Thema: Spam diverses ....

[SiLæncer]

In den letzten drei Wochen betätigten sich mehrere zum Software-Giganten Microsoft gehörende IP-Adressen als Spam-Schleudern. Über die Adressen wurden zahlreiche Besucher auf betrügerische Websites umgeleitet. Die über 1000 Seiten, auf die die Besucher weitergeschickt wurden, sollen einer Gruppe russischer Online-Krimineller gehören.

Auf den Websites wurden medizinische Produkte wie Viagra und Wachstumshormone angeboten. Die Umleitungen erfolgten, indem die kompromittierten Microsoft-Server als DNS-Server verwendet wurden. Sicherheitsexperten vermuten, dass die Maschinen mit Hilfe spezialisierter Malware zum Hosting der betrügerischen DNS-Server umprogrammiert wurden. Allerdings erwägt Randal Vaughn, Informatik-Professor an der Baylor University, auch eine andere Möglichkeit: bei dem kompromittierten Server könnte es sich um einen Honeypot handeln, der die Aktivitäten der Cyberkriminellen dokumentieren soll.

Die Gruppe vertreibt ihre Produkte unter dem Namen "Canadian Health&Care Mall". Neben Arzneimittel-Spam und anderer unerwünschter Werbung sollen die Kriminellen auch mit Kinderpornografie und Identitätsdiebstahl im Zusammenhang stehen. Das Betreiben von Websites und DNS-Servern auf kompromittierten Maschinen ohne Kenntnis der Admins ist ihre Spezialität. Durch diese Methodik halten die Betrüger nicht nur die Betriebskosten niedrig, sondern sie können auch viele Filter und Blacklists umgehen, da sie legitime IPs verwenden. Im vergangenen Jahr wurden neben Microsoft auch schon die University of Houston, die City University of New York sowie die indische Regierung zum Opfer der Gruppe.

Eine Microsoft-Sprecherin teilte mit, man untersuche den Vorfall derzeit und werde anschließend Stellung dazu nehmen.

Quelle : www.gulli.com

[SiLæncer]

Das eleven Research-Team legte nun den Spam- und Malware-Bericht für den vergangenen Oktober vor. Darin bestätigte sich einmal mehr, was auch nach jedem Takedown der letzten Monate festgestellt wurde: Ausschaltungen einzelner Botnets haben keinen oder nur einen äußerst geringen langfristigen Effekt aus das gesamte Spam-Aufkommen.

Dem Bericht zufolge hatten die Einstellung des Spam-Dienstes Spamit und die Abschaltung eines Großteils der Kontrollstrukturen des BredoLab-Botnets im Oktober 2010 keine anhaltenden Auswirkungen auf das weltweite Spam-Aufkommen. Bereits nach wenigen Tagen - im Falle von Bredolab sogar schon nach 24 Stunden - war in beiden Fällen wieder das selbe Niveau erreicht wie vor dem Takedown. Kurzfristige Einbrüche beim Spam-Aufkommen waren zwar deutlich zu sehen, hatten aber auf die Monatsbilanz nur äußerst geringe Auswirkungen. Insgesamt stieg das Spam-Aufkommen im Vergleich zum September sogar um 4 Prozent an.

Bereits nach den Ausschaltungen anderer Botnets wie Lethic, Mariposa oder Waledac hatten Sicherheitsforscher ähnliche Beobachtungen gemacht. Zwar werden durch technische Maßnahmen ebenso wie durch verbesserte Kooperation mit den Ermittlungsbehörden zunehmend erfolgreiche Takedowns ausgeführt. Langfristig eingedämmt wird die Online-Kriminalität dadurch jedoch nicht.

Die Experten des eleven Research-Teams führen dies darauf zurück, dass die Botnet-Betreiber und Spam-Versender in der Folge einiger Erfolge der Sicherheitsexperten ihre Kapazitäten deutlich ausgebaut haben und sie gleichzeitig redundant und damit ausfallsicherer gestaltet haben. Vor allem die Kontrollstrukturen sind mittlerweile so ausgelegt, dass sie im Fall einer Ausschaltung innerhalb kürzester Zeit automatisch auf andere Server und andere Hoster wechseln können, beispielsweise durch die Verwendung pseudozufällig generierter Domains zur Kontaktaufnahme. Damit ist sichergestellt, dass eine Abschaltung der Kommandoserver wie im Fall von BredoLab nicht zu einem Totaleinbruch des Spam-Versands führt und die vollständige Botnet-Kapazität innerhalb kürzester Zeit wieder zur Verfügung steht.

Zudem könnte eine Rolle spielen, dass mittlerweile zahlreiche verschiedene Gruppen von Online-Kriminellen mit ihren Botnets auf dem Schwarzmarkt konkurrieren. Wer also ein Botnet zum Versand seiner Spam-Mails benötigt, hat eine erhebliche Auswahl und kann im Fall eines erfolgreichen Takedowns relativ problemlos auf einen anderen Anbieter umsteigen.

Quelle : www.gulli.com

[SiLæncer]

In den letzten Wochen konnten Nutzer der Spam-Melde-Plattform SpamCop keine Verbindung zu den Servern des Dienstes herstellen. Die zeigten ein Verhalten, als stünden sie unter Beschuss durch eine DDOS-Attacke. Auf der Plattform können registrierte Nutzer Spam-Mails einsenden und SpamCop erstellt daraus eine Blacklist.

Den Grund für die Unerreichbarkeit entdeckten Mitarbeiter des Herstellers Cisco, der bei der Entwicklung seiner Anti-Spam-Produkte maßgeblich von den Daten profitiert, die SpamCop sammelt. Demnach war die Zahl der versendeten Spam-Mails in den letzten Wochen so hoch, dass die Server den Anfragen der eigenen Nutzer nicht mehr gewachsen waren und eine vergleichbare Reaktion zu einer DDOS-Attacke zeigten.

Leser berichteten uns sogar, dass ihre Accounts gesperrt wurden. Ein Blick ins Forum von SpamCop bestätigt solche Berichte. Ein Automatismus, der den Anbieter vor Angriffen von Spam-Versendern schützen soll, sperrt Nutzerkonten selbstständig, wenn darüber mehr als 50.000 Spam-Mails am Tag gemeldet werden. Von dieser Schutzmaßnahme waren, wie man im Forum verfolgen kann, noch weitere Nutzer betroffen.

Cisco als Eigentümer des SpamCop-Betreibers IronPort will nun allen registrierten Benutzern der Plattform als kleine Entschädigung einen Tank-Gutschein in Höhe von 15 US-Dollar anbieten.

Quelle : www.heise.de

[SiLæncer]

Spammer versenden derzeit massenhaft Werbemails an Nutzer des Cloud-Speicherdienstes Dropbox. Auch bei heise Security sind vier verschiedene deutschsprachige Spammails eingetroffen, die an eine Mail-Adresse gingen, die nur für die Registrierung bei Dropbox genutzt wurde. Einige Leser haben dieses Phänomen ebenfalls beobachtet; auch im Dropbox-Forum findet man entsprechende Berichte. In den Mails wird stets für dubiose Online-Casinos geworden.

In vielen Fällen gingen die Mails an Domainbesitzer, die bei der Dropbox-Anmeldung eine Mail-Adresse nach dem Muster dropbox@domain.tld genutzt haben. Das legt den Schluss nahe, dass die Spammer hier unter Umständen schlicht einen Glückstreffer gelandet haben. Laut den Forenberichten gingen die Mails aber auch an Nutzer, die nach eigenen Angaben keine Mailadresse nach diesem leicht durchschaubaren Schema genutzt haben.

Dropbox hat bereits sein Sicherheitsteam und externe Experten mit der Untersuchung der Fälle beauftragt, wie das Unternehmen in seinem Forum bekanntgegeben hat. Bislang gebe es keine Erkenntnisse über unerlaubte Zugriffe auf Dropbox-Accounts, ein kürzlich aufgetretener halbstündiger Ausfall der Webseite habe zumindest nichts mit dem Spam zu tun.

Quelle : www.heise.de

[SiLæncer]

Nachdem in dieser Woche bekannt wurde, dass einige Nutzer des Cloud-Speicherdienstes Dropbox Spamnachrichten an die hinterlegten E-Mail-Adressen erhalten, haben die Betreiber mit einer umfassenden Analyse begonnen.

Dabei stellt sich bisher heraus, dass man keine Hinweise auf einen erfolgreichen virtuellen Einbruch, bei dem möglicherweise die E-Mail-Adressen der Dropbox-Nutzer entwendet wurden, finden konnte. Unterstützung hat man sich zu diesem Zweck von einem externen Dienstleister geholt, schreibt der Mitarbeiter Graham A. im Forum.

Indizien, welche auf einen Einbruch in das interne System von Dropbox hindeuten oder unerlaubte Zugriffe auf die Dropbox-Accounts konnte man nicht finden. Um der Problematik auf den Grund gehen zu können, ist man direkt an die betroffenen Nutzer herangetreten und versucht nun auf diese Weise an weitere Informationen zu gelangen.

Über weitere Erkenntnisse wollen die Betreiber zeitnah informieren. Grundsätzlich könne eine Untersuchung in diesem Ausmaß aber geraume Zeit andauern, unterstreicht Dropbox.

Hintergrund dieser Angelegenheit sind einige in dieser Woche aufgetauchte Beschwerden aus den Kreisen der Nutzer über den unerwünschten Empfang von Spam-Nachrichten. Konkret geht es hierbei um Werbung für dubiose Online-Casinos. Außergewöhnlich ist dieser Sachverhalt unter anderem aus dem Grund, weil die Mails auch auf Konten eingingen, welche ausschließlich bei Dropbox hinterlegt sind.

Quelle : http://winfuture.de/

[SiLæncer]

Von der Deutschen Post AG versendete E-Mails könnten aufgrund einer fehlerhaften SPF-Konfiguration wochenlang fälschlicherweise als Spam markiert oder abgewiesen worden sein. Das Unternehmen hat die SPF-Daten heute korrigiert und damit auf einen Hinweis reagiert, den Ralph Babel Mitte November geschrieben hatte.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Die Abgeordneten aus dem Bundestag können seit heute nicht mehr auf bestimmte Webmail-Adressen zugreifen. "Keine E-Mail kommt an", berichtet Niema Movassat.

Der Bundestagsabgeordnete Niema Movassat beklagt, dass seit dem 7. Oktober 2013 keine Webmail-Adressen von United Internet aus dem Bundestag zu nutzen sind. Movassat (Die Linke) erklärte bei Facebook: "Montags-Chaos im Bundestag: Der Spam-Dienst des Bundestags hat alle Web.de- und Gmx-Mail-Adressen gesperrt. Lösung nicht in Sicht. Keine E-Mail kommt an. Keiner will sich drum kümmern. Man wird von A nach B geschickt. Wie es sich bei deutschen Behörden gehört ... genervt."

Laut einer Umfrage der Frankfurter Allgemeinen Zeitung, an der sich 126 Politiker aller Fraktionen beteiligten, gaben 54 Prozent an, für dienstliche Mails auch externe E-Mail-Konten zu verwenden. 12 Prozent nutzen US-Anbieter wie Google-Mail. 71 Prozent setzen bei der täglichen Arbeit keine Verschlüsselung ein.

Im Bundestag wird E-Mail-Kommunikation mit S/Mime angeboten. Für die Kommunikation der Abgeordneten untereinander, mit Ministerien, dem Bundesverfassungsgericht oder obersten Behörden wie der Bundesbank wird das Netz des Bundes genutzt, das die Regierungsnetze IVBB und IVBV/BVN in einer gemeinsamen Netzinfrastruktur zusammenfasst.

Die Deutsche Telekom und die United-Internet-Marken GMX und Web.de wollen E-Mails zwischen ihren Rechenzentren verschlüsselt übertragen. Das gaben die Unternehmen am 9. August 2013 im Rahmen der Initiative "E-Mail Made in Germany" bekannt. Von Anfang 2014 an werden die Partner aus Sicherheitsgründen nur noch SSL-verschlüsselte Mails transportieren, erklärten die Unternehmen.

Der Chaos Computer Club (CCC) hatte die Ankündigung über den Einsatz von SSL/TLS-gesicherten Verbindungen als "Sommermärchen von der sicheren E-Mail" bezeichnet.

Quelle : www.golem.de

[SiLæncer]

Mailserver des Konzerns United Internet landeten am Freitagmorgen auf einer Blacklist des Spamhaus-Projects. Dadurch kam es zu Problemen mit dem Mail-Versand.

Mailserver von United Internet, unter anderem mit den IP-Adressen 212.227.15.15 und 212.227.15.130, waren kurzzeitig beim Spamhaus-Project als verdächtig markiert worden. Dies führte dazu, dass Kunden von 1&1, GMX und WEB.DE keine E-Mails an andere E-Mail-Provider senden konnten, welche Spamhaus zur Spamerkennung nutzen.

Von Freitagmorgen bis -mittag klagten viele Nutzer über Versandprobleme. Mittlerweile hat Spamhaus den Fehler behoben und den Mailserver von der Liste entfernt. Die Begründung für die Blockierung war der Verdacht, dass der Server mit einem Spambot infiziert sein könnte. 1&1 gab allerdings in einer Mail an heise Security Entwarnung – sie seien fälschlicherweise auf auf der Blacklist gelandet, der Fehler sei inzwischen behoben, erklärte ein Sprecher.

Ähnliches hat es vor fast einem Jahr schon mal gegeben. Damals landeten die GMX Server auf der Spamliste von spamcop.net.

Quelle : www.heise.de

[Jürgen]

Ich hatte tatsächlich in letzter Zeit mehrere Spam-Mails, die über UI Konten und Server verbreitet worden waren.
Dahinter stecken aber offenbar gekaperte private Rechner und Konten.

Sofern diese Spam-Mails nicht in sehr auffälligem Umfang oder auf besonders dusselige Art gebastelt werden, fällt es den Mail-Dienstleistern natürlich einigermaßen schwer, so etwas sofort zu erkennen und abzustellen. Gerade wenn aus solchen gekaperten Accounts ganze Netze gebildet werden, können die Spammer die Anzahl von Mails eines einzigen Absenders gering halten, sodass es nicht gleich Alarm gibt. Das ist Spammern offenbar insbesondere bei betrügerischen oder mit Trojanern im Anhang versehenen Mails wichtig.

Allerdings stelle ich auch fest, dass eine neue Art Spam zumindest bei GMX meist schon am nächsten oder übernächsten Tag nicht noch einmal ohne Spamverdacht durchrutscht.

Mein ältestes Mail-Konto bei GMX ist schon lange von Spam betroffen und wird daher auch schon lange nicht mehr ernsthaft benutzt, wurde zudem auch vor einiger Zeit auf komplett ungültige persönliche Daten umgestellt.
Es eignet sich allerdings trefflich dafür, frühzeitig sowohl neue Maschen zu erkennen als auch die Wirksamkeit von Filtern zu prüfen, beim Provider und hier.

Aktuelles (gekürztes) Beispiel:

Code: [Auswählen]

Received: from mout.web.de ([212.227.15.4]) by mx.emig.kundenserver.de
 (mxeue001) with ESMTPS (Nemesis) id 0MMfLq-1X**xk07Oo-00**bb for
 <*******@********>; Wed, 13 Aug 2014 07:13:18 +0200
Received: from koneca-PC ([77.2.104.26]) by smtp.web.de (mrweb001) with
 ESMTPSA (Nemesis) id 0MOj14-1X**pC0Iic-00**oi for
 <*******@********>; Wed, 13 Aug 2014 07:13:17 +0200
From: "Inkasso Abteilung" <m*riem*j*rick@web.de>
-/-
X-UI-Out-Filterresults: notjunk:1;
-/-
Sehr geehrte/r **************,

Sie haben eine nicht beglichene Forderung bei unseren Mandanten Ebay GmbH. =
Das von Ihnen angegebene Konto wurde im Moment der Abbuchung nicht gen=C3=
=BCgend gedeckt um die Kontoabbuchung vorzunehmen. Namens und in Vollmacht =
unseren Mandanten fordern wir Sie auf, die offene Gesamtforderung schnellst=
ens zu begleichen.=20

Wir erwarten die =C3=9Cberweisung bis sp=C3=A4testens 18.08.2014 auf unser =
Bankkonto. F=C3=BCr R=C3=BCckfragen oder Reklamationen erwarten wir eine Ko=
ntaktaufnahme innerhalb des gleichen Zeitraums. Aufgrund des bestehenden Za=
hlungsverzug sind Sie verpflichtet zuz=C3=BCglich, die durch unsere T=C3=A4=
tigkeit entstandenen Kosten von 22,19 Euro zu tragen.=20

Die Rufnummer und weitere Informationen ersehen Sie in Ihrer Rechnung anbei=
 im Anhang. Bitte beachten Sie, dass keine weitere Mahnung erfolgt. Nach Ab=
lauf der Frist wird die Angelegenheit dem Gericht und der Schufa =C3=BCberg=
eben. Eine vollst=C3=A4ndige Forderungsausstellung, der Sie alle Einzelposi=
tionen entnehmen k=C3=B6nnen, f=C3=BCgen wir bei.=20

Mit verbindlichen Gr=C3=BC=C3=9Fen

Ebay GmbH

Inkasso Abteilung Marc Sch=C3=A4fer

Ja nee, schon klar.
Das Empfängerkonto kennt eBay gar nicht. Ich betreibe eben systematische Mülltrennung...
Eine Mitteilung im Ebay-System o,ä. gibt's natürlich auch nicht.
Und ein angeblicher Mitarbeiter Marc Schäfer der Inkasso-Abteilung von eBay benutzt dafür ein web.de Konto einer Marie Sowieso am heimischen Rechner
Habe zudem noch nie was verkauft, weshalb die Bucht überhaupt keine Forderungen an mich (bzw. den vorgeblichen Nutzer des Empfänger-Kontos) haben kann.

Und eh' ich's vergesse, zwar werden im Text Umlaute verwendet, aber für die Namen vorgesehener Opfer kriegen das die Deppen nach wie vor nicht hin...

Nun könnte prinzipiell auch ich (oder mein Filter) annehmen wollen, Spams würden massig über UI verbreitet.
Ganz klar in Führung liegt hier aber immer noch hotmail, mit etwa 95%.
Danach kommt Schrott vom Balkan, aus Russland und China.

Ernsthaft verwendete Konten sind hier dagegen kaum betroffen, wegen opt-in, oder aufgrund streng getrennter Verwendung, oder auch strikter Nichtabfrage und automatischer Sofortlöschung aller (nicht erwarteten) Eingänge.

Trotzdem wiege ich mich nicht in Sicherheit, öffne keine unerwartete oder irgendwie seltsame Mail. Wozu gibt's schließlich die Quelltext-Anzeige 

Jürgen

p.s.
Anwälte, Gerichte & Co. verwenden nach wie vor die Schriftform der Brief- bzw. Einschreibe-Sendung.
Zumindest solange, wie man nicht den tragischen Fehler begeht, per de-Mail eine elektronische Form der wirksamen Zustellung in Kauf zu nehmen...