Ich habe heute mal wieder so in die Spam-Logfiles meines Mailservers gesehen und ich denke mal, den ein oder anderen simplen Versuch, einem Anwender einen Banking/Password/etc.-Trojaner unterzuschieben, sollte ich hier einmal kommentieren.
Die ganze Geschichte wird recht technisch, aber doch ganz interessant für den ein oder anderen. Fangen wir also da an, wo der Mailserver die entsprechende Spam annehmen soll und ich kommentiere das ein wenig:
>> Connection from 212.227.17.10, Mon Dec 22 12:16:55
<< 220-mail.?x?x?.net ESMTP server ready....
>> EHLO mout.kundenserver.de
<< 250-mail.?x?x?.net Hello mout.kundenserver.de; ESMTPs are:...
<< 250-SIZE 41943040
<< 250-AUTH CRAM-MD5 LOGIN
<< 250-AUTH=LOGIN
<< 250-STARTTLS
<< 250 HELP
>> STARTTLS
Soweit so gut, die Mail kommt von einer IP-Adresse von 1&1 und ist nicht in einer Blacklist.
<< 220 OK, begin SSL/TLS negotiation now.
[*] SSL/TLS session established: AES, CBC mode, keysize
Ach ja, "Mail in Germany" wird ja verschlüsselt übertragen, hilft aber prinzipiell auch nicht gegen Spam, wie wir bald sehen werden ...
>> EHLO mout.kundenserver.de
<< 250-mail.?x?x?.net Hello mout.kundenserver.de; ESMTPs are:...
<< 250-SIZE 41943040
<< 250-AUTH CRAM-MD5 LOGIN
<< 250-AUTH=LOGIN
<< 250 HELP
>> MAIL FROM:<[email protected]> SIZE=5277
<< 250 Sender and size (5277) OK - send RCPTs.
Ne, der Sender ist nicht OK, da liefert 1&1 etwas aus, was die auch nur extern zur Weiterleitung angenommen haben. Sehr gut zu erkennen am SRS-Eintrag, der eine eventuelle Bounce an den ursprünglichen Absender korrekt zustellen soll.
Einfach gesagt: Ich glaube nicht, dass die Postbank ihre Mails über 1&1-Server verschickt.
>> RCPT TO:<support@?x?x?.de>
<< 250 Recipient OK - send RCPT or DATA.
>> DATA
<< 354 OK, send data, end with CRLF.CRLF
Gut, jetzt kommen wir zu dem Teil, den auch jeder andere User sehen kann:
>> Received: from [91.250.87.176] ([91.250.87.176]) by mrelayeu.kundenserver.de
>> (mreue103) with ESMTPSA (Nemesis) id 0LtUuK-1Xss0w2l0u-010vGl for
>> <support@?x?x?.de>; Mon, 22 Dec 2014 12:17:11 +0100
Na, da habe ich es doch geahnt. Die Mail wurde von einer Host Europe IP eingeworfen, vermutlich von irgendeinem gehackten Web-Auftritt, denn ansonsten gäbe es auch eine Received-Zeile, die die Annahme bei Host Europe auch dokumentieren würde. Also weiter:
>> Message-Id: <[email protected]>
>> Mime-Version: 1.0
>> From: Postbank <[email protected]>
>> To: Thomas ?x?x? <support@?x?x?.de>
>> Subject: =?iso-8859-1?Q?[Wichtig]_Best=E4tigung_Ihrer_Daten?=
>> Content-Type: multipart/alternative; Boundary="--=BOUNDARY_12221216_QBKS_YOBQ_KORC_YRTJ"
>> [...]
Ich ahne was jetzt kommt, ihr auch ... ??
>> Die Nachricht ist im MIME-Format. Da Ihr E-Mail-Programm dieses Format nicht unterstützt, werden einzelne oder alle Nachrichten nicht lesbar sein.
Stimmt, in reiner Textmail können wir nicht die angezeigten Links manipulieren, fremden Content und Tracker einbetten ...
Ok, gute Mail-Programme erzeugen deshalb einen reinen "ungefährlichen" Text-Teil und einen "gefährlichen" HTML-Teil.
>>
>> ----=BOUNDARY_12221216_QBKS_YOBQ_KORC_YRTJ
>> Content-Type: text/plain; charset=iso-8859-1; format=flowed
>> Content-Transfer-Encoding: quoted-printable
>>
>> =20
>>
Ne, nicht wirklich, die völlig wichtige Information besteht aus einem Leerzeichen ? Ich glaube eher, ihr möchtet mich zum Umschalten auf den gefährlichen HTML-Teil verführen!!! Sehen wir uns diesen doch einfach als völlig ungefährlichen Text an:
>> ----=BOUNDARY_12221216_QBKS_YOBQ_KORC_YRTJ
>> Content-Type: text/html; charset=iso-8859-1
>> Content-Transfer-Encoding: quoted-printable
>>
Gut, so fängt jeder HTML-Teil an ...
>> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1=2E0 Strict//EN"
>>
Das riecht nun eher nach einer HTML-Seite, die per Script von einem gehacktem WebServer verschickt wurde ...
>> <title></title>
>> </head>
>>
>>
>>
>> <html><head></head><body><div style=3D"font-family: Verdana;font-size: 12=
>> =2E0px;"><div>
>> <div id=3D"header" style=3D"
>> width: 550px;
>> height: 30px;
>> background-color:rgb(255,204,0);
>> background-repeat: no-repeat;
Es wird auf jeden Fall schön bunt ...
>> background-image: url(https://www=2Epostbank=2Ede/privatkunden/de/logo_postbank_140805=2Epng);
Das originale Postbank-Logo betten wir von den Seiten der Postbank auch noch gleich ein ...
>> Html-Klicki-Bunti-Blabla
>>
>> Sehr geehrte/r ?x?x?,</font><br/>
Eine persönliche Ansprache, ich werde schwach ...
>> Wir brauchen Ihre Unterstützung!
>>
>> Die Postbank ändert die Zahlungsverkehr für die Euro-Sepa umstellung, damit Sie auch in Zukunft weiterhin den Service von Postbank nutzen können
>> Dazu benötigen wir eine Bestätigung Ihrer Daten.
>>
>> Die Bestätigung ist bis zum 29. Dezember 2014 kostenfrei, dannach wird eine Bearbeitungsgebühr in Höhe von 20 Euro verrechnet für die Manuelle Bestätigung unserer Mitarbeiter.
>>
Jetzt bin ich schon ganz heiß, bevor mir Kosten entstehen, auch wenn wenn ich für das Deutsch nur eine 2- vergeben würde!!!
>> Der kostenfreie Prozess für die Bestätigung der neuen Regelung können Sie unter dem unten stehenden Link (Bestätigen) ausgeführt werden.
Ja Ja Ja Ja, wo ist der Link ...
>> <a href=3D"http://k-urz=
>> =2Ede/7d21" target=3D"_parent">Bestätigen</a>=2E</font><br/><br/>
Was, wenn ich auf Bestätigen drücke, wollt ihr mich ganz unauffällig zu "k-urz.blafasel/7d21" schicken? Gut, dass ich einen Virenscanner habe, denn das mache ich gleich, aber ohne meine Login-Daten jemals einzugeben, denn ich bin ja nicht Doof!!!! Dazu aber später mehr ...
>> <br/>
>> Mit freundlichen Grüßen<br/>
>> <br/>
>> Ihre Postbank<br/>
>> <br/>
>> <br/>
Sehr freundlich, ihr mich auch ...
>> [auf seriös machenden Spoiler gekürzt]
10=2E0px;">Deutsche Postbank =
>> AG<br/>
>> Friedrich-Ebert-Allee 114-126<br/>
>> 53113 Bonn<br/>
>> <br/>
>> Sitz Bonn, Amtsgericht Bonn, HRB 6793<br/>
>> <br/>
>> Vorstand: Frank Strauß, Vorsitzender<br/>
>> [...]
>> Diese Nachricht ist nur für den vorgesehenen Empfänger bestimmt=
>> =2E Sollten Sie nicht der vorgesehene Empfänger dieser E-Mail und ihre=
>> s Inhalts sein oder diese E-Mail irrtümlich erhalten haben, bitten wir=
>> Sie, den Absender unverzüglich darüber zu informieren und diese =
>> Nachricht und all ihre Anhänge vollständig von Ihrem Computer zu =
>> löschen=2E Jede Form der unbefugten Nutzung, Veröffentlichung, de=
>> s Kopierens oder der Offenlegung des Inhalts dieser E-Mail ist nicht gestat=
>> tet=2E<br/>
>> [...]
Keine Sorge Jungs, der ist jetzt öffentlich ...
<< 250 Data received OK.
>> QUIT
<< 221 mail.?x?x?.net Service closing channel.
--- Connection closed normally at Mon Dec 22 12:16:55
... und fertig.
So, ich hatte ja noch erwähnt, dass ich noch auf der Seite nachsehen wollte, ohne mein Login/Passwort je in irgendeiner Maske einzugeben:
Nein, niemals, nie, never ever, sollte ein User derartige Links auch nur ansatzweise anklicken oder nur auf die leiseste Idee kommen!!!
Am besten ist man liest seine Mails auch nur im reinen Text-Modus und kann so nicht einmal zufällig per Mouse oder Fingertouch den Link treffen!!!
Hinter dem Link steckt zu 100% ein gehackter Server, der mit Sicherheit ein paar dutzend hochgradig aktuelle Exploits mit dem Betriebssystem und dem verwendeten Browser bzw. Mail-Clienten durch testet.
Was da durch die Leitung kommt ist also mit hoher Sicherheit extrem aktuell.
Bei immerhin ca 300.000 neuen Schädlingsvarianten pro Tag liegt die Erkennungsrate Eures Virenscanners bei doch recht guten 0.00%.
Die ganze Geschichte wird recht technisch, aber doch ganz interessant für den ein oder anderen. Fangen wir also da an, wo der Mailserver die entsprechende Spam annehmen soll und ich kommentiere das ein wenig:
>> Connection from 212.227.17.10, Mon Dec 22 12:16:55
<< 220-mail.?x?x?.net ESMTP server ready....
>> EHLO mout.kundenserver.de
<< 250-mail.?x?x?.net Hello mout.kundenserver.de; ESMTPs are:...
<< 250-SIZE 41943040
<< 250-AUTH CRAM-MD5 LOGIN
<< 250-AUTH=LOGIN
<< 250-STARTTLS
<< 250 HELP
>> STARTTLS
Soweit so gut, die Mail kommt von einer IP-Adresse von 1&1 und ist nicht in einer Blacklist.
<< 220 OK, begin SSL/TLS negotiation now.
[*] SSL/TLS session established: AES, CBC mode, keysize
Ach ja, "Mail in Germany" wird ja verschlüsselt übertragen, hilft aber prinzipiell auch nicht gegen Spam, wie wir bald sehen werden ...
>> EHLO mout.kundenserver.de
<< 250-mail.?x?x?.net Hello mout.kundenserver.de; ESMTPs are:...
<< 250-SIZE 41943040
<< 250-AUTH CRAM-MD5 LOGIN
<< 250-AUTH=LOGIN
<< 250 HELP
>> MAIL FROM:<[email protected]> SIZE=5277
<< 250 Sender and size (5277) OK - send RCPTs.
Ne, der Sender ist nicht OK, da liefert 1&1 etwas aus, was die auch nur extern zur Weiterleitung angenommen haben. Sehr gut zu erkennen am SRS-Eintrag, der eine eventuelle Bounce an den ursprünglichen Absender korrekt zustellen soll.
Einfach gesagt: Ich glaube nicht, dass die Postbank ihre Mails über 1&1-Server verschickt.
>> RCPT TO:<support@?x?x?.de>
<< 250 Recipient OK - send RCPT or DATA.
>> DATA
<< 354 OK, send data, end with CRLF.CRLF
Gut, jetzt kommen wir zu dem Teil, den auch jeder andere User sehen kann:
>> Received: from [91.250.87.176] ([91.250.87.176]) by mrelayeu.kundenserver.de
>> (mreue103) with ESMTPSA (Nemesis) id 0LtUuK-1Xss0w2l0u-010vGl for
>> <support@?x?x?.de>; Mon, 22 Dec 2014 12:17:11 +0100
Na, da habe ich es doch geahnt. Die Mail wurde von einer Host Europe IP eingeworfen, vermutlich von irgendeinem gehackten Web-Auftritt, denn ansonsten gäbe es auch eine Received-Zeile, die die Annahme bei Host Europe auch dokumentieren würde. Also weiter:
>> Message-Id: <[email protected]>
>> Mime-Version: 1.0
>> From: Postbank <[email protected]>
>> To: Thomas ?x?x? <support@?x?x?.de>
>> Subject: =?iso-8859-1?Q?[Wichtig]_Best=E4tigung_Ihrer_Daten?=
>> Content-Type: multipart/alternative; Boundary="--=BOUNDARY_12221216_QBKS_YOBQ_KORC_YRTJ"
>> [...]
Ich ahne was jetzt kommt, ihr auch ... ??
>> Die Nachricht ist im MIME-Format. Da Ihr E-Mail-Programm dieses Format nicht unterstützt, werden einzelne oder alle Nachrichten nicht lesbar sein.
Stimmt, in reiner Textmail können wir nicht die angezeigten Links manipulieren, fremden Content und Tracker einbetten ...
Ok, gute Mail-Programme erzeugen deshalb einen reinen "ungefährlichen" Text-Teil und einen "gefährlichen" HTML-Teil.
>>
>> ----=BOUNDARY_12221216_QBKS_YOBQ_KORC_YRTJ
>> Content-Type: text/plain; charset=iso-8859-1; format=flowed
>> Content-Transfer-Encoding: quoted-printable
>>
>> =20
>>
Ne, nicht wirklich, die völlig wichtige Information besteht aus einem Leerzeichen ? Ich glaube eher, ihr möchtet mich zum Umschalten auf den gefährlichen HTML-Teil verführen!!! Sehen wir uns diesen doch einfach als völlig ungefährlichen Text an:
>> ----=BOUNDARY_12221216_QBKS_YOBQ_KORC_YRTJ
>> Content-Type: text/html; charset=iso-8859-1
>> Content-Transfer-Encoding: quoted-printable
>>
Gut, so fängt jeder HTML-Teil an ...
>> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1=2E0 Strict//EN"
>>
Das riecht nun eher nach einer HTML-Seite, die per Script von einem gehacktem WebServer verschickt wurde ...
>> <title></title>
>> </head>
>>
>>
>>
>> <html><head></head><body><div style=3D"font-family: Verdana;font-size: 12=
>> =2E0px;"><div>
>> <div id=3D"header" style=3D"
>> width: 550px;
>> height: 30px;
>> background-color:rgb(255,204,0);
>> background-repeat: no-repeat;
Es wird auf jeden Fall schön bunt ...
>> background-image: url(https://www=2Epostbank=2Ede/privatkunden/de/logo_postbank_140805=2Epng);
Das originale Postbank-Logo betten wir von den Seiten der Postbank auch noch gleich ein ...
>> Html-Klicki-Bunti-Blabla
>>
>> Sehr geehrte/r ?x?x?,</font><br/>
Eine persönliche Ansprache, ich werde schwach ...
>> Wir brauchen Ihre Unterstützung!
>>
>> Die Postbank ändert die Zahlungsverkehr für die Euro-Sepa umstellung, damit Sie auch in Zukunft weiterhin den Service von Postbank nutzen können
>> Dazu benötigen wir eine Bestätigung Ihrer Daten.
>>
>> Die Bestätigung ist bis zum 29. Dezember 2014 kostenfrei, dannach wird eine Bearbeitungsgebühr in Höhe von 20 Euro verrechnet für die Manuelle Bestätigung unserer Mitarbeiter.
>>
Jetzt bin ich schon ganz heiß, bevor mir Kosten entstehen, auch wenn wenn ich für das Deutsch nur eine 2- vergeben würde!!!
>> Der kostenfreie Prozess für die Bestätigung der neuen Regelung können Sie unter dem unten stehenden Link (Bestätigen) ausgeführt werden.
Ja Ja Ja Ja, wo ist der Link ...
>> <a href=3D"http://k-urz=
>> =2Ede/7d21" target=3D"_parent">Bestätigen</a>=2E</font><br/><br/>
Was, wenn ich auf Bestätigen drücke, wollt ihr mich ganz unauffällig zu "k-urz.blafasel/7d21" schicken? Gut, dass ich einen Virenscanner habe, denn das mache ich gleich, aber ohne meine Login-Daten jemals einzugeben, denn ich bin ja nicht Doof!!!! Dazu aber später mehr ...
>> <br/>
>> Mit freundlichen Grüßen<br/>
>> <br/>
>> Ihre Postbank<br/>
>> <br/>
>> <br/>
Sehr freundlich, ihr mich auch ...
>> [auf seriös machenden Spoiler gekürzt]
10=2E0px;">Deutsche Postbank =
>> AG<br/>
>> Friedrich-Ebert-Allee 114-126<br/>
>> 53113 Bonn<br/>
>> <br/>
>> Sitz Bonn, Amtsgericht Bonn, HRB 6793<br/>
>> <br/>
>> Vorstand: Frank Strauß, Vorsitzender<br/>
>> [...]
>> Diese Nachricht ist nur für den vorgesehenen Empfänger bestimmt=
>> =2E Sollten Sie nicht der vorgesehene Empfänger dieser E-Mail und ihre=
>> s Inhalts sein oder diese E-Mail irrtümlich erhalten haben, bitten wir=
>> Sie, den Absender unverzüglich darüber zu informieren und diese =
>> Nachricht und all ihre Anhänge vollständig von Ihrem Computer zu =
>> löschen=2E Jede Form der unbefugten Nutzung, Veröffentlichung, de=
>> s Kopierens oder der Offenlegung des Inhalts dieser E-Mail ist nicht gestat=
>> tet=2E<br/>
>> [...]
Keine Sorge Jungs, der ist jetzt öffentlich ...
<< 250 Data received OK.
>> QUIT
<< 221 mail.?x?x?.net Service closing channel.
--- Connection closed normally at Mon Dec 22 12:16:55
... und fertig.
So, ich hatte ja noch erwähnt, dass ich noch auf der Seite nachsehen wollte, ohne mein Login/Passwort je in irgendeiner Maske einzugeben:
Nein, niemals, nie, never ever, sollte ein User derartige Links auch nur ansatzweise anklicken oder nur auf die leiseste Idee kommen!!!
Am besten ist man liest seine Mails auch nur im reinen Text-Modus und kann so nicht einmal zufällig per Mouse oder Fingertouch den Link treffen!!!
Hinter dem Link steckt zu 100% ein gehackter Server, der mit Sicherheit ein paar dutzend hochgradig aktuelle Exploits mit dem Betriebssystem und dem verwendeten Browser bzw. Mail-Clienten durch testet.
Was da durch die Leitung kommt ist also mit hoher Sicherheit extrem aktuell.
Bei immerhin ca 300.000 neuen Schädlingsvarianten pro Tag liegt die Erkennungsrate Eures Virenscanners bei doch recht guten 0.00%.