SharePoint Sharing Spam
Vor einigen Wochen habe ich noch über Google Meet Spam und OneDrive-Link Spam berichtet, so haben es Mitte April 2021 mehrere "Benachrichtigungen" von SharePoint in mein Postfach geschafft.
Eine frühere Version gibt es auch auf Office 365 OneDrive Spam vom Nov 2020.
Posteingang
Alle Mails sind relativ kurz aufeinander im Postfach gelandet und haben beide einen Bezug zu Pornografie und Dating-Plattformen gehabt:
Also nichts, worauf man reinfallen sollte, selbst wenn die Mails von Microsoft Online gekommen sind. Denn der Absender hat einfach eine Datei auf "seinem SharePoint" hinterlegt und dann diese mit ganz vielen Personen "geteilt".
Die 33 Empfänger waren größtenteils "GMail"-Adressen und nicht weiter personalisiert. Jeder der 33 Anwender hätte den Link öffnen können. Es waren jeweils PDF-Dateien mit eindeutigen Bildern und einem weiteren Link der eigentlichen Zielseite. Diese Spamwelle hat intensiv sich hinter dem Link-Verkürzer "cutt.ly" versteckt, bei dem man die URLs natürlich als "Abuse" melden kann. Aber das dürfte, wie so oft, nicht viel bringen.
Spam-Report
Kein Hoster mag es, wenn seine Dienste missbraucht werden. Im Grund ist es natürlich legitim, eine PDF-Datei in einem bezahlen OneDrive abzulegen und dann andere Personen zu einer Zusammenarbeit aufzufordern. Im seriösen Geschäftsverkehr ist dies aus meiner Sicht sogar viel besser, als immer wieder Anlagen per Mail durch die Welt zu senden und damit viele Versionen und Mehraufwand bei der Nachverfolgung zu erzeugen.
Allerdings kenne ich kein Land der Erde, in dem Massenmails an Personen ohne Geschäftsbeziehung legitim ist. Spam ist irgendwie überall Spam. Aber nur weil etwas "ungesetzlich" ist, wird es noch lange nicht strafrechtlich verfolgt und nur weil ein Provider diese Verwendung untersagt.
Dennoch würde ich Microsoft empfehlen, in diesen "Benachrichtigungen" einen Link für "Report as Spam" zu hinterlegen. Es würde den Prozess deutlich beschleunigen, mit dem ein Missbrauch gestoppt werden kann. Es gibt ja zwei Optionen:
- Gekaperte Credentials
D.h. ein legitimer Anwender eines Tenant hat seine Zugangsdaten "verloren" und die Malware/Spammer nutzen dessen Konto als Versandsystem. Hier könnten mehrere "Spam-Reports" z.B. dabei helfen, das Konto temporär zu blockieren und den weiteren Schaden nicht größer werden zu lassen - Spam-Tenant
Cloud-Anbieter möchten die Einstiegshürde sehr gering halten. Daher ist es sehr einfach, einen Tenant anzulegen. Eine beliebige Mobilfunknummer reicht und die kann eine "Einmalnummer" sein oder ein geklautes Telefon oder SIM-Karte. Und schon hat ein Angreifer einen Tenant mit 30-Tage-Testversionen. Auch hier könnte viele "Spam-Reports" gerade bei neuen Tenants schneller den weiteren Missbrauch stoppen
Bislang habe ich aber keine "schnelle" Möglichkeit gefunden, so einen Missbrauch zu melden. Für Office 365 Administratoren und Benutzer gibt es einen Zugang
- Report messages and files to Microsoft
https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/report-junk-email-messages-to-microsoft?view=o365-worldwide
Das hilft natürlich den Empfängern nicht weiter, die gar kein Office 365 Konto haben.
Hier ist also schon noch Raum für Verbesserungen.
Header
Natürlich habe ich mir den Header angeschaut, ob die Mail von Microsoft gekommen ist. Die Untersuchung im Message Header Analyzer (https://mha.azurewebsites.net/) ist das recht eindeutig:
Da steckt schon Microsoft dahinter. Der Header gibt aber leider nur ganz wenig Informationen über den echten Absender:
Sender: Melissa Wright <no-reply@sharepointonline.com> Reply-To: rydifezs_@my.ehsrr.com Return-Path: no-reply@sharepointonline.com Cc: Melissa Wright <rydifezs_@my.ehsrr.com> From: Melissa Wright <no-reply@sharepointonline.com>
Die für DKIM/DMARC/SPF relevanten Felder lauten auf "sharepointonline.com". Ein Spamfilter könnte vielleicht versuchen, über das "Reply-To"-Feld oder die CC-Meldung den Absender zu erhalten und gegen vorhandene Domain-Listen bekannter Empfänger abgleichen. Aber welcher Spamfilter würde das Risiko eingehen, so eine Mail zur Zusammenarbeit zu blockieren, wenn auf der anderen Seite viele Firmen eine neue Art der Zusammenarbeit, weg von Mails hin zur gemeinsamen Bearbeitung, propagieren?
Allerdings sind die Spam-Beispiele hier mit Links auf andere Seiten und URL-Verkürzer gespickt. Solche Informationen würde ich bei einer durch Anwender ausgelösten Mail nicht erwarten. Vielleicht ist das aktuell noch ein Hebel, wenngleich niemand den Spammer hindert, die PDF-Datei mit Link auf OneDrive abzulegen und damit dem Spamfilter zu entziehen.
Tenant Info
Leider gibt es bei Microsoft keine öffentlich nutzbare Stelle, um Informationen über einen Tenant zu erhalten. Aber über verschiedene WebAPIs kann ich schon weitere Informationen sammeln. Sie dazu auch Wer nutzt Office 365 und wie? Dieser Tenant lautete auf den Namen "ichemacid.onmicrosoft.com" und hatte folgende Details:
testdomain : ichemacid.onmicrosoft.com tenantname : ichemacid Cloudinstance : O365Public MultiGeo : False TenantID : ec976d7c-0325-4192-967e-b430bde0bd4c NameSpaceType : Managed IsViral : FederationBrandName : office AzureADSSO : Skip DesktopSSO : Skip Region : AS domains : {ichemacid.onmicrosoft.com, ichem.ac.id, ehsrr.com, office.ehsrr.com…} authinfo : NoValidDomain Authendpoint : NoValidAuthEndpoint PrefCredential : Skip Enterpriseregistration : NotFound Autodiscover : CNAME: autodiscover.outlook.com MX : ExchangeOnlineProtection SPF : NoO365SPF DMARC : NotDNSRecord DKIMDOMAIN : ParseError DKIMTENANT : Skip DKIMEXO : O365Tenant:ichemacid ExchangeHybrid : Skip Lyncdiscover : Office365 sipfederationtls : Office365 siptls : Office365 sip : Office365 SharePointOnline : 140-ipv4e.clump.dprodmgd106.aa-rt.sharepoint.com OneDrive : ichemacid.sharepoint.com
Es ist zumindest kein viraler Tenant aber leider kann ich nicht ermitteln, ob der Tenant auch tatsächlich "lizenziert" ist oder nur ein Spiel/Test/Demo-Tenant ist. Allerdings hat sich der Absender schon Mühe gemacht, sehr viele Domains einzutragen.
ichemacid.onmicrosoft.com ichem.ac.id ehsrr.com office.ehsrr.com my.ehsrr.com mail.ehsrr.com free.ehsrr.com email.ehsrr.com one.ehsrr.com mango.eu.org my.mango.eu.org mail.mango.eu.org free.mango.eu.org email.mango.eu.org one.mango.eu.org 365.ehsrr.com 5t.ehsrr.com onedrive.ehsrr.com onedrive.mango.eu.org 5t.mango.eu.org 365.mango.eu.org 24ehs.com my.24ehs.com free.24ehs.com mail.24ehs.com one.24ehs.com email.24ehs.com 5t.24ehs.com 365.24ehs.com onedrive.24ehs.com a.ehsrr.com a.mango.eu.org a.24ehs.com 1.ehsrr.com 1.24ehs.com 1.mango.eu.org
Für jede dieser Domain muss er auch eine Verifikation, z.B. per DNS-Eintrag gemacht habe.
Domain-Hoster
Webserver mit irgendwelchen sinnvollen Inhalten gibt es hier natürlich nicht. Eher von der Art eines "Hello World"
Aber ein Blick auf den DNS-Registrar, bei dem dieser Versender "Kunde" ist und wo der Webserver steht, habe ich mir dann doch erlaubt. Für "mango.eu.org" wurde die IP-Adresse "167.88.112.56" geliefert. Sie gehört zu "AS3842 InMotion Hosting, Inc" in den USA
Der DNS-Provider ist ebenfalls in den USA bei "Hurricane Electric".
C:\>nslookup -q=NS mango.eu.org mango.eu.org nameserver = ns1.he.net mango.eu.org nameserver = ns3.he.net mango.eu.org nameserver = ns2.he.net mango.eu.org nameserver = ns4.he.net mango.eu.org nameserver = ns5.he.net
Ich habe mir nun nicht die Mühe gemacht, die DNS-Provider oder Webhoster anzusprechen, denn deren Plattform wurde ja aus meiner Sicht nicht missbraucht und wie sollte ich belegen, dass die Firma mit der Spam-Mail was zu tun hat?
Etwas ungewöhnlich ist vieleicht die Unterzone unter "eu.org". Vielleicht kennen Sie das aber auch von co.uk. Der Provider für eu.org ist die Firma www.gandi.net und sie haben besitzen "eu" unter der ".org"-Root und verkaufen Subdomains weiter. Theoretisch könnte ich das unter msxfaq.de auch machen. Dies ist also kein echter "Root Zonen Verwalter". Aber auch eine Beschwerde nach Frankreich habe ich mir mal erspart.
Zwischenstand
E war ja nur eine Frage der Zeit, wann es nach Google Drive mit Freigaben auch Microsoft erwischt. Spammer und Malware-Verteiler können sich auf unterschiedlichste Weise einen Office 365 Tenant mit OneDrive und Mail beschaffen. Eine temporäre Rufnummer ist schon ausreichend und es kostet nicht mal was, wenn man z.B. Teams für Alle, Teams for Home oder Teams ist kostenlos nutzt. Sie können sich auch als "Entwickler" ausgeben und einen Dev-Tenant mit 25xE5 kostenfrei bekommen.
Die Zukunft wird zeigen, wie gut Microsoft solchen Missbrauch unterbindet. 100% Schutz wird es hier nie geben, es sei denn der Anbieter führt eine strengere Identifizierung durch. Solche Hürden möchte aber wohl kein Cloud-Anbieter erzwingen. Also bleibt ein Restrisiko.
Für andere Office 365 Kunden sollten Sie aber ihre Firewall prüfen. Wie haben Sie im Detail den Zugriff auf SharePoint online geregelt?. Lassen Sie "*.sharepoint.com" oder die IP-Adress-Bereiche direkt erreichen oder schaut ihre Firewall doch etwas genauer hin, indem es beim TLS-Handshake den Zielnamen bewerten und zwischen "meintenant.sharepoint.com" und "*.sharepoint.com" unterscheiden?
Für die Spamfilter wird es aber nicht einfacher, diese "unerwünschten" Mails von identisch aussehenden "erwünschten Mails" zu unterscheiden. Sogar der Absender ist nicht
Weitere Links
- Google Meet Spam
- OneDrive-Link Spam
- Wer nutzt Office 365 und wie?
- Google Meet Spam
- Office 365 OneDrive Spam
- OneDrive-Link Spam