{"id":228027,"date":"2020-02-09T11:50:23","date_gmt":"2020-02-09T10:50:23","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=228027"},"modified":"2024-03-28T11:21:36","modified_gmt":"2024-03-28T10:21:36","slug":"massen-newsletter-spam-und-der-paypal-konten-hack","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/02\/09\/massen-newsletter-spam-und-der-paypal-konten-hack\/","title":{"rendered":"Massen-Newsletter-Spam und der Paypal-Konten-Hack"},"content":{"rendered":"

[English<\/a>]Heute noch ein Sicherheitsthema, was mir von einem Blog-Leser zugetragen wurde. Ein Nutzer wurde mit Newsletter-Anmeldungen zugespammt. Und am Ende des Tages stellte sich das Ganze als Hack seines PayPal-Kontos heraus. Ich bereite den Fall mal auf, um auf die neue Betrugsmasche hinzuweisen.<\/p>\n

<\/p>\n

\"\"Blog-Leser Markus Weis betreibt einen IT-Service und wir stehen seit l\u00e4nger Zeit in Kontakt, bzw. Markus hat hier im Blog schon den einen oder anderen Hinweis hinterlassen. K\u00fcrzlich hat er mich per Mail mit einer merkw\u00fcrdigen Beobachtung kontaktiert.<\/p>\n

Massiver Newsletter-Spam bei einem Kunden<\/h2>\n

Markus schrieb mir in der ersten Mail: Haben Sie so was schon mal gesehen? … oder von aktuellen \u00e4hnlichen Vorf\u00e4llen\/Opfern geh\u00f6rt?<\/em> Dabei verwies er auf seinen Blog-Beitrag Formularspambot l\u00e4uft Amok? Nutzer erh\u00e4lt tausende eMails mit Newsletteranmeldungen (Newsletter Signup Confirmation Spam<\/a>). Die Kurzfassung:<\/p>\n

Ein ganz besonderer Hilferuf eines Kunden erreichte uns heute (5. Februar 2020) um ca. 16 Uhr: \u201eHilfe, unser Mailpostfach wird seit Stunden mit zigtausend eMails (Newsletter-Anmeldungen, Kontaktformularantworten) verschiedenster Herkunft geflutet.\"<\/em><\/p><\/blockquote>\n

Markus hat sich dann das Ganze angesehen und schrieb mir, dass da Spambots unterwegs seien, die Kontaktformulare von Homepages exploiten\/antesten und zum Spamversand missbrauchen. Das ist bekannt (da wird das CGI-Skript formmail.pl <\/em>zum Spamversand missbraucht). Aber das erkl\u00e4rt nicht, was beim Kunden passierte. Dazu schreibt Markus:<\/p>\n

Nach ca 100 Stichproben war n\u00e4mlich klar erkennbar, dass es sich vorrangig um echte Newsletter-Anmeldebest\u00e4tigungs-EMails <\/strong>(\u201eSpam Signups\") handelt.<\/p>\n

Dass die eMails keine Fake-Mails waren, wurde recht schnell klar als wir versuchten, uns f\u00fcr 10 zuf\u00e4llig aus den eMails ausgesuchten Newsletter auf der Homepage der jeweiligen Anbieter anzumelden. Im konkreten Fall unseres Kunden trudelten binnen 5 Stunden \u00fcber 8000 solcher eMails ein, aus allen erdenklichen L\u00e4ndern in allen erdenklichen Sprachen: deutsch, englisch, spanisch, skandinavisch, niederl\u00e4ndisch, franz\u00f6sisch, italienisch, russisch, chinesisch, arabisch etc.<\/p><\/blockquote>\n

War mir noch nicht untergekommen und ich konnte mir auch keinen wirklichen Reim darauf machen. Ein Gedanke w\u00e4re, dass so ein Erpressungsversuch per Spam-Bot vorbereitet w\u00fcrde: Zahle den Betrag X, wenn Du von diesem Newsletter-Spam verschont werden willst. Aber die Erkl\u00e4rung ist viel einfacher \u2026<\/p>\n

Aufl\u00f6sung: PayPal-Hack als Ursache<\/h2>\n

Ich hatte mit Markus verabredet, das Thema im Blog anzusprechen, als mich eine zweite Mail erreichte. Die Ursache ist nun klar, und noch weniger erfreulich. In einem Nachtrag zu seinem Blog-Beitrag<\/a> legt Markus die Details offen:<\/p>\n

Wie sich im Nachhinein herausstellte, wurde das Paypal-Konto des Opfers missbraucht; leider hatte der Kunde:<\/p>\n

1.)\u00a0 f\u00fcr sein Paypal-Konto bequemlicherweise ein Kennwort verwendet, das er auch bei anderen Plattformen verwendete<\/p>\n

2.) im Paypal-Konto und die 2Faktor-Authentifizierung nicht aktiviert.<\/p>\n

Zwischen den tausenden Spam-Mails fanden sich dann auch die drei Paypal-eMails mit den missbr\u00e4uchlichen Zahlungen\/Bestellungen.<\/p><\/blockquote>\n

Ab diesem Punkt ergibt das Ganze dann einen Sinn. Markus schreibt dazu in seinem Blog-Beitrag:<\/p>\n

Damit die von Paypal gesendeten eMails der betr\u00fcgerischen Paypal-Zahlung dem Opfer nicht auffallen, wird dieser einfach mit tausenden eMails \u00fcberschwemmt, in der die Paypal-Mails untergehen\/\u00fcbersehen werden.<\/p>\n

Der Spuk ist nach einigen Tagen vorbei, denn dann ist die auf fremde Kosten bestellte Ware am Zielort l\u00e4ngt bei einem Strohmann angekommen.<\/p>\n

Da die Betr\u00fcger keinen Zugriff aufs Mailkonto des Opfers hatten, konnten Sie die eMails nicht l\u00f6schen, anhand deren dem Opfer dubiose Vorg\u00e4nge seines Paypalkontos aufgefallen w\u00e4ren.<\/p>\n

Daher griffen die Betr\u00fcger zu Plan B: Dem klassischen H\u00fctchenspielertrick \u2026 einem Ablenkman\u00f6ver! Sprich: Sie fluteten das Mailpostfach des Opfers, damit er bestimmte Mails \u00fcbersieht.<\/p><\/blockquote>\n

Die Betr\u00fcger lie\u00dfen die Arbeit von einem Spambot erledigen, der dazu schlecht abgesicherte, captcha-lose Newsletteranmeldeformulare missbraucht. Was bei diesem Ansatz auch aufgefallen ist: Wie viele Newsletter es wohl noch gibt, die nicht DSGVO-konform ohne double-optin arbeiten. Die Details sind im Blog-Beitrag von Markus nachzulesen. Danke an Markus Weiss f\u00fcr den Hinweis \u2013 vielleicht hilft es mal jemandem von euch weiter.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nAktuell \"Password-Reset\" Flut \u2013 l\u00e4uft da ein Angriff?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Heute noch ein Sicherheitsthema, was mir von einem Blog-Leser zugetragen wurde. Ein Nutzer wurde mit Newsletter-Anmeldungen zugespammt. Und am Ende des Tages stellte sich das Ganze als Hack seines PayPal-Kontos heraus. Ich bereite den Fall mal auf, um auf die … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[1896,2564,7886,3534,4328,425],"class_list":["post-228027","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-betrug","tag-hack","tag-newsletter","tag-paypal","tag-sicherheit","tag-spam"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/228027","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=228027"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/228027\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=228027"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=228027"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=228027"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}