Privacy - Wat niemand over je mag weten

e-mail addressen gelekt?

20-05-2016, 11:54 door Erik van Straten, 9 reacties
Laatst bijgewerkt: 20-05-2016, 11:54
Vanochtend ontving ik spam op een e-mail alias dat ik, als ik me goed herinner niet heb gebruikt op andere sites dan mijn aantekeningen aangeven, namelijk http://www.mpgh.net/ en https://www.virustotal.com/.

Het lijkt er dus op dat e-mail adressen van ofwel mpgh.net ofwel virustotal.com zijn gelekt (hoeft geen hack te zijn, kan ook een "bijklussende" beheerder zijn natuurlijk).

Heeft iemand toevallig een vergelijkbare spam ontvangen via wellicht dezelfde route, en is daarbij ook gebruik gemaakt van een alias/e-mail adres dat op slechts 1 van die sites bekend kan zijn geweest?

Relevante headers (ik heb stukjes tekst door "{removed}" vervangen en op enkele plaatsen "ditstonderniet" ingevoegd):
Return-Path: <paul-karg@ditstondernietbank.com>
Received: from {removed}.uva.nl ({removed}.uva.nl [146.50.{removed}])
    by mxdrop305.xs4all.net (8.14.9/8.14.9/Debian-xs4all~5) with
    ESMTP id u4K0H3j8025089
    (version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=NO)
    for <{removed}@xs4all.nl>; Fri, 20 May 2016 02:17:05 +0200
Received: from [10.179.7.75] (173-203-71-110.static.cloud-ips.com
    [173.203.71.110] (may be forged))
    (authenticated bits=0)
    by {removed}.uva.nl (8.13.8/8.13.8) with ESMTP id u4K0FFMn001086
    (version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=NO);
    Fri, 20 May 2016 02:15:17 +0200
Subject: Important Business proposal
To: winner <paul-karg@ditstondernietbank.com>
From: "Paul Karg Hunter" <paul-karg@ditstondernietbank.com>
Date: Fri, 20 May 2016 00:15:28 +0000
Reply-To: paul-karg@ditstondernietaccountant.com
Nb. ik heb de vermoedelijk gehackte host gemaskeerd omdat de beheerders van UVA aangaven al maatregelen te hebben genomen. Of die UVA host stond te relayen of dat de tweede "Received" header vervalst is (gangbaar), weet ik niet.

De mail zelf (een gangbare 419-scam, niks bijzonders dus):
Dear Esteemed Client,
You are receiving this message from Mr. Paul Karg Hunter working with Citi Bank here in Kiev Ukraine ,I write to contact you over a very important business transaction which will be of profitable interest and benefit to our both families.
In 2007,one Mr. Husson whose surname is same as yours and has your country in his file as his place of origin, made a fixed deposit for about 36 months with my bank , valued at $30,700,000.00 . I was his account officer during this period before I rose to the position of a Bank Manager. The maturity date for this deposit contract was 27th of September 2010. Sadly Mr. Husson was among one of the death victims of the September 2009 earthquake in Indonesia that left over 1,200 people dead while he was there on business trip.

I received a notice last week from the management of my bank to provide the next of kin of Mr .Hussson being that i was his account officer before his death or the account would risks being transferred to the Ukrainian government (es-cheat) in 14 days time. I am contacting you to assist me in repatriating the funds left behind by my late client since you both share the same last name.

This claim will be executed without breaching any EU or Ukrainian laws and success is guaranteed if we cooperate on this. The bank will release the account to you because of your last name and my recommendation of you as the next of kin. I am a very religious person and I cannot lie, I expect the same from
you. I will forward my International passport so you know I am not joking.. I have done all necessary insider banker arrangements and you only have to put in your details into the information network in the bank computer-database and reflect you as his next of kin If you concur with this proposal.
Treat this proposal with utmost confidentiality and urgency for a 100% success. If you are not interested please delete this mail. Kindly forward your reply to the mailbox below including the following in your reply:

1. FULL NAME
2. DATE OF BIRTH
3. OCCUPATION
4. CONTACT ADDRESS
5. PHONE NUMBER

Mr. Paul Karg Hunter
Citi Bank Ukraine
Citi Bank Ukaine Email: paul-karg@ditstondernietaccountant.com
Reacties (9)
20-05-2016, 13:11 door User2048
Het lijkt er dus op dat e-mail adressen van ofwel mpgh.net ofwel virustotal.com zijn gelekt (hoeft geen hack te zijn, kan ook een "bijklussende" beheerder zijn natuurlijk).
Of je eigen mailbox is gehackt...
20-05-2016, 13:28 door Erik van Straten
Door User2048:
Het lijkt er dus op dat e-mail adressen van ofwel mpgh.net ofwel virustotal.com zijn gelekt (hoeft geen hack te zijn, kan ook een "bijklussende" beheerder zijn natuurlijk).
Of je eigen mailbox is gehackt...
Hmmm ja dat is -in principe- denkbaar, ik hoop het niet... Of een xs4all admin heeft gegraaid.

Maar ik heb die alias al een hele tijd niet gebruikt, dus spam daarop ligt niet zo voor de hand; eerder op een alias waar ik al bakken spam op binnenkrijg - en die ik meestal analyseer, en dan was mij dit incident niet opgevallen.

Dus ik vermoed dat je ongelijk hebt, maar toch dank voor jouw reactie!
20-05-2016, 14:21 door Anoniem
Ik hoop dat je xs4all mail alias niet gelijk was aan je xs4all accountnaam want bij xs4all kun (kon?) je die al jaren allemaal uitdraaien door op de xs4all unix shell in te loggen en een LS op te vragen van de mappenstructuur een niveau boven je eigen home directory....vrij makkelijk te scripten en te loggen. Ook zie je dan trouwens meteen of iemand chmod 777 heeft gedraaid op zn home...
Maar wellicht staat dat tegenwoordig wel dicht.....ben al jaren geen klant meer.
Overigens....wat dacht je van de gratis telefoon e-mail apps? Die staan ook de hele dag je info te "minen". Dus als je je mobiel hebt gebruikt kan dat ook al een oorzaak zijn.
20-05-2016, 14:59 door Erik van Straten
20-05-2016, 14:21 door Anoniem: Ik hoop dat je xs4all mail alias niet gelijk was aan je xs4all accountnaam want [...]
Nee, ik heb destijds meteen separate mailboxen (ook voor mijn gezinsleden) aangemaakt, met daarop weer aliases die daadwerkelijk werden gebruikt (je mag me paranoïde noemen, maar ik beheerde al jaren een mailserver die stevig werd ge-Joe-jobbed en kende dus het klappen van de zweep). Het "beheeracccount" heb ik nooit gebruikt om e-mail mee te verzenden, en ik kijk zelden in de bijbehorende mailbox (en als ik kijk, zit er, behalve mail van xs4all zelf, niks in).

20-05-2016, 14:21 door Anoniem: Overigens....wat dacht je van de gratis telefoon e-mail apps? Die staan ook de hele dag je info te "minen". Dus als je je mobiel hebt gebruikt kan dat ook al een oorzaak zijn.
Ik gebruik m'n smartphone zo min mogelijk voor mail en gebruik de stock Android app. Ook in dit geval ligt het niet voor de hand dat nou net deze ene, zelden gebruikte, alias in handen van spammers zou vallen.

Toch zeer bedankt voor jouw reactie, want je draagt absoluut realistische punten aan daarin!
20-05-2016, 15:05 door Anoniem
Ik weet natuurlijk niet hoe lang je die alias al hebt maar al heel lang geleden is mij dit als klant van XS4ALL ook overkomen:
Ik heb me (destijds dus, ca 2003) aangemeld met een bepaalde (inlog)naam, die tevens de naam is van het hoofd-emailaccount.
Omdat in die tijd zo'n gebruikersnaam max 8 tekens mocht zijn, was deze eigenlijk niet echt bruikbaar voor relaties en daarom heb ik er nooit gebruik van gemaakt, maar in plaats daarvan van een alias. De betreffende naam kan dus nooit op het internet zijn geweest en er is ook nooit mail naar wie dan ook gestuurd met dat mailadres!

Na een paar jaar begon ik spam te krijgen die gericht was aan het nooit gebruikte mailadres met de hoofdaccountnaam. Die mails waren gericht aan meerdere personen, allemaal bij XS4ALL en opeenvolgend in alfabetische volgorde. Zo van Janaan, Janbeg, Jancaf, Jandqs enz.

Ik kan niet anders dan concluderen dat er in die tijd een enorme 'roof' is geweest van een complete lijst van XS4ALL met allemaal inlognamen erin. Of dat later nog vaker is geweest weet ik natuurlijk niet. De wél gebruikte aliassen geven in het algemeen pas na een aantal jaren spam, meestal doordat ze (automatisch) in adresbestanden van andere gebruikers worden opgeslagen.

Gelukkig heeft XS4ALL inmiddels een erg goed spamfilter, dus echt last heb ik er niet meer van.

Het zou kunnen zijn dat er later nogmaals zo'n 'roof' heeft plaatsgevonden en het hoeft dus niet te liggen aan de betreffende sites....
20-05-2016, 15:26 door Anoniem
https://www.google.be/#q=%22paul-karg%40bank.com%22
geeft toch een resultaat weer ...
20-05-2016, 15:31 door Anoniem
- Als je e-mailadres ook maar 1 keer op 1 website is gepost voor 1 dag kan een webcrawler deze makkelijk hebben opgepikt.
- Als je ook maar 1 keer een mail ontvangen van iemand waarbij een 'slechterik' 1 minuut toegang had tot de mailbox van deze persoon kan een automatische tool deze makkelijk hebben opgepikt.
En zo kan ik nog even doorgaan. Zodra je mail in een systeem publiekelijk heeft gestaan voor maar 1 minuut is deze te crawlen.
20-05-2016, 15:40 door Anoniem
Door Anoniem: Ik hoop dat je xs4all mail alias niet gelijk was aan je xs4all accountnaam want bij xs4all kun (kon?) je die al jaren allemaal uitdraaien door op de xs4all unix shell in te loggen en een LS op te vragen van de mappenstructuur een niveau boven je eigen home directory....vrij makkelijk te scripten en te loggen. Ook zie je dan trouwens meteen of iemand chmod 777 heeft gedraaid op zn home...
Maar wellicht staat dat tegenwoordig wel dicht.....ben al jaren geen klant meer.

Een alias kan niet gelijk zijn aan je accountnaam dus dat zal het niet geweest zijn.
Er was ook een andere methode om de hele lijst accountnamen op te vragen en die heeft na het dichtzetten van de
methode die jij daar noemt nog jaren gewerkt.
Pas toen ze de shell servers van BSD naar Linux hebben overgezet was dit lek gedicht.
Maar goed dit is in het onderhavige geval het probleem niet...
20-05-2016, 16:28 door Anoniem
Vanochtend ontving ik spam op een e-mail alias dat ik, als ik me goed herinner niet heb gebruikt op andere sites dan mijn aantekeningen aangeven, namelijk http://www.mpgh.net/ en https://www.virustotal.com/
Is dat e-mailadres ook nooit bekend gemaakt aan internetbankieren?
Het lijkt me ook niet uitgesloten dat een bedrijf als virustotal (nu aangenomen kindje van Google) heeft gelekt,
en via via langs "vertrouwde partners" is doorgelekt? Een email-adres is al snel weer een paar cent waard.
(altijd op oppassen met te snelle conclusies natuurlijk, maar dat doe je ook wel)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.