Wie dämlich muß man sein…

Diese Logzeile habe ich grade aus dem Mailserver gezogen:

2018-10-09 10:44:35 SMTP protocol synchronization error (next input sent too soon: pipelining was not advertised): rejected „GET / HTTP/1.1″ H=[107.170.202.125] next input=“Host: mailserver:26\r\nUser-Agent: Mozilla/5.0 zgrab/0.x\r\nAccept: */*\r\nAccept-Encoding: gzip\r\n\r\n“

Ich übersetz mal :

GET / HTTP/1.1
Host: mailserver:26
User-Agent: Mozilla/5.0 zgrab/0.x
Accept: */*
Accept-Encoding: gzip

Wenn man sich das genau ansieht, wobei „MAILSERVER“ unsere Mailserver IP war, wird man bei HOST das irritierende „:26“ entdecken. Die Portnummer gehört im HTTP Protokoll gar nicht in den „Host:“- Header rein, trotzdem hat dieses miserable Script es angehängt. Unser Glück, so kann man das aufklären 🙂

Es handelt sich offenbar um einen Portscanner, der bei „nicht-so-standart“-Ports wie „26“ , einfach mal austestet, ob da nicht ein Webserver zu finden ist. Vielleicht in der Hoffnung da was zu finden, was auf Port 80 nicht zu finden wäre, wer weiß. Auf Port 26 hat unser Mailserver einen Ausweichport, falls der DSL-Router des Kunden mal wieder Port 25 für alles außer T-Offline-Mailservern sperrt. Das hat sich in der Vergangenheit extrem gut bewährt, weil man im Mailprogramm nur statt Port 25 26 angeben brauchte und schon war diese leidige Routersperre umgangen.

Eingeführt haben die Routerhersteller das, damit die ganzen gehackten Windows-Pcs nicht ständig das Netz mit Spams beglücken. Das war aber nur bedingt erfolgreich 😉

Wie kam ich jetzt auf dämlich, achso ja, weil sich der Mailserver natürlich, wie auf Port 25 auch, sofort als Mailserver outet 🙂 Man muß also nicht erst HTML hinschicken um zu sehen was es ist 😀

richtig gute Phisingmail für die Sofortüberweisung Co. KG

Ich hatte schon lange keine Spam/Trojaner/Phisingmails mehr über die ich berichten konnte, weil sich jahrelang nichts am Niveau der Emails geändert hat. Deswegen freut es mich auch, daß ich heute mal eine präsentieren kann, die in ordentlichem Deutsch verfaßt wurde, aber aus Bulgarien stammt:

Sehr geehrte(r) Axel Mustermann, 

leider konnte Ihre Überweisung an Sofortüberweisung Co. KG nicht verbucht werden. 

Wir erwarten die ausstehende vollständige Zahlung bis spätestens 05.10.2018 auf unser Bankkonto. Falls wir bis zum genannten Termin keine Überweisung bestätigen, sehen wir uns gezwungen unsere Forderung an ein Gericht abzugeben. Sämtliche damit verbundenen Kosten werden Sie tragen müssen.

Um zusätzliche Mahnkosten zu vermeiden, bitten wir Sie den ausstehenden Betrag auf unser Konto zu überweisen. Aufgrund des andauernden Zahlungsrückstands sind Sie verpflichtet zusätzlich, die entstandene Gebühren von 12,99 Euro zu tragen.

Berücksichtigt wurden alle Buchungseingänge bis zum 28.09.2018.
Ihre persönliche Kostenaufstellung liegt unter folgendem Link zum Download bereit.

Bei Rückfragen erwarten wir eine Kontaktaufnahme innerhalb von 48 Stunden.


Mit verbindlichen Grüßen

Sofortüberweisung Co. KG
10178 Berlin
USt-Id: DE 266468424
Sitz der Gesellschaft: Berlin

Die Mail kam am 1.10. rein, d.h. der Spammer hat da tatsächlich mal auf fast alles geachtet. Was er nicht richtig gemacht hat, sieht man im Emailheader:

Received: from fwd05.aul.t-online.de (fwd05.aul.t-online.de [172.20.27.149])
	by mailout05.t-online.de (Postfix) with SMTP id B4E2D42736D4
	for <a.mustermann@web.de>; Mon,  1 Oct 2018 04:23:27 +0200 (CEST)
Received: from www.stargate.by (VsozMrZVohaIxcK-h5wF--b+zynNoGv71sXPFO21KEWQhLH5BAxhdko3rMKrOKIgx9@[178.124.141.134]) by fwd05.t-online.de
	with (TLSv1:DHE-RSA-AES256-SHA encrypted)
	esmtp id 1g6nCA-3jKFrU0; Mon, 1 Oct 2018 03:23:21 +0200
Date: Mon, 1 Oct 2018 05:22:22 +0300
To: Axel Mustermann <a.mustermann@web.de>
From: =?utf-8?Q?Sofort=C3=BCberweisung_Co=2E_KG?= <a.dickenbrok@t-online.de>
Message-ID: <443a5cfb4db2c0d8da39a5035228f9d3@www.stargate.by>

Er konnte den Absender nicht vollständig kontrollieren, weil das sonst der Mailserver von T-Online nicht angenommen hätte. Ansonsten ganz nett gemacht. Zeitlich knappes Fenster. Drohkulisse. Alles was man so braucht um die Schafe zu scheren. Allerdings muß ich mich auch bei dem unbekannten Spammer beschweren 😉

Werter Herr,

Sie sind ein Spammer mit Sitz in Bulgarieren und unterliegen damit der Europäischen Datenschutzverordnung. Wie können Sie es wagen Artikel 32 nicht zu beachten ? Der fordert Verschlüsselung auf Stand der Technik und das ist NICHT TLS V1.0 . Sauerei!

Wo wir grade bei der EU DS GVO sind : Ich hoffe für Sie, das Sie die Emailadressen nach allen Vorschriften für Datenverarbeiter lagern. Wenn Sie erwischt werden, sollten Sie das nachweisen können, ansonsten 4% Jahresumsatz weg! Und wo sind eigentlich Ihre Technisch Organisatorischen Maßnahmen… WO KANN MAN IHRE DATENSCHUTZERKLÄRUNG EINSEHEN!?! Was sind Sie nur für ein Krimineller?!?  Einfach kein Format mehr, diese möchtegern Reddingtons.

Neues Spammerabzockmodel entdeckt

Laut Jim Clausing vom InternetStormCenter ( ISC ) könnte es eine neue kreative Form der Abzocke bei Spams geben:

Die Bezahl-Mich-Fürs-Nicht-Spammen Methode

Analog zur Ransomware mit Krypto-Trojanern, fordert der Spammer hier Geld per BitCoin, damit er aufhört Spams an diese Adresse zu senden. Da es natürlich nicht nur einen Spamclan auf der Welt gibt, und Verbrecher an sich ja so notorisch zuverlässig sind, ist Bezahlen natürlich keine Option 😉

Dem Spammer muß man aber zu gute halten, daß er wenigstens mal was originelles gespammt hat 😀

Mozillas Bugtracker zu blöd für TLS

Also da könnte man aus der Haut fahren. Wir haben das Jahr 2018. In 2008 wurde TLS 1.2 als Stand der Technik eingeführt und was bekommt man, wenn sich in den Bugtracker von Mozilla einloggen will ??? DAS HIER :

Your account has been disabled

Your Bugzilla account has been disabled due to issues delivering emails to your address.

Your mail server (dsn; a27-61.smtp-out.us-west-2.amazonses.com) said: (failed) smtp; 550-Sender did not use TLS secured connection. Sender benutzte keine TLS 550 gesicherte Verbindung.


If you believe your account should be restored, please send email to bugzilla-admin@mozilla.org explaining why.

 

Klar failed das, weil die Mozilla Admins zu blöd sind um TLS beim Senden in Ihrem Mailserver zu aktivieren! In 2018! Und nächstes Jahr ist TLS 1.3 draußen. Au Backe.. wozu macht die IETF das wohl neu .. zum Spaß wohl kaum!? Und zu allem übel ist die Meldung auch noch falsch, weil das da DEREN MAILSERVER IST! 😀

Jetzt überlegt mal was das heißt, wenn ein Security Bug von weltweiten Ausmaß besprochen wird. Was machen die dann, sich im Nebel unter einer Londoner Brücke treffen ?

Wo wir grade dabei sind :

Der SystemD Bugzilla hatte da wohl ein größeres DATENLECK :

reject.log-20180909:2018-09-04 00:11:32 H=mail.logite.biz.ua [89.163.132.50] F=<amsizcz@logite.biz.ua> rejected RCPT <systemdbugzilla@MEINEDOMAIN>: found in zen.spamhaus.org</systemdbugzilla@
reject.log-20180909:2018-09-05 02:30:21 H=mail.windersale.biz.ua [217.79.182.196] F=<iskohmf@windersale.biz.ua> rejected RCPT <systemdbugzilla@MEINEDOMAIN>: Sender did not use TLS secured connection. Sender benutzte keine TLS gesicherte Verbindung.</systemdbugzilla@
reject.log-20180909:2018-09-05 18:39:10 H=mail.zimerton.biz.ua [89.163.142.60] F=<exbiclz@zimerton.biz.ua> rejected RCPT <systemdbugzilla@MEINEDOMAIN>: Sender did not use TLS secured connection. Sender benutzte keine TLS gesicherte Verbindung.</systemdbugzilla@
reject.log-20180909:2018-09-06 20:00:27 H=mail.axiroks.co.ua [217.79.181.114] F=<ablojmp@axiroks.co.ua> rejected RCPT <systemdbugzilla@MEINEDOMAIN>: Sender did not use TLS secured connection. Sender benutzte keine TLS gesicherte Verbindung.</systemdbugzilla@
reject.log-20180916:2018-09-09 22:24:27 H=mail.aquaclean.biz.ua [62.141.32.162] F=<ynmipfy@aquaclean.biz.ua> rejected RCPT <systemdbugzilla@MEINEDOMAIN>: Sender did not use TLS secured connection. Sender benutzte keine TLS gesicherte Verbindung.</systemdbugzilla@
reject.log-20180916:2018-09-09 22:58:07 H=mail.derosman.co.ua [5.104.110.186] F=<aysixkc@derosman.co.ua> rejected RCPT <systemdbugzilla@MEINEDOMAIN>: Sender did not use TLS secured connection. Sender benutzte keine TLS gesicherte Verbindung.</systemdbugzilla@
reject.log-20180916:2018-09-11 02:40:28 H=mail.windersale.biz.ua [217.79.182.196] F=<etkuxnw@windersale.biz.ua> rejected RCPT <systemdbugzilla@MEINEDOMAIN>: Sender did not use TLS secured connection. Sender benutzte keine TLS gesicherte Verbindung.</systemdbugzilla@
reject.log-20180916:2018-09-12 10:29:33 H=mail.alihost.co.ua [213.202.212.238] F=<ivdewmw@alihost.co.ua> rejected RCPT <systemdbugzilla@MEINEDOMAIN>: Sender did not use TLS secured connection. Sender benutzte keine TLS gesicherte Verbindung.</systemdbugzilla@
reject.log-20180916:2018-09-13 01:08:28 H=mail.windersale.biz.ua [217.79.182.196] F=<yrxocts@windersale.biz.ua> rejected RCPT <systemdbugzilla@MEINEDOMAIN>: Sender did not use TLS secured connection. Sender benutzte keine TLS gesicherte Verbindung.</systemdbugzilla@
reject.log-20180916:2018-09-14 00:36:32 H=mail.mafines.eu [213.202.212.252] F=<odyizfm@mafines.eu> rejected RCPT <systemdbugzilla@MEINEDOMAIN>: Sender did not use TLS secured connection. Sender benutzte keine TLS gesicherte Verbindung.</systemdbugzilla@
reject.log-20180923:2018-09-16 22:07:58 H=mail.shophostel.eu [89.163.131.100] F=<iwpekfy@shophostel.eu> rejected RCPT <systemdbugzilla@MEINEDOMAIN>: Sender did not use TLS secured connection. Sender benutzte keine TLS gesicherte Verbindung.</systemdbugzilla@
reject.log-20180923:2018-09-17 22:24:23 H=mail.kollisar.biz.ua [213.202.212.143] F=<ephorkm@kollisar.biz.ua> rejected RCPT <systemdbugzilla@MEINEDOMAIN>: Sender did not use TLS secured connection. Sender benutzte keine TLS gesicherte Verbindung.</systemdbugzilla@
reject.log-20180923:2018-09-19 03:44:26 H=mail.axiroks.co.ua [217.79.181.114] F=<ypficrx@axiroks.co.ua> rejected RCPT <systemdbugzilla@MEINEDOMAIN>: Sender did not use TLS secured connection. Sender benutzte keine TLS gesicherte Verbindung.</systemdbugzilla@
reject.log-20180923:2018-09-21 02:58:35 H=mail.windersale.biz.ua [217.79.182.196] F=<uvbiczw@windersale.biz.ua> rejected RCPT <systemdbugzilla@MEINEDOMAIN>: Sender did not use TLS secured connection. Sender benutzte keine TLS gesicherte Verbindung.</systemdbugzilla@
reject.log-20180930:2018-09-23 23:52:36 H=mail.alihost.co.ua [213.202.212.238] F=<upyyzdr@alihost.co.ua> rejected RCPT <systemdbugzilla@MEINEDOMAIN>: Sender did not use TLS secured connection. Sender benutzte keine TLS gesicherte Verbindung.</systemdbugzilla@
reject.log-20180930:2018-09-25 03:05:04 H=mail.developmnt.eu [62.141.46.214] F=<opvojcx@developmnt.eu> rejected RCPT <systemdbugzilla@MEINEDOMAIN>: Sender did not use TLS secured connection. Sender benutzte keine TLS gesicherte Verbindung.</systemdbugzilla@
reject.log-20180930:2018-09-25 18:04:27 H=mail.mafines.eu [213.202.212.252] F=<ytvelrs@mafines.eu> rejected RCPT <systemdbugzilla@MEINEDOMAIN>: Sender did not use TLS secured connection. Sender benutzte keine TLS gesicherte Verbindung.</systemdbugzilla@
reject.log-20180930:2018-09-25 18:10:29 H=mail.gorgyam.eu [5.199.135.188] F=<ympyrmv@gorgyam.eu> rejected RCPT <systemdbugzilla@MEINEDOMAIN>: Sender did not use TLS secured connection. Sender benutzte keine TLS gesicherte Verbindung.</systemdbugzilla@
reject.log-20180930:2018-09-27 01:50:59 H=mail.axiroks.co.ua [217.79.181.114] F=<alpafcb@axiroks.co.ua> rejected RCPT <systemdbugzilla@MEINEDOMAIN>: Sender did not use TLS secured connection. Sender benutzte keine TLS gesicherte Verbindung.</systemdbugzilla@

(Der Editor von WordPress verweigert den Text in seiner Rohform zu zeigen und will unbedingt das nicht existente Tag schliessen. All Fail WordPress! )

SO! muß das aussehen Mozilla!

2018-09-22 00:21:23 1g3Tnc-0005cl-8K <= bugzilla@redhat.com H=mx1-phx2.redhat.com [209.132.183.26] P=esmtps X=TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256 CV=no S=3923 id=bug-1599018-321468-Fft8v2y8dX@bugzilla.redhat.com

Damit die Admins bei Mozillapost bekommen, sind sie bei GOOGLE untergekommen :

2018-10-03 10:23:49 1g7cRf-0000Gr-Qb => bugzilla-admin@mozilla.org R=dnslookup T=remote_smtp H=aspmx.l.google.com [74.125.133.27] X=TLSv1.2:ECDHE-RSA-CHACHA20-POLY1305:256 CV=yes K C=“250 2.0.0 OK l18-v6si623134wre.19 – gsmtp“

Und jetzt steht euch mal den Chiper an : „First Time spotted“ CHACHA20-POLY1305 . „Was ist das denn fürn Exot ?“ werdet Ihr Euch fragen… ja, das ist eine GOOGLE Erfindung. Wie man da lesen kann, nicht mal ein Standard, sondern nur eine Info 😉 Naja, scheint ja von OpenSSL implementiert worden zu sein.

 

Wiedermal Betrug bei Domainnamenregistrierungen

Seit August gibt es wieder so eine Welle von Domainregistrierungsmails, die natürlich alle Betrug sind.

Das sieht dann so aus :

Sehr geehrte Damen und Herren,

Wir haben einen Antrag auf Registrierung der Website www.********.info erhalten. Unser System zeigt, dass Sie der Besitzer von www.*******.de sind. Dies kann in Zukunft weitreichende Folgen für Sie haben. Wir sind daher gesetzlich verpflichtet, Sie zu kontaktieren, um Ihnen das erste Registrierungsrecht anzubieten. Dies bedeutet, dass wir den Antrag eines Dritten für die folgende Website ablehnen:

www.**********.info

Wenn Sie dem zustimmen, werden wir weiterleiten nach:

www.**********.de

Im Endeffekt bedeutet dies, dass Sie die erste Option auf den Domain-Namen erhalten, um Probleme in der Zukunft zu vermeiden.

In der Regel sind wir verpflichtet, den Domain-Namen für 10 Jahre zu registrieren und zu schützen. Der jährliche Preis für die .INFO-Endung beträgt 19,75 € pro Jahr. Dies bedeutet einen einmaligen Betrag von 197,50 €. Wenn die Weiterleitung abgeschlossen ist, wird der gesamte Datenverkehr zur .INFO-Endung automatisch an Ihre aktuelle Domain-Namenserweiterung weitergeleitet. Diese Bearbeitung dauert maximal 24 Stunden. Dieser Domain-Name ist dann weltweit erreichbar. Der Dritte wird abgelehnt und kann mit Ihrem Domain-Namen nichts anfangen.

Weitere Informationen:

– Sie erhalten eine einmalige Rechnung in Höhe von 197,50 € zzgl. MwSt. für eine Laufzeit von 10 Jahren.

– Es kann jederzeit nach einem Jahr gekündigt werden. Sie erhalten dann die restliche Anzahl der Jahre auf Ihrem Konto zurück.

Wenn Sie dem zustimmen, senden Sie innerhalb von 24 Stunden nach Erhalt dieser E-Mail eine Bestätigung mit Ihrem Namen, Ihren Adressangaben und Ihrer Umsatzsteuer-Identifikationsnummer an diese E-Mail-Adresse.

Wir werden dann den Dritten ablehnen und die Weiterleitung einleiten. Am selben Tag erhalten Sie eine E-Mail mit allen Informationen, die Sie benötigen.

Mit freundlichen Grüßen,

{Setzen Sie hier einen von sehr vielen fiktiven Footern ein}

 

Natürlich antwortet man nicht darauf, sondern löscht die Email oder übergibt sie wegen versuchten Betrugs an die Polizei.

Versuchter Betrug deswegen, weil es natürlich keine Anmeldung der ********.andere_TLD Domain gab, es keine Pflicht gibt als Registrar einen anderen Domainbesitzer zu informieren und zu einem Wucherpreis der Eindruck erweckt wird, daß der eigene Domainname in Gefahr wäre.

Ziel der Aktion ist der überteuerte Verkauf einer Domainweiterleitung für eine Domain, die der Kunde nicht braucht und selbst viel billiger einkaufen könnte.

Natürlich würde sich, wenn erwischt, der Betrüger mit der Argumentation winden, das wäre ja gar keine arglistige Täuschung sondern eine Dienstleistung. Blöd nur, daß Recherchen ergeben haben, daß die früher als „Behörde“ mit Markenlogo der Bundesrepublik agiert haben. Könnte also schwer werden den Betrugsvorwurf zu entkräften 😀

Weiterführende Quellen:

https://www.watchlist-internet.at/news/betruegerische-e-mail-der-internet-domain-services-austria-idsa/
https://www.onlinewarnungen.de/warnungsticker/deutsche-domain-namen-und-marken-e-mail-thema-ihre-website-ist-taeuschung/