Kostenloser Check: Ist deine E-Mail in Emotet-Angriffen benutzt worden?

[English]Die Emotet-Ransomware wird über Spam-E-Mail-Kampagnen verbreitet. Ein kostenloser Dienst ermöglicht jetzt eine Überprüfung, ob eine E-Mail-Adresse bereits in einer solchen Kampagne verwendet wurde.


Anzeige

Zum Hintergrund

Emotet ist eine Malware, die über Spam-E-Mails verbreitet wird. Im Anhang solcher Mails finden sich dann mit Malware verseuchte Word- oder Excel-Dokumente. Wird ein solches Dokument geöffnet und das enthaltene Makro aktiviert, installiert dieses den Trojaner Emotet auf dem Computer des Opfers.

Im Laufe der Zeit wird der Trojaner Emotet andere Malware wie TrickBot und QakBot herunterladen und auf dem Computer eines infizierten Benutzers installieren. Emotet fungiert dann als Ransomware, die Dateien auf dem Computer des Opfers verschlüsselt und ggf. vorher entwendet. Ziel ist es, Lösegeld von den Opfern zu erpressen. Es ist bekannt, dass diese Trojaner bei Ransomware-Angriffen der Cyber-Gangs hinter Ryuk, Conti und ProLock verwendet wird.

Security
(Quelle: Pexels Markus Spiske CC0 Lizenz)

Das Fiese daran: Bei einer Infektion versucht Emotet die E-Mail-Adressen auf dem System des Opfers zu stehlen und an eigene Server zu übertragen. Diese E-Mails werden dann in zukünftigen Emotet-Spam-Kampagnen verwendet, um die Angriffe zu tarnen.

Kostenloser Dienst zur Prüfung

Ich bin bei Bleeping Computer auf die Information gestoßen: Es gibt einen neuen Dienst zur Überprüfung des Missbrauchs einer E-Mail-Domain oder -Adresse in einer Emotet-Spam-Kampagne. Der Dienst namens Have I Been Emotet wird vom italienischen Cybersicherheitsunternehmen TG Soft betrieben. Auf der betreffenden Webseite lässt sich eine Domain oder E-Mail-Adresse angeben und herausfinden, ob diese als Absender oder Empfänger in Emotet-Spam-Kampagnen verwendet wurde. Es reicht, wie nachfolgend gezeigt, eine Mail-Domain im Formular anzugeben. Man kann aber auch gezielt eine E-Mail-Adresse eintragen und bekommt angezeigt, ob diese in der Datenbank vorkommt.

Have I Been Emotet

Die Ergebnisseite zeigt an, ob die Domain oder E-Mail-Adresse für den Versand von Emotet genutzt wurde (der Computer des E-Mail-Kontos ist infiziert). Es wird auch gemeldet, ob Fake-Absender mit E-Mail-Adressen in Spam-Mails gefunden wurden und man erkennt, wie viele E-Mail-Konten einer Domain zu den Empfängern gehören. Ist vielleicht für Admins hilfreich, um Black-Lists von kompromittierten E-Mail-Absendern zu erstellen – obwohl das zu einem Katz-und-Mausspiel ausartet.

TG Soft gab gegenüber BleepingComputer an, dass ihre Datenbank E-Mail-Daten umfasst, die von Emotet zwischen August und 23. September 2020 generiert wurden. In diesem Zeitraum hat TG Soft über 2,1 Millionen E-Mail-Adressen aus rund 700.000 Emotet Spam E-Mails gesammelt.


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

21 Antworten zu Kostenloser Check: Ist deine E-Mail in Emotet-Angriffen benutzt worden?

  1. Volker Gerdes sagt:

    Und wer stellt sicher, dass es keine Adressensammlung für die nächste Welle wird?

  2. No sagt:

    Hallo,

    gestern habe ich den Hinweise auf diese Seite gefunden und gleich mit ca 5 Domain, die von Emotet genutzt wurden (unbewiesene Behautptung), geprüft. Das Ergebnis war negativ/wurde nicht erkannt.

    Frage: Traut Ihr dieser Seite, oder könnte das Phinging sein?

    mfg

    • Günter Born sagt:

      Zu ‚Frage: Traut Ihr dieser Seite, oder könnte das Phinging sein?‘
      1. Teil ‚trauen‘ nein – aber wegen der mir nun bekannten Sicherheitslücken in deren Server – da könnten Angreifen möglicherweise was abfischen – daher ist die Referenz nicht mehr so gülden wie angenommen. Ich hatte eh immer komplette Domains und Mail-Adressen von Phishing-Absendern verifizieren lassen.

      2. Teil: ‚könnte Phishing sein‘ – eher nicht, der Ansatz ist gut gedacht, aber schlecht gemacht. Ansonsten wurde ja hier schon viel drüber diskutiert – jeder kann sich also seine Meinung bilden.

  3. Dekre sagt:

    Hasso-Plattner-Insitut hat eine E-Mail-Prüfung auch.

    • Mance sagt:

      Dem hatte ich bisher auch schon zweimal vertraut. Das muss reichen, von anderen lass‘ ich die Finger.

      • Dat Bundesferkel sagt:

        … und selbst die geben nicht viel auf Sicherheit:

        https://www.shodan.io/host/141.89.225.126

        Denen vertraue ich auch nichts an.

        • Mance sagt:

          OK, etwas länglich die Sache und für mich nicht auf Anhieb auszuwerten. Könntest Du vielleicht auf die entscheidenden Punkte hinweisen? Aus den Abschnitten in den Vulnerabilities werde ich nicht so richtig schlau. Da sind viele „könnte“ und „in Vers. sowieso behoben“ drin.
          Also woran sehe ich jetzt, dass die Sache unsicher ist?
          Das BSI hatte ja auch mal so ein Tool, finde es aber i. M. nicht mehr. Weiss jemand ob es das noch gibt und wenn ja wie (un)sicher ist das?

          • Mance sagt:

            Hab’s inzwischen gefunden; ist abgeschaltet.

            *ttps://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/sicherheitstest_02112018.html

            Wie sicher sind die dort, unten angegebenen Empfehlungen?

          • Dat Bundesferkel sagt:

            Die „Vulnerabilities“ sind nicht „könnte“ und „in Version so und so behoben.“

            Rechts sind passend zu den geöffneten Ports die dazugehörigen Dienste, nebst deren Versionen, aufgeführt. Und wie man dort zweifelsfrei erkennt, sind die eingesetzten Versionen ziemlich betagt und für zahlreiche Sicherheitslücken anfällig – diese findest Du als CVE bezeichnet zu Deiner Linken.
            Dort sind Informationen, in welchen Versionen der jeweiligen Anwendungen welche „Probleme“ auftreten und wie sie sich auswirken.

            Und nein, Debian ist nicht schuld am „veralteten“ Apache-Server, Debian liefert Apache durchaus aktueller aus. Das ist einfach nur schlechte Wartung. Typisch für deutsche Unternehmen.

            Zum Vergleich: borncity.com weist derlei Rückständigkeiten und CVEs nicht auf. Sicher, es werden irgendwann mal Sicherheitslücken auftauchen, aber dann wird borncity wieder up-to-date sein.
            Bei meinen Domänen wirst Du so einen stümperhaften Murks ebenfalls nicht vorfinden, denn regelmäßige Sicherheitsprüfungen sind eine Selbstverständlichkeit, wenn man Inhalte im Internet anbietet.

            tl;dr
            Das HPI pflegt seine Infrastruktur nicht und sollte sich in punkto Security mal bitte gepflegt zurückhalten. Derlei Anbietern vertraue ich keine Daten an.

            PS: Dein Link ist unvollständig (ja, das https habe ich gesetzt, aber es führt ins Nirvana – fehlt da was am Ende?)

          • Mance sagt:

            Danke. Einfach den * durch h ersetzen.

          • Dat Bundesferkel sagt:

            „Einfach den * durch h ersetzen.“

            War natürlich das Erste, was ich gemacht habe. Gibt dann ein „Die gewünschte Seite wurde nicht gefunden.“

            Anscheinend ist die URL unvollständig? Solange ich die Seite nicht sehen kann, ist mir eine Äußerung dazu auch nicht möglich. ^^

          • Mance sagt:

            https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/sicherheitstest_02112018.html

            Hab’ das so gemacht, dass der Beitrag nicht u. U. im Flter hängen bleibt. Aber diesmal geht er anscheinend durch.

          • Mance sagt:

            Also ich blick‘ das jetzt langsam nicht mehr. Nun habe ich den vollständigen Link gepostet und es wurde auch angezeigt 14 Kommentare. Wenn ich aber die Seite in einem neuen Fenster aufrufe sind hier wieder nur 13 Kommentare.

          • Günter Born sagt:

            @Mance: Du bist einfach zu ungeduldig. Die Voreinstellungen befördern einfach alle Kommentare mit Links in Moderation – Gründe sind Spam-Schutz und Sicherheit. Kann ggf. einen Tick lang dauern, bis das durch ist. Ich habe jetzt den Beitrag freigegeben – komme aber nur alle paar Stunden im Blog-Vorbei um das zu überprüfen.

          • Mance sagt:

            Mea culpa Günter, bin mal gespannt ob der Link so funktioniert.
            @Dat Bundesferkel vielleicht hast Du einen Filter aktiv? Bei mir funzt es im Firefox und auch im Edge.

          • Dat Bundesferkel sagt:

            @Mance

            Als „unzensierter Link“ funktioniert es bei mir auch. Deine Url war unvollständig – Du hast das .html am Ende weggelassen. :)

            Und ja, hier wird gefiltert. Auf mehreren Layern.

            Die auf der Seite genannten Orte, wo man Mails testen lassen kann, scheinen zumindest keine durch shodan bekannten CVEs zu haben. Wobei man sich bei durch Cloudflare geschützte Seiten auch nie sicher sein kann (Microsoft verschleiert seine Mailserver mittlerweile auch hinter verschiedenen Systemen, damit man deren unsichere Server nicht mehr sieht).

            Nutzen würde ich die Dienste dennoch nicht, da sie auf Servern liegen, die dem Patriot Act unterliegen und damit generell auskunftspflichtig sind und noch so oft versprechen können „wir speichern nur hashes“. Das wäre rechtswidrig und wird sich dort aufgrund drakonischer Strafen niemand trauen.

            Davon ab… welchen effektiven Nutzen hat man dadurch, seine Mail zu prüfen – abgesehen davon einem Dritten mitzuteilen, daß eben diese Adresse noch aktiv genutzt wird?

            Effektiver ist es, regelmäßig seine Passwörter zu ändern und bei jedem Dienst ein Eigenes einzusetzen. Da sind Werkzeuge wie KeePass Passwordsafe nette Helferlein (da lokal und nicht in der ominösen Cloud)*.

            Wenn man dann noch den Luxus hat, einen Mailanbieter zu nutzen, der Aliase anbietet, kann man das weiter ausbauen: Für jeden Dienst, jede Seite, jeden Shop eine eigene Mailadresse. Da sieht man bei einem Leak auch auf Anhieb, welches Unternehmen die Quelle ist und kann (abgesehen von evtl. rechtlichen Schritten) Schadensbegrenzung betreiben, die Mail außer Betrieb nehmen und ggf. eine neue vergeben.

            Bei mir sehe ich an meinem Mailserver, daß eine meiner alten Aliase „missbraucht“ wurde. Den Ursprung kenne ich und ich sammele dadurch fleissig IP-Adressen von Angreifern, die dann für einen Zeitraum von 100 Jahren gesperrt werden.

            So als kleine Inspiration, falls Du was für Dich umsetzen möchtest.

            Achja, ganz wichtig: E-Mails im html Format haben in meinen Netzwerken keine Chance und werden komplett weggefiltert (ja, Paypal… irgendwann bekommt ihr das Nur-Text-Format auch hin…). Halbwegs seriöse Anbieter versenden Mails zumindest in zwei Formaten (Nur-Text + HTML in einer Mail), HTML-Only… geht gar nicht.

            * natürlich kann man sich seine KeePass Datenbank auch auf mehreren Geräten teilen, sei es durch Synchronisation oder eigener Cloud – Clients gibt es für alle relevanten Systeme.

          • Mance sagt:

            Was lange währt wird endlich gut, Danke :-)

            Passend zum Thema Datensicherheit gerade gefunden

            https://www.welt.de/wirtschaft/article217092516/TUEV-Studie-Deutsche-sind-bereit-ihre-Passwoerter-zu-verkaufen.html

            Kaum zu glauben

          • Dat Bundesferkel sagt:

            Lieber Mance, tatsächlich habe ich nichts anderes erwartet in punkto Datensicherheit und Willen zum Verkauf. Das sieht man ja an allen WhatsApp-Nutzern, wo die Folgen einer Nutzung schon mehrfach akribisch aufgelistet wurden.

            Mich stört es auch nicht, wenn jemand die Meinung vertritt, auf den Schutz seiner persönlichen Daten zu verzichten und diese zu veräußern – das muß jeder für sich selbst entscheiden.
            Das große Problem hier aber ist, daß diese Leute nicht nur sich, sondern auch ihr Umfeld jedes verdammte Mal ungefragt verkaufen. Die einzige Lösung ist hier wirklich nur, den Kontakt vollständig abzubrechen mit diesen Menschen. Und wenn man das konsequent durchzieht, ist man am Ende ziemlich einsam… aber ich bin gerne einsam. :)

  4. Dat Bundesferkel sagt:

    Von Seiten wie dieser läßt man eindeutig die Finger. Indirekt verweisen auf sogenannte „Security-Suites“ mit Sitz in Italien, gleichermaßen aber die eigene Internetpräsenz nicht einmal im Ansatz sicher halten zu können.

    https://www.shodan.io/host/89.46.110.24

    Finde schon hart, wie alt die von denen genutzte Umgebung ist und wie viele Sicherheitslücken vorhanden sind. Denen personenbezogene Daten anvertrauen? Bin ich als Kind vom Wickeltisch gefallen? Letzteres möglicherweise schon, das davor aber auf keinen Fall.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.