Dateien oder eine Diplom oder Doktorarbeit liegt?.
Für Unternehmen sollte das aber auch der letzte Weckruf sein, seine Konten adäquat abzusichern - Versand durch Microsoft
Alle solche Mails, die auf ein Office 365 Konto gehen sollten, wurden von EOP abgewiesen. Microsoft "erkennt" also schon solche Mails als "Malware". Allerdings scheint der ausgehende Filter deutlich toleranter zu sein, denn schließlich ist der Absender ein "authentifizierter" und damit anscheinend vertrauenswürdiger und zahlender Nutzer. Wenn das mal kein Irrglaube ist?. Hier sollte Microsoft ihr System ganz schnell besser absichern.
Es ist natürlich knifflig, da die Spammer wohl sehr viele verschiedene Konten nutzen und weniger ein Konto ausreizen. Das macht es natürlich schwerer, anhand der Menge solche Mails zu erkennen. - Google Redirect
Hallo Google! Warum gibt es überhaupt eine "Umleitungsfunktion" unter der Url "www.google.de", wenn Sie eh nur von Malware und Phishing genutzt wird?. Viele einfache Spamfilter verfolgen keine URLs in einer Mail und erkennen so nicht die eigentliche Zieladresse. So macht man es den Spammern und Malware-Autoren aber schon sehr einfach den durchschnittlichen Anwender zu überlisten. - Dummer Spammer
Irgendwo muss aber die Versende-Logik des Spammers ja auch ein Problem haben. Sonst würde ich kaum 56 gleichartige Nachrichten 48h bekommen. Auch wenn er dazu Konten anderer Personen missbraucht, ist das ja wohl sehr ineffektiv.
Das kriminelle Geschäft mit Sex, Drogen, Waffen geht also weiter und auch die ISPs haben immer noch keine gute Identitätsfeststellung der "Nutzer". Oder die entsprechenden Staaten haben kein Interesse an einer Verfolgung. Nur gut, dass keine dieser Mails in meinem Firmenpostfach angekommen ist. Da schützt mich NoSpamProxy wirklich gut und ich werde mir mal doch langsam Gedanken über einen Provider-Wechsel für die genutzte Maildomain machen müssen.