ukulele-7
Goto Top

E-Mail-Scam mit öffentlichen Daten von Xing oder LinkedIn

Mahlzeit miteinander.

Wir hatten hier eine für uns etwas ungewöhnliche Situation in Bezug auf einen Scam-Versuch, ich wollte das einfach mal hier teilen.

Ausgangssituation:

Am 01.10. hat ein neuer Kollege hier angefangen zu arbeiten. Im Vorfeld wurde ein E-Mail Postfach mit diversen Aliasen erzeugt, unter anderem:

<Erster-Buchstabe-Vorname>.<Nachname>@<Mail-Domain>.de (primärer Alias)
<Erster-Buchstabe-Vorname><Nachname>@<Mail-Domain>.de (automatischer, weiterer Alias, der nur Schreibfehler abfangen soll)

Alle E-Mails von und an diese Adresse waren die ersten Tage gesichert intern. Keine der E-Mail-Adressen ist nach extern in Erscheinung getreten, der Mitarbeiter hat das bestätigt. Gestern, am 10.10. erreichte ihn dann eine zunächst recht klassisch anmutende Spam-Mail:

Header:

Absender-Anzeigename:
<Titel-GF><Vorname-GF><Nachname-GF>

Absender-Adresse:
g.mail.71@inbox.ru

Absender-Server:
fallback20.i.mail.ru [79.137.243.76]

Empfänger-Adresse:
<Erster-Buchstabe-Vorname><Nachname>@<Mail-Domain>.de

Body:
Hallo <Vorname>,
 
Wie geht es dir? Ich habe eine Anfrage, die diskret behandelt werden muss.
Lass mich wissen, ob du dafür verfügbar bist. Ich gehe gleich in eine Besprechung und kann keine Anrufe entgegennehmen. Bitte antworte per E-Mail.
 
Freundliche Grüsse,
<Titel-GF><Vorname-GF><Nachname-GF>

Der Scam-Versuch wurde als solcher erkannt und es hat keine Kommunikation statt gefunden. Die Formulierung ist fast fehlerfreies Deutsch aber für unseren Betrieb ungewöhnlich (Details möchte ich natürlich nicht ausführen). Ich denke, jeder Versuch eines Mitarbeiters oder eines Hackers, der sich wirklich vorher E-Mails von dem genannten Geschäftsführer (GF) angesehen hätte, wäre anders formuliert worden. Ich schließe daraus, das weder unser noch ein anderes E-Mail-System überhaupt kompromittiert wurde.

These:

Es stellt sich natürlich die Frage, wie kommt eine derart personalisierte E-Mail an eine neu angelegte und unbekannte E-Mail-Adresse zustande. Mehr noch, es wurde ein technischer Alias des Postfachs "getroffen", der so nichtmal den Mitarbeitern geläufig ist.

Sowohl der Mitarbeiter, das Unternehmen, als auch der betreffende GF sind bei Xing und bei LinkedIn vertreten. Der neue Mitarbeiter hat seine Unternehmenszugehörigkeit dort bekannt gemacht. Dieser Umstand verleitet mich zu meiner bisher einzigen logischen Schlussfolgerung. Jemand hat, automatisiert, Daten von entweder Xing und oder LinkedIn gesammelt und in Zusammenhang gebracht. Dort sind alle Namen und Beziehungen zugänglich, nicht aber die E-Mail-Adressen. Es ist nur die Unternehmens-Domain durch www.<Mail-Domain>.de und info@<Mail-Domain>.de bekannt. Der Mitarbeiter verwendet dort logischer Weise eine private E-Mail-Adresse als Login. Ich gehe daher nicht davon aus, das hier ein Datenleck maßgeblich ist - ich denke die Daten wurden aus dem öffentlichen Profil gesammelt und das gängige Format der E-Mail-Adresse wurde erraten.

Ich habe noch ein weiteres Indiz gefunden. Am 04.10. gab es bereits zwei Zustellversuche an <Vorname>@<Mail-Domain>.de von aus2025@mail.ru . Da dieser Alias nicht existiert wurden beide E-Mails zurück gewiesen und haben nur Spuren in einem Gateway hinterlassen, die Header der Mails habe ich leider nicht.

Der Mitarbeiter wurde auch bei seinem vorherigen Arbeitgeber Ziel solcher E-Mails - auch ohne den zeitlichen Bezug zum neuen Arbeitsverhältnis. Es scheint, als ob seine Profildaten mehr als einmal abgegriffen wurden und es sich bei der Tatsache, dass das Arbeitsverhältnis neu ist, nur um einen Zufall handelt. Dennoch hat der Angriff eine gewisse Qualität weil er die Informationen gut kombiniert und dennoch automatisch zu laufen scheint.

Ich hoffe diese Information hilft irgendwo weiter. Wir hatten zwar schonmal Fake-GF-Mails aber relativ selten und es konnte kein derartiger Zusammenhang hergestellt werden.

Content-ID: 668713

Url: https://administrator.de/knowledge/e-mail-scam-mit-oeffentlichen-daten-von-xing-oder-linkedin-668713.html

Ausgedruckt am: 22.12.2024 um 06:12 Uhr

Michi91
Michi91 11.10.2024 um 13:29:03 Uhr
Goto Top
Die Bösen Buben werden immer kreativer. Sehr cooler Ansatz aus Sicht des Dataminers.
SlainteMhath
SlainteMhath 11.10.2024 um 13:46:17 Uhr
Goto Top
Moin,

dein Stichwort für die Websuche lautet "OSINT"

lg,
Slainte
em-pie
em-pie 11.10.2024 um 14:20:38 Uhr
Goto Top
Moin,

"spannend", was die pöhsen Purschen heute so alles machen (lassen).

Es scheint, als ob seine Profildaten mehr als einmal abgegriffen wurden und es sich bei der Tatsache, dass das Arbeitsverhältnis neu ist, nur um einen Zufall handelt. Dennoch hat der Angriff eine gewisse Qualität weil er die Informationen gut kombiniert und dennoch automatisch zu laufen scheint.
Wenn die User in den Profilen bei linkedIn & Co. auch angeben, dass deren Profile in den Suchmaschinen gefunden werden dürfen wundert es mich nicht, dass die an solche Infos kommen.
Und wenn dann noch der Aufbau der Mail-Adressen bekannt ist, kann eine KI 1:1 zusammenzählen face-wink
ukulele-7
ukulele-7 11.10.2024 um 14:33:31 Uhr
Goto Top
Zitat von @SlainteMhath:

dein Stichwort für die Websuche lautet "OSINT"
Ich denke Webcrawler etc. sind bessere Suchbegriffe, OSINT bezieht sich wirklich auf nachrichtendienstliche bzw. militärische Nutzung von Information.

Zitat von @em-pie:

Wenn die User in den Profilen bei linkedIn & Co. auch angeben, dass deren Profile in den Suchmaschinen gefunden werden dürfen wundert es mich nicht, dass die an solche Infos kommen.
Das kann ich noch erfragen. Ich denke aber nicht, das sich ein Scammer um Vorgaben der robots.txt scheert, ich kenne allerdings auch nicht die technischen Sicherheitsmaßnahmen solcher Plattformen. Vermutlich ist denen das ziemlich egal.
Und wenn dann noch der Aufbau der Mail-Adressen bekannt ist, kann eine KI 1:1 zusammenzählen face-wink
Dafür braucht es keine KI, die kombinieren gängige Formate + die Mail-Domain - try & error. Ein Script ist keine KI.
MirkoKR
MirkoKR 11.10.2024 um 22:19:28 Uhr
Goto Top
Hi.

... mein erster Gedanke:

a) hat der neue ME Hardware mitgebracht ... z.B. ein Notebook ... und wurde das geprüft vor eer BYOD-Einbindung?

b) Home-Office? Nutzt der User denselben Rechner via VPN in eurem Netz, den er beim vorherigen AG genutzt hat?

Die Schnittstelle scheint beim MA zu liegen 🤔
150704
150704 11.10.2024 aktualisiert um 23:35:10 Uhr
Goto Top
Ehrlich gesagt nicht ungewöhnlich. Wer seine Daten freiwillig selbst auf dem Silbertablett in den Äther blässt und dann noch so null acht fünfzehn Standard E-Mail Prefixe anlegt muss jederzeit mit sowas rechnen. Nur ist es heute Dank KI mittlerweile ein Massenphänomen so dass auch Deppen sowas schreiben können und das in Massen auf das Netz loslassen.
ukulele-7
ukulele-7 14.10.2024 um 09:13:42 Uhr
Goto Top
Zitat von @MirkoKR:

a) hat der neue ME Hardware mitgebracht ... z.B. ein Notebook ... und wurde das geprüft vor eer BYOD-Einbindung?
Nein.
b) Home-Office? Nutzt der User denselben Rechner via VPN in eurem Netz, den er beim vorherigen AG genutzt hat?
Nein.

Die Schnittstelle scheint beim MA zu liegen 🤔
Ja eben über Xing oder LinkedIn, ich kann wirklich keinen anderen Zusammenhang sehen.


Zitat von @150704:

Nur ist es heute Dank KI mittlerweile ein Massenphänomen so dass auch Deppen sowas schreiben können und das in Massen auf das Netz loslassen.
Meinst du wirklich, das KI involviert ist? Ich hätte jetzt auf eine klassische Webcrawler-Methode getippt um die Daten abzufischen und der Rest erfordert wirklich keine Intelligenz, nur ein Botnet zum Verschicken von Mails.
150704
150704 14.10.2024 aktualisiert um 09:44:59 Uhr
Goto Top
Zitat von @ukulele-7:

Meinst du wirklich, das KI involviert ist? Ich hätte jetzt auf eine klassische Webcrawler-Methode getippt um die Daten abzufischen und der Rest erfordert wirklich keine Intelligenz, nur ein Botnet zum Verschicken von Mails.

Ich meinte mit KI in dem Zusammenhang nur das eigentliche Schreiben des Codes zum Abfischen nicht den Rest.