Kanzleien im Kreuzfeuer: gefälschte Abmahnungen sollen Trojaner verbreiten

Tausende von E-Mails werden gezielt an deutsche Empfänger geschickt: mit korrekten Vor- und Nachnamen und einer täuschend echt wirkenden Nachricht von einer vermeintlichen Kanzlei. Das Ziel: Trojaner verbreiten. Wie durch gefälschte Abmahnungen mit fingierten Absender Rechtsanwälte zwischen die Fronten geraten – ein Bericht.

tl;dr: die Abmahnungen sind Fälschungen, die vermeintlichen Absender fingiert. Bitte öffnen Sie nicht die ZIP-Datei im Anhang!

Ungewöhnliche Anfrage über unser Kontaktformular

Samstag, 8. September 2018: am Vormittag werden kurz die Mails gecheckt. Routine – eigentlich. Eine Nachricht fällt auf: jemand nutzte unser Kontaktformular und schreibt:

Hallo,
wieso schreiben Sie uns wegen einer vermeintlichen Urheberrechtsverletzung an.
Wir haben eine Rechtschutzversicherung, falls Sie die Anschuldigung
aufrechterhalten! Auch wir können uns somit einen Anwalt leisten, da die digung
haltlos ist!
Falls es Spam ist dann ist es für uns erledigt!

Mit freundlichen Grüßen
H*** F*****

Die Alarmglocken schrillen sofort: eine Abmahnung? Wegen einer Urheberrechtsverletzung? Von uns? Kann nicht sein, wir haben keine rausgeschickt – schon gar nicht per E-Mail. Es dauert nicht lange, da erreichen uns die nächsten Mails: Mail delivery failed: returning message to sender. Zuerst eine, dann zwei, drei, vier. Es werden immer mehr. Im Minutentakt geht es so – in den offiziellen Mail-Account der Kanzlei.

2018-09-08 Der Posteingang der KanzleiDer erste Gedanke: wir wurden gehackt – jemand schickt mit unserem E-Mail-Account massenweise Nachrichten raus! Die erste Maßnahme ist klar: Postausgang checken und Passwörter ändern – alle! Postausgänge sehen normal aus, keine Auffälligkeiten, keine der Adressen aus den Mail Delivery Failure Nachrichten.

Passwörter geändert – die Analyse beginnt

Passwörter sind geändert, die Mail Delivery Failures gehen weiter. Wir analysieren die Mails, welche nicht abgeschnitten wurden (viele Mail-Anbieter kürzen die Nachrichten, um Spam über diesen Weg einzudämmen). Langsam wird klar: die Nachrichten werden von fremden Servern verschickt, wir werden aber als vermeintlicher Absender angegeben.

Rechtsanwälte Dr. Bauer & Schubert mbh: die Kanzlei gibt es nicht – die E-Mail-Adresse hingegen schon

Veröffentlichung der ersten Erkenntnisse auf der Website

Um bei den Betroffenen Klarheit zu schaffen (zumindest bei denen, die nach dem Absender googlen) schreiben wir eine Stellungnahme auf unserer Website. Die Mails stammen nicht von uns, wir versenden keine Abmahnungen – schon gar nicht per E-Mail!

Die vermeintliche Kanzlei – mal Rechtsanwälte Dr. Bauer & Schubert mbh, mal Kanzlei Bauer & Schubert AGKanzlei Prof. Dr. Bauer und Schubert oder Rechtsanwaltsgesellschaft Prof. Dr. Bauer + Schubert GmbH gibt es nicht. Die angegebene E-Mail-Adresse aber schon: es ist unsere!

Gefälschte Absender

Technisch ist es ein Leichtes, die E-Mail beim Empfänger so aussehen zu lassen, als stamme sie von uns. Erst wenn der Header analysiert wird, ist klar: die echten Absender sind nicht wir, sondern andere. Auf den ersten Blick in die Mails ist das nicht erkennbar. Bis heute zeigen Mail-Programme diese wichtigen Informationen nicht auf einfache Art und Weise an.

E-Mail Header einer Spam-Nachricht
Gut zu erkennen: im Reply-to wurde einfach unsere Adresse eingetragen, tatsächlich wurde die Nachricht jedoch via eurobyte.ru verschickt.

Jetzt ist definitiv klar: nicht unsere Kanzlei wurde gehackt, sondern „nur“ unsere E-Mail-Adressen missbraucht. Zeit, sich die Angelegenheit jetzt in Ruhe anzuschauen. Denn was ist das Ziel der Absender? Scamming?

Gefälschte Abmahnungen wegen Streaming – natürlich aus der Erotik-Szene

Uns erreichen nach dem Aufruf auf unserer Website die ersten Nachrichten von weiteren Betroffenen. Ein Beispiel einer Nachricht, die wir angeblich verschickt hätten:

Gesendet: Sonntag, 09. September 2018 um 05:25 Uhr
Von: „Rechtsanwaltsgesellschaft Bauer & Dr. Schubert“ <bauer@bauer-kanzlei.de>
An: „Vorname* Nachname*“ <v.nachname@gmx.de>
Betreff: Rechtsanwaltsgesellschaft Bauer & Dr. Schubert Abmahnung
Sehr geehrte/r Vorname* Nachname*,

der Anlass unserer Beauftragung ist eine von Ihrem Internetanschluss aus begangene Urheberrechtsverletzung an dem Projekt „Hot Stories DVD“. Unseren Auftraggeber „Magma Angel“ steht das ausschließliche Recht zu, dieses Werk zu vervielfältigen (§§ 16, 94 f. UrhG). Dieses Recht wurde durch die Übertragung des Streams des betreffenden Werkes über Ihren Internetanschluss verletzt.

Weiter aufgelisteten Daten konnte die seitens unserer Auftraggeber beauftragter Ermittlungsfirma feststellen und beweissicher rechtlich speichern:

Benutzerkennung: 800685260169
Datum/Uhrzeit: 19.08.2018 21:34:53
IP-Adresse: 67.246.21.10
Produktname: Hot Stories DVD

Unsere Mandantin hat daher vor dem Landgericht Köln Ihren Internet-Service-Provider gemäß § 101 Abs. 9 UrhG auf Auskunft in Anspruch genommen. Das Landgericht hat für diesen Vorfall sowohl die Rechtsinhaberschaft als auch die ordnungsgemäße Erfassung der Rechtsverletzung und Funktionsweise der Ermittlungssoftware bejaht. In dem Beschluss mit dem Aktenzeichen 3998954882-927 wurde Ihrem Internetserviceprovider die Herausgabe Ihrer Daten gestattet.

Gemäß § 97a Abs. 3 UrhG besteht weiterhin ein Erstattungsanspruch gegen Sie. Sie haben unserer Mandantin den durch die unerlaubte Verwertung entstandenen Schaden zu ersetzen, den wir hier mit 827,70 Euro beziffern.
Weiterhin haben Sie die Kosten der Ermittlungsfirma zur Feststellung der Rechtsverletzung, die Gerichtskosten des Verfahrens vor dem Landgericht Köln und die anteiligen Aufwendungen, die Ihrem Provider gemäß § 101 Abs. 2 UrhG zu erstatten waren zu ersetzen. Hierfür sind 60,00 Euro anzusetzen. Die erstattungspflichtigen Kosten unserer Beauftragung bemessen sich nach dem Rechtsanwaltsvergütungsgesetz (RVG) und werden wie folgt beziffert:

Schadenanspruch: 827,70 Euro
Pauschale für Post und Telekommunikation: 34,63 Euro
Aufwendung für Ermittlung der Rechtsverletzung – pauschal: 60,00 Euro
Geschäftsgebühr §§ 13, 14: 120,62 Euro
Gegenstandwert: 29411,00 Euro

Die gespeicherten Daten, Unterlassungserklärung sowie die Kontodaten und unsere Kontaktdaten ersehen Sie in der angehängten Datei.

Mit freundlichen Grüßen

Rechtsanwaltsgesellschaft Bauer & Dr. Schubert

Der Inhalt ist jedes mal gleich aufgebaut, lediglich die Details unterscheiden sich: Vor- und Nachname ist immer auf den Empfänger abgestimmt, die Kanzlei ist mal eine GmbH, mal eine GbR oder gar eine AG. Die im Schreiben zur Last gelegten Urheberrechtsverletzungen beziehen sich immer auf andere Werke: mal nicht jugendfrei, mal nur dezent angedeutet, dass der vermeintlich gestreamte Film aus der Erotik-Branche stammen soll.

Der Empfänger soll einen Erotik-Film gestreamt haben. Ihre Software hätte dies zweifelsfrei festgestellt. Dass diese auch korrekt arbeitet und von einem Gericht anerkannt worden wäre, wird im Schreiben ebenfalls gleich dargelegt.

Die erste Vermutung: die wollen Geld. Die Masche mit Tatvorwürfen im Zusammenhang mit nicht jugendfreiem Erotik-Material ist nicht neu. In der Hoffnung, dass sich die Betroffenen vor Scham keine Hilfe holen und brav zahlen. Und wenn nur ein Bruchteil sich davon einschüchtern lässt, gehen sie schon mit Gewinn raus.

Anhang.zip

Doch später im Schreiben – nachdem die Drohkulisse dank passender Anrede mit echtem Vor- und Nachname sowie einer vermeintlich real existierenden Kanzlei aufgebaut ist – verweisen sie auf den Anhang, in dem die Beweise für ihre Abmahnung liegen: „Streming Mahnung Vorname* Nachname* von Rechtsanwaltsgesellschaft Bauer und Dr. Schubert.zip“.

Ein gezippter Anhang, den der Empfänger öffnen soll. Die ganze Angelegenheit erhält eine kleine Wendung.

Betroffene Personen haben uns mittlerweile viele der Spam-Nachrichten weitergeleitet: immer ist der Anhang mit ihren Vor- und Nachnamen versehen, immer ist es eine ZIP-Datei, immer ist diese 840 KB groß.

Analyse der ZIP-Anhänge bei virustotal.com
10.09.2018: Eine Analyse des ZIP-Anhangs bei virustotal.com – nur 24 von 61 Antiviren-Programmen klassifizieren die beinhaltete Datei als Trojaner.

Damit ist der Zweck des ganzen Aufwands klar: aus den erbeuteten „Rohdaten“ Vor- und Nachname sowie E-Mail-Adresse sollen noch mehr Details wie beispielsweise Kreditkartendaten oder Bankzugänge erbeutet werden.

Daher gilt: den ZIP-Anhang nicht entpacken und die darin enthaltene Datei öffnen!

Nicht nur unsere Kanzlei ist betroffen

In nicht mal 20 Stunden erreichen uns Nachrichten von über 30 Betroffenen, die auf unseren Aufruf auf unserer Website reagierten und uns ihre Spam-Mail an die neu eingerichtete anti-spam@bauer-kanzlei.de weiterleiteten. Eine Analyse ergibt: nicht nur unsere E-Mail-Adressen wurden missbraucht, auch die der Kollegen Bauer Rechtsanwälte Nürnberg und Anwaltskanzlei Michael Bauer aus München sind betroffen. Des Weiteren wurden bei manchen Schreiben Absender verwendet, die gar nicht existieren, z. B. bauer-kanzlei.com.

Absender: weltweit

Mit unserem Aufruf erhalten wir aber nicht nur die E-Mails mit den gefälschten Absendern, sondern auch die tatsächlichen Server, von denen aus die Nachricht verschickt wurden. Und es zeichnete sich schnell ein düsteres Bild: die Spammer verwendeten – höchstwahrscheinlich ausnahmslos gehackte – Server in Russland, Südafrika, USA, Kanada, Polen und Deutschland. Und das sind nur die, von denen wir aufgrund der Zusendungen wissen. Das sitzt. Nicht nur, dass sie einen scheinbar riesigen Datensatz von Namen samt Mail-Adressen haben, sie verfügen auch über die nötigen Kapazitäten, die gefälschten Abmahnungen über Server auf der ganzen Welt in Massen zu versenden.

2018-09-10 Ein Auszug der Header-Analyse
Nur ein Bruchteil der Nachrichten, die uns erreichten – aber sie lassen das Ausmaß der Infrastruktur erahnen, die den Angreifern zur Verfügung steht.

Abuse

Der Angriff ist erfolgt, dauert an und scheint kein Ende zu nehmen. Personell sind wir nicht so groß aufgestellt, um sich den ganzen Tag nur diesem Thema zu widmen. Aber einfach resignieren kommt nicht infrage – zumal bei der Masse an verschickten Nachrichten zu befürchten ist, dass noch mehr Arbeit auf uns zukommt.

Einige Hoster antworten schnell, Hetzner Südafrika beispielsweise reagierte innerhalb weniger Stunden extrem vorbildlich:

Dear Sebastian Eggersberger,

Thank you for notifying us of the incident. The website of ‘catsa.org.za’ was hacked after which the abuser uploaded malicious content used to send the spam emails.

The website has been deactivated and we’ll discuss the matter with our client.

We apologise for any inconvenience this may have caused.

Should you require further assistance in this matter, please do not hesitate to contact me.

Kind Regards,

Trust & Safety Team
Hetzner (Pty) Ltd

Es kann also etwas dagegen unternommen werden, jedoch erfordert das Melden Zeit und Arbeitskraft – beides steht in einer kleinen Kanzlei eher nicht allzu üppig zur Verfügung.

Auch all-inkl, ein Shared-Hoster, reagiert sehr schnell auf die ersten Abuse-Meldungen:

Hallo Herr Eggersberger,

wir haben auf beiden Servern die Accounts gefunden über welche der Spam Versand wurde. In den Accounts lag eingeschleuster Schadcode welcher zum spammen missbraucht wurde. Die betreffenden Scripte wurden gesperrt und die Kunden informiert.

Mit freundlichen Grüßen
J***** L******
Supportteam

Neue Medien Münnich

Als noch ein dritter Host bei dem Anbieter identifiziert wurde und wir ihn meldeten, erfolgte ebenfalls zügig eine Antwort, wie man sie sich wünscht:

Sehr geehrter Herr Eggersberger,

vielen Dank für Ihre Anfrage.

Der Spamversand über den genannten Account wurde bereits unterbunden, auch wurden von uns bereits Signaturen der Schadcode-Dateien angelegt und alle Server damit gescannt.

Bei weiteren Fragen stehen wir Ihnen gern zur Verfügung.

Mit freundlichen Grüßen
M**** V*****
Supportteam

Neue Medien Münnich

Aufatmen? Fehlanzeige!

Erster Werktag nach dem Wochenende: entgegen dem Anschein vom Vortag, die Spamwelle würde nachlassen, geht es weiter. Über 750 Nachrichten sammeln sich bis zum Abend an: nur Mail Delivery Failures an die bis vorgestern noch nicht mal eingerichtete (geschweige denn verwendete!) E-Mail-Adresse info@bauer-kanzlei.de. Das Postfach vom Kanzleiinhaber weist die stattliche Zahl von 712 Rückmeldungen zu Mails auf, die wir nie versendet haben.

2018-09-10 Posteingang um 21:20 Uhr
Der Posteingang mit den umgeleiteten Mails von info@bauer-kanzlei.de um 21:20 Uhr am Montagabend

Nochmal zur Verdeutlichung: das sind nur die Antwort-Nachrichten von unzustellbaren Nachrichten. Entweder weil die Mail-Anbieter die Nachricht wegen des ZIP-Anhangs aussortieren und darüber informieren oder weil der Empfänger schlicht nicht existiert. Der von den Angreifern erbeutete Datensatz beinhaltet also auch nicht (mehr) existente E-Mail-Adressen. Doch das dürfte den weitaus geringeren Anteil ausmachen. Die Größenordnung, an wie viele Personen eine solche gefälschte Abmahnung inkl. dem Trojaner im Anhang rausgeht, lässt sich nicht mal erahnen.

Der Schaden: noch nicht abschätzbar

Die über 1.500 automatischen Antworten betreffen „nur“ uns. Die zugesandten Nachrichten von Betroffenen zeigte ja aber, dass auch andere Kanzleien ins Kreuzfeuer der Spammer geraten sind.

Das Problem: viele Empfänger nehmen die Schreiben erst eimal für voll. Wie viele daher den Anhang öffnen und so vielleicht ihr System kompromittieren, ist ungewiss.

Antworten auf das Schreiben, welches vermeintlich von uns stammt:

Sehr geehrte Damen und Herren ,
Im Rahmen meines Internet Anschlusses biete ich automasiert einen Hotspot(Telekom Fon) der Telekom an der für jeden Telekom Kunden nutzbar ist,
In unserem Haushalt wurde sicherlich
keinerlei Software in irgendeiner Form
downgeloaded!
Mfg
K***** H********

Sehr geehrte Damen und Herren, konnte leider die e-mail nicht öffnen, da sie mit einem Virus behaftet war. Bitte schicken Sie mir alles schriftlich zu. Ihre H. H****

Widerspruch.

Bitte senden Sie mir die Abmahnung schriftlich. Eine Datei kann ich aus
technischen Gründen nicht öffnen.

MfG

D******

Sehr geehrte Damen und Herren,

Ich lebe seit dem 25.08.2016 in der Schweiz und ich habe alle meine Konten in Deutschland gekündigt. Wer dieses Video heruntergeladen hat, kann ich Ihnen leider nicht sagen.

Mit freundlichen Grüssen

K*****  ******

Neben den E-Mails – auch von Personen, welche die Nachricht als Spam einstufen, aber gerne Gewissheit hätten – kommen auch Anrufe von Betroffenen.

Kanzleien im Kreuzfeuer

Der Spam-Versand dauert an. Mit jeder weiteren E-Mail, die wir an anti-spam@bauer-kanzlei.de erhalten wird klar: die Angreifer haben noch mehr Server in ihrer Gewalt und verschicken immer weiter. Wir können nur informieren und melden. Abuse. Immer weiter.

 

Update 10.9. 22:40 Uhr: das Ausmaß ist noch viel größer: Abmahnung /Forderung von Rechtsanwälten wegen Urheberrechtsverletzung enthält Virus auf onlinewarnungen.de » listet noch viel mehr betroffene Namen auf, nicht nur Kanzleien mit Bauer im Namen.

Update 11.9. 20:30 Uhr: Daniella Domokos schreibt über die Spam-Welle und den Auswirkungen bei unserer Kanzlei Dr. Bauer »

Update 12.9. 22:45 Uhr: Die Spam-Welle geht ungebrochen weiter. Laut der Nachricht eines Betroffenen wäre die Quelle für den verwendeten Datensatz aus Vor- & Nachname und E-Mail-Adresse aus einem Datenklau bei ebay aus 2014. Dies konnten wir jedoch noch nicht verifizieren.


Der Text stammt von Dr. Jörg-Christof Bauer, Inhaber der Kanzlei Dr. Bauer, sowie Sebastian Eggersberger, Mitarbeiter bei der Sebastian Blum GmbH, welche die Website hostet und technische Unterstützung für die Kanzlei leistet.

Stand: 12. September 2018, 22:45 Uhr