Ich stelle mal eine Leserbeobachtung hier im Blog ein, in der Hoffnung, dass sich möglicherweise noch andere Betroffene melden. Ein Leser hegt den Verdacht, dass es bei Comodo ein Datenleck gegeben haben könnte, bei denen Anmeldedaten für deren Forum abgeflossen sein könnten. Hintergrund ist, dass er seit einer Woche Spam auf eine spezielle E-Mail-Adresse erhält, die dort verwendet wurde.
Anzeige
Comodo und sein Forum
Comodo Group, Inc. ist eine Unternehmensgruppe, die Software und SSL-Zertifikate bereitstellt. Der Hauptsitz befindet sich in den Vereinigten Staaten in Clifton, New Jersey. Manche Leute werden den Namen noch von deren Firewall kennen – heute scheinen Nutzer deren Internet Security-Produkte einzusetzen. Details zum Produktportfolio finden sich auf der Unternehmensseite. Und es gibt ein Comodo-Forum, in dem sich Nutzer registrieren können.
SPAM auf spezielle Mail-Adresse
Blog-Leser Dennis hat sich vor einer Woche gemeldet, weil er über einen unschönen Sachverhalt gestolpert ist. Er ist wohl beim Comodo-Forum registriert, so weit so gut. Nun bekommt er auf die dort verwendete E-Mail-Adresse seit einigen Tagen SPAM-E-Mails. Dazu schrieb er mir:
Folgendes Anliegen, ich habe die letzten Tage 8 Spam Mails bekommen, soweit nichts Ungewöhnliches, jedoch fiel mir bei diesen etwas auf.
Alle wurden über Hotmail.com versendet und haben als Empfänger meine E-Mailadresse mit dem Zusatz +COMODO drin stehen.
Das mache ich ab und an zur Identifizierung, um zu wissen, wer meine Daten weitergibt. Daher weiß ich ganz genau, die Adresse habe ich nur bei https://forums.comodo.com/ in Gebrauch.
Dennis hat das gemacht, was ich auch Blog-Lesern empfehlen kann: Sofern möglich, separate E-Mail-Aliase erzeugen und dann für die Anmeldung in Foren – oder zur Kommentierung (z.B. hier im Blog) verwenden. Kommt es dann zu einem Datenleck, bei dem E-Mail-Adressen abgeflossen sind, weiß man meist, woher das Ganze kommt (es sei denn, der eigene Client ist infiziert und die Mails werden extrahiert).
Als dann die SPAM-Mails eintrudelten, hat Dennis im Comodo-Forum nachgefragt. Dort hieß es, der Nutzer solle doch mal auf haveibeenpwned.com prüfen, ob die Mail-Adresse dort bekannt ist. Aber dort taucht diese Mail-Adresse nicht auf. Dennis schließt daraus, dass die E-Mail-Adresse irgendwie bei Comodo im Forum abgeflossen sind muss, aber bisher niemand davon weiß.
Anzeige
Dennis schreibt: Im Forum steht die Mailsichtbarkeit per Standard auf "Never shown to the public.". Die Mail-Adresse kann man also nicht einfach so öffentlich einsehen. Wäre natürlich noch eine Möglichkeit, dass jemand intern im Forum solche Mail-Adressen sehen kann, kopiert hat und dann an einen SPAM-Versender weiter gegeben hat. An dieser Stelle daher die (Honeypot-)Frage: Hat zufälligerweise noch jemand aus der Leserschaft eine solche Erfahrung mit dem Comodo-Forum gemacht?
Anzeige
Gut möglich, dass die Adresse aus den alten Leaks von 2019 und 2022 „gegrabbed" wurde – falls der betroffene User zu diesem Zeitpunkt bereits registriert war.
Gerade bei populären Email-Anbietern, wie etwa GMAIL ist es ja bekannt, wie das Alias System funktioniert. Inzwischen haben einige Anbieter und auch private Mailserver-Betreiber das Konzept kopiert und es folgt im Wesentlichen immer dem gleichen Muster:
$NAME+$SUFFIX@$DOMAIN entspricht $NAME@$DOMAIN
Für einen Spammer, dem dieses Konzept bekannt ist, ist es nun ein einfaches, zu verschleiern, woher er die Email-Adresse hat, indem er das Suffix entfernt oder tauscht.
Betrüger könnten sogar durch den gezielten Austausch des Suffix bewusst Unternehmen in Misskredit bringen. Wobei das natürlich sehr gezielte Angriffe voraussetzt.
Zusammenfassend lässt sich sagen, dass dieses + Konzept keinerlei Sicherheit bringt und die Aussagekraft nur sehr gering ist. Aus meiner Sicht wäre es sinnvoller seine Zeit in einen gut konfigurierten Spamfilter zu investieren.
Spammer machen sich selten solche Mühe.
Sie wollen viele Adressen haben.
Warum sollten sie die Anzahl reduzieren?
Sie könnten auch kunstliche, funktionierende Address durch die "+" Funktion erzeugen.
Warum sollten sie?
Der Teil vor dem + funktioniert ja.
naja, und so paranoid durch das anhängen der Domain eines Konkurrenz Forums im diesen zu schaden ist wohl keiner.
Hier wäre tatsächlich ein Loch in der Forumsoftware die einfachste Lösung, wenn komplett ausgeschlossen werden kann, dass die spezielle Email Adresse z.B. via PM einem Forums Mitglied übermittelt wurde und der einen Trojaner hat.
Insbesonders da es sich um einen Einzelfall zu handeln scheint.
Ich habe mir bei der Telekom im Portal ein paar Aliasse angelegt, die ich noch nirgends benutzt habe, nur um sie zu haben, falls ich sie mal brauche. Aber auch über diese habe ich schon Spam erhalten. Die Spammer kontruieren manchmal auch Mailadressen und freuen sich wohl, wenn sie vom Provider tatsächlich angenommen werden.
ich hatte auch Jahre lang "unique" local parts verwendet. Niemals ist darauf eine Spam gekommen.
Ich konnte diese localparts gut zum sortieren von Deppen-Firmen verwenden, die keine Referenz-ID im Mail Header hatten, aber mehrere Absender(Domains). Aber irgendwann wurde es einfach zu lästig.
Einmal ist meine Email Adresse mal an spammer
gefallen. Er hatte einen Trojaner auf seinem PC und der hat alles was wie eine Email Adresse aussah nach Hause telefoniert.
Zwischen Infektion und erstem Spam lagen Wochen. Klar da die Spammer ihre Quelle nicht verraten wollen.
möglich ist auch, das im Forum jemand die Email Adresse in ein Zitat eingebaut hat und so offensichtlich wurde. Zwar nicht durch die Forum Software, aber dem anderen User. Aber moderne Forum Software cloaken email addressen.
Also der Empfänger meiner E-Mail hatte einen Trojaner auf seinem PC, nicht der Spammer.
Der hat den Trojaner nur genutzt.
"Kommt es dann zu einem Datenleck, bei dem E-Mail-Adressen abgeflossen sind, weiß man meist, woher das Ganze kommt (es sei denn, der eigene Client ist infiziert und die Mails werden extrahiert). "
Das kann man mit hoher Wahrscheinlichkeit abgrenzen:
Kommt nur auf 1 dedizierten Alias SPAM trägt der betreffende Partner Schuld, kommt (zeitnah) auf mehreren/vielen Aliasen ist man wohl selbst betroffen.
Nur um Mal Spekulationen auszuräumen,
es tauchen bei den Empfängern weitere Adressen auf, Mal normale aber eben auch ****+comodoForums@gmail.com also ebensolche die es wie ich machen.
Leider hat sich seitens comodo noch keiner mit mir in Verbindung gesetzt, sonst hätte ich denen zum Abgleich ihrer UserDB Mal weitere Empfänger Adressen mitteilen können.
Sind die alten Leaks denn Public? Denn beim Check kam ja nichts raus. Der Spam kam jetzt auch erst seit neuestem, wäre eigenartig wenn das ein alter Dump sein soll und bisher nichts rein kam 🤔
Und nein, mein Gerät ist nicht infiziert, das letzte Mal dass mir was auf die Kiste gelangt ist, war der Sasser auf ner LAN Party als er frisch war und man schlicht nichts tun konnte.