Mails aus dieser Liste geleakt
Hallo, so wie es aussieht, ist mindestens eine E-Mail aus dieser Liste geleakt. Es wurde mit einem Reply versucht, Malware unterzuschieben. Datum der E-Mail war der 3.8.2022. Ich bitte hiermit die Teilnehmer dieser Liste, auf Ihre Security zu achten: a) Virenscanner auf allen Geräten, mit denen E-Mails gelesen werden (auch Smartphones & Co!) b) niemals dasselbe Passwort für zwei Dienste verwenden c) im Falle von Forwarding an andere Postfächer auch deren Sicherheitseinstellungen bedenken ... Gruß, Jens Hektor P.S. Nur damit sich die an diese Liste schreibenden nicht wundern, wenn Sie in den nächsten Tagen seltsame E-Mail bekommen. Das die passiv lesenden etwas davon abbekommen, ist unwahrscheinlich.
Hallo Jens, ich finde deine Wortwahl bezüglich eines "Leaks" sehr gewagt. Diese Liste hat weltweit öffentliche Archive: https://lists.rwth-aachen.de/hyperkitty/list/rwth-security@lists.rwth-aachen... So viel zum Thema Viren. Viele Grüße Rikus On 22.12.22 13:49, Jens Hektor wrote:
Hallo,
so wie es aussieht, ist mindestens eine E-Mail aus dieser Liste geleakt.
Es wurde mit einem Reply versucht, Malware unterzuschieben.
Datum der E-Mail war der 3.8.2022.
Ich bitte hiermit die Teilnehmer dieser Liste, auf Ihre Security zu achten:
a) Virenscanner auf allen Geräten, mit denen E-Mails gelesen werden (auch Smartphones & Co!)
b) niemals dasselbe Passwort für zwei Dienste verwenden
c) im Falle von Forwarding an andere Postfächer auch deren Sicherheitseinstellungen bedenken
...
Gruß, Jens Hektor
P.S. Nur damit sich die an diese Liste schreibenden nicht wundern, wenn Sie in den nächsten Tagen seltsame E-Mail bekommen. Das die passiv lesenden etwas davon abbekommen, ist unwahrscheinlich.
_______________________________________________ rwth-security mailing list -- rwth-security@lists.rwth-aachen.de To unsubscribe send an email to rwth-security-leave@lists.rwth-aachen.de
-- Hinrikus Wolf Fachschaft Mathematik/Physik/Informatik an der RWTH Aachen Telefon: Karmanstr: +49 241 80 94506 Infozentrum: +49 241 80 26741 fs@fsmpi.rwth-aachen.de https://www.fsmpi.rwth-aachen.de
Hallo, Am 1/9/23 um 21:29 schrieb Hinrikus Wolf:
ich finde deine Wortwahl bezüglich eines "Leaks" sehr gewagt.
oh, ich denke, ich weiß, wovon ich rede. Wir beobachten Vorgänge dieser Art seit etwa September, dass aus geleakten E-Mail an Mailinglisten oder andere Verteiler zitiert wird. Auch bei Mailinglisten, die kein Archiv haben. Das ganze zieht sich quer durch die Hochschule und wird auch an anderen deutschen Hochschulen gesehen. Wenn man ein Zitat aus einer one-to-one Kommunikation präsentiert bekommt, ist das "Problem" leicht zu finden. Bei den hier auftretenden Fällen von one-to-many kann der Angreifer prima verstecken, wessen Account er unter Kontrolle hat.
Diese Liste hat weltweit öffentliche Archive: https://lists.rwth-aachen.de/hyperkitty/list/rwth-security@lists.rwth-aachen...
Es besteht immer die Möglichkeit, auch hier rüber etwas zu machen, klar, ich glaube aber nicht, dass die Angreifer es nötig haben, diesen Umweg einzuschlagen. Seit Sommer haben wir eine deutlich zweistellige Anzahl von Fällen gehabt, bei denen das E-Mail Passwort und oft auch das VPN-Passwort kompromittiert waren.
So viel zum Thema Viren.
So viel aus dem Nähkästchen. Gruß, Jens -- Dipl.-Phys. Jens Hektor, Security Operations RWTH Aachen University, IT Center RWTH Aachen University Room 2.04, Wendlingweg 10, 52074 Aachen (Germany) Phone: +49 241 80 29206 - Fax: +49 241 80 22100 http://www.itc.rwth-aachen.de - hektor@itc.rwth-aachen.de
Hallo zusammen,
On 10. Jan 2023, at 14:22, Jens Hektor <hektor@itc.rwth-aachen.de> wrote: Bei den hier auftretenden Fällen von one-to-many kann der Angreifer prima verstecken, wessen Account er unter Kontrolle hat. Ich sehe hier ehrlich gesagt das Problem nicht. Durch die Received chain ist es doch möglich, den Ursprung einer Nachricht nachzuvollziehen. Üblicherweise fehlt da zwar die IP vom Absender [1], aber man kann die des MSA sehen. Dieser sollte dann ausreichende Informationen nachhalten, um "den Übeltäter" zu identifizieren.
Generell bin ich der Überzeugung, dass den Nutzern das Herunterladen von solchen Anhängen – auch bei einer Feststellung nach der Zustellung – untersagt werden muss. — Julius [1] Das ist tatsächlich eine Sache, die ich hier an der Uni extrem oft falsch konfiguriert sehe. Das ist ein großes Datenschutzproblem, dem nachgegangen werden sollte! Bin mal gespannt, ob diese Nachricht meine IP veröffentlichen wird. Jens' Nachricht kommt von einem/über ein Gerät, dass sich "halo" nennt und Rikus' Internetanbieter kenne ich jetzt auch.
Hi, nun, man erhält als Sender an diese Mailingliste eine Reply, die so aussieht wie meine jetzt. D.h. man weiß nicht, bei welchem Empfänger dieser Mailingliste das Leak besteht. Der Inhalt war folgender: ================================== Subject: *****SPAM*****[rwth-security] Re: massive widespread malware attack on @github Hello! It is recommended to examiine the yearly performance stats via the link you'll find lower. pass U22 hXXps://nasaimalmaghsar[.]com/TTP[.]php?QUI=10 -------------------------------------------------------------------------------- On 3. Aug 2022, at 14:09, Bernd Kohler wrote: ================================== Im vorliegenden Fall war der Absender übrigens Rickert, Julius <sezwrta@alirsyadpemalang.com> Wir gehen eigentlich davon aus, dass der verwendete Klartextname im Absender nicht der Teilnehmer mit dem Leak ist, sondern zur weiteren Verschleierung eingesetzt wird. Am 1/10/23 um 14:43 schrieb Rickert, Julius:
On 10. Jan 2023, at 14:22, Jens Hektor <hektor@itc.rwth-aachen.de> wrote: Bei den hier auftretenden Fällen von one-to-many kann der Angreifer prima verstecken, wessen Account er unter Kontrolle hat. Ich sehe hier ehrlich gesagt das Problem nicht. Durch die Received chain ist es doch möglich, den Ursprung einer Nachricht nachzuvollziehen. Üblicherweise fehlt da zwar die IP vom Absender [1], aber man kann die des MSA sehen. Dieser sollte dann ausreichende Informationen nachhalten, um "den Übeltäter" zu identifizieren.
Generell bin ich der Überzeugung, dass den Nutzern das Herunterladen von solchen Anhängen – auch bei einer Feststellung nach der Zustellung – untersagt werden muss.
— Julius
[1] Das ist tatsächlich eine Sache, die ich hier an der Uni extrem oft falsch konfiguriert sehe. Das ist ein großes Datenschutzproblem, dem nachgegangen werden sollte! Bin mal gespannt, ob diese Nachricht meine IP veröffentlichen wird. Jens' Nachricht kommt von einem/über ein Gerät, dass sich "halo" nennt und Rikus' Internetanbieter kenne ich jetzt auch.
Hm. Seit einiger Zeit kann sogar GMail Mailheader anzeigen. Und der Mailheader ist in meiner Überzeugung das einzige, was ein Angreifer nicht unter voller Kontrolle hat. Also eher ein Sicherheitsfeature, als ein echtes Datenschutzproblem. Gruß, Jens -- Dipl.-Phys. Jens Hektor, Security Operations RWTH Aachen University, IT Center RWTH Aachen University Room 2.04, Wendlingweg 10, 52074 Aachen (Germany) Phone: +49 241 80 29206 - Fax: +49 241 80 22100 http://www.itc.rwth-aachen.de - hektor@itc.rwth-aachen.de
Hallo zusammen,
On 10. Jan 2023, at 15:10, Jens Hektor <hektor@itc.rwth-aachen.de> wrote: Subject: *****SPAM*****[rwth-security] Re: massive widespread malware attack on @github Hier noch einmal die Bitte, nicht den Betreff von Nachrichten zu ändern! Das macht Signaturen kaputt.
Im vorliegenden Fall war der Absender übrigens
Rickert, Julius <sezwrta@alirsyadpemalang.com>
Wir gehen eigentlich davon aus, dass der verwendete Klartextname im Absender nicht der Teilnehmer mit dem Leak ist, sondern zur weiteren Verschleierung eingesetzt wird. Gut, ich hatte es so verstanden, dass es sich hier um Business Email Compromise (BEC) handelt. Das ist ja schon einmal nicht der Fall.
Hm. Seit einiger Zeit kann sogar GMail Mailheader anzeigen. Spätestens seit 2015.
Und der Mailheader ist in meiner Überzeugung das einzige, was ein Angreifer nicht unter voller Kontrolle hat.
Also eher ein Sicherheitsfeature, als ein echtes Datenschutzproblem. Die IP-Adresse des MSA reicht aber vollkommen, um das nachvollziehen zu können. Ich glaube kaum, dass bspw. Professoren, die von zuhause aus arbeiten, bewusst ist, dass jede Email ihre IP-Adresse und damit ihren Wohnort oder aktuellen Aufenthaltsort beinhaltet. Sehe auch irgendwie nicht, wie das zu mehr Sicherheit führt, wenn neben dem MSA auch alle Empfänger diese IP-Adresse haben.
— Julius
participants (3)
-
Hinrikus Wolf -
Jens Hektor -
Rickert, Julius