SPAM an Bekannte - woher Zugriff auf die Adressen?

[Samoth 32]

Hallo zusammen,

 

bei zwei Bekannten (völlig unabhängig voneinander) rätsle ich momentan an folgender Situation: Ich erhielt die Tage von beiden SPAM mit dem Betreff "Fw: important message". In den Mails ein Link, der wohl auf eine kritische Seite führt.

 

Die Mails von Bekanntem #1 zeigten in meinem Outlook seinen Namen an. Die Mail-Adresse dazu war jedoch eine völlig andere als seine eigene.  Bei Bekanntem #2 genau anders herum: Absenderadresse war seine, doch der angezeigte Name war nicht sein eigener.

 

Bei beiden jedoch der gleiche Aufbau: Im Feld "An:" standen unzählige Kontakte, von denen die meisten auch bekannt waren.

 

Ich habe beide Rechner untersucht und keinerlei Schädlinge gefunden. Auf einem Rechner gibt es auch nur einige wenige Kontakte im Adressbuch. Die Rechner sind beide durch Kaspersky geschützt und beide haben keine administrativen Rechte.

 

Was könnte da passiert sein? Woher stammen die Adressen, wenn keine Infektion vorliegt?

 

Viele Grüße und Dankeschön vorab

Samoth

bearbeitet 21. September 2015 von Samoth

[NorbertFe 2.034]

Handy? ;)

[Samoth 32]

Hmmm... sie nutzen zumindest beide das iPhone. Allerdings ist es beim einen Bekannten auch so, dass er in den Kontakten seines Mobiltelefons nur 5-6 Einträge hat. Da kommt also nicht viel zusammen.

[NorbertFe 2.034]

Es ist müßig, sich darüber den Kopf zu zerbrechen, da es jetzt sowieso zu spät is.

[Samoth 32]

Finde ich nicht. Die nächsten könnten folgen. Und das würde ich gerne verhindern, nicht? Zudem würde ich das gerne verstehen.

bearbeitet 21. September 2015 von Samoth

[testperson 1.676]

Wie seid ihr denn in Facebook / Xing / etc. so "vernetzt"?

[Remo79 0]

Mit was wurde auf Malware geprüft? Kaspersky? Wenn ja nimm mal noch den Malwarebytes und ADW Cleaner, wir suchen immer mit mehreren Anti-Malware Tools. dann würde ich mal den temp Ordner anschauen im Local Profil und den gleich mal löschen. Zudem würde ich in die Aufgabenplanung schauen ob da was komisches eingetragen wurde.

 

Gruss Remo

bearbeitet 21. September 2015 von Remo79

[Nobbyaushb 1.471]

Und ich hätte noch als Frage, wo denn die Mails gehostet werden, bei einem Bekannten in UK wurde der Server und die DB des Providers gehakt.

 

;)

[Ralli64 13]

Hallo,

 

@Samoth

 

Du bist nicht allein damit. Wie bei Dir auch eine Menge Mailadressen in der Empfaengerliste. UND in der Empfaengerliste NUR Adressen aus dem Kreis des angeblichen Absenders.

Versendet wurde die Mail angeblich aus Daenemark, die Zieladresse des Klicklinks in der Mail ist in Polen. Der Klicklink ist laut Virustotal sauber. Die Return-Mail mit den Unzustellbar-Nachrichten kam aus den Niederlanden.

 

Eine Frage dazu. Nutzen die Bekannten Thunderbird?

 

@NorbertFe

In meinen beiden Faellen ist es nicht das Handy.

Ich habe hier den begruendeten Verdacht, dass lokale Adressbuecher abgefischt wurden. In den SPAM-Mails sind Empfaenger enthalten, die aus den gesammelten Adressen von Thunderbird stammen, z.B. solche cs-reply+2NHGYGJDGLOV1O@amazon.com, die waren nur auf den PC der Betreffenden.

 

@Nobbyaushb

Hier ist es STRATO, Abruf ueber IMAP per Thunderbird.

 

@Remo79

Die PC gescant mit so allem was es gibt. Nichts zu finden.

 

@ALL

Meine Erkenntnis ist.

Die lokal installierte AV-Loesung (Bitdefender Total Security 2015) wusste noch nichts oder hat maechtig gepennt.

 

Gruss Ralf

bearbeitet 21. September 2015 von Ralli64

[NorbertFe 2.034]

Ist ja möglich. Wurde nicht regelmässig über gehackte Provider berichtet? Ich hab bei GMX auch jede Menge Spammails in den letzten Wochen, die alle nach selben Schema aufgebaut sind. Teilweise sind die auch von mir "bekannten" Personen (gefälschte Absender). Da hilft halt nur ein vernünftiger Spamfilter plus Gehirn einschalten. :|

[Ralli64 13]

Hallo,

 

Gehackter Provider? Da muss irgend etwas anderes gelaufen sein.

Wie sonst kommt der SPAM-Sender an gesammelte Adressen im lokalen Mailprogramm.

Die Leute haben nach bestem Gewissen alles (Bitdefender, Spamfilter bei Strato aktiv, Spamordner wird nicht angezeigt in Thunderbird) getan, sind auch fuer ihr Alter noch richtig fit und klicken nicht alles an.

Und schon garnicht tummeln sie sich bewusst auf Seiten jenseits von Sparkasse, Volksstimme, FAZ und Spiegel. Und nein, die Enkel waren auch nicht da ;-)

 

Vernuenftiger Spamfilter? Welchen wurdest Du denn empfehlen?

 

Gruss Ralf

[zahni 554]

Ich wäre z.B. bei Groupon vorsichtig. Ich habe eine Mail-Adresse, die ich nur bei 2 Anbietern benutzt habe: Twitter und Groupon. 

Kurz danach bekam ich div. nützliche Verbraucherhinweise und Scherzprogramme an diese Adresse.

[Samoth 32]

Moin zusammen,

 

danke für die Antworten!

 

Bei uns sieht es so aus:

 

- Es gibt keine Facebook, Xing, etc. Accounts

- Geprüft haben wir die Systeme mit Malwarebytes, ADWCleaner und Kaspersky -> alles OK

- Temp Ordner und Aufgabenplanung prüfe ich dann bei meinem nächsten Besuch

- Mail Hoster: Einmal Strato und dann noch T-Online (IMAP-Konten)

- Mail Client ist der Windows Live Mail bzw. Outlook 2010, kein Thunderbird

 

Sehe das wie Ralli64 "Da muss irgend etwas anderes gelaufen sein.

Wie sonst kommt der SPAM-Sender an gesammelte Adressen im lokalen Mailprogramm." Was wir uns darüber schon den Kopf zerbrochen haben! Der Kunde ist natürlich extrem verunsichert und das auch zu Recht. Derzeit ist einfach sowas von unklar, wie die Spammer an die Adressen im Adressbuch bzw. Inhalte der Auto Vervollständigen Liste gekommen sind. Einerseits sagt man ihm, dass der PC "sicher" ist, man nichts nachweisen kann und auf der anderen Seite liegen die Beweise auf dem Tisch.

 

Grüße

Samoth

bearbeitet 22. September 2015 von Samoth

[NorbertFe 2.034]

Sich darüber den Kopf zu zerbrechen, wie Spammer an die Adressen kommen... ;) Naja, wenn man sonst nix zu tun hat. Ich hab meine Adresse mit Sicherheit keinem Spammer gegeben und trotzdem bekomme ich jede Menge Spam. Auch von Leuten die mir "namentlich" bekannt sind. Die kann man nicht kontrollieren und selbst wenn ist es eben schon zu spät. Wenn du schonmal serverseitige Spamlogs ausgewertet hast, würdest du dich wundern, wie lange Adressen fluktuieren und die Verknüpfungen zwischen Adressen herzustellen ist auch kein wirkliches Hexenwerk, wenn man sich mal anschaut wo und wie die Leute kommunizieren. ;) Dazu reicht im Zweifel eine falsch adressierte Mail oder ein infizierter Client unter deinen Bekannten. Sich deswegen jetzt in Aktionismus zu ergehen... Naja wenn man sonst nix zu tun hat, sagte ich bereits.

 

Bye

Norbert

[Ralli64 13]

Bin jetzt mal frech. :D

Meine GMX-Adresse habe ich niemandem gegeben, dennoch bekomme ich SPAM. :D

 

Es ist in meinem(unseren) Fall nicht so, dass irgendwelche Mail/Namens-Kombinationen als SPAM einschlagen.

Es ist so, dass SPAM-Mails an Adressen raus gehen, die aus einem lokalem Adressbuch stammen. Und es sind (Thunderbird)gesammelte Adressen darunter die kaum aelter sind wie 3 Wochen.

 

---

Dazu reicht im Zweifel eine falsch adressierte Mail oder ein infizierter Client unter deinen Bekannten.

---

 

Die falsch adressierte Mail waere bei den "Ollen" unter gesendet zu finden. Ist es aber nicht. Und infizierter Client? Die PC sind geschuetzt mit dem jahrelangen "Testsieger bei AV-Test Bitdefender Total Security"!

 

---

Sich deswegen jetzt in Aktionismus zu ergehen... Naja wenn man sonst nix zu tun hat,

---

 

Du machst es Dir zu einfach mit dem Aktionismus, Norbert. Es geht mir darum heraus zu finden, was da wirklich gelaufen ist. Das ist meine Arbeit.

 

Gruss Ralf