Kurze Meldung in Sachen Cybersicherheit. Die Stadt Brandenburg ist wohl am am gestrigen Nachmittag, den 12. Februar 2025, das Opfer eines SPAM- oder Cyberangriffs geworden. Inzwischen schlagen SPAM-Mitteilungen mit einer angeblichen Information des Amt für Soziales und Jugend bei E-Mail-Empfängern in Deutschland in Posteingangsfächern ein. Noch ist mir die Absicht hinter diesen SPAM-Mails unklar.
Anzeige
Ein Leserhinweis auf eine merkwürdige Mail
Blog-Leser Christopher G. hat mich gerade per E-Mail unter dem Betreff "Stadt Brandenburg gehackt?" über eine Merkwürdigkeit informiert. Hintergrund ist, dass ein Kunde von ihm aus dem öffentlichen Bereich (Behörde, Verwaltung) eine vorgebliche Mail des Sozialamts der Stadt Brandenburg – über einen BCC-Verteiler – erhielt.
SPAM-Mail, Zum Vergrößern klicken
Es handelt sich um einen Antwortmail, die wohl an einen Verteiler gegangen sein könnte (so dass der Kunde aus dem öffentlichen Bereich die Nachricht erhielt). Die Nachricht bestätigt, dass der Empfänger (Sozialamt der Stadt Brandenburg) die Anfrage erhalten habe. Im Text weist vorgeblich das Amt für Jugend und Soziales der Stadt Brandenburg an der Havel auf Empfänger darauf hin, wer für Fälle von Kindswohlgefährdung oder drohender Obdachlosigkeit zuständig sei. So weit so normal – Sozialbehörden verschicken schon mal solche Informationen an Stellen, die sich um so etwas kümmern.
Was aber stutzig macht, sind die im Header der E-Mail angegebenen Absender, die zu obskuren Webseiten eines Escort-Diensts auf Aruba und einen Massenmailer adsvbrb[.]loc verweisen. Bei einer Suche nach dieser URL im Web taucht u.a. die Webseite der Stadt Brandenburg mit auf. Es deutete also einiges auf einen Hack hin – obwohl ich im Quelltext der Webseite nicht dergleichen mehr finden konnte.
Anzeige
Inoffizielle Bestätigung
Ich hatte im Vorfeld der Aufbereitung dieser Meldung versucht, eine Stellungnahme der Presseabteilung der Stadt Brandenburg zu erhalten, aber telefonisch keinen Erfolg. Inzwischen weiß ich, dass der Pressesprecher eine Antwort auf meine E-Mail-Anfrage formulieren will – aber terminlich wohl aktuell verhindert ist. Vielleicht gibt es da dann mehr Details, die ich nachtragen werde.
Über weitere "informelle Kontakte" haben mir meine Quellen bestätigt, dass es einen "Cyberangriff auf die Stadt Brandenburg" gegeben habe. Am 12. Februar 2025 wurde die IT bzw. das E-Mail-System der Stadt wohl erfolgreich angegriffen und gegen 15:06 Uhr erfolgten erste SPAM-Wellen über einen Massenmailer. Die obige Mail wurde gegen 15:09 Uhr versandt.
Aktuell sei die IT dabei, diesen Vorfall zu klären. Wer also solche E-Mails, wie oben gezeigt, erhält, weiß nun um die Ursache. Ob die Spammer nur Zugriff auf eine Mailing-Liste hatten oder über ein kompromittiertes Postfach an E-Mail-Kontakte heran kamen, ist für mich derzeit offen. Mir ist aktuell auch der Sinn der obigen Mail unklar.
Die Stadt Brandenburg an der Havel ist eine deutsche Stadt westlich von Berlin und hat ca. 74.000 Einwohner. Die Stadt war übrigens bereits 2020 Opfer eines Cyberangriffs (siehe auch nachfolgende Links).
Ergänzende Informationen und Vermutungen
Es wurde in den Kommentaren erwähnt – und inzwischen habe ich weitere Lesermails gefunden (steckten im SPAM-Ordner), die einen Hack der Stadt Brandenburg vermuten – es gibt unterschiedliche Varianten der SPAM-Mails. Ein zweiter IT-Dienstleister merkte an, dass einer seiner Kunden am gestrigen 12. Februar 2025 über den Tag verteilt an die 100 Mails bekommen habe (die erste Mail ging gegen 08.00 Uhr ein). Hier die Header-Angaben aus dieser SPAM-Mail.
Es wird ein anderer Name unter "Im Auftrag von …" genannt. Und als An wird das Sozialamt der Stadt Potsdam angegeben. Die Header-Angaben weichen also leicht von obiger Mail ab.
Was mich umtreibt, ist die Frage nach dem Sinn dieser E-Mails. Nachdem mir ein zweiter Leser mitgeteilt hat, dass ein Kunde 100 Mails bekommen habe und ich den abweichenden Header gesehen habe, gibt es einen Verdacht. In den nachfolgenden Kommentaren werden Google-Mailing-Listen und Portale als Absender genannt.
Hier verweise ich auf den Blog-Beitrag Problem: SPAM-Welle über Mailing-Listen (Google Groups, Microsoft), wo ich das Problem der SPAM-Abwehr zur Diskussion gestellt habe. Aber zurück zu obigem Inhalt der Mail, der so gar keinen Sinn macht. Entweder ist den Spammern ein Fehler unterlaufen, so dass Systeme automatisiert die obige Nachricht verwenden.
Oder es soll im Vorfeld ein Angriff verschleiert werden – mir sind z.B. Ziel-E-Mail-Adressen, die für Rechnungseingänge verwendet werden, aufgefallen. Hier gehen mir die beiden Beiträge Massen-Newsletter-Spam und der Paypal-Konten-Hack und E-Mail-Bombing: Neue Spamwelle? Oder Verschleierung eines (Black Basta) Angriffs? durch den Kopf, wo ich auf Massen-E-Mails eingegangen bin.
Ähnliche Artikel:
Problem: SPAM-Welle über Mailing-Listen (Google Groups, Microsoft)
Massen-Newsletter-Spam und der Paypal-Konten-Hack
E-Mail-Bombing: Neue Spamwelle? Oder Verschleierung eines (Black Basta) Angriffs?
Phishing Scams 3.0 missbraucht iCloud, PayPal, Google Docs & Co.
Cyber-Angriffe: Stadt Brandenburg und Gemeinde Stahnsdorf offline
Vermuteter Cyberangriff auf Stadt Potsdam, Stadtwerke auch offline (29./30. Dez. 2022)
Anzeige
was für ein Cyberangriff? einfach nur weiterer Spam über Google Mailingslisten….
https://www.borncity.com/blog/2024/08/28/problem-spam-welle-ber-mailing-listen-google-groups-microsoft/
Emails "in behalf of", dazu braucht man keine Stadt zu hacken. Jetzt sieht der Hausmeister schon weiße Mäuse?
https://www.stadt-brandenburg.de/pressemitteilungen
Sind hier heute auch aufgeschlagen.
Mailingliste hj+help@ilt.escortaruba297.com
Ja, kann ich bestätigen. Die landen bei uns auch schon seit gestern im Spamfilter.
Was ich auf die schnelle gucken konnte scheint das wirklich Spam über Google Mailinglisten zu sein.
ok, danke für die Info, mir liegt nur die eingebundene Grafik vor. Irgend eine Idee, wie eure Postfächer auf die Google -Mailingliste gekommen sind? Und hat jemand eine Idee, was die Spam-Mail bewirken soll?
Hatten wir heute auch vermehrt. Wie einige Adressen darin landeten haben wir noch nicht herausgefunden und auch nicht was es bewirken soll. Letztlich sind die Mails irgendwelche Bestätigungsmail a la "Ihre Anfrage ist eingegangen" oder "Bestätigen Sie Ihre Email". Die Mailinglisten wurden wohl bei verschiedenen Portalen angegeben woraus dann solche Mails an uns gingen.
Und die Angabe zum Datenschutzbeauftragten ist namentlich mit "N. N." angegeben:
https://www.stadt-brandenburg.de/datenschutz
So was entsteht durch Formulare, die ein E-Mail-Feld haben. Dort kann man natürlich irgendeine Adresse eintragen und bekommt dann eine Antwort. Wenn der Text aus dem Textfeld auch Teil der Antwort-Mail ist, hat man eine schöne Spam-Nachricht. Wenigstens das war hier wohl scheinbar nicht der Fall.
Das ist kein Angriff. BRB sollte hier nur auf das senden der Mail verzichten und nur im Browser anzeigen, dass das Formular erfolgreich übermittelt wurde.
adsvbrb.loc wird ihre interne Domäne sein.
Was umso schlimmer sein dürfte. Deren Netze dürfen solange abbrennen, bis deren Super-Admins anfangen RFCs zu lesen!
Jemand richtet sich eine Konto bei Workspace mit einer eigenen Domain ein und erstellt einen Verteiler (Mailing list) mit den SPAM-Empfängern (wie jeder Andere SPAM-Versender).
Nun sendet er extern eine Mail (in meinem Fall von einer Icloud-Adresse) und der Verteiler schickt die an jeden Empfänger.
Einige der Empfänger Bouncen mit einer Empfangsbestätigung oder was auch immer. Nun sendet Google diese Mails auch an alle Empfänger.
Darum hatte hatte ich gestern auch 8-9 Mails mit merkwürdigen Inhalten,
Eigentlich ist Google hier schuld.
PS: Ich habe in der Mailbox auch die Mail, die das Bouncen ausgelöst hat. Irgendwas mit "ich soll doch aufhören Spams zu versenden, sonst BKA.
Kann man denn in die Mailing List in Workspace jeglichen Empfänger ohne vorherige Verifizierung (Opt-in) aufnehmen? Zumindest bei den normalen Mailing Lists via Google Groups geht das nicht. Oder sind Mailing Lists in Google Workspace was anders als im normalen Google-Account bzw. ähnlich Verteiler bei Outlook/Exchange?
Das kann ich Dir leider auch nicht sagen. Jedenfalls ist es so. Die ID der Google-Gruppe und deren Links stehen in den Headern.
Vielleicht haben die Spammer einen Weg gefunden, dies zu umgehen. Vielleicht gibt es da eine API, mit der man die Listen füllen kann.
Und der Günther Born könnte mal den Titel ändern. Ich weiß ziemlich zuverlässig, dass es kein Cyberangriff und Google schuld ist.
Ich möchte den Titel mit Fragezeichen stehen lassen, bis das Thema für mich endgültig geklärt ist. Ich hatte einige (nicht offizielle Informationen). Der Presseabteilung der Stadt Brandenburg liegt seit dem Erscheinen des Beitrags eine konkret formulierte Anfrage mit Bitte um Stellungnahme, ob es ein Cyberangriff sei, vor. Es hieß in einem Telefonat "wird zügig beantwortet" – bis zum heutigen 14.2.2025, 17:00 Uhr liegt mir keine Antwort vor. Wenn ich diese erhalten sollte, bewerte ich neu und trage ich es nach und entscheide dann, ob ich den Titel ändere.
Lies mal hier https://www.mcseboard.de/topic/228841-spam-%C3%BCber-google-workspace/