Spamwelle – Viele Telekom-Kunden betroffen „Fw: important“
Stell Dir vor, es läuft eine Spamwelle, ein großes deutsches Telekommuikations-Unternehmen ist betroffen und keiner sagt was. Wie es scheint wurden in den letzten Monaten verstärkt E-Mail-Konten der Telekom angegriffen und das Unternehmen sagt nichts dazu. Na gut, wollen wir nicht so hart sein. Es sagt nicht viel dazu. Aber auch sonst wird der Angriff in großen Teilen des Netzes nicht kommentiert, obwohl er, wie ich finde nicht nur äußerst Massiv, sondern auch besonders perfide ist. Denn es gibt kaum etwas, was die Betroffenen dagegen unternehmen können, weil die Basis (wahrscheinlich) ein Hack und kein Virus oder Trojaner ist. Außerdem kann man sogar Betroffen sein, wenn man nicht betroffen ist. Aber der Reihe nach.
Wer ist betroffen?
In erster Linie t-online.de-Accounts. Die Telekom hat dazu auch schon eine Meldung rausgegeben. Andere Meldungen finden sich bei golem.de und bei heise security.
Was ist passiert?
Ich bin nur zufällig darüber gestolpert, weil der t-online-Account eines Freundes betroffen ist. Seine Mailadresse wird für das sogenannte Mail-Spoofing missbraucht. Das heißt, jemand hat einen eigenen Mailserver aufgesetzt und verschickt mit der @t-online.de Adresse meines Schwiegervaters Spam-Mails. Das ist in etwa so, wie Briefe mit einem falschen Absender verschicken. So funktionieren unter anderem auch die Phishing-Mails.
Was ist besonders perfide?
Prekär und besonders perfide ist das Ganze, weil der Mailaccount vorher ausspioniert wurde. Interessanterweise wurden dabei nicht wie üblich die Adressbücher ausgelesen und genutzt, sondern über einen bestimmten Zeitraum die Mailadressen aus dem Post-Eingang und –Ausgang abgegriffen. Das kann man daran sehen, dass viele Mails unter anderem auch an die Adressen von Newsletter und Personen versandt wurden, die definitiv nicht in seinem Adressbuch stehen. Andere Personen, die im Adressbuch stehen aber länger nicht angeschrieben wurden, bekamen hingegen keine Spam-Mails.
Zudem verwenden die Spammer unterschiedliche Absendernamen, die sie aus den abgefangenen Mailadressen generieren. So bekam ich unter anderem auch schon Anrufe von Leuten, die wir beide im Adressbuch haben, dass ich Spam versenden würde. Tatsächlich wird aber auch dabei die Mailadresse von meinem Schwiegervater benutzt und nur mein Name als Absender eingetragen. Von daher bin ich betroffen, ohne betroffen zu sein.
Außerdem wird der Spam nicht wie sonst an einzelne Personen, sondern immer an größere Verteiler von 20 -50 Personen verschickt. Das schafft nochmal zusätzlich „Vertrauen“, weil man ja viele Personen kennt, die im Verteiler stehen. Einige unbedarftere Bekannte haben daraufhin schon auf den Link in der Spam-Mail geklickt, weil sie dachten, dass es vielleicht doch eine richtige Mail ist.
Wie ist es passiert?
Der Rechner meines Freundes ist definitiv viren- und trojanerfrei. Das haben wir jetzt mehrfach überprüft. Das deckt sich auch mit den Angaben, die sich in den einschlägigen Adminforen finden. Unter anderem sind auch Linux und Apple-Systeme betroffen, die ja nicht gerade als anfällig für Viren gelten. Von daher müssen die Mailadressen an anderer Stelle abgegriffen worden sein. Dies würde auch dazu passen, dass nicht die Adressbücher angezapft wurden, sondern Posteingang und Postausgang.
Interessanterweise rätseln über das Wie auch die Experten in den IT-Foren. Es scheint da ebenso viele Möglichkeiten wie Vermutungen zu geben. Der Account könnte direkt auf dem t-online-Server gehackt, eine Schwachstelle am SMPT-Server oder eine Smartphone-App genutzt worden sein. Viren und Trojaner schließen auch die Experten aus.
Wie erkennt man, dass man betroffen ist?
Da der Spam nicht vom eigenen Rechner versandt wird, merkt man das nur daran, wenn plötzlich Mails als unzustellbar zurückkommen, die man gar nicht versandt hat. Außerdem gibt es immer gutmeinende Bekannte und Freunde, die einen in so einem Fall darauf aufmerksam machen.
Für die Empfänger ist die Spam-Mail übrigens gut zu erkennen. Schon der Betreff: „Fw: important“ sagt alles. Der Inhalt ist ansonsten auch nicht besser. „Hey“ ein Link und der Name des Absenders. Umlaute werden dabei nicht dargestellt. Für versiertere Nutzer kann der Spam auch am Mail-Header erkannt werden. Neben unterschiedlichen Mailservern wird beim Helo Befehl immer der Name „WORLDST-UQ3K9Q0“ verwendet.
Was kann man dagegen tun?
Als Betroffener dummerweise nichts. Man kann sein Mail-Passwort ändern. Damit verhindert man vielleicht, dass der Account weiter ausspioniert wird. Viellicht, denn unter Umständen nutzen die Hacker eine ganz andere Schwachstelle bei der Telekom, am Router oder wo auch immer, für die man kein Passwort benötigt.
Am Versand des Spams kann man aber nichts ändern, das läuft ja durch das Spoofing über einen Server, auf den man keinen Zugriff hat. Wir wägen gerade den Aufwand und Nutzen ab, zu einem anderen Anbieter zu wechseln. Das ist ja heute nicht mehr so einfach, da die Mailadresse ja bei vielen anderen Services als Zugang genutzt wird.
Ansonsten bleibt nur eine Mail an alle zu schicken, die in den Spamverteiler geraten sind und sie über die Situation aufzuklären.
Was sonst noch interessant ist?
…dass sich Informationen über die Spamwelle noch nicht weiter verbreitet haben. Vor allem, weil die Schwachstelle noch nicht identifiziert wurde und schon seit Wochen existiert. Die ersten Berichte stammen von Mitte August. Außerdem verwundert es, dass viele Telekom-Kunden betroffen sind (Update 27.09.15: Mittlerweile gibt es aber auch Berichte von anderen Providern wie 1&1, arcor oder gmx). Ich bin nun wirklich kein IT-Experte und nur mit einem gesunden Halbwissen gesegnet, aber an der Stelle würde ich bei der Analyse ansetzen. Vielleicht ist es ja eine veraltete Software eines Telekom-Routers? Die meisten Telekom-Kunden und einige ehemalige Kunden auch werden den hauseigenen Router verwenden. Dass die Server der Telekom gehackt wurden schließt das Unternehmen ja aus. Und ansonsten müsste ja viel mehr Anbieter in größerem Ausmaß betroffen sein.
Außerdem wundere ich mich ein wenig über die schlechten Informationen durch die Telekom. Außer der einen Erklärung und des Hinweises, dass man sein Passwort ändern sollte, ist bislang nichts passiert.
Wo kann man sich weiter informieren?
Mir erscheint das Adminforum hier am verlässlichsten und immer noch an der Sache dran zu sein:
Sollte jemand eine Idee, Lösung oder besonderen Hinweis haben, wäre ich dafür auch dankbar. Mein Freund muss die Spam-Mails ja auch noch irgendwie loswerden. Bislang ist mir außer einem Anbieterwechsel nichts dazu eingefallen.
Update 27.09.15
Mittlerweile habe ich ein paar Mails und Hinweise zu dem Artikel bekommen. Eine wirkliche Lösung ist nicht in Sicht, aber weitere interessante Artikel zu dem Thema finden sich hier:
Agoradesign.at: WORLDST-UQ3K9Q0 – ein weit unterschätzter neuer Super-Hack?
Wardine´s Wrock: Email send under my name not from me
3Sepo@Blog: Fw: Important! – HELO WORLDST-UQ3K9Q0
Hallo Markus,
danke für deinen Artikel. Spricht mir total aus der Seele, insbesondere stelle ich mir die gleichen Fragen bzgl der schlechten Information seitens der Provider und dem Understatement im Netz generell. Ich glaube, dass dieser Angriff weit unterschätzt wird, in Wahrheit aber auf erschreckende Art und Weise perfekt geplant und umgesetzt wurde. Hier mein Artikel zu diesem Thema: http://www.agoradesign.at/blog/worldst-uq3k9q0-ein-weit-unterschaetzter-neuer-super-hack
Hallo Andreas,
Danke für den Hinweis. Habe deinen Artikel oben verlinkt. Kurios, dass keiner auch nur eine Idee davon hat, auf welche Weise die Mailadressen ausgelesen wurden. An einen Hack einzelner Accounts im großen Stil glaube ich nicht. Denke, dass die Mails eher außerhalb des Accounts abgegriffen wurden.
Das Problem zeigt sich seit einer Woche auch in der Schweiz. das selbe Important-Subject, Adressen ebenfalls aus Posteingang- und Ausgang abgegriffen. Provider: Green.ch. Auch nach dem Ändern des Account-PWs auf was hochkomplexes folgte wenige Tage darauf ein erneuter Versand. Im Gesendet-Ordner findet sich nichts.
Danke, endlich mal ein Artikel zu dem Thema, das sonst totgeschwiegen wird.
Es sind nur alte Artikel aus Mitte August 2015 zu finden, wo vor einer Spam Welle gewarnt wird. Die Telekom wusste schon warum…
Und es gibt keinerlei Berichte hierzu in den Medien oder von den Provider. Das ist das krasseste an der Aktion!
Wir haben Kunden mit 1und1 Business Mailhosting Accounts, und die Spam Mails werden nur an Adressen geschickt, mit denen Sie über den 1und1 Account in Kontakt standen. Es wurden keine Adressen aus Outlook oder sonstigen lokalen Mailprogrammen entwendet, denn dort gibt es viel mehr zu holen. Der Kunde hat aber selbst nie Massenmails an viele sichtbare Addressaten verchickt sondern verwendet nur die BCC Option. Die Kontaktdaten können also auch nicht von einem gehackten Kontakt gestohlen worden sein. Also steht für mich fest, dass die Daten direkt bei 1und1 im Postfach unseres ebgegriffen wurden.
Viele unbedarfte Leute machen solche Mails tatsächlich auf und klicken irgend wo drauf, wenn sie sehen, dass der Absender der Mail scheinbar bekannt ist.
Und das schlimmste ist, dass jetzt sämtliche Cyberkriminelle der Welt Zugriff auf Millionen Kontaktpläne haben – also wer mit wem in Verbindung steht und stand. Da kann man auch gezielte Angriffe perfekt platziert unterbringen. Tarn doch mal eine Mail mit Virusanhang so, dass sie ausshieht, als würde sie vom Chef des Empfängers kommen… Ich garantiere, dass das geöffnet wird.
1) Nach langem forschen bin ich darauf gekommen, dass die Benutzung des IE das Problem auslöst. IE deinstallieren, komplett SP, 11, 10 ….
2) Verwende nun den neuesten Google Chrom auf Win 71 Win 81 und Win 10
Damit kann ich über die Webschnittstelle gehen.
3) Email Client habe ich noch nicht wieder ausprobiert.
4) Tritt leider auch auf, wenn man sich von einem anderen Rechner über IE auf die Email Webschnittstelle einloggt.
5) Nur deutsche Email sind betroffen, WEB, GMX, T-online
gmail, yahoo, sind stabil, aber bekommen auch emails ab.
6) Empfohlen wird anscheinend Norton Antivirus, habe Bitdefender nun drauf.
7) Wenn gar nichts mehr hilft, Antivirus Rescue CD booten und über Firefox auf die Webschnittstelle gehen.
AH
Pingback: Ganz kleine Eimer… | 3SEPO@Blog
Diese Spamwelle bei der Telekom ist eine ärgerliche Sache. Da fragt man sich manchmal doch, ob man den Anbieter wechseln soll. Aber eigentlich bietet so ein großer Anbieter einem ja doch mehr Sicherheit. Bei den kleinen ist ja meist der Service schlecht und man weiß nie, wie lange die existieren.