Spammer unterwegs

Aktuell erreichen uns recht viele Anfragen von Kunden, die festgestellt haben, dass anscheinend ihr E-Mail-Konto zum Versand von Spam verwendet wird. Dies kann sein, wenn jemanden Zugangsname und Passwort bekannt geworden sind. Oft jedoch werden die Absenderangaben benutzt sowie offenbar eine Liste von Kontakten, mit denen der Betroffene E-Mails ausgetauscht hat.

Einige Medien haben in den vergangenen Wochen und Tagen über diese Form von Spam berichtet: http://www.golem.de/news/security-massenhaft-spam-ueber-t-online-konten-versendet-1508-115844.html

Durch Apps mit Schadwirkung auf dem Smartphone oder durch Trojaner im Betriebssystem des Notebooks oder PCs wurden die Zugangsdaten abgegriffen. Die Hacker loggten sich also in die Mailaccounts und lasen (offensichtlich auf dem PC oder Smartphone) die die Kontakt-E-Mailadressen aus.

Dann nutzen Sie einen weiteren Server oft in Indien oder Mexiko, um dann Spamwellen an die Kontakte zu senden. Natürlich reagieren die Empfänger positiver, wenn sie eine Mail von jemandem bekommen, den sie kennen und öffnen die Spammail. Außerdem werden so viele Antispam-Filter ausgetrickst. Filter nutzen Regeln wie die, dass Mails, die von bekannten Absendern kommen, mit denen der Empfänger schon mal in Kontakt stand, mit geringerer Wahrscheinlichkeit unverlangt, also Spam, sind.

Besonders ärgerlich dabei ist, dass die Empfänger davon ausgehen, dass einer ihrer Bekannten oder Freunde die Mail geschickt hat. Das ist dem Absender in der Regel zumindest unangenehm.

Die Betroffenen bekommen davon überhaupt erst etwas mit, wenn eine Mail wegen Ubnzustellbarkeit an den vermeintlichen Absender zurückgeschickt wird (Bounce nennen Experten dieses Verhalten). Dennoch: Nicht dieser Mailaccount schickt den Spam los, sondern irgendeine gehackte Maschine irgendwo auf der Welt. Das lässt sich aufgrund der Mailheaderdaten auch nachvollziehen.

Leider ist es nicht ganz einfach, Mailheader zu interpretieren. Es gibt ein paar Onlinetools, die dabei helfen.

Wie Header an sich aufgebaut sind, ist hier beschrieben:
http://mxtoolbox.com/Public/Content/EmailHeaders/ 

Ein nettes Tool zur Analyse (online) finden wir hier:
http://www.gaijin.at/olsmailheader.php

In einer E-Mail kann unabhängig vom tatsächlichen Absender auch eine sogenannte Returnadresse definiert werden. Diese wird verwendet, wenn die Mail nicht zugestellt werden kann, zum Beispiel, weil man eine nicht existierende Empfängeradresse verwendet hat, sich vielleicht vertippt hat. Genau das kommt hier zum Tragen. Der Spammer verwendet ihren guten Namen und

Natürlich ist ein gewisser Wissendurst gestillt, wenn man weiß, woher die Mail kommt. Allerdings kann man recht wenig dagegen tun, das sofort zum Erfolg führen würde. Die Mails können bei ihren Kontakten also weiter eingehen.

Wenn Sie betroffen sind: Wahrscheinlich werden die Mailzugangsdaten ursprünglich vom Notebook oder Smartphone (durch eine App) abgegriffen. Dann holen sich die Angreifer die Kontakte aus der Mailbox. Anschließend erhalten die Kontakte Spam im Namen desjenigen, dessen Mailzugangsdaten gehackt wurden.

Manche User äußerten die Vermutung, der Mailserver von goneo sei gehackt worden. Wir haben dies natürlich genau untersucht und gehen davon aus, dass dies nicht der Fall ist. Folgende Gründe sprechen dafür:

  • Mit goneo Mailaccounts lassen sich nicht wirklich extrem viele Mails auf einmal versenden, entsprechende Sicherheitsprotokolle verhindern das. Für Hacker wäre dies ineffizient.
  • Passwörter sind bei goneo gehasht abgespeichert, nicht im Klartext. Das bedeutet, dass ohne Quantencomputer (der noch nicht existiert), eine Entschlüsselung viele Jahrzehnte dauern würde. Hacker benötigen aber sofort eine Lösung. Daher ist das Brute-Force-Hacken extrem ineffizient.
  • Kontakdaten werden bei goneo nicht gespeichert. Lokal (in Outlook zum Beispiel) liegen diese Daten viel kompakter vor.

Das bei weitem bessere Angriffsziel ist also der heimische Rechner oder das Smartphone. Apps haben durchaus die Möglichkeit, solche Informationen zu sammeln und an Hacker zu versenden ohne dass der User davon etwas mitbekommt.

Wenn Sie btroffen sind: Untersuchen Sie Ihr Betriebssystem auf Viren und Trojaner und entfernen Sie diese. Nehmen Sie Ihr Smartphone unter die Lupe und schauen Sie sich verdächtige Apps an (oft sind das irgendwelche Spaß-Apps).

Von Apple gibt es inzwischen eine Warnliste. Auch da gab es massive Probleme mit Apps: http://www.heise.de/mac-and-i/meldung/Malware-in-Apples-App-Store-ist-groesseres-Problem-2822170.html

Dieser Beitrag wurde unter Aus dem Support abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.