Hast du dich auch schon mal gefragt, woher Spammer eigentlich ihre ganzen E-Mailadressen bekommen? Es gibt doch tatsächlich eigene Datenbanken dafür, die von Cyberkriminellen genutzt werden bzw. wo Adressen gekauft werden können, um dann Malware etc. einzuschleusen. Eine solche Datenbank ist das Spam-Botnetz „Trik“, welches momentan in den Schlagzeilen ist. Denn: Die Cyberkriminellen hinter der Spammer-Datenbank waren anscheinend in Bezug auf ihren Server nachlässig und so wurden laut „Bleeping Computer“ mehr als 43 Millionen E-Mail-Adressen geleakt.
Inhaltsverzeichnis
Bei Malware-Analyse zufällig entdeckt
Da ist man ganz unbedarft im Internet unterwegs, um Malware-Kampagnen zu untersuchen und macht plötzlich eine solche Entdeckung. So geschehen einem Mitarbeiter von Vertek Corporation, der das Leak entdeckte, als er auf die Suche nach einem Trik-Trojaner war, der fleißig die Ransomware GrandCab verbreitete. Auf dem in Russland positionierten Command-and-Control-Server des Spam-Botnetzes „Trik“ präsentierten sich ihm anscheinend aufgrund einer Fehlkonfiguration als große Überraschung sage und schreibe 44.020.000 Mailadressen! Um Duplikate etc. bereinigt blieben 43.555.741 unique Mailadressen in 2.201 von 1.txt bis 2201.txt durchnummerierten Textdateien übrig, die öffentlich zugänglich waren. Jeder, der den Server direkt über die IP ansteuerte, konnte darauf zugreifen. Man geht davon aus, dass diese Adressen vom Botnetz Porophiex, das schon seit Jahren sein Unwesen treibt, für den Versand von Spam missbraucht bzw. an andere Cyberkriminelle verkauft wurden.
Welche Adressen sind betroffen?
Die geleakten Adressen stammen aus der ganzen Welt, insgesamt handelt es sich um 4,6 Mio. individuelle Domains, die Adressen scheinen aber nicht mehr ganz neu zu sein. Darauf weisen die Services hin, es handelt sich nämlich beispielsweise um 10,6 Mio. Yahoo-Adressen oder auch 8,3 Mio. AOL-Adressen. Diese beiden führten die Domain-Liste an. Ebenfalls dabei waren E-Mail-Adressen von web.de, msn.com oder auch, t-online.de wie eine Liste von Bleeping Computer zeigt. Allesamt eigentlich Services, die nicht mehr so in Gebrauch sind. Und leider auch eindeutig deutsche Domains.
Durchwegs „ältere“ Adressen, kaum Gmail
Gmail hingegen fehlt fast komplett, obwohl sich dies aktuell großer Beliebtheit erfreut. Warum dem so ist, daran scheiden sich die Forschergeister: Entweder handelt es sich einfach um eine alte Datenbank oder die Nutzer bzw. ihre Mail-Adressen wurden absichtlich so gewählt. Dunkel ins Licht der ganzen Leak-Affäre soll nun der Australier Troy Hunt bringen. Der Gründer von Have I Been Pwned arbeitet mit dem Forscher, der das Leak aufgedeckt hat, gemeinsam daran herauszufinden, wie viele der Adresse neu sind bzw. ob sie auch schon früher geleaked wurden.
Quelle: Bleeping Computer
Erstellt am: 21. Juni 2018