Spambot  „Onliner“ sammelt 711 Millionen E-Mailadressen

Ein Sicherheitsforscher namens „Benkow“ hat einen Server entdeckt, der frei zugängliche Textdateien enthält, die Passwörter, E-Mail-Adressen  und Adressen von Mail-Servern auflisten und insgesamt 711 Millionen Adressen enthalten. Der Spambot „Onliner“ umgeht Spam-Filter indem er E-Mails über legitime E-Mail-Server versendet. Laut „Benkow“, der seinen wahre Identität geheim hält, wurde der Spambot ursprünglich genutzt, um die Ursnif-Banking-Malware per E-Mail zu verbreiten.Bisher wurden dadurch 100.000 Infektionen registriert.

In einem Blog-Post hat jetzt der Sicherheitsforscher Troy Hunt, der den Spambot sowie die Dateien untersucht hat, dargelegt, dass diese Dateien die größte, erfasste Menge an gesammelten E-Mail-Daten enthält, die jemals registriert wurde. Hunt stellt fest, dass ein Anti-Spam System nur greifen kann, wenn effektive Filter eingesetzt und Spamming Domains blockiert bzw. auf „schwarze Listen“ gesetzt werden. Öffentlich und frei zugängliche Server mit Adressdaten hingegen sind nicht kontrollierbar, wenn ihre Zugangsdaten gestohlen wurden. Sie werden von Cyberkriminellen als wahre Spamschleudern missbraucht.

„Benkow“ beobachtet diese Aktivitäten schon länger. Auf seinem Blog schreibt er, dass die Hacker „riesige Listen von SMTP-Zugangsdaten“ benötigen, um sich als „legitim“ auf den Servern zu präsentieren und in der Folge den Markt mit Spammails zu überschwemmen. Die Daten auf dem niederländischen Server wurden anscheinend aus verschiedenen Aktionen, wie dem LinkedIn Hack und dem Badoo Hack sowie aus weiteren Angriffen zusammengetragen. Benkow hat festgestellt, dass jede Zeile eine E-Mail-Adresse, das Kennwort zusammen mit dem SMTP-Server und dem zugehörigen Port enthält. Augenscheinlich hat der Spammer vor Beginn seiner Aktivität jeden einzelnen Link getestet und sich mit den jeweiligen Servern verbunden. Danach wurden Konten, die nicht funktionierten, aussortiert.

Laut „Benkow“ und Hunt  wird der Angriff auf Millionen von Mailkonten in zwei Wellen erfolgen. Die erste Welle soll Computertyp, das Betriebssystem und andere Geräteinformationen herausfinden, damit der Angreifer Antivirensoftware umgehen kann und in einer zweiten Welle modifizierte, bösartige Javascript Dateien, getarnt als Rechnung von Zustelldiensten, Hotels oder Versicherungen versenden kann. Wann der zweite Angriff erfolgt, ist noch nicht vorhersehbar, doch die Sicherheitsforscher warnen schon jetzt davor und empfehlen allen Nutzern dringend die Aktivierung einer Zwei-Faktor-Authentifizierung.