Ein Sicherheitsforscher, der unter dem Pseudonym Benkow publiziert, hat einen offen zugänglichen Webserver in den Niederlanden entdeckt, der Dutzende von Textdateien anbieten, die mit E-Mail-Adressen, Passwörtern und Adressen von E-Mail-Servern gefüllt sind und insgesamt 711 Millionen Adressen enthalten. Sie werden zum Verschicken von Spam verwendet. Das Besondere daran: Die Angriffsmethode versucht, Spam-Filter zu umgehen, indem er E-Mails über legitime E-Mail-Server versendet werden.
Der Spambot „Onliner“ wird benutzt, um die Ursnif-Banking-Malware per E-Mail auszuliefern. Bis heute habe es weltweit mehr als 100.000 derartige Infektionen gegeben, so Benkow gegenüber ZDNet.com.
Nach Angaben des Sicherheitsforschers Troy Hunt, der die Daten analysiert und seine Ergebnisse in einem Blog-Posting detailliert darstellt, handelt es sich um die größte Adress-Datenmenge, die bisher erfasst wurde.
Um Spamming und die Verbreitung von Malware per E-Mail einzuschränken, werden E-Mail-Filter eingesetzt und viele Domains, die Spam-Mails versendet haben, auf schwarze Listen gesetzt. Das schränkt die Verbreitungsmöglichkeiten allgemein ein. Wenn jedoch ganz legitime Server, von denen Zugangsdaten erbeutet wurden, als Spamschleudern verwendet werden, greifen diese Schutzmaßnahmen nur noch begrenzt.
„Um Spam zu versenden, benötigt der Angreifer eine riesige Liste von SMTP-Zugangsdaten“, schreibt Benkow folgerichtig in seinem Blogbeitrag. Diese Anmeldeinformationen authentifizieren den Spammer, um scheinbar legitime E-Mails zu versenden.
Diese Daten, erklärte er, seien von anderen Datenverlusten wie dem LinkedIn-Hack und dem Badoo-Hack sowie auch anderen unbekannten Quellen zusammengetragen worden. Die von Benkow verifizierten Listen enthalten ungefähr 80 Million Konten. Jede Zeile umfasst eine E-Mail-Adresse und das Kennwort zusammen mit dem SMTP-Server und dem Port, der verwendet wird, um die E-Mails senden zu können. Der Spammer testet jeden Eintrag, indem er sich mit dem Server verbindet, um sicherzustellen, dass die Anmeldeinformationen gültig sind und dass Spam versendet werden kann. Die Konten, die nicht funktionieren, werden ignoriert.
Zwei-Faktor-Authentifizierung: Mehr Sicherheit für Facebook, Twitter und andere Dienste
Fast täglich wird über den Verlust von Zugangsdaten berichtet. Gegen den Missbrauch dieser Daten können sich Anwender mit der Aktivierung einer Zwei-Faktor-Authentifizierung schützen. Wie das genau funktioniert, erläutert der folgende Artikel.
E-Mail-Server werden mit echten Zugangsdaten zu Spamschleudern umfunktioniert
Diese 80 Millionen E-Mail-Server werden dann dazu benutzt, um Millionen von E-Mails zu versenden, die wiederum Malware enthalten. Diese E-Mails erscheinen harmlos genug, enthalten aber ein verstecktes, ein Pixel großes Bild. Wenn die E-Mail geöffnet ist, sendet das Pixel-Bild die IP-Adresse und die User-Agent-Informationen zurück, um den Computertyp, das Betriebssystem und andere Geräteinformationen zu identifizieren. Das hilft dem Angreifer, der daraufhin spezifizieren kann, welche Angriffssoftware er um Anschluss gezielt verwenden muss. Die zweite Angriffswelle kommt oft Tage oder sogar Wochen später und tarnt sich als Rechnung von Zustelldiensten, Hotels oder Versicherungen. Im Anhang: Eine bösartige JavaScript-Datei.
Hunt, der die Daten auswertete, merkte allerdings an, dass die Zahl von 711 Millionen zwar „technisch korrekt“ sei, die Anzahl der betroffenen Personen werde aber etwas geringer ausfallen werde, weil sich darunter auch nicht mehr existierende E-Mail-Adressen befänden.
Das Gefahrenpotential durch erbeutete Kontodaten können Nutzer minimieren, indem sie eine Zwei-Faktor-Authentifizierung aktivieren. Das verhindert zwar nicht den Datenklau bei Internetdiensten, verhindert aber zumindest die Nutzung der erbeuteten Zugangsdaten. Ob die eigenen Zugangsdaten kompromittiert wurden, kann man beim Hasso-Plattner-Institut überprüfen.
[Mit Material von Zack Whittaker, ZDNet.com]
HPE Server der Generation 10 - Die sichersten Industrie-Standard-Server der Welt
Die neuen HPE-Server der Generation 10 bieten einen erweiterten Schutz vor Cyberangriffen. Erfahren Sie in unserem Webinar, warum HPE-Server die sichersten Industrie-Standard-Server der Welt sind und wie Sie ihr Unternehmen zu mehr Agilität verhelfen. Jetzt registrieren und Aufzeichnung ansehen.