E-mail-spoofing

Jeg har igennem længere tid modtaget en særlig type spam, som vist nok kaldes “e-mail-spoofing”. Disse e-mails indeholder både min e-mailadresse som afsender og som modtager og de indeholder samtidigt et tilbud til mig om at jeg kan søge job ved henvendelse til en pr. e-mail forskellig navngivne personer og vedkommendes e-mailadresser, tilsyneladende personer, som befinder sig et eller andet sted indenfor EU’s ansættelsesafdelinger.

Omfanget af disse særlige spams er nu blevet så stort, at min trådløse internetrouters dynamiske IP-adresse er blevet blokeret på op til 8 RBL’er (Realtime Black Lists). Det har i to tilfælde betydet, at mine egne legale e-mails er blevet afvist.

TDC-support har undersøgt en af disse e-mails og kunne konstatere, at den var startet i Brasilien på en gratis webmail. Selvom det egentlig er et tyveri af min identitet, er der ingen officielle ressourcer der kan få stoppet dette tyveri.

Jeg har skiftet bredbåndsabonnement hos TDC og fået nyt udstyr og dermed nye dynamiske IP-adresser. Alligevel er den nye trådløse internetrouters IP-adresse blokeret på 4 RBL’er (Real Time BlackLists spamdatabaser).

Jeg bruger en ½-år gammel bærbar computer af mærket “HP ProBook 4710s” med Windows-7 Home Premium og SP1. Derudover bruger jeg Internet Explorer 9 og antivirussoftware Norton 360-5. Jeg forsøger at holde samtlige programmer opdaterede, netop for at undgå virus.

Min primære e-mailadresse bruger jeg til 99% af mine e-mails, medens min sekundære e-mailadresse, som er en gratis webbaseret TDC e-mailadresse, kun bruges til 1 % af mine e-mails. Begge e-mailadresser er udsat for den omtalte form for misbrug, men i samme forholdsmæssige omfang.

Min primære e-mailadresse er baseret på mit eget domæne, som hostes hos TDC-Webmore. Sådanne e-mails passerer således TDC-Webmores e-mailservere. På mit eget domæne har jeg oprettet 5 mailkonti, dels til mig selv og dels til nogle familiemedlemmer. Mærkelig nok oplever den ene af mine familiemedlemmer det samme problem med de mærkelige spams, hvor afsender og modtager er samme e-mailadresse, selvom vi bor langt fra hinanden og derfor bruger forskelligt hardware og kommunikationsudstyr. Jeg har i dag kónstateret at dette familiemedlems egen trådløse internetrouters IP-adresse også er blokeret på 2 RBL’er (her spamhous.org).

Jeg har naturligvis kørt flere forskellige virusscanninger. Det primære antivirusprogram er “Norton-360 ver.5”, men derudover har jeg forsøgt med “Norton Power Eraser”, “Kaspersky”, “Trend Micro™ Titanium Internet Security” og “Malwarebytes Anti-Malware”. Kun den sidstnævnte fandt en inficeret fil, som programmede slettede. I Malwarebytes scanningslog står herom:

“Inficerede Filer: C:swsetuptempopen_cd.exe (PUP.Joke.RJLSoftware) -> Quarantined and deleted successfully”

Norton Support er tvivl om den slettede fil var inficeret eller om det var en mindre betydende del af styresystemet. Derfor har jeg spurgt HP-Support om de kan fortælle noget om denne fil, men endnu har jeg ikke fået svar.

Så mit spørgsmål er om den af Malwarebytes påståede inficerede fil kan tænkes at have noget at gøre med de mærkelige spam e-mails. Hvis ikke det er forklaringen har jeg behov for andre gode råd, så jeg kan slippe af med det mærkelige identitetstyveri. Eventuel også en kommentar om hvorvidt der kan tænkes at være svagheder hos den der hoster mit domæne og dermed mailserverne?

 

Godt beskrevet problem, dejligt med så mange detaljer. En ting mere ville dog være praktisk, nemlig detaljer fra en af de falske e-mails. Den ville afsløre, hvor de forfalskede mails faktisk kommer fra, og om din IP-adresse er direkte involveret, eller om der også er tale om forfalskning af den.

Lad mig starte med at eliminere et par ting, der ikke er tale om:

– Det lille Pranks-program har ikke noget med sagen at gøre.
– Der er ikke noget, der tyder på en anden virusinfektion.
– Det er næppe direkte hacking mod computeren, men se nedenfor.

Problemet her er, at det er ganske trivielt at forfalske afsenderen på en e-mail, for hele mail-systemet er opfundet i en akademisk verden, hvor folk ikke havde grund til at mistro hinanden, og i øvrigt ville misbrug blive afsløret lynhurtigt.

Blokering fra Spamhaus etc. er en alvorlig sag, men da det er et professionelt foretagende, kan de kontaktes om problemet – og det vil de i øvrigt gerne, da det hjælper dem med at spore spammerne. Du skal indtaste den blokerede IP-adresse her:

http://www.spamhaus.org/lookup.lasso

Når de har bekræftet, at den er blokeret, kan du fortsætte med at kontakte dem.

Der er i øvrigt en smutvej, når du får en dynamisk IP-adresse fra din udbyder: Sluk for router og ADSL-modem i nogle timer (f.eks. natten over), og tænd så igen. Så er der en god chance for at du får en anden adresse, og dermed er smuttet udenom blokeringen.

Tilbage til potentiel hacking: Det er rutine, at hackere tager kontrol over fremmede computere netop for at kunne sende spam. Nu har du både godt med antivirus og en router, der skærmer dig fra internettet, men i situationen vil jeg alligevel anbefale at kigge nærmere på den firewall, der er i Norton 360, og sætte den til maksimal sikkerhed, så du bliver orienteret om programmer, der bruger din internetforbindelse. Hvis der ligger et program i baggrunden, der sender spam ud i verden, vil det blive afsløret på den måde.

Det bedste middel er dog at kontakte Spamhaus om problemet. Det kan både få dig fri af blokeringen og hjælpe til at standse spammerne.

Mange tak for et godt svar. Heldigvis ser det ud til at antallet denne type SPAM er ved at klinge ud. En af disse SPAM blev nærmere undersøgt af TDC og det viste sig, at den pågældende e-mail var startet i Brasilien som en gratis webmail og dermed umulig at spore til kilden.

Jeg vedlægger forsiden til en af de irriterende SPAM af 22jul2011 og den tilhørende side bag mailen, som af Outlook kaldes “Indstillinger”. Håber at denne SPAM er startet ligeså langt væk, så den formentlig er ganske ufarlig.

Tak for hjælpen

Aage-DK

Ja, den virker ufarlig – og det er en simpel forfalskning af afsenderadressen.

Og nu forstår jeg bedre, at det går ud over din IP-adresse: Du har et eget domæne på adressen. Det fanger Spamhaus, og reagerer automatisk på det. Hvis problemet opstår igen, bør du kontakte dem jfr. ovenfor. De vil vide at reagerer rigtigt på det.

Selve spam-mailen (“Open Position”) ligner den falske markedsføring, jeg skrev om i Komputer for alle for nylig – harmløs, så længe den ignoreres.

Dette svar løste problemet