Wenn die ihre Serie Tatort Internet einstellt, dann mache ich einfach selber weiter.

Die Spam-Mail, die ich dazu verwende, zeigt aber mehr als einen doppelten Boden.

Diese E-Mail stammt aus Russland, wurde versandt in Südostasien, nutzt einen deutschen Mailserver, will mir einen in Kanada lagernden Trojaner unterjubeln und dient zum Phishing beim Onlinebanking.

Woher weiß ich das?

Zunächst einmal gibt es nur noch wenige Spams, die so viele Anzeigefehler, grammatische Fehler und schließlich auch Satzbaufehler enthalten wie diese. Das ist ungewöhnlich und unzeitgemäß (1).

Das mehrfach erscheinende Ё ist das russische Jo (2). Das spricht dafür, dass eine russische Tastatur und der russische Zeichensatz bei der Erstellung des Textes verwendet wurden.

Im Header der E-Mail stammt der älteste Received-Eintrag von 202.64.21.80 und das ist laut Whois bei (3) eine IP-Adresse, die von PACNET verwaltet wird, einem Carrier, der sich auf den asiatischen Markt spezialisiert hat (4). Diese Ortsangabe ist am unsichersten, weil sie manipuliert sein kann. Dagegen sprechen hingegen die weiteren Received-Einträge:

Von der PACNET-Adresse soll p15139028.pureserver.info angesprochen worden sein und die Domain pureserver.info ist bei 1&1 Internet AG gehostet. Dazu passt auch die zweite Zwischenstation im Header: 217.160.218.101. Das ist eine Adresse aus dem IP-Bestand von der 1&1 Internet AG, ehemals Schlund & Partner.
 

 
pureserver.info ist laut Whois von Andreas G. registriert. Er war in den 90-ern ein Mitgründer von Schlund & Partner und bis 2008 im Vorstand von 1&1 (5). Die Rechnung geht allerdings an Ansgar L., Controller bei 1&1 (6) und Stellvertreter des 1. Oberbürgermeisters der Stadt Stutensee.

Für pureserver.info werden bei Google "Ungefähr 23.900 Ergebnisse" präsentiert. Es handelt sich also um einen Hostserver für viele verschiedene Angebote. Ausgewiesen wird aber die Subdomain p15139028 (Third Level Domain). Das Whois einschließlich Subdomain landet zwar auch wieder bei 1&1, aber über den Umweg über 2mongolia.com. Diese Domain wiederum ist für den Whois Privacy Protection Service, Inc. registriert und damit gerät man tief in den ganz alten Bestand der ersten Internetadressen des Tier 1-Providers Level3.

Das gefällt mir überhaupt nicht. "Whois Privacy Protection" klingt viel zu sehr nach einem Schurkenprovider, der seine Kunden von neugierigen Nachfragen abschottet. Sein Umfeld, wie es sich durch Whois- und Traceroute-Abfragen präsentiert, zeigt nur Pioniere des frühen Internets.

Die dabei gezeigten verschlungenen Pfade helfen jetzt nicht weiter. robtex.com verrät uns jedenfalls, dass unter der Subdomain unlängst noch eine Werbung für 1&1 präsentiert wurde ( Grafik, ungefährlich). Jetzt ist die Subdomain blockiert.

Das ist auch logisch. Sie wurde als Ausgangspunkt eines Mailservers für Spam missbraucht und ist jetzt verbrannt. Man kann sehen, dass der Betreiber der Hauptdomain reagiert und den Missbrauch festgestellt hat. Ungewöhnlich ist nur, dass hier ein echter Server missbraucht wurde. Üblich ist es inzwischen, dass ein Botnetz zum Mailversand eingesetzt wird.
 

 
Der Link in der E-Mail will mich zu ip-72-55-146-39.static.privatedns.com/~smile/ banking.postbank.de bringen. Dort wartet der Trojaner selber oder seine Startsequenz, die in meinem Browser ausgeführt werden soll.

Der wichtigste Adressbestandteil ist privatedns.com. Dahinter verbirgt sich die Private DNS Group Inc. in Boul Couture, Kanada. Dieses Unternehmen bietet offenbar statische IP-Adressen für Privatkunden an. So gehört auch die IP 72.55.146.39 zum Bestand des Unternehmens und wurde zum Namen der Subdomain. Geradezu lustig sind die Pfadangaben in der Subdomain, die rechts angehängt sind. "~smile" fordert zum Lächeln aus, das dann gleich wieder vergeht: "banking" dürfte ein Content Management System  auf einem Webserver ansprechen und "postbank.de" die für die Postbank optimierte Seite aufrufen.

Letztlich bin ich erfreut, dass mein Alarmsystem funktioniert. Als ich die Downloadseite im unvernünftigen Vertrauen auf meine Sicherheitsvorkehrungen aufrufe, blockiert Norton den Zugriff auf die Seite.
 

 
Es handelt sich um eine ungewöhnliche Phishing-Mail. Sie ist ganz schlecht gemacht, was ihre Oberfläche anbelangt, die viel zu viele sprachliche, systematische (Zeichensatz) und argumentative Fehler zeigt. Social Engineering funktioniert so nicht. Außerdem wird ihre Herkunft überhaupt nicht getarnt: Irgendein gehackter Server in Südostasien, die dafür berühmt sind, dass sich keiner um ihre Sicherheit interessiert. Sie laufen solange, bis sie kaputt sind, und werden dann durch einen neuen ersetzt.

Überraschend ist auch, dass als Mailserver zum Verbreiten der Spams ein Server verwendet wird und kein Botnetz. Hier kommen geradezu klassische Hackertechniken zum Einsatz und nicht die der heutigen Cybercrime.

Ihren Urhebern scheint es auch nicht darauf angekommen zu sein, dass die Infiltration mit der Malware funktioniert. Norton hat viel zu schnell reagiert.

Ich habe eher den Eindruck, dass hier getestet wurde, wie die ganz alten Internetstrukturen von Level3 und Schlund & Partner auf Angriffe reagieren. Als sie eingerichtet wurden, lief das Ganze noch eher spielerisch und ohne große Gedanken an Klarheit und Sicherheit ab. Meine Recherchen zeigen, dass hier viele Irrwege bestehen und kaum klare Aussagen zu bekommen sind. Der Angreifer hat sich hier tatsächlich in einer Umgebung bewegt, die sich einer systematischen Logik verschließt. Ich glaube, dass er nur austesten wollte, wie er den Lauf einer Spam-Mail so verschleiern kann, dass die meisten Verfolger am Labyrinth verzweifeln.

Das verheißt nichts Gutes!

Auch die Whois Privacy Protection Service, Inc., auf die ich gestoßen bin, bedarf noch einmal einer genaueren Betrachtung.
  

(1) Malware lernt Deutsch, 27.07.2008

(2) Ё

(3) Whois

(4) PACNET, Carrier

(5) carsten, Andreas Gauger verlässt 1&1, webhostlist 15.05.2008

(6) Zweitkandidat Ansgar Ljucovic, ansgar.de