WORLDST-UQ3K9Q0 - ein weit unterschätzter neuer Super-Hack??

Heute mache ich einen kleinen Ausflug in einen Themenbereich, der eigentlich sonst nicht zu meinen Bereichen zählt. Grund dafür ist, dass mein E-Mail Account kürzlich gehackt geworden ist und seither nicht nur ich selbst, sondern auch Freunde, Bekannte, Verwandte und Geschäftspartner mit Spam E-Mails überhäuft werden. Die vermutliche Vorgehensweise ist dabei gleichermaßen genial und schockierend beunruhigend. Daher bin ich umso mehr verwundert, dass man bei der Google-Suche nach diesem Thema zwar schon fündig wird, sich das Interesse darüber in Grenzen hält. Wird das Thema unterschätzt und als harmlose, dumme Spoofing E-Mail Aktion, die "zufällig" an die Daten der Opfer kommt, abgetan? Aber erst mal der Reihe nach die Vorgehensweise der Täter:

Die Herkunft der SPAM E-Mails

Nachdem sich jemand Zugang zu meinem E-Mail Konto verschaffen konnte - mehr dazu weiter unten - wurden sämtliche E-Mail Adressen und Namen, die in irgendwelchen E-Mails in meinen Postein- bzw -ausgang und sonstigen Ordnern gefunden wurden, ausgelesen und gestohlen: Absender, Empfänger, CC-Empfänger - alle. Im nächsten Schritt wurden innerhalb kürzester Zeit zahlreiche Spam-Nachrichten über mein Konto an die gestohlenen Kontakte versendet. Dabei wurde auch - aber nicht immer - mein Name als Absender benutzt. Es werden vielfach auch die Namen der gestohlenen Kontaktdaten verwendet. Zum Glück haben die Überwachungsmechanismen unseres Providers den Zugang zu meinem Account umgehend gesperrt. Da aber bereits gleichzeitig sehr viele E-Mails versendet wurden, war bereits einiges an Schaden angerichtet.

Der richtig lästige Teil der Geschichte kommt aber jetzt: nach der Sperre des Kontos hat man dann trotzdem keine Ruhe, denn die Nachrichten werden dann trotzdem über fremde E-Mail Server, die z.T. in Indien und anderen asiatischen Ländern stehen, versendet. E-Mail Spoofing nennt man das. Denn hier wird ein generelles Problem beim SMTP-Protokoll, das als Basis zum E-Mail Versand dient, ausgenutzt: Absenderadressen werden nämlich nicht überprüft. Jeder kann sich mit wenig Aufwand im Handumdrehen seinen eigenen E-Mail Server aufsetzen und als Absender-Adresse und -Namen vorgeben, jemand anderes zu sein. Jeder auch nur halbwegs vernünftig konfigurierte Spamfilter wird diese E-Mails zwar sofort erkennen und rausfiltern. Leider zeigt sich in der Praxis jedoch, dass trotzdem noch sehr viele E-Mails trotzdem in diversen Posteingängen landen. Es zahlt sich daher für den Versender durchaus aus, seine Opfer weiterhin zu belästigen. Auch gestern wurde wieder eine weitere Welle dieser E-Mails mit mir als gespooften Absender versendet. Es bleibt einem aber hier leider nichts anderes übrig, als zu hoffen, dass das nicht ewig so weitergeht. Denn wie bereits geschildert, erfolgt der Versand über fremde Server, die versuchen, die Identität zu fälschen. Daher kann man auch selbst keine technische Maßnahme dagegen ergreifen, dass diese E-Mails versendet werden. Man kann sich nur gegen den Erhalt dieser E-Mails schützen, indem man einen gut konfigurierten Spam-Filter im Einsatz hat.

Es werden zwar unterschiedliche Server zum Verand benutzt, die jedoch alle eine Gemeinsamkeit haben: Sie verwenden beim HELO Befehl den Namen "WORLDST-UQ3K9Q0". Das sieht man, wenn man sich die Header-Informationen ansieht, die mit dem E-Mail mitgesendet werden.

Der Inhalt der E-Mails

So brilliant die allgemeine Vorgehensweise auch sein mag, die E-Mail Nachrichten selbst sind vergleichsweise sehr plump und daher auch sehr einfach als Spam-Nachricht zu erkennen:

Als Betreff wurde immer "Fw: important" verwendet. Auch der (kurze) E-Mail Text ist in englischer Sprache gehalten:

Important message, please visit

gefolgt von einem Link und darunter der Name des angeblichen Absenders.

Wenn Sie ein solches E-Mail erhalten, dann löschen sie es sofort und klicken Sie bitte auf keinen Fall auf den darin enthaltenen Link! Es kann natürlich nicht ausgeschlossen werden, dass Sie sonst in weiterer Folge auf eine speziell präparierte Seite landen, auf der sich z.B. einen Computervirus einfangen könnten.

Ich selbst habe keinen Link geöffnet. Laut Berichten aus Antiviren-Foren, etc. wird man beim Klick auf den Link von dort weitergeleitet auf eine andere Seite, auf der einem zwar kein Virus erwartet, aber ein dubioses Glückspielangebot o.ä. (ACHTUNG: vgl letzten Absatz - es werden offensichtlich auch präparierte Seiten verlinkt, deren bloßer Aufruf schon zu einer Viren-Infektion führen kann!!) Ich habe mir von ein paar der versendeten Links die Domain angesehen. Jetzt kommt eine weitere höchst interessante Erkenntnis: es werden zumindest zum Teil offensichtlich gehackte Internetseiten zur Weiterleitung missbraucht. So wurde z.B. auf der Seite einer amerikanischen Organisation im Bereich Krebshilfe offensichtlich ein PHP-Skript platziert, das dann zu einer eben dubiosen Seite weiterleitet. In einnem andern Fall war es eine Kunstgalerie. Das macht dann dann den Inhalt der E-Mails schon wieder täuschend gefährlich. Stellen Sie sich vor, Sie wohnen in den USA, kennen ev diese Organisation. Dann bekommen Sie eine Nachricht, die von einem guten Bekannten zu sein scheint, der Ihnen einen Link schickt. Die englische Sprache wäre dann auch kein Grund zur Verwunderung, und der Link wirkt dann auch vertrauenswürdig. Also doch wieder irgendwie genial und weniger plump, als es tatsächlich auf uns wirkt.

Der Einbruch und Diebstahl

Wie aber haben sich die Hacker Zugang verschafft? Die allererste Vermutung ist natürlich auf einen Computervirus gefallen. "Lieber" wäre mir das auch gewesen, denn das wäre mMn weniger beunruhigend, als die Tatsache, dass es auf andere Art und Weise passiert sein muss. Realistische Annahmen wären, dass die Hacker entweder einen Sicherheitslücke am SMTP-Server entdeckt und ausgenutzt haben (dann wäre es aber wahrscheinlich, dass alleine von uns auch andere Adressen betroffen gewesen wären), oder mittels einer Brute Force Attacke mein Passwort geknackt haben. Mein altes Passwort war, wie es sich gezeigt hatoffensichtlich nicht sicher genug, aber ich kenne viele Menschen, die auf noch viel einfachere Passwörter setzen, als ich es getan habe. Daher kann ich nur ganz dringend dazu raten, hier mehr Acht zu geben und wirklich sichere Passwörter zu verwenden - genauso, wie Sie auch nicht den Haustürschlüssel unter der Fußmatte vestecken sollten ;)

Verbreitung

Wie bereits erwähnt, findet man zu meiner großen Verwunderung gar nicht so viele Beiträge zu diesem Thema. Vor ziemlich genau vor einem Monat zog die offensichtlich bisher größte Attacke die Aufmerksamkeit der (IT-)Medien auf sich, als in Deutschland zahlreiche T-Online Kunden dieser Attacke zum Opfer fielen. Den Berichten zufolge beteuerte die Telekom, dass der Versand nicht über ihre Server erfolgt seien - kein Wunder, da größtenteils eh gespooft wird. Mich würde vielmehr interessieren, wie sie sich dort den Zugang verschafft haben. Die Häufung von Kunden eines bestimmten Providers lässt ja dennoch den Schluss zu, dass es irgendwelche Sicherheitslücken gegeben haben müsste - sei es auch nur, dass man sich nicht genügen gegen Brute Force Attacke geschützt hat. In neueren Forenbeiträgen findet man auch ein paar Berichte von Virgin Media Kunden, die ebenfalls zu den Opfern zählen.

Fazit und weitere Quellen

Ich finde das Ganze ziemlich gruselig. Die Leute, die das ganze eingefädelt haben, haben ihre Macht und ihre Know-How meiner Meinung nach ganz eindeutig unter Beweis gestellt. Es ist vor allem die Kombination vieler Faktoren, die die Aktion so spektakulär macht. Es werden nicht nur haufenweise E-Mail Konten erfolgreich gehackt, sondern offensichtlich auch noch einige Webserver, alles schön miteinander kombiniert. Ich bin gespannt, wie weit die Kreise sein werden, die diese Aktion noch zieht. Ich wünsche es niemanden, aber ich könnte mir gut vorstellen, dass sich das noch ganz schön weiter verbreiten wird... Die Ratlosigkeit der Opfer in diversen Internet-Foren ist jedenfalls groß, denn auch die konnten allesamt den Angriff nicht auf eine Vireninfektion zurückführen.

Wer sich mehr für dieses Thema interessiert, dem würde ich noch folgenden Blog-Post von Gerald Steffens empfehlen, der mir persönlich bei der Analyse der Situation ganz besonders geholfen hat. Auch die Kommentare darunter sind sehr lesenswert! http://www.blogschrott.net/fiese-spam-mail-attacken-footprint-worldst-uq...

Und hier der Link zum Heise-Artikel über den Angriff auf die Telekom-Kunden: http://www.heise.de/security/meldung/Deutsche-Telekom-warnt-vor-Spam-Wel...

Update 21.9.2015

Ich hab's schon erwähnt, aber ich möchte noch einmal ganz eindringlich darauf hinweisen, solche Links nicht zu öffnen! Habe gerade von einer Kundschaft erfahren, die den Link versehentlich geöffnet, aber umgehend wieder geschlossen hatte, dass damit nicht nur der Rechner selbst, sondern auch das gesamte Netzwerk der Firma lahmgelegt wurde. Es entstand ein hoher Netzwerktraffic (immer um 9:00 Uhr o.ä.) und offensichtlich auch über das interne Netzwerk weiter ausgebreitet! Klingt nach einem sehr sehr bösartigen Virus, dem man sich da einfangen kann!

Auch zur Quelle gibt's neue Erkenntnisse: unser Provider schließt übrigens eine Brute Force Attacke als Ursache aus, da hier entsprechende Angreifer sofort erkannt und gesperrt würden. Wenn tatsächlich Brute Force, Sicherheitslücken am Server und infizierte Clients ausgeschlossen werden können, dann bleibt nicht mehr recht viel übrig. Das Konto war/ist außerdem noch auf meinem Android Smartphone eingerichtet. Ich bewege mich aber nie in öffentlichen WLAN-Netzen und die automatische E-Mail Syncrhonisierung ist auch deaktiviert. Es kommen nur relativ seltene Momente in Hotel-WLANs in Urlauben in Frage. Sollte das der Fall sein, dann wäre es aber sehr wahrscheinlich, dass der eigentliche Diebstahl bereits vor längerer Zeit erfolgt ist, und erst jetzt zugeschlagen wurde.

Update 27.9.2015

Es scheint sich weiter auszubreiten. Es finden sich nach und nach immer mehr Betroffene im Netz. Ein neuer Blog-Artikel, der mir aus der Seele spricht, kommt von Markus Neubart. Er stellt sich u.a. auch die gleiche Frage, warum dieser äußerst massive und perfide Angriff dennoch weiterhin relativ wenig im Netz kommentiert und beachtet wird: http://totterturm-pr.de/spamwelle-viele-telekom-kunden-betroffen-fw-impo...

Und auch in den USA häufen sich anscheinend die Probleme. Einen exzellenten Artikel aus Amerika zu diesem Thema findet ihr hier: http://wardinewrock.blogspot.com/2015/09/email-sent-under-my-name-not-fr...

Kommentare

Hallo Herr Mayr, exakt genauso sieht es bei mir auch auf. Ich habe aber auch mein Android Handy im Verdacht. Eingebrochen wurde in mein privates Emailkonto, aber die SPAMS verwenden alle meine geschäftliche Emailadresse und das ist wirklich sehr schlecht. Schöne Grüße Betroffener

Hallo Betroffener,

herzlichen Dank für den Kommentar. Dass in das private Konto eingebrochen wurde, jedoch die geschäftliche als Absender verwendet wird, ist interessant. Dass der Absendername abgewechselt wird, ist ja nichts Neues, aber bisher wurde als Absender immer meine Adresse verwendet. Aber wundern würde mich das eh nicht, dass auch andere E-Mail Adressen als Absender verwendet werden. Warum sollte das nicht passieren? Moralische Grenzen kennen die Urheber hinter dieser Aktion ohnehin nicht...

Einen Tipp, wie Sie das Ausmaß zumindest ein kleines bisschen eingrenzen können: Setzen Sie einen SPF-Record in Ihren DNS-Einträgen. Leider wird das nicht von allen Posteingangsservern bzw Spamfiltern auch tatsächlich abgeprüft, aber zumindest einige hält es schon davon ab, dass diese E-Mails in ihren Posteingängen landen. Und das ist besser als gar nix, und außerdem so ziemlich das einzige neben Aufklärung zu betreiben, was Sie aktiv dagegen tun können.

Moin, jop mich hats auch erwischt. Ehemaliger Hoster: All-Inkl Bin jetzt zu mir selbst umgezogen werde aber immernoch mit Spams bombardiert... (von fremden Servern) habe nun EHLO WORLDST-UQ3K9Q0 bei mir in einen anderes Postfach weiterleiten lassen. Pro Woche ca 100-300 Stück. Gruß ChoosenEye

Solche Maßnahmen (Filter, Weiterleitungen) sind eh die einzigen Möglichkeiten, es zu verhindern, dass der Posteingang überquillt. Hab auch in div. Foren schon gelesen, dass manche Leute ihre Mail-Accounts gelöscht haben. Bringt ja auch nix. Damit kriegt man es zwar selbst nicht mehr mit, aber alle anderen werden ja weiterhin noch unter demselben gefälschten Absender zugemüllt.

Meine älteste EMailadresse, die ich nur zum Abfangen von Spamsendern nutzte, hat es auch wie beschrieben erwischt. Eine Vireninfektion halte ich ebenfalls für sehr unwahrscheinlich. Die in der Spammail genutzen Empfängeradressen existieren so nicht mehr in meinen Adressbüchern, da es die Empfänger teilweise nicht mehr gibt. Da das Konto aber auf imap konfiguriert war, konnte es diese alten Adressen nur aus dem Postein-, ausgang extrahiert haben. Das Kennwort war leider schon sehr lange nicht gewechselt und aus heutiger Sicht auch nicht mehr sicher. Ich habe das Konto momentan ebenfalls gelöscht. Allerdings eher aus Verzweifelung.

Hallo Sebastian,

wie gesagt bringt Löschen nix, außer, dass dieses Konto dann in Zukunft nie wieder gehackt werden kann ;-) Aber gestohlen bleibt gestohlen, dh die Daten sind futsch und werden munter missbraucht...

Mich hat es auch erwischt. Mich nimmt es (als beruflicher Informatiker) Wunder, wie das passieren konnte. Frage: Habt ihr alle über Android Smartphones die IMAP Postfächer angebunden?

Ja, hab ich. Android + freies WLAN ist immer noch eine meiner realistischsten Theorien. Aber mich würde auch eine Schwachstelle auf dem E-Mail Server selbst nicht verwundern. Es ist schon interessant, dass es zumindest eine gewisse Häufung von Providern gibt bei den Betroffenen: T-Online, Arcor, Virgin Media,... Wenn das der Fall wäre, betrifft es mit Sicherheit auch eine Vielzahl an kleineren Providern.

Ich möchte gerne noch einmal auf den Blog von Wardine Wrock hinweisen, den ich am Ende des Artikels unter "Update 27.9.2015" gepostet habe. So detaillierte und immer wieder aktualisierte Infos gibt es sonst nirgends. Sie erforscht das Thema sehr intensiv!

Hallo, Einen von meinen Kunden hat es auch erwischt. Es ist echt schwer jemanden in dieser Situation zu erklären das es dafür keine Lösung gibt und selbst bei neu Erstellung einer E-Mail Adresse das Hauptproblem weiterhin besteht. Da hat man doch jeden Tag Angst das du bald der nächste bist. Gruß

Ich habe das gleiche Problem... auch bei mir waren die Passwörter beim Hoster relativ schwach. Allerdings würde ich einen Einbruch beim Hoster eher ausschließen, da bei mir 2 Domains auf einmal davon betroffen waren. Tippe eher dass vom Outlook vieleicht die Kontoinformationen abgegriffen wurden.

Tja ..... Outlook ... HM. Die Verwendung solch eines anfälligen und Activ-Scripting angewiesenen Programmes schliesst sich doch normal aus. Man Surft doch auch nicht mit Internet-Exblöder. Activ Scripting gehört deaktiviert. Verwendet doch mal ein dediziertes Mailprogramm. LG

...denn das fällt bei mir schon mal weg. Außerdem: wer sich diverse Foreneinträge, Kommentare und Blogposts zu diesem Thema liest, wird schnell herausfinden, dass man vergeblich nach einem gemeinsamen Nenner bei der Software unter den Betroffenen finden kann. Die einen haben einen Windows PC mit Outlook, andere Windows, aber kein Outlook. Der nächste verwendet das E-Mail Konto nur auf einen iMac und einen iPhone, wieder andere auf Android. Die einen benutzen nur einen Webmail-Zugang, etc. Im Forum von Virgin Media berichtete jemand sogar, dass ein Konto, dass er schon jahrelang auf keinen einzigen Client mehr eingerichtet und verwendet hat, gehackt wurde. Das alles deutet mehr auf serverseitige Lücken hin, als auf Viren, etc

Neuen Kommentar schreiben