Not logged in. · Lost password · Register

thelazt
thelazt
Member since Oct 2009
199 posts
Subject: Gezielte Fakemails via Yahoo.com-Adressen
Seit einer Woche gehen vermehrt Fake-Mails gezielt an Uniadressen und ich bin etwas ratlos - in der Hoffnung das hier ein paar fachkundige Leute eine Idee haben (vielleicht seh ich den Wald vor lauter Bäumen nicht).

Fakten:
  • Student hat eine Mailadresse bei Yahoo, sagen wir mal vorname.nachname@yahoo.de
  • Mails gehen mit Absender vorname.nachname@yahoo.com an diverse Adressen, welche nicht selten geographischen Zusammenhang haben (div. Uni-Adressen, aber auch Sachen in Bamberg usw)
  • Die Mails gehen natürlich nicht über Yahoo-Server (wenn man versucht die .com-Variante zu erreichen antwortet der Yahooserver antwortet auch, dass er sie nicht kennt)
  • SPF gibt unsinnvollerweise "neutral" zurück
  • Zum Teil sind die Ziele im Adressbuch der Inhaber der echten Mailadresse - zum Teil aber auch nicht.
  • Verschieden Personen sind betroffen, die sich auch untereinander nicht kennen, d.h. nicht den gleichen Rechner benutzen.
  • Spamfilter schlagen eigentlich gut drauf an, aber dank mancher laxer Konfiguration gehen die auch hin und wieder erfolgreich in FSI und Lehrstuhlverteiler durch.
  • Inhalt ist nur ein Link
  • Alle Links (u.a. ueber impuissance[dot]ca oder rieser4repair[dot]com) leiten derzeit zu einkommenmethodemichelle[dot]com um

Beispiele (Header):
http://pastebin.de/127197
http://pastebin.de/127198
http://pastebin.de/127199
http://pastebin.de/127200

Die Betroffenen - keine Informatiker - sind natürlich erstmal panisch nachdem sie drauf angesprochen werden ("Mein Account wurde gehackt").
Aber zum einen gab es keine Hinweise auf einen unbefugten Zugang (diese Info ist aus zweiter Hand), außerdem würde ich dann doch etwas gezieltere und bessere Werbung erwarten - oder eben das Ausnutzen der gestohlenen Identität um gleich Geld zu machen. Und schon gar nicht die yahoo.com-Adresse verwenden!
Anderseits erstaunen mich die Zieladressen, da sie einfach zu nah an dem Umkreis der echten Personen sind. Eine Webspider, der etwas intelligenter arbeitet und die Distanz zwischen zwei Seiten berücksichtigt? Möglich, aber das erklärt einige Adressen nicht: benutzte Zalando-Adressen mit Ticketkennung wie "IhreBestellung-EMID0AE02J80LBU01SL4N2R0647...[at]info.zalando.de" stehen auch nicht auf Webseiten, nicht einmal im From einer Mail (und vermutlich auch nicht im Adressbuch), sondern nur im Reply-To nach einer Bestellbestätigungsmail. Die konkreten IDs der Zalando-Bestellmails konnten übrigens auch nicht im Postfach betroffener Personen gefunden werden.

Also entweder da hat jemand Dumps von Yahoo abgegriffen (würde erklären wieso es nur Yahoo-Adressen sind) oder selbst einen sehr erfolgreichen MTA betrieben (würde die Reply-Tos erklären) - aber das klingt doch schon weit hergeholt irgendwie...

Und zu guter letzt scheint dies vor allem lokal begrenzt zu sein, hab davon so noch nichts im Netz gelesen, dass dieses Problem bekannter wäre.
Da sich die Betroffenen doch ziemlich fertig machen ("Was soll Prof XY von mir denken, wenn von mir so eine Mail kommt") wäre ich über weitere Ideen dankbar ;)
Cauca
Member since Oct 2011
909 posts
Anscheinend war Yahoo vom Heartbleed ebenfalls betroffen. Keine Ahnung, ob sie ein neues Zertifikat besitzen und ob dies sinnvollerweise mit einem anderen private Key erstellt wurde.
Allerdings erklärt dies nicht die von dir erwähnte Lokalität.

Imo wäre es sinnvoll, wenn Studenten lediglich ihre Uni-Mail-Adressen verwenden, um Organisatorisches für die Uni zu handhaben. Hat auch den netten Vorteil, dass man ganz einfach an ein SMIME-Zertifikat der Klasse 3 kommt, sofern man dies denn GPG vorzieht.
siniball
Member since Dec 2010
80 posts
Ich habe einen Bekannten, der für sein iPad und sein iPhone getrennte yahoo-Adressen verwendet und ich habe jeweils von beiden Adressen Mails, die in das beschriebene Szenario passen, bekommen. Ich nehmen an, dass meine Mail-Adresse in beiden Adressbüchern vorhanden ist. GMX hat die jedoch sofort als Spam erkannt.

Ich vermute also das Szenario dass die iOS-Yahoo-Mail-App eine nutzbare Lücke hat.
Morpheus1822
Member since May 2011
106 posts
Ich habe auch eine Mail bekommen, die in das Schema passt. (Ob die von einem iOS-Geraet kommt, kann ich nicht sagen)
Bei mir hat GMX die Mail allerdings nicht als SPAM erkannt (empfangen heute um 05:41 Uhr).
siniball
Member since Dec 2010
80 posts
Muss mich korrigieren: Die erste wurde von GMX erkannt. Die zweite nur von SpamAssassin von Thunderbird.
thelazt
thelazt
Member since Oct 2009
199 posts
In reply to post #3
Danke für die Rückmeldungen. Hab einmal eine Betroffene nach den eingesetzten Apple-Geräte gefragt: keine (nur Win7 und Android).
Also iOS(-App)-Lücke kann man damit als alleinige Ursache wohl ausschließen. Andernseits wird auch das anzapfen von (Win-)Rechner durch Schadsoftware unwahrscheinlicher.

Möglich wäre noch eine kompromittierte App...
Cauca
Member since Oct 2011
909 posts
Quote by thelazt:
Möglich wäre noch eine/mehrere kompromittierte App/s...
FYP.
Die Frage ist nur durch welche Adressbücher wurde da gecrawled. Eher die einer App, als die der entsprechenden Mobilgeräte.
Daher dürfte das wohl das plausibelste sein. Weniger wahrscheinlich und gleichsam weniger erfreulich wären Lücken in den OSs selbst.  :huh:
Ford Prefect
Pangalaktischer- Donnergurgler-Trinker
(Administrator)
Avatar
Member since Oct 2002
3278 posts
Eine Freundin von mir hat das selbe Problem und sie benutzt Yahoo nur per Webmail.
Quote: <mute> mit Miranda macht irc kein spass :P <Loki|muh> dann geh doch wieder :)
<mute> ich benutze kein miranda <Loki|muh> na und? :)
Cauca
Member since Oct 2011
909 posts
Quote by Ford Prefect:
benutzt Yahoo nur per Webmail.
Browser von Mobilgeräten (exlusive Laptop) oder vom PC?
Ford Prefect
Pangalaktischer- Donnergurgler-Trinker
(Administrator)
Avatar
Member since Oct 2002
3278 posts
PC.
Quote: <mute> mit Miranda macht irc kein spass :P <Loki|muh> dann geh doch wieder :)
<mute> ich benutze kein miranda <Loki|muh> na und? :)
raspe88
Avatar
Member since Oct 2010
303 posts
Yahoo wird eh, hab ich den Eindruck, recht häufig Opfer von Hackern. Erst Ende Januar wurde ja bekannt, dass die ja (mal wieder) geknackt wurden.

Was mir noch einfiele, neben dem ja bereits erwähnten Heartbleed, gab's noch einen anderen OpenSSL-Bug, der inzwischen gefixt wurde und einen Man-In-The-Middle-Angriff ermöglichte (glaub, da konnte man irgendwie die Verwendung extrem schwacher Schlüssel provozieren). Aber wer weiß schon, ob da alle Systeme auch bereits entsprechend upgedadet sind, nachdem die Systemadmins ja erst den ganzen Stress wegen Heartbleed hatten.
Nicht wenige Experten sehen ihre Existenzberechtigung darin, einen relativ einfachen Sachverhalt unendlich zu komplizieren - Pierre Trudeau
Cauca
Member since Oct 2011
909 posts
Quote by raspe88:
Was mir noch einfiele, neben dem ja bereits erwähnten Heartbleed, gab's noch einen anderen OpenSSL-Bug.
GnuTLS findete in letzter Zeit auch des öfteren aufgrund gefixter Bugs Erwähnung.
Close Smaller – Larger + Reply to this post:
Verification code: VeriCode Please enter the word from the image into the text field below. (Type the letters only, lower case is okay.)
Smileys: :-) ;-) :-D :-p :blush: :cool: :rolleyes: :huh: :-/ <_< :-( :'( :#: :scared: 8-( :nuts: :-O
Special characters:
Go to forum
Datenschutz | Kontakt
Powered by the Unclassified NewsBoard software, 20150713-dev, © 2003-2011 by Yves Goergen