Uns erreichen fast täglich Anfragen zu Spam-Mails, welche es durch sämtliche Filter hindurch bis in euren E-Mail-Client schaffen. Die Thematik ist leider nur sehr schwer aufzuhalten, denn in den meisten Fällen handelt es sich bei den Absendern um real existierende Konten, bei welchen der Besitzer schlichtweg nichts davon weiß, dass er das Opfer eines Angriffs oder einer Infektion geworden ist.

Im folgenden Abschnitt haben wir das Thema anhand einer echten Mail mal genauer unter die Lupe genommen und erklären, wie das ganze zustande kommt und wie ihr mithelfen könnt, solche Mails zu unterbinden:

Von: Kyler L. [mailto:tim@warrentheatres.com]
Gesendet: xxx
An: Muster, Frank
Betreff: Suche nach einem Mann für AnalXXX

Jeden Tag langweile ich mich zuhause!
Ich bin nur 18 Jahre alt.
Ich bin eine hübsche und schlanke Braut.
Wer möchte mir eine entspannende Massage und zärtlichen CunnXXXngus machen?
Als Gegenleistung werde ich blXXen und mit dir poXXen!
Hier mein Profil > Link entfernt!

tim@warrentheatres.com ist eine gültige Adresse, das ist ein Kino oder eine Kinokette in den Staaten:
http://warrentheatres.com/index.html

Der Mail-Account von Tim bzw. sein Rechner ist wohl Opfer eines Angriffs geworden, er scheint davon aber nichts zu wissen.

Der Mail-Flow dazu sieht wie folgt aus:
Jan 2 09:18:41 mail postfix/smtpd[8594]: connect from mail.wichitausa.com[184.185.117.166]

Jan 2 09:18:43 mail postfix/policyd-weight[23293]: weighted check: NOT_IN_SBL_XBL_SPAMHAUS=-1.5 NOT_IN_SPAMCOP=-1.5 CL_IP_EQ_HELO_MX=-3.1 (check from: .warrentheatres. – helo: .wichitausa. – helo-domain: .wichitausa.) FROM/MX_MATCHES_NOT_HELO(DOMAIN)=1; <client=184.185.117.166>
<helo=wichitausa.com> <from=tim@warrentheatres.com> <to=f.Muster@security-insights.de>; rate: -5.1

Jan 2 09:18:43 mail postfix/policyd-weight[23293]: decided action=PREPEND X-policyd-weight: NOT_IN_SBL_XBL_SPAMHAUS=-1.5 NOT_IN_SPAMCOP=-1.5 CL_IP_EQ_HELO_MX=-3.1 (check from: .warrentheatres. – helo: .wichitausa. – helo-domain: .wichitausa.) FROM/MX_MATCHES_NOT_HELO(DOMAIN)=1; rate: -5.1; <client=184.185.117.166> <helo=wichitausa.com> <from=tim@warrentheatres.com> <to=f.Muster@security-insights.de>; delay: 1s

Jan 2 09:18:43 mail postfix/smtpd[8594]: 6B88F59843: client=mail.wichitausa.com[184.185.117.166]

Jan 2 09:18:43 mail postfix/cleanup[8565]: 6B88F59843: message-id=<2437f902a79fd09473e4ac86d446d9e9@xn--14-6kcpbevih3edh.xn--p1ai>

Jan 2 09:18:43 mail postfix/qmgr[1703]: 6B88F59843: from=<tim@warrentheatres.com>, size=2783, nrcpt=1 (queue active)

Jan 2 09:18:43 mail postfix/smtp[8622]: 6B88F59843: to=<f.Muster@security-insights.de>, relay=xxx:25, delay=1.8, delays=1.6/0/0.02/0.13, dsn=2.6.0, status=sent (250 2.6.0 <2437f902a79fd09473e4ac86d446d9e9@xn--14-6kcpbevih3edh.xn--p1ai> [InternalId=37520834298192, Hostname=ex01-1-0.test.test.de] 3937 bytes in 0.107, 35,861 KB/sec Queued mail for delivery)

Jan 2 09:18:43 mail postfix/qmgr[1703]: 6B88F59843: removed

Jan 2 09:18:43 mail postfix/smtpd[8594]: disconnect from mail.wichitausa.com[184.185.117.166]

Das Rating setzt sich wie folgt zusammen:
Adresse steht auf keiner Spamliste = 2x -1.5 (-3)
Der Server reagiert auf eine Anfrage (helo) = -3.1
Adresse ist valide = -5.1
Gesamter Score somit -11.2. Blockiert würde erst -5 oder höher, somit: erste Hürde bestanden.

Danach läuft die Mail vom externen Mailserver zum internen und wird hier durch den Scan Mail Service von Trend Micro geschoben. Da in der Mail an sich nichts schadhaftes enthalten ist und der vorherige Mailserver einen Score von -11.2 mitgibt, „überlebt“ die Mail auch hier. Als nächstes wird die Nachricht von der Mailserver-Internen Anti-Spam-Engine geprüft, die aber auch nichts schlechtes finden kann. Wie gesagt, das Wort „AnalXXX“ reicht nicht aus, ebensowenig wie die Worte „popXXen“, „blaXXen“ und „CunnXXXngus“.

Der Link am Ende der Mail zeigt auf ein Script auf dem Webserver der schwedischen Firma Engebe (http://engebe.se) – diese Firma stellt Schrauben, Ventile und Förderbänder her und weiß offensichtlich auch nichts davon, dass sie bereits Opfer eines Angriffs wurde.

Ein schneller Schwachstellen-Scan des Webservers der Firma zeigt auch recht schnell, wie das passieren konnte:

Starting Nmap 7.01 ( https://nmap.org )

…

PORT STATE SERVICE VERSION
80/tcp open http Apache httpd (PHP 5.5.38)
|_http-generator: Joomla! 1.5 – Open Source Content Management
| http-methods:
|_ Supported Methods: GET HEAD POST OPTIONS
| http-robots.txt: 14 disallowed entries
| /administrator/ /cache/ /components/ /images/
| /includes/ /installation/ /language/ /libraries/ /media/
|_/modules/ /plugins/ /templates/ /tmp/ /xmlrpc/
|_http-server-header: Apache
|_http-title: V\xC3\x84LKOMMEN!

…

TCP Sequence Prediction: Difficulty=252 (Good luck!)
IP ID Sequence Generation: Busy server or unknown class

Das von der Firma verwendete System zur Erstellung und Pflege der Webseite „Joomla“ ist leider hoffnungslos veraltet, Schwachstellen und Hacks für diese Version existieren bereits seit 2009. Ein schneller Blick auf die gemeldeten Lücken lässt deutlich werden, wie groß die Bedrohung tatsächlich ist:

https://www.cvedetails.com/vulnerability-list/vendor_id-3496/product_id-16499/version_id-83621/Joomla-Joomla–1.5.0.html

Zusätzlich läuft der Server scheinbar schon ewig, vermutlich hat einfach noch niemand mitbekommen, das der Server gekapert wurde und nun als Spam- / Malware-Maschine missbraucht wird.

Und genau das ist das Problem: Durch das rasante Wachstum der „New Economy“ der letzten 20 Jahre sind massenhaft Webseiten, Mailserver und andere Systeme entstanden, die niemand wirklich mit Blick auf die Sicherheit betreibt. Das ist natürlich ein gefundenes Fressen für jeden, der Schindluder betreiben und ein paar Groschen in digitaler Währung wie Bitcoin und Co. verdienen möchte.

Die Frage, wieso gerade diese oder jene Adresse dabei in den Fokus der Spammer und Angreifer rückt, ist ebenfalls schnell geklärt:

Auf unserer eigenen Test-Webseite stehen bzw. standen jahrelang gültige E-Mail-Adressen von Ansprechpartnern. Diese Adressen per Script abzugreifen ist ein leichtes. Zusätzlich betreiben wir Tag für Tag Konversation per Mail mit unseren Kunden. Sobald einer der Kunden Opfer eines Angriffs wird, werden unter anderem häufig auch die Adressbücher von Outlook und anderen E-Mail-Programmen abgegriffen und Wiederum in den großen Adress-Topf der Greyware-Industrie geworfen. Diese Adressen können dann, z.B. im Darknet, für ein paar Cent gekauft werden. Besonders gültige Adresse sind natürlich begehrt, da sich der Angreifer die Überprüfung und damit wertvolle Rechenzeit sparen kann.

Fake Sender – gültige Adresse = mehr Erfolg

Besonders gültige Adressen sind natürlich interessant – aber nicht unbedingt notwendig. Häufig ändern Angreifer auch nur die angezeigte E-Mail-Adresse und / oder den Namen des Absenders, die eigentliche Absenderadresse kann eine völlig ändere sein. Sichtbar wird das ganze meist erst, wenn man in die sog. erweiterten Header der E-Mail schaut, denn hier offenbart sich meist der wirkliche Ursprung der Mail.

Im Grunde genommen kann man sagen, dass das Medium E-Mail, ebenso wie das Internet an sich, eigentlich „kaputt“ ist. Einer Studie zufolge sind über 60% des täglichen, weltweiten Datenverkehrs im Internet heute Schrott im Sinne von Spam, Angriffen, Viren, Malware, Ransomware, Scans und weiteren automatisierten Angriffen und Verfahren. Wenn man diese Zahl mal sacken lässt und sich dann noch überlegt, wieviel Schaden durch Ausfälle, Arbeitszeit zur Prävention und weiteren Faktoren wie Stromverbrauch (!) und Rechenzeit sprichwörtlich verbrannt wird, dann entspricht das einem wirtschaftlichen Schaden von mehreren Milliarden Euro in jedem Jahr.

Doch was könnt ihr nun tun, damit solche Mails nicht erneut bei uns durchkommen?
In Outlook gibt es die Möglichkeit, eine Mail als Spam bzw. Junk zu markieren. Bitte nutzt diese Option für Spam jeder Art, denn damit „trainiert“ ihr unsere vorgeschalteten Systeme und Filter ganz einfach proaktiv mit. Je mehr User Nachrichten markieren, um so geringer ist das Risiko, dass diese Nachrichten bei euch oder euren Kollegen im Postfach landen.