Massen-Newsletter-Spam und der Paypal-Konten-Hack

[English]Heute noch ein Sicherheitsthema, was mir von einem Blog-Leser zugetragen wurde. Ein Nutzer wurde mit Newsletter-Anmeldungen zugespammt. Und am Ende des Tages stellte sich das Ganze als Hack seines PayPal-Kontos heraus. Ich bereite den Fall mal auf, um auf die neue Betrugsmasche hinzuweisen.


Anzeige

Blog-Leser Markus Weis betreibt einen IT-Service und wir stehen seit länger Zeit in Kontakt, bzw. Markus hat hier im Blog schon den einen oder anderen Hinweis hinterlassen. Kürzlich hat er mich per Mail mit einer merkwürdigen Beobachtung kontaktiert.

Massiver Newsletter-Spam bei einem Kunden

Markus schrieb mir in der ersten Mail: Haben Sie so was schon mal gesehen? … oder von aktuellen ähnlichen Vorfällen/Opfern gehört? Dabei verwies er auf seinen Blog-Beitrag Formularspambot läuft Amok? Nutzer erhält tausende eMails mit Newsletteranmeldungen (Newsletter Signup Confirmation Spam). Die Kurzfassung:

Ein ganz besonderer Hilferuf eines Kunden erreichte uns heute (5. Februar 2020) um ca. 16 Uhr: „Hilfe, unser Mailpostfach wird seit Stunden mit zigtausend eMails (Newsletter-Anmeldungen, Kontaktformularantworten) verschiedenster Herkunft geflutet.“

Markus hat sich dann das Ganze angesehen und schrieb mir, dass da Spambots unterwegs seien, die Kontaktformulare von Homepages exploiten/antesten und zum Spamversand missbrauchen. Das ist bekannt (da wird das CGI-Skript formmail.pl zum Spamversand missbraucht). Aber das erklärt nicht, was beim Kunden passierte. Dazu schreibt Markus:

Nach ca 100 Stichproben war nämlich klar erkennbar, dass es sich vorrangig um echte Newsletter-Anmeldebestätigungs-EMails („Spam Signups“) handelt.

Dass die eMails keine Fake-Mails waren, wurde recht schnell klar als wir versuchten, uns für 10 zufällig aus den eMails ausgesuchten Newsletter auf der Homepage der jeweiligen Anbieter anzumelden. Im konkreten Fall unseres Kunden trudelten binnen 5 Stunden über 8000 solcher eMails ein, aus allen erdenklichen Ländern in allen erdenklichen Sprachen: deutsch, englisch, spanisch, skandinavisch, niederländisch, französisch, italienisch, russisch, chinesisch, arabisch etc.

War mir noch nicht untergekommen und ich konnte mir auch keinen wirklichen Reim darauf machen. Ein Gedanke wäre, dass so ein Erpressungsversuch per Spam-Bot vorbereitet würde: Zahle den Betrag X, wenn Du von diesem Newsletter-Spam verschont werden willst. Aber die Erklärung ist viel einfacher …

Auflösung: PayPal-Hack als Ursache

Ich hatte mit Markus verabredet, das Thema im Blog anzusprechen, als mich eine zweite Mail erreichte. Die Ursache ist nun klar, und noch weniger erfreulich. In einem Nachtrag zu seinem Blog-Beitrag legt Markus die Details offen:

Wie sich im Nachhinein herausstellte, wurde das Paypal-Konto des Opfers missbraucht; leider hatte der Kunde:

1.)  für sein Paypal-Konto bequemlicherweise ein Kennwort verwendet, das er auch bei anderen Plattformen verwendete

2.) im Paypal-Konto und die 2Faktor-Authentifizierung nicht aktiviert.

Zwischen den tausenden Spam-Mails fanden sich dann auch die drei Paypal-eMails mit den missbräuchlichen Zahlungen/Bestellungen.

Ab diesem Punkt ergibt das Ganze dann einen Sinn. Markus schreibt dazu in seinem Blog-Beitrag:

Damit die von Paypal gesendeten eMails der betrügerischen Paypal-Zahlung dem Opfer nicht auffallen, wird dieser einfach mit tausenden eMails überschwemmt, in der die Paypal-Mails untergehen/übersehen werden.

Der Spuk ist nach einigen Tagen vorbei, denn dann ist die auf fremde Kosten bestellte Ware am Zielort längt bei einem Strohmann angekommen.

Da die Betrüger keinen Zugriff aufs Mailkonto des Opfers hatten, konnten Sie die eMails nicht löschen, anhand deren dem Opfer dubiose Vorgänge seines Paypalkontos aufgefallen wären.

Daher griffen die Betrüger zu Plan B: Dem klassischen Hütchenspielertrick … einem Ablenkmanöver! Sprich: Sie fluteten das Mailpostfach des Opfers, damit er bestimmte Mails übersieht.

Die Betrüger ließen die Arbeit von einem Spambot erledigen, der dazu schlecht abgesicherte, captcha-lose Newsletteranmeldeformulare missbraucht. Was bei diesem Ansatz auch aufgefallen ist: Wie viele Newsletter es wohl noch gibt, die nicht DSGVO-konform ohne double-optin arbeiten. Die Details sind im Blog-Beitrag von Markus nachzulesen. Danke an Markus Weiss für den Hinweis – vielleicht hilft es mal jemandem von euch weiter.


Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Massen-Newsletter-Spam und der Paypal-Konten-Hack


  1. Anzeige
  2. nook sagt:

    Auf welcher Plattform das Kennwort gehackt wurde ist nicht nachvollziehbar, oder?
    Ist eine Plattform mit der “Passwort vergessen Freibrief Funktion” dabei?

    Mein Resumee`
    Es lohnt sich anscheinend immer noch die Schwachstellen bequemer User zu suchen!

    • Compeff sagt:

      Wo der User sein Passwort “verloren” hat, konnten wir nicht rekonstruieren. Man muss immer damit rechnen, dass manche Anwender seit 10 Jahren bei vielen Plattformen immer dasselbe Kennwort verwenden; auch wenn man es ihnen mehrfach sagt, dass das böse enden kann.

      Wir erklären es den Anwendern immer so: Stellt Euch vor, ein Betrüger beobachtet Euch beim Aufschliessen Eures vierstelligen Fahrrad-Zahlenkombinations-Schlosses. Der Betrüger setzt nun auf die Bequemlichleit des Opfers und wir probieren, ob diese 4stellige Zahl auch die Eure ec-Card-Pin, den Reisekoffer, das geklaute Tablet und das Smarthome-Haustürschloss funktioniert.

  3. Dat Bundesferkel sagt:

    Das Kind ist nun in den Brunnen gefallen, da jemandem den schwarzen Peter zuzuschieben ist sinnfrei.

    Für die Zukunft kann ich Internetnutzern nur folgenden Rat geben:
    Nutzt Mail-Aliase! Ich habe mir vor einigen Jahren zu Eigen gemacht, bei jedem(!) von mir genutztem Dienst eine eigenständige Mail-Adresse zu verwenden.
    Dabei werden willkürlich ausgewürfelte Namen verwendet. (12 Kleinbuchstaben @ domain.tld) – wie ich gehört habe, bieten die altbekannten Mailprovider sowas mittlerweile auch an.

    Der Vorteil? Man kann bei jedem erfolgreichen Mißbrauch sehen, welche Plattform das Datenleck hatte. Zum Einen kann man dem Anbieter nachweislich auf die Füße treten und zum Anderen einfach die entwendete Mail-Adresse löschen und durch eine Neue ersetzen (wenn man dem Dienstleister sein Vertrauen weiter schenken möchte).

    Seither habe ich persönlich keinerlei Probleme mehr mit Spam jedweder Art.

    • Compeff sagt:

      > Das Kind ist nun in den Brunnen gefallen,
      > da jemandem den schwarzen Peter zuzuschieben ist sinnfrei.

      Das sehe ich anders. Wenn eines Ihrer Aliase oder Ihre Hauptemail-Adresse aus Böswilligkeit eines Internetchaoten plötzlich 10.000 Newsletteranmeldungen bekommt, dann kommt auch bei Ihnen der Wunsch auf, dass etliche Webmaster da draussen Ihre Webformulare mit Captchas und Double-Optins versehen. Jeder hat Verantwortung für den Umgang mit seinen Rechnern und für das, was er da draussen an exploitbaren Install-per-Click-Webbaukästen in die Welt setzt. Den Schaden haben meist nämlich immer andere Nutzer.

      Das mit den Aliasen ist aber prinzipiell eine gute Idee. Das machte man ja früher bei schriftlichen Preisausschreiben durch absichtliche Buchstabendreher in der Absenderadresse genaus so.

  4. Anzeige

  5. 1ST1 sagt:

    Man kann in seinem Paypal-Account auch eine Handynummer hinterlegen, und dann einstellen, dass man bei jeder Transaktion eine SMS bekommt. Geht garantiert nicht im Mailverkehr unter.

  6. Blaubär sagt:

    Vielen Dank für die Veröffentlichung dieses Beitrages, ich bin nämlich ebenfalls betroffen.
    Ich schildere mal, wie es bei mir war:

    Zwei Tage zuvor erhielt ich eine Email von Ebay (betraf einen älteren Account), dass mein Account wegen verdächtiger Aktivitäten vorübergehend geschlossen wurde. Ich habe umgehend mein Passwort geändert, konnte jedoch keinen Missbrauch feststellen.
    Zwei Tage später, ging die Newsletter-Flut bei mir los. Ich habe jedoch glücklicherweise nicht alles ungesehen in den Spamordner verschoben, sondern ich habe die Mails akribisch durchgeschaut. Hierbei viel mir eine Email von PayPal auf, mit der Info, meinem Konto wurde eine weitere Emailadresse zugefügt. Ich schaute umgehend bei PayPal nach. Und tatsächlich! Es wurde eine weitere Emailadresse zugefügt, die genauso hieß wie meine verwendete, lediglich durch eine Verdopplung des letzten Buchstabens zu unterscheiden und bei einem anderen Provider! Diese Mailadresse wurde selbstverständlich als neue Standardadresse geführt.
    Ich habe diese dann sofort gelöscht, meine Adresse als Standard gesetzt, mein Passwort geändert, die 2-Faktor Authentifizierung eingestellt und siehe da, ich hatte Glück! Ich war rechtzeitig. Es konnten keine Abbuchungen, Überweisungen oder sonstigen Aktivitäten festgestellt werden. Ein kurzes Telefonat mit PayPal bestätigte dies.
    Erst jetzt fand ich diesen tollen Beitrag im Netz und wusste, ich bin nicht alleine!

    Fazit:
    Ich vermute das Datenleck bei Ebay, denn ich denke diese beiden Vorgänge haben etwas miteinander zu tun. Glücklicherweise habe ich alles noch rechtzeitig bemerkt und ich habe zumindest keinen finanziellen Schaden davon getragen. Das was bleibt? Ist der Ärger mit meiner Emailadresse. Ich bin seit zwei tagen damit beschäftigt mich bei tausenden Seiten von den Newslettern abzumelden und die Mails in den Spamordner zu verfrachten. So habe ich es zumindest schon einmal geschafft, die Emailflut von geschätzt 300 pro Stunde auf 5-10 pro Stunde zu reduzieren. Aber ich gebe nicht auf! Ich hoffe in drei Tagen habe ich meine Mailadresse wieder spamfrei.

    Was jetzt?
    Frust, Ärger und ein bisschen Angst, dass doch noch etwas nachkommt! Doch ich nehme mir ab jetzt vor, etwas mehr Hirnschmalz in die Passwortvergabe zu stecken und keine Passwörter mehr doppelt zu vergeben.

    Allen weiteren betroffenen wünsche ich viel Glück und Durchhaltevermögen!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (SEO-Posts/SPAM lösche ich). Kommentare abseits des Themas bitte unter Diskussion.