Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Spam door verdachte time x place

17-04-2021, 06:37 door Xentinel, 16 reacties
Achtergrond
Wegens privacy gebruik ik een van de vele premium VPN's uit Zweden.
Websites (zoals Netflix en andere) zien dat het bedrijf in Zweden is gevestigd en tonen automatisch websites in het Zweeds, zelfs wanneer mijn end-node in Nederland is.

Recent was ik mijn e-mails aan het cleanen in de standaard e-mailclient. Het gaat hier om een professioneel e-mailadres dat nergens anders is gebruikt. Opeens ontvang ik -op het moment dat ik aan het cleanen ben- meerdere Spam berichten van een of andere date website (mydates/idate). Na korte controle blijkt de website ook niet helemaal established te zijn, m.a.w. het is een of ander fake actor.

Vraagstelling
Hoe kan de bad actor mijn e-mail adres hebben gevonden?
Snoopen/lezen ze de verbindingen van de VPN af en is zo mijn e-mail adres gevonden?
Is het een MITM of een server hack?
Is het mogelijk dat de SPAM overspringt (!) van een e-mailadres naar een ander e-mailadres?
Meest cruciale vraag: worden de e-mailadressen zelf niet afgeschermd bij het inloggen op (eind)servers?
Reacties (16)
17-04-2021, 08:44 door Anoniem
Er zijn verschillende manieren waarop men aan je e-mailadres kan zijn gekomen.

Ten eerste gebruik je het om mee met anderen te communiceren. Die hebben dus jouw e-mailadres in hun adresboek staan. Als het adresboek van een van die anderen in verkeerde handen is gekomen hebben ze ook jouw e-mailadres. Denk aan smartphone-apps die toegang tot het adresboek vragen en van een gebruiker die er niet over nadenkt ook krijgen, of malware op een pc.

Een andere mogelijkheid is dat spammers van verzamelde e-mailadressen willekeurig accountnamen aan andere domeinnamen gaan koppelen en simpelweg uitproberen wat wel en niet werkt. E-mails verzenden is nagenoeg gratis, spammers kunnen zich permitteren dat er maar een kleine fractie 'raak' is.

VPN-verbindingen zijn versleuteld en horen op zich veilig te zijn - dat is het hele punt ervan. Een MITM op een VPN-verbinding ligt dan ook niet voor de hand. Of er een server is gehackt valt in het algemeen niet te zeggen, maar het is een mogelijkheid, er zijn de laatste tijd bijvoorbeeld ernstige dingen gaande met Exchange. Maar sluit ook niet uit dat je eigen computer gecompromitteerd is of dat je zelf een keer niet zo scherp bent geweest als je normaal bent en iets onhandigs hebt gedaan. Ongelukken zitten in kleine hoekjes, en onderschat niet hoeveel blundertjes die niet direct tot schade lijken te leiden je meteen weer vergeet, zeker als je veel andere dingen aan je hoofd hebt gebeurt dat makkelijk.

Bedenk bij VPNs dat de verbinding tussen het VPN en de server waarmee je verbinding maakt niet meer door de VPN beschermd wordt. Als jij een e-mail stuurt wordt die afgeleverd aan een SMTP-server (door je eigen e-mailclient of door de server voor de webinterface van je e-mailprovider). Gebeurt dat via een met TLS versleutelde verbinding? E-mail wordt typisch langs meerdere SMTP-servers gerouteerd (dat kan je zien door in ontvangen e-mails naar de headers te kijken: de Received-headers laten van onder naar boven zien langs welke servers de e-mail is geleid). Zijn de verbindingen tussen die servers allemaal versleuteld? Zijn al die servers even betrouwbaar? Dat heb je niet in de hand.

Spam gaat niet op magische wijze van het ene e-mailadres op het andere overspringen. Computers doen niet aan magie, die volgen de instructies op die in programma's zijn vastgelegd, en die instructies zijn altijd heel concreet (en dat geldt uiteindelijk zelfs voor AI-toepassingen, machine learning en dergelijke). Wat ik al noemde, het samenstellen van nieuwe e-mailadressen uit de account- en domeinnamen die verzameld zijn is zo'n concreet mechanisme.

De vraag of e-mailadressen worden afgeschermd bij inloggen vind ik eigenlijk niet te beantwoorden. Het hangt ervan af wat je er precies mee bedoelt en ook van hoe zaken op een specifieke server geregeld zijn. De beheerder van de server kan zien welke accounts erop bestaan, voor hem of haar is er niets afgeschermd. Iemand die e-mails met willekeurige accountnamen naar een domein gaat sturen zal een "bounce" (foutmelding) terugkrijgen bij een ongeldige naam en niet bij een geldige naam, dus zelfs als je geen lijst met accountnamen kan opvragen is de afscherming niet volledig. Als je met een accountnaam of e-mailadres op een website aanlogt kan je de foutmelding krijgen dat de accountnaam niet bestaat of de foutmelding dat de combinatie van accountnaam en wachtwoord niet bestaan; de eerste variant kan misbruikt worden om te testen of een accountnaam bestaat en de tweede variant niet. Het kan per server anders zijn ingericht, dus er valt in het algemeen niet te zeggen hoe goed de afscherming is.

Computers doen niet aan magie, maar computers zijn wel razend complexe machines, software is razend complex, en computernetwerken gooien daar nog eens een extra dimensie aan complexiteit overheen, omdat allerlei apparaten met elkaar "praten" zonder dat er waar dan ook iemand is die van begin tot eind kan overzien wat er overal precies gebeurt. Het is geen magie maar het is wel knap ongrijpbaar daardoor. Er zijn daardoor allerlei manieren waarop zo'n e-mailadres uit kan lekken of geconstrueerd kan worden die je niet verwacht, waarvan je niet weet of het is gebeurd en waar dan. En dus zijn er allerlei manieren waarop je toch spam kan gaan ontvangen, zonder dat je daar als individu ooit volledige controle over kan hebben.
17-04-2021, 09:33 door Anoniem
Hoe groot is de kans dat iemand het gewoon gokt?
Begint te spammen bij @a.se en eindigd bij @xxx.se, op basis van lijsten zoals crt.sh etc.
17-04-2021, 09:52 door Briolet
Het gaat hier om een professioneel e-mailadres dat nergens anders is gebruikt.

Wat is 'nergens anders'? Je hebt het blijkbaar toch ergens gebruikt want anders had je dat mailadres niet. Ik heb het ook al gehad dat mijn mailadres gelekt is via een leverancier. Ik kreeg plotseling phishingmailtjes uit naam van mijn leverancier. En toen ik bij hen ging klagen, kreeg ik te horen dat meer klanten van die firma er plots last van hadden.
17-04-2021, 11:57 door Briolet
Door Anoniem: Hoe groot is de kans dat iemand het gewoon gokt?
Begint te spammen bij @a.se en eindigd bij @xxx.se, op basis van lijsten zoals crt.sh etc.

Dat zullen spammers (nooit) doen. Dan weet je zeker dat de mail ook in spamtraps terecht zal komen.

Bedrijven die blacklists van spammers bijhouden doen erg hun best om hun spamtrap mail adressen in adresbestanden te krijgen. De spammers daarentegen doen hun best om hun adresbestanden te reinigen van spamtrap adressen.
Bij spamtraps zijn een paar ontvangen mailtjes al voldoende om een afzender als spammer te kunnen aanmerken. Één mailtje dat binnenkomt is eigenlijk al teveel.

https://en.wikipedia.org/wiki/Spamtrap

Bij mij werd laatst een mailtje geblokkeerd die volgens mijn blacklist op nr 1 stond van de wereldwijde spammers. Alle IP adressen van die domein eigenaar stonden op de blacklist. En aangezien volgens mij de meeste mailproviders zulke blacklists gebruiken, vraag ik me af hoeveel mail zo'n bedrijf wel moet versturen om überhaupt iets langs de blacklists te krijgen.
17-04-2021, 15:00 door Anoniem
Gebruik in de toekomst voortaan altijd een uniek mailadres, dan krijg je het antwoord op een presenteerblaadje aangeboden.

Daarnaast een 'professioneel e-mailadres' klinkt als info[a]mijndomein.nl, interpreteer ik dit juist?
30-05-2021, 08:06 door Xentinel
Dank jullie wel voor jullie inzicht!

Ter volledigheid, ik ben zelf ook geen leek; ik heb basis tot medium kennis van computersystemen, netwerken, etc en daarom vind ik dit merkwaardig.

Tot tweemaal toe heb ik ervaren dat wanneer ik verbonden ben met een Zweeds VPN en daarna standaard via de provider, dat er Zweedse resultaten in Google verschijnen bij het zoeken naar mijn naam en nog verdachter; dat ik spam ontvang op e-mail adressen die ik slechts gebruik voor betaalde premium apps waar de kans op lekken heel miniem is.

Mijn vermoeden is dat de VPN server van de o zo befaamde en zuivere VPN dienst 'Mullvad' waarmee ik was verbonden, gecompromitteerd is (geweest), zij het ernstig of niet. De dienstverlening is in ieder geval betuttelend en onprofessioneel.
30-05-2021, 10:01 door Anoniem
Vrijwel elke vraag is inmiddels hierboven wel beantwoord. Paar aanvullingen:


Hoe kan de bad actor mijn e-mail adres hebben gevonden?

Dat hoeft dus niet per-se het geval te zijn. Maar een niet besproken mogelijkheid is nog dat het e-mailadres door je (webmail) aanbieder in de URL wordt gezet. Is dat het geval? Dan kan het op die manier nog lekken (bv. referer-headers, je browser die checks doet (plugins), etc.).

Dat kun je overigens zelf controleren door even op F12 te drukken in je browser, en te kijken of bij netwerk requests die gedaan worden ergens je mailadres in headers staat. Check ook als je op een linkje klikt en let vooral op de 'referer' header.


Snoopen/lezen ze de verbindingen van de VPN af en is zo mijn e-mail adres gevonden?

Tenzij je VPN doet in plain text (als dat uberhoubt mogelijk is) dus onmogelijk. Maar je VPN provider heeft natuurlijk wel inzicht in al je HTTP verkeer (dus niet https, dan alleen domeinnamen).


Is het mogelijk dat de SPAM overspringt (!) van een e-mailadres naar een ander e-mailadres?

Magie bestaat niet :)


Meest cruciale vraag: worden de e-mailadressen zelf niet afgeschermd bij het inloggen op (eind)servers?

Deze vraag is mij niet helemaal duidelijk. Op zich gebeurt niets 'vanzelf', dus beheerders van websites moeten wel hun maatregelen nemen. B.v. HTTPS.

Door Briolet:
Door Anoniem: Hoe groot is de kans dat iemand het gewoon gokt?
Begint te spammen bij @a.se en eindigd bij @xxx.se, op basis van lijsten zoals crt.sh etc.

Dat zullen spammers (nooit) doen. Dan weet je zeker dat de mail ook in spamtraps terecht zal komen.

Toch is dat ook exact het gedrag dat ik in mijn maillogs van m'n domein-mailserver zie. Totaal willekeurige e-mailadressen worden geprobeerd. Weet niet wat Anoniem bedoelt, maar bij mij mikken ze op adressen (niet bestaand bij mij, maar vaak wel bij anderen) zoals info@, admin@ etc. Op andere domeinen zie ik ze paar minuten later dan ook voorbij komen.

Spamtraps die zelfs zo heten spamtrap@ worden trouwens ook gemaild, zolang dat mailadres maar ergens is ingevuld ooit ;).


Idee: check je mailadres eens op Have I Been Pwnd, soms kom je er dan achter dat een de partijen het dan toch echt in een datalek heeft laten lekken.

Overigens meldt niet elk bedrijf die je e-mailadres heeft gelekt dit netjes bij je. Recent kreeg ik spam op bedrijfsnaam@mijndomein.abc, haalde ik even verhaal bij dat bedrijf en kreeg ik netjes terug dat ze inderdaad een datalek hadden gehad. Blijkbaar hoeven ze dat in Nederland alleen bij mogelijk ernstige schade aan jouw te melden (vindt ik slechte zaak overigens).
30-05-2021, 12:27 door Anoniem
Door Anoniem:
VPN-verbindingen zijn versleuteld en horen op zich veilig te zijn - dat is het hele punt ervan. Een MITM op een VPN-verbinding ligt dan ook niet voor de hand.
Hier praten jullie langs elkaar heen, dit is op zich wel waar voor een VPN in de klassieke betekenis, een virtual private
network bijvoorbeeld tussen vestigingen van een bedrijf of tussen een medewerker en een bedrijf. Dit gebruik van een
VPN sluit (als het goed is) uit dat een MITM zit mee te kijken op je verkeer.

Maar de vraagsteller heeft het over "een van de vele premium VPN's uit Zweden" dus die bedoelt natuurlijk de tegenwoordig
hippe betekenins van VPN waarbij je al je verkeer van/naar internet via een externe partij stuurt die het voor jou van/naar
internet routeert.
Dat is een MITM in the making! Die externe partij heeft het andere eind van de VPN in handen en kan dus PRECIES ZIEN
wat jij allemaal aan het doen bent en met je verkeer meekijken als dat niet end-to-end encrypted is.
(dus als je bijvoorbeeld unencrypted IMAP of POP aan het doen bent met een mailprovider ergens anders. niet als dat
verkeer ook al encrypted was en de boel fatsoenlijk beveiligd is via een certificaat wat ook gechecked wordt)

Veel mensen realiseren zich dat niet. Ze denken "is VPN dus is veilig" maar in werkelijkheid maak je je juist veel
kwetsbaarder voor meekijken op je verbinding, zeker als Nederlander (die redelijk beschermd is tegen meekijken door
de eigen ISP).
30-05-2021, 13:15 door Anoniem
Door Xentinel: Dank jullie wel voor jullie inzicht!

Ter volledigheid, ik ben zelf ook geen leek; ik heb basis tot medium kennis van computersystemen, netwerken, etc en daarom vind ik dit merkwaardig.

Tot tweemaal toe heb ik ervaren dat wanneer ik verbonden ben met een Zweeds VPN en daarna standaard via de provider, dat er Zweedse resultaten in Google verschijnen bij het zoeken naar mijn naam en nog verdachter; dat ik spam ontvang op e-mail adressen die ik slechts gebruik voor betaalde premium apps waar de kans op lekken heel miniem is.

Dus jij surft via VPN in jouw browser, schakelt deze uit en surft met jouw lokaal ip-adres verder in dezelfde browser. En je bent dan verbaasd dat je alsnog resultaten in het Zweeds krijgt. Begrijp ik je zo goed?

En waarom gebruik je geen unieke mailadressen? Je hebt dan direct antwoord op jouw vraag. Zelfs bij de grootste bank hier in Nederland lekken ze mailadressen van klanten, kon dat direct zien doordat het een uniek adres betrof.
30-05-2021, 14:57 door Anoniem
Zelfs bij de grootste bank hier in Nederland lekken ze mailadressen van klanten, kon dat direct zien doordat het een uniek adres betrof.

Bijzondere claim. Ik heb niets publiek gelezen over een datalek van enige bank (of je moet iets van een ding waar je op zit bedoelen). En dat zou je bij zo een bedrijf absoluut wel verwachten.

(Beetje offtopic trouwens)
31-05-2021, 22:42 door Anoniem
Sommige organizations als ze jouw persoonlijk targeten hebben genoeg computing power om je streams in realtime te decoderen.

En wie weet hebben ze van die gratis https leverancier wel de moedersleutel.
01-06-2021, 12:20 door Anoniem
Door Anoniem: Sommige organizations als ze jouw persoonlijk targeten hebben genoeg computing power om je streams in realtime te decoderen.

En wie weet hebben ze van die gratis https leverancier wel de moedersleutel.

Tenzij je wellicht een statelijke actor bent lijkt mij dit zeer onwaarschijnlijk.
En super offtopic voor dit onderwerp, want die gaan je daarna echt geen spam sturen.
03-06-2021, 00:40 door Anoniem
Waarom denk je dat een VPN voorkomt dat je email adres lekt ? Besef je je verder ook dat jouw email adres waarschijnlijk bij anderen in het adres boek staat, en dat ook daar je email adres kan lekken ?
03-06-2021, 00:42 door Anoniem
Sommige organizations als ze jouw persoonlijk targeten hebben genoeg computing power om je streams in realtime te decoderen. En wie weet hebben ze van die gratis https leverancier wel de moedersleutel.

Alsof je die nodig hebt, om aan een email te komen. Je data in motion mag dan wel encrypted zijn, dat wil niet zeggen dat je je adres niet achter laat op websites, in email clients van derden, en ga zo maar door. De kans dat men dit doet door VPN encryptie te kraken is nihiel.
03-06-2021, 01:32 door Anoniem
Zelfs bij de grootste bank hier in Nederland lekken ze mailadressen van klanten, kon dat direct zien doordat het een uniek adres betrof.

En je eigen systeem is natuurlijk zoveel veiliger dan de systemen van de bank, dat het lekken van jouw email adres nooit aan jouzelf zou kunnen liggen ;)
03-06-2021, 14:28 door Anoniem
Door Anoniem:
Zelfs bij de grootste bank hier in Nederland lekken ze mailadressen van klanten, kon dat direct zien doordat het een uniek adres betrof.

En je eigen systeem is natuurlijk zoveel veiliger dan de systemen van de bank, dat het lekken van jouw email adres nooit aan jouzelf zou kunnen liggen ;)
Dat zou zeer zeker lokaal kunnen liggen, mijn systeem is inderdaad niet veilig. Alleen een soort van bevestiging van de bank zelf (de waarheid dat een personeelslid niet zo slim gehandeld heeft, durven ze dan weer net niet toe te geven) en uniek mailadres doen toch echt anders vermoeden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.