Wie dämlich muß man sein…

Posted on 11. Oktober 2018 by marius

Diese Logzeile habe ich grade aus dem Mailserver gezogen:

2018-10-09 10:44:35 SMTP protocol synchronization error (next input sent too soon: pipelining was not advertised): rejected „GET / HTTP/1.1″ H=[107.170.202.125] next input=“Host: mailserver:26\r\nUser-Agent: Mozilla/5.0 zgrab/0.x\r\nAccept: */*\r\nAccept-Encoding: gzip\r\n\r\n“

Ich übersetz mal :

GET / HTTP/1.1
Host: mailserver:26
User-Agent: Mozilla/5.0 zgrab/0.x
Accept: */*
Accept-Encoding: gzip

Wenn man sich das genau ansieht, wobei „MAILSERVER“ unsere Mailserver IP war, wird man bei HOST das irritierende „:26“ entdecken. Die Portnummer gehört im HTTP Protokoll gar nicht in den „Host:“- Header rein, trotzdem hat dieses miserable Script es angehängt. Unser Glück, so kann man das aufklären 🙂

Es handelt sich offenbar um einen Portscanner, der bei „nicht-so-standart“-Ports wie „26“ , einfach mal austestet, ob da nicht ein Webserver zu finden ist. Vielleicht in der Hoffnung da was zu finden, was auf Port 80 nicht zu finden wäre, wer weiß. Auf Port 26 hat unser Mailserver einen Ausweichport, falls der DSL-Router des Kunden mal wieder Port 25 für alles außer T-Offline-Mailservern sperrt. Das hat sich in der Vergangenheit extrem gut bewährt, weil man im Mailprogramm nur statt Port 25 26 angeben brauchte und schon war diese leidige Routersperre umgangen.

Eingeführt haben die Routerhersteller das, damit die ganzen gehackten Windows-Pcs nicht ständig das Netz mit Spams beglücken. Das war aber nur bedingt erfolgreich 😉

Wie kam ich jetzt auf dämlich, achso ja, weil sich der Mailserver natürlich, wie auf Port 25 auch, sofort als Mailserver outet 🙂 Man muß also nicht erst HTML hinschicken um zu sehen was es ist 😀

richtig gute Phisingmail für die Sofortüberweisung Co. KG

Posted on 10. Oktober 2018 by marius

Ich hatte schon lange keine Spam/Trojaner/Phisingmails mehr über die ich berichten konnte, weil sich jahrelang nichts am Niveau der Emails geändert hat. Deswegen freut es mich auch, daß ich heute mal eine präsentieren kann, die in ordentlichem Deutsch verfaßt wurde, aber aus Bulgarien stammt:

Sehr geehrte(r) Axel Mustermann, 

leider konnte Ihre Überweisung an Sofortüberweisung Co. KG nicht verbucht werden. 

Wir erwarten die ausstehende vollständige Zahlung bis spätestens 05.10.2018 auf unser Bankkonto. Falls wir bis zum genannten Termin keine Überweisung bestätigen, sehen wir uns gezwungen unsere Forderung an ein Gericht abzugeben. Sämtliche damit verbundenen Kosten werden Sie tragen müssen.

Um zusätzliche Mahnkosten zu vermeiden, bitten wir Sie den ausstehenden Betrag auf unser Konto zu überweisen. Aufgrund des andauernden Zahlungsrückstands sind Sie verpflichtet zusätzlich, die entstandene Gebühren von 12,99 Euro zu tragen.

Berücksichtigt wurden alle Buchungseingänge bis zum 28.09.2018.
Ihre persönliche Kostenaufstellung liegt unter folgendem Link zum Download bereit.

Bei Rückfragen erwarten wir eine Kontaktaufnahme innerhalb von 48 Stunden.


Mit verbindlichen Grüßen

Sofortüberweisung Co. KG
10178 Berlin
USt-Id: DE 266468424
Sitz der Gesellschaft: Berlin

Die Mail kam am 1.10. rein, d.h. der Spammer hat da tatsächlich mal auf fast alles geachtet. Was er nicht richtig gemacht hat, sieht man im Emailheader:

Received: from fwd05.aul.t-online.de (fwd05.aul.t-online.de [172.20.27.149])
	by mailout05.t-online.de (Postfix) with SMTP id B4E2D42736D4
	for <a.mustermann@web.de>; Mon,  1 Oct 2018 04:23:27 +0200 (CEST)
Received: from www.stargate.by (VsozMrZVohaIxcK-h5wF--b+zynNoGv71sXPFO21KEWQhLH5BAxhdko3rMKrOKIgx9@[178.124.141.134]) by fwd05.t-online.de
	with (TLSv1:DHE-RSA-AES256-SHA encrypted)
	esmtp id 1g6nCA-3jKFrU0; Mon, 1 Oct 2018 03:23:21 +0200
Date: Mon, 1 Oct 2018 05:22:22 +0300
To: Axel Mustermann <a.mustermann@web.de>
From: =?utf-8?Q?Sofort=C3=BCberweisung_Co=2E_KG?= <a.dickenbrok@t-online.de>
Message-ID: <443a5cfb4db2c0d8da39a5035228f9d3@www.stargate.by>

Er konnte den Absender nicht vollständig kontrollieren, weil das sonst der Mailserver von T-Online nicht angenommen hätte. Ansonsten ganz nett gemacht. Zeitlich knappes Fenster. Drohkulisse. Alles was man so braucht um die Schafe zu scheren. Allerdings muß ich mich auch bei dem unbekannten Spammer beschweren 😉

Werter Herr,

Sie sind ein Spammer mit Sitz in Bulgarieren und unterliegen damit der Europäischen Datenschutzverordnung. Wie können Sie es wagen Artikel 32 nicht zu beachten ? Der fordert Verschlüsselung auf Stand der Technik und das ist NICHT TLS V1.0 . Sauerei!

Wo wir grade bei der EU DS GVO sind : Ich hoffe für Sie, das Sie die Emailadressen nach allen Vorschriften für Datenverarbeiter lagern. Wenn Sie erwischt werden, sollten Sie das nachweisen können, ansonsten 4% Jahresumsatz weg! Und wo sind eigentlich Ihre Technisch Organisatorischen Maßnahmen… WO KANN MAN IHRE DATENSCHUTZERKLÄRUNG EINSEHEN!?! Was sind Sie nur für ein Krimineller?!? Einfach kein Format mehr, diese möchtegern Reddingtons.

Neues Spammerabzockmodel entdeckt

Laut Jim Clausing vom InternetStormCenter ( ISC ) könnte es eine neue kreative Form der Abzocke bei Spams geben:

Die Bezahl-Mich-Fürs-Nicht-Spammen Methode

Analog zur Ransomware mit Krypto-Trojanern, fordert der Spammer hier Geld per BitCoin, damit er aufhört Spams an diese Adresse zu senden. Da es natürlich nicht nur einen Spamclan auf der Welt gibt, und Verbrecher an sich ja so notorisch zuverlässig sind, ist Bezahlen natürlich keine Option 😉

Dem Spammer muß man aber zu gute halten, daß er wenigstens mal was originelles gespammt hat 😀