In den vergangenen Jahren wurden zentralisierte Angriffe mit IP-Telefonie durchgefĂŒhrt, jetzt eine neue Runde, aber bereits mit E-Mail. Lassen Sie uns die verfĂŒgbaren elektronischen Daten zu diesem Angriff analysieren.
Aktualisierte Informationen am 02/01/2019.
Problem:
2017: âDie AnonymitĂ€t des Anrufs wird durch die Tatsache sichergestellt, dass ein Angreifer mithilfe von IP-Telefonie eine beliebige Anzahl von Anrufern ersetzen kann, einschlieĂlich der Anzahl von echten nicht verbundenen Teilnehmern von ĂŒberall auf der Welt. Diese Funktion der IP-Telefonie erschwert die Arbeit der SicherheitskrĂ€fte. Das AnschlieĂen des IP-Telefonie-Sprachgateways an die Netze von Telekommunikationsbetreibern erfolgt hĂ€ufig illegal, wobei die Nummer des Anrufers, die IP-Adressen und andere Kennungen ersetzt werden2019: Nach Angaben der Pressedienste von Verwaltungen und Mitarbeitern medizinischer Einrichtungen und Schulen in verschiedenen Regionen und StĂ€dten erhielten sie Nachrichten mit Bedrohungen und der Verpflichtung, bestimmte Aktionen per E-Mail durchzufĂŒhren.
Strafverfolgungsbehörden begannen zusammen mit Exekutivbehörden, in Ăbereinstimmung mit ihrer AutoritĂ€t zu handeln, was bedeutete, jede Nachricht zu ĂŒberprĂŒfen.
In den Institutionen, die im Text der Briefe aufgefĂŒhrt waren, fanden NotfĂ€lle statt.
Keiner der Tatsachen ĂŒber die erhaltenen Drohungen wurde bestĂ€tigt, die Arbeit der Institutionen wurde vollstĂ€ndig wieder aufgenommen.Datenanalyse:Alle E-Mails wurden mit dem kostenlosen Mail-Dienst mailfence dot com gesendet und positionierten sich als âsicherer und vertraulicher E-Mail-Dienstâ.
Derzeit haben einige Anbieter in der Russischen Föderation nur eingeschrÀnkten Zugriff auf diesen Dienst.
Wir werden versuchen, uns bei diesem Dienst anzumelden und uns zu registrieren. Wir bekommen diese Ablehnung:
Mit dem VPN-Plugin können Sie etwas weiter gehen und die Registrierung durchlaufen:
Hier warten wir jedoch auf eine solche Auswahl aus möglichen E-Mail-Adressen.
Daher besteht der Verdacht, dass die bei dem Angriff verwendeten E-Mail-Adressen vor langer Zeit in diesem System erstellt wurden, als es möglich war, zuvor einen anderen Domainnamen auszuwĂ€hlen. Dies bedeutet, dass der Angriff nicht spontan war und die Adressen viel frĂŒher von einem Pool erstellt wurden.
Warum mĂŒssen wir in diesem Dienst ein Postfach erstellen?
Bei der Registrierung mĂŒssen Sie Ihre funktionierende E-Mail-Adresse angeben, an die ein Link gesendet wird, um die Registrierung im Dienst zu bestĂ€tigen.
Als NĂ€chstes ĂŒberprĂŒfen wir, wie der Vorgang zum
ZurĂŒcksetzen des
Kennworts in diesem Dienst ablÀuft.
Geben Sie Ihren Benutzernamen und / oder Ihre E-Mail-Adresse ein:
Geben Sie den Benutzernamen oder die E-Mail-Adresse ein (im Testfall haben wir mail.ru) und erhalten Sie:
Um Ihr Passwort zurĂŒckzusetzen, wurde eine E-Mail gesendet an:
sin***@***mail.ru
Auf diese Weise können wir die ersten drei Zeichen des Benutzernamens und die letzten fĂŒnf Zeichen der Mail-Domain der zweiten Ebene erkennen. (danke
michaelkl fĂŒr den
kommentar! )
Wenn Sie ein ZurĂŒcksetzen des Passworts anfordern, können Sie auĂerdem einen Benutzernamen oder eine E-Mail-Adresse angeben.
Und gemÀà den Adressen aus den gesendeten E-Mails können Sie beim Anfordern eines ZurĂŒcksetzens des Kennworts nur die E-Mail angeben.
putin.fsb2@mailfence.com
Um Ihr Passwort zurĂŒckzusetzen, wurde eine E-Mail gesendet an:
kul***@***utoo.email
just.bro@mailfence.com
Um Ihr Passwort zurĂŒckzusetzen, wurde eine E-Mail gesendet an:
bbl***@***imail.com
Der einzige Thread fĂŒhrt zu gmail.com:
kor.bol@mailfence.com
Um Ihr Passwort zurĂŒckzusetzen, wurde eine E-Mail gesendet an:
vov***@***gmail.com
Hier können Sie nach der vollstĂ€ndigen Adresse suchen, aber fĂŒr eine lange Zeit:
Diese Adresse wird ĂŒbrigens aus der gesamten Liste gestrichen, gerade weil sie eine Verbindung zu gmail.com hat.
Eine andere Adresse am selben Ort:
kiano.lok@mailfence.com
Um Ihr Passwort zurĂŒckzusetzen, wurde eine E-Mail gesendet an:
put***@***gmail.com
Es besteht der Verdacht, dass dies als Option ein Nachahmer ist, der ebenfalls zur Welle der Mailings beigetragen hat, jedoch mit egoistischen Absichten, um seine böse Absicht in der Verwirrung von Ereignissen (Diebstahl, Löschen von Daten, wenn niemand in der NÀhe ist usw.) zu begehen.
Wenn sich irgendwo in der Adresse Zahlen befinden, können wir diese Adressen auch ĂŒberprĂŒfen, indem wir sie ein wenig Ă€ndern oder entfernen.
putin.fsb@mailfence.com
Um Ihr Passwort zurĂŒckzusetzen, wurde eine E-Mail gesendet an:
poc***@***cloud.info
putin.fsb1@mailfence.com
Um Ihr Passwort zurĂŒckzusetzen, wurde eine E-Mail gesendet an:
joo***@***email.com
putin.fsb3@mailfence.com
Um Ihr Passwort zurĂŒckzusetzen, wurde eine E-Mail gesendet an:
bud***@***email.com
putin.fsb4@mailfence.com
Um Ihr Passwort zurĂŒckzusetzen, wurde eine E-Mail gesendet an:
bep***@***itnow.com
Daher können wir weiterhin erwarten, Briefe von diesen E-Mail-Adressen zu erhalten.
Und hier wurde dennoch der temporÀre E-Mail-Dot-Org-Dienst verwendet, um sich bei mailfence dot com zu registrieren
Infolgedessen wurden zwei verschiedene Mail-Dienste in acht E-Mail-Adressen verwendet.
ErgÀnzung: Neue Briefe kommen auch vom kostenlosen Mail-Server mail dot bg.
jekson.lo1@mailfence.com
Um Ihr Passwort zurĂŒckzusetzen, wurde eine E-Mail gesendet an:
pet***@***mail.bg
Daten aus Mosigra:
habr.com/de/company/mosigra/blog/439036laki.kak@mailfence.com
Um Ihr Passwort zurĂŒckzusetzen, wurde eine E-Mail gesendet an:
ale***@***mail.uk
Wie aus den Mailinglisten hervorgeht, wie die Opfer fĂŒr den Angriff ausgewĂ€hlt wurden, ist ersichtlich, dass die Adressen von den Websites staatlicher Institutionen kopiert oder manuell âeingefahrenâ wurden, da diese Daten öffentlich verfĂŒgbar sind.
Der Bereich der gleichzeitigen EmpfÀnger in E-Mails (2-6-10) ist gering, sodass Mailserver die Verteilung nicht einschrÀnken und E-Mails nicht in den Spam-Ordner fallen.
AuszĂŒge aus den Service-Headern:Erhalten: von wilbur.contactoffice.com (wilbur.contactoffice.com [212.3.242.68])
(Kundenzertifikat nicht vorhanden)
RĂŒckweg: putin.fsb3@mailfence.com
Domain von mailfence.com bezeichnet 212.3.242.68 als zulÀssigen Absender,
rule = [ip4: 212.3.242.64/26]) smtp.mail=putin.fsb3@mailfence.com; dkim = bestanden
DKIM-Signatur: v = 1; a = rsa-sha256; c = entspannt / einfach; d = mailfence.com;
X-PrioritÀt: 3
Antwort an: Putin FSB <putin.fsb3@mailfence.com>
Von: Putin FSB <putin.fsb3@mailfence.com>
X-Mailer: ContactOffice Mail
X-ContactOffice-Account: com: 188677102
Erhalten: von mxfront13g.mail.yandex.net ([127.0.0.1])
von mxfront13g.mail.yandex.net mit der LMTP-ID a6sJli0I
fĂŒr <info@mosigra.ru>; Di, 5. Februar 2019 11:00:14 +0300
Erhalten: von wilbur.contactoffice.com (wilbur.contactoffice.com [212.3.242.68])
von mxfront13g.mail.yandex.net (nwsmtp / Yandex) mit der ESMTPS-ID jttuF4mQRo-0DAa1MBL;
Di, 05. Februar 2019 11:00:13 +0300
(unter Verwendung von TLSv1.2 mit der VerschlĂŒsselung ECDHE-RSA-AES128-GCM-SHA256 (128/128 Bit))
(Kundenzertifikat nicht vorhanden)
RĂŒckweg: laki.kak@mailfence.com
X-Yandex-Front: mxfront13g.mail.yandex.net
X-Yandex-TimeMark: 1549353613
Authentifizierungsergebnisse: mxfront13g.mail.yandex.net; spf = pass (mxfront13g.mail.yandex.net: Domain von mailfence.com bezeichnet 212.3.242.68 als zulÀssigen Absender, Regel = [ip4: 212.3.242.64/26]) smtp.mail=laki.kak@mailfence.com; dkim = pass header.i=@mailfence.com
X-Yandex-Spam: 2
X-Yandex-Fwd: MzM4MDAwNDcyNDYzOTM2Mzg1OSwyMTg3Njc1NDQ5ODIwMzIwNzMz
Erhalten: von ichabod.co-bxl (ichabod.co-bxl [10.2.0.36])
von wilbur.contactoffice.com (Postfix) mit der ESMTP-ID 16350329D;
Di, 5. Februar 2019 09:00:13 +0100 (MEZ)
DKIM-Signatur: v = 1; a = rsa-sha256; c = entspannt / einfach; d = mailfence.com;
s = 20160819-nLV10XS2; t = 1549353613;
bh = gADFkQslj8dDCkx + Y9OhJNmeT7fosViIkpUDPPk1UO8 =;
h = Datum: An: Betreff: Antwort an: Von: Von;
b = Th6eWs74xYE35Y5pouZD / 9vbA / oJZ6jyrtzWrMs3XilthYjL3DnwVm1SiysHGHr4J
6ROHYI / HMAnLOJfv + JsKC574UzsmjU1yhikwYLakMPTWKiqcR6knC4mXkfWFm / fXHU
LPod1MeMeNlD1rqEXnkr8wJk4GX / s6DzCUVxC5qzcv6ChEwa5DJOvIg0mxMxP9UfMr
LaPBQIGOiELGYfFOWi8XwGW1BDFfKXCgE0vxYYo8lqgXuXN720BHTv + CksccUdo44v
KyDZEQYqM7J3JhjL8GCiaWxfLBbEkLqYCHnRUEGyKbC2pqT23c2TaafXXW7g5raN63
WyVocjjQbTDpA ==
Datum: Di, 5. Februar 2019 09:00:10 +0100 (MEZ)
Nachrichten-ID: <790975597.619629.1549353610731@ichabod.co-bxl>
MIME-Version: 1.0
Inhaltstyp: Text / Klartext; Zeichensatz = utf-8
InhaltsĂŒbertragungscodierung: base64
An: info@torrogrill.ru, kapitoly_adm@cosmik.ru, kashirskaya.enkatc@enka.com,
6112158@re-reserved.ru, info@mosigra.ru, info@toy.ru,
filion@minisolife.ru, 6412027@re-reserved.ru, info@modi.ru,
office@melonfashion.ru
Betreff: =? Utf-8? B? 0L7RgtCy0LXRgiDQvdCwINC30LDQv9GA0L7RgQ ==? =
X-PrioritÀt: 3
Antwort an: laki kak <laki.kak@mailfence.com>
Von: laki kak <laki.kak@mailfence.com>
X-Mailer: ContactOffice Mail
X-ContactOffice-Account: com: 190697286
X-Yandex-Forward: c4503a689c840ee5c1704413e6045827
Empfehlungen:Wenn möglich, sollten Systemadministratoren von Institutionen ihre E-Mails hĂ€ufiger abrufen, einen Filter fĂŒr Briefe von âmailfence dot comâ in einem separaten Ordner erstellen und diese sofort gemÀà ihren Stellenbeschreibungen melden, Service-Header und alle Daten zur weiteren Analyse speichern.
Taktik:Die Frage ist also: Warum werden in Newslettern so viele E-Mail-Adressen verwendet?
Die Antwort ist einfach: Die Achillesferse des verwendeten Dienstes ist die Monetarisierung von Diensten und die Möglichkeit, sich ĂŒber einmalige PostfĂ€cher zu registrieren (einmaliger Postdienst).
1. Höchstwahrscheinlich haben alle Konten, die fĂŒr den Versand verwendet werden, jetzt einen kostenlosen Plan, der nur 500 MB E-Mails enthĂ€lt.
Wenn dieses Feld mit Nachrichten mit AnhĂ€ngen "geworfen" wird und voll ist, mĂŒssen Sie es zuerst bereinigen, um weitere Mailings durchfĂŒhren zu können. Bezahlte PlĂ€ne sind bereits Zahlung fĂŒr Dienstleistungen und zusĂ€tzliche Entdeckung ihrer Bankdaten.
Sie können dabei helfen, indem Sie so groĂe Briefe wie möglich an die unten angegebenen Adressen senden.
putin.fsb@mailfence.com
putin.fsb1@mailfence.com
putin.fsb2@mailfence.com
putin.fsb3@mailfence.com
putin.fsb4@mailfence.com
just.bro@mailfence.com
kor.bol@mailfence.com
kiano.lok@mailfence.com
jekson.lo1@mailfence.com
laki.kak@mailfence.com
2. Abfangen der Postfachverwaltung durch
ZurĂŒcksetzen eines Kennworts und AuswĂ€hlen einer
Anmeldung ĂŒber einen einmaligen E-Mail-Dienst .
Theoretisch ist es möglich, auf die in Absatz 1 aufgefĂŒhrten PostfĂ€cher zuzugreifen, wenn Sie eine groĂe Anzahl von Aktionen ausfĂŒhren können:
- WĂ€hlen Sie das erforderliche Login und die Domain in temp-mail dot org aus
- Senden Sie einen Befehl zum ZurĂŒcksetzen des Passworts an die Adresse mailfence dot com
- Holen Sie sich einen Brief zum ZurĂŒcksetzen des Passworts in Temp-Mail Dot Org
- Melden Sie sich bei mailfence dot dot com an
Daten zur Auswahl (wobei * ein oder mehrere Zeichen (wahrscheinlich 1-4 lateinische Buchstaben) im Benutzernamen sind):
Schwierige Situation:Passwort zurĂŒcksetzen - putin.fsb1@mailfence.com
Einmaliger Mail-Service - joo*@321-email.com
Einmaliger Mail-Service - joo*@braun4email.com
Einmaliger Mail-Service - joo*@utooemail.com
Passwort zurĂŒcksetzen - putin.fsb3@mailfence.com
Einmaliger Mail-Service - bud*@321-email.com
Einmaliger Mail-Service - bud*@braun4email.com
Einmaliger Mail-Service - bud*@utooemail.com
Es muss nur eine Domain ĂŒberprĂŒft werden:Passwort zurĂŒcksetzen - putin.fsb2@mailfence.com
Einmaliger Mail-Service - kul*@utoo.email
Passwort zurĂŒcksetzen - putin.fsb4@mailfence.com
Einmaliger Mail-Service - bep*@4senditnow.com
Passwort zurĂŒcksetzen - just.bro@mailfence.com
Einmaliger Mail-Service - bbl*@heximail.com
3. Alternativ können Sie durch Sortieren (durch Klicken auf die SchaltflÀche "Löschen" im Dienst) der
angebotenen regulÀren Anmeldungen (4 bis 8 Zeichen lang) die neuen
angebotenen Anmeldungen finden , die mit
kul / bep / bbl / bud / joo beginnen .
Punkt 3 kann mit Softwaremethoden implementiert werden.
Wenn jemand interessiert ist und durch eine groĂe AufzĂ€hlung von Daten durch Anmelden beim Einweg-Mail-Dienst Zugriff auf mindestens ein Postfach finden kann und das Mailing von ihm (blockieren) kann, ist es wunderbar.
Wir werden uns nicht mit der sprachlichen und stilistischen Analyse des Inhalts von Buchstaben befassen, obwohl es in Verbindung mit Rechtschreibfehlern und einigen konsonanten Silben im Text etwas zu ĂŒberlegen gibt. Es ist jedoch möglich, dass diese Dialektik speziell aus KompromissgrĂŒnden in den Text aufgenommen wurde.
Dieser Artikel bezieht sich auf analytische Themen. Ich bitte Sie, die Regeln der Ressource in den Kommentaren einzuhalten und nicht ĂŒber den allgemein akzeptierten Rahmen hinauszugehen