Spam / Phishingversuch per Antwort auf Registrierungsemail

  • Ich habe vor ein paar Tagen die folgende E-Mail erhalten.



    Zuerst dachte ich, dass diese E-Mail über das Kontakt-Formular kam und so öffnete ich blauäugig das angehängte Word Dokument. Zum Glück bemängelte Word die Datei, weil sie angeblich defekt sei. Ich habe auch direkt mein komplettes System mit verschiedenen AntiViren Programmen gescannt. Zu diesem Zeitpunkt wurde nichts Auffälliges gefunden.


    Ich habe das Word Dokument auch direkt bei VirusTotal hochgeladen, um zu schauen, wie es da aussieht. Hier hat sich nun nach ein paar Tagen auch direkt noch etwas zum Negativen an der Erkennung geändert. Ursprünglich sprangen 3 Engines auf die Datei an. Inzwischen sind es 33 Engines... =O

    https://www.virustotal.com/gui…2567ccf53a3245c/detection


    Somit werde ich weiterhin Komplettscans laufen lassen, um zu schauen, ob vielleicht doch noch etwas gefunden wird.


    Erst nach Anklicken des Word Dokumentes fiel mir auf, dass es sich bei der E-Mail um eine Antwort auf eine Registrierungsmail handelt. Diesen Benutzer gibt es tatsächlich. Allerdings wurde der Account nicht aktiviert. Ich hatte ihn auch direkt gesperrt.


    Leider hält ihn das nicht davon ab, mir weiterhin E-Mails dieser Art zu schicken. Und so erhielt ich gestern diese E-Mail als Antwort auf die ursprüngliche Registrierungsmail.



    Entweder hat das System oder das Versenden des Word Dokumentes hatte nicht den erwünschten Erfolg.


    Ich möchte euch warnen, falls ihr auch solche E-Mails erhaltet. Der Benutzer registriert sich, erhält dann die E-Mail zur Accountaktivierung und antwortet darauf mit dubiosem Inhalt!


    Ich ärgere mich noch immer, dass ich so blauäugig war und versucht habe, das Word Dokument zu öffnen. Wie geschrieben, lasse ich mein System weiterhin scannen, um vielleicht doch noch etwas zu finden. :(


    Ist von euch bereits jemand von solch einer Attacke betroffen?

    Edited once, last by PoooMukkel: Screenshots geändert ().

  • Zuerst dachte ich, dass diese E-Mail über das Kontakt-Formular kam und so öffnete ich blauäugig das angehängte Word Dokument.

    Man kann über dein Kontaktformular Dateien anhängen?

    Edit: Um deine Frage zu beantworten. Nein, hatte ich noch nicht. Ich bin aber vor einiger Zeit mal auf eine Phishingattacke reingefallen, die mich meinen Steam Account gekostet hat. Seit dem bin ich deutlich vorsichtiger.

  • Ja, wenn er dachte, es wäre vom Kontaktformular, dann sollte man doch stutzig werden, wenn da Dateien angehängt sind, oder?

  • Man kann über dein Kontaktformular Dateien anhängen?

    Nein.


    Er dachte, es wäre vom Kontaktformular.

    Ja, wenn er dachte, es wäre vom Kontaktformular, dann sollte man doch stutzig werden, wenn da Dateien angehängt sind, oder?

    Ja, das hätte ich werden sollen. Aber irgendwie war ich so mit meinen E-Mails beschäftigt, dass ich nur gesehen habe, dass es eine Anfrage gibt. Die wollte ich beantworten und zack... Geht schneller, als man denkt. Leider.


    Wenn ich mir die VirusTotal Seite anschaue, dann steht dort unter "Behavior", was genau wohl alles durch die Word Datei ausgelöst wird. All das gibt es bei mir nicht. Es wurde weder meine Normal.dot angepasst noch irgendwelche Dateien erstellt. Ich konnte auch nichts von all dem in der Registry finden.

  • Also, ohne jegliche Gewähr, aber ich würde mal schätzen (aka raten), dass die Word Datei Makros ausführen wollte und du das nicht erlaubt hast. Darauf würde auch die Meldung hindeuten, dass die Datei angeblich "kaputt" sei. Wenn (und ich betone nochmals: WENN) dem so ist, brauchst du nicht groß in Panik ausbrechen.

    Und wie gesagt, ich hatte selbst schon mal das "Vergnügen" Opfer eines Phishingangriff geworden zu sein. Und daher weiß ich auch, wer den Schaden hat braucht für den Spott nicht zu sorgen. Eine Sekunde mal etwas nachlässig sein reicht da schon aus und der Schaden kann immens sein.

  • Habe inzwischen auch einen erneuten Komplettscan mit Norton 360 durchgeführt. Auch hier wurde wieder nichts gefunden.


    Gerade habe ich mir das Removal Tool für Office 365 besorgt und damit mein komplettes Office 365 entfernen lassen. Im Anschluss habe ich auch direkt überprüft, welche Ordner ggf. noch vorhanden waren und diese ebenfalls gelöscht.


    Jetzt werde ich Office 365 komplett neu installieren. Ich denke, damit sollte ich auf der sicheren Seite sein. Abwarten...


    Wie geschrieben, wollte ich mit dem Thema hier auch bezwecken, dass ihr alle gewarnt seid. Schließlich hat sich der Benutzer bei mir angemeldet, um an die E-Mail zu kommen, auf die er nun antwortet. Das könnte auch bei euch anderen so ablaufen. :/

  • mit einer noreply@... Mail

    Ehrlich gesagt, habe ich mich damit bisher noch nicht beschäftigt. Müsste ich mal schauen, wie ich eine E-Mail Adresse erstelle, von der aus nur versandt werden kann. :/


    Im ACP kann ich ja die Mailadresse eintragen. Diese wird dann aber für alle ausgehenden E-Mails genutzt oder?

  • Kann man nicht inzwischen beim Kontaktformular Datei Anhänge zulassen? Ich meine das 5.2 könnte das?

  • Kann man nicht inzwischen beim Kontaktformular Datei Anhänge zulassen?

    Ja, das kann man zulassen.


    PoooMukkel versende doch die Registrierungsmails am besten mit einer noreply@... Mail

    Das scheint gar nicht so einfach zu sein, wie man es sich denkt. Ich habe mir eine noreply-Adresse eingerichtet und diese natürlich auch im WSC eingetragen. Die Admin-Adresse habe ich so gelassen, wie sie vorher war. Nun werden zwar E-Mails vom WSC im Namen der noreply-Adresse verschickt, jedoch gehen Antworten immer direkt automatisch an die Admin-Adresse, die im ACP eingetragen ist. :(


    Somit bringt das also gar nichts. Jetzt kann man noch immer auf eine noreply-Email antworten und die Antwort landet weiterhin direkt bei mir als Admin. :(

  • Ja, das kann man zulassen.


    Das scheint gar nicht so einfach zu sein, wie man es sich denkt. Ich habe mir eine noreply-Adresse eingerichtet und diese natürlich auch im WSC eingetragen. Die Admin-Adresse habe ich so gelassen, wie sie vorher war. Nun werden zwar E-Mails vom WSC im Namen der noreply-Adresse verschickt, jedoch gehen Antworten immer direkt automatisch an die Admin-Adresse, die im ACP eingetragen ist. :(


    Somit bringt das also gar nichts. Jetzt kann man noch immer auf eine noreply-Email antworten und die Antwort landet weiterhin direkt bei mir als Admin. :(

    haste evtl ein alias versehntlich eingerichtet, weil dürfte nicht passieren wenn jemand auf noreplay@domain.tld antortet und diese nicht existiert der user dann eine fehlermeldungs mail erhält das die adresse nicht existiert.

  • Nein. Kein Alias. So hätte ich das ja auch erwartet. Aber leider schickt das WSC automatisch als ReplyTo Adresse die ins ACP eingetragene Adresse des Admins mit. 😟

  • kannst ja mal ein test machen und sende von einer freemail adresse an die noreplay mailadresse und dann schaue mal im Mailheader rein über welche Server und Mailadressen es weiter geleitet wird.


    Gern auch den mailheader via konversation.

    Eines kann ich dir sagen von alleine passiert sowas nicht, da muß was konfiguriert sein.


    Code
    This message was created automatically by mail delivery software.
    
    A message that you sent could not be delivered to one or more of
    its recipients. This is a permanent error. The following address(es)
    
    failed:
    
    noreplay@xxx.eu:
    
    SMTP error from remote server for RCPT TO command, host: xxxx.eu (xx.xx.xxx.xx) reason: 550 5.1.1 <noreplay@xxxx.eu>: Recipient address rejected: User unknown in virtual mailbox table

    kommt bei mir wenn es an eine mailadresse geht die es nicht gibt.

  • Du verstehst nicht. Wenn ich eine neue E-Mail an die noreply Adresse schicke, wird natürlich auch nur diese angesprochen. Es geht um E-Mails, die vom WSC verschickt werden und auf die ich antworte. Da wird dann automatisch die Admin Adresse ins An Feld eingetragen und nicht mehr die noreply Adresse.

  • Du verstehst nicht. Wenn ich eine neue E-Mail an die noreply Adresse schicke, wird natürlich auch nur diese angesprochen. Es geht um E-Mails, die vom WSC verschickt werden und auf die ich antworte. Da wird dann automatisch die Admin Adresse ins An Feld eingetragen und nicht mehr die noreply Adresse.

    Außer du würdest die Admin-Mail auch auf noreply ändern :D dann kannst du aber das Kontaktformular deaktivieren ^^

  • Verstehe schon was du meinst, daher sollst mal den selbsttest durchführen.

    Du verschickst eine mail über das wsc an eine mailadresse auf die du zugriff hast meinetwegen ein freemail anbieter


    und im Mailheader schaust du dann welche antwortadresse dort drin steht nicht was dein Mailprogramm dir sagt.

    und dieser mailheader würde mich mal interessieren.


    Da müsste sowas drin stehn wie: Return-Path: <mailadresse@domain.tld>

    An diese adresse geht es dann wenn man auf antworten klickt.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!