Heute mache ich einen kleinen Ausflug in einen Themenbereich, der eigentlich sonst nicht zu meinen Bereichen zählt. Grund dafür ist, dass mein E-Mail Account kürzlich gehackt geworden ist und seither nicht nur ich selbst, sondern auch Freunde, Bekannte, Verwandte und Geschäftspartner mit Spam E-Mails überhäuft werden. Die vermutliche Vorgehensweise ist dabei gleichermaßen genial und schockierend beunruhigend. Daher bin ich umso mehr verwundert, dass man bei der Google-Suche nach diesem Thema zwar schon fündig wird, sich das Interesse darüber in Grenzen hält. Wird das Thema unterschätzt und als harmlose, dumme Spoofing E-Mail Aktion, die "zufällig" an die Daten der Opfer kommt, abgetan? Aber erst mal der Reihe nach die Vorgehensweise der Täter:
Die Herkunft der SPAM E-Mails
Nachdem sich jemand Zugang zu meinem E-Mail Konto verschaffen konnte - mehr dazu weiter unten - wurden sämtliche E-Mail Adressen und Namen, die in irgendwelchen E-Mails in meinen Postein- bzw -ausgang und sonstigen Ordnern gefunden wurden, ausgelesen und gestohlen: Absender, Empfänger, CC-Empfänger - alle. Im nächsten Schritt wurden innerhalb kürzester Zeit zahlreiche Spam-Nachrichten über mein Konto an die gestohlenen Kontakte versendet. Dabei wurde auch - aber nicht immer - mein Name als Absender benutzt. Es werden vielfach auch die Namen der gestohlenen Kontaktdaten verwendet. Zum Glück haben die Überwachungsmechanismen unseres Providers den Zugang zu meinem Account umgehend gesperrt. Da aber bereits gleichzeitig sehr viele E-Mails versendet wurden, war bereits einiges an Schaden angerichtet.
Der richtig lästige Teil der Geschichte kommt aber jetzt: nach der Sperre des Kontos hat man dann trotzdem keine Ruhe, denn die Nachrichten werden dann trotzdem über fremde E-Mail Server, die z.T. in Indien und anderen asiatischen Ländern stehen, versendet. E-Mail Spoofing nennt man das. Denn hier wird ein generelles Problem beim SMTP-Protokoll, das als Basis zum E-Mail Versand dient, ausgenutzt: Absenderadressen werden nämlich nicht überprüft. Jeder kann sich mit wenig Aufwand im Handumdrehen seinen eigenen E-Mail Server aufsetzen und als Absender-Adresse und -Namen vorgeben, jemand anderes zu sein. Jeder auch nur halbwegs vernünftig konfigurierte Spamfilter wird diese E-Mails zwar sofort erkennen und rausfiltern. Leider zeigt sich in der Praxis jedoch, dass trotzdem noch sehr viele E-Mails trotzdem in diversen Posteingängen landen. Es zahlt sich daher für den Versender durchaus aus, seine Opfer weiterhin zu belästigen. Auch gestern wurde wieder eine weitere Welle dieser E-Mails mit mir als gespooften Absender versendet. Es bleibt einem aber hier leider nichts anderes übrig, als zu hoffen, dass das nicht ewig so weitergeht. Denn wie bereits geschildert, erfolgt der Versand über fremde Server, die versuchen, die Identität zu fälschen. Daher kann man auch selbst keine technische Maßnahme dagegen ergreifen, dass diese E-Mails versendet werden. Man kann sich nur gegen den Erhalt dieser E-Mails schützen, indem man einen gut konfigurierten Spam-Filter im Einsatz hat.
Es werden zwar unterschiedliche Server zum Verand benutzt, die jedoch alle eine Gemeinsamkeit haben: Sie verwenden beim HELO Befehl den Namen "WORLDST-UQ3K9Q0". Das sieht man, wenn man sich die Header-Informationen ansieht, die mit dem E-Mail mitgesendet werden.
Der Inhalt der E-Mails
So brilliant die allgemeine Vorgehensweise auch sein mag, die E-Mail Nachrichten selbst sind vergleichsweise sehr plump und daher auch sehr einfach als Spam-Nachricht zu erkennen:
Als Betreff wurde immer "Fw: important" verwendet. Auch der (kurze) E-Mail Text ist in englischer Sprache gehalten:
Important message, please visit
gefolgt von einem Link und darunter der Name des angeblichen Absenders.
Wenn Sie ein solches E-Mail erhalten, dann löschen sie es sofort und klicken Sie bitte auf keinen Fall auf den darin enthaltenen Link! Es kann natürlich nicht ausgeschlossen werden, dass Sie sonst in weiterer Folge auf eine speziell präparierte Seite landen, auf der sich z.B. einen Computervirus einfangen könnten.
Ich selbst habe keinen Link geöffnet. Laut Berichten aus Antiviren-Foren, etc. wird man beim Klick auf den Link von dort weitergeleitet auf eine andere Seite, auf der einem zwar kein Virus erwartet, aber ein dubioses Glückspielangebot o.ä. (ACHTUNG: vgl letzten Absatz - es werden offensichtlich auch präparierte Seiten verlinkt, deren bloßer Aufruf schon zu einer Viren-Infektion führen kann!!) Ich habe mir von ein paar der versendeten Links die Domain angesehen. Jetzt kommt eine weitere höchst interessante Erkenntnis: es werden zumindest zum Teil offensichtlich gehackte Internetseiten zur Weiterleitung missbraucht. So wurde z.B. auf der Seite einer amerikanischen Organisation im Bereich Krebshilfe offensichtlich ein PHP-Skript platziert, das dann zu einer eben dubiosen Seite weiterleitet. In einnem andern Fall war es eine Kunstgalerie. Das macht dann dann den Inhalt der E-Mails schon wieder täuschend gefährlich. Stellen Sie sich vor, Sie wohnen in den USA, kennen ev diese Organisation. Dann bekommen Sie eine Nachricht, die von einem guten Bekannten zu sein scheint, der Ihnen einen Link schickt. Die englische Sprache wäre dann auch kein Grund zur Verwunderung, und der Link wirkt dann auch vertrauenswürdig. Also doch wieder irgendwie genial und weniger plump, als es tatsächlich auf uns wirkt.
Der Einbruch und Diebstahl
Wie aber haben sich die Hacker Zugang verschafft? Die allererste Vermutung ist natürlich auf einen Computervirus gefallen. "Lieber" wäre mir das auch gewesen, denn das wäre mMn weniger beunruhigend, als die Tatsache, dass es auf andere Art und Weise passiert sein muss. Realistische Annahmen wären, dass die Hacker entweder einen Sicherheitslücke am SMTP-Server entdeckt und ausgenutzt haben (dann wäre es aber wahrscheinlich, dass alleine von uns auch andere Adressen betroffen gewesen wären), oder mittels einer Brute Force Attacke mein Passwort geknackt haben. Mein altes Passwort war, wie es sich gezeigt hat, offensichtlich nicht sicher genug, aber ich kenne viele Menschen, die auf noch viel einfachere Passwörter setzen, als ich es getan habe. Daher kann ich nur ganz dringend dazu raten, hier mehr Acht zu geben und wirklich sichere Passwörter zu verwenden - genauso, wie Sie auch nicht den Haustürschlüssel unter der Fußmatte vestecken sollten ;)
Verbreitung
Wie bereits erwähnt, findet man zu meiner großen Verwunderung gar nicht so viele Beiträge zu diesem Thema. Vor ziemlich genau vor einem Monat zog die offensichtlich bisher größte Attacke die Aufmerksamkeit der (IT-)Medien auf sich, als in Deutschland zahlreiche T-Online Kunden dieser Attacke zum Opfer fielen. Den Berichten zufolge beteuerte die Telekom, dass der Versand nicht über ihre Server erfolgt seien - kein Wunder, da größtenteils eh gespooft wird. Mich würde vielmehr interessieren, wie sie sich dort den Zugang verschafft haben. Die Häufung von Kunden eines bestimmten Providers lässt ja dennoch den Schluss zu, dass es irgendwelche Sicherheitslücken gegeben haben müsste - sei es auch nur, dass man sich nicht genügen gegen Brute Force Attacke geschützt hat. In neueren Forenbeiträgen findet man auch ein paar Berichte von Virgin Media Kunden, die ebenfalls zu den Opfern zählen.
Fazit und weitere Quellen
Ich finde das Ganze ziemlich gruselig. Die Leute, die das ganze eingefädelt haben, haben ihre Macht und ihre Know-How meiner Meinung nach ganz eindeutig unter Beweis gestellt. Es ist vor allem die Kombination vieler Faktoren, die die Aktion so spektakulär macht. Es werden nicht nur haufenweise E-Mail Konten erfolgreich gehackt, sondern offensichtlich auch noch einige Webserver, alles schön miteinander kombiniert. Ich bin gespannt, wie weit die Kreise sein werden, die diese Aktion noch zieht. Ich wünsche es niemanden, aber ich könnte mir gut vorstellen, dass sich das noch ganz schön weiter verbreiten wird... Die Ratlosigkeit der Opfer in diversen Internet-Foren ist jedenfalls groß, denn auch die konnten allesamt den Angriff nicht auf eine Vireninfektion zurückführen.
Wer sich mehr für dieses Thema interessiert, dem würde ich noch folgenden Blog-Post von Gerald Steffens empfehlen, der mir persönlich bei der Analyse der Situation ganz besonders geholfen hat. Auch die Kommentare darunter sind sehr lesenswert! http://www.blogschrott.net/fiese-spam-mail-attacken-footprint-worldst-uq3k9q/
Und hier der Link zum Heise-Artikel über den Angriff auf die Telekom-Kunden: http://www.heise.de/security/meldung/Deutsche-Telekom-warnt-vor-Spam-Welle-2786008.html
Update 21.9.2015
Ich hab's schon erwähnt, aber ich möchte noch einmal ganz eindringlich darauf hinweisen, solche Links nicht zu öffnen! Habe gerade von einer Kundschaft erfahren, die den Link versehentlich geöffnet, aber umgehend wieder geschlossen hatte, dass damit nicht nur der Rechner selbst, sondern auch das gesamte Netzwerk der Firma lahmgelegt wurde. Es entstand ein hoher Netzwerktraffic (immer um 9:00 Uhr o.ä.) und offensichtlich auch über das interne Netzwerk weiter ausgebreitet! Klingt nach einem sehr sehr bösartigen Virus, dem man sich da einfangen kann!
Auch zur Quelle gibt's neue Erkenntnisse: unser Provider schließt übrigens eine Brute Force Attacke als Ursache aus, da hier entsprechende Angreifer sofort erkannt und gesperrt würden. Wenn tatsächlich Brute Force, Sicherheitslücken am Server und infizierte Clients ausgeschlossen werden können, dann bleibt nicht mehr recht viel übrig. Das Konto war/ist außerdem noch auf meinem Android Smartphone eingerichtet. Ich bewege mich aber nie in öffentlichen WLAN-Netzen und die automatische E-Mail Syncrhonisierung ist auch deaktiviert. Es kommen nur relativ seltene Momente in Hotel-WLANs in Urlauben in Frage. Sollte das der Fall sein, dann wäre es aber sehr wahrscheinlich, dass der eigentliche Diebstahl bereits vor längerer Zeit erfolgt ist, und erst jetzt zugeschlagen wurde.
Update 27.9.2015
Es scheint sich weiter auszubreiten. Es finden sich nach und nach immer mehr Betroffene im Netz. Ein neuer Blog-Artikel, der mir aus der Seele spricht, kommt von Markus Neubart. Er stellt sich u.a. auch die gleiche Frage, warum dieser äußerst massive und perfide Angriff dennoch weiterhin relativ wenig im Netz kommentiert und beachtet wird: http://totterturm-pr.de/spamwelle-viele-telekom-kunden-betroffen-fw-important/
Und auch in den USA häufen sich anscheinend die Probleme. Einen exzellenten Artikel aus Amerika zu diesem Thema findet ihr hier: http://wardinewrock.blogspot.com/2015/09/email-sent-under-my-name-not-from-me.html
Hallo Betroffener,
herzlichen Dank für den Kommentar. Dass in das private Konto eingebrochen wurde, jedoch die geschäftliche als Absender verwendet wird, ist interessant. Dass der Absendername abgewechselt wird, ist ja nichts Neues, aber bisher wurde als Absender immer meine Adresse verwendet. Aber wundern würde mich das eh nicht, dass auch andere E-Mail Adressen als Absender verwendet werden. Warum sollte das nicht passieren? Moralische Grenzen kennen die Urheber hinter dieser Aktion ohnehin nicht...
Einen Tipp, wie Sie das Ausmaß zumindest ein kleines bisschen eingrenzen können: Setzen Sie einen SPF-Record in Ihren DNS-Einträgen. Leider wird das nicht von allen Posteingangsservern bzw Spamfiltern auch tatsächlich abgeprüft, aber zumindest einige hält es schon davon ab, dass diese E-Mails in ihren Posteingängen landen. Und das ist besser als gar nix, und außerdem so ziemlich das einzige neben Aufklärung zu betreiben, was Sie aktiv dagegen tun können.
Solche Maßnahmen (Filter, Weiterleitungen) sind eh die einzigen Möglichkeiten, es zu verhindern, dass der Posteingang überquillt. Hab auch in div. Foren schon gelesen, dass manche Leute ihre Mail-Accounts gelöscht haben. Bringt ja auch nix. Damit kriegt man es zwar selbst nicht mehr mit, aber alle anderen werden ja weiterhin noch unter demselben gefälschten Absender zugemüllt.
Hallo Sebastian,
wie gesagt bringt Löschen nix, außer, dass dieses Konto dann in Zukunft nie wieder gehackt werden kann ;-) Aber gestohlen bleibt gestohlen, dh die Daten sind futsch und werden munter missbraucht...
Ja, hab ich. Android + freies WLAN ist immer noch eine meiner realistischsten Theorien. Aber mich würde auch eine Schwachstelle auf dem E-Mail Server selbst nicht verwundern. Es ist schon interessant, dass es zumindest eine gewisse Häufung von Providern gibt bei den Betroffenen: T-Online, Arcor, Virgin Media,... Wenn das der Fall wäre, betrifft es mit Sicherheit auch eine Vielzahl an kleineren Providern.
Ich möchte gerne noch einmal auf den Blog von Wardine Wrock hinweisen, den ich am Ende des Artikels unter "Update 27.9.2015" gepostet habe. So detaillierte und immer wieder aktualisierte Infos gibt es sonst nirgends. Sie erforscht das Thema sehr intensiv!
...denn das fällt bei mir schon mal weg. Außerdem: wer sich diverse Foreneinträge, Kommentare und Blogposts zu diesem Thema liest, wird schnell herausfinden, dass man vergeblich nach einem gemeinsamen Nenner bei der Software unter den Betroffenen finden kann. Die einen haben einen Windows PC mit Outlook, andere Windows, aber kein Outlook. Der nächste verwendet das E-Mail Konto nur auf einen iMac und einen iPhone, wieder andere auf Android. Die einen benutzen nur einen Webmail-Zugang, etc. Im Forum von Virgin Media berichtete jemand sogar, dass ein Konto, dass er schon jahrelang auf keinen einzigen Client mehr eingerichtet und verwendet hat, gehackt wurde. Das alles deutet mehr auf serverseitige Lücken hin, als auf Viren, etc