Zum letzten Punkt: Die Mail stammt laut Mail-Client von meinem eigenen E-Mail-Konto. Insider wissen aber, dass die Absenderadresse einer Mail sich f\u00e4lschen l\u00e4sst, das ist also auch Schall und Rauch. Im aktuellen Fall gibt es noch eine interessante Erkenntnis, die mir erst beim Schreiben dieses Blog-Beitrags aufgefallen ist. Hier mal der Header der Nachricht<\/p>\n
\nX-Account-Key: account4\r\nX-UIDL: 1M91g8-1sg1fJ3y58-009Neg\r\nX-Mozilla-Status: 0001\r\nX-Mozilla-Status2: 00000000\r\nX-Mozilla-Keys: \r\nReturn-Path: <meine mailadresse>\r\nAuthentication-Results: kundenserver.de; dkim=none\r\nReceived: from [172.31.196.42] ([34.169.75.128]) by mx.kundenserver.de\r\n (mxeue103 [217.72.192.67]) with ESMTP (Nemesis) id 1MpBiT-1sHeCS0njL-00cm81\r\n for <meine mailadresse>; Mon, 02 Sep 2024 05:02:59 +0200\r\nContent-Type: multipart\/mixed; boundary=\"===============3012448042209797363==\"\r\nMIME-Version: 1.0\r\nFrom: meine mailadresse\r\nTo: meine mailadresse\r\nSubject: =?utf-8?q?Rechnungszahlung!?=\r\nEnvelope-To: <meine mailadresse>\r\nX-Spam-Flag: NO<\/pre>\n<\/blockquote>\nIn allen Feldern f\u00fcr die E-Mail-Adresse wird meine Mailadresse aufgef\u00fchrt. Aber dkim=none<\/em> besagt, dass keine Authentifizierung der E-Mail per \"DomainKeys Identified\" Mail erfolgt. Hab dann mal geschaut, ist bei Mails, die ich an mich selbst schicke, auch nicht der Fall. Aber bei den IP-Adressen unter \"Received\" k\u00f6nnte man schon stutzig werden. Da taucht eine IP-Adresse 34.169.75.128 auf, deren Details mir als:<\/p>\nCity: The Dalles
\nRegion: Oregon (OR)
\nPostal code: 97058
\nCountry: United States (US)
\nContinent: North America (NA)
\nMetro code: 820<\/p><\/blockquote>\n
ausgeworfen werden. Ich schicke mir also aus den USA selbst eine E-Mail – so, so. Rundet aber lediglich das ab, was ich bereits bei einer SPAM-Mail erwartet habe, denn bisher ist mir kein Anzeichen bekannt, dass mein E-Mail-Konto gehackt w\u00e4re.<\/p>\n
Wenn dem Spammer ein Fehler passiert<\/h3>\n
Und dann war noch etwas merkw\u00fcrdig – hatte ich so eigentlich nicht erwartet, weil Spammer das keinesfalls aufgedeckt haben m\u00f6chten. Als ich mir die SPAM-Mail beim Schreiben des Blog-Beitrags nochmals genauer angeschaut und ganz nach unten gebl\u00e4ttert habe, fand sich – nach sehr viel \"Wei\u00dfraum\" dort folgender Text:<\/p>\n
Hello there,<\/p>\n
We are having difficulties synchronizing your store (STORINO) with our service. Note that campaigns are not running while the sync is interrupted.
\nOur automated diagnostics gave this error:
\nUnknown problem – please contact support<\/p>\n
Please check that the store is online and that the API Connection code is correct.<\/p>\n
Once your Connection Settings page verifies that everything is OK, the sync will re-establish with your store and your campaigns will be active again.<\/p>\n
We will send an \"all is well\" email when the problem is resolved.<\/p>\n
Sincerely,
\nThe Remarkety Team<\/p>\n
support[@]remarkety.com<\/p><\/blockquote>\n
Shit happens. Remarkety ist eine eCommerce-Marketing-Automatisierungsl\u00f6sung zur Steigerung von Umsatz, Engagement und eCommerce-ROI durch E-Mail-, Mobil- und Social Media-Kampagnen unter Verwendung von eCommerce-Einkaufsverhalten und Echtzeitdaten. Ich gehe mal davon aus, dass die diese Sextortion-Mails nicht bewusst forcieren, die behaupten sogar, kompatible zur DSGVO zu sein und unterhalten auch ein B\u00fcro in Gro\u00dfbritannien. Ich und habe denen eine Abuse-Meldung mit den Details geschickt. In obigem Text sind zwei Links enthalten, die dem Anbieter m\u00f6glicherweise die Identifikation des Kontos, unter dem die SPAM-Mail verschickt wurde, erm\u00f6glichen. Mal schauen, was passiert.<\/p>\n
Kurzes Fazit<\/h2>\n
Nat\u00fcrlich wird nicht jeder Empf\u00e4nger die obige Mail so im Detail, wie hier gezeigt, analysieren. Der Fall zeigt erneut, dass man gegen\u00fcber jeglicher E-Mail ein gesundes Misstrauen haben sollte. Hier ist es ziemlich schnell klar, das ist Betrug, gepaart mit einem Erpressungsversuch. Aber auch die Mails mit Trojanern oder Malware-Droppern und Ransomware-Angriffsversuchen etc. h\u00e4tten wesentlich seltener Erfolg, wenn deren Empf\u00e4nger die Nachrichten mit Skepsis betrachten und im Zweifelsfall jemand mit Kompetenz dr\u00fcber schauen lassen. In Teil 2 werfe ich noch einen Blick auf zwei Sextortion-Kampagnen, die noch ausgefeilter von ihren Inhalten sind und Fotos der Wohnumgebung oder Namen von angeblich betr\u00fcgenden Partnern aufweisen.<\/p>\n
\u00c4hnliche Artikel:<\/strong>
\nSextortion-Betrugsversuch I: Aufzeichnung des Porno-Konsums; und \"Rechnungszahlung\"<\/a>
\nSextortion-Betrugsversuche II: Mails mit angeblich pers\u00f6nlichen Informationen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"Aktuell laufen wieder sogenannte Sextortion-Kampagnen, bei der Opfer per E-Mail mit angeblich kompromittierendem Material erpresst werden sollen. Ich fasse daher einige Informationen der letzten Tage \u00fcber laufende Sextortion-Kampagnen in zwei Beitr\u00e4gen zusammen. In Teil 1 geht es um eine Mail … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-302779","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/302779","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=302779"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/302779\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=302779"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=302779"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=302779"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Aktuell laufen wieder sogenannte Sextortion-Kampagnen, bei der Opfer per E-Mail mit angeblich kompromittierendem Material erpresst werden sollen. Ich fasse daher einige Informationen der letzten Tage \u00fcber laufende Sextortion-Kampagnen in zwei Beitr\u00e4gen zusammen. In Teil 1 geht es um eine Mail mit dem \"Rechnungszahlung\", die mir vorige Woche ins Posteingangsfach geflattert ist und von 1&1 nicht als SPAM erkannt wurde. Tenor der Mail: Ein Trojaner hat mein System infiziert, Daten abgezogen und \"per Screenrecording meinen Pornokonsum aufgezeichnet\". Gegen einen kleinen Obolus k\u00f6nne ich mich aber von einer Ver\u00f6ffentlichung freikaufen. Nachfolgend\u00a0 analysiere ich mal die Sextortion-Mail, die mir ins Postfach geflattert ist.<\/p>\n![](\"https:\/\/i.postimg.cc\/7LkfQby7\/image.png\")
<\/p>\n