This website uses cookies to ensure you get the best experience on our website. Got it! Privacy policy

Wetterprotokoll kompromittiert?

Deleted User wrote 4 years ago (edited 4 years ago):

Hallo,
Ich habe heute folgende Mail erhalten die darauf Rückschliessen lässt das euer Board kompromittiert ist.
Meine Mailadresse zu euch ist Unitär auf meinem ( hier Zuhause) stehenden Mailserver gerichtet. Also ist die Wahrscheinlichkeit eines Hacks bei mir eher NULL:
------------------------------------------- Mail Anfang --------------------------------------------------------
From - Sat Dec 21 18:37:05 2019
X-Account-Key: account2
X-UIDL: 1576949689492.d78.6a0.148820.DC05a
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <info@beautylab.com.ua>
Delivered-To: xxx@xxxxxxxxxxxxxxxxxxxxxxxxx
X-Deliver-To: xxx@xxxxxxxxxxxxxxxxxxxxxxxxxx
Received: from mail.starlight.kiev.ua ([195.12.58.193]:52739)
by zipp.dyndns.org with [XMail 1.27 ESMTP Server]
id <S7D21> for <wetterpool.zipp@zipp.dyndns.org> from <info@beautylab.com.ua>;
Sat, 21 Dec 2019 18:34:49 +0100
Received: from [14.186.177.155] (helo=[127.0.0.1])
by mail.starlight.kiev.ua with esmtpsa (TLSv1:DHE-RSA-AES256-SHA:256)
(Exim 4.80.1 (FreeBSD))
(envelope-from <info@beautylab.com.ua>;)
id 1iiieN-000CUV-5o
for wetterpool.zipp@zipp.dyndns.org; Sat, 21 Dec 2019 19:34:47 +0200
Date: Sat, 21 Dec 2019 12:34:48 -0500
From: Winter <info@beautylab.com.ua>
MIME-Version: 1.0
Subject: Hackers know password from your account. Password must be changed now.
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain; charset=UTF-8
Message-ID: <I1lmyMp-7479JZ-Zr@beautylab.com.ua>
To: wetterpool.zipp@zipp.dyndns.org
X-EnvId: 484903923:663701:campaign:US
X-CSA-Complaints: abuse@bglqvuysk.beautylab.com.ua
X-Mailgun-Sending-Ip: [455.63.3.674]

Hello!

I am a hacker who has access to your operating system.
I also have full access to your account.

I've been watching you for a few months now.
The fact is that you were infected with malware through an adult site =
that you visited.

If you are not familiar with this, I will explain.
Trojan Virus gives me full access and control over a computer or other=
device.
This means that I can see everything on your screen, turn on the camer=
a and microphone, but you do not know about it.

I also have access to all your contacts and all your correspondence.

Why your antivirus did not detect malware?
Answer: My malware uses the driver, I update its signatures every 4 ho=
urs so that your antivirus is silent.

I made a video showing how you satisfy yourself in the left half of th=
e screen, and in the right half you see the video that you watched.
With one click of the mouse, I can send this video to all your emails =
and contacts on social networks.
I can also post access to all your e-mail correspondence and messenger=
s that you use.

If you want to prevent this,
transfer the amount of $500 to my bitcoin address (if you do not know =
how to do this, write to Google: "Buy Bitcoin";).

My bitcoin address (BTC Wallet) is: 1P2xW3dAjbD5rz6H7Ej46puSS2Ep3Mh1u=
Q

After receiving the payment, I will delete the video and you will neve=
r hear me again.
I give you 50 hours (more than 2 days) to pay.
I have a notice reading this letter, and the timer will work when you =
see this letter.

Filing a complaint somewhere does not make sense because this email ca=
nnot be tracked like my bitcoin address.
I do not make any mistakes.

If I find that you have shared this message with someone else, the vid=
eo will be immediately distributed.

Best regards!

------------------------------------------- Mail Ende --------------------------------------------------------

Ich suche noch nach dem Ursprung... :-)

Ein Feedback wäre erforderlich.

cu zipp

Deleted User wrote 4 years ago (edited 4 years ago):

--- Fehler korrigiert ---

Guido Richterteamstormchaser wrote 4 years ago:

Ich sehe da keinen Hinweis auf Probleme bei uns. Wie kommst du darauf? Bitte erkläre es uns.

Deleted Userteamstormchaser wrote 4 years ago:

Zitat von Guido RichterIch sehe da keinen Hinweis auf Probleme bei uns. Wie kommst du darauf? Bitte erkläre es uns.

Zitat von zipp57Meine Mailadresse zu euch ist Unitär


Diese Mailadresse ist nur bei euch hinterlegt...
Welche andere Möglichkeit siehst du für ihre missbräuchliche Nutzung?

cu zipp

Guido Richterteamstormchaser wrote 4 years ago (edited 4 years ago):

Hallo Zipp,

es gibt dutzende Möglichkeiten, wie eine E-Mail-Adresse in fremde Hände gelangt. In den letzten Monaten haben wir beispielsweise direkte Leaks bei großen Anbietern wie GMX und t-online gesehen. Die meisten Anbieter haben darauf nicht adäquat reagiert, weshalb aktuell tausende gehackte Mail-Accounts im Umlauf sind. Eine weitere Quelle sind Hacks bei Plattformen gewesen. Viele Nutzer verwenden identische Passwörter für alle Konten, weshalb es dann zur Ausbreitung der Zugriffe kommt. Entsprechende Listen mit E-Mails, Usernamen und Passwörtern sind im Umlauf.

Nun verwendest du keinen dieser Anbieter. Ursächlich für bekannt gewordene Postfächer können in diesem Fall Infektionen des Clienten sein. Nur ein paar Beispiele:

- Postfach an sich infiziert - oder Serverzugriff durch Angriff
- Spamfilter & sonstige Tools von Drittanbietern, die "nach Hause telefonieren"
- Befall mit Viren oder Trojanern, die Daten ausspähen

Das Vorkommen osteuropäischer Webseiten im Mailheader spricht sehr für einen Befall auf deinem Clienten. Die in den letzten Monaten stattgefundenen Hacks waren überwiegend Russland zuzuordnen.

Die öffentliche Behauptung, unsere Systeme seien befallen, ist juristisch sehr dünnes Eis. Ich bitte dich, deine Behauptungen mit echten Beweisen zu untermauern. Alles, was ich aktuell sehe, ist eine typische Spam-Mail nach Eigenbefall.

Deleted Userteamstormchaser wrote 4 years ago (edited 4 years ago):

Hallo und vielen Dank für deine Antwort.
Für mich allerdings unbefriedigend.

Da ich auf meinem privaten E-Mail Server ca.100 derartige Adressen private administriere und die bei euch exklusiv verwendete Adresse verwendet wurde, habe ich selbstverständlich zuerst die Integrität meines Systems geprüft.
Es war in den letzten zwei Jahren die einzige derartige Mail, die mich über diesen Weg erreicht hat. Und in diesem Fall handelte es sich um eine Kompromittierung.
Es ist mein Beruf sich mit derartigen Problemen zu beschäftigen.

Zitat von Guido Richter
Die öffentliche Behauptung, unsere Systeme seien befallen, ist juristisch sehr dünnes Eis. Ich bitte dich, deine Behauptungen mit echten Beweisen zu untermauern. Alles, was ich aktuell sehe, ist eine typische Spam-Mail nach Eigenbefall.


Meinen Hinweis an dich halte ich für einen freundschaftlichen Hinweis auf ein bestehendes Risiko.
Die Sorgfalt meiner Systemprüfung kann ich mit meinem beruflichen Hintergrund belegen.

Bei der Suche nach einer entsprechenden Kontaktadresse im Impressum wurde ich nicht fündig.
die einzige Möglichkeit besteht scheinbar nur in diesem Forum.

Die betroffene Mailadresse ist bei mir gelöscht .
Da meine Mailadresse hier nicht änderbar ist, möchte ich um Löschung meines Accounts bitten.

mfg. zipp

Guido Richterteamstormchaser wrote 4 years ago (edited 4 years ago):

Hallo Zipp,

gerade wenn du beruflich Experte bist, sollte es dir nicht schwer fallen, entsprechende Beweise vorzulegen. Da nur du betroffen bist und sonst niemand und auch in unseren Logs keine ungewöhnlichen Aktivitäten auftreten, fällt es uns schwer, deinen Behauptungen zu folgen.

Auch die Schlussfolgerung, man könne uns nicht anderweitig kontaktieren, ist fragwürdig. Sowohl in der Datenschutzerklärung als auch im mühelos und auf jeder Seite per Menü erreichbaren Impressum sind vollständige Kontaktdaten genannt.

Wir kommen deiner Löschaufforderung selbstverständlich nach und wünschen dir noch frohe Festtage.

Login to reply