** Formularspambot läuft Amok? Nutzer erhält tausende eMails mit Newsletteranmeldungen ( Newsletter Signup Confirmation Spam )

Ein ganz besonderer Hilferuf eines Kunden erreichte uns heute (5. Februar 2020) um ca. 16 Uhr: „Hilfe, unser Mailpostfach wird seit Stunden mit zigtausend eMails (Newsletter-Anmeldungen, Kontaktformularantworten) verschiedenster Herkunft geflutet.“

OK. Dass da draussen tonnenweise Spambots unterwegs sind, die Kontaktformulare von Homepages exploiten/antesten und zum Spamversand missbrauchen, ist ein alter Hut. Auch ich kenne noch die Zeit, als Ende der 1990er von Spammern die Masche aufkam, das CGI-Skript formmail.pl zu exploiten und zum Spamversand zu missbrauchen; denn die Spammer konnten den gewünschten Empfänger des Kontaktformulars-Submitskripts (Formmail) im Get/Post-Parameter gleich mit dem Spamtext mitschicken/überschreiben.
Das Thema Online-Formular-Spambots ist also quasi fast so alt wie das WorldWideWeb. Aber dass dabei eine Flut von zigtausenden Newsletteranmeldungen zu Ungunsten einer Person resultiert, ist mir bislang in 15 Jahren Berufspraxis noch bei keinem Kunden untergekommen.

Nach ca 100 Stichproben war nämlich klar erkennbar, dass es sich vorrangig um echte Newsletter-Anmeldebestätigungs-EMails („Spam Signups“) handelt.
Dass die eMails keine Fake-Mails waren, wurde recht schnell klar als wir versuchten, uns für 10 zufällig aus den eMails ausgesuchten Newsletter auf der Homepage der jeweiligen Anbieter anzumelden. Im konkreten Fall unseres Kunden trudelten binnen 5 Stunden über 8000 solcher eMails ein, aus allen erdenklichen Ländern in allen erdenklichen Sprachen: deutsch, englisch, spanisch, skandinavisch, niederländisch, französisch, italienisch, russisch, chinesisch, arabisch etc.

Das heißt: Irgendein vollautomatisierter Formularspam-Bot (= Programm, das versucht, über Kontaktformulare auf Homepages Spam zu verschicken) läuft entweder absichtlich Amok oder wurde hundsmiserabel programmiert (Hello script-kiddie?), mit der Folge, dass die Mailadressen der bedauernswerten Opfer in tausende Newsletter-Anmelde-Felder auf tausenden internationalen Homepages eingetragen und submitted werden. Oder war es eine gezielte Mobbing-Attacke auf die eMail-Adresse des Opfers? Time will tell.

Nachtrag vom 7.2.2020: Das Rätsel ist gelöst.
Wie sich im Nachhinein heraussstellte, wurde das Paypal-Konto des Opfers missbraucht; leider hatte der Kunde

1.) für sein Paypal-Konto bequemlicherweise ein Kennwort verwendet, das er auch bei anderen Plattformen verwendete
2.) im Paypal-Konto und die 2Faktor-Authentifizierung nicht aktiviert.
Zwischen den tausenden Spam-Mails fanden sich dann auch die drei Paypal-eMails mit den missbräuchlichen Zahlungen/Bestellungen.
Nun ergibt es einen Sinn: Damit die von Paypal gesendeten eMails der betrügerischen Paypal-Zahlung dem Opfer nicht auffallen, wird dieser einfach mit tausenden eMails überschwemmt, in der die Paypal-Mails untergehen/übersehen werden. Der Spuk ist nach einigen Tagen vorbei, denn dann ist die auf fremde Kosten bestellte Ware am Zielort längt bei einem Strohmann angekommen. Da die Betrüger keinen Zugriff aufs Mailkonto des Opfers hatten, konnten Sie die eMails nicht löschen, anhand deren dem Opfer dubiose Vorgänge seines Paypalkontos aufgefallen wären. Daher griffen die Betrüger zu Plan B: Dem klassischen Hütchenspielertrick … einem Ablenkmanöver! Sprich: Sie fluteten das Mailpostfach des Opfers, damit er bestimmte Mails übersieht. Und diese Arbeit ließen sie von einem Spambot erledigen, der dies über schlecht abgesicherte, captcha-lose Newsletteranmeldeformulare erledigte.

Das Resultat:

Das „Opfer“ erhält tausende Bestätigungs-eMails; Motto „Ihre eMail-Adresse wurde gerade für unseren Newsletter abngemeldet. Wenn Sie das wirklich waren, klicken Sie hier, um das Abo zu bestätigen.“  (Double-Opt-In)
Das ist schon nervig genug, aber was soll’s; diese Mails löscht man halt einfach in der Hoffnung, dass die Welle binnen weniger Tage abebbt.

Der blanke Horror jedoch ist die Vielzahl der weltweit existierenden Newsletter-Anmeldeformularen ohne DoubleOptIn. Hunderte eMails lauteten nämlich (eingedeutscht) wie folgt: „Danke für die Anmeldung an unserem eMail-Newsletter, den Sie ab sofort erhalten.“
Im Klartext: Das Opfer hat nun ggf. tausende unerwünschte eMail-Newsletter an der Backe, aus denen er sich tagelang wieder austragen muss, sofern es die Fremdsprachenkenntnisse überhaupt ermöglichen, den richtigen „Unsubscribe / Newsletter-Abo kündigen“-Link in der jeweiligen eMail zu erraten.

Besonders „amüsant“ (bzw. erschreckend) ist, dass der Formularspambot auch „Passwort vergessen“-Formulare submittet … unter den knapp 10.000 eMails entdeckten wir einige eMails mit funktionierenden (!) Zugangsdaten zu Word-Press-Adminbereichen diverser Firmenhomepages. Eine eMail enthielt den Benutzernamen, das  Kennwort und die Anmelde-URL für ein WordPress-Adminportal, jeweils im Klartext!); scheinbar haben hier irgendwelche Ich-klick-mir-mal-eben-schnell-ne-Homepage-zusammen-Webmaster geschludert und Passwort-vergessen-Funktionen implementiert, die Klartext-Logindaten (statt Passwortneuvergabe-Links) an wildfremde Get-/Post-Request-injizierbare eMail-Adressen verschicken. *facepalm*

Beispielfoto:

 

Kommentar:

Anfang Januar schrieb ich, dass 2020 das Jahr der Entscheidung werden könnte, ob das Internet und die IT-Gesellschaft unbrauchbar wird oder noch die Kurve kriegt. In den seitdem vergangenen Wochen sind dermaßen viele Spam-Kampagnen, Phishing-Mails, Phishing/fakeware in Werbeanzeigenetzwerken und Softwarepfusch aufgetreten, dass man konstatieren muss: Die Sorglosigkeit zu vieler IT-Anwender, IT-Programmierer, Webmaster, Homepagezusammenklicker, online-Redaktionen und IT-Verantwortlicher macht das Medium eMail und Internet zunehmends ineffizienter.

Was behalten wir über?

Es wird an der Zeit, dass auch Newsletter-Anforderungsformulare und Passwort-vergessen-Formulare nur dann eMails verschicken dürfen, wenn ein sog. Captcha zuvor korrekt ausgefüllt wurde.

Aufruf an Computernutzer:

  • Benutzen Sie für jeden Online-Dienst jeweils ein anderes komplexes Passwort, das sich nicht aus anderen Kennworten ableiten lässt. (nervt? Ja! Erspart aber dicken Ärger!)
  • Aktivieren Sie bei Bezahldiensten, Banking, Kryptowährungsbörsen etc immer die 2-Faktor-Authentifzierung. Zum erfolgreichen Login wird dann benötigt: a) Benutzername/Mailadresse, b) Kennwort, c) eine Zusatzangabe wie ein an ein Handy gemailter Zahlencode oder ein Sicherheitstoken einer Authenticator-App.
  • Aktivieren Sie bei Paypal die 2-Faktor-Authentifizierung: „Einstellungen -> Sicherheit -> 2Stufen-Verifizierung“
  • Wenn Sie über 2,3 Tage extremst viele Spammails bekommen, müssen Sie damit rechnen, dass Ihnen gerade an einer anderen Baustelle Schaden entsteht, der in den Spamfluten untergehen/übersehen werden soll.

Aufruf an alle Webprogrammierer (und deren Chefs, denen Funktion wichtiger als Qualität und Sicherheit ist):

  • Leute, macht endlich Captchas in Eure Newsletteranmeldeformulare … und (!!!!) prüft vor dem Aufruf der mailsend()-Funktion auch, ob das Captcha korrekt ausgefüllt wurde!!!!!
  • Double-OptIn! Double-OptIn! Double-OptIn!
  • Wer Passswort-vergessen-Funktionen noch so gestaltet, dass a) der bestehende Benutzername und Kennwort im Klartext gemailt werden und b) ungeprüft an wildfremde eMail-Adressen, der hat zwei Jahre Knast in einem sibirischen Gefängnis nach Wahl verdient …. bei Wasser, Brot …  und täglich 8 Stunden Arbeit … in Form von manuellem Kleinhäckseln tausender ausgedruckter SpamMails … mit einer stumpfen Kinderschere!

🙂

Im Web findet sich zu diesem Thema fast nichts. Einen guten englischsprachigen Artikel gibt es hier, jedoch dreht sich der Artikel teils um die Gegenpartei; also den Newsletter-Anbieter, der plötzlich tausende Opfer-Empfänger in seiner Newsletter-Abonnenten-Datenbank hat.

PS: Was passiert eigentlich, wenn ein Antivirusprogramm in eingehenden eMails die darin enthaltenen Links auf Schadcode überprüft? Ruft es dann die Links auf und prüft deren HTML-Code? Falls ja, würde das Schutzmodul den Newsletter-Abo-Confirmation-Klick ungewollt durchführen. Food for thought.

Unbedingt lesen! Weitere Artikel zu diesem Thema aus diesem Blog:

*** Paypal absichern !!!

** Erhalten Sie am Tag plötzlich tausende Newsletter-eMails? Dann behalten Sie Ihre Konten im Auge! ( Bei Paypal-Missbrauch zigtausend Newsletteranmeldungen )


Erste Abhilfe: Um den Posteingangs-Ordner des Opfers nicht durch tausende tägliche Spam-Signup-Confirmation-eMails zu unübersichtlich werden zu lassen, legten wir im eMail-Programm für einige Tage eine Regel an, die alle neuen eMails in einen Unterordner verschiebt, sofern der Absender nicht im email-Adressbuch steht UND der Mailbody (also der eigentliche Mailtext) mindestens eine der folgenden Zeichenketten (Strings/Substrings) enthält:

  • newsletter   <- ggf. weglassen, denn dieses Keyword triggert auch „gute“ Mails
  • conferma
  • mailing list
  • subscription
  • abonnere
  • mailingliste
  • Subscriç
  • newslettera
  • Iscrizione
  • inschrijving
  • suscripcion
  • SUSCRIPCIÓN
  • suscripci
  • póstlista
  • postlista
  • registrerats
  • бюллетень
  • адресатов

Trefferquote dieser kurzen Patternliste: immerhin ca 60%.
Natürlich trifft dieser Filter auch manche „gute“ Mail, aber die Trefferquote trägt deutlich zur Entlastung bei. Dies kann man minimieren, indem z.B. eMail-Adressen der eigenen Mailadressbücher vom Filter ausgeschlossen werden.

Hat Ihnen dieser Beitrag gefallen oder geholfen?
Bedanken Sie sich? Mit einer kleinen Anerkennung für die inhaltliche Arbeit?
Jeder Betrag ist willkommen. Lieben Dank!