Phishing Mail im Namen von newsolutions

[Burgy Zapp]

Liebe NEWSboarder,
das Problem wurde behoben. Vielen herzlichen Dank an Baldur Furchau, dessen Nachricht auch den Provider sofort erreicht hat.

Problembeschreibung:
Es verbleibt mir nur, das zu wiederholen, was Baldur Furchau bereits festgestellt hat: Diese Liste wurde geschützt indem nur eine bestimmte E-Mail Adresse versenden durfte. Dem SPAMER ist es gelungen, den Absender seiner E-Mail so zu manipulieren, dass er sich ausgeben konnte als eine oder alle unserer Verlags-E-Mail-Adressen. (EDIT: wie unsere Versende-E-Mail Adresse(n) gefunden wurde spekuliere ich unten)

So ist es dem Spammer gelungen mithilfe aller E-Mail Adressen unseres Verlages, die er im Internet irgendwo gefunden hat, mit einem sicherlich automatisierten Programm über unsere Liste die Empfänger zu erreichen.

Positive Nachricht
Zu keinem Zeitpunkt hatte der Spammer zugriff auf die Mail-Adressen selbst. Es gibt also keine weiteren Bedrohungen.

Behebung des Problems
Es gibt nur 2 Möglichkeiten. 1) Die Liste wird moderiert: nur manuell nach Versand freigegebene E-Mails werden auch wirklich versendet. 2) Ein Kennwort wird genutzt, dieses wird im Subject der Mail hinterlegt und wird erst beim Versand überprüft und dann entfernt. Wir haben uns zunächst für ersteres, den Mehraufwand an Arbeit entschieden, weil dies noch mehr Fehlerquellen und Anfälligkeiten wie Kennwörder in der "Send" Box vermeidet.

Vielen Dank nochmal an Dich lieber Baldur Fuerchau. Und danke für das Posten der Nachricht an scheipl.

Zukunft
Es gab in den vergangenen Jahren immer wieder Sicherheitslücken. Das Internet sowie dessen Publikations-Technologien wachsen organisch und somit leider auch die Sicherheit-Anforderungen. Die hohe Entwicklungsfreudigkeit der Hacker / Spamer in Zusammenhang mit dem Adress-System des Internet führen dazu das alte und sichere Architekturen mit neuen Angriffsmethoden anfällig sind. Wir bemühen uns stets in diesem Wettrüsten zu bestehen.

Ich entschuldige mich für die Unannehmlichkeiten und sende herzliche Grüße
Euer
Burgy

(Burgy Zapp | NEWSolutions.de)

[Burgy Zapp]

@scheipl

Exchangeserver Einfallstor?
Als Internetverleger sind wir ständigen Attacken ausgesetzt, deswegen haben wir keinen Exchange Server und sogar der Rechner der für die NEWSwatch Redaktion genutzt wird ist in ein stabiles Ubuntu System verwandelt worden.

Es ist tatsächlich nicht auszuschließen, dass eine andere Sicherheitslücke zur Erbeutung der potenziellen @newsolutions.de E-Mail Adressen geführt hat. Eventuell aber auch nur ein einfach web-crawler der aus der Umgebung und auf newsolutions.de selbst alle E-Mail-Adressen gesammelt und als Liste kompiliert hat. Diese Liste hätte bereits ausgereicht. Spätestens das veröffentlichen einer redaktionellen Arbeit von NEWSolutions ohne zu-voriges entfernen der Verlags-Kontaktdaten auf einer Seite eines Software-Anbieters in einem PDF Dokument beispielsweise legt fast alle unsere internen E-Mail Adressen frei.

Mailserver gehackt?
Nein, dieses mal nicht. Wir hatten ein derartiges Problem schon einmal vor der Jahrtausendwende. Damals handelte es sich um ein Architektur-Problem.

Wir hatten auch schon einmal ein versende Problem mit dem NEWSwatch. Damals war bei dem Umzug der Liste von einem Server auf einen anderen die Konfigurations-Datei "verschwunden" und daher auch der "anti-versende"-Schutz der Liste.

Die GUI des NEWSboard wurde bereits mehrmals gehackt und der hohe Spamdruck schlägt immer wieder mal durch die Anti-Maßnahmen, sehr zum Leidwesen engagierter NEWSboarder und Moderatoren wie Baldur Fuerchau. Aber Datenbank des NEWSboard selbst ist meines erachtends noch nicht gehackt worden. Wir haben z.B. fake user im System, die nicht an anderer stelle genutzt oder publiziert werden (Karteileichen) wenn diese Mail erhalten ist das sehr auffällig, weil sie nur über die Liste erreicht werden können.

Euer Burgy

[Burgy Zapp]

vielen Dank für die ergänzenden Meldungen an USDAVIS und thommy_l.