Phishing Mail im Namen von newsolutions

[scheipl]

Stimmt schon, ist aber trotzdem ärgerlich, wenn offensichtlich der Mailserver eines Newsletter-Versenders gehackt wird und man dann auch noch von dieser Seite mit Spams und Phishings zugemüllt wird. Gerade wenn man, so wie ich sehr zurückhaltend mit seiner Firmenadresse umgeht!

Im Moment habe ich gerade wieder eine Mail von "Ihnen" bekommen, scheinbar wurden die Adressen jetzt an karyiersemeti.... weiterverkauft!

Einzige Abhilfe schafft es nun wohl nur noch, den Mailabsender newsolutions bis auf weiteres zu blocken, da wir wohl in der nahen Zukunft noch öfters Post bekommen wedren.

[Fuerchau]

Das Problem ist eher, dass gar nicht der Mailserver des getürkten Absenders für das Versenden verantwortlich ist.
Ich habe da mal einen Bericht gelesen, dass man den Absender und Servernamen im Maildokument ändern kann.

Mailprovider verhindern das ja normalerweise, aber die Hacker haben ihre eigenen Mailprovider und schicken eben einfach Mails mit falschem Absender.

Da kann man leider gar nichts dagegen machen.
Nicht umsonst gibts ja auch solche Mails von der Deutschen Bank oder Telekom. Und ich denke, dass die ihre Mailserver da schon sicherer gestalten.

Ggf. kann man sich auch den Mailinhalt insgesamt ansehen und die Herkunft über die IP-Adresse genau ermitteln, da diese zur Verfolgung eigentlich eingebettet wird.

[scheipl]

Das "maskieren" einer E-Mail ist auch für Hacking-/Phishing-Anfänger kein wirkliches Problem!
Fraglich ist nur, wie der Absender wohl an die Mailadressen der User kommt, die sich bei ihrem Forum angemeldet haben. Da liegt doch der Verdacht nahe, dass hier ein Zugriff auf den Exchange-Server ihres Hauses stattgefunden hat....

[Burgy Zapp]

Liebe NEWSboarder,
das Problem wurde behoben. Vielen herzlichen Dank an Baldur Furchau, dessen Nachricht auch den Provider sofort erreicht hat.

Problembeschreibung:
Es verbleibt mir nur, das zu wiederholen, was Baldur Furchau bereits festgestellt hat: Diese Liste wurde geschützt indem nur eine bestimmte E-Mail Adresse versenden durfte. Dem SPAMER ist es gelungen, den Absender seiner E-Mail so zu manipulieren, dass er sich ausgeben konnte als eine oder alle unserer Verlags-E-Mail-Adressen. (EDIT: wie unsere Versende-E-Mail Adresse(n) gefunden wurde spekuliere ich unten)

So ist es dem Spammer gelungen mithilfe aller E-Mail Adressen unseres Verlages, die er im Internet irgendwo gefunden hat, mit einem sicherlich automatisierten Programm über unsere Liste die Empfänger zu erreichen.

Positive Nachricht
Zu keinem Zeitpunkt hatte der Spammer zugriff auf die Mail-Adressen selbst. Es gibt also keine weiteren Bedrohungen.

Behebung des Problems
Es gibt nur 2 Möglichkeiten. 1) Die Liste wird moderiert: nur manuell nach Versand freigegebene E-Mails werden auch wirklich versendet. 2) Ein Kennwort wird genutzt, dieses wird im Subject der Mail hinterlegt und wird erst beim Versand überprüft und dann entfernt. Wir haben uns zunächst für ersteres, den Mehraufwand an Arbeit entschieden, weil dies noch mehr Fehlerquellen und Anfälligkeiten wie Kennwörder in der "Send" Box vermeidet.

Vielen Dank nochmal an Dich lieber Baldur Fuerchau. Und danke für das Posten der Nachricht an scheipl.

Zukunft
Es gab in den vergangenen Jahren immer wieder Sicherheitslücken. Das Internet sowie dessen Publikations-Technologien wachsen organisch und somit leider auch die Sicherheit-Anforderungen. Die hohe Entwicklungsfreudigkeit der Hacker / Spamer in Zusammenhang mit dem Adress-System des Internet führen dazu das alte und sichere Architekturen mit neuen Angriffsmethoden anfällig sind. Wir bemühen uns stets in diesem Wettrüsten zu bestehen.

Ich entschuldige mich für die Unannehmlichkeiten und sende herzliche Grüße
Euer
Burgy

(Burgy Zapp | NEWSolutions.de)

[Burgy Zapp]

@scheipl

Exchangeserver Einfallstor?
Als Internetverleger sind wir ständigen Attacken ausgesetzt, deswegen haben wir keinen Exchange Server und sogar der Rechner der für die NEWSwatch Redaktion genutzt wird ist in ein stabiles Ubuntu System verwandelt worden.

Es ist tatsächlich nicht auszuschließen, dass eine andere Sicherheitslücke zur Erbeutung der potenziellen @newsolutions.de E-Mail Adressen geführt hat. Eventuell aber auch nur ein einfach web-crawler der aus der Umgebung und auf newsolutions.de selbst alle E-Mail-Adressen gesammelt und als Liste kompiliert hat. Diese Liste hätte bereits ausgereicht. Spätestens das veröffentlichen einer redaktionellen Arbeit von NEWSolutions ohne zu-voriges entfernen der Verlags-Kontaktdaten auf einer Seite eines Software-Anbieters in einem PDF Dokument beispielsweise legt fast alle unsere internen E-Mail Adressen frei.

Mailserver gehackt?
Nein, dieses mal nicht. Wir hatten ein derartiges Problem schon einmal vor der Jahrtausendwende. Damals handelte es sich um ein Architektur-Problem.

Wir hatten auch schon einmal ein versende Problem mit dem NEWSwatch. Damals war bei dem Umzug der Liste von einem Server auf einen anderen die Konfigurations-Datei "verschwunden" und daher auch der "anti-versende"-Schutz der Liste.

Die GUI des NEWSboard wurde bereits mehrmals gehackt und der hohe Spamdruck schlägt immer wieder mal durch die Anti-Maßnahmen, sehr zum Leidwesen engagierter NEWSboarder und Moderatoren wie Baldur Fuerchau. Aber Datenbank des NEWSboard selbst ist meines erachtends noch nicht gehackt worden. Wir haben z.B. fake user im System, die nicht an anderer stelle genutzt oder publiziert werden (Karteileichen) wenn diese Mail erhalten ist das sehr auffällig, weil sie nur über die Liste erreicht werden können.

Euer Burgy

[Burgy Zapp]

vielen Dank für die ergänzenden Meldungen an USDAVIS und thommy_l.