Gezielte Fakemails via Yahoo.com-Adressen

Disclaimer: Dieser Thread wurde aus dem alten Forum importiert. Daher werden eventuell nicht alle Formatierungen richtig angezeigt. Der ursprüngliche Thread beginnt im zweiten Post dieses Threads.

Gezielte Fakemails via Yahoo.com-Adressen
Seit einer Woche gehen vermehrt Fake-Mails gezielt an Uniadressen und ich bin etwas ratlos - in der Hoffnung das hier ein paar fachkundige Leute eine Idee haben (vielleicht seh ich den Wald vor lauter Bäumen nicht).

Fakten:

  • Student hat eine Mailadresse bei Yahoo, sagen wir mal vorname.nachname@yahoo.de
  • Mails gehen mit Absender vorname.nachname@yahoo.com an diverse Adressen, welche nicht selten geographischen Zusammenhang haben (div. Uni-Adressen, aber auch Sachen in Bamberg usw)
  • Die Mails gehen natürlich nicht über Yahoo-Server (wenn man versucht die .com-Variante zu erreichen antwortet der Yahooserver antwortet auch, dass er sie nicht kennt)
  • SPF gibt unsinnvollerweise “neutral” zurück
  • Zum Teil sind die Ziele im Adressbuch der Inhaber der echten Mailadresse - zum Teil aber auch nicht.
  • Verschieden Personen sind betroffen, die sich auch untereinander nicht kennen, d.h. nicht den gleichen Rechner benutzen.
  • Spamfilter schlagen eigentlich gut drauf an, aber dank mancher laxer Konfiguration gehen die auch hin und wieder erfolgreich in FSI und Lehrstuhlverteiler durch.
  • Inhalt ist nur ein Link
  • Alle Links (u.a. ueber impuissance[dot]ca oder rieser4repair[dot]com) leiten derzeit zu einkommenmethodemichelle[dot]com um

Beispiele (Header):
http://pastebin.de/127197
http://pastebin.de/127198
http://pastebin.de/127199
http://pastebin.de/127200

Die Betroffenen - keine Informatiker - sind natürlich erstmal panisch nachdem sie drauf angesprochen werden (“Mein Account wurde gehackt”).
Aber zum einen gab es keine Hinweise auf einen unbefugten Zugang (diese Info ist aus zweiter Hand), außerdem würde ich dann doch etwas gezieltere und bessere Werbung erwarten - oder eben das Ausnutzen der gestohlenen Identität um gleich Geld zu machen. Und schon gar nicht die yahoo.com-Adresse verwenden!
Anderseits erstaunen mich die Zieladressen, da sie einfach zu nah an dem Umkreis der echten Personen sind. Eine Webspider, der etwas intelligenter arbeitet und die Distanz zwischen zwei Seiten berücksichtigt? Möglich, aber das erklärt einige Adressen nicht: benutzte Zalando-Adressen mit Ticketkennung wie “IhreBestellung-EMID0AE02J80LBU01SL4N2R0647…[at]info.zalando.de” stehen auch nicht auf Webseiten, nicht einmal im From einer Mail (und vermutlich auch nicht im Adressbuch), sondern nur im Reply-To nach einer Bestellbestätigungsmail. Die konkreten IDs der Zalando-Bestellmails konnten übrigens auch nicht im Postfach betroffener Personen gefunden werden.

Also entweder da hat jemand Dumps von Yahoo abgegriffen (würde erklären wieso es nur Yahoo-Adressen sind) oder selbst einen sehr erfolgreichen MTA betrieben (würde die Reply-Tos erklären) - aber das klingt doch schon weit hergeholt irgendwie…

Und zu guter letzt scheint dies vor allem lokal begrenzt zu sein, hab davon so noch nichts im Netz gelesen, dass dieses Problem bekannter wäre.
Da sich die Betroffenen doch ziemlich fertig machen (“Was soll Prof XY von mir denken, wenn von mir so eine Mail kommt”) wäre ich über weitere Ideen dankbar :wink:


Anscheinend war Yahoo vom Heartbleed ebenfalls betroffen. Keine Ahnung, ob sie ein neues Zertifikat besitzen und ob dies sinnvollerweise mit einem anderen private Key erstellt wurde.
Allerdings erklärt dies nicht die von dir erwähnte Lokalität.

Imo wäre es sinnvoll, wenn Studenten lediglich ihre Uni-Mail-Adressen verwenden, um Organisatorisches für die Uni zu handhaben. Hat auch den netten Vorteil, dass man ganz einfach an ein SMIME-Zertifikat der Klasse 3 kommt, sofern man dies denn GPG vorzieht.


Ich habe einen Bekannten, der für sein iPad und sein iPhone getrennte yahoo-Adressen verwendet und ich habe jeweils von beiden Adressen Mails, die in das beschriebene Szenario passen, bekommen. Ich nehmen an, dass meine Mail-Adresse in beiden Adressbüchern vorhanden ist. GMX hat die jedoch sofort als Spam erkannt.

Ich vermute also das Szenario dass die iOS-Yahoo-Mail-App eine nutzbare Lücke hat.


Ich habe auch eine Mail bekommen, die in das Schema passt. (Ob die von einem iOS-Geraet kommt, kann ich nicht sagen)
Bei mir hat GMX die Mail allerdings nicht als SPAM erkannt (empfangen heute um 05:41 Uhr).


Muss mich korrigieren: Die erste wurde von GMX erkannt. Die zweite nur von SpamAssassin von Thunderbird.


Danke für die Rückmeldungen. Hab einmal eine Betroffene nach den eingesetzten Apple-Geräte gefragt: keine (nur Win7 und Android).
Also iOS(-App)-Lücke kann man damit als alleinige Ursache wohl ausschließen. Andernseits wird auch das anzapfen von (Win-)Rechner durch Schadsoftware unwahrscheinlicher.

Möglich wäre noch eine kompromittierte App…


FYP.
Die Frage ist nur durch welche Adressbücher wurde da gecrawled. Eher die einer App, als die der entsprechenden Mobilgeräte.
Daher dürfte das wohl das plausibelste sein. Weniger wahrscheinlich und gleichsam weniger erfreulich wären Lücken in den OSs selbst. :huh:


Eine Freundin von mir hat das selbe Problem und sie benutzt Yahoo nur per Webmail.


Browser von Mobilgeräten (exlusive Laptop) oder vom PC?


PC.


Yahoo wird eh, hab ich den Eindruck, recht häufig Opfer von Hackern. Erst Ende Januar wurde ja bekannt, dass die ja (mal wieder) geknackt wurden.

Was mir noch einfiele, neben dem ja bereits erwähnten Heartbleed, gab’s noch einen anderen OpenSSL-Bug, der inzwischen gefixt wurde und einen Man-In-The-Middle-Angriff ermöglichte (glaub, da konnte man irgendwie die Verwendung extrem schwacher Schlüssel provozieren). Aber wer weiß schon, ob da alle Systeme auch bereits entsprechend upgedadet sind, nachdem die Systemadmins ja erst den ganzen Stress wegen Heartbleed hatten.


GnuTLS findete in letzter Zeit auch des öfteren aufgrund gefixter Bugs Erwähnung.