sonderbare Email erhalten - ein Teil war Insiderwissen - Darlehensvertrag_8473796_150

xsid

Active member
Registriert
29 Mai 2007
Beiträge
4.621
Hallo Sicherheitsexperten,

heute was bei mir im Spamordner eine Email.
Der Betreff war vor mehreren Wochen von mir erstellt und jemanden zugestellt worden.
Meine Signatur war auch vorhanden.

In der Email war ein Link, wie folgt:

httpxxxxxxxxxxx://thevine-organizasyon.com/wp-content/uploads/jsc/Darlehensvertrag_8473796_15052020.zip

Dazu sollte ich Stellung nehmen, mit einem Darlehen hatte ich nichts zu tun.

Whois sagt über thevine-organizasyon.com:

WHOIS ÜBERBLICK
Common info
Domain Name

THEVINE-ORGANIZASYON.COM
Registry Domain ID

2493537521_DOMAIN_COM-VRSN
Updated Date

2020-02-17T10:55:47Z
Creation Date

2020-02-17T10:55:47Z
Registry Expiry Date

2021-02-17T10:55:47Z
Registrar

Nics Telekomunikasyon A.S.
Domain Status

ok
Name-servers

NS1.LOUNGETHEMES.COM

NS2.LOUNGETHEMES.COM
DNSSEC

unsigned
Registrar
WHOIS Server

whois.nicproxy.com
URL

http://https://nicproxy.com/
IANA ID

1454
Abuse Contact Email

Abuse Contact Phone

+90 212 213 2963

Der folgend online Virusscanner sagte, die Datei Darlehensvertrag_8473796_15052020.zip ist ok.

https://www.virustotal.com/gui/home

Als Absender wurde nur Beispielhaft hermann.trex angezeigt, keine Emailadresse also.

Wer ist da gehackt worden?
Wie untersucht man weiter?

MfG

xsid
 
Zuletzt bearbeitet:
In deinem Beitrag fehlt eine Frage oder Problemstellung.
Du hast erkannt, daß es sich um Spam handelt. Also einfach löschen und fertig.

Was soll dieser Thread bringen? Die meisten von uns bekommen mehrfach am Tag Spammails. Wenn wir jedes Mal die Emails analysieren und die Links mit dem Forum teilen würden, würden wir viel wertvolle Zeit mit der Behandlung von Spam verschenken.
 
Spam bekomme ich ab und zu, aber selten, nie welche mit persönlichen Daten.

Wenn wir jedes Mal die Emails analysieren und die Links mit dem Forum

Das würde mich schon interessieren, was eure Analyse ergeben hat und wie Ihr bei der Analyse vorgegangen seit.

MfG

xsid
 
Hier ist einiges mysteriös. Zunächst mal schau ich nie in meinen Spam-Ordner rein und schon gar nicht in die Mails, die sich da so ansammeln. Ausnahme ist, wenn ich eine E-Mail vermisse, von der ich weiß, dass sie bei mir angekommen sein müsste. Das ist hier sicher nicht der Fall.
Dann sagst du: "Dazu sollte ich Stellung nehmen". Wer fordert denn sowas von dir? Warum hat der Fordernde ein begründetes Interesse an deiner Spam-Mail? Ok, du must uns das nicht beantworten, aber meine Aktivitäten würden stark davon abhängen, wer und was dahinter steckt. Konkret kann ich daher also nichts sagen.
Allgemein könntest du es mit dem Hinweis auf Spam unbekannter Herkunft abtun und verstärken kannst du es noch, indem du versicherst, dass dein System safe ist und du dies extra nochmals überprüft hast. Ebenso liegt dir kein Hinweis deiner Provider vor, dass deren System gehackt wurden. Damit sind deine Möglichkeiten ausgeschöpft.
Aber wie gesagt, alles hängt im Prinzip davon ab, was für eine Geschichte dahinter steckt. Ggf. ist auch eine Anzeige wegen Identitätsdiebstahl denkbar. Das must du aber selbst wissen.

Grüße Thomas
 
Spam bekomme ich ab und zu, aber selten, nie welche mit persönlichen Daten.
Dann bist du wohl noch nicht lange im Internet unterwegs ;)
Wenn der Betreff (den du leider nicht genannt hast) nicht etwas sehr generisches ist, liegt die Vermutung nahe, daß das Postfach des Empfängers kompromittiert wurde und die Infos (Betreffs, Emailadressen aus seinem Emails) als Basis für Spam-Mails verwendet wurden. Bestimmte Email-Provider wurden wiederholt kompromittiert.

Das ist aber alles nichts Außergewöhnliches.

Dann sagst du: "Dazu sollte ich Stellung nehmen". Wer fordert denn sowas von dir?
Der Spammer. Spammails versuchen gerne, Zeitdruck aufzubauen, um dem Empfänger den Eindruck zu vermitteln, daß er/sie schnell reagieren muss. Das Ziel ist es, daß der Empfänger keine Zeit findet, über die Email nachzudenken, sondern schnell den Link anklickt oder den Anhang öffnet.

Angebliche Rechnung, die sehr bald beglichen werden müssen, weil man sost die Inkasso oder das Gericht einschalten wurde.
Erbe/Schenkungen/Lottogewinne, die bald verfallen.
etc.
 
Zuletzt bearbeitet:
Bitte als schädlich ansehen und löschen.
Dieses Schema habe ich seit gestern bei vielen Kunden mit genau diesem "Darlehensvertrag_xyz.zip" beobachtet, diese wurden allesamt abgefangen.

Eine nicht angeschlagene Virenerkennung bedeutet in dem Falle nur, dass genau dieser Hash nicht bekannt ist, da man Schadsoftware aber recht einfach und automatisiert mutieren lassen kann, greift dort eher eine Sandbox und/oder Heuristik.

Des Weiteren wurden die Konten des Absenders nicht kompromittiert, sondern einfach valide aussehende E-Mail adressen gespooft (alsoi gefälscht), was auch kinderleicht ist. :)
 
Dieses Schema habe ich seit gestern bei vielen Kunden mit genau diesem "Darlehensvertrag_xyz.zip" beobachtet, diese wurden allesamt abgefangen.

War bei deinen Kunden auch die Signatur deiner Kunden und ein von deinen Kunden erstellter Betreff als Return, in der Spam-Mail enthalten?

Wie sind die Spammer zu dem gesendeten Betreff und der Signatur gekommen?

Wurde ich gehackt oder der Empfänger?

Darlehensvertrag_8473796_15052020.zip ist ein leeres Dokument.


MfG

xsid
 
Zuletzt bearbeitet:
Ähm, emails sind wie Postkarten, Absender und Empfänger frei sichtbar. Wenn jemand also am richtigen Punkt schnorchelt, bekommt er sehr viele korrekte Mailadressen.
 
Ich kann mir keine Firma vorstellen, die ein zip-Dokument mit irgendwelchen Verträgen zuschicken. Solche Daten sollte man eigentlich niemals öffnen.

Eine Signatur? Die ist doch im Prinzip öffentlich, da ja immer in Mails enthalten - da kann man garnix drauf geben (sofern wir von diesen Textunterschriften reden). Und der Betreff - wie generisch ist der? Son ne Standardgeschichte ala "Rechnung blabla" oder stammt es mit absoluter Sicherheit vom Kunden und wurde bisher noch nicht genutzt?

Im Endeffekt würde ich halt vorschlagen: Ruf doch einfach den Kunden an, besprich das mit ihm und zur Sicherheit das PW mal wechseln auf beiden Seiten. Sicher ist sicher.
 
Naja, so lange E-Mails nicht mit einer Inhaltsverschlüsselung transportiert werden (S/MIME, PGP), besteht immer die Gefahrt, dass auf dem Transportweg E-Mails, die ggfls. unverschlüsselt oder mit einer schwachen, beriets kompromittierten Verschlüsselung übertragen werden, abgefangen werden.
Der Rest sind meistens E-Mails, die mal bei kleineren Sicherheitsvorfällen mit abgezogen und jetzt ausgewertet werden. Hierbei kann es sich sowohl um Mails handeln, die erst wenige Tage/Wochen alt sind, als auch Monate bis Jahre alte Mails.

Die Vorgehensweise mittels .zip-Dateien (auch gerne mit Passwort verschlüsselt und gleichzeitiger Übermittlung des Kennworts) vertrauliche und/oder schädliche Dinge in die gegnerische Umgebung einzuschleusen ist leider Gang und Gebe.
Betreffe sind sowieso nochmal ein ganz anderes Thema, diese werden auf jedem Mailgateway mit protokolliert im Rahmen der Nachrichtenverfolgung und Signaturen.. naja meine ist international bekannt, gut möglich dass sie schon in falsche Hände geraten ist.
Das Internet vergisst nie :)
 
Der Spammer. Spammails versuchen gerne, Zeitdruck aufzubauen, um dem Empfänger den Eindruck zu vermitteln, daß er/sie schnell reagieren muss. Das Ziel ist es, daß der Empfänger keine Zeit findet, über die Email nachzudenken, sondern schnell den Link anklickt oder den Anhang öffnet.

Ok, wenn das so bereits in der betreffenden (Spam-) Mail steht, ist ja klar wo der Hase langläuft. Die Aussage mit der geforderten Stellungnahme hat das ja nicht explizit gesagt. Es kann ja auch ein Kunde von xsid sein, der ihn in Verdacht hat, entweder Spam-Mails zu verbreiten oder dass er selbst ein kompromittiertes System hat und das ohne sein Wissen passiert.

Grüße Thomas
 
Hallo, in der ersten Email wurde ein Passwort übermittelt, Beispielhaft:

Sehr geehrter Herr Meyer,

dass Passwort lautet "dasPasswort".

Ein Mailanhang wurde nicht versendet.

Ob die Emails nach dem Begriff "Passwort" gescannt werden und dann weiter genutzt werden?

MfG

xsid
 
Zuletzt bearbeitet:
Ich hatte letztens eine mit ner alten von mir gesperrten KK Nummer von mir im Klartext drin, die damals beim Marriott Leak dabei war. War interessant, dass die nen Jahr später wohl mit der Kombi Name / Nummer auftaucht.
 
Ich kann mir keine Firma vorstellen, die ein zip-Dokument mit irgendwelchen Verträgen zuschicken. Solche Daten sollte man eigentlich niemals öffnen.
Anwälte tun das dauernd - und die glauben auch ernsthaft, dass ein Disclaimer in der Email einen Schutz bedeutet.
 
Im Internetz und auch im Darknet gibt es halt allerlei krude Dinge und so 'nen paar Millionen Datensätze in einer geleakten Datenbank vorzuhalten erfordert heutzutage maximal einen 5€ USB Stick :)
 
@xsid: Es gibt halt nicht nur das allgemeine Pishing sondern auch "Spear-Pishing" --> ggf. wird sowas halt gezielt gemacht um spezifisch an Informationen/Zugangsdaten etc. einer Firma zu kommen. Von daher kann es tatsächlich durchaus passieren, dass sich jemand erstmal intensiv mit dir auseinander gesetzt hat, schaut, wo sind potentielle Angriffstellen, was sind normale Betreffszeilen und Co.? Aber irgendwie ist es relativ witzlos, sich darüber zu unterhalten, wenn von dir halt quasi keinerlei Infos kommen, wie die Mail ausgesehen hat bzw. was dich wirklich zur Annahme verleitet, dass das was konkretes ist. Wenn z.B. die Überschrift in der 1. Mail (woher weißt du, dass die wirklich von deinem Kunden ist?) sehr allgemein war - dann kann das ganze halt auch einfach "erraten" worden sein. Ich hatte auch mal ne Mail mit der richtigen Paypalnummer im Spam, was auch definitiv Spam gewesen ist. Die große Masse an solchen Infos sind halt "öffentlich". Es gab so viele Datenleaks ;).

@zwieblum: Ernsthaft? Wie kommen die auf sowas? Es gibt ja durchaus andere Möglichkeiten, vertrauliche Informationen zu verschlüsseln als eine Zip-Datei die so ziemlich alles enthalten kann. Gerade Anwaltskonversation ist ja vmtl. am ehesten gefährdet, da für die meisten ein "offizielles" Anwaltsschreiben sehr viel Druck ausübt, etwas schnellstmöglich zu öffnen/zu beantworten usw..
 
Was ist mit der Datei Darlehensvertrag_8473796_15052020.zip nun los?

Kein Virus, nix passiert auf dem PC (Linux), liegt es an Linux?

Das Laden des Archivs /home/xsid/Darlehensvertrag_8473796_15052020.zip ist mit folgender Fehlermeldung fehlgeschlagen:
Es wurde kein passendes Modul gefunden. Ark unterstützt diesen Dateityp nicht.

Wie kann ich Darlehensvertrag_8473796_15052020.zip weiter untersuchen? Mal auf einem Windows 10 ausprobieren?
 
Zuletzt bearbeitet:
Wieso willst du diese Datei untersuchen?
Das ist eine Spammail, löschen und fertig.
Jeder weitere Beschäftigung mit der Email ist Zeitverschwendung. Die Spammer schaffen es zwar nicht, dir Geld oder Zugangsdaten zu stehlen, aber anscheinend bist du mehr als willig, ihnen deine Zeit zu schenken.
 
Weil ich neugierig bin.
Gerne beschäftige ich mich in diesem Fall mit Spam.
 
Es kann auch sein, daß irgendwo auf dem Weg der "böshaltige" Inhalt schon entfernt wurde.
Oft sind die Spammer auch so blöd und haben ihren Baukasten nicht im Griff, wodurch dann auch "ungefährliche" Mails entstehen.
 
  • ok1.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen
Zurück
Oben