[sage] Ursache für korrelierte Adressen in Spam-Mails?

[Frank Doepper]

Am 17.12.15 um 22:38 schrieb Dr. Dieter Braun:

> Am 17.12.2015 um 21:47 schrieb Peer Heinlein:
> >  Am 17.12.2015 um 17:47 schrieb Martin Schulte:
> >
> >
> > >  Kann ich davon ausgehen, dass im obigen Beispiel das Listenmitglied von
> > >  einem Virus befallen ist, der dann das Adressbuch oder Mailboxen
> > >  ausliest?
> >  Klar, weil:
> >
> >  a) ein Großteil des Spams eben nunmal von vireninfizierten
> >  Privat/Botnetz-PCs kommt
> >
> >  b) der Spammer ja doof wäre, würde er nicht die auf dem System
> >  vorhandenen Mailadressen (Adressbücher) abgreifen und nutzen
> >
> >  c) eben wegen diesem Zusammenhang der Spam auch besser
> >  ankommt/durchkommt und damit mehr Cash verdient wird.
> >
> >  Peer

> Es gibt eine Möglichkeit um festzustellen, ob wirklich der Rechner des
> angeblichen Absenders infiziert ist oder nicht. Schaut euch die
> "Received:"-Einträge im Header an, die können nur sehr bedingt und vor
> allem nur für die allerersten Schritte vom Absender aus gefälscht
> werden.
>
> Zeigen die Received-Einträge einen lückenlosen Pfad zum wirklichen
> Absender auf, so dürfte ihr/sein Rechner infiziert sein. Zeigen die
> Received-Einträge nach wenigen Schritten (vom Empfänger aus), dass die
> Mail von irgendwo anders her oder aus dem Fantasialand kommt, haben die
> Spammer die Korrelation anders ausarbeiten können. Dann gibt's 'ne gute
> Chance, dass mit dem Rechner des Absenders alles OK ist.

Du vermischst das Mailversenden hier mit der Adressgewinnung, das sind
aber getrennte Vorgänge. Mailversenden geschieht per Botnet oder über
geklaute Mailaccounts; Adressgewinnung geschieht über geklaute
Adressbücher. Auch wenn die Mail sonstwoher kommt, können die Adressen aus
einem mittels Malware geernteten Adressbuch eines ganz anderen, vielleicht
befreundeten oder eigenen, Rechners kommen.

Viele Grüße,
Frank