Hi, nun, man erhält als Sender an diese Mailingliste eine Reply, die so aussieht wie meine jetzt. D.h. man weiß nicht, bei welchem Empfänger dieser Mailingliste das Leak besteht. Der Inhalt war folgender: ================================== Subject: *****SPAM*****[rwth-security] Re: massive widespread malware attack on @github Hello! It is recommended to examiine the yearly performance stats via the link you'll find lower. pass U22 hXXps://nasaimalmaghsar[.]com/TTP[.]php?QUI=10 -------------------------------------------------------------------------------- On 3. Aug 2022, at 14:09, Bernd Kohler wrote: ================================== Im vorliegenden Fall war der Absender übrigens Rickert, Julius <sezwrta@alirsyadpemalang.com> Wir gehen eigentlich davon aus, dass der verwendete Klartextname im Absender nicht der Teilnehmer mit dem Leak ist, sondern zur weiteren Verschleierung eingesetzt wird. Am 1/10/23 um 14:43 schrieb Rickert, Julius:
On 10. Jan 2023, at 14:22, Jens Hektor <hektor@itc.rwth-aachen.de> wrote: Bei den hier auftretenden Fällen von one-to-many kann der Angreifer prima verstecken, wessen Account er unter Kontrolle hat. Ich sehe hier ehrlich gesagt das Problem nicht. Durch die Received chain ist es doch möglich, den Ursprung einer Nachricht nachzuvollziehen. Üblicherweise fehlt da zwar die IP vom Absender [1], aber man kann die des MSA sehen. Dieser sollte dann ausreichende Informationen nachhalten, um "den Übeltäter" zu identifizieren.
Generell bin ich der Überzeugung, dass den Nutzern das Herunterladen von solchen Anhängen – auch bei einer Feststellung nach der Zustellung – untersagt werden muss.
— Julius
[1] Das ist tatsächlich eine Sache, die ich hier an der Uni extrem oft falsch konfiguriert sehe. Das ist ein großes Datenschutzproblem, dem nachgegangen werden sollte! Bin mal gespannt, ob diese Nachricht meine IP veröffentlichen wird. Jens' Nachricht kommt von einem/über ein Gerät, dass sich "halo" nennt und Rikus' Internetanbieter kenne ich jetzt auch.
Hm. Seit einiger Zeit kann sogar GMail Mailheader anzeigen. Und der Mailheader ist in meiner Überzeugung das einzige, was ein Angreifer nicht unter voller Kontrolle hat. Also eher ein Sicherheitsfeature, als ein echtes Datenschutzproblem. Gruß, Jens -- Dipl.-Phys. Jens Hektor, Security Operations RWTH Aachen University, IT Center RWTH Aachen University Room 2.04, Wendlingweg 10, 52074 Aachen (Germany) Phone: +49 241 80 29206 - Fax: +49 241 80 22100 http://www.itc.rwth-aachen.de - hektor@itc.rwth-aachen.de