Zitat:
|
@LeoDD: Man kann doch kein ActiveX in Mails einbauen, oder?
|
Warum nicht? Dank Microsoft können Emails wie Webseiten gestaltet werden.
Wenn ich ein böser EMailverschicker wäre, würde ich da aber anders rangehen.
Hinweis: Don't try this at home!
Also erstmal würde ich versuchen ein Sicherheitsloch von OE auszunutzen wie zum Beispiel das Force-Feedback-Loch. Damit kann man jemanden ne EXE unterjubeln die ohne weitere Nachfrage sofort ausgeführt wird. Allerdings ist das Loch etwas älter und durch Patches schon lange behoben. Was aber wiederum nicht so wichtig ist, da viele nicht patchen.
Wenn das nicht geht würde ich ne Fakemail schreiben und die z.B. von
maps@cnc-hq.de schreiben
(das war ein Gag !). Also ich würde mir ne Adresse ausdenken oder eine Adresse nehmen die anderen gehört. Dann wird dieser dann von den wütenden unwissenden "Kunden" angemacht und ich nicht.
So, jetzt hab ich ne Adresse. Jetzt nehm ich nen schönen Betreff wie z.B. "Re: Ihre Anfrage" oder "Dein Mitgliedsaccount wurde eingerichtet". Das "Re" lässt das Opfer denken, das es sich um ne Antwort handelt und verführt zum Lesen.
Benutzt der "Kunde" OE oder O mit unsicherer HTML-Ansicht kann ich ein Script ausführen was automatisch den Download eines Files anstößt. Jetzt hoff ich darauf das er "ja, downloaden" anklickt und schon hab ich erstmal ein kleines File auf der Platte des Opfers. Jetzt sorg ich dafür das die EXE ausgeführt wird, entweder mit einem Script oder mit der Hoffnung auf die Dummheit des Opfers. Ab dann isses ganz einfach. Die kleine EXE zieht ne Größere herunter welche sich dann als nicht ganz so freundlich verhält.
Das ist einer der umständlicheren Wege. Mit einem Sicherheitsloch (wie eben das Force-Feedback) kann man ne EXE herunterladen und ohne Nachfrage ausführen. Ziemlich dangerous das.
Das Versenden von solchen Mails mach ich übrigens nicht mit nem normalen Mailer, sondern schreib mir nen anonymen Mailer der sich auf offene Mailrelays einwählt und die Mail praktisch auf dem Server schreibt. Der einzige Anhaltspunkt für einen Ermittler, ist die Message-ID. Da diese vom sendenden Server erzeugt wird ist die nicht einfach so zu fälschen. Die IP von mir wird zwar geloggt, bringt aber nicht viel wenn ich mehrere anonyme Proxies verwende. Eine Rückverfolgung endet dann evtl. in Brasilien oder der Antarktis.
So, das war mal ein kleiner Einblick in die dunkleren Gefilde des Internets
Wenn ihr rausfinden wollt ob eine Email tatsächlich von dem Absender stammt als der er sich ausgibt, schaut euch den Mailheader an. Wie man diesen auswertet ist
hier sehr gut beschrieben.