Eine komplett wirre Spam

Es ist mal wieder Zeit eine Spam zu sezieren 😀 Gleich zur Klarstellung: Kein Aprilscherz. Eine so wirre Spam, bei der gar nichts paßt, ist schon selten geworden.

„(Email@dresse) – BITTE ANTWORTEN!“

Dem Aufruf werden wir natĂŒrlich nicht Folge leisten und schauen uns gleich mal alles ganz genau an. So sieht das aus, wenn diese komische Spam vorbeikommt:

Mans ieht den vermeindlichen Inhalt einer SpamEmailLinks unten in der Ecke sieht man den Link von dem „Click Here“:

https:/###/navigator.gmx.net@goto.pt/rQXtut#
(leicht verfÀlscht, damit keiner draufklickt)

Das „@“ in einer Internetadresse hat eine Sonderstellung, es gibt einen Benutzernamen fĂŒr die BASIC-Auth per HT-Accessabfrage im Webserver an, hat aber sonst keine Wirkung. Das bedeutet, gibt man das an, ohne das eine Abfrage vom Server gemacht wird, hat es absolut keine Wirkung. In unserem Spamkontext aber, dient der Zusatz dazu, den Eindruck zuerwecken, daß man bei GMX.NET rauskĂ€me, wĂŒrde man dort klicken. TatsĂ€chlich geht es aber zu „goto.pt“, was wohl ein URL-VerkĂŒrzer- oder Redirectservice ist. Ein typische Scammermasche eben.

Die aufwendige TĂ€uschung, daß es sich um eine Facebookemail handelt, erkennt man an den Email-Headern:

X-Mailer: ZuckMail [version 1.00]
From: „Web.de“ <notification@facebookmail.com>
Reply-to: noreply <noreply@facebookmail.com>
Errors-To: notification@facebookmail.com
X-Facebook-Notify: page_invite:page_invite_reminder; mailid=5a1ecca8ff1632G5aXXXXXXXXXXXXXXXX
List-Unsubscribe: <https://www.facebook.com/o.php?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX;>

Bei „ZuckMail“ kommt ich mir ein Grinsen nicht verkneifen 🙂

Die Receivedheader der Email, also die Strecke an welchem Mailserver die Email wann vorbei gekommen ist, teilt uns dann auch mit, daß obige Facebookheader von einer echten Mail stammen werden, die gestern an GMX ging:

Received: from tool.jobnowx.com ([45.58.188.112]) by mx-ha.web.de (mxweb012
[212.227.15.17]) with ESMTP (Nemesis) id 1MmkT4-1itqCw1E62-00jrjK for
<XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX@web.de>; Sun, 29 Mar 2020 11:50:52 +0200
Received: from 66-220-155-145.mail-mail.facebook.com () by
mx-ha.gmx.net (mxgmx117 ) with ESMTPS (Nemesis) id
1N4gjH-1jP4ch2OyF-011ils for <XXXXXXX@gmx.de>; Sat, 28 Mar 2020 21:55:12 +0100

Wie man in rot sehen kann, „tool.jobnowx.com“  ist der echte Absender, der diese Email losgeschickt hat, und der Scammer hat einfach den Header vom GMX Mailserver drin gelassen, damit die Quelle verschleiert wird. Wenn man so etwas macht, sollte man GMX nicht mit Web.de verwechseln 😀

In der Email ist dann noch die eigentliche Payload, das Ziel der „VerfĂŒhrung“ untergebracht und das geht zu : clicks-bb.com und der Domainname ist ja wohl Programm genug. McAfee gibt auch schon seit Tagen eine Warnung fĂŒr diese Domain aus und kommt mit Sicherheit nichts gutes bei raus, wenn man die aufruf, aber aller Vernunft zu Trotz …

$ curl http://clicks-bb.com
<html><body><h1>403 Forbidden</h1>
Request forbidden by administrative rules.

muharhar schon gesperrt worden vom Hoster 😀

Schauen wir uns mal den „Inhalt“ an …

Hallo Florian,

Erinnerung: Christian Zacher hat dich eingeladen, „Finanzcoach XXXXXXXX Zacher“ mit „GefĂ€llt mir“ zu markieren.

Wenn dir Finanzcoach XXXXXXX Zacher gefĂ€llt, klicke auf den folgenden Link: https://www.facebook.com/n/?pages………

Wir wissen nicht, wer Florian ist, oder ob es den Zacher wirklich gibt, aber Emails, die in der Hallo Zeile nicht den eigenen Namen drin haben, sind i.d.R. SPAM und jetzt haut die weg 🙂

Die gleiche Masche gabs Anfang der Woche fĂŒr Amazon, da stand dann im Betreff auch „BITTE ANTWORTEN“ drin, also wenn Großbuchstaben bei uns was bewirken wĂŒrden, außer genauer hinzusehen 😉

Mailserver – Gebrochenes TLS im Einsatz

Wer erinnert sich noch an diesen Beitrag BSI versendet Emails ohne TLS VerschlĂŒsselung oder den hier : SĂ€chsische Polizei benutzte gebrochene VerschlĂŒsselung? Ja, genau, es geht wieder um TransportverschlĂŒsselung von Mailservern. Ich habe mal wieder hingesehen 🙂 Von den angekĂŒndigten „Args“ habe ich aber wegen der Lesbarkeit Abstand genommen 😉 Einige GesprĂ€che mit IT Abteilungen sind auch merkwĂŒrdig verlaufen und finden daher hier keinen Einzug.

Etwas TLS Kontext

Ich habe auf unserer Serverfarm letzte Woche eine Umfrage gemacht, welche TLS Versionen im Einsatz sind und eine entsprechende Domainliste mit veralteter TLS 1.0 oder TLS 1.1 Versionen erstellt. Die Liste ist 884 Domains lang und natĂŒrlich nur ein Bruchteil aller weltweit betroffenen Server. Man muß auch dazu sagen, daß es nicht immer die Mailserver einer Domain selbst sind, sondern auch veraltete und schlecht gewartete Mailprogramme, z.b. Outlook und AppleMail.

Was ich nicht erwartet hatte war, daß die jeweiligen PCs auf dem aktuellen Stand sind und trotzdem mit TLSv1 Kontakt aufnehmen. Der untersuchte Apple Mac hatte alle Securityupdates eingespielt und sendet, genau wie ein Win7 + Outlook PC, trotzdem nur mit TLSv1(.0). Ob das Absicht ist ?

Die zweite Meinung vom BSI

Um eine zweite Meinung zum Thema „Einsatz von TLS 1.0 und 1.1 im Unternehmerischen Umfeld“ zu bekommen, habe ich mich an das Bundesamt fĂŒr Sicherheit in der Informationstechnik und deren Sicherheitsberatung gewendet. Folgende Antwort auf die Frage, ob man TLS 1.0 und 1.1 noch einsetzen kann, kam bei mir an:

Sehr geehrte Damen und Herren,

vielen Dank fĂŒr Ihre Anfrage nach der Sicherheit beim Einsatz von Transport
Layer Security (TLS).

Das BSI hat fĂŒr den Einsatz von TLS eine technische Richtlinie erstellt,
"Technische Richtlinie TR-02102-2 Kryptographische Verfahren: Empfehlungen und 
SchlĂŒssellĂ€ngen Teil 2 – Verwendung von Transport Layer Security (TLS)":
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102-2.pdf
https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr02102/index_htm.html

Laut der technischen Richtlinie gelten TLS 1.0 und TLS 1.1 als unsicher und 
werden nicht mehr empfohlen.

FĂŒr die Bundesverwaltung hat das BSI einen Mindeststandard zum Einsatz von
TLS entwickelt, der fĂŒr die Stellen des Bundes verbindlich umzusetzen ist:
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindeststandards/Mindeststandard_BSI_TLS_1_2_Version_1_0.pdf 
https://www.bsi.bund.de/DE/Themen/StandardsKriterien/Mindeststandards/SSL-TLS-Protokoll/SSL-TLS-Protokoll_node.html

Dieser Mindeststandard referenziert die technische Richtlinie TR-02102-2 und
fordert fĂŒr die Bundesverwaltung den Einsatz von TLS 1.2 mit PFS.

Wir hoffen, Ihnen mit diesen Informationen gute Argumente fĂŒr die StĂ€rkung
der Informationssicherheit in Ihrem Unternehmen geliefert zu haben.

Mit freundlichen GrĂŒĂŸen
das Team Sicherheitsberatung

Also ganz wichtig diese Passage :

Dieser Mindeststandard referenziert die technische Richtlinie TR-02102-2 und fordert fĂŒr die Bundesverwaltung den Einsatz von TLS 1.2 mit PFS.

Mit anderen Worten, ĂŒberspitzt, es darf nur noch TLSv1.2 mit PFS eingesetzt werden, weil 1.0 und 1.1 als gebrochen gelten, alles andere wĂ€re ja fahrlĂ€ssig. Oder liest da jetzt jemand was anderes raus 😉 ? Dazu spĂ€ter noch mehr.

Die Liste

Bevor ich Euch hier die Liste der Domains prĂ€sentiere, muß ich noch mal auf den Kontext hinweisen. Die Liste ist stark gekĂŒrzt und nach bestem Wissen von Fehlern durch EndgerĂ€te bereinigt. Auch könnten SPAMMER im Namen einer Domain Mails geschickt haben, das konnte nicht bereinigt werden. Wer sich auch immer auf dieser Liste wiederfindet, sollte das zum Anlass nehmen, mal seine Mailinfrastruktur zu prĂŒfen.
amazon.de
aol.de
apaed.tu-darmstadt.de
appelmann.de
architekten-stade.de
bistum-dresden-meissen.de
blog.magento-agentur-muenchen.de
bounce.academia-mail.com
bounce.crm.glamour.de
bounce.info.bonprix.de
bounce.kommunikation.wuv.de
bounce.kundenservice.dpv.de
bounce.mailing.adac.de
bounce.mail.verivox.de
bounce.news.ing-diba.de
bounce.newspromo.de
bounce.reedexpo-email.com
bounces.amazon.de
bounces.audible.de
burggymnasium.de
cornelsen.borekmedia.de
deutschepost.de
dgs.de
dhl.de
flyeralarm.de
heidelberger-coaching.de
kundenservice.vodafone.com
lists.tu-darmstadt.de
login.power-nic.de
mail.edeka.de
mail.paypal.de
news.experten.de
news.haendlerbund.de
news.hagebaumarkt.de
news.hamburg-messe.de
news.heide-park.de
newsletter.bund.de
newsletter.sparkasse-koelnbonn.de
newsletter.spkhb.de
nomail.hrz.tu-darmstadt.de
paypal.de
postbank.de
postpay.de
service.de.jura.com
service.hsv.de
service.meine-verbraucherzentrale.de
sternfreunde-braunschweig.de
sw.mail.edeka.de
tigersoft.de
tu-braunschweig.de
uk-koeln.de
unitymedia.de
uni.leuphana.de
wiso.uni-hamburg.de
facebookmail.com
support.facebook.com
mail.paypal.de
paypal.at
paypal.com

Bei diesen Domainnamen handelt es sich um die Domains der Sender, nicht der Mailserver selbst. Beispiel: nomail.hrz.tu-darmstadt.de.

Die RĂŒckmeldungen

Von einigen habe ich natĂŒrlich schon RĂŒckmeldung bekommen. Ohne Namen zu nennen, waren einige lahm, andere ausweichend:

Es steht auch bereits ein neues Mailsystem zur VerfĂŒgung. Aufgrund interner Umstrukturierungen bei *** verzögert sich dessen Verwendung jedoch noch etwas.

WAS ? 10 JAHRE!!!

Nach zehn Jahren kommt es dann auf ein, zwei zusĂ€tzliche Jahre auch nicht mehr an 😉 Was 10 Jahre schon? Ja, laut der Liste bei Wikipedia, erschien TLS1.2 2008 auf der BĂŒhne. Da wir 2018 haben, sind das jetzt sportliche 10 Jahre 🙂

SSL 3.1 bzw. TLS 1.01999
TLS 1.12006
TLS 1.22008

Nein, ich möchte dazu keinen zitierfÀhigen Kommentar abgeben.

Wesentlich besser war diese Antwort:

„...danke fĂŒr den Hinweis. Da war das letzte Software Update weniger schlau als wir dachten 😐
Unsere 3 Server sollten jetzt mit der korrekten TLS Version senden.“ (Rechtschreibfehler behoben)

PayPal hat sich jedes Kommentars verweigert. Da PayPal auch Finanzinformationen per Mail verschicken könnte, wurde die BaFin eingeschaltet. Tja, ich war ja schon froh, daß nicht wieder die Polizei oder ein Bundesland .. ups.. glatt ĂŒbersehen :

landkreis-helmstedt.de

Ich habe natĂŒrlich mit dem zustĂ€ndigen Herrn telefoniert und er hat sofort verstanden worum es ging und wird es umgehend beheben. DafĂŒr Daumen rauf ! Das war bislang der produktivste Kontakt aller kontaktierten ProblemfĂ€lle.

Das CERT-BUND, auch betreut vom BSI, hat geschrieben:

vielen Dank fĂŒr den Hinweis auf die TLS 1.0 Verwendung beim Newsletter-Versand ĂŒber "newsletter.bund.de". Der IT-Dienstleister prĂŒft, ob kurzfristig eine Umstellung auf TLS 1.2 möglich ist.

Mittelfristig ist geplant, dass der Newsletter-Versand ĂŒber "mx.bund.de" erfolgt.

Mit freundlichen GrĂŒĂŸen
das Team CERT-Bund

geht doch 😀

Eine gĂ€ngige Antwort war: „Schicken Sie mir das per EMail“ oder „Was erwarten Sie jetzt von mir?“ . Letzterer Satz kommt mir so bekannt vor ;D

Die Krönung

Aber wollt Ihr wissen, wer wirklich den Vogel abgeschossen hat ? Das war das BSI selbst 😀

2018-02-19 13:13:17 1enkJl-0007Vh-Ox <= sicherheitsberatung@bsi.bund.de H=m2-bn.bund.de [77.87.228.74] P=esmtps X=TLSv1:ECDHE-RSA-AES256-SHA:256 CV=no S=4513

Ich hatte ein zitierfĂ€higes Statement fĂŒrs Blog angefordert, aber zur Zeit schweigt sich das BSI aus 🙂

Wer wissen will, was der Bund so alles ĂŒber unsichere Mailverbindungen rausschickt :

2018-02-14 15:07:11 1elxiH-0003H1-Bi <= buerger-cert-newsletter_pgp@newsletter.bund.de H=newsletter.bund.de [77.87.229.56] P=esmtps X=TLSv1:DHE-RSA-AES256-SHA:256 CV=no S=12118
2018-02-14 15:22:28 1elxx4-0008OP-2j <= buerger-cert-newsletter@newsletter.bund.de H=newsletter.bund.de [77.87.229.56] P=esmtps X=TLSv1:DHE-RSA-AES256-SHA:256 CV=no S=5631
2018-02-16 13:27:45 1emf79-0005ne-Hd <= BGH-Pressemitteilungen@newsletter.bund.de H=newsletter.bund.de [77.87.229.56] P=esmtps X=TLSv1:DHE-RSA-AES256-SHA:256 CV=no S=4497

Und so muß das eigentlich immer aussehen :

2018-02-19 13:18:37 1enkOw-0008B0-OH <= bugzilla@redhat.com H=mx1-phx2.redhat.com [209.132.183.26] P=esmtps X=TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256 CV=no S=3920

Der Kommentar

Ich glaube ja jetzt nicht, daß ĂŒber die Newsletter vertrauliche Kommunikation lĂ€uft, aber gerade noch empfiehlt das BSI dem Bund nur TLSv1.2 einzusetzen und dann patzt der eigene BULK-Mailserver bei genau diesem Thema, das geht doch nicht Leute. Ihr habt eine Vorbildfunktion. Wenn Ihr das falsch macht, wer soll den Leuten das sonst zeigen?

Immerhin reagierte das BSI beim letzten mal binnen 24h auf das Problem, noch ist Zeit das zu unterbieten 😉 Aber es wird knapp …. und verloren .. Zeit ist um 😀 Die Stellungnahme hat zu lange gedauert (s.o.) .

Empfohlene Tools

Es gibt eine nette Seite, die fĂŒr einen den TLS Check macht :

https://www.checktls.com/perl/live/TestReceiver.pl

Eine Beispielausgabe fĂŒr Bloggt-in-braunschweig.de habe ich hier mal fĂŒr euch:

Trying TLS on s120.resellerdesktop.de[83.246.80.133] (10):

secondstest stage and result
[000.100]Connected to server
[000.206]<–220 localhost.localdomain ESMTP Exim 4.89 Tue, 20 Feb 2018 10:55:04 +0100
[000.207]We are allowed to connect
[000.207] –>EHLO checktls.com
[000.307]<–250-localhost.localdomain Hello www6.checktls.com [159.89.187.50]
250-SIZE 52428800
250-8BITMIME
250-PIPELINING
250-AUTH PLAIN LOGIN
250-CHUNKING
250-STARTTLS
250 HELP
[000.307]We can use this server
[000.308]TLS is an option on this server
[000.308] –>STARTTLS
[000.411]<–220 TLS go ahead
[000.411]STARTTLS command works on this server
[000.656]Connection converted to SSL
SSLVersion in use: TLSv1_2
Cipher in use: ECDHE-RSA-AES128-GCM-SHA256
Certificate 1 of 3 in chain: Cert VALIDATED: ok
Cert Hostname VERIFIED (s120.resellerdesktop.de = s120.resellerdesktop.de | DNS:pma.s120.resellerdesktop.de | DNS:s120.resellerdesktop.de | DNS:webmail.s120.resellerdesktop.de | DNS:www.s120.resellerdesktop.de)
cert not revoked by CRL
cert not revoked by OCSP
serialNumber=03:be:8f:cc:06:04:d3:6c:18:2a:45:87:b2:11:be:b4:dc:22
subject= /CN=s120.resellerdesktop.de
issuer= /C=US/O=Let’s Encrypt/CN=Let’s Encrypt Authority X3
Certificate 2 of 3 in chain: Cert VALIDATED: ok
cert not revoked by CRL
cert not revoked by OCSP
serialNumber=0a:01:41:42:00:00:01:53:85:73:6a:0b:85:ec:a7:08
subject= /C=US/O=Let’s Encrypt/CN=Let’s Encrypt Authority X3
issuer= /O=Digital Signature Trust Co./CN=DST Root CA X3
Certificate 3 of 3 in chain: Cert VALIDATED: ok
serialNumber=44:af:b0:80:d6:a3:27:ba:89:30:39:86:2e:f8:40:6b
subject= /O=Digital Signature Trust Co./CN=DST Root CA X3
issuer= /O=Digital Signature Trust Co./CN=DST Root CA X3
[001.048] ~~>EHLO checktls.com
[001.148]<~~250-localhost.localdomain Hello www6.checktls.com [159.89.187.50]
250-SIZE 52428800
250-8BITMIME
250-PIPELINING
250-AUTH PLAIN LOGIN
250-CHUNKING
250 HELP
[001.148]TLS successfully started on this server
[001.149] ~~>MAIL FROM:
[001.249]<~~250 OK
[001.249]Sender is OK
Hier war eine TEST EMAILADRESSE von uns drin.
[001.350]Note: This does not affect the CheckTLS Confidence Factor
[001.351] ~~>QUIT
[001.452]<~~221 localhost.localdomain closing connection

So (oben) muß das aussehen, aber auf keinen fall so (unten) :

secondstest stage and result
[000.117]Connected to server
[000.720]<–220 mailer.faller.de ESMTP mailgw ready.
[000.720]We are allowed to connect
[000.721] –>EHLO checktls.com
[000.830]<–250-mailer.faller.de checktls.com [www6.checktls.com] pleased to meet you.
250 DSN
[000.831]We can use this server
[000.831]TLS is not an option on this server
[000.831] –>MAIL FROM:
[000.955]<–250 OK
[000.955]Sender is OK
[000.956] –>RCPT TO:
[001.088]<–450 Temporary denied.
[001.089]Cannot proof email address (reason: RCPT TO rejected)
[001.089]Note: This does not affect the CheckTLS Confidence Factor
[001.089] –>QUIT
[001.204]<–221 Closing connection.

In dem Sinne, checkt mal Eure Mailserver, ob die TLSv1.2 können und wenn nicht, warum!

Wer Fragen zu seiner Domain hat (bitte von der Domain senden) kann diese an „marius Ă€d bloggt-in-braunschweig.de“ stellen, wir suchen gerne raus, was genau im Log steht. Dies Angebot kann aufgrund der entsprechenden Vorschriften nur eine begrenzte Zeit aufrecht gehalten werden.

Ach ja, im Rahmen der Krypto-Party der BS-LUG am 21. 2. 2018 um 18 Uhr im Haus der Talente, Braunschweig. sprechen wir mal drĂŒber 😉

Diese Woche im Netz

Clever: GeneralschlĂŒssel in AVM’s Kabelsmodems „vergessen“.

Quelle: Golem.de

Viele IT-Sicherheitslösung liefern keine Lösungen und sind komplett ĂŒberflĂŒĂŸig. Ein IT Insider packt aus..

Quelle: Golem.de

Facebook erklĂ€rt Millionen fĂŒr tod 🙂

Quelle: TheHackerNews

Wird es neue Netzwerkkabelstecker geben ?

Quelle: Golem.de

Lepraerreger bei Eichhörnchen gefunden.

Quelle: Bild der Wissenschaft

Alles was Android ist, kann mit DirtyCow gerooted werden.

Quelle: Golem.de

20% der Wahltweets im US-Wahlkampf sollen von Meinungsbildungsbots gekommen sein.

Quelle: Spektrum.de

Ein bericht ĂŒber EMail.Überwachung in Deutschland.

Quelle: Golem.de

Taucher entdecken eine 1950 abgeworfene Atombombe der US-Armee.

Quelle: Focus.de

Neues TCP Protokoll sollauch gleich verschlĂŒsseln.

Quelle: Golem.de

 

deutsche Facebookfreunde kosten am wenigsten

Sie haben sich doch bestimmt immer schon mal gefragt, warum einige Unternehmen auf Facebook soviele Fans haben, ohne daß das Unternehmen irgendwas sinnvolles herstellt, oder megacool ist.

Die Antwort auf diese Frage ist eigentlich ganz einfach: Die Fans sind gekauft.

Wenn Sie jetzt noch wissen wollen, was der Spaß so kostet, hier eine aktuelle Liste:

AnzahlPreis
10000 Österreicher Fans€ 499,98
10000 Schweizer Fans€ 499,98
10000 Fans DE/EU/US€ 99,98
10000 Deutsche Fans€ 319,98
1000 Schweizer Fans€ 99,98
1000 Österreicher Fans€ 99,98
1000 Deutsche Fans€ 59,98
1000 Fans DE/EU/US€ 14,98

Wie Sie der Liste entnehmen können, sind deutsche Facebook Fans echte Billigware. Wenn Sie rausbekommen haben wieso, können Sie die Auflösung gern als Kommentar mitteilen 🙂 Ist ĂŒbrigens eine deutsche „Firma“ die diese Dienstleistung anbietet.