Dubiose Spammail

Dieses Thema im Forum "Media 2.0" wurde erstellt von Matthias Wenzel, 16. Juni 2014.

  1. Hey ho,

    Folgendes:

    Meine Frau trifft gestern eine alte Studienbekannte. (Nur kurzer Gruss und weitergings)
    Am nächsten Tag erhielt sie auf ihren email account eine Virenspammail mit dem Namen der Studienkollegin.

    Ich kann mir das nur so erklären. Die Bekannte hat nen ,,Gast´´ auf´m Rechner.
    Sie sucht den Namen meiner Frau via Netz und der Bot sieht seine Chance mal nicht mit Hannelore Hilde Kubicki in der Absendermail einen Treffer zu landen.

    right?
     
  2. SvenSyn

    SvenSyn aktiviert

    Right!

    Alles andere wäre was für die VTler :D
     
  3. Cyborg

    Cyborg aktiviert

    Hmm, die Studienbekannte die kurz angebunden war und weitereilte könnte evtl. einen Hass auf Deine Frau haben. Alte Wunden die aufgerissen werden tun weh und vielleicht war das pure Absicht. Wäre doch auch möglich...
    Menschen machen manchmal dumme Dinge. Klärung per Telefon wäre eine Option, oder diese Dame in den Email-Filter eintragen, Emails sowieso nur als TEXT lesen und keine Anhänge öffnen. (es sei denn in einer Sandbox)
     
  4. kl~ak

    kl~ak -

    es sind aktuell viele accounts gehackt !


    vor allem

    yahoo
    gmx
    web

    oft sind nur die adressbücher kopiert und es wird vom account versendet - meißt nur ein link !

    diesen nicht anklicken - verlicnkt sind oft dubiose seiten mit porno spielen etc. -> ABER im hintergrund läuft direkt ein trojaner rein ... vor allem für mac aktuell ne menge.

    gibt zwei verschiedene versionen: einmal direkt aus dem account eines bekannten - oder (merkt man beim antworten) von einem anderen account und es erscheint nur der absender wie von einem bekannten.

    auf jeden fall diesen informieren, da über die mailaccounts eben auch passwörter aktualisiert werden können.


    habe jetzt mehre fishings bekommen mit sehr gut nachgebauten paypal-seiten (service.paypal.de etc.) mit der bitte eine zahlung die vermutlich nicht authorisiert ist zu bestätigen oder paypal zu informieren das jemand unberechtigten zugriff auf meinen account hat - nach dem einloggen ist man auch wirklich bei paypal - aber das passwort wird weitergeleitet.

    -> die fishingseiten sind meißt nur kurz aktiv, weil paypal da sehr hinterher ist (20min oder so) aber der persönliche schaden ist sicherlich beträchtlich.

    (mich hats nicht erwischt - wollte nur das beispiel beschreiben)

    also da wirklich achtung und nur über die paypalseite einloggen !!!##


    was es auch gibt ist, dass ein normaler text drinnen ist und wenn man antwortet bekommt man eine mail mit "unzustellbare mail" und einem link drinnen wo der bekannte auf seine neue website verweißt ... selbes thema mit dem trojaner !
     
  5. Also um mal folgendes klarzustellen. Keine einzige Spammail wird "vom gehackten Account" versendet. Im Prinzip kann man in die From-Zeile des mailheaders reinschreiben, was man will. Eine Mail mit irgendeiner Mailadresse kann von jedem beliebigen entsprechend konfigurierten Rechner problemlos versendet werden. Das sind alles keine hacks sondern Standard-Konfigurationen.

    Was tatsächlich von solchen Spy-Programmen gelesen wird, sind ggf die Adressbücher der Mailprogramme. Die holen sich die Spammer (bzw defacto die Adresshändler, die sie an Spammer verkaufen). Aber auch das ist noch mühsam. Typischerweise hängen solchen Bots sich in irgendeine Datenleitung (also zwischen zwei Servern - nicht zwischen Muttis Rechner zu Hause und Ihrem Provider) rein, und parsen den Traffic und holen dort die Adressen raus (wie das parsen geht, kann jeder in jedem beliebigen Unix-Adminkurs zweiter Teil lernen).


    Und noch zum Thema Verifizierung. Es gibt nur zwei Methoden
    1.) der Mailserver bei dem die Mail vom Absender zuerst abgeliefert wird, kann (muss aber nicht) prüfen, ob die From-Adresse mit einer Adresse des absendenden Accounts übereinstimmt. Unser Spammer ist aber auf keinen fremden Mailserver angewiesen; er kauft einen Aldirechner, setzt da eine Standard Linux-Server-Instanz auf (das ist einfacher als eine Windows-installation!), und flups hat er sein eigenen Mail-server.
    2.) alle weiterleitenden Mailserver können nur noch prüfen, ob es den Domainanteil der Absenderadresse gibt (also das hinter dem @). Ob es die Adresse insgesamt stimmt (also auch das vor dem @) kann niemand prüfen. Da das ganze zudem Performance frisst sparen es sich die meisten Mailserver.
     
  6. kl~ak

    kl~ak -

    stimmt soweit - aber warum kommen dann die antworten dort an wo man sie vermutet => also bei bekannten ?
     
  7. Wenn man die Adresse aus einem Adressbuch hat, dann weiss man ja, dass A an B schreiben würde. Wenn die Adresse aus einem Datenstrom gefischt wurde, dann kann man ja eine dezidierte Mail gefunden haben, die von A an B geschickt wurde. Und dann gibt es noch die weitergehenden Recherchen: das Namensalias an der From-Adresse (also sowas wie "Vorname Nachname <vornachname@domain>" kommt in eine Datenbank, ein Programm geht zu Facebook und checkt alle Freunde von "Vorname Nachname" und geht mit den Ergebnissen zurück in die Datenbank und macht nun die Rücksuche nach deren Mailadresse. (Wobei ich mir sicher bin dass der größte Adresshändler der Welt Facebook heißt - die agieren natürlich nicht unter diesem Namen, sondern da gibts eine "Direct Marketing Agency", die einem Eignerkonglomerat gehört und einer der Eigner gehört zufälligerweise zu 100% zu Facebook).
     
  8. Feedback

    Feedback Individueller Benutzer

    Das liegt daran, dass bei einem email eine ReplyTo Adresse angegeben werden kann. D.h. es gibt einen Sender (Klarname), eine Sender email-Adressse und eine ReplyTo-email (kann auch eine Liste sein). Wenn der Spam-Mailer nun diese ReplyTo Adresse mit der (ja bekannten) Fake-Absender-Adresse füllt, geht die Antwort auch an den Absender, von dem es angeblich kommt.

    Grundsätzlich gilt heutzutage: Wir machen grundsätzlich keine links in Mails mehr auf.
     
  9. Nein. In der From-Adresse steht ja die Bekannte tatsächlich drin. Wenn Du mir Deine Mailadresse sagst, dann wirst Du in zehn Minuten eine Mail von mir bekommen, in der Du selbst als Absender stehst. Diese Mail werde aber ich Dir geschickt haben.
    Nochmals: die From-Adresse hat technisch NICHTS mit dem tatsächlichen Absender zu tun. Da kann man reinschreiben was man will. Da schreibt der böse Spammer einfach die Adresse der Bekannten rein.
     
  10. dbra

    dbra Ehrenpräsident des Technofreunde Ohlenburg e.V.

    Ja, genau. Der ReplyTo-Header dient nur dazu, falls eine andere Rückmailadresse als die im From-Header angegebene verwendet werden soll.
     
  11. Feedback

    Feedback Individueller Benutzer

    stimmt auch wieder, zu weit um die Ecke gedacht. ReplyTo brauchts gar nicht, man kann ja alles frei befüllen...
     

Diese Seite empfehlen