[sage] Ursache für korrelierte Adressen in Spam-Mails?

[Dr. Dieter Braun]

Am 17.12.2015 um 22:55 schrieb Frank Doepper:
> Am 17.12.15 um 22:38 schrieb Dr. Dieter Braun:
>
>> Am 17.12.2015 um 21:47 schrieb Peer Heinlein:
>>>   Am 17.12.2015 um 17:47 schrieb Martin Schulte:
>>>
>>>
>>>>   Kann ich davon ausgehen, dass im obigen Beispiel das Listenmitglied von
>>>>   einem Virus befallen ist, der dann das Adressbuch oder Mailboxen
>>>>   ausliest?
>>>   Klar, weil:
>>>
>>>   a) ein Großteil des Spams eben nunmal von vireninfizierten
>>>   Privat/Botnetz-PCs kommt
>>>
>>>   b) der Spammer ja doof wäre, würde er nicht die auf dem System
>>>   vorhandenen Mailadressen (Adressbücher) abgreifen und nutzen
>>>
>>>   c) eben wegen diesem Zusammenhang der Spam auch besser
>>>   ankommt/durchkommt und damit mehr Cash verdient wird.
>>>
>>>   Peer
>> Es gibt eine Möglichkeit um festzustellen, ob wirklich der Rechner des
>> angeblichen Absenders infiziert ist oder nicht. Schaut euch die
>> "Received:"-Einträge im Header an, die können nur sehr bedingt und vor
>> allem nur für die allerersten Schritte vom Absender aus gefälscht
>> werden.
>>
>> Zeigen die Received-Einträge einen lückenlosen Pfad zum wirklichen
>> Absender auf, so dürfte ihr/sein Rechner infiziert sein. Zeigen die
>> Received-Einträge nach wenigen Schritten (vom Empfänger aus), dass die
>> Mail von irgendwo anders her oder aus dem Fantasialand kommt, haben die
>> Spammer die Korrelation anders ausarbeiten können. Dann gibt's 'ne gute
>> Chance, dass mit dem Rechner des Absenders alles OK ist.
> Du vermischst das Mailversenden hier mit der Adressgewinnung, das sind
> aber getrennte Vorgänge. Mailversenden geschieht per Botnet oder über
> geklaute Mailaccounts; Adressgewinnung geschieht über geklaute
> Adressbücher. Auch wenn die Mail sonstwoher kommt, können die Adressen aus
> einem mittels Malware geernteten Adressbuch eines ganz anderen, vielleicht
> befreundeten oder eigenen, Rechners kommen.
>
> Viele Grüße,
> Frank
> _______________________________________________
> SAGE mailing list
> SAGE at guug.de
> https://lists.guug.de/cgi-bin/mailman/listinfo/sage

Die Frage war, ob aus der Korrelation von Absender- und 
Empfänger-Adresse(n) darauf geschlossen werden kann, dass der Rechner 
des angeblichen Absenders mit einem Virus infiziert ist. Dabei ging es 
um Viren, die sich selber über die lokalen Adressbücher verschicken 
(siehe ganz oben). In diesem Fall ist Adressgewinnung und Mailversand in 
der Tat nicht zu trennen, da beides auf dem gleichen, von einem Virus 
befallenen Rechner stattfindet. Botnets und all das, was später noch 
dazu kam, haben damit überhaupt nichts zu tun.

Ich muss gestehen, dass dieses Vorgehens vor etwa 15 bis 20 Jahren en 
vogue war. Damals hatte ich öfter mit dieser Art von Schadsoftware zu 
tun (Viren, die sich selber per Mail verschickten). In den letzten 
Jahren ist mir dies zugegebenermaßen nicht mehr untergekommen, was nicht 
bedeutet, dass nicht mehr so vorgegangen werden kann. Schließlich 
erleben derzeit so einige "alte", überwunden geglaubte Methoden der 
Schadensanrichtung eine Art Renaissance.

Außerdem stimmt es nicht, dass Spam nur über Botnets oder geklaute 
Mailaccounts verschickt wird. Ich sehe immer noch häufig genug Spams, 
die über gekaperte IP-Adressbereiche verschickt werden.

Eine Mailadresse kann auf sehr viele unterschiedliche Weisen "gewonnen" 
werden. Dazu ist es überhaupt nicht nötig, das der Rechner der 
betroffenen Person überhaupt jemals einen Virus hatte oder anderweitig 
kompromittiert war. Und es muss auch nicht immer Malware im Spiel 
gewesen sein. Wie wär's mit social Engineering, z. B. gefälschte 
Preisauschreiben?

Beste Grüße,
Dieter