Eine komplett wirre Spam

Es ist mal wieder Zeit eine Spam zu sezieren 😀 Gleich zur Klarstellung: Kein Aprilscherz. Eine so wirre Spam, bei der gar nichts paßt, ist schon selten geworden.

„(Email@dresse) – BITTE ANTWORTEN!“

Dem Aufruf werden wir natĂŒrlich nicht Folge leisten und schauen uns gleich mal alles ganz genau an. So sieht das aus, wenn diese komische Spam vorbeikommt:

Mans ieht den vermeindlichen Inhalt einer SpamEmailLinks unten in der Ecke sieht man den Link von dem „Click Here“:

https:/###/navigator.gmx.net@goto.pt/rQXtut#
(leicht verfÀlscht, damit keiner draufklickt)

Das „@“ in einer Internetadresse hat eine Sonderstellung, es gibt einen Benutzernamen fĂŒr die BASIC-Auth per HT-Accessabfrage im Webserver an, hat aber sonst keine Wirkung. Das bedeutet, gibt man das an, ohne das eine Abfrage vom Server gemacht wird, hat es absolut keine Wirkung. In unserem Spamkontext aber, dient der Zusatz dazu, den Eindruck zuerwecken, daß man bei GMX.NET rauskĂ€me, wĂŒrde man dort klicken. TatsĂ€chlich geht es aber zu „goto.pt“, was wohl ein URL-VerkĂŒrzer- oder Redirectservice ist. Ein typische Scammermasche eben.

Die aufwendige TĂ€uschung, daß es sich um eine Facebookemail handelt, erkennt man an den Email-Headern:

X-Mailer: ZuckMail [version 1.00]
From: „Web.de“ <notification@facebookmail.com>
Reply-to: noreply <noreply@facebookmail.com>
Errors-To: notification@facebookmail.com
X-Facebook-Notify: page_invite:page_invite_reminder; mailid=5a1ecca8ff1632G5aXXXXXXXXXXXXXXXX
List-Unsubscribe: <https://www.facebook.com/o.php?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX;>

Bei „ZuckMail“ kommt ich mir ein Grinsen nicht verkneifen 🙂

Die Receivedheader der Email, also die Strecke an welchem Mailserver die Email wann vorbei gekommen ist, teilt uns dann auch mit, daß obige Facebookheader von einer echten Mail stammen werden, die gestern an GMX ging:

Received: from tool.jobnowx.com ([45.58.188.112]) by mx-ha.web.de (mxweb012
[212.227.15.17]) with ESMTP (Nemesis) id 1MmkT4-1itqCw1E62-00jrjK for
<XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX@web.de>; Sun, 29 Mar 2020 11:50:52 +0200
Received: from 66-220-155-145.mail-mail.facebook.com () by
mx-ha.gmx.net (mxgmx117 ) with ESMTPS (Nemesis) id
1N4gjH-1jP4ch2OyF-011ils for <XXXXXXX@gmx.de>; Sat, 28 Mar 2020 21:55:12 +0100

Wie man in rot sehen kann, „tool.jobnowx.com“  ist der echte Absender, der diese Email losgeschickt hat, und der Scammer hat einfach den Header vom GMX Mailserver drin gelassen, damit die Quelle verschleiert wird. Wenn man so etwas macht, sollte man GMX nicht mit Web.de verwechseln 😀

In der Email ist dann noch die eigentliche Payload, das Ziel der „VerfĂŒhrung“ untergebracht und das geht zu : clicks-bb.com und der Domainname ist ja wohl Programm genug. McAfee gibt auch schon seit Tagen eine Warnung fĂŒr diese Domain aus und kommt mit Sicherheit nichts gutes bei raus, wenn man die aufruf, aber aller Vernunft zu Trotz …

$ curl http://clicks-bb.com
<html><body><h1>403 Forbidden</h1>
Request forbidden by administrative rules.

muharhar schon gesperrt worden vom Hoster 😀

Schauen wir uns mal den „Inhalt“ an …

Hallo Florian,

Erinnerung: Christian Zacher hat dich eingeladen, „Finanzcoach XXXXXXXX Zacher“ mit „GefĂ€llt mir“ zu markieren.

Wenn dir Finanzcoach XXXXXXX Zacher gefĂ€llt, klicke auf den folgenden Link: https://www.facebook.com/n/?pages………

Wir wissen nicht, wer Florian ist, oder ob es den Zacher wirklich gibt, aber Emails, die in der Hallo Zeile nicht den eigenen Namen drin haben, sind i.d.R. SPAM und jetzt haut die weg 🙂

Die gleiche Masche gabs Anfang der Woche fĂŒr Amazon, da stand dann im Betreff auch „BITTE ANTWORTEN“ drin, also wenn Großbuchstaben bei uns was bewirken wĂŒrden, außer genauer hinzusehen 😉

Datenschutz: Wie peinlich T-Online ist

Peinlicher, aber nicht ganz unerwarteter, Fauxpas von T-Online:

2020-02-25 04:55:03 1j69ZJ-0001iL-S3 H=rx.t-online.de [194.25.134.67]: a TLS session is required, but the server did not offer TLS support
2020-02-25 04:55:03 1j69ZJ-0001iL-S3 == tosa@rx.t-online.de R=dnslookup T=remote_smtp defer (-38) H=rx.t-online.de [194.25.134.67]: a TLS session is required, but the server did not offer TLS support
2020-02-25 05:55:03 1j69ZJ-0001iL-S3 == tosa@rx.t-online.de R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host for 'rx.t-online.de'
2020-02-25 06:55:03 1j69ZJ-0001iL-S3 == tosa@rx.t-online.de R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host for 'rx.t-online.de'
2020-02-25 07:55:03 1j69ZJ-0001iL-S3 == tosa@rx.t-online.de R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host for 'rx.t-online.de'
2020-02-25 08:55:03 1j69ZJ-0001iL-S3 == tosa@rx.t-online.de R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host for 'rx.t-online.de'
2020-02-25 09:55:03 1j69ZJ-0001iL-S3 == tosa@rx.t-online.de R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host for 'rx.t-online.de'
2020-02-25 10:55:03 1j69ZJ-0001iL-S3 H=rx.t-online.de [194.25.134.67]: a TLS session is required, but the server did not offer TLS support
2020-02-25 10:55:03 1j69ZJ-0001iL-S3 == tosa@rx.t-online.de R=dnslookup T=remote_smtp defer (-38) H=rx.t-online.de [194.25.134.67]: a TLS session is required, but the server did not offer TLS support

angemerkt sein, daß die Server fĂŒr Kundenmails davon nicht betroffen sind. Das Ă€ndert aber nichts daran.

T-Online mit Datenschutzverstoß

Der Verzicht auf TLS stellt meiner Meinung nach, mal einen soliden Verstoß gegen Artikel 32 DSGVO dar, weil man als Mailserverbetreiber ja vorher nicht wissen kann, ob da drĂŒber Personenbezogene Daten transportiert werden sollen oder nicht. Hellsehen, was einem einer jemals schicken wird, kann man ja nicht und daher muß man zwangslĂ€ufig vorher die Sicherheit der DatenĂŒbertragung aktiviert haben, weil nachtrĂ€glich Sicherheit herstellen geht in dem Fall nun mal nicht.

Artikel 32
Sicherheit der Verarbeitung
(1) Unter BerĂŒcksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der UmstĂ€nde und der Zwecke der Verarbeitung sowie der unterschiedlichen  Eintrittswahrscheinlichkeit und Schwere des Risikos fĂŒr die Rechte und Freiheiten natĂŒrlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewĂ€hrleisten; diese Maßnahmen schließen unter anderem Folgendes ein:

a) die Pseudonymisierung und VerschlĂŒsselung personenbezogener Daten;

Das kombiniert mit Artikel 4 2. schließt den Transport von Daten mit in den Begriff „Verarbeitung“ ein und erzwingt, weil der Aufwand praktisch nicht vorhanden ist und somit auch keine Kosten entstehen, die VerschlĂŒsselung von Emails beim Transport durch den Einsatz von aktuellen Techniken ( STARTTLS mit TLS 1.2+).

In dem Fall wĂ€ren es tatsĂ€chlich Personenbezogene Daten gewesen, weswegen unser Mailserver so eingestellt ist, daß er das in dem Fall auf keinen Fall ĂŒber unsichere Leitungen schicken darf.

Die Adresse tosa@rx.t-online.de ist ĂŒbrigens eine T-Online Adminadresse, falls man mal mit seinem Server gesperrt ist(, weil T-Onlinekunden Spams an ihre echten Adressen einfach ungefiltert an T-Onlineadressen weiterleiten) . Ich gehe mal davon aus, daß wie bei großen Organisationen ĂŒblich, Links nicht weiß was Rechts hĂ€tte tun sollen.

Die notwendigen Schritte den Verstoß abzustellen, werde ich jetzt anstoßen.

Update: 18:50 Uhr

Es gab Antwort von T-Online… und jetzt schön hinschauen… nicht lachen…

Received: from mailout02.t-online.de ([194.25.134.17])
	by userserver with esmtps (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
	(Exim 4.93)
	(envelope-from <postmaster@rx.t-online.de>)
	id ---
	for unsere@adresse; Tue, 25 Feb 2020 13:26:31 +0100
Received: from fwd37.aul.t-online.de (fwd37.aul.t-online.de [172.20.27.137])
	by mailout02.t-online.de (Postfix) with SMTP id ---
	for <unsere@adresse>; Tue, 25 Feb 2020 13:26:31 +0100 (CET)
Received: from mail.t-online-team.de (SU1DYkZrrhdrbk+8MoWoNLfFvJAGt3hYNV-3h42o51p2-46yGQLhcUQTxiv6TV2wPu@[194.25.187.129]) by fwd37.t-online.de
	with (TLSv1:ECDHE-RSA-AES256-SHA encrypted)
	esmtp id ---; Tue, 25 Feb 2020 13:26:30 +0100
From: Deutsche Telekom E-Mail Engineering ************* <postmaster@rx.t-online.de>
Date: Tue, 25 Feb 2020 13:26:31 +0100
Organization: Deutsche Telekom AG
X-Mailer: Forte Agent 6.00/32.1186
Content-Type: text/plain; charset=ISO-8859-1

Diese Email ist der nĂ€chste Verstoß gegen den Datenschutz, weil in der DSGVO steht drin, daß man auch bei internem Datentransport an die Absicherung denken muß.

Wie man sieht nutzt der erste Mailserver (mail.t-online-team.de) auf dem Weg zu unserem Mailserver (oberster Eintrag) TLSv1.0 , ein seit spĂ€testens 2015 final geknacktes Protokoll. Der nĂ€chste interne Server  (fwd37.aul.t-online.de) benutzt fĂŒr den internen Transport zu mailout02.t-online.de gleich gar keine VerschlĂŒsselung mehr. Der letzte Mailserver mailout02.t-online.de macht dann endlich mal was richtig auf dem weg zu uns und benutzt TLSv1.2.

D.b. das „mailout02.t-online.de“ und „fwd37.aul.t-online.de“ können entweder miteinanders kein gemeinsames Protokoll finden, oder haben TLS/SSL gar nicht im Programm. Da aber jeder von denen auf der jeweils anderen Seite der Verbindung irgendwie TLS kann, muß da bei T-Online das Chaos pur herrschen. Ob das absichtlich, unabsichtlich oder fahrlĂ€ssig so ist, werden die Datenschutzbehörden klĂ€ren.

„Hallo T-Online, das Jahr 2005 will seinen Uralt-Zeichensatz zurĂŒck haben!“

Von dem ISO-8859-1 Fail des Mailprogramms will ich gar nicht erst anfangen, aber wirklich, was fĂŒr einen uralt Krempel nutzen die da??? de-latin1 und TLSv1 passen historisch natĂŒrlich gut zusammen 🙂

Ältere FĂ€lle:

Willkommen im Club der TLS Verweigerer: Apache Foundation!

BSI aktualisiert Mailserver auf TLS 1.2.. ABER

SĂ€chsische Polizei benutzte gebrochene VerschlĂŒsselung

Wir erpressen Sie jetzt mal..oder so :D

Herzlich Willkommen zu einer neuen Ausgabe von „Erpresser – Man muß sie einfach gern haben“ .. wieso? na weil ich dann wieder was zu schreiben habe und Ihr was zu Lachen 😀

Kommen wir zu dieser Erpresser-Spam:

Ich markiere mal die Anekdoten farblich…

Return-path: <junko@kotorinouta.com>
Envelope-to: <#### eine unserer echten Adressen####>
Delivery-date: Mon, 08 Jul 2019 11:44:24 +0200
Received: from www1765.sakura.ne.jp ([112.78.112.75])
	by XXXXXXXXXXX.de with esmtps (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
	(XXXXXXXXXXXXXXXXXXXXXXXXXX)
	(envelope-from <junko@kotorinouta.com>)
	id XXXXXXXXXXXXXXXXX
	for <#### eine unserer echten Adressen####>; Mon, 08 Jul 2019 10:44:23 +0200
Received: from [127.0.0.1] (dynamic-189-45-26-22.webnet.psi.br [189.45.26.22])
	(authenticated bits=0)
	by www1765.sakura.ne.jp (8.15.2/8.15.2) with ESMTPSA id x585vAi13157658
	(version=TLSv1 cipher=DHE-RSA-AES256-SHA bits=256 verify=NO)
	for <#### eine unserer echten Adressen####>; Mon, 8 Jul 2019 17:44:21 +0900 (JST)
	(envelope-from junko@kotorinouta.com)
To: <#### eine unserer echten Adressen####>
From: Mylah <junko@kotorinouta.com>
MIME-Version: 1.0
Message-ID: <2b514q3322k452d@kotorinouta.com>
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain; charset=UTF-8
Date: Mon, 8 Jul 2019 12:56:54 +0300
List-Help: <http://friend.kotorinouta.com/help/forsubscribers>
X-EVENT_NAME: trxzzkst
X-Virus-Flag: YES
Subject:  Security Alert. Your accounts were hacked by a criminal group.

Hello!

I am a hacker who has access to your operating system.
I also have full access to your account.

I've been watching you for a few months now.
The fact is that you were infected with malware through an adult site =
that you visited.

If you are not familiar with this, I will explain.
Trojan Virus gives me full access and control over a computer or other=
 device.
This means that I can see everything on your screen, turn on the camer=
a and microphone, but you do not know about it.

I also have access to all your contacts and all your correspondence.

Why your antivirus did not detect malware?
Answer: My malware uses the driver, I update its signatures every 4 ho=
urs so that your antivirus is silent.

I made a video showing how you satisfy yourself in the left half of th=
e screen, and in the right half you see the video that you watched.
With one click of the mouse, I can send this video to all your emails =
and contacts on social networks.
I can also post access to all your e-mail correspondence and messenger=
s that you use.

If you want to prevent this,
transfer the amount of $500 to my bitcoin address (if you do not know =
how to do this, write to Google: "Buy Bitcoin").

My bitcoin address (BTC Wallet) is:  3HsB65YE6xgdt6x8Nnrxjck1YMNK1kMka=
L

After receiving the payment, I will delete the video and you will neve=
r hear me again.
I give you 50 hours (more than 2 days) to pay.
I have a notice reading this letter, and the timer will work when you =
see this letter.

Filing a complaint somewhere does not make sense because this email ca=
nnot be tracked like my bitcoin address.
I do not make any mistakes.

If I find that you have shared this message with someone else, the vid=
eo will be immediately distributed.

Best regards!

Solche Emails gibt es ja zu Hauf, der braucht man inhaltlich keine große Aufmerksamkeit schenken. Wir schauen uns mal an, was wir so ĂŒber den Möchtegernerpresser herausbekommen:

1. Die Einlieferung der Email stammt aus Brasilien, DSL Anschluß, ergo gehackter PC oder seine echte IP 🙂

from [127.0.0.1] (dynamic-189-45-26-22.webnet.psi.br [189.45.26.22])

2. Was auch immer da per SMTP die Email in Japan eingeliefert hat, es hÀlt nicht viel von moderner Software:

(version=TLSv1 cipher=DHE-RSA-AES256-SHA bits=256 verify=NO)

3. Es handelt sich möglicherweise um eine Mailingliste bei einer Kinder-Sozialhilfe:

List-Help: <http://friend.kotorinouta.com/help/forsubscribers>

Google kennt zu der Domain folgende Info:

Poesie-Kindergarten fĂŒr das Sozialhilfswerk Koori no Uta-Kindergarten Chigasaki-Stadt, privater Kindergarten der PrĂ€fektur Kanagawa

Also ein ziemlich fieser Charakter dieser Erpresser, wenn er einen Kindergarten als Tarnung fĂŒr seine AktivitĂ€ten benutzt.

4. Offensichtlich hat der Erpresser auch von der Technik keine Ahnung:

Filing a complaint somewhere does not make sense because this email cannot be tracked like my bitcoin address. I do not make any mistakes.

Der erste Fehler war, die Email an uns zuschicken. Fehler Nummer 2, natĂŒrlich kann man Emails bis zur Sender IP  verfolgen, wobei man das gar nicht muß, da uns der Erpresser freundlicherwiese seine Bitcoinadresse genannt hat

Bitcoin Adressen, und damit Bitcoins, lassen sich durch die Blockchain tracken, egal ob Bitcoin Mixer im Spiel sind oder nicht. Die Blockchain ist nicht anonym und der Benutzer auch nicht, im Gegensatz zu echtem Bargeld, das ist bis auf die FingerabdrĂŒcke und DNS Spuren anonym! Es ist nĂ€mlich im wahrsten Sinne waschbar 🙂

Wenn man Bitcoins waschen will, muß man damit ins Spielcasino gehen. in China nehmen viele Casinos auch Digitales Geld an und man muß es ja nicht zwangsweise verlieren 😉

Es hat wohl noch niemand bezahlt

Stand 13:30 Uhr hat wohl niemand etwas auf dieses Konto ĂŒberwiesen, was mich nicht wundert, die Scamwelle schappt ja schon seit jetztem Sommer durchs Netz:

https://www.blockchain.com/de/btc/address/3HsB65YE6xgdt6x8Nnrxjck1YMNK1kMkaL

oder auch

https://www.bitcoinabuse.com/reports/3HsB65YE6xgdt6x8Nnrxjck1YMNK1kMkaL

Wie immer …

Ab in die digitale MĂŒllhalde damit!

so richtig schlechtes Netflix-Phishing

Heute Nacht trudelte so richtig schlechtes Phishing fĂŒr NetFlixAccounts in unsere Spamfalle,
den ich Euch nicht enthalten will. Schon deswegen, weil das so selten passiert dank funktionierendem SpamFilter 😀

Return-path: <orion@host.searchexperts.net>
Delivery-date: Tue, 16 Apr 2019 00:34:21 +0200
Received: from host.searchexperts.net ([72.52.192.29]) by YYYYYYYYYYYYYY
 (XXXXXXXXXXXXXXXXXXXXX) with ESMTPS (Nemesis) id 1M9p5t-1hAOsQ2HvJ-005wSE
 for <XXXXXXXXXXXXXXXXXXXXXXXXXXX>; Tue, 16 Apr 2019 00:34:11 +0200
Received: from [41.251.250.236] (port=61967 helo=srv-odeis)
	by host.searchexperts.net with esmtpsa (TLSv1:ECDHE-RSA-AES256-SHA:256)
	(Exim 4.91)
	(envelope-from <orion@host.searchexperts.net>)
	id 1hG1s7-0001P1-N5
	for <XXXXXXXXXXXXXXXXX>; Mon, 15 Apr 2019 09:42:08 -0400
MIME-Version: 1.0
From: "Netflix" <orion@host.searchexperts.net>
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - host.searchexperts.net
X-AntiAbuse: Original Domain - web.de
X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]
X-AntiAbuse: Sender Address Domain - host.searchexperts.net
X-Get-Message-Sender-Via: host.searchexperts.net: authenticated_id: sales@orionsolarracking.com
X-Authenticated-Sender: host.searchexperts.net: sales@orionsolarracking.com
Subject:  Please Update Your Payment Method

Die fetten Texte sind die offensichtlichen Fehler, an denen man schon im FROM sieht, das es eine richtig schlechte FĂ€lschung ist. Persönliche Anmerkung: „TLS 1.0“ IM ERNST ??? Mit einem EXIM !??!? … grumpf.

Dear customer,

Sorry for the interruption, but we are having trouble authorizing your credit card. Please visit the account payment page at www.netflix.com/YourAccountPayment to enter your payment information again or to use a different payment method. When you have finished, we will try to verify your account again. If it still does not work, you will want to contact your credit card company.

If you have any questions, we are happy to help. Simply call us at 1-866-579-7172.

Ja, was soll man dazu anderes sagen als: Falsche Sprache Ihr Penner! 😀 Wenn man mit dem Mauszeiger ĂŒber den angeblichen NetFlix Link geht, sieht man auch die gefĂ€lschte (von mir entschĂ€rfte ) URL zum gehackten Webserver.

Also ab in die digitale MĂŒlltonne damit 😉