Schadsoftware: E-Mail vom Amazon Anwalt
Gerade macht wieder eine E-Mail die Runde, die Nutzer dazu bringen möchte, den schadhaften Anhang zu öffnen:
Sehr geehrter Kunde,
bedauerlicherweise haben wir festgestellt, dass unsere
Zahlungserinnerung Nr. 120604817 bisher ohne Reaktion Ihrerseits blieb.
Heute bieten wir Ihnen damit letztmalig die Möglichkeit, den
ausbleibenden Betrag unseren Mandanten Amazon AG zu decken.Aufgrund des andauernden Zahlungsrückstands sind Sie angewiesen
zuzüglich, die durch unsere Beauftragung entstandene Gebühren von 83,48
Euro zu bezahlen. Bei Rückfragen oder Unklarheiten erwarten wir eine
Kontaktaufnahme innerhalb von zwei Werktagen. Um zusätzliche Mahnkosten
zu vermeiden, bitten wir Sie den ausstehenden Betrag auf unser
Bankkonto zu überweisen. Berücksichtigt wurden alle Buchungen bis zum
26.06.2017.Wir erwarten die gesamte Überweisung inklusive der Mahnkosten bis
spätestens 30.06.2017 auf unser Konto. Können wird bis zum genannten
Datum keine Überweisung verbuchen, sehen wir uns gezwungen unsere
Forderung an ein Gericht abzugeben. Alle damit verbundenen Zusatzkosten
werden Sie tragen müssen.Die detaillierte Kostenaufstellung ID 120604817, der Sie alle
Einzelpositionen entnehmen können, ist beigefügt.Mit freundlichen Grüßen
Rechtsanwalt David Mayer
Und hier der E-Mail Header:
Return-Path: <admin@amazon.com> Received: by mail.kuketz.de (Postfix, from userid 107) id 6606910836F; Tue, 27 Jun 2017 16:27:58 +0200 (CEST) Received: from hosted.obatcina.co (unknown [67.222.12.162]) by mail.kuketz.de (Postfix) with ESMTPS id 0EC6B10836C Received: from acemaxsamazing by hosted.obatcina.co with local (Exim 4.87) (envelope-from <admin@amazon.com>) id 1dPrT7-0000w0-Ji Subject: Ihre Rechnung 12060481 vom 26.06.2017 X-PHP-Script: opccapsule.com/wp-content/themes/twentyfifteen/css/mainclass.php for 199.127.226.150, 199.127.226.150 Date: Tue, 27 Jun 2017 10:27:53 -0400 From: Rechtsanwalt Amazon AG <admin@amazon.com> Message-ID: <7efe4f85e4012ebbb6aa953d5a9b5322@opccapsule.com> X-Mailer: PHPMailer MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="b1_7efe4f85e4012ebbb6aa953d5a9b5322" Content-Transfer-Encoding: 8bit X-AntiAbuse: This header was added to track abuse, please include it with any abuse report X-AntiAbuse: Primary Hostname - hosted.obatcina.co X-AntiAbuse: Original Domain -xxx.de X-AntiAbuse: Originator/Caller UID/GID - [500 32007] / [47 12] X-AntiAbuse: Sender Address Domain - amazon.com X-Get-Message-Sender-Via: hosted.obatcina.co: authenticated_id: acemaxsamazing/only user confirmed/virtual account not confirmed X-Authenticated-Sender: hosted.obatcina.co: acemaxsamazing X-Source: X-Source-Args: /usr/local/apache/bin/httpd -k start -DSSL X-Source-Dir: acemaxsamazing.com:/public_html/opccapsule.com/wp-content/themes/twentyfifteen/css
Was fällt an der E-Mail auf?
- Keine persönliche Ansprache
- Informationen zur Bankverbindung und den Kosten sind dem Anhang zu entnehmen – Natürlich, wie auch sonst bringe ich den Nutzer dazu den Anhang zu öffnen und den schadhaften Inhalt auszuführen
- Kaum Rechtschreib- oder Grammatikfehler
Was fällt am E-Mail Header auf?
- Die E-Mail hat den Absender »admin@amazon.com« – Natürlich gefälscht. Die E-Mail wurde ursprünglich über den E-Mail Server »hosted.obatcina.co« versendet
- Öffensichtlich wurde eine WordPress-Seite (opccapsule.com -199.127.226.150) gehackt und dort der PHPMailer missbraucht
- Absender der E-Mail ist der lokale Apache-Webserver Account »httpd«
- Die Sicherheitslücke befindet sich offenbar in einem PHP-File des Twenty Fifteen Themes oder wurde dort eingepflanzt
- Als E-Mail »Anbieter« bzw. Spam-Schleuer benutzt die Webseite »opccapsule.com« den Server »hosted.obatcina.co« mit der IP-Adresse 67.222.12.16
Dennoch gut gemacht – werden vermutlich einige drauf reinfallen…
ejabberd: Installation und Betrieb eines XMPP-Servers
Postfix: IP-Stripping im Detail
Signal: Welche Metadaten hinterlässt der Messenger bei Amazon und Co.?
Erfahrungsbericht: Amazon – Der Datenbunker
