[Postfixbuch-users] [OT] Neue Art von Geschaeftsschaedigung

Robert Felber r.felber at ek-muc.de
Di Dez 19 10:20:10 CET 2006


Moin,

ok, so neu ist die Art nicht, jedoch die Qualitaet (zumindest fuer uns). 
Folgender Fall:

Wir, das Autohaus Erich Kuttendreier, sind momentan irgend jemandem ausgesetzt
der div. Auftraege in unserem Namen verteilt. Dabei verwendet er verschiedene
ESP/Mailsysteme, darunter auch chello.at, uibk.ac.at bzw. MTAs die den Absender
nicht verifizieren. Heist, entweder mit einem Pseudo Account oder mit 
gefaelschten Sender Informationen.

Dabei faengt er mitlerweile an Auftraege zu erteilen, wie zB die Anmietung
von Raeumlichkeiten, Catering Services, etc. Leider sind die Firmen, bei
denen er diese Auftraege erteilt, nicht in der Lage verwertbare Logs zu liefern
oder die Mail im Rohformat. Allein bei dem Misbrauch des Uni-Insbruck Webmail
Services war ich in der Lage zu erkennen, wie er vermutlich vorgeht.

Antwort duerfte offensichtlich sein, er misbraucht Zombies, einer solcher
Zombies duerfte chello212186004088.401.14.vie.surfer.at gewesen sein.

Nun sagt das garnix darueber ueber den Origin des Angriffs aus.
Unter diesem Gesichtspunkt lehne ich persoenlich uebrigens auch die gerichtliche
Verwertbarkeit von Einwahl und SMTP Logs ab.

Folgend (leider nur) der Mailbody mit der die Bestellung aufgegeben wurde:

---------------------
From: Foo Bar <Foo.Bar at chello.at>
To: kontakt at obfuscated
Sent: Wednesday, December 06, 2006 11:21 PM
Subject: Kundenfeier mit Präsentation



Art des Events:=Firmenveranstaltung
Personenzahl=100 - 300
Datum=18.01.2007
Einsatzzeit=20.00 bis 01.00
PLZ und Ort des Events=81827 München, Drosselweg 21
Name=Foo Bar
Firma=Kuttendreier
Adresse=Drosselweg 21
Tel.:=
e-mail=Foo.Bar at kuttendreier.de

textareaName=Sehr geehrte Damen und Herren!

Unsere Autohaus möchte am 18. Januar eine Firmenfeier machen,der wir alle unsere Kunden einladen.
Die Feier würde im Autohaus stattfinden. 
Dieser Veranstaltung mit diversen Präsentationen möchten wir durch Ihren Cocktailservice einen besonderen Hauch von Wohlbefinden unseren Kunden vermitteln.
Wir haben uns das so vorgestellt, dass Sie auf einen ihnen zur Vefügung gestellten Fläche eine kleine Bar aufbauen und dort Ihre Cocktails anbieten.
Ich bitte Sie mir das ungefähre Angebot so bald als möglich zu zu senden, da wir auch noch andere Services kontaktiert haben.

Ich verbleibe mit Hochachtung

Foo Bar
-----------------


Leider nur der Mailbody, da der Catering Service es momentan noch nicht 
schaffte, die Rohe Mail zu senden. Erfahren haben wir davon, als der catering
service uns (manuell) tatsaechlich ein Angebot erstellte.

Eine andere Art ist der Versuch des Erstellens von Yahoo accounts, wobei eine
"Aktivierungsmail" an kuttendreier.de geht, welche wir natuerlich nicht
bestaetigen, dies duerfte allerdings altbekannt sein.

Zu erkennen ist, dass der Typ zumindest des Deutsch maechtig ist. Daher liegt
ein Aufenthalt in .at oder .de nahe.

-- 
    Robert Felber (PGP: 896CF30B)
    Munich, Germany



Mehr Informationen über die Mailingliste Postfixbuch-users