Phishing Mail im Namen von newsolutions

[scheipl]

Hallo Forum,

ich habe soeben im Namen (und als Absender newswatch-bounces@newsolutions.de) eine relativ plumpe Phishing-Mail an meine Geschäfts-Mailadresse erhalten. Was mich etwas irritiert ist die Tatsache, dass meine Hausbank korrekt benannt wurde. Ist etwas bekannt, dass polnische Hacker (es ist in der Mail ein Link auf eine polnische Internetseite in der) den Adressbestand des newswatch-Abonenntenstamm gehackt haben?

Die Mail wurde offensichtlich über den Mailingdienst dieser Seite versendet!!

Ich wollte mich eigentlich direkt an den Administrator von newsoltuions wenden, finde aber leider auf der Seite keine wirkliche Kontaktmöglichkeit!

[Fuerchau]

Ich habe die Nachricht mal an die maßgeblichen Stellen weitergeleitet.

[scheipl]

Hallo,

vielen Dank für die schnelle Reaktion - hoffe, dass ich der einzige war, den es betraf....

[Fuerchau]

Ich habe schon Antwort erhalten "da muss was schlimmes passiert sein, wir arbeiten bereits daran".
Also wurde es ja schon bemerkt da wohl doch mehrere betroffen waren.

[scheipl]

Dann wünsche ich Ihnen viel Erfolg bei der Beseitigung dieser "Störung"!!!!!

[thommy_l]

Hallo,
ich habe ebenfalls diese Mail erhalten. An wen soll ich diese weiterleiten?

Grüße
Thommy

[USDAVIS]

Moin, moin,

ich habe auch so eine Mail an meine Firmenadresse bekommen. Als Hausbank wurde dort "Volksbank" angegeben, was weder für mich noch für meinen Arbeitgeber zutrifft.

Gruss
Ulli

[Fuerchau]

So ist das halt mit den Pishings.
Man kann sich kaum noch dagegen wehren.
Da das Thema in Arbeit ist sollte uns das nicht weiter stören.

Ich bekomme auch laufend solche Mails von Amazon, Paypal oder EBay dass meine Kreditkartendaten bestätigt werden müssen da sonst die Konten gesperrt würden.
Wer heute noch auf solche Nachrichten reinfällt ist doch selber schuld, schließlich lässt sich am Link erkennen wo es hingeht (es sei denn, man hat die Tooltips abgeschaltet).

[scheipl]

Stimmt schon, ist aber trotzdem ärgerlich, wenn offensichtlich der Mailserver eines Newsletter-Versenders gehackt wird und man dann auch noch von dieser Seite mit Spams und Phishings zugemüllt wird. Gerade wenn man, so wie ich sehr zurückhaltend mit seiner Firmenadresse umgeht!

Im Moment habe ich gerade wieder eine Mail von "Ihnen" bekommen, scheinbar wurden die Adressen jetzt an karyiersemeti.... weiterverkauft!

Einzige Abhilfe schafft es nun wohl nur noch, den Mailabsender newsolutions bis auf weiteres zu blocken, da wir wohl in der nahen Zukunft noch öfters Post bekommen wedren.

[Fuerchau]

Das Problem ist eher, dass gar nicht der Mailserver des getürkten Absenders für das Versenden verantwortlich ist.
Ich habe da mal einen Bericht gelesen, dass man den Absender und Servernamen im Maildokument ändern kann.

Mailprovider verhindern das ja normalerweise, aber die Hacker haben ihre eigenen Mailprovider und schicken eben einfach Mails mit falschem Absender.

Da kann man leider gar nichts dagegen machen.
Nicht umsonst gibts ja auch solche Mails von der Deutschen Bank oder Telekom. Und ich denke, dass die ihre Mailserver da schon sicherer gestalten.

Ggf. kann man sich auch den Mailinhalt insgesamt ansehen und die Herkunft über die IP-Adresse genau ermitteln, da diese zur Verfolgung eigentlich eingebettet wird.

[scheipl]

Das "maskieren" einer E-Mail ist auch für Hacking-/Phishing-Anfänger kein wirkliches Problem!
Fraglich ist nur, wie der Absender wohl an die Mailadressen der User kommt, die sich bei ihrem Forum angemeldet haben. Da liegt doch der Verdacht nahe, dass hier ein Zugriff auf den Exchange-Server ihres Hauses stattgefunden hat....

[Burgy Zapp]

Liebe NEWSboarder,
das Problem wurde behoben. Vielen herzlichen Dank an Baldur Furchau, dessen Nachricht auch den Provider sofort erreicht hat.

Problembeschreibung:
Es verbleibt mir nur, das zu wiederholen, was Baldur Furchau bereits festgestellt hat: Diese Liste wurde geschützt indem nur eine bestimmte E-Mail Adresse versenden durfte. Dem SPAMER ist es gelungen, den Absender seiner E-Mail so zu manipulieren, dass er sich ausgeben konnte als eine oder alle unserer Verlags-E-Mail-Adressen. (EDIT: wie unsere Versende-E-Mail Adresse(n) gefunden wurde spekuliere ich unten)

So ist es dem Spammer gelungen mithilfe aller E-Mail Adressen unseres Verlages, die er im Internet irgendwo gefunden hat, mit einem sicherlich automatisierten Programm über unsere Liste die Empfänger zu erreichen.

Positive Nachricht
Zu keinem Zeitpunkt hatte der Spammer zugriff auf die Mail-Adressen selbst. Es gibt also keine weiteren Bedrohungen.

Behebung des Problems
Es gibt nur 2 Möglichkeiten. 1) Die Liste wird moderiert: nur manuell nach Versand freigegebene E-Mails werden auch wirklich versendet. 2) Ein Kennwort wird genutzt, dieses wird im Subject der Mail hinterlegt und wird erst beim Versand überprüft und dann entfernt. Wir haben uns zunächst für ersteres, den Mehraufwand an Arbeit entschieden, weil dies noch mehr Fehlerquellen und Anfälligkeiten wie Kennwörder in der "Send" Box vermeidet.

Vielen Dank nochmal an Dich lieber Baldur Fuerchau. Und danke für das Posten der Nachricht an scheipl.

Zukunft
Es gab in den vergangenen Jahren immer wieder Sicherheitslücken. Das Internet sowie dessen Publikations-Technologien wachsen organisch und somit leider auch die Sicherheit-Anforderungen. Die hohe Entwicklungsfreudigkeit der Hacker / Spamer in Zusammenhang mit dem Adress-System des Internet führen dazu das alte und sichere Architekturen mit neuen Angriffsmethoden anfällig sind. Wir bemühen uns stets in diesem Wettrüsten zu bestehen.

Ich entschuldige mich für die Unannehmlichkeiten und sende herzliche Grüße
Euer
Burgy

(Burgy Zapp | NEWSolutions.de)