Wie verschickt man Phishingmails?

[Grim]

Das Thema mag vielleicht komisch klingen.

Der Hintergrund ist, dass wir praktische Studien (ja, keine Angriffe) fahren und wir zuletzt feststellten, dass unsere Parameter nicht mehr funktionieren. Also dass z.B. Google deutlich schneller die E-Mail-Konten sperrt als früher, wenn es nach Versand von Spam aussieht, und die öffentlichen Informationen, was maximal versendet werden kann, bei vielen Providern zumindest für neue E-Mail-Adressen nicht stimmt. Zudem wird es langsam richtig schwer halbwegs seriöse E-Mail-Konten ohne Telefonnummer zu bekommen (Spoofing und die Verwendung von ausländischen SIM-Karten ohne Perso außen vor). Durch die Rahmenbedinungen können wir leider keine geleakten Accounts verwenden.

Daher die Frage an euch: wie würdet ihr Phishingmails verschicken?

 

[dexter]

Daher die Frage an euch: wie würdet ihr Phishingmails verschicken?

Naja. Meinst Du Phishing oder Spam? Das sind schon unterschiedliche Szenarien.

- Spam is einfach, man kauft sich 10 Mio geleakte Kennwörter von yahoo&Co und verschickt da ordentlich Spam mit. Viagra-links usw. irgendwelche Trottel klicken und bestellen. Völlig egal, ob die Mailaddis hinterher kaputt oder verbrannt sind. Keine Ahnung, wie da die G+V-Rechnung ist, aber "jeden Morgen steht ein Trottel auf", und wenn ich in meinen Spamordner schaue, dann scheint das nach wie vor zu bezahlbar.
Legal will man sowas nich machen, da kauft man sich halt 'ne Domain mit Mail und verschickt von da.
Hab jetzt schon zuviel gesagt, Dein Szenario klingt mir nich so richtig legal. ("wird es langsam richtig schwer halbwegs seriöse E-Mail-Konten ohne Telefonnummer")

- Phishing ähnlich, wobei das heutzutage etwas persönlicher ist, da schaut Dir der Kriminelle quasi über die Schulter.
Aber beim Phishing will man ja je nach Ziel und Art des Angriffs Feedback haben.

Bei konkreterer Problemdarstellung könnte man da mehr in die Tiefe gehen, was da genau schiefläuft und/oder es sich wirklich um "praktische Studien" handelt.

 

[Grim]

Das Szenario ist: Wir haben eine wissenschaftliche Fragestellung (z.B. "Welche Auswirkungen haben Änderungen xy auf den Erfolg von Phishingkampagnen?"), die soweit mit den Vorgesetzten an der Universität abgeklärt sind. Testseite, verschickte Mails, weiterer Testaufbau sowie Debriefingseite müssen von der Ethikkommission der Universität oder höheren Gremien bei größeren Studien genehmigt werden. Das heißt wir haben hier Einschränkungen, was wir verwenden dürfen und können. Wir dürfen auch nicht echt phishen, also Daten abgreifen, sondern Aufrufe oä loggen. Die Links sind entsprechend, dass wir sie unterschiedlichen Studiengruppen zuordnen können. Wenn der Nutzen den Schaden übersteigt, dürfen wir die Studie durchführen. Allerdings müssen wir möglichst legal bleiben, also Domain anmieten, E-Mail-Konten erstellen usw. und dürfen uns keinen Leaks bedienen.

Daher können wir leider keine geleakten Kennwörter kaufen oder sonst wie verwenden, sondern müssen entweder einen SMTP-Server betreiben oder E-Mail-Konten registrieren mit oben genannter Problematik. Nachdem immer mehr Provider Handynummern verlangen, gibt es hier auch Begrenzungen an der Anzahl pro Provider, wenn man nicht im Ausland viele SIM-Karten ohne Perso kauft (Auswahl an Länder wird auch immer kleiner).

Also ja, ich spreche von Phishing und nicht von Spam. Allerdings kann ein E-Mail-Provider aus den Mails meist nur sehen, dass wir viel versenden aka spamen. Dies ist bei fast jedem untersagt und wird meist schnell bemerkt, wodurch E-Mail-Konten relativ schnell gesperrt werden. Dies trifft auch zu auf Domain mit Mail kaufen. Die Grenzen sind nach unserer Erfahrung höher, aber trotzdem vorhanden. Die Angaben auf den öffentlichen Seiten stimmen nicht mit den von uns gemessenen Werten und den Werten, die wir aus früheren Studien haben, überein. Da Domains nicht viel kosten, könnte man sich mehr besorgen und die Studiengruppen passend aufteilen oä.

Es gibt Wege, aber ich wollte sehen, ob hier noch mehr aufkommen als wir intern haben.

 

[Der3Geist]

Warum nicht einfach einen unabhängigen Email versand durch ein Botnet.

Dann ist das Absender zwar eine IP Adresse, aber auch den Header kann man Manipulieren.

Bin mir jetzt nicht sicher, ob dies noch Funktioniert, aber vor einigen Jahren konnte man in seinem "Eigenen" E-Mail Server jeden beliebigen Absendernamen eintragen.

 

[Grim]

Botnet ist etwas, was wir nicht dürfen, aber echte Phisher natürlich verwenden.

Was du meinst mit Absendernamen eintragen, wird auch als Spoofing bezeichnet und ist häufig immer noch möglich. Es lässt sich relativ einfach nachprüfen, ob der E-Mail-Server das zulässt oder nicht (basierend auf DMARC etc.). Tatsächlich ist die Unterscheidung mit und ohne Spoofing eine interessante Idee für eine mögliche weitere Studie. Danke hierfür!

 

[drfuture]

Einen eigenen vserver, am besten im Ausland irgendwo im Osten Anmieten > Mailserver installieren inklusiv spf, smtps usw und los geht's.

 

[Grim]

Ich muss noch überprüfen, ob wir einen vserver im Ausland ohne Probleme anmieten können, ansonsten stimme ich dir zu, dass dies vermutlich die einfachste Variante darstellt.

Bei der aktuellen Studie haben wir einen Mailprovider gefunden, der keine Telefonnummer benötigt und halbwegs seriös ausschaut. Wir können hier zwar nicht skripten, aber zumindest mit BCC Mails pro Studiengruppe verschicken. Vermutlich werden wir noch ein paar E-Mail-Konten ohne Telefonnummer bei den einzelnen Providern, die wir fanden, aufmachen, um auf der sicheren Seite zu sein. Besser haben als brauchen.

Bei den Domainprovidern mit Mail könnte ich mir vorstellen, dass man ein E-Mail-Konto auch langsam aufbauen kann und dann Schritt für Schritt die Anzahl an Mails erhöhen.

 

[Metal_Warrior]

Ich würde sagen, drfuture hat da recht. Mailserver und ne eigene Domain nutzen, DKIM und SPF-Records richtig setzen (das erhöht etwas das Vertrauen bei den anderen Mailanbietern) und dann go for it bis die Domain verbrannt ist.