Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
interessantes
63 views
Skip to first unread message
Nico Hoffmann
Dec 31, 2023, 9:42:06 AM12/31/23
to
Hier ein Fundstück, was ich interessant und zugegeben, ein bisschen
bedenklich finde.
Eigentlich ist es nur eine der üblichen Porno-Erpressungsdrohmails,
die zeitweise im Dutzenderpack rumfliegen und die jeder kennt.
Normalerweise lösche ich sowas ungelesen. Hier haber ich mal
reingeschaut.
Das besondere ist, dass der Spammer offenbar ein uraltes Password von
mir kennt, dass ich damals für mehrere Accounts ab Mitte der 90er
Jahre bis vielleicht um 2010 herum tatsächlich verwendet habe.
Ich selbst hatte meines Wissens kein Datenleck, daher gehe ich davon
aus, dass der Spammer über gehackte / geleakte Daten der diversen
Accountgeber da dran gekommen ist. M.W. kursieren solche Daten in
Hackerkreisen.
Ein schönes Beispiel dafür, möglichst wenig Accounts zu besitzen,
verschiedene Passwörter zu verwenden und gelegentlich die Passwörter
zu ändern.
Spam-Ursprung ist 45.77.66.250. Das ist offenbar ein
Wegwerf(?)clouddienst (Vultr Holdings in FFM). Beschwerde an
ab...@vultr.com ist raus.
N.
| Return-Path: <oxen...@gmx.de>
| X-Original-To: nico@localhost
| Delivered-To: nico@localhost
| Received: from schubert.lewonze.de (schubert.lewonze.de [IPv6:::1])
| by schubert.localdomain (Postfix) with ESMTP id A4B94191199
| for <nico@localhost>; Sun, 31 Dec 2023 09:58:24 +0100 (CET)
| X-Original-To: xxx...@zzzzzzz.de
| Delivered-To: xxx...@zzzzzzz.de
| Received: from mail.zzzzzzz.de [62.245.182.50]
| by schubert.lewonze.de with POP3 (fetchmail-6.4.27)
| for <nico@localhost> (single-drop); Sun, 31 Dec 2023 09:58:24 +0100 (CET)
| Received: from localhost (localhost.localdomain [127.0.0.1])
| by mail.zzzzzzz.de (Zzzzzzz e.V. Mailserver) with ESMTP id 04793641B0
| for <xxx...@zzzzzzz.de>; Sun, 31 Dec 2023 09:45:50 +0100 (CET)
| Received: from mx2.zzzzzzz.de ([62.245.182.53])
| by localhost (mail.zzzzzzz.de [62.245.182.50]) (amavisd-new, port 10024)
| with ESMTP id 22103-03 for <xxx...@zzzzzzz.de>;
| Sun, 31 Dec 2023 09:45:49 +0100 (CET)
| X-Greylist: domain auto-whitelisted by SQLgrey-1.8.0
| X-policyd-weight: IN_SBL_XBL_SPAMHAUS=4.35 NOT_IN_SPAMCOP=-1.5
| NOT_IN_BL_NJABL=-1.5 CL_IP_EQ_HELO_IP=-2 (check from: .gmx. - helo:
| .mout-xforward.gmx. - helo-domain: .gmx.)
| FROM/MX_MATCHES_HELO(DOMAIN)=-2; rate: -2.65
| Received: from mout-xforward.gmx.net (mout-xforward.gmx.net [82.165.159.41])
| (using TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits)
| key-exchange ECDHE (P-256) server-signature RSA-PSS (4096 bits)
| server-digest SHA256)
| (No client certificate requested)
| by mx2.zzzzzzz.de (Zzzzzzz e.V. Mailserver mx2) with ESMTPS id D3D05203D1
| for <xxx...@zzzzzzz.de>; Sun, 31 Dec 2023 09:45:49 +0100 (CET)
| Authentication-Results: gmx.net; dkim=pass header.i=p0r...@streber24.de
| Received: from mout-xforward.gmx.net ([82.165.159.14]) by mx-ha.gmx.net
| (mxgmx106 [212.227.17.5]) with ESMTPS (Nemesis) id 1N61i4-1r92ig4AnI-00x35Y
| for <oxen...@gmx.de>; Sun, 31 Dec 2023 09:45:47 +0100
| DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=streber24.de;
| s=s31663417; t=1704012346; x=1704617146; i=p0r...@streber24.de;
| bh=xTQF6FA+BngrhXLgFSATcvSKuNUQ2vLmRiLJD6ayZXA=;
| h=X-UI-Sender-Class:From:Subject:To:Date;
| b=O8/xU9Rmk2yj4KknS7cfBCNbsmeKE+aqfSo2kkz+MxSSq5f0tmclxjCKkxRKqdMr
| 04O+8Me93aNqhIFq+1n5G9pO9CCLPcIrc8+c953skPlrj5GrIy89zkHpjDoznmpcJ
| qvZOwsFG4pAtqPk6tBsv7550s4UMXZeJ5mRjHaxx8PBmOy7LGtgtvvVEU8EqUm4df
| vqv7GnJ4B6J90cZO4gJ18eSwQDJNEytYwo20kO6/0nLlO/o9Id4smauJIGuESXsX4
| dcptk5xiC6/ua1X+fldW5SHksxMOnr59AN7tJUr37oDF/TX6XFchgJHNF7W3rVfyD
| 8D4zHVEV7nZtS+EVlA==
| X-UI-Sender-Class: 724b4f7f-cbec-4199-ad4e-598c01a50d3a
| Received: from gmxde3 ([45.77.66.250]) by mail.gmx.net (mrgmx004
| [212.227.17.190]) with ESMTPSA (Nemesis) id 1MK3Rs-1rfN923ED8-00LTsh for
| <oxen...@gmx.de>; Sun, 31 Dec 2023 09:45:46 +0100
| From: "LETZTE WARNUNG" <p0r...@streber24.de>
| Subject: keine Antwort.
| To: <oxen...@gmx.de>
| Content-Type: multipart/alternative;
| boundary="AzrSxAilNMM7FkL4EYOL0jtsj4o=_LxjaA"
| MIME-Version: 1.0
| Date: Sun, 31 Dec 2023 08:45:46 +0000
| Message-Id: <314620231245088E4...@streber24.de>
| X-Provags-ID: V03:K1:YeQBslVOnRbFvKLoOLSQi61kCUhLO6+w1FOeHBisOCb3m6RjS6A
| 9LdNxPyE4cqjrs/8evjIo/MH6bGQ0GVWKHtW9EXPpZ07TJt2HbIXdi3FgQgUaSJrwrCbi9w
| c+pwl2vO/X/T309iAIzt5oAgfM2vwbRehCWpG5ObBjUZpprg31kd9asZl82SHP2BYGJBdF0
| uhCi/YKG3ml6ZzA4w976w==
| X-Spam-Flag: YES
| Envelope-To: <oxen...@gmx.de>
| X-GMX-Antispam: 20 (nemesis spam protection); Detail=V3;
| X-Spam-Flag: YES
| UI-InboundReport: junk:10;M01:P0:LYB+/cxzSJk=;Rh83dZKgFpj[...]
| X-UI-Loop:V01:s/OCfp0/Pcc=:6g68SnoYBzdN0YVuK5Oi1P8AIcXj4/CEDAtVusUYN88=
| X-Spam-Flag: YES
| UI-OutboundReport: junk:10;M01:P0:u5b9LBSJrvw=;r8Gm8VP4Gq[...]
|
| Hallo, mein perverser Freund,
|
| Ich komme gleich zur Sache. Ihr Passwort für dieses Postfach: xxxxxxxx
|
| Wir kennen uns eigentlich schon eine Weile,
--
Hiermit rufe ich zur Abschaffung von Signaturen auf.
bedenklich finde.
Eigentlich ist es nur eine der üblichen Porno-Erpressungsdrohmails,
die zeitweise im Dutzenderpack rumfliegen und die jeder kennt.
Normalerweise lösche ich sowas ungelesen. Hier haber ich mal
reingeschaut.
Das besondere ist, dass der Spammer offenbar ein uraltes Password von
mir kennt, dass ich damals für mehrere Accounts ab Mitte der 90er
Jahre bis vielleicht um 2010 herum tatsächlich verwendet habe.
Ich selbst hatte meines Wissens kein Datenleck, daher gehe ich davon
aus, dass der Spammer über gehackte / geleakte Daten der diversen
Accountgeber da dran gekommen ist. M.W. kursieren solche Daten in
Hackerkreisen.
Ein schönes Beispiel dafür, möglichst wenig Accounts zu besitzen,
verschiedene Passwörter zu verwenden und gelegentlich die Passwörter
zu ändern.
Spam-Ursprung ist 45.77.66.250. Das ist offenbar ein
Wegwerf(?)clouddienst (Vultr Holdings in FFM). Beschwerde an
ab...@vultr.com ist raus.
N.
| Return-Path: <oxen...@gmx.de>
| X-Original-To: nico@localhost
| Delivered-To: nico@localhost
| Received: from schubert.lewonze.de (schubert.lewonze.de [IPv6:::1])
| by schubert.localdomain (Postfix) with ESMTP id A4B94191199
| for <nico@localhost>; Sun, 31 Dec 2023 09:58:24 +0100 (CET)
| X-Original-To: xxx...@zzzzzzz.de
| Delivered-To: xxx...@zzzzzzz.de
| Received: from mail.zzzzzzz.de [62.245.182.50]
| by schubert.lewonze.de with POP3 (fetchmail-6.4.27)
| for <nico@localhost> (single-drop); Sun, 31 Dec 2023 09:58:24 +0100 (CET)
| Received: from localhost (localhost.localdomain [127.0.0.1])
| by mail.zzzzzzz.de (Zzzzzzz e.V. Mailserver) with ESMTP id 04793641B0
| for <xxx...@zzzzzzz.de>; Sun, 31 Dec 2023 09:45:50 +0100 (CET)
| Received: from mx2.zzzzzzz.de ([62.245.182.53])
| by localhost (mail.zzzzzzz.de [62.245.182.50]) (amavisd-new, port 10024)
| with ESMTP id 22103-03 for <xxx...@zzzzzzz.de>;
| Sun, 31 Dec 2023 09:45:49 +0100 (CET)
| X-Greylist: domain auto-whitelisted by SQLgrey-1.8.0
| X-policyd-weight: IN_SBL_XBL_SPAMHAUS=4.35 NOT_IN_SPAMCOP=-1.5
| NOT_IN_BL_NJABL=-1.5 CL_IP_EQ_HELO_IP=-2 (check from: .gmx. - helo:
| .mout-xforward.gmx. - helo-domain: .gmx.)
| FROM/MX_MATCHES_HELO(DOMAIN)=-2; rate: -2.65
| Received: from mout-xforward.gmx.net (mout-xforward.gmx.net [82.165.159.41])
| (using TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits)
| key-exchange ECDHE (P-256) server-signature RSA-PSS (4096 bits)
| server-digest SHA256)
| (No client certificate requested)
| by mx2.zzzzzzz.de (Zzzzzzz e.V. Mailserver mx2) with ESMTPS id D3D05203D1
| for <xxx...@zzzzzzz.de>; Sun, 31 Dec 2023 09:45:49 +0100 (CET)
| Authentication-Results: gmx.net; dkim=pass header.i=p0r...@streber24.de
| Received: from mout-xforward.gmx.net ([82.165.159.14]) by mx-ha.gmx.net
| (mxgmx106 [212.227.17.5]) with ESMTPS (Nemesis) id 1N61i4-1r92ig4AnI-00x35Y
| for <oxen...@gmx.de>; Sun, 31 Dec 2023 09:45:47 +0100
| DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=streber24.de;
| s=s31663417; t=1704012346; x=1704617146; i=p0r...@streber24.de;
| bh=xTQF6FA+BngrhXLgFSATcvSKuNUQ2vLmRiLJD6ayZXA=;
| h=X-UI-Sender-Class:From:Subject:To:Date;
| b=O8/xU9Rmk2yj4KknS7cfBCNbsmeKE+aqfSo2kkz+MxSSq5f0tmclxjCKkxRKqdMr
| 04O+8Me93aNqhIFq+1n5G9pO9CCLPcIrc8+c953skPlrj5GrIy89zkHpjDoznmpcJ
| qvZOwsFG4pAtqPk6tBsv7550s4UMXZeJ5mRjHaxx8PBmOy7LGtgtvvVEU8EqUm4df
| vqv7GnJ4B6J90cZO4gJ18eSwQDJNEytYwo20kO6/0nLlO/o9Id4smauJIGuESXsX4
| dcptk5xiC6/ua1X+fldW5SHksxMOnr59AN7tJUr37oDF/TX6XFchgJHNF7W3rVfyD
| 8D4zHVEV7nZtS+EVlA==
| X-UI-Sender-Class: 724b4f7f-cbec-4199-ad4e-598c01a50d3a
| Received: from gmxde3 ([45.77.66.250]) by mail.gmx.net (mrgmx004
| [212.227.17.190]) with ESMTPSA (Nemesis) id 1MK3Rs-1rfN923ED8-00LTsh for
| <oxen...@gmx.de>; Sun, 31 Dec 2023 09:45:46 +0100
| From: "LETZTE WARNUNG" <p0r...@streber24.de>
| Subject: keine Antwort.
| To: <oxen...@gmx.de>
| Content-Type: multipart/alternative;
| boundary="AzrSxAilNMM7FkL4EYOL0jtsj4o=_LxjaA"
| MIME-Version: 1.0
| Date: Sun, 31 Dec 2023 08:45:46 +0000
| Message-Id: <314620231245088E4...@streber24.de>
| X-Provags-ID: V03:K1:YeQBslVOnRbFvKLoOLSQi61kCUhLO6+w1FOeHBisOCb3m6RjS6A
| 9LdNxPyE4cqjrs/8evjIo/MH6bGQ0GVWKHtW9EXPpZ07TJt2HbIXdi3FgQgUaSJrwrCbi9w
| c+pwl2vO/X/T309iAIzt5oAgfM2vwbRehCWpG5ObBjUZpprg31kd9asZl82SHP2BYGJBdF0
| uhCi/YKG3ml6ZzA4w976w==
| X-Spam-Flag: YES
| Envelope-To: <oxen...@gmx.de>
| X-GMX-Antispam: 20 (nemesis spam protection); Detail=V3;
| X-Spam-Flag: YES
| UI-InboundReport: junk:10;M01:P0:LYB+/cxzSJk=;Rh83dZKgFpj[...]
| X-UI-Loop:V01:s/OCfp0/Pcc=:6g68SnoYBzdN0YVuK5Oi1P8AIcXj4/CEDAtVusUYN88=
| X-Spam-Flag: YES
| UI-OutboundReport: junk:10;M01:P0:u5b9LBSJrvw=;r8Gm8VP4Gq[...]
|
| Hallo, mein perverser Freund,
|
| Ich komme gleich zur Sache. Ihr Passwort für dieses Postfach: xxxxxxxx
|
| Wir kennen uns eigentlich schon eine Weile,
--
Hiermit rufe ich zur Abschaffung von Signaturen auf.
Michael Uplawski
Dec 31, 2023, 10:10:34 AM12/31/23
to
Nico Hoffmann hat geschrieben:
> Eigentlich ist es nur eine der üblichen Porno-Erpressungsdrohmails,
> die zeitweise im Dutzenderpack rumfliegen und die jeder kennt.
> Normalerweise lösche ich sowas ungelesen. Hier haber ich mal
> reingeschaut.
Hier in Frankreich gab es Selbstmorde nach solchen Mails. Sie scheinen – für
mich – inzwischen weniger häufig aufzutauchen. In jedem Fall finde ich es in
Ordnung, weiterhin den Aufwand der Beschwerde zu treiben.
Deine Ratschläge, Passwörter zu ändern und Accounts zu sparen, sind auch
wichtig. Es macht aber immer öfter Schwierigkeiten, beide Aspekte im
Zusammenhang zu erklären. Zumindest in meinem ... ländlich ist untertrieben.
Also hier in der französischen Provinz ist alles, was man nicht versteht,
wahrscheinlich gottgewollt (das ist heute. Morgen wird's schlimmer).
Darum ist jemand, der sagt, er sei Hacker, ein Hacker. Da kansste dann nix mehr
machen.
Ich habe versucht, in einem Vereins-Wiki die Received-Header zu erklären. Das wird als
zu technisch abgetan. Nur so. Nicht « unpraktisch », zu kompliziert oder was.
Nur « zu technisch ». Jetzt laufe ich hinterher, um zu verstehen, was noch
geht. Bis ich den Rückstand aufgeholt habe, sind die Leute schon weiter und
beten zu Google. Morgen.
Cheerio. Lasst sie leiden. Lasst sie bezahlen und so ist das nunmal.
Habt um Gottes willen einen Guten Rutsch ins neue Jahr ! ;)
--
Es ist an der Zeit
> Eigentlich ist es nur eine der üblichen Porno-Erpressungsdrohmails,
> die zeitweise im Dutzenderpack rumfliegen und die jeder kennt.
> Normalerweise lösche ich sowas ungelesen. Hier haber ich mal
> reingeschaut.
mich – inzwischen weniger häufig aufzutauchen. In jedem Fall finde ich es in
Ordnung, weiterhin den Aufwand der Beschwerde zu treiben.
Deine Ratschläge, Passwörter zu ändern und Accounts zu sparen, sind auch
wichtig. Es macht aber immer öfter Schwierigkeiten, beide Aspekte im
Zusammenhang zu erklären. Zumindest in meinem ... ländlich ist untertrieben.
Also hier in der französischen Provinz ist alles, was man nicht versteht,
wahrscheinlich gottgewollt (das ist heute. Morgen wird's schlimmer).
Darum ist jemand, der sagt, er sei Hacker, ein Hacker. Da kansste dann nix mehr
machen.
Ich habe versucht, in einem Vereins-Wiki die Received-Header zu erklären. Das wird als
zu technisch abgetan. Nur so. Nicht « unpraktisch », zu kompliziert oder was.
Nur « zu technisch ». Jetzt laufe ich hinterher, um zu verstehen, was noch
geht. Bis ich den Rückstand aufgeholt habe, sind die Leute schon weiter und
beten zu Google. Morgen.
Cheerio. Lasst sie leiden. Lasst sie bezahlen und so ist das nunmal.
Habt um Gottes willen einen Guten Rutsch ins neue Jahr ! ;)
--
Es ist an der Zeit
Nico Hoffmann
Dec 31, 2023, 3:48:57 PM12/31/23
to
Beate Goebel schreibt:
> Nico Hoffmann schrieb am 31 Dez 2023
> https://haveibeenpwned.com/
>
> Da steht dann auch, woher das Leck kommt und wann.
Nett...
Das Password kursiert offenbar mindestens seit 02/2018. Leider steht
zu den Daten nur "found online" drin, aber nicht konkret aus welcher
Quelle...
Wieso die Email-Adresse angeblich auch beim "Gravatar"-Leck auftaucht,
ist mir unklar:
| Gravatar: In October 2020, a security researcher published a technique
| for scraping large volumes of data from Gravatar, the service for
| providing globally unique avatars . 167 million names, usernames and
| MD5 hashes of email addresses used to reference users' avatars were
| subsequently scraped and distributed within the hacking community. 114
| million of the MD5 hashes were cracked and distributed alongside the
| source hash, thus disclosing the original email address and
| accompanying data. Following the impacted email addresses being
| searchable in HIBP, Gravatar release an FAQ detailing the incident.
Gravatar hab' ich nie verwendet.
Ich wollte sowieso mal meine Accounts durchsehen und neue Passwörter
vergeben. Das ist jetzt eine gute Gelegenheit zum Geradeziehen und
Aufräumen :-)
N.
--
Diese Signatur wurde mit GNU-emacs erstellt - http://www.gnu.org
> Nico Hoffmann schrieb am 31 Dez 2023
>
>> Das besondere ist, dass der Spammer offenbar ein uraltes Password
>> von mir kennt, dass ich damals für mehrere Accounts ab Mitte der
>> 90er Jahre bis vielleicht um 2010 herum tatsächlich verwendet
>> habe.
>>
>> Ich selbst hatte meines Wissens kein Datenleck,
>
> Schau mal hier rein:
>> Das besondere ist, dass der Spammer offenbar ein uraltes Password
>> von mir kennt, dass ich damals für mehrere Accounts ab Mitte der
>> 90er Jahre bis vielleicht um 2010 herum tatsächlich verwendet
>> habe.
>>
>> Ich selbst hatte meines Wissens kein Datenleck,
>
> https://haveibeenpwned.com/
>
> Da steht dann auch, woher das Leck kommt und wann.
Nett...
Das Password kursiert offenbar mindestens seit 02/2018. Leider steht
zu den Daten nur "found online" drin, aber nicht konkret aus welcher
Quelle...
Wieso die Email-Adresse angeblich auch beim "Gravatar"-Leck auftaucht,
ist mir unklar:
| Gravatar: In October 2020, a security researcher published a technique
| for scraping large volumes of data from Gravatar, the service for
| providing globally unique avatars . 167 million names, usernames and
| MD5 hashes of email addresses used to reference users' avatars were
| subsequently scraped and distributed within the hacking community. 114
| million of the MD5 hashes were cracked and distributed alongside the
| source hash, thus disclosing the original email address and
| accompanying data. Following the impacted email addresses being
| searchable in HIBP, Gravatar release an FAQ detailing the incident.
Gravatar hab' ich nie verwendet.
Ich wollte sowieso mal meine Accounts durchsehen und neue Passwörter
vergeben. Das ist jetzt eine gute Gelegenheit zum Geradeziehen und
Aufräumen :-)
N.
--
Diese Signatur wurde mit GNU-emacs erstellt - http://www.gnu.org
0 new messages