d4shoernchen
Goto Top

Account für SPAM missbraucht, Tipps parat?

Guten Morgen,

ein Kollege von mir hat momentan ein paar Probleme mit seinem T-Online Mail Account. Über diesen wird massig SPAM verschickt, an alle bekannten Adressen aus dem Mailpostfach.

Er hatte sein Passwort schon geändert, allerdings macht er immer noch weiter.

Im Mailheader ist folgendes zu finden
Return-Path: <xxx@t-online.de>
Received: (qmail 22558 invoked from network); 16 Aug 2015 23:11:16 +0200
Received: from dsl-189-236-37-48-dyn.prod-infinitum.com.mx (HELO
WORLDST-UQ3K9Q0) (189.236.37.48)
by webserver.oddesigns.nl with ESMTPSA (DHE-RSA-AES256-GCM-SHA384
encrypted, authenticated); 16 Aug 2015 23:11:15 +0200
From: <xxxx@t-online.de>
To: xxxx

Subject: Fw: try it out
Date: Sun, 16 Aug 2015 23:02:02 +0200
Message-ID: <29a4e0793a19d0aa.b3318b2ed09295@t-online.de>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_7a88_1cc5_619a"  
X-Mailer: Microsoft Outlook 15.0
Thread-Index: AdDgSf8yKpLbvM0H8PgVlzk5SCszpg==
Content-Language: en-us
X-PPP-Message-ID: <20150816211116.22556.36198@webserver.oddesigns.nl>
X-PPP-Vhost: mgsalarisverwerking.nl

This is a multipart message in MIME format.

------=_NextPart_000_7a88_1cc5_619a
Content-Type: text/plain;
charset="us-ascii"  
Content-Transfer-Encoding: 7bit

Wenn ich die dsl-189-236-37-48-dyn.prod-infinitum.com.mx anpinge, bekomme ich eine IP-Adresse der Telekom (lt. RIPE).

Es handelt sich immer um die gleiche E-Mail die verschickt wird, die Leute der Telekom konnten ihm nicht helfen. Leider ist es auch nicht nur Missbrauch der Absender-Adresse, da die Mails grundsätzlich an dessen Verteiler oder bekannte Empfänger gingen.

Eventuell habt ihr noch Tipps o. Ä.

Vielen Dank

Gruß
Toni

Content-ID: 280474

Url: https://administrator.de/contentid/280474

Ausgedruckt am: 08.11.2024 um 07:11 Uhr

kontext
kontext 18.08.2015 um 08:00:45 Uhr
Goto Top
Guten Morgen @d4shoerncheN,

wie sieht es mit den Endgeräten aus?
Sind die alle sauber bzw. schon überprüft worden?

Üblichen verdächtigen:
Malwarebytes
Sypbot
etc.

Anschließend nochmals Kennwort ändern und finger überkreuzen. face-smile

Gruß
@kontext
d4shoerncheN
d4shoerncheN 18.08.2015 aktualisiert um 08:03:04 Uhr
Goto Top
Moin kontext,

hat er alles geprüft. Er benutzt drei Geräte (Notebook, Smartphone, Tablet). Alle wurden gescannt.
Gestern Abend habe ich noch die Kaspersky Rescue Disk 10 über das Notebook gejagt, was dabei genau rum kam, erfahre ich heute Abend.

Gruß
Toni
wiesi200
wiesi200 18.08.2015, aktualisiert am 24.08.2015 um 10:14:38 Uhr
Goto Top
Hallo,

gestern hat ein Kollege sich über genau das selbe Problem bei mir erkundigt.
T-Online Postfach, Private Empfängerlisten, alles überprüft usw.

sogar

HELO WORLDST-****

stimmt überein.
ypstech
ypstech 18.08.2015 um 08:28:21 Uhr
Goto Top
Hallo d4shoerncheN

wenn die einmal alle Kontakte haben ists natürlich schwierig die Geschichte einzudämmen. Selbst wenn sie nicht mehr auf den TOnline- Account können könnten sie theoretisch über einen offenen Mailserver ohne Authentif. senden...
d4shoerncheN
d4shoerncheN 18.08.2015 aktualisiert um 11:41:14 Uhr
Goto Top
Moin,

habe gerade einen weiteren Mailheader bekommen. Vllt. finden wir dort noch Anhaltspunkte
Delivered-To: yyy@gmail.com
Received: by 10.114.174.47 with SMTP id bp15csp1035558ldc; Thu, 13 Aug 2015
 13:50:26 -0700 (PDT)
X-Received: by 10.112.87.69 with SMTP id v5mr20794414lbz.12.1439499026264;
 Thu, 13 Aug 2015 13:50:26 -0700 (PDT)
Return-Path: <xxx@t-online.de>
Received: from mail-in-03.arcor-online.net (mail-in-03.arcor-online.net.
 [151.189.21.43]) by mx.google.com with ESMTPS id
 vt7si6071644wjc.174.2015.08.13.13.50.25 (version=TLSv1
 cipher=ECDHE-RSA-RC4-SHA bits=128/128); Thu, 13 Aug 2015 13:50:26 -0700 (PDT)
Received-SPF: neutral (google.com: 151.189.21.43 is neither permitted nor
 denied by best guess record for domain of xxx@t-online.de)
 client-ip=151.189.21.43;
Authentication-Results: mx.google.com; spf=neutral (google.com: 151.189.21.43
 is neither permitted nor denied by best guess record for domain of
 xxx@t-online.de) smtp.mailfrom=xxx@t-online.de
Received: from mail-in-15-z2.arcor-online.net (mail-in-15-z2.arcor-online.net
 [151.189.8.32]) by mx.arcor.de (Postfix) with ESMTP id 3msg5Y15q8zFnVm; Thu,
 13 Aug 2015 22:50:25 +0200 (CEST)
Received: from mail-in-01.arcor-online.net (mail-in-01.arcor-online.net
 [151.189.21.41]) by mail-in-15-z2.arcor-online.net (Postfix) with ESMTP id
 17C3E33EC8F; Thu, 13 Aug 2015 22:50:25 +0200 (CEST)
X-Greylist: Passed host: 189.249.26.95
X-DKIM: Sendmail DKIM Filter v2.8.2 mail-in-01.arcor-online.net
 3msg4X6P5FzFQb9
X-Greylist: Passed host: 189.249.26.95
X-Greylist: Passed host: 189.249.26.95
X-Greylist: Passed host: 189.249.26.95
X-Greylist: Passed host: 189.249.26.95
X-Greylist: Passed host: 189.249.26.95
X-Greylist: Passed host: 189.249.26.95
X-Greylist: Passed host: 189.249.26.95
X-Greylist: Passed host: 189.249.26.95
X-Greylist: Passed host: 189.249.26.95
X-Greylist: Passed host: 189.249.26.95
X-Greylist: Passed host: 189.249.26.95
X-Greylist: Passed host: 189.249.26.95
X-Greylist: Passed host: 189.249.26.95
X-Greylist: Passed host: 189.249.26.95
X-Greylist: Passed host: 189.249.26.95
X-Greylist: Passed host: 189.249.26.95
X-Greylist: Passed host: 189.249.26.95
X-Greylist: Passed host: 189.249.26.95
X-Greylist: Passed host: 189.249.26.95
X-Greylist: Passed host: 189.249.26.95
Received: from WORLDST-UQ3K9Q0 (unknown [189.249.26.95]) (Authenticated
 sender: dobs01@arcor.de) by mail-in-01.arcor-online.net (Postfix) with
 ESMTPSA id 3msg4X6P5FzFQb9; Thu, 13 Aug 2015 22:49:32 +0200 (CEST)
From: <xxx@t-online.de>
To: ----
Subject: Fw: try it out
Date: Thu, 13 Aug 2015 22:49:06 +0200
Message-ID: <a208d4f117316824.7d3832a1b4f79f49@t-online.de>
MIME-Version: 1.0
Content-Type: multipart/alternative;
 boundary="----=_NextPart_000_0e23_9e48_eb61"  
X-Mailer: Microsoft Outlook 15.0
Thread-Index: AdDc7GzBO8IjmGde8a37z7Ej2Y23aQ==
Content-Language: en-us
yyy ist der bekannte Empfänger und xxx mein Kollege.

Die IP "189.249.26.95" ist eine die ich gestern aus den Mailheader ersehen konnte, mittlerweile ist sie auf der Blacklist.

Gruß
Toni
wiesi200
wiesi200 18.08.2015 um 08:56:28 Uhr
Goto Top
Sorry das ist aber schon ein sehr merkwürdiger Satz
Die IP "189.249.26.95" ist eine die ich gestern aus den Mailheader ersehen konnte, mittlerweile ist sie auf der Greylist.

Du dir ist schon klar was Graylisting macht?
tomolpi
tomolpi 18.08.2015 um 09:41:07 Uhr
Goto Top
Zitat von @wiesi200:

Sorry das ist aber schon ein sehr merkwürdiger Satz
> Die IP "189.249.26.95" ist eine die ich gestern aus den Mailheader ersehen konnte, mittlerweile ist sie auf der
Greylist.

Du dir ist schon klar was Graylisting macht?

Jetzt: https://de.wikipedia.org/wiki/Greylisting sollte er´s wissen face-big-smile

tomolpi
MOS6581
MOS6581 18.08.2015 um 10:14:20 Uhr
Goto Top
Wurden _alle_ Passwörter geändert? Mit alle meine ich das persönliche Kennwort, das Passwort für den Webmailer und das Kennwort für den POP3/IMAP-Abruf.

Gruß,
MOS6581
d4shoerncheN
d4shoerncheN 18.08.2015 aktualisiert um 11:43:42 Uhr
Goto Top
Zitat von @wiesi200:

Sorry das ist aber schon ein sehr merkwürdiger Satz
> Die IP "189.249.26.95" ist eine die ich gestern aus den Mailheader ersehen konnte, mittlerweile ist sie auf der
Greylist.

Du dir ist schon klar was Graylisting macht?
Sorry, ja ist mir klar. Ich meinte eigentlich auch Blacklist.


Zitat von @MOS6581:

Wurden _alle_ Passwörter geändert? Mit alle meine ich das persönliche Kennwort, das Passwort für den Webmailer
und das Kennwort für den POP3/IMAP-Abruf.

Gruß,
MOS6581
Ja. Wir werden das Ganze heute Abend noch einmal durchführen, diesmal von meinem Notebook aus.
marl1329
marl1329 18.08.2015 um 13:28:44 Uhr
Goto Top
Hallo,
bei meiner Tochter ist es das Gleiche, aber kein T-Com - Account.
Ich kämpfe seit 14.08 mit dem Problem und habe immer noch keine Ahnung
wie die Mailadressen abgegriffen wurden.

Bisher bekannt ist:
- die Mails werden nicht über das Konto sondern über offene Mailserver in
Malaysia, der Türkei, oder auf den Philippinen versendet.
- Die Mails werden immer Nachts um ca 01:00 versendet
- Alle Mails habe HELO WORLDST-UQ3K9Q0
- Virenscanner und die üblichen Tools Malwarebytes... finden nichts


Da ich momentan noch absolut im Trüben fische, wie der Angriff stattgefunden
hat, wäre mein Vorschlag, die Systemumgebungen abzugleichen.
Vielleicht finden sich hier ja Gemeinsamkeiten.

Systemumgebung zum Zeitpunkt des Angriffes bei meiner Tochter:
- Windows 10 Pro - alle aktuellen Updates installiert.
- Avast Virenscanner
- Firefox 39.0
- IOS 8.4 (iPhone 6)

Interessant fande ich die Tatsache, dass Apple ziemlich Zeitgleich ein Update auf 8.4.1 geliefert hat.

Gruß
Marl1329
Micha56
Micha56 18.08.2015 um 13:40:17 Uhr
Goto Top
Selbes Problem seit dem 16.08. T-Com Account

Windows 7
Antivir
Firefox 39.03
Sony Xperia

Vielleicht noch interessant: Ich war bis gestern im Urlaub. Habe nur das Smarphone und hier exchange benutzt

Interessant ist vielleicht noch, dass nicht nur Adressen aus dem Adressbuch benutzt werden, sondern offensichtlich alle Mailadressen aus eingegangenen Mails benutzt werden...
d4shoerncheN
d4shoerncheN 18.08.2015 um 13:50:28 Uhr
Goto Top
Moin,
Zitat von @marl1329:

Da ich momentan noch absolut im Trüben fische, wie der Angriff stattgefunden
hat, wäre mein Vorschlag, die Systemumgebungen abzugleichen.
Vielleicht finden sich hier ja Gemeinsamkeiten.

Systemumgebung zum Zeitpunkt des Angriffes bei meiner Tochter:
- Windows 10 Pro - alle aktuellen Updates installiert.
- Avast Virenscanner
- Firefox 39.0
- IOS 8.4 (iPhone 6)

Interessant fande ich die Tatsache, dass Apple ziemlich Zeitgleich ein Update auf 8.4.1 geliefert hat.

Gruß
Marl1329
ich kenne sein System leider nicht komplett aus dem Kopf, aber ungefähr so:
- Windows 7 Pro.
- BitDefender Premium Suite
- Sony Z3
- Samsung Tab 4


Zitat von @Micha56:

Selbes Problem seit dem 16.08. T-Com Account

Windows 7
Antivir
Firefox 39.03
Sony Xperia

Vielleicht noch interessant: Ich war bis gestern im Urlaub. Habe nur das Smarphone und hier exchange benutzt

Interessant ist vielleicht noch, dass nicht nur Adressen aus dem Adressbuch benutzt werden, sondern offensichtlich alle
Mailadressen aus eingegangenen Mails benutzt werden...
das kann ich bestätigen. Da viele Mails z. B. auch an die "bestellbestaetigung@amazon.de" gegangen sind.

Gruß
Toni
marl1329
marl1329 18.08.2015 um 14:49:30 Uhr
Goto Top
Zitat von @d4shoerncheN:
das kann ich bestätigen. Da viele Mails z. B. auch an die "bestellbestaetigung@amazon.de" gegangen sind.

Gruß
Toni
dito.
Mailadressen aus Kontakten von denen keine Mails vorhanden waren, waren bisher nicht betroffen.
Nur Adressen, die als Sender oder Empfänger in eMails vorgekommen sind.
Da manche Leute immer noch die kompletten Verteiler in die To kopieren, erhält man damit
eine schöne Sammlung an Mailadressen.

Gruß
Marl1329
Dilbert-MD
Dilbert-MD 18.08.2015 um 15:00:53 Uhr
Goto Top
Zitat von @Micha56:
Windows 7
Antivir
Firefox 39.03
Sony Xperia

Vielleicht noch interessant: Ich war bis gestern im Urlaub. Habe nur das Smarphone und hier exchange benutzt

Interessant ist vielleicht noch, dass nicht nur Adressen aus dem Adressbuch benutzt werden, sondern offensichtlich alle
Mailadressen aus eingegangenen Mails benutzt werden...

Nutzt Du ein Mail-Programm / eine Mail-App ?
Wurden Adressen aus dem 'lokalen' Adressbuch (Sony-Gerät) oder wurden auch Mailadressen aus dem online gespeicherten Adressbuch (unter email.t-onnline.de) verwendet?

Dass der Missbrauch diese Woche losging sagt ja noch nicht, wann die Adressen abgefisch wurden.

Vor einiger Zeit gab es mal eine ähnlich Attacke bei GMX. Dort wurden Mails an Empfänger aus der Kontaktlist, die online gespeichert ist, gesendet. Hat man daran gemerkt, dass Mails an ungültige (weil uralte) Adressen zurückkamen. Es wurden aber keine Mails an Kontakte gesendet, die im lokalen Adressbuch (z.B. iPad) gespeichert waren. Diese versendeten Mails wurden auch nicht in 'Gesendet' gespeichert.

Um herauszufinden, wann die Adressen abgefischt wurden, müsste man wissen an wen alles Mails gegangen sind und ob in letzter Zeit neue Kontakte hinzugekommen sind, an die keine Mails gingen.

Gruß
Holger
marl1329
marl1329 18.08.2015 um 15:22:16 Uhr
Goto Top
Zitat von @Dilbert-MD:
Vor einiger Zeit gab es mal eine ähnlich Attacke bei GMX. Dort wurden Mails an Empfänger aus der Kontaktlist, die online
gespeichert ist, gesendet. Hat man daran gemerkt, dass Mails an ungültige (weil uralte) Adressen zurückkamen. Es wurden
aber keine Mails an Kontakte gesendet, die im lokalen Adressbuch (z.B. iPad) gespeichert waren. Diese versendeten Mails wurden

Anscheinend gab es da wieder was:

Bei den E-Mail-Anbietern 1&1, Gmx und Web.de klaffte bis vor wenigen Tagen eine Sicherheitslücke, über die Angreifer unter bestimmten Umständen Zugriff auf fremde Konten bekommen konnten.
(Quelle: Heise Online )
Wobei die hier genannte Lücke bei mir nicht die Ursache sein kann.


Die sollten vielleicht mal mehr Geld in ihre eigene Sicherheit als in blöde TV-Spots investieren.

Gruß
Marl1329
Micha56
Micha56 18.08.2015 um 16:40:38 Uhr
Goto Top
Ich nutze T-Online auf dem T-Online-Server (incl. Adressbuch) und habe die Mails über Exchange auf dem Smartphone prinzipiell genauso verfügbar wie auf dem Server. Allerdings habe ich sie dort nicht ganz so lange im Zugriff..
DLRG-Web-PB
DLRG-Web-PB 18.08.2015 aktualisiert um 18:41:05 Uhr
Goto Top
Hallo zusammen,

hat schon jm. eine Lösung irgendwo gefunden?

Denn ich habe das Problem, dass unsere Vereinsadressen sich gegenseitig ständig solche Mails zusenden und diese Mails auch versuchen über Mailverteiler (bis zu 300 Adressen) zu verschicken. Bis jetzt konnte ich die noch verhindern - wie lange ist die Frage...

Gruß und danke schon einmal face-wink
ayngush
ayngush 18.08.2015 aktualisiert um 20:29:14 Uhr
Goto Top
Hallo,

ich melde mich hier mal in meiner Freizeit dienstlich, da mir dieses Problem keine Ruhe bereitet.

Es hat leider einen Vertriebspartner von uns am Sonntag (das erste Mal) erwischt bzw. seine Mailadresse (von T-Online) wird verwendet um Kunden, Geschäftspartner, Bekannte etc. anzuschreiben. Das ist auch am Montag und heute aufgetreten, wobei der Betreff der Mails heute auf "Fw: important" anstatt "Fw: try it out" gewechselt hat.

Im Header und mit ein wenig Recherche im Netz ist mir folgendes aufgefallen: "WORLDST-UQ3K9Q0" ist immer das erste HELO, im Eingangspost dieses Threads ja auch, und verwendet mehrere offizielle, vertrauenswürdige SMTP-Server um sich dort mit korrekten Anmeldedaten anzumelden und die Spam-Mail von dort auf dem Weg zu schicken. Dabei wird dann jedoch der Absender (nicht nur der Anzeigename, sondern die eigentliche Absenderadresse), gefälscht, also es wird zum Beispiel ein Arcor-Account (Freenet, etcpp.) verwendet um sich am Arcor-SMTP-Server anzumelden, dann jedoch Mails mit der besagten T-Online-Adresse von dort aus versendet. Die T-Online-Adresse und die entsprechenden Empfänger der Mails stehen jedoch alle in einer Beziehung miteinander, es sind alles Adressen aus E-Mailobjekten, die diese T-Online-Adresse einmal legitim erreicht haben. Auch bereits seit Jahren veraltete Adressen aber offenbar gab es wohl noch so alte Mails auf dem Account (IMAP sei dank...)

Im obigen Beispiel ist ja auch im Header zu erkennen, dass der zuerst einliefernde User ordentlich authentifiziert war:

Received: from dsl-189-236-37-48-dyn.prod-infinitum.com.mx (HELO WORLDST-UQ3K9Q0) (189.236.37.48) by webserver.oddesigns.nl with ESMTPSA (DHE-RSA-AES256-GCM-SHA384 encrypted, authenticated); 16 Aug 2015 23:11:15 +0200

Davon habe ich in meiner Sammlung auch ein paar aber mit etwas deutlicheren Angaben im Header :

Received: from WORLDST-UQ3K9Q0 (cpe-77.38.53.102.cable.t-1.si [77.38.53.102]) (Authenticated sender: fxxxx.crxxxx@arcor.de) by mail-in-13.arcor-online.net (Postfix) with ESMTPSA id 3mvnHx1ZGTz32FZ; Mon, 17 Aug 2015 09:36:45 +0200 (CEST)

Received: from [83.162.214.112] (port=50363 helo=WORLDST-UQ3K9Q0) by mx11.freenet.de with esmtpsa (ID frank.oxxxx@freenet.de) (TLSv1.2:DHE-RSA-AES256-GCM-SHA384:256) (port 465) (Exim 4.85 #1) id 1ZQneE-00042W-Ly; Sun, 16 Aug 2015 04:26:10 +0200

Jedoch jede dieser Mails hatte als Absender diese eine T-Online-Adresse unseres Vertriebspartners und einen "Verteiler", der ihm zuzuordnen ist. Als Absendername stand dann immer eine wahllos aus der Verteilerliste ausgewählte Person oder Organisation. Und zwar ohne Umlaute / Sonderzeichen und genau so, wie sie in einer alten Mail dargestellt wurden, also nicht so, wie sie zum Beispiel im Exchange Adressbuch unserer Organisation gepflegt sind. Sieht man immer ganz gut an den Damen und Herren, die zwischenzeitlich mal ihren Namen zwecks Heirat zum Beispiel geändert haben und das Vorname Name genutzt wird, nicht Name, Vorname etc.

Es sind aus meiner Sicht also drei Fragen zu klären:
Woher stammen diese überaus exakten Verteiler (und wie kann man das verhindern, dass das weiter um sich greift), aus welchem "Hack" (und wie durchgeführt / wem muss man ansprechen, damit endlich diese zum Spammen legitimen Accounts ihr Passwort geändert bekommen, zur Not seitens der Provider...) stammen die zum Spam genutzten Mailaccounts und in welcher Verbindung steht das überhaupt alles zueinander?

Unser Partner verwendet ein iOS 8.4.1 iPhone und einen Windows 7 Rechner mit Outlook im Büro um auf den T-Online-Account zuzugreifen. Der Rechner ist mit einen aktuellen Antivirenschutz ausgestattet. Trojaner oder ähnliches vermute ich eher nicht, (auch wenn ich kein Scanergebnis kenne, da der Rechner nicht in meinen Dunstkreis fällt). Für mich sieht das momentan eher so aus, als hätten einige große Provider massive Probleme mit einen Hack, eventuell bringen die nächsten Tage etwas Klarheit in diese überaus ärgerliche Angelegenheit. Diese "spammenden" E-Mail-Adressen kann man jedoch "danach" so gut wie vergessen, da sie wohl in vielen manuellen Blacklists / Löschfiltern landen wird, da dieser Spam sehr effizient (da authentifiziert usw.) die Spamfilter umgeht. Einzig gemeinsames Merkmal ist aktuell der HELO "WORLDST-UQ3K9Q0" - danach lässt sich momentan auch gut "googlen".

Schöne Grüße
d4shoerncheN
d4shoerncheN 19.08.2015 um 07:43:24 Uhr
Goto Top
Guten Morgen,

vielen Dank für die ausführliche Nachricht.

Den geänderten Betreff kann ich bestätigen, mein Bekannter bekam gestern wieder E-Mail mit gleichen Betreff "Fw: important". Mittlerweile hat sich auch die Telekom dazugeschaltet, welche anfangs jegliche "Schuld" von sich wies. Mittlerweile sehen Sie ein, dass dort komische Dinge passieren - aber es ist nach wie vor unklar wie die Angreifer an die Adressdaten kamen / kommen.

Ob der Bericht von Heise etc. was damit zu tun hat, weiß ich nicht. Da ist die Sprache von Web, GMX und 1&1 - aber vielleicht ist es der Telekom noch nicht aufgefallen. Fakt ist, der Datenabgriff ist innerhalb der letzten 4 Wochen passiert. Mein Bekannter hatte zum ersten Mal bei einem bestimmten Shop bestellt und auch dieser war in dem Verteiler, daher können wir das Ganze ein wenig eingrenzen.

Gruß
Toni
madbyte
madbyte 19.08.2015 um 08:02:49 Uhr
Goto Top
Guten Morgen,

ich habe das gleiche Problem. Seit dem 15.08. ca. 2:00 bekomme ich regelmäßig Bounce-mails (Rückmeldungen das Emails nicht zugestellt werden können, weil Spam, weil Postfach nicht mehr verfügbar) Am 18.08. kammen dann die ersten Beschwerden von meinen Freunden und Bekannten. Einer hat mir die Mail, die ich angeblich verschickt habe, weitergeleitet. Betreff war erst "Fw: try it out" jetzt ist er auf "Fw: important" geändert. Die Email enthalten immer wieder unterschiedliche Links.
Aktuell lösche ich ca. 1000 Bonce Mails pro Tag und habe auch Sorge das ich versehentlich was wichtiges weghaue.

Erst habe ich meine Passwörter geändert und meinen Rechner nach Viren oder Trojanern durchsucht -> ohne Ergebniss.

Dann habe ich meinen Anbieter kontaktiert. Er sagte das Problem ist in der Branche bekannt es laufen aktuell mehrerer MILLIONEN JoeJobs.
Wie meine Kontakte durchgesikert sind ist dem Anbieter allerdings ein Rätsel.

Meine Umgebung:

Anbieter: one.com
Rechner: macbook pro 2013
Betreibsystem: OS X Yosemite
Mail Client: Apple Mail


Hoffentlich wird dieses Spammer Arschl bald erwischt.

Gruß

Jörg
Lorelana
Lorelana 19.08.2015 um 11:36:38 Uhr
Goto Top
Hallo,

über die Telekom habe ich ein paar Infos erhalten.
Die Infos stammen wohl aus gehackten mailservern aus dem Ausland, das eigentliche T-online Konto ist nicht betroffen, deshalb bringt PW Änderung nichts. Es wird nur im Namen des Betreffenden geschrieben, aber nicht vom Konto. (ihr wisst wie ich mein?)
Lösungmöglichkeit aktuell ist scheinbar nur Emailadresse ändern und allen Kontakten sagen, sie sollen die alte sperren..... Sie suchen aber mit Hochdruck nach einer anderen Lösung....
madbyte
madbyte 19.08.2015 um 11:58:04 Uhr
Goto Top
Gleiche Antwort habe ich auch von meinem Provider bekommen, wie schon geschrieben handelt es sich um einen JoeJob.
Die Spammer verschicken über einen ausländischen Server Mails mit falschen Absender. Da gegen kann man nichts machen außer hoffen das er es irgenwann sein lässt.

Wichtiger wäre mir die Klärung der Frage wie die Spammer an meine Kontakte gekommen sind. Mein Mailpasswort ist recht lang und sicher, daher kann ich mir nicht erklären wie der Datendiebstahl hier lief. Zudem verwende ich ein Apple MacBook, welches für Viren wessentlich unanfälliger ist als Windows.
martinm01
martinm01 19.08.2015 um 12:14:43 Uhr
Goto Top
habe seit dem wochenende das selbe problem.

email versand von einer meiner t-online adressen an leute die mir zwischen dem 08.07.15 und 14.07.15 eine mail geschrieben haben. komischerweise ist nur ein konto betroffen, wenn der rechner infiziert wäre, wären doch sicherlich alle kontos betroffen!?

letzte woche hatte ich den t-online server leer gemacht (abgerufen und alle gelöscht), der "angriff" muss also vor dem 08.08.15 stattgefunden haben, sonst hätten die täter nicht die adressen vom o.g. zeitraum gehabt.

als passwort habe ich ein sehr sicheres, inkl sonderzeichen etc.

bei adressaten mit umlauten im namen, wurde dieser einfach weg gelassen, also aus dem ausland...

komischerweise bekam ich heute morgen von einem aussendienstmitarbeiter von uns auf meine berufliche mailadresse, ebenfalls den spam der auch von meiner adresse verschickt wird, also ist auch er betroffen.

in diversen foren häufen sich ja die berichte über genau das problem. habe gerade bei der hotline angerufen (nach 42 min wartezeit) wurde mir gesagt das es sicherlich an meinem pc hänge, der mit sicherheit nicht richtig geschützt sei. naja, mit meinen gegenargumenten zu der aussage haben wir uns dann immer im kreis gedreht bis ich es dann aufgegeben habe.

auch wenns jetzt komisch klingt, ich hoffe ja doch das nun immer mehr nutzer die selben probleme haben, damit t-online vielleicht mal wach wird und sich drum kümmert.

deshalb sollte jeder der das selbe problem hat ebenfalls der telekom mitteilen damit sich was bewegt. gibt ja berichte wo täglich über 1000 mails zurückkommen. bei mir sind es zum glück nur maximal 10.
martinm01
martinm01 19.08.2015 um 12:15:56 Uhr
Goto Top
@madbyte
an die Adressen sind die Täter ganz leicht gekommen, die haben einfach die mails vom Server abgerufen und damit hatten sie sie
Micha56
Micha56 19.08.2015 um 12:21:26 Uhr
Goto Top
habe heute morgen meine Mail-Adresse gelöscht und ne andere eingerichtet. Wird das reichen oder muss jeder meine alte Adresse als SPAM aussotieren??
Abyssox
Abyssox 19.08.2015 aktualisiert um 13:49:39 Uhr
Goto Top
Mittlerweile gibt es auf Golem einen Newsbeitrag darüber:
Massenhaft Spam über T-Online-Konten versendet

Aber auch der verrät nicht wo die Spammails herkommen oder wie die Täter an die Daten gekommen sind.
"Wie die Spammer an die Adressbücher gelangt sind, ist bisher unbekannt. Erste Hinweise deuten aber daruf hin, dass die Spammer sich auch Zugang den Adressbückern verschafft haben. Dazu müssten sie jedoch die Login-Daten der Betroffenen haben."

"Bei einem Anruf im Kundencenter der Telekom wurde uns daher geraten, sämtliche Passwörter zu ändern, sollten Spam-E-Mails in unserem Namen versendet worden sein."
Mehr als Passwörter ändern kann man also aktuell nicht machen (ausser zu hoffen, dass niemand auf die Links in den Spammails klickt :D )

Und es sind anscheinend nicht nur t-online Konten betroffen.
"Wie uns die Telekom jedoch bereits mitteilte, sind auch andere Anbieter betroffen"

Gruss
Crazy
bugmenot2
bugmenot2 19.08.2015 um 16:45:02 Uhr
Goto Top
Das Telekom setzt eher auf Ausschweigen.

Das Problem besteht scheinbar schon länger aber eine Reaktion der Telekom erfolgt erst wenn die Presse gross darüber schreibt.

http://www.t-online.de/computer/sicherheit/id_75115714/deutsche-telekom ...

Das Problem ist wohl bei der Telekom schon länger bekannt. Die Tipps sind für den A*
madbyte
madbyte 19.08.2015 um 16:51:43 Uhr
Goto Top
Ich kann jedenfalls bestätigen das nicht nur Telekom betroffen ist, ich bin bei one.com und habe das gleiche Problem.
Habe allerdings seit heute morgen keine Bonce Mails mehr bekommen, vielleicht ist der JoeJob zu Ende.... Hoffentlich...
DorGo12
DorGo12 19.08.2015 aktualisiert um 17:22:20 Uhr
Goto Top
Würde es sich "nur" um einen JoeJob handeln, würde ich mir keine großen Gedanken machen.
Dann hat man nervige Bounce-Mails und landet möglicherweise in SPAM-Filtern, aber das war's dann auch.

Diese Spam-Mails gehen jedoch an Empfängen aus dem eigenem Mail-Account, das heißt, es gab definitiv direkten Zugriff auf das eigene Benutzerkonto.

Und genau da stellt sich die Frage, wie die Daten ausgespäht wurden, da die meisten User, die dieses Problem im Internet diskutieren sowohl Ahnung von IT, als auch ein gut funktionierendes Antiviren-Programm haben (oder man das zumindest hoffen kann). Also liegt die Sache vermutlich bei Seiten des Betreibers oder beim Zugriff auf sein Mail-Konto.

Um nochmal auf den Telekom-Support zurück zu kommen:

Beim ersten Anruf gestern kamen die Standard-Antworten: Aktuelles Virenprogramm, Rechner nochmal absuchen, Passwort ändern...
Heute wurden dann zumindest bereits gesagt, dass das Problem bereits bekannt ist und sich das Abuse-Team darum kümmert und analysiert.
ayngush
ayngush 19.08.2015 um 17:58:43 Uhr
Goto Top
Zitat von @madbyte:

Ich kann jedenfalls bestätigen das nicht nur Telekom betroffen ist, ich bin bei one.com und habe das gleiche Problem.
Habe allerdings seit heute morgen keine Bonce Mails mehr bekommen, vielleicht ist der JoeJob zu Ende.... Hoffentlich...

Auf unseren Sophos UTM Smarthosts waren heute morgen um 6-7 Uhr herum wieder hunderte Mails von der besagten T-Online-Adresse an die Adressen unserer Orga der letzten Tage abgewiesen wurden. Leider sehe ich da keine Headerdaten / Betreffs mehr, da die Sophos durch die manuelle Blacklist auf die T-Online Adresse zwar für Ruhe bei uns in der Firma sorgt aber auch die Verbindung mit 554 bei Einlieferung zuklappt...

Bisslang war es aber auch immer nur eine Welle pro Tag zwischen 4 und 9 Uhr morgens.

Also freu dich schon mal auf morgen Früh :P

Grüße
madbyte
madbyte 20.08.2015 um 08:04:48 Uhr
Goto Top
Tja.... Leider hast du Recht. Bis jetzt schon fast 300 Bonce Mails. Noch mehr als gestern.
Ich entwickel langsam Hass gegen diese Kriminellen. Was bezwecken die damit? Der Dreck wirkt sich sogar schon auf die Akkulaufzeit unserers Smartphones aus.
AndiEoh
AndiEoh 20.08.2015 um 10:09:12 Uhr
Goto Top
Hallo,

das Problem ist klar, die bösen Buben haben die zu einer (T-Online) Adresse passenden E-Mail Adressen der Bekannten und Freunde. Dies kann durch Zugriff bei der Telekom oder ganz einfach durch einen gezielt dazu eingesetzten Trojaner geschehen sein. In der Regel ist der Zugriff auch schon eine Weile her, da solche Aktionen möglichst über einen längeren Zeitraum geheim gehalten werden bis man genug Adressen beisammen hat.
Gibt es hier irgend jemand der seine T-Online Kontakte *mit Sicherheit* nur bei der Telekom liegen hat und hatte (auch keine Syncronisation auf den lokalen PC oder Handy) und davon betroffen ist?
Ansonsten ist es wahrscheinlicher das irgend ein Trojaner/Browsererweiterung die Daten lokal abgegriffen hat und an den Herrn und Meister geschickt hat. Das funktioniert sogar ohne echten Exploit, da diese Daten mit den entsprechenden Benutzerrechten im Zugriff sind und so oft ein wenig Javascript oder eine tolle Toolbar reicht.

Das selbe Problem hatten wir übrigens vor kurzem mit Yahoo Benutzern, auch dort wurde nie ein Konto EInbruch festgestellt, aber auch kein "echter" dauerhafter Trojaner auf den Maschinen gefunden.

Gruß

Andi
Dilbert-MD
Dilbert-MD 20.08.2015 um 11:16:25 Uhr
Goto Top
Hallo,
wir nutzen ausschließlich das T-Online - "Online Adressbuch". Keine Mobilgeräte mit Mailclient, keine PC's mit Mailclient. kein POP/IMAP-Abruf der Mails. Nur das Web-Interface.
Bisher sind wir aber auch noch nicht betroffen.

Wenn das wirklich der Grund sein sollte, könnte es ja auch sein, dass irgendwo die Mailheader aus dem laufenden Mailverkehr mitgeschnitten wurden und daraus <FROM>, <TO>, <cc>, <BCC> extrahiert und gesammelt wurden.

Gruß
Holger
flamingmoe
flamingmoe 20.08.2015 um 11:21:54 Uhr
Goto Top
Hallo Leute,

nachdem ich gestern einen unserer Rootserver geprüft habe und mir die Mailqueue angesehen habe stellte sich heraus das etwas nicht stimmt. Es waren ca. 100 Emails in der Mailqeue die nicht zugestellt wurden und zusätzlich noch von gefälschten Abensendern stammten und an größere Mengen an Emailadressen adressiert waren. Da es sich um einen gut abgesicherten Server handelt und unsere IPs weder in den einschlägigen Spamblacklists gelistet wurde noch ein Openrelay vorliegt war ich mir sicher das das Problem nicht am Server selbst liegen kann. Nach einem Blick in die Logfiles war mir sofort klar was hier los war. Zwei Emailaccounts unserer Kunden war kompromittiert worden. Die SMTP Authentifizierung für diese 2 Emailaccounts wurde von verschiedenen IPs (vermutlich Botnet IPs) durchgeführt, allerdings nicht im sonst üblichen Vollgasverfahren sondern in einigem Abstand, wohl um die Aktion nicht zu auffällig. Die Gemeinsamkeit der IPs war ebenfalls die Kennung WORLDST-UQ3K9Q0, allerdings nicht bei allen IPs. Ich habe unverzüglich die Passwörter der 2 Emailaccounts geändert was sofort dazu geführt hat das nun keine Emails mehr durch dieses dubiose Botnet verschickt werden. In den Logfiles ist zu sehen wie weiterhin versucht wird Emails zu verschicken, jedoch die Passwortauthentifizierung scheitert. Zum jetzigen Stand dieses Beitrags kann ich noch nicht sagen ob die PCs des Kunden kompromittiert worden sind und dadurch das Passwort ausgelesen wurde, das Passwort per Bruteforce/Wordlist erraten wurde oder ob es durch eine Phishing-Aktion abhanden kam. Ich werde die nächsten Tage mit Adleraugen die Logfiles überwachen und dadurch feststellen ob nochmal eine Authentifizierung durch eine dieser Botnet IPs erfolgreich sein wird.

Allen betroffenen empfehle ich deshalb DRINGEND das Passwort des Emailkontos zu ändern und bei der Vergabe auf Länge und Komplexität zu achten.

Viele Grüße

flamingmoe
madbyte
madbyte 20.08.2015 um 15:22:07 Uhr
Goto Top
Tja, was soll ich sagen ich stehe jetzt bei 1800 Bounce-Mails und das allein heute....

Das PW zu ändern wird nichts bringen, die Mails werden über fremde Server verschickt.
Da ich meine Mail Domain selbst per MX verwalte, kann ich auch sehen das es keine Zugriffe auf mein Mailsystem gab.
Trojaner und andere Schadsoftware kann ich doppelt ausschließen, da wir mit Apple Rechnern arbeiten, die über einen Linuxserver im Netz hängen wären sie, bzw. ihre Kommunikation aufgefallen, zudem haben Virenscanner nichts gefunden.

Ich gehe stark von einem Exploit im SMTP Header aus, den der/die Täter ausnutzen um den Mailverkehr abzuhören.
Auffällig ist das nur Emailadressen, mit dennen ich in den letzten 5 Monaten kontakte hatte, SPAM Mails bekommen.
Alles was älter als 5 Monate ist, ist nicht betroffen (obwohl die Daten in den Kontakten und Posteingang liegen).


Wenn das so weiter geht, schreibe ich wieder Briefe :D
flamingmoe
flamingmoe 20.08.2015 um 16:16:18 Uhr
Goto Top
In unserem Fall war es tatsächlich so das über die 2 Emailkonten SMTP Authentifizierungen durchgeführt wurden um tatsächlich Emails zu verschicken. Bounces kamen natürlich noch obendrauf. Um die Bouncerate etwas einzudämmen kannst Du darüber nachdenken DKIM und SPF Records in Deinem DNS zu setzen. Das sollte zumindest die Masse der Bounces eindämmen., hängt jedoch stark davon ab von wo die Emails tatsächlich abgesendet werden.

Viele Grüße

flamingmoe
Micha56
Micha56 20.08.2015 aktualisiert um 18:22:49 Uhr
Goto Top
Habe gestern meine Mail -Adresse gewechselt und die alte Mailadresse gelöscht.. Heute ist bei meinen Mail-kontakten keine Spam mehr eingegangen, was ich eigentlich nicht ganz verstehe, wenn der Versand nicht über den T-Online-server erfolgt, sondern von anderswo...
emkay2
emkay2 20.08.2015 aktualisiert um 23:19:05 Uhr
Goto Top
Zitat von @madbyte:
Ich gehe stark von einem Exploit im SMTP Header aus, den der/die Täter ausnutzen um den Mailverkehr abzuhören.

+1 für so etwas in der Art.
  • Passwort ändern brachte nichts.
  • Passwort ändern und nur mobil an die Mails, ditto.
Bislang habe ich das Passwort x-Mal geändert und auch nach 24h ohne den zuerst verdächtigten Rechner werden die Mails verschickt.
Im Schnitt alle 24h 6x Verbindungen, die jeweils nur 1x Mail an eine von 5 Adressen der gleichen Domain schicken.
Nahezu zeitgleich dann JoeJobs von extern mit der Adresse des Accounts als Absender an (soweit ich das sehe) sein komplettes Adressbuch.

Wenn ich unauthorisierten Versand ausschliessen will bleibt zZt nur noch der Router (Fritzbox) oder die Mobilverbindung der Telekom.



Dieser Post war wohl Übermüdung und aufkeimender Paranoia geschuldet. Sorry wegen des Lärms.
Was ich als relay betrachtet habe waren einfache lokale Zustellungen.


Im Unterschied zu einer regulären Verbindung sehe ich hier: "P=esmtps" in der Exim mainlog.
Bei regulären Verbindungen sollte hier "P=esmtpsa" stehen.

Bedeutet dies nicht, dass die Verbindung es schafft, ohne Authentifizierung ihre Mail zu senden?
siehe: http://www.gossamer-threads.com/lists/exim/users/98628#98628

Es läuft Exim auf Squeeze. Mit allen LTS patches, forciertem SSL/TLS, ziemlich strikten iptables und fail2ban gegen dict-attacks. SPF und DKIM sind gesetzt.
Zur Zeit alles für nüschte.

Die Empfänger mögen aus dem Fundus der Telekom kommen, mich interessiert aber vielmehr Pattern und Art der Verbindungen.
flamingmoe
flamingmoe 20.08.2015 aktualisiert um 21:18:08 Uhr
Goto Top
Hallo emkay2

könntest Du einen größeren Teil Deines Exim Mainlogs bereitstellen damit man den gesamten Ablauf besser sehen kann? Also von der Authentifizierung bis zur Abgabe und dem Versand der Email? Gerne anonymisiert und per PN, würde mich echt brennend interessieren was da los ist.

Viele Grüße

flamingmoe

P.S: Update / Bei uns ist es seit der Änderung der Passwörter der 2 Accounts ruhig geblieben. Es wurde mehrfach versucht über dynamische IPs eine Authentifizierung durchzuführen als auch Spam an die wohl nun bekannten Emailadressen zuzustellen. Wir blocken momentan relativ erfolgreich mit Greylisting und Spamhaus, Spamcop und Sorbs RBLs.
emkay2
emkay2 20.08.2015 aktualisiert um 23:14:21 Uhr
Goto Top
Nach 5 Min war der Spuk wieder vorbei. Zumindest der lokale.
Zeitgleich dann mails über externe IPs mit 'user@example.com' als Absender and willkürlichen Namen aus seinem Adressbuch als Absender-Name.
Dilbert-MD
Dilbert-MD 21.08.2015 um 13:38:15 Uhr
Goto Top
Hallo,
habe heute folgende Mail bekommen:
"wir" = unsere E-mail-Adresse

Diagnostic information for administrators:
Generating server: rockwool.com
d* * * * .* * * * * * * er@rockwool.com
#550 5.1.1 RESOLVER.ADR.RecipNotFound; not found ##rfc822;d* * * *.* * * * * * *er@rockwool.com


Original message headers:
Received: from GDCSREX90.rwgroup.org (10.45.225.227) by bdcsrex01.rwgroup.org
 (10.45.202.29) with Microsoft SMTP Server (TLS) id 14.3.181.6; Fri, 21 Aug
 2015 11:29:06 +0200
Received: from mailout02.t-online.de (194.25.134.17) by rockmx03.rockwool.com
 (10.45.225.227) with Microsoft SMTP Server (TLS) id 14.3.235.1; Fri, 21 Aug
 2015 11:28:45 +0200
Received: from fwd10.aul.t-online.de (fwd10.aul.t-online.de [172.20.26.152])
	by mailout02.t-online.de (Postfix) with SMTP id DE4EA1D0F2D	for
 <d * * * *.* * * * * * *er@rockwool.com>; Fri, 21 Aug 2015 11:29:04 +0200 (CEST)
Received: from cmpweb19
 (T5uO5iZUwhu69CIo9hhjneKE0sWcbJnJyLe-nQTc-hEJv2huwx4-o9+uU+4PrB2Q+i@[172.20.102.121])
 by fwd10.aul.t-online.de	with esmtp id 1ZSid7-1FoI1w0; Fri, 21 Aug 2015
 11:28:57 +0200
MIME-Version: 1.0
Received: from 88.150.##.##:42789 by cmpweb19.aul.t-online.de with HTTP/1.1
 (Lisa V3-8-3-0.12524 on API V3-27-0-0)
Date: Fri, 21 Aug 2015 11:28:57 +0200
Reply-To: "wir@t-online.de" <wir@t-online.de>  
To: <d * * * *.* * * * * * *er@rockwool.com>
X-Priority: 3
X-UMS: email
X-Mailer: DTAG E-Mail Center 3.8.3.0.12524 (api 3.27.0.0, alps 4.23.0.0)
Message-ID: <49313702255d6ef59036d57.54305160@email.t-online.de>
Subject: Mitarbeiterinformation
From: "wir@t-online.de" <wir@t-online.de>  
Content-Type: text/plain; charset="UTF-8"  
Content-Transfer-Encoding: 8bit
X-ID: T5uO5iZUwhu69CIo9hhjneKE0sWcbJnJyLe-nQTc-hEJv2huwx4-o9+uU+4PrB2Q+i@t-dialin.net
X-TOI-MSGID: c866ff17-d69d-4dd6-9747-fdd7c9462169
Return-Path: Dr.Borg-MD@t-online.de
Received-SPF: None (GDCSREX90.rwgroup.org: wir@t-online.de does not
 designate permitted sender hosts)
SoulOfDarkness
SoulOfDarkness 21.09.2015 um 22:03:06 Uhr
Goto Top
Moin. Langsam finden sich erste Infos zu dieser Problematik. Die besagten Mails mit dem Betreff "FW: Important" (es gibt auch zeitweise parallel einen zweiten Ableger mit einem weiteren Wort im Betreff zusätzlich zu important) sind seit August in Umlauf. Die gesamte Aktion scheint aber auch schon deutlich länger zu laufen - zumindest was das Schema betrifft (kurzer Text mit einem Link).

Bei uns in der Firma liefen mindestens schon seit 23.07.2015 solche Mails durch die Firewall und haben unseren Mailserver bombardiert. Ich sage "mindestens", weil ich leider auf die Wochen davor keine Logfiles mehr habe - bin aber der Überzeugung, dass das durchaus schon länger läuft.

Vor den aktuellen Important-Mails war der Betreff sehr oft und lange nach dem Schema (beispielsweise) "FW:RE: 8/9/2015 9:05 AM" und derer unterschiedliche Kombinationen. Also mal nur "RE:" oder nur "FW:" und mal das Datum oder Uhrzeit mit führenden Nullen usw.

Woher die Daten der vermeintlichen Absender kommen, ist noch immer unklar. Die ersten Wochen betraf es überwiegend polnische Absender. Später dann auch einige andere internationale Provider (z.B. Yahoo) und aktuell eben Absender von T-Online.

Die Stichprobenatig von mir bisher inspizierten Mails waren durch die Bank Mails mit gefälschtem Absender.

Einzige halbwegs wirksame Methode, um solche Mails einzudämmen, wäre der Einsatz von DKIM und SPF. Das ganze dann noch gewürzt mit DMARC (vereint DKIM und SPF sehr wirksam). Das ist dann allerdings Aufgabe der jeweiligen ISPs. Würde z.B. T-Online mindestens SPF einsetzen, würden die besagten Mails mit den gefälschten T-Online-Absendern zumindest nicht mehr raus gehen.

Nichts desto trotz: bleibt noch immer die bisher scheinbar ungeklärte Frage offen: woher haben die BadBoys die Adressen - und vor allem in einer dermaßen detailierten Zuordnung zu andern Mailadressen, die mit den Eigentümern dieser Adressen in Zusammenhang stehen.

Es bleibt spannend...leider.