Hi,
nun, man erhält als Sender an diese Mailingliste eine Reply, die so aussieht wie meine jetzt.
D.h. man weiß nicht, bei welchem Empfänger dieser Mailingliste das Leak besteht.
Der Inhalt war folgender:
==================================
Subject: *****SPAM*****[rwth-security] Re: massive widespread malware attack on @github
Hello!
It is recommended to examiine the yearly performance stats via the link you'll find lower.
pass U22
hXXps://nasaimalmaghsar[.]com/TTP[.]php?QUI=10
--------------------------------------------------------------------------------
On 3. Aug 2022, at 14:09, Bernd Kohler wrote:
==================================
Im vorliegenden Fall war der Absender übrigens
Rickert, Julius sezwrta@alirsyadpemalang.com
Wir gehen eigentlich davon aus, dass der verwendete Klartextname im Absender nicht der Teilnehmer mit dem Leak ist, sondern zur weiteren Verschleierung eingesetzt wird.
Am 1/10/23 um 14:43 schrieb Rickert, Julius:
On 10. Jan 2023, at 14:22, Jens Hektor hektor@itc.rwth-aachen.de wrote: Bei den hier auftretenden Fällen von one-to-many kann der Angreifer prima verstecken, wessen Account er unter Kontrolle hat.
Ich sehe hier ehrlich gesagt das Problem nicht. Durch die Received chain ist es doch möglich, den Ursprung einer Nachricht nachzuvollziehen. Üblicherweise fehlt da zwar die IP vom Absender [1], aber man kann die des MSA sehen. Dieser sollte dann ausreichende Informationen nachhalten, um "den Übeltäter" zu identifizieren.
Generell bin ich der Überzeugung, dass den Nutzern das Herunterladen von solchen Anhängen – auch bei einer Feststellung nach der Zustellung – untersagt werden muss.
— Julius
[1] Das ist tatsächlich eine Sache, die ich hier an der Uni extrem oft falsch konfiguriert sehe. Das ist ein großes Datenschutzproblem, dem nachgegangen werden sollte! Bin mal gespannt, ob diese Nachricht meine IP veröffentlichen wird. Jens' Nachricht kommt von einem/über ein Gerät, dass sich "halo" nennt und Rikus' Internetanbieter kenne ich jetzt auch.
Hm. Seit einiger Zeit kann sogar GMail Mailheader anzeigen. Und der Mailheader ist in meiner Überzeugung das einzige, was ein Angreifer nicht unter voller Kontrolle hat.
Also eher ein Sicherheitsfeature, als ein echtes Datenschutzproblem.
Gruß, Jens