Aus der Serie: Spaß mit Scammern

Deutschland klagt ja gerne über den selbst verschuldeten Fachkräftemangel und davor sind selbst aufstrebende Verbrecherbanden nicht gefeit 🙂

Mit Zahlen müßte man sich auskennen…

Die hier wohl maschinell gemachte Übersetzung ist ja gar nicht mal so schlecht, nur „leider“ konnten die Scammer wohl mit großen Zahlen nicht richtig umgehen, denn der ach so verlockende Kontostand von 22,30 Pfund, so ca. 26 €, ist ja jetzt nicht gerade der Hammer 😉

Absender:  martinpeter@onet.eu :

 

Ich bin Dr. Martin Peter, Manager für operationelle Risikokontrolle und Mitglied der Konzernleitung der UBS-Gruppe. Ich suche nach einem internationalen Geschäftspartner, der mit mir bei einer Finanztransaktion zusammenarbeitet, wie kürzlich bei der Prüfung von Bankkonten und Dienstleistungen unserer Bank; Ich entdeckte gebietsfremde Bankkonten, die seit langem nicht mehr geführt wurden. Dies gehört zu einem verspäteten Business-Mogul, der am 7. Juni 2012 bei einem Flugzeugabsturz zum Opfer fiel und zum Tode führte. Bisher weiß niemand von seinem Bankkonto bei der UBS Investment Bank. Dieses Konto hält £ 22,3 GBP (nur zweiundzwanzig Millionen, nur dreihunderttausend GBP Sterling) und ich möchte, dass Sie Ihr Interesse angeben, damit Sie als „ausländischer Begünstigter“ auftreten können. Ich werde jedoch auf Ihr Gefühl der Vertraulichkeit und Vertraulichkeit zählen, um eine risikobehaftete Auseinandersetzung zu vermeiden, angesichts der Empfindlichkeit und des Umfangs dieses Projekts.

Ich freue mich sehr auf Ihre dringende Antwort.

Danke und viele Grüße,

Dr. Martin Peter
Operational Risk Control Manager
UBS Investment Bank, London.

 

Ich freu mich ja immer, wenn unsere Antispam Lösung sowas alle paar Jahre mal durchläßt, weil man dann mal wieder einen Grund hat was davon ins Block zu packen 😉 Jetzt gibt es leider keinen Grund den Emailheader auseinander zu pflücken, der ist dummerweise unauffällig. Ok, es kommt aus Portugal, aber bei einer EU Adresse, ist das jetzt nicht gerade was besonderes.

Da bleibt nicht viel zu sagen, außer: Hab in die digitale Mülltonne!

FBI Daten hatten ungeschützten Verkehr mit dem Netz

In Deutschland streitet man noch über die veröffentlichten Daten von Promis und Politikern, in Amerika ist man schon weiter:

Ungeschützte Regierungsserver geben Einblick in FBI Ermittlungen

Wie die Hacker News berichten, hat das Oklahoma Department of Securities  3 TB an Ermittlungsdaten ungeschützt auf einem Server geparkt gehabt. Ich denke, die müssen sich jetzt umbenennen in „Department of Insecurities“ 🙂

Die Inhalte waren teilweise Jahrzehnte alte Ermittlungsakten vom FBI. Dazu gabs dann noch Interna aus besagter Behörde wie z.B. Remote-Zugangsdaten, Sozialversicherungsnummern, die ja in Amiland zum Identitätsdiebstahl sehr beliebt sind, aber auch sensible Patientendaten von AIDS-Kranken. Wieso eine Regierungsbehörde AIDS-Krankendaten speichert, werden die wohl nur sehr wage bis eher ausweichend beantworten wollen.

Die Hacker News haben eine schöne Statistik mit gefundenen Filetypen und einer Sammlung von Outlook PST Files bis 1999 im Angebot. Die ältesten Daten stammen wohl von 1986. Die Behörde will jetzt alle informieren, deren Daten da sichtbar waren, was im Einzelfall (dank 1986) nur postmortem möglich sein wird.

Was war die Ursache? Kommt Ihr nie drauf!

„Bessere Security, durch Installation einer Firewall.“

Na das ging ja mal so richtig schief :DDD Für Spott braucht diese Behörde in nächster Zeit nicht mehr sorgen, das klebt denen bis zum Auflösung am Haken.

 

LDAP Vortrag im Haus der Talente

Heute Abend findet im Haus der Talente, Saalestraße 45, Braunschweig Weststadt ein Vortrag über LDAP-Authentifizierung statt.

Besonderes Augenmerk legen wir dabei heute Abend ab 18:00 Uhr auf die Ausgestaltung im Rahmen der Europäischen Datenschutz-grundverordnung.

Für Pizza ist laut LUG-ORGA gesorgt.

Update:

Der gestern gehaltene Vortrag zu OpenLDAP und dem Datenschutz, hatte leider nicht viel mit Datenschutz zu tun 🙂

Da ist die Ankündigung der LUG wohl ein bisschen übereifrig gewesen, allerdings konnte der Teilnehmer einiges über LDAP erfahren, wie man damit Probleme löst, wo es herkommt, wie man es einsetzt, um wie es besser geht.

Im Anschluss an den Vortrag entbrannte eine
rege Diskussion über den Datenschutz nach DSGVO.

Kleine Anekdote zum Ende:

im Anschluss haben wir versucht mein Handy zu rooten… es war zu sicher 🙂

Zwei Sicherheitslücken auf die wir lange warten mußten!

Darauf mußten wir lange, lange warten:

THN: 36 Jahre alte Sicherheitslücke in SCP entdeckt!

Wie die Hacker News berichten, gibt es in SCP eine 36 Jahre alte Lücke, die es einem böswilligen Server erlaubt, beliebige Files beim Benutzer zu überschreiben.Da fast alle Implementierung vom alten Originalcode abstammen, sind sehr viele Anwendungen davon betroffen. Es können z.B. verstecke Bash-Files im Home (eines Unix/Linux/Macusers ) erzeugt werden, die als ANSI Codes übermittelt werden. Möglich wird die mangels guter Prüfung des erhaltenen Contents durch SCP. Da scp üblicherweise in der Shell eingesetzt wird, könnte das praktische ausnutzen der Schwachstelle in der Regel schwierig werden, da man sich nur zu bekannten Server mit SCP verbindet. Jemanden da per Spam hin zu bekommen, könnte schwer fallen.

Auch lange warten mußten wir auf diese Meldung, die nicht minder prikär ist, vielleicht sogar noch schlimmer:

heise.de : Forscher brechen aus Docker-Container aus

Ich persönlich warte ja schon länger auf diese Meldung, aber verwundern wird sie wohl keinen. Die Hauptkritik an Container ist ja, daß die darin enthaltene Software nicht aktuell gehalten sein wird, weil sonst könnte der Entwickler die Anwendung ja auch prima auf einem normalen System starten. Natürlich gibt es noch andere Gründe für einen Container: Transferierbarkeit, Skalierbarkeit  usw. aber uns interessiert die Sicherheit natürlich mehr. Wenn ich jetzt Software von Anno Schnee in einem Container habe, der nicht aktualisiert wird, weil „wieso, geht doch!“, das übliche Argument der Neulandmanager halt, dann habe ich jetzt endlich den Exploit, der mir bisher fehlte, um aus dem Schrott auszubrechen. VMs sind übrigens nicht anders, nur einer VM kann ich ( ICH!! ) sagen, daß das System dadrin aktualisiert werden soll. Bei „Docker“ ist das ein Heckmeck sondergleichen, wenn die Funktion nicht vorgesehen ist.

Die „Play with Docker“ Containerumgebung wird nicht die Einzige sein, die mit „wieso, kann doch keiner ausbrechen“ als Argument, die Anwendung mit erhöhten Rechten laufen läßt. Es wird also spannend werden, wenn man Docker einsetzt. Eine Lücke mehr, die man stopfen muß. Das sollte man sich vor Augen halten.

1&1 Mails von Spamhaus geblockt.. was nun ?

Info aus der Spamwelt: 1&1 Mailserver bei Spamhaus auf der Blockliste gelandet, und jetzt ??

1&1 Mailserver von Spamhaus geblockt

Wie wir heute von Kunden meines Arbeitgebers erfahren haben, können diese über 1&1 keine Mails mehr an bestimmte Adressen senden. Da haben wir mal nachgesehen und mußten feststellen, daß Spamhaus die IP’s der Mailserver von  1&1 gesperrt hat:

2019-01-09 10:01:11 H=mout-xforward.kundenserver.de [82.165.159.37] X=TLSv1.2:ECDHE-RSA-AES128-GCM-SHA256:128 CV=no F= rejected RCPT <empfänger@unserserver.eu>: found in zen.spamhaus.org</empfänger@unserserver.eu>
2019-01-09 10:02:03 H=mout-xforward.kundenserver.de [82.165.159.43] X=TLSv1.2:ECDHE-RSA-AES128-GCM-SHA256:128 CV=no F= rejected RCPT <empfänger@unserserver.eu>: found in zen.spamhaus.org</empfänger@unserserver.eu>

Es handelt sich um ein /30 Subnetz, daß von 1&1 zu einem einzigen Zweck benutzt wird. Interessant wird es,wenn man bei Spamhaus den Grund für die Sperre einsieht:

Blocklist Lookup Results

82.165.159.37 is listed in the SBL, in the following records:

    SBL275659

82.165.159.37 is not listed in the PBL
82.165.159.37 is not listed in the XBL

Der von 1&1 verwendete Netzblock ist bereits seit Anfang 2017 gesperrt, wie man dem Link oben entnehmen kann. Das liegt daran, daß 1&1 diesen Block nur benutzt, wenn die Emails intern bei 1&1 als Spams bewertet wurden. Daher kann auch nur 1&1 helfen.

Ref: SBL275659
82.165.159.36/30 is listed on the Spamhaus Block List – SBL
2017-02-09 23:24:04 GMT | courtesy.spamhaus.org
mout-xforward.kundenserver.de

The IP addresses listed in this SBL are used by 1&1 solely for delivering emails that have been internally (by 1&1) classified as SPAM.

You have been referred to this page for one of the following reasons:

a) Your own legitimate emails have been erroneously classified as SPAM by 1&1’s systems. In this case please contact 1&1 directly using the following link to clear up the matter:

http://postmaster.1und1.de/en/blacklisting/?ip=82.165.159.36&c=sbl

b) You found non-delivery reports „bounces“ in your mailbox for messages other than your own. This indicates that a third party has sent these emails through your mailbox without your consent. Please take the following steps to re-establish the security of your 1&1 mailbox:

i) Check your computer for viruses:
Perform a thorough anti-virus scan on all computers which have been used to access the mailbox.

ii) Choose a new password for the affected mailbox.

Please carefully note that if you contact Spamhaus regarding this SBL listing, you will not receive any answer and the listing will not be removed. Your only resolution path is through 1&1, as indicated above.

 

Jetzt stellt sich natürlich sofort die Frage:

Wieso 1&1 als Spam erkannte EMails überhaupt rausschickt ?

Die Sache ist eigentlich ganz clever:

  1. Kundenemails gehen erstmal raus, ohne daß es eine Fehlermeldung gibt.
  2. Der eigene Mailcluster für „normale“ Emails wird nicht (oder eher seltener) von Blacklistenbetreibern geblockt.
  3. Nutzer von Spamhaus und anderen IP basierten Blacklisten bekommen diese „Spams“ nicht.

Das sieht erstmal wie ein Win – Win aus.. aber eigentlich gewinnt nur 1&1, denn die haben erstmal keinen Supportaufwand ( das habe ich natürlich direkt geändert 😀 ), der landet jetzt erstmal bei dem, bei dem die Email nicht angekommen ist und natürlich dem Absender, der hat den meisten Ärger.

Der Absender muß den Empfänger anrufen, weil mailen geht ja nicht. Der Supporter vom Empfänger muß jetzt losgehen, seine Logs checken und findet den Block von Spamhaus, fragt Spamhaus und gibt dem Absender zurück, daß ist sein Problem, er solle mal 1&1 fragen.  Bumerangmäßig kommt der Aufwand wieder bei 1und1 an.

Ich lehne mich mal ganz weit aus dem Fenster und behaupte..

… das liegt alles an BWL ( Betriebswirtschaftslehre ) und deren Mantra „Kosten, die nicht bei mir anfallen, sind keine Kosten.“ .

Ich denke mir das so: Die Abteilung von 1&1 , welche die Mailserver betreut, hat das eingerichtet, damit die Anfragen, wieso Emails nicht angekommen sind, erstmal beim Allgemeinen Supporttelefon landen. Das dürfte eine andere Abteilung sein. Die filtern erstmal alle weg, die nur mal eine Email zurück bekommen haben.

Bei den ganz harten Fälle haben Andere den Hauptteil der Arbeit schon für die erledigt: Sie wissen woran es lag => Spamklassifizierung von 1&1 . Damit muß der Level 2 des Technischen Supports nicht mehr lange suchen, was Zeit und Geld spart. Die Kosten dafür wurden auf den Kunden und ganz elegant auf die Supportabteilung von einem völlig anderen Unternehmen abgewälzt. Übrig bleibt ein kleiner Rest, der Minimal im Vergleich zum großen Gesamtbetrag ist. Spiel, Satz und Sieg 1&1 🙁

Was wäre wenn..

Allerdings würden alle Anderen gar keine Kosten mehr haben, wenn 1&1 die erkannten Spams gleich zurück an den Absender schickt und klar reinschreibt, daß es Spams waren. Das würde aber Kundenunzufriedenheit fördern und in der Endkonsequenz bedeutet, daß sich Kunden in Foren beschweren, daß man über 1&1 Mailserver keine Mails mehr raussenden könnte. Schlecht fürs Geschäft, insofern ist das für 1&1 natürlich erstmal die bessere Lösung, die Emails rauszusenden und zu schauen was passiert, zumal 1&1 sichergestellt hat, daß der Kunde nicht von Ihnen trotzdem den wahren Grund ( Spam ) erfährt.  Jetzt entlädt sich der Frust darüber, daß ein anderer Mailserver die Emails als Spam zurück gesendet hat, beim Empfänger und nachdem klar ist, was passiert ist, ist dessen Frustlevel schon wieder gesunken, wenn er sich dann beim 1&1 Support meldet.

Ich überlege gerade, im nächsten Meeting eine ähnliche Struktur vorzuschlagen, da man als „Absenderprovider“ damit nur gewinnen kann, während alle anderen verlieren 🙁