![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Die Tage sind mir wieder eine Reihe Phishing-Mails\u00a0 oder Meldungen zu Phishing untergekommen. So wird mein Postfach von DocuSign-Phishing-Mails von Amazons E-Mail-Dienst geflutet, weil 1&1 das im SPAM-Filter nicht erkennt. Auch eine ADAC-SPAM-Nachricht kam durch. Weiterhin sollten Paypal- und Microsoft 365-Nutzer wachsam sein, da es Angriffe gibt.<\/p>\n
<\/p>\n
Zum Versand der SPAM-Nachricht verwenden die Spammer einen relativ neuen Ansatz\u00a0 und missbrauchen das legitime E-Mail-System von PayPal (service@paypal.com). Dabei passen sie den Inhalt der E-Mail an, anstatt generische Phishing-Texte auf Rechnungsbasis zu verwenden.<\/p>\n In den Mails gebe es\u00a0keine Phishing-Links oder Weiterleitungen auf b\u00f6sartige Webseiten, was die Erkennung erschwert. Opfer enthalten lediglich die Telefonnummer des Betr\u00fcgers\u00a0 und werden aufgefordert anzurufen. Auf diese Weise werden herk\u00f6mmliche Spam-Filter umgangen, so dass die E-Mail den Posteingang des Opfers erreicht.<\/p>\n Ruft das Opfer den Betr\u00fcger an, gibt dieser sich als PayPal-Support aus und fordert den Kunden auf, sein Konto zu \"verifizieren\". Das Opfer wird angewiesen, einen vorkonfigurierten AnyDesk-Client namens PayPal.exe<\/em> von der Seite:<\/p>\n herunterzuladen. Dieser Client ist mit einem PayPal-Logo und -Thema versehen, um legitim zu erscheinen.<\/p>\n Die Datei ist sauber, so dass Antivirus-Software sie nicht blockieren wird. \u00dcber den AnyDesk-Client k\u00f6nnen die Betr\u00fcger auf den Computer des Opfers zugreifen und gelangen ggf. an die PayPal-Zugangsdaten des Opfers.<\/p>\n Ein anderer reddit.com-Benutzer erkl\u00e4rt das Ganze als DKIM Relay Attack. Die Betr\u00fcger erstellen ein Paypal-Burner-Konto. Sie \u00e4ndern die E-Mail-Adresse, geben aber die gesamte Nachricht als E-Mail-Adresse an. Der Trick besteht darin, dass PayPal die E-Mail an das \"Burner\"-Konto sendet und diese dann einschlie\u00dflich des DKIM-Headers an die E-Mail -Adresse des Opfers weiterleitet.<\/p>\n Denn DKIM erm\u00f6glicht die Weiterleitung von einem E-Mail-Server zu einem anderen, ohne dass der Header neu generiert werden muss. Es handele sich dabei um eine Art Spoofing, d. h., wenn jemand von legitimen E-Mail-Quellen sendet, kann er den DKIM-Header kopieren und an eine andere E-Mail-Adresse weiterleiten. Diese Technik wurde bereits bei Paypal-Rechnungen angewandt, die an die eigene E-Mail-Adresse geschickt und dann an andere E-Mails weitergeleitet wurden, damit die Leute die Rechnung in ihrem Paypal-Konto nicht \u00fcberpr\u00fcfen konnten, da sie an eine andere Adresse geschickt, aber an die eigene E-Mail-Adresse weitergeleitet wurde.<\/p>\n Das Ganze f\u00e4llt auf, wenn das Opfer nicht auf die SPAM-Mail reagiert, sondern sich an seinem PayPal-Konto anmeldet. Dort ist von der Adress\u00e4nderung oder einer fingierten Bestellung nichts zu sehen. Bleeping Computer hat die Masche in diesem Beitrag<\/a> beschrieben. Einen deutschsprachigen Beitrag gibt es bei Golem<\/a>.<\/p>\n Angreifer nutzen den Umstand, dass viele Microsoft 365-Konten nicht per MFA abgesichert sind. Sicherheitsforscher von Security Scorecard haben in diesem Artikel eine Kampagne von\u00a0Passwort-Spraying-Angriffen von 130.000 Bots auf Microsoft-365-Konten entdeckt<\/a>.<\/p>\n Die Bots probieren einfach Listen mit Zugangsdaten an Microsoft 365-Konten mit Basic-Authentifizierung aus, um sich ggf. Zugriff zu verschaffen. Bleeping Computer hat die Erkenntnisse von Security Scorecard in diesem Artikel<\/a> aufbereitet. Einen deutschsprachigen Beitrag gibt es bei Golem<\/a>.<\/p>\n Seit dieser Woche sind gleich drei Mails mit dem Betreff \"(1 New) Secure Your DocuSign Document \u2013 Action Required #05c70c0bfae7db140e7b111492a3a18e<\/em>\" in meinem Postfach eingeschlagen (der 1&1-SPAM-Filter hat da gepatzt).<\/p>\n Es wird suggeriert, dass man ein DocuSign-Document sichern solle. Angeblich geht es um eine Rechnung und eine Bestellung und man m\u00fcsse eine Datei abrufen, um ein verschl\u00fcsselte Korrespondenz zu erhalten. Der Anbieter glitch.me<\/em> wird aber seit langem f\u00fcr Phishing-Versuche missbraucht.<\/p>\n Die \u00fcber die Schaltfl\u00e4che aufgerufene URL kam mir seltsam vor, so dass ich die URL auf virustotal.com \u00fcberpr\u00fcfen lie\u00df (erfordert neuerdings eine Anmeldung). Dort wurde die URL bereits von zwei Sicherheitsanbietern als Phishing gelistet. Hier noch der Quellcode des Headers:<\/p>\n Es wird wohl der Amazon Simple E-Mail-Service amazonses.com missbraucht.<\/p>\n Eine weitere Phishing-Mail versuchte mir weiszumachen, dass ich mich umgehend beim neuen Sicherheitsstandard\u00a03-D Secure des ADAC registrieren soll.<\/p>\n Die Phisher setzen wohl darauf, dass es vom ADAC auch entsprechende Kreditkarten gibt. Lustig ist die Adresse des Absenders noreply[@]spond.com – ein Anbieter, der irgend etwas f\u00fcr Sportvereine anbietet, seine Webseite aber so krude aufgesetzt hat, dass ich auch nach einer Minute nicht verstanden habe, was die wirklich machen. Die haben nix mit dem ADAC gemein.<\/p>\n Aus obigem Header schlie\u00dfe ich, dass der spond[.]com-E-Mail-Server irgendwie missbraucht wird – ob \u00fcber deren App oder Webseite wei\u00df ich nicht.<\/p>\n <\/p>\n <\/p>\n","protected":false},"excerpt":{"rendered":" Die Tage sind mir wieder eine Reihe Phishing-Mails\u00a0 oder Meldungen zu Phishing untergekommen. So wird mein Postfach von DocuSign-Phishing-Mails von Amazons E-Mail-Dienst geflutet, weil 1&1 das im SPAM-Filter nicht erkennt. Auch eine ADAC-SPAM-Nachricht kam durch. Weiterhin sollten Paypal- und Microsoft … Weiterlesen Vor einigen Tagen ging eine Meldung \u00fcber eine neue PayPal-Phishing-Masche durch die Medien. PayPal-Nutzer erhielten eine E-Mail mit der Benachrichtigung, dass sich ihre Versandadresse ge\u00e4ndert habe. In diesem reddit.com-Post<\/a> hat ein Betroffener nachfolgendes Beispiel gepostet.<\/p>\n
![\"PayPal-Phishing-Mail\"](\"https:\/\/i.postimg.cc\/grbbD42x\/image.png\")
<\/p>\n*https:\/\/my[.]anydesk[.]com\/v2\/api\/v2\/custom-clients\/downloads\/public\/5KQBJMNM617J\/Paypal[.]exe\/<\/pre>\n
![\"AnyDesk-Client\"](\"https:\/\/i.postimg.cc\/TP6q6bpn\/image.png\")
<\/p>\nBot\u00a0Passwort-Spraying-Angriffe auf Microsoft-365-Konten<\/h2>\n
DocuSign-SPAM im Postfach<\/h2>\n
![\"DocuSign-SPAM\"](\"https:\/\/i.postimg.cc\/7hmv5pCn\/image.png\")
<\/p>\n![\"Virustotal](\"https:\/\/i.postimg.cc\/pLsPychZ\/image.png\")
<\/p>\nX-Account-Key: account4\r\nX-UIDL: 1MhDZU-1t91Tv1uBG-00loY4\r\nX-Mozilla-Status: 0001\r\nX-Mozilla-Status2: 00000000\r\nX-Mozilla-Keys: \r\nReturn-Path: <010001953eb81b0e-e3e2c0b3-abb0-474c-a319-c27ff77a2df5-000000@amazonses.com>\r\nAuthentication-Results: kundenserver.de; dkim=pass header.i=@naree.cam\r\nAuthentication-Results: kundenserver.de; dkim=pass header.i=@amazonses.com\r\nReceived: from a48-103.smtp-out.amazonses.com ([54.240.48.103]) by\r\n mx.kundenserver.de (mxeue102 [217.72.192.67]) with ESMTPS (Nemesis) id\r\n 1M7toq-1ti5Fb0CKA-001aIo for <gborn@***>; Tue, 25 Feb 2025 21:06:49\r\n +0100\r\nDKIM-Signature: v=1; a=rsa-sha256; q=dns\/txt; c=relaxed\/simple;\r\n\ts=abwmycfy5lu3hwxe5moujbe4lmk4gdyf; d=naree.cam; t=1740514007;\r\n\th=Content-Type:From:To:Subject:Message-ID:Content-Transfer-Encoding:Date:MIME-Version;\r\n\tbh=GAbeo5+2wtvyixqAO5lILOejmwTlnTD+Ou9pNd4JtzM=;\r\n\tb=ATR+riMmgz+ac44PbBT7qWBTspeqYZytIP7ajBXW6f\/dEOtIWQVhkcKzuTk7TbHy\r\n\tQvsZoUwEXGDt0iOzp5lLqsnAg+OWJs1+2oqP2BriBaC2mnwSFecliV00xLsudXMlSRO\r\n\tqfL+\/tZrvPpOz8QzYKRKMciOPl3SZGmO8m2DWMTM=\r\nDKIM-Signature: v=1; a=rsa-sha256; q=dns\/txt; c=relaxed\/simple;\r\n\ts=ug7nbtf4gccmlpwj322ax3p6ow6yfsug; d=amazonses.com; t=1740514007;\r\n\th=Content-Type:From:To:Subject:Message-ID:Content-Transfer-Encoding:Date:MIME-Version:Feedback-ID;\r\n\tbh=GAbeo5+2wtvyixqAO5lILOejmwTlnTD+Ou9pNd4JtzM=;\r\n\tb=HVuOTcUPPGvgUOVd82D3CmvFX7AF5h++fMIEoa8mG7gvG5DEdUMUL\/csVH5uhyIl\r\n\tkf5W9HMn65bdnIzcPnnzo9g2K\/MToo8PqnUWJs58V8QfQszJpr3P3IY4Qh1n754wLZC\r\n\tMYxWSp9V\/Qluau1iUWEci7qtiIMZGDyHqehyE61Y=\r\nContent-Type: text\/html; charset=utf-8\r\nFrom: DocuSign <info@naree.cam>\r\nTo: gborn@***\r\nSubject: =?UTF-8?Q?=281_New=29_Secure_Your_DocuSign_Documen?=\r\n =?UTF-8?Q?t_=E2=80=93_Action_Required_=2305c70c0bf?=\r\n =?UTF-8?Q?ae7db140e7b111492a3a18e?=\r\nMessage-ID: <010001953eb81b0e-e3e2c0b3-abb0-474c-a319-c27ff77a2df5-000000@email.amazonses.com>\r\nContent-Transfer-Encoding: quoted-printable\r\nDate: Tue, 25 Feb 2025 20:06:47 +0000\r\nMIME-Version: 1.0\r\nFeedback-ID: ::1.us-east-1.F0yDV7DnE46WuB3fa8AE0LIKLQful\/VSy8OM1WACwaw=:AmazonSES\r\nX-SES-Outgoing: 2025.02.25-54.240.48.103<\/pre>\n
ADAC-SPAM-Mail<\/h2>\n
![\"ADAC-Phishing\"](\"https:\/\/i.postimg.cc\/pT3wWk8s\/image.png\")
<\/a><\/p>\nX-Account-Key: account4\r\nX-UIDL: 1MMqGa-1u0jyK3VWW-00Qat6\r\nX-Mozilla-Status: 0001\r\nX-Mozilla-Status2: 00000000\r\nX-Mozilla-Keys: \r\nReturn-Path: <bounces+681595-4ded-gborn=borncity.de@em154.spond.com>\r\nAuthentication-Results: kundenserver.de; dkim=pass header.i=@spond.com\r\nReceived: from o1.outbound-mail.spond.com ([167.89.63.111]) by\r\n mx.kundenserver.de (mxeue003 [212.227.15.41]) with ESMTPS (Nemesis) id\r\n 1M9pMT-1tf6Nl1605-000NrM for <gborn@borncity.de>; Tue, 18 Feb 2025 10:08:04\r\n +0100\r\nDKIM-Signature: v=1; a=rsa-sha256; c=relaxed\/relaxed; d=spond.com;\r\n\th=from:subject:mime-version:to:content-type:cc:content-type:from:\r\n\tsubject:to;<\/pre>\n
<\/h2>\n