[English]Heute noch ein Sicherheitsthema, was mir von einem Blog-Leser zugetragen wurde. Ein Nutzer wurde mit Newsletter-Anmeldungen zugespammt. Und am Ende des Tages stellte sich das Ganze als Hack seines PayPal-Kontos heraus. Ich bereite den Fall mal auf, um auf die neue Betrugsmasche hinzuweisen.
Anzeige
Blog-Leser Markus Weis betreibt einen IT-Service und wir stehen seit länger Zeit in Kontakt, bzw. Markus hat hier im Blog schon den einen oder anderen Hinweis hinterlassen. Kürzlich hat er mich per Mail mit einer merkwürdigen Beobachtung kontaktiert.
Massiver Newsletter-Spam bei einem Kunden
Markus schrieb mir in der ersten Mail: Haben Sie so was schon mal gesehen? … oder von aktuellen ähnlichen Vorfällen/Opfern gehört? Dabei verwies er auf seinen Blog-Beitrag Formularspambot läuft Amok? Nutzer erhält tausende eMails mit Newsletteranmeldungen (Newsletter Signup Confirmation Spam). Die Kurzfassung:
Ein ganz besonderer Hilferuf eines Kunden erreichte uns heute (5. Februar 2020) um ca. 16 Uhr: „Hilfe, unser Mailpostfach wird seit Stunden mit zigtausend eMails (Newsletter-Anmeldungen, Kontaktformularantworten) verschiedenster Herkunft geflutet."
Markus hat sich dann das Ganze angesehen und schrieb mir, dass da Spambots unterwegs seien, die Kontaktformulare von Homepages exploiten/antesten und zum Spamversand missbrauchen. Das ist bekannt (da wird das CGI-Skript formmail.pl zum Spamversand missbraucht). Aber das erklärt nicht, was beim Kunden passierte. Dazu schreibt Markus:
Nach ca 100 Stichproben war nämlich klar erkennbar, dass es sich vorrangig um echte Newsletter-Anmeldebestätigungs-EMails („Spam Signups") handelt.
Dass die eMails keine Fake-Mails waren, wurde recht schnell klar als wir versuchten, uns für 10 zufällig aus den eMails ausgesuchten Newsletter auf der Homepage der jeweiligen Anbieter anzumelden. Im konkreten Fall unseres Kunden trudelten binnen 5 Stunden über 8000 solcher eMails ein, aus allen erdenklichen Ländern in allen erdenklichen Sprachen: deutsch, englisch, spanisch, skandinavisch, niederländisch, französisch, italienisch, russisch, chinesisch, arabisch etc.
War mir noch nicht untergekommen und ich konnte mir auch keinen wirklichen Reim darauf machen. Ein Gedanke wäre, dass so ein Erpressungsversuch per Spam-Bot vorbereitet würde: Zahle den Betrag X, wenn Du von diesem Newsletter-Spam verschont werden willst. Aber die Erklärung ist viel einfacher …
Anzeige
Auflösung: PayPal-Hack als Ursache
Ich hatte mit Markus verabredet, das Thema im Blog anzusprechen, als mich eine zweite Mail erreichte. Die Ursache ist nun klar, und noch weniger erfreulich. In einem Nachtrag zu seinem Blog-Beitrag legt Markus die Details offen:
Wie sich im Nachhinein herausstellte, wurde das Paypal-Konto des Opfers missbraucht; leider hatte der Kunde:
1.) für sein Paypal-Konto bequemlicherweise ein Kennwort verwendet, das er auch bei anderen Plattformen verwendete
2.) im Paypal-Konto und die 2Faktor-Authentifizierung nicht aktiviert.
Zwischen den tausenden Spam-Mails fanden sich dann auch die drei Paypal-eMails mit den missbräuchlichen Zahlungen/Bestellungen.
Ab diesem Punkt ergibt das Ganze dann einen Sinn. Markus schreibt dazu in seinem Blog-Beitrag:
Damit die von Paypal gesendeten eMails der betrügerischen Paypal-Zahlung dem Opfer nicht auffallen, wird dieser einfach mit tausenden eMails überschwemmt, in der die Paypal-Mails untergehen/übersehen werden.
Der Spuk ist nach einigen Tagen vorbei, denn dann ist die auf fremde Kosten bestellte Ware am Zielort längt bei einem Strohmann angekommen.
Da die Betrüger keinen Zugriff aufs Mailkonto des Opfers hatten, konnten Sie die eMails nicht löschen, anhand deren dem Opfer dubiose Vorgänge seines Paypalkontos aufgefallen wären.
Daher griffen die Betrüger zu Plan B: Dem klassischen Hütchenspielertrick … einem Ablenkmanöver! Sprich: Sie fluteten das Mailpostfach des Opfers, damit er bestimmte Mails übersieht.
Die Betrüger ließen die Arbeit von einem Spambot erledigen, der dazu schlecht abgesicherte, captcha-lose Newsletteranmeldeformulare missbraucht. Was bei diesem Ansatz auch aufgefallen ist: Wie viele Newsletter es wohl noch gibt, die nicht DSGVO-konform ohne double-optin arbeiten. Die Details sind im Blog-Beitrag von Markus nachzulesen. Danke an Markus Weiss für den Hinweis – vielleicht hilft es mal jemandem von euch weiter.
Ähnliche Artikel:
Aktuell "Password-Reset" Flut – läuft da ein Angriff?
Anzeige
Auf welcher Plattform das Kennwort gehackt wurde ist nicht nachvollziehbar, oder?
Ist eine Plattform mit der "Passwort vergessen Freibrief Funktion" dabei?
Mein Resumee`
Es lohnt sich anscheinend immer noch die Schwachstellen bequemer User zu suchen!
Wo der User sein Passwort "verloren" hat, konnten wir nicht rekonstruieren. Man muss immer damit rechnen, dass manche Anwender seit 10 Jahren bei vielen Plattformen immer dasselbe Kennwort verwenden; auch wenn man es ihnen mehrfach sagt, dass das böse enden kann.
Wir erklären es den Anwendern immer so: Stellt Euch vor, ein Betrüger beobachtet Euch beim Aufschliessen Eures vierstelligen Fahrrad-Zahlenkombinations-Schlosses. Der Betrüger setzt nun auf die Bequemlichleit des Opfers und wir probieren, ob diese 4stellige Zahl auch die Eure ec-Card-Pin, den Reisekoffer, das geklaute Tablet und das Smarthome-Haustürschloss funktioniert.
Das Kind ist nun in den Brunnen gefallen, da jemandem den schwarzen Peter zuzuschieben ist sinnfrei.
Für die Zukunft kann ich Internetnutzern nur folgenden Rat geben:
Nutzt Mail-Aliase! Ich habe mir vor einigen Jahren zu Eigen gemacht, bei jedem(!) von mir genutztem Dienst eine eigenständige Mail-Adresse zu verwenden.
Dabei werden willkürlich ausgewürfelte Namen verwendet. (12 Kleinbuchstaben @ domain.tld) – wie ich gehört habe, bieten die altbekannten Mailprovider sowas mittlerweile auch an.
Der Vorteil? Man kann bei jedem erfolgreichen Mißbrauch sehen, welche Plattform das Datenleck hatte. Zum Einen kann man dem Anbieter nachweislich auf die Füße treten und zum Anderen einfach die entwendete Mail-Adresse löschen und durch eine Neue ersetzen (wenn man dem Dienstleister sein Vertrauen weiter schenken möchte).
Seither habe ich persönlich keinerlei Probleme mehr mit Spam jedweder Art.
> Das Kind ist nun in den Brunnen gefallen,
> da jemandem den schwarzen Peter zuzuschieben ist sinnfrei.
Das sehe ich anders. Wenn eines Ihrer Aliase oder Ihre Hauptemail-Adresse aus Böswilligkeit eines Internetchaoten plötzlich 10.000 Newsletteranmeldungen bekommt, dann kommt auch bei Ihnen der Wunsch auf, dass etliche Webmaster da draussen Ihre Webformulare mit Captchas und Double-Optins versehen. Jeder hat Verantwortung für den Umgang mit seinen Rechnern und für das, was er da draussen an exploitbaren Install-per-Click-Webbaukästen in die Welt setzt. Den Schaden haben meist nämlich immer andere Nutzer.
Das mit den Aliasen ist aber prinzipiell eine gute Idee. Das machte man ja früher bei schriftlichen Preisausschreiben durch absichtliche Buchstabendreher in der Absenderadresse genaus so.
Man kann in seinem Paypal-Account auch eine Handynummer hinterlegen, und dann einstellen, dass man bei jeder Transaktion eine SMS bekommt. Geht garantiert nicht im Mailverkehr unter.
Ja, leider hatte das Opfer die 2-Faktor-Auth in Paypal nicht aktiviert. Das hätte ihm wahrscheinlich den ganzen Ärger erspart.
Bin selber betroffen und meine Handynummer wurde in Paypal zu einer aus GB (+44) geändert.
Mein Email Konto ist voll, aber bei Paypall ging bissher noch keine Zahlung aus.
Habe jetzt alles rausgenommen und alles geändert.
Email, PW, Handynummer und mein Konto ist auch entfernt.
Danke für diesen Blogeintrag, hätte sonst niemals bei PP geguckt.
Vielen Dank für die Veröffentlichung dieses Beitrages, ich bin nämlich ebenfalls betroffen.
Ich schildere mal, wie es bei mir war:
Zwei Tage zuvor erhielt ich eine Email von Ebay (betraf einen älteren Account), dass mein Account wegen verdächtiger Aktivitäten vorübergehend geschlossen wurde. Ich habe umgehend mein Passwort geändert, konnte jedoch keinen Missbrauch feststellen.
Zwei Tage später, ging die Newsletter-Flut bei mir los. Ich habe jedoch glücklicherweise nicht alles ungesehen in den Spamordner verschoben, sondern ich habe die Mails akribisch durchgeschaut. Hierbei viel mir eine Email von PayPal auf, mit der Info, meinem Konto wurde eine weitere Emailadresse zugefügt. Ich schaute umgehend bei PayPal nach. Und tatsächlich! Es wurde eine weitere Emailadresse zugefügt, die genauso hieß wie meine verwendete, lediglich durch eine Verdopplung des letzten Buchstabens zu unterscheiden und bei einem anderen Provider! Diese Mailadresse wurde selbstverständlich als neue Standardadresse geführt.
Ich habe diese dann sofort gelöscht, meine Adresse als Standard gesetzt, mein Passwort geändert, die 2-Faktor Authentifizierung eingestellt und siehe da, ich hatte Glück! Ich war rechtzeitig. Es konnten keine Abbuchungen, Überweisungen oder sonstigen Aktivitäten festgestellt werden. Ein kurzes Telefonat mit PayPal bestätigte dies.
Erst jetzt fand ich diesen tollen Beitrag im Netz und wusste, ich bin nicht alleine!
Fazit:
Ich vermute das Datenleck bei Ebay, denn ich denke diese beiden Vorgänge haben etwas miteinander zu tun. Glücklicherweise habe ich alles noch rechtzeitig bemerkt und ich habe zumindest keinen finanziellen Schaden davon getragen. Das was bleibt? Ist der Ärger mit meiner Emailadresse. Ich bin seit zwei tagen damit beschäftigt mich bei tausenden Seiten von den Newslettern abzumelden und die Mails in den Spamordner zu verfrachten. So habe ich es zumindest schon einmal geschafft, die Emailflut von geschätzt 300 pro Stunde auf 5-10 pro Stunde zu reduzieren. Aber ich gebe nicht auf! Ich hoffe in drei Tagen habe ich meine Mailadresse wieder spamfrei.
Was jetzt?
Frust, Ärger und ein bisschen Angst, dass doch noch etwas nachkommt! Doch ich nehme mir ab jetzt vor, etwas mehr Hirnschmalz in die Passwortvergabe zu stecken und keine Passwörter mehr doppelt zu vergeben.
Allen weiteren betroffenen wünsche ich viel Glück und Durchhaltevermögen!
Liebe Leser, oft sind gerade die Emails die Übeltäter, die auf Vorsicht hinweisen.
Eine E-Mail von bspw. Ebay-Service[@]googlemail.com erzählt euch, dass euer Passwort geklaut wurde und ihr es schnell über folgenden Link ändern sollt:
*ttps://ich-bin-die-falle.de/wenn-du-hier-scheinbar-dein-passwort-änderst-schickst-du-es-mir-in-wahrheit
Ich klicke nun auf den Link, lande auf der Fishing-Site, gebe erst das alte passwort ein, dann das neue, drücke auf senden und in diesem moment sende ich dem täter mein aktuelles passwort.
achtet immer darauf, was bei dem Absender hinter dem @ steht.
support[@]ebay.de = vertrauenswürdig
ebay[@]gmail.com = betrüger
support[@]t-online.de = vertrauenswürdig
t-online-kundenservice[@]yahoo.de = betrüger
Mich hat es heute am 13.05 2020 erwischt. Hunderte Mails für angebliche Anmeldungen von newsletter rund um den Globus.
Dazu wurden bei DHL online Briefmarken bestellt für knapp 69 Euro, zahlbar per paypal. Den Dienstleister sofort kontaktiert, die Transaktion gesperrt und den Zugang geändert, mit SMS Nachricht, falls was überwiesen werden soll.
Danke für diesen Artikel!
Hallo, mich hat es heute erwischt, ich habe sehr viele Mails bekommen. Durch ein wie auch immer gehacktes AirBnB Profil. Eine mir unbekannte E-Mail Adresse wurde als Paypal Konto hinerlegt und eine Reise für mehrere Tausend Euro gebucht. Ich hoffe, dass ich jetzt keine Probleme bekomme. Die E-Mail Adresse ist nämlich nicht mit meinem Paypal-Account verbunden.
Du solltest umgehend Deinen PayPal-Account überprüfen.
In einem Kommentar weiter oben schreibt Blaubär dass seinem PayPal-Account eine email-Adresse hinzugefügt wurde und diese als Standard email-Adresse eingetragen ist.
Hallo, danke für die Hinweise im Beitrag, ich habe seit Montag 01.06.2020 das selbe Problem. Am Montag habe ich einfach mein Email Konto gesperrt. Dienstag Morgen wieder aktiviert und bis Donnerstag Abend war dann nix mehr …
Donnerstag Abend und heute Morgen auch erst wieder das Konto gesperrt und alle Emails gelöscht. Dann euren Beitrag gelesen.
Die Info, dass ein Konto gehackt sein könnte, gerade Paypal, macht Sinn. Daher habe ich die Sperre umgehend aufgehoben und mich nun mühsam durch ca. 2.000 Emails gearbeitet. Gefunden habe ich nichts.
Ein Paypal Konto, dass ich noch nie benutz habe, besitze ich, allerdings mit einem anderen Email Konto …
Ich nutze nun schon ein Weilchen Passwort Tools (zum generieren und speichern)
Klar gibt es noch alte Konten die mit weniger guten Passwörtern geschützt sind. Teilweise auch mit dem selben.
Werde ich nun umstellen, so wie sie mir einfallen, irgendeine Idee, wie ich rausfinden kann, welche Konto gehackt wurde.
Nachdem heute Morgen die Rechnungen eingetrudelt sind, weiß ich, dass mein Conrad Konto gehackt wurde. Sind ein paar PC Teile bestellt worden. Anzeige erstattet und Conrad versucht die Sendungen noch zu stoppen. Da die Zugangsdaten geändert sind, gehe ich davon aus, dass die Emailflut nun nachlässt …
Hallo zusammen!
Bei mir sind heute auch innerhalb einer Stunde ca. 300 E-Mails rein gekommen. Langsam wird es weniger. Ich hatte zum Glück vor ca. 2 Monaten alle Passwörter aktualisiert und überall (wo möglich) 2-Faktor Authentifizierung aktiviert. Bisher konnte ich keinen Missbrauch feststellen. Das Abmelden von Newslettern und Services ist aber extrem zeitaufwändig und ärgerlich.
Kurze Ergänzung: Soeben musste ich feststellen, dass wohl mein Payback-Konto betroffen ist und 10.000 Punkte (immerhin 100€) von mir in Rewe-Gutscheine umgewandelt wurden.
Hallo an alle!
Ich bin heute auch Opfer solch einer Spam-Attacke geworden.
Bei mir lief es wie folgt ab:
Ich hab morgens meine Mails gecheckt und da fiel mir eine Mail von PayPal auf. In der hieß es, ich hätte in einem Onlineshop in den USA etwas für 337,84 Dollar bestellt. Erst dachte ich, das es eine Fake-Mail sein könnte, habe aber zur Sicherheit einen Blick in mein PayPal-Konto geworfen. Tatsächlch wurde eine Bestellung ausgelöst und mit meinem PayPal-Konto bezahlt. Ich habe schnelllstmöglich versucht die Transaktion bei PayPal abzubrechen und auch einen Fall dazu geöffnet. Selbstverständlich habe ich auch direkt mein Passwort geändert und die 2-Schritt-Verifikation aktiviert (hätte ich vielleicht schon eher machen sollen, ich weiß…).
Circa 30 Minuten später fing mein E-Mail Postfach an zu explodieren. Es kamen sekundlich Mails von Newsletter-Registrationen rein. Insgesamt sind es bisher knapp über 1.000. Auch solche, wo man direkt angemeldet ist, ohne das man das über einen Link erst bestätigen muss.
Zur Sicherheit habe ich direkt auch alle anderen Passwörter von Accounts, die mit meiner Mailadresse zusammenhängen, geändert.
Jetzt überlege ich, ob ich komplett meine Mailadresse ändere und auf eine neue umziehe. Die "zu gespammte" würde ich dann löschen.
Das wäre für mich tatsächlich einiges an Aufwand, da ich diese Mailadresse schon einige Jahre nutze und diese somit auch mit sehr vielen Accounts verbunden ist.
Macht das Sinn?
Deine kompromittierte Mail-Adresse wirst Du nie wieder "sauber" bekommen und "Spam-Filter" leisten auch nur einen begrenzten Beitrag (vor allem, wenn man keinen eigenen Mailserver hat).
Du wirst Dir einiges an Arbeit sparen, wenn Du Dir eine neue zulegst. Und wenn Du die Gelegenheit dazu hast (und Aliase nutzen kannst), solltest Du jedem Dienst eine eigene Adresse zuweisen.
So ist im wiederholten Falle von Spam der Schaden "überschaubar" und leicht behebbar.
Bin selber betroffen und meine Handynummer wurde in Paypal zu einer aus GB (+44) geändert.
Mein Email Konto ist voll, aber bei Paypall ging bissher noch keine Zahlung aus.
Habe jetzt alles rausgenommen und alles geändert.
Email, PW, Handynummer und mein Konto ist auch entfernt.
Danke für diesen Blogeintrag, hätte sonst niemals bei PP geguckt.
Jetzt hat es mich auch erwischt. Ausgangspunkt war wohl eine Anzeige auf ebay Kleinanzeigen, die ich mit PayPal bezahlt habe (natürlich mit Käuferschutz). Ein paar Stunden nach der Bezahlung kam eine Warnung von Kleinanzeigen wegen möglicher betrügerischer Aktivitäten und danach ging das Drama mit den Newsletter Anmeldungen los.
So wie es aussieht sind da auch Bestellungen dabei, die aber mangels ausgeführter Zahlung nicht ausgeführt werden.
Bei PayPal sind bis jetzt keine Transaktionen erfolgt, allerdings habe ich auch die 2 Faktor Funktion in Verwendung.
Vielen Dank für den Hinweis, zunächst dachte ich es handelt sich nur um eine Racheaktion, da ich nicht "für Freunde" verwendet habe, sonder die Gebühr draufgerechnet hatte. Ich hoffe jetzt nur, ich krieg das Geld für die Transaktion zurück.
Meine versaute e-mail Adresse wird mich vermutlich noch ein Weilchen beschäftigen.
Es scheint wieder ein aktuelles Thema zu werden. Ich kann es nicht genau zuordnen woher es kommt. Kleinanzeigen klingt aber auch bei mir realistisch. Habe ebenfalls mit Käuferschutz bezahlt und bin gespannt wie es hier weitergeht.
Gestern fing mein E-mail Postfach an zu explodieren. Gestern waren es innerhalb einer Stunde ca 250 Mail. Heute Morgen ging es plötzlich nochmal los. Ca. 1200 Mails in einer Stunde.
Passwörter habe ich bereits gestern alle geändert.
Mir ist heute das selbe passiert.
Im Detail:
18:07 schaute ich in mein Mail Postfach und stellte fest, dass ich bereits ca 500 Mails habe, die größtenteils auf reale Domains zurückzuführen sind – Newsletteranmeldungen!
18:03 Uhr kam die erste Mail, ich habe es also glücklicherweise recht schnell bemerkt.
18:20 konnte mein Mail Account auf inaktiv gesetzt werden (so dass alle weiteren Domains, bei denen ich angeblich Newsletter anmelde eine Fehler-Meldung erhalten)
Dann poppte ein Icon von Kleinanzeigen (ehem. Ebay Kleinanziegen) auf meinem Handy auf: "Ich habe Interesse an der Wärmebildkamera für 950 Euro". Ich hatte gar nichts inseriert und schon gar nicht eine Wärmebildkamera und war verwundert und zugleich alarmiert. Ich öffnete die App und sah, dass 18:08 jemand über meinen Account diese Kamera inserierte! Ich löschte die Anzeige sofort und ändere jegliche Passworte. Glücklicherweise hatte ich mein Paypal Konto nicht mit Kleinanzeigen verknüpft.
Was ich mich aber frage: Was hätten die 'Täter" erreichen wollen mit dem Verkauf einer Wärmebildkamera über meinen Account?
Da ich bei allen Zahlungsdienstleistern ink. Paypal 2-Faktor Authentifizierung nutze, ist auch da zum Glück nichts zu sehen.
Ich gehe definitiv von der Schwachstelle KLEINANZEIGEN aus!
Sicherlich werde ich die nächsten Tage noch viele Aufräumaktivitäten aka Newsletterabmeldungen zu tätigen haben.
Heute war meine Frau betroffen
145 Mails, dann 2 Mails Paypal: 1x Einrichtung Sepa-Mandat und 1x Bestellung für 60,00 Mullvad VPN.
Identisch hatte Sie es so schon vor 6 Monaten.
Passiert ist nie etwas da meine Frau keinen Account bei Paypal hat.
Hallo,
letzte Woche hatte ich auch das Problem mit den Newslatter. Wurde komplett zugemüllt.
Habe keine Ahnung von wo das kommt, habe keine Abbuchungen auf Paypal feststellen können. Habe aber die zweifaktoren Authentifizierung auf Paypal und habe am gleichen Tag noch überall meine Emailadresse geändert.
Auf der alten Email werde ich immer noch zugemüllt, nur ist es nicht mehr so extrem.
Auf Ebay-Kleinnzeige war ich in letzter Zeit nicht tätig.
Hi,
heute bin ich auch Opfer einer solchen Email Flut geworden. Innerhalb von 20 Minuten kamen 120 Mails an. Jetzt lässt es etwas nach, aber es tröpfeln immer noch welche nach.
Zuvor hatte ich von o2 eine SMS bekommen, dass meine persönlichen Daten geändert wurden, was ich nicht getan habe. Ich habe mich direkt eingeloggt und das Passwort und die Adresse wieder geändert. Leider zu spät, denn es wurde eine Bestellung für ein neues Handy ausgelöst. o2 werden ich direkt morgen früh kontaktieren.
Sämtliche Passwörter von verschiedenen Accounts habe ich ebenfalls geändert.
Es scheinen also nicht nur Paypal oder ebay Kleinanzeigen die Übeltäter zu sein.
Auch in bin Opfer einer ähnlichen Masche geworden. Zwischen ca. 150 Mails war eine valide Paypal Mail mit der Bestätigung eines Lastschriftmandats.
Nach Rücksprache mit Paypal hat der Betrüger ein Gastkonto mit meiner (alten) Kontonummer und alten Adressdaten angelegt und wollte damit Einkäufe tätigen.
Jedoch existiert das Konto nicht mehr und die adressdaten waren 8 Jahre alt.
Scheinbar ein Databreach. Paypal hat das Gastkonto gelöscht und auch mein altes Konto intern gesperrt.