Massen-Newsletter-Spam und der Paypal-Konten-Hack

[English]Heute noch ein Sicherheitsthema, was mir von einem Blog-Leser zugetragen wurde. Ein Nutzer wurde mit Newsletter-Anmeldungen zugespammt. Und am Ende des Tages stellte sich das Ganze als Hack seines PayPal-Kontos heraus. Ich bereite den Fall mal auf, um auf die neue Betrugsmasche hinzuweisen.


Anzeige

Blog-Leser Markus Weis betreibt einen IT-Service und wir stehen seit länger Zeit in Kontakt, bzw. Markus hat hier im Blog schon den einen oder anderen Hinweis hinterlassen. Kürzlich hat er mich per Mail mit einer merkwürdigen Beobachtung kontaktiert.

Massiver Newsletter-Spam bei einem Kunden

Markus schrieb mir in der ersten Mail: Haben Sie so was schon mal gesehen? … oder von aktuellen ähnlichen Vorfällen/Opfern gehört? Dabei verwies er auf seinen Blog-Beitrag Formularspambot läuft Amok? Nutzer erhält tausende eMails mit Newsletteranmeldungen (Newsletter Signup Confirmation Spam). Die Kurzfassung:

Ein ganz besonderer Hilferuf eines Kunden erreichte uns heute (5. Februar 2020) um ca. 16 Uhr: „Hilfe, unser Mailpostfach wird seit Stunden mit zigtausend eMails (Newsletter-Anmeldungen, Kontaktformularantworten) verschiedenster Herkunft geflutet.“

Markus hat sich dann das Ganze angesehen und schrieb mir, dass da Spambots unterwegs seien, die Kontaktformulare von Homepages exploiten/antesten und zum Spamversand missbrauchen. Das ist bekannt (da wird das CGI-Skript formmail.pl zum Spamversand missbraucht). Aber das erklärt nicht, was beim Kunden passierte. Dazu schreibt Markus:

Nach ca 100 Stichproben war nämlich klar erkennbar, dass es sich vorrangig um echte Newsletter-Anmeldebestätigungs-EMails („Spam Signups“) handelt.

Dass die eMails keine Fake-Mails waren, wurde recht schnell klar als wir versuchten, uns für 10 zufällig aus den eMails ausgesuchten Newsletter auf der Homepage der jeweiligen Anbieter anzumelden. Im konkreten Fall unseres Kunden trudelten binnen 5 Stunden über 8000 solcher eMails ein, aus allen erdenklichen Ländern in allen erdenklichen Sprachen: deutsch, englisch, spanisch, skandinavisch, niederländisch, französisch, italienisch, russisch, chinesisch, arabisch etc.

War mir noch nicht untergekommen und ich konnte mir auch keinen wirklichen Reim darauf machen. Ein Gedanke wäre, dass so ein Erpressungsversuch per Spam-Bot vorbereitet würde: Zahle den Betrag X, wenn Du von diesem Newsletter-Spam verschont werden willst. Aber die Erklärung ist viel einfacher …

Auflösung: PayPal-Hack als Ursache

Ich hatte mit Markus verabredet, das Thema im Blog anzusprechen, als mich eine zweite Mail erreichte. Die Ursache ist nun klar, und noch weniger erfreulich. In einem Nachtrag zu seinem Blog-Beitrag legt Markus die Details offen:

Wie sich im Nachhinein herausstellte, wurde das Paypal-Konto des Opfers missbraucht; leider hatte der Kunde:

1.)  für sein Paypal-Konto bequemlicherweise ein Kennwort verwendet, das er auch bei anderen Plattformen verwendete

2.) im Paypal-Konto und die 2Faktor-Authentifizierung nicht aktiviert.

Zwischen den tausenden Spam-Mails fanden sich dann auch die drei Paypal-eMails mit den missbräuchlichen Zahlungen/Bestellungen.

Ab diesem Punkt ergibt das Ganze dann einen Sinn. Markus schreibt dazu in seinem Blog-Beitrag:

Damit die von Paypal gesendeten eMails der betrügerischen Paypal-Zahlung dem Opfer nicht auffallen, wird dieser einfach mit tausenden eMails überschwemmt, in der die Paypal-Mails untergehen/übersehen werden.

Der Spuk ist nach einigen Tagen vorbei, denn dann ist die auf fremde Kosten bestellte Ware am Zielort längt bei einem Strohmann angekommen.

Da die Betrüger keinen Zugriff aufs Mailkonto des Opfers hatten, konnten Sie die eMails nicht löschen, anhand deren dem Opfer dubiose Vorgänge seines Paypalkontos aufgefallen wären.

Daher griffen die Betrüger zu Plan B: Dem klassischen Hütchenspielertrick … einem Ablenkmanöver! Sprich: Sie fluteten das Mailpostfach des Opfers, damit er bestimmte Mails übersieht.

Die Betrüger ließen die Arbeit von einem Spambot erledigen, der dazu schlecht abgesicherte, captcha-lose Newsletteranmeldeformulare missbraucht. Was bei diesem Ansatz auch aufgefallen ist: Wie viele Newsletter es wohl noch gibt, die nicht DSGVO-konform ohne double-optin arbeiten. Die Details sind im Blog-Beitrag von Markus nachzulesen. Danke an Markus Weiss für den Hinweis – vielleicht hilft es mal jemandem von euch weiter.


Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

14 Antworten zu Massen-Newsletter-Spam und der Paypal-Konten-Hack


  1. Anzeige
  2. nook sagt:

    Auf welcher Plattform das Kennwort gehackt wurde ist nicht nachvollziehbar, oder?
    Ist eine Plattform mit der “Passwort vergessen Freibrief Funktion” dabei?

    Mein Resumee`
    Es lohnt sich anscheinend immer noch die Schwachstellen bequemer User zu suchen!

    • Compeff sagt:

      Wo der User sein Passwort “verloren” hat, konnten wir nicht rekonstruieren. Man muss immer damit rechnen, dass manche Anwender seit 10 Jahren bei vielen Plattformen immer dasselbe Kennwort verwenden; auch wenn man es ihnen mehrfach sagt, dass das böse enden kann.

      Wir erklären es den Anwendern immer so: Stellt Euch vor, ein Betrüger beobachtet Euch beim Aufschliessen Eures vierstelligen Fahrrad-Zahlenkombinations-Schlosses. Der Betrüger setzt nun auf die Bequemlichleit des Opfers und wir probieren, ob diese 4stellige Zahl auch die Eure ec-Card-Pin, den Reisekoffer, das geklaute Tablet und das Smarthome-Haustürschloss funktioniert.

  3. Dat Bundesferkel sagt:

    Das Kind ist nun in den Brunnen gefallen, da jemandem den schwarzen Peter zuzuschieben ist sinnfrei.

    Für die Zukunft kann ich Internetnutzern nur folgenden Rat geben:
    Nutzt Mail-Aliase! Ich habe mir vor einigen Jahren zu Eigen gemacht, bei jedem(!) von mir genutztem Dienst eine eigenständige Mail-Adresse zu verwenden.
    Dabei werden willkürlich ausgewürfelte Namen verwendet. (12 Kleinbuchstaben @ domain.tld) – wie ich gehört habe, bieten die altbekannten Mailprovider sowas mittlerweile auch an.

    Der Vorteil? Man kann bei jedem erfolgreichen Mißbrauch sehen, welche Plattform das Datenleck hatte. Zum Einen kann man dem Anbieter nachweislich auf die Füße treten und zum Anderen einfach die entwendete Mail-Adresse löschen und durch eine Neue ersetzen (wenn man dem Dienstleister sein Vertrauen weiter schenken möchte).

    Seither habe ich persönlich keinerlei Probleme mehr mit Spam jedweder Art.

    • Compeff sagt:

      > Das Kind ist nun in den Brunnen gefallen,
      > da jemandem den schwarzen Peter zuzuschieben ist sinnfrei.

      Das sehe ich anders. Wenn eines Ihrer Aliase oder Ihre Hauptemail-Adresse aus Böswilligkeit eines Internetchaoten plötzlich 10.000 Newsletteranmeldungen bekommt, dann kommt auch bei Ihnen der Wunsch auf, dass etliche Webmaster da draussen Ihre Webformulare mit Captchas und Double-Optins versehen. Jeder hat Verantwortung für den Umgang mit seinen Rechnern und für das, was er da draussen an exploitbaren Install-per-Click-Webbaukästen in die Welt setzt. Den Schaden haben meist nämlich immer andere Nutzer.

      Das mit den Aliasen ist aber prinzipiell eine gute Idee. Das machte man ja früher bei schriftlichen Preisausschreiben durch absichtliche Buchstabendreher in der Absenderadresse genaus so.

  4. Anzeige

  5. 1ST1 sagt:

    Man kann in seinem Paypal-Account auch eine Handynummer hinterlegen, und dann einstellen, dass man bei jeder Transaktion eine SMS bekommt. Geht garantiert nicht im Mailverkehr unter.

  6. Blaubär sagt:

    Vielen Dank für die Veröffentlichung dieses Beitrages, ich bin nämlich ebenfalls betroffen.
    Ich schildere mal, wie es bei mir war:

    Zwei Tage zuvor erhielt ich eine Email von Ebay (betraf einen älteren Account), dass mein Account wegen verdächtiger Aktivitäten vorübergehend geschlossen wurde. Ich habe umgehend mein Passwort geändert, konnte jedoch keinen Missbrauch feststellen.
    Zwei Tage später, ging die Newsletter-Flut bei mir los. Ich habe jedoch glücklicherweise nicht alles ungesehen in den Spamordner verschoben, sondern ich habe die Mails akribisch durchgeschaut. Hierbei viel mir eine Email von PayPal auf, mit der Info, meinem Konto wurde eine weitere Emailadresse zugefügt. Ich schaute umgehend bei PayPal nach. Und tatsächlich! Es wurde eine weitere Emailadresse zugefügt, die genauso hieß wie meine verwendete, lediglich durch eine Verdopplung des letzten Buchstabens zu unterscheiden und bei einem anderen Provider! Diese Mailadresse wurde selbstverständlich als neue Standardadresse geführt.
    Ich habe diese dann sofort gelöscht, meine Adresse als Standard gesetzt, mein Passwort geändert, die 2-Faktor Authentifizierung eingestellt und siehe da, ich hatte Glück! Ich war rechtzeitig. Es konnten keine Abbuchungen, Überweisungen oder sonstigen Aktivitäten festgestellt werden. Ein kurzes Telefonat mit PayPal bestätigte dies.
    Erst jetzt fand ich diesen tollen Beitrag im Netz und wusste, ich bin nicht alleine!

    Fazit:
    Ich vermute das Datenleck bei Ebay, denn ich denke diese beiden Vorgänge haben etwas miteinander zu tun. Glücklicherweise habe ich alles noch rechtzeitig bemerkt und ich habe zumindest keinen finanziellen Schaden davon getragen. Das was bleibt? Ist der Ärger mit meiner Emailadresse. Ich bin seit zwei tagen damit beschäftigt mich bei tausenden Seiten von den Newslettern abzumelden und die Mails in den Spamordner zu verfrachten. So habe ich es zumindest schon einmal geschafft, die Emailflut von geschätzt 300 pro Stunde auf 5-10 pro Stunde zu reduzieren. Aber ich gebe nicht auf! Ich hoffe in drei Tagen habe ich meine Mailadresse wieder spamfrei.

    Was jetzt?
    Frust, Ärger und ein bisschen Angst, dass doch noch etwas nachkommt! Doch ich nehme mir ab jetzt vor, etwas mehr Hirnschmalz in die Passwortvergabe zu stecken und keine Passwörter mehr doppelt zu vergeben.

    Allen weiteren betroffenen wünsche ich viel Glück und Durchhaltevermögen!

  7. T. Meyer sagt:

    Mich hat es heute am 13.05 2020 erwischt. Hunderte Mails für angebliche Anmeldungen von newsletter rund um den Globus.
    Dazu wurden bei DHL online Briefmarken bestellt für knapp 69 Euro, zahlbar per paypal. Den Dienstleister sofort kontaktiert, die Transaktion gesperrt und den Zugang geändert, mit SMS Nachricht, falls was überwiesen werden soll.
    Danke für diesen Artikel!

  8. Katharina sagt:

    Hallo, mich hat es heute erwischt, ich habe sehr viele Mails bekommen. Durch ein wie auch immer gehacktes AirBnB Profil. Eine mir unbekannte E-Mail Adresse wurde als Paypal Konto hinerlegt und eine Reise für mehrere Tausend Euro gebucht. Ich hoffe, dass ich jetzt keine Probleme bekomme. Die E-Mail Adresse ist nämlich nicht mit meinem Paypal-Account verbunden.

    • Gerold sagt:

      Du solltest umgehend Deinen PayPal-Account überprüfen.
      In einem Kommentar weiter oben schreibt Blaubär dass seinem PayPal-Account eine email-Adresse hinzugefügt wurde und diese als Standard email-Adresse eingetragen ist.

  9. Anzeige

  10. Andreas Fink sagt:

    Hallo, danke für die Hinweise im Beitrag, ich habe seit Montag 01.06.2020 das selbe Problem. Am Montag habe ich einfach mein Email Konto gesperrt. Dienstag Morgen wieder aktiviert und bis Donnerstag Abend war dann nix mehr …
    Donnerstag Abend und heute Morgen auch erst wieder das Konto gesperrt und alle Emails gelöscht. Dann euren Beitrag gelesen.
    Die Info, dass ein Konto gehackt sein könnte, gerade Paypal, macht Sinn. Daher habe ich die Sperre umgehend aufgehoben und mich nun mühsam durch ca. 2.000 Emails gearbeitet. Gefunden habe ich nichts.
    Ein Paypal Konto, dass ich noch nie benutz habe, besitze ich, allerdings mit einem anderen Email Konto …

    Ich nutze nun schon ein Weilchen Passwort Tools (zum generieren und speichern)
    Klar gibt es noch alte Konten die mit weniger guten Passwörtern geschützt sind. Teilweise auch mit dem selben.
    Werde ich nun umstellen, so wie sie mir einfallen, irgendeine Idee, wie ich rausfinden kann, welche Konto gehackt wurde.

    • Andreas Fink sagt:

      Nachdem heute Morgen die Rechnungen eingetrudelt sind, weiß ich, dass mein Conrad Konto gehackt wurde. Sind ein paar PC Teile bestellt worden. Anzeige erstattet und Conrad versucht die Sendungen noch zu stoppen. Da die Zugangsdaten geändert sind, gehe ich davon aus, dass die Emailflut nun nachlässt …

  11. Nico sagt:

    Hallo zusammen!
    Bei mir sind heute auch innerhalb einer Stunde ca. 300 E-Mails rein gekommen. Langsam wird es weniger. Ich hatte zum Glück vor ca. 2 Monaten alle Passwörter aktualisiert und überall (wo möglich) 2-Faktor Authentifizierung aktiviert. Bisher konnte ich keinen Missbrauch feststellen. Das Abmelden von Newslettern und Services ist aber extrem zeitaufwändig und ärgerlich.

  12. Nico sagt:

    Kurze Ergänzung: Soeben musste ich feststellen, dass wohl mein Payback-Konto betroffen ist und 10.000 Punkte (immerhin 100€) von mir in Rewe-Gutscheine umgewandelt wurden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.