Spam an E-Mail-Adressen aus Forenpostings

adorfer · 9. November 2017 um 14:15

Wir haben auf mehreren Mailadressen Spam erhalten:

Mailadressen aus dem Forum („User-Account-E-Mail“)
Adressen, die sonst eher(!) nicht öffentlich bekannt sind im Freifunk-Kontext
mit klarem Bezug auf „forum.freifunk.net“ im Text
ohne html oder direktes phishing. Keine „Links im Text“. eher „lonely hearts“-Masche.
kein „weiterleitungs-Zeug“. Mail ist also nicht über die Foren-Infrastruktur gelaufen, sondern direkt vom Spambot zum Empfangs-Mailserver
Mailheader auch sonst vergleichsweise unverdächtig
jedoch keine Anrede in den Mails (Foren-Name), daher ein „taylored discourse“ eher unwahrscheinlich.

mögliche Szenarien:

a) discourse breach
b) discorse-plugin-breach
c) eines der Backups ist geleaked
d) Besucher im System

Die erste Sichtung hat keine Anhaltspunkte gegeben.

Falls jemand von Euch Mail an eine „exklusive Foren-Mailadresse“ erhalten haben sollte, bitte melden.

grafik

adorfer · 9. November 2017 um 15:42

MPW hat jetzt eine Mail bekommen mit exakt dem gleichen Text an eine E-Mail-Adresse im Freifunk-Kontext, aber die NICHT im Forum registiert ist.

Jetzt wird’s wirklich komisch…
Und nichtmal die domain hat einen einzigen User im Forum, also irgendein „cach-all“-Krempel ist daher auch ausgeschlossen.

adorfer · 9. November 2017 um 15:55

Frage wäre also konkret: Wer hat den jüngsten(!) Account, der betroffen ist?

Das könnte dahingehend aufschlussreich sein, wann die Daten abgeflossen sind (so sie denn überhaupt hier aus dem Forum stammen.)

Gmon · 9. November 2017 um 18:29

Kann ja auch einfach sein, dass sich jemand mit einer fetten Adressliste einen Trojaner eingefangen hat, der die ganzen gefundenen Mailadressen bzw. die Kontakte an seinen zugehoerigen C&C-Server geschickt hat und diese Liste wird in den entsprechenden Foren gehandelt, zusammenkopiert und wieder verkauft usw. usf.
Ursachensuche = killing time

yayachiken · 9. November 2017 um 18:30

Ich bin auch betroffen. Mail ist aber nicht Forum-exklusiv.

Bin zwar ein alter Account aber vielleicht hilft die Info.

rippendaniel · 9. November 2017 um 21:53

Genauso hier. Ich bin betroffen, habe meine Email aber auch in einem Foren-Eintrag angegeben. Mail ist nicht Forum-exklusiv.
Via hallo[at]freifunk-kassel[dot]de ist die selbe Email als Ticket eingetroffen, ich weiß jedoch nicht ob es einen Account mit der Mail gibt.

Gruß

PetaByteBoy · 9. November 2017 um 22:21

Die Email ist an petabyteboy@petabyteboy.de addressiert, nicht an die Adresse die im Forum angegeben ist (me@petabyteboy.de). Außerdem hat die Mail eine valide DKIM-Signatur und SPF stimmt auch, die Mail wurde also tatsächlich von Hotmail abgesendet.

adorfer · 10. November 2017 um 00:40

Alle bislang genannten Adressen sind im „Klartext“ hier im Forum zu finden (selbst über die SuFu)
einige genannten Adressen sind nicht „im Useraccount“ hinterlegt.

Vermutlich habt da wirklich jemand einen Mail-Harvester hier über’s Forum laufen lassen.

anon68922371 · 10. November 2017 um 13:41

Ich habe heute Spam mit Verweis aufs Forum an eine nicht im Forum hinterlegte Mail Adresse erhalten.

Gmon · 10. November 2017 um 16:18

Diese Spamfucker sind sehr creativ, es gibt eigentlich keine Masche, die noch nicht versucht wurde, vieles wird verbessert und verworfen und es gibt auch jede Menge Skripte bis hin zu kostenpflichtigen Softwarepaketen, die alles vom Harvesting bis hin zum Mailen automatisiert ausfuehren. Das Harvesting alleine reicht nicht, diese Mailadressen werden mit Adressen aus anderen Quellen abgeglichen und Verbindungen bewusst ausgenutzt, mal besser und mal weniger gut, aber es gibt hier keinen, der bei einer guten Spammail nicht zumindest mal gezuckt hat, da sie scheinbar von jemandem gesendet wurde, den man kennt…oder von sich selbst, das hat eine Weile auch ganz prima funktioniert, mittlerweile sind die Menschen schlauer - Evolution.

Diese integrierten Softwarepakete sind auch die Ursache fuer manche Spammails, in denen nichteinmal ein Link ist, da hat jemand die Software gerade gekauft oder geklaut und aus Versehen eine Mailaktion getriggert - sei’s drum.
Drueckt Euch mal ein paar Stunden in den entsprechenden Foren rum, das geht von total bescheuerten Aktionen bis hin zu sehr „sophisticated“.
Das da unten ist kein SPAM…hahaha…aber da drueckt sich das ganze Pack rum und da wird jede Menge Geld umgesetzt:
https://www.blackhatworld.com/seo/making-money-with-email-lists-my-40k-month-strategy.442600/

In einigen Foren gibt es spezielle Premiumaccounts, da muss man dann dafuer zahlen, dass man in die geschlossenen Foren reinkommt, da wird dann auch das ganz dicke Zeugs gehandelt.

jacobvanessa · 8. Februar 2018 um 15:06

Alles klar! Hatte so eine Email schon bekommen… kam mir ein wenig spanisch vor Danke für die Info!