Neue (alte) Scam Masche: Dein Mailkonto wurde gehacked

Smalltalk
Antworten
reox
Beiträge: 2460
Registriert: 06.06.2006 22:09:47
Lizenz eigener Beiträge: MIT Lizenz

Neue (alte) Scam Masche: Dein Mailkonto wurde gehacked

Beitrag von reox » 19.11.2018 10:13:58

Durchaus spaßiger Scam:

Code: Alles auswählen

   Hello!

   My nickname in darknet is Jas0nM4n.
   I hacked this mailbox more than six months ago,
   through it I infected your operating system with a virus (trojan) created
   by me and have been monitoring you for a long time.

   If you don't belive me please check 'from address' in your header, you
   will see that I sent you an email from your mailbox. (foo@bar.com)

   Even if you changed the password after that - it does not matter, my virus
   intercepted all the caching data on your computer
   and automatically saved access for me.

   I have access to all your accounts, social networks, email, browsing
   history.
   Accordingly, I have the data of all your contacts, files from your
   computer, photos and videos.

   I was most struck by the intimate content sites that you occasionally
   visit.
   You have a very wild imagination, I tell you!

   During your pastime and entertainment there, I took screenshot through the
   camera of your device, synchronizing with what you are watching.
   Oh my god! You are so funny and excited!

   I think that you do not want all your contacts to get these files, right?
   If you are of the same opinion, then I think that $500 is quite a fair
   price to destroy the dirt I created.

   Send the above amount on my BTC wallet (bitcoin):
   3P5yeiyWLciKi28yY22LdRntJucSuedTq4
   As soon as the above amount is received, I guarantee that the data will be
   deleted, I do not need it.

   Otherwise, these files and history of visiting sites will get all your
   contacts from your device.
   Also, I'll send to everyone your contact access to your email and access
   logs, I have carefully saved it!

   Since reading this letter you have 48 hours!
   After your reading this message, I'll receive an automatic notification
   that you have seen the letter.

   I hope I taught you a good lesson.
   Do not be so nonchalant, please visit only to proven resources, and don't
   enter your passwords anywhere!
   Good luck!
Auf der Bitcoin Adresse ist tatsächlich sogar eine Zahlung eingetroffen... Das dürften zu dem Zeitpunkt tatsächlich etwa 500€ gewesen sein. :facepalm:

Wenn man sich aber die Header anschaut:

Code: Alles auswählen

Received: from sv3.euro-msg.info (sv1.kalori.info [185.24.233.125])
        by bla.bar.com (Postfix) with ESMTPS id 5FBA51200D3
        for <foo@bar.com>; Sat, 17 Nov 2018 19:23:13 +0100 (CET)
Received: by sv3.euro-msg.info (Postfix, from userid 10000)
        id 1021CFDD63; Sat, 17 Nov 2018 10:31:27 -0500 (EST)
To: foo@bar.com
Subject: foo@bar.com was hacked.
X-PHP-Originating-Script: 10000:c.php
MIME-Version: 1.0
Content-type: text/html;charset=UTF-8
From: "foo@bar.com" <foo@bar.com>

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Neue (alte) Scam Masche: Dein Mailkonto wurde gehacked

Beitrag von MSfree » 19.11.2018 11:12:34

reox hat geschrieben: ↑ zum Beitrag ↑
19.11.2018 10:13:58
Durchaus spaßiger Scam:

Code: Alles auswählen

 ...
   If you don't belive me please check 'from address' in your header, you
   will see that I sent you an email from your mailbox. (foo@bar.com)
ROFL, Prust....

...und jetzt ist der Kaffee über meine ganze Tastaur verteilt. 8O

reox
Beiträge: 2460
Registriert: 06.06.2006 22:09:47
Lizenz eigener Beiträge: MIT Lizenz

Re: Neue (alte) Scam Masche: Dein Mailkonto wurde gehacked

Beitrag von reox » 19.11.2018 11:31:05

MSfree hat geschrieben: ↑ zum Beitrag ↑
19.11.2018 11:12:34
...und jetzt ist der Kaffee über meine ganze Tastaur verteilt. 8O
Soooorry ;)

Benutzeravatar
schorsch_76
Beiträge: 2535
Registriert: 06.11.2007 16:00:42
Lizenz eigener Beiträge: MIT Lizenz

Re: Neue (alte) Scam Masche: Dein Mailkonto wurde gehacked

Beitrag von schorsch_76 » 19.11.2018 11:51:50

Das hatte ich auch. Ich habe ein paar zusätzliche Regeln in postfix eingebaut.

smtpd_sender_restrictions = permit_mynetworks,
permit_sasl_authenticated,
reject_non_fqdn_sender,
reject_unknown_sender_domain,
reject_rbl_client sbl.spamhaus.org,
reject_rbl_client cbl.abuseat.org,
reject_rbl_client dul.dnsbl.sorbs.net,
permit

disable_vrfy_command = yes
smtpd_delay_reject = yes
smtpd_helo_required = yes

smtpd_error_sleep_time = 1s
smtpd_soft_error_limit = 10
smtpd_hard_error_limit = 20

Danach war es weg :)

r4pt0r
Beiträge: 1237
Registriert: 30.04.2007 13:32:44
Lizenz eigener Beiträge: MIT Lizenz

Re: Neue (alte) Scam Masche: Dein Mailkonto wurde gehacked

Beitrag von r4pt0r » 19.11.2018 14:45:05

Deshalb SPF und DKIM am mailserver - das verhindert von vorn herein dass mails mit gespooften Absenderadressen überhaupt angenommen werden...

Und bezüglich dem Inhalt der Mail - mal abgesehen von den lächerlichen behauptungen:
Wer heute noch identische Passwörter/Logins für verschiedenen accounts/dienste verwendet - am besten mit kurzen und "einfach zu merkenden" passwörtern - dem gehörts nicht anders als dass er zum opfer von credential stuffing wird wenn wieder mal eine der "vertrauenswürdigen" social media plattformen ihre userdatenbank/backups irgendwo offen rumliegen lässt...

Passwortmanager gibts mittlerweile mehr als genug - auch nicht-proprietäre, nicht-cloud Lösungen wie z.B. pass.
Man muss sich keine Passwörter mehr merken (-> min 30 stellen und zufallsgeneriert) und erst recht nicht für mehrere Accounts verwenden.
Kombiniert mit Diensten wie haveibeenpwned kann man dann auch recht schnell herausfinden WER ein passwort/login geleaked hat und den betreiber Kontaktieren.



BTW: schonmal die whois infos angeschaut?
% Abuse contact for '185.24.233.0 - 185.24.233.255' is 'abuse-report@servebyte.com'
VPS-hoster sind mittlerweile i.d.r. _SEHR_ empfindlich wenns um phishing geht, da deren netze sonst ziemlich schnell auf den blacklisten von spamhaus sowie gmail, outlook usw landen. Wenn sie dort sowieso schon gelistet sind: warum nutzt du keine DNSBL?

Antworten