FSF versucht, Google wegen mehr als 10.000 versendeter Spam-Mails von einem Gmail-Konto zu kontaktieren

 (daedal.io)
1 Punkte von GN⁺ 12 일 전 | 1 Kommentare | Auf WhatsApp teilen
  • Die Free Software Foundation (FSF) hat bestätigt, dass über ein Gmail-Konto in großem Umfang Spam-Mails versendet wurden
  • Berichten zufolge wurden von diesem Konto mehr als 10.000 E-Mails verschickt
  • Die FSF versucht derzeit, das Problem durch direkten Kontakt mit Google zu lösen
  • Nach bisherigem Stand nutzte der Spam-Versender Gmail, um E-Mails im Namen der FSF zu versenden
  • Der Fall lenkt erneut Aufmerksamkeit auf die Glaubwürdigkeit von Open-Source-Organisationen und die Bedeutung sicherer E-Mail-Verwaltung

Überblick über den Vorfall

  • Die FSF hat einen Vorfall bestätigt, bei dem ein Gmail-Konto missbraucht wurde, um große Mengen an Spam-Mails zu versenden
  • Da der Versand nicht über interne Systeme, sondern über Gmail erfolgte, steht die Möglichkeit einer Kompromittierung eines externen Kontos im Raum
  • Die FSF versucht umgehend, Google zu kontaktieren, und arbeitet an der Sperrung des Kontos sowie der Untersuchung der Ursache

Auswirkungen und Reaktion

  • Die Spam-Mails wurden im Namen der FSF versendet, was die Glaubwürdigkeit der Organisation beeinträchtigen könnte
  • Die FSF rät Mitgliedern und Abonnenten, verdächtige E-Mails nicht zu öffnen
  • Je nach Reaktion von Google sollen weitere Sicherheitsmaßnahmen und Mitteilungen folgen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 12 일 전
Hacker-News-Kommentare

  • Ich habe einen Polizeibericht erstellt und ihn per Einschreiben an die Rechtsabteilung von Google geschickt, um das Problem zu lösen, dass jemand unter meinem Namen und dem meines Unternehmens mit einer Gmail-Adresse Betrugsversuche unternahm
    Der Vorgang war ziemlich umständlich und hat etwa drei Stunden gedauert, aber es gab keinen anderen Weg, also war dieses Verfahren notwendig

    • Das war vor ungefähr einem Monat. Falls es hilft, teile ich die Adresse, an die ich geschrieben habe
      Google LLC, Attn: Legal Department – Custodian of Records, 1600 Amphitheatre Parkway, Mountain View, CA 94043
      In dem Brief habe ich die Situation und die gewünschte Maßnahme beschrieben (Schließung des betreffenden Gmail-Kontos und Bitte um Sicherung der IP-Daten) und Ausdrucke des E-Mail-Threads des Betrugsopfers sowie den Polizeibericht beigefügt
      Ungefähr eine Woche später meldete sich Google und bestätigte, dass das Konto geschlossen wurde. Ob Daten aufbewahrt oder weitere Maßnahmen in anderen Diensten ergriffen wurden, weiß ich allerdings nicht
      Ich habe den Vorfall auch beim Internet Crime Complaint Center des FBI gemeldet, aber ehrlich gesagt wirkte das eher wie eine Formsache
    • Klingt nach einer guten Idee. Bei mir wurde auch einmal ein YouTube-Premium-Konto gesperrt, während weiter Gebühren abgebucht wurden
      Da man den Support nur kontaktieren kann, wenn man eingeloggt ist, blieb mir am Ende nichts anderes übrig, als meine Kreditkartennummer ändern zu lassen
      Trotzdem wurde weiter abgebucht, und die Kartengesellschaft sagte mir, ich müsse das Konto komplett schließen
    • So muss man es machen. Eine lückenlose Dokumentation (paper trail) macht alle Verantwortlichkeiten klar
    • Mich würde interessieren, ob du im Brief erwähnt hast, dass du Anwalt bist. Vielleicht hat Google anders reagiert, wenn es als Schreiben einer Kanzlei erkannt wurde
    • Ich frage mich allerdings, ob es keine Möglichkeit gab zu verhindern, dass die Person es einfach mit einer neuen Gmail-Adresse erneut versucht

  • Ich habe versucht, Missbrauchsmeldungen an Google, Amazon und Microsoft zu schicken, und dann aufgegeben
    Die Meldungen werden ignoriert, und die großen Anbieter unternehmen nichts. Ich hoffe, dass die FSF eingreift und etwas verändert
    Die Hauptquelle von Spam sind inzwischen diese drei. Sie sind so groß geworden, dass man sie kaum noch blockieren kann
    Ich denke, das ist das Ergebnis unseres Wegsehens. Nutzen in dieser Diskussion nicht die meisten Gmail als primäre E-Mail?

    • Ich habe auf YouTube mehrere Tage lang Bot-Konten gemeldet und bekam stattdessen nur ein Pop-up, dass man bei zu vielen Falschmeldungen gesperrt werden könne
      Es wirkt nicht so, als könne Google Bots wirklich nicht bekämpfen, sondern eher so, als würde man es von vornherein gar nicht erst versuchen
    • Das ist faktisch ein Monopol (monopoly). Manche betreiben zur Unabhängigkeit ihren eigenen Mailserver, werden bei Gmail aber oft als Spam eingestuft
      Standards wie DMARC geben den Großkonzernen strukturell eher noch mehr Einfluss, und das ist problematisch
    • Ich nicht, aber die meisten Leute scheuen sich davor, 10 Dollar im Monat zu zahlen
      Sie sehen den Wert einer E-Mail ungefähr auf dem Niveau eines Biers

  • Das Vertriebsteam unseres Unternehmens verschickt mit Gmass Massenmails, und wenn es viele Spam-Meldungen gibt, sperrt Google das Konto
    Das ist vielleicht ein nützlicher Datenpunkt dafür, dass Google Missbrauch von E-Mail überwacht

    • Für eine „strenge Überwachung“ ist das viel zu schwach. Dass es Tools wie Gmass überhaupt gibt, ist beschämend
    • Ehrlich gesagt klingt es so, als wäre das Vertriebsteam deines Unternehmens faktisch ein Spammer
    • Mich würde interessieren, ob die Mails des Vertriebsteams Cold E-Mails sind oder an bestehende Kunden gehen
    • Spam kann man nur über die Gmail-Weboberfläche melden, daher ist das Melden an sich für Organisationen wie die FSF schwierig
    • Wenn die Überwachung nur innerhalb von Gmail funktioniert, haben Nicht-Gmail-Nutzer keine Möglichkeit, von Gmail ausgehenden Spam zu melden
      Google schadet dem Mail-Ökosystem auf der Empfängerseite

  • Nach meinen Beobachtungen aus den letzten zwei bis drei Jahren beim Betrieb von vier Postfix-Servern ist Gmail inzwischen nicht mehr whitelistbar
    Es gibt zu viel Spam und Phishing
    Umgekehrt blockiert Google IPs mit der Begründung, sie würden „zu schnell senden“, wenn Nutzer Benachrichtigungen von Twitter oder LinkedIn an Gmail weiterleiten
    Eine wirklich absurd-traurige Situation

  • In letzter Zeit habe ich gesehen, dass die privaten Mailkonten auf meinem Server in kurzer Zeit große Mengen an E-Mails erhalten
    Alles wurde über Google Groups weitergeleitet, wobei die Gruppen-ID jedes Mal anders ist und die Gruppe später gelöscht wird
    Der Inhalt der Mails sieht wie legitime automatische Antworten aus, ohne bösartige Links oder Werbung
    Vermutlich erstellt irgendein Bot Google-Gruppen, trägt zufällige E-Mail-Adressen ein und gibt diese dann in verschiedene Webformulare ein
    Ich glaube, ich verstehe den Mechanismus, aber ich frage mich, warum sich jemand diese Mühe macht

    • Das ist mit hoher Wahrscheinlichkeit Subscription Bombing. Dabei wird das Postfach des Opfers mit legitimen automatischen E-Mails geflutet, damit wichtige Nachrichten wie Passwort-Resets untergehen
    • Ich hatte dasselbe Problem. Wenn jemand antwortete, bekam jeder Abonnent die Mail, und dann kam eine Welle von Antworten wie „Bitte entfernt mich aus der Liste“
      Ich habe schließlich Abmelde-Regeln erstellt, um das zu blockieren

  • Ich frage mich, ob es für die IT-Community nicht langsam Zeit ist, Dienste wie Gmail, die zu groß zum Blockieren sind, als feindliche Akteure zu betrachten und zu blockieren

    • Eine „IT-Community“ gibt es in Wirklichkeit nicht. Die meisten Menschen in der IT arbeiten bei Google oder ähnlichen Unternehmen
      Deshalb ist so eine Veränderung nur theoretisch denkbar
      In der physischen Welt erklärt man Veränderung mit Kraft und Masse, bei Menschen spricht man nur von dem Wunsch, dass es irgendwie passieren möge
    • Microsoft stellt sogar legitime E-Mails nicht an hotmail.com zu
      Ich habe SPF, DMARC und DKIM korrekt eingerichtet und versende keinen Spam, werde aber trotzdem blockiert
      Deshalb rufe ich Hotmail-Nutzer einfach an

  • Ich bekam alle fünf Minuten Spam-Anrufe, und der Angreifer hatte versehentlich eine AWS-Bucket-URL hinterlassen
    Nachdem ich den Vorfall als Abuse-Report an Amazon gemeldet hatte, wurde die Spam-Gruppe sofort aufgelöst, und danach hörten die Anrufe auf
    Wenn man bei der Meldung angibt, dass „obszöne oder unangemessene Bilder“ enthalten seien, geht es möglicherweise schneller

  • Gmail, Outlook und Salesforce verursachen 90 % des gesamten Spams
    Salesforce konnte ich per Netzwerksperre lösen, aber gegen Gmail und Outlook gibt es keine Handhabe

    • Früher kam auch viel Spam über Azure oder Sendgrid, heute ist das fast verschwunden
      Inzwischen entfallen 80 % des Spams auf Google Cloud
    • Salesforce scheint bei Gmail auf einer Whitelist zu stehen. Es kommt viel zu viel nutzloser Mail darüber
    • Bei Mailchimp ist es genauso. Von allen Mailchimp-Mails, die ich bisher bekommen habe, war nicht eine einzige kein Spam

  • Realistisch gesehen bleibt nur, einen Bot-Meldedienst zu beauftragen, der problematische Konten massenhaft meldet

  • In letzter Zeit hat Spam von der Domain „.bc.googleusercontent.com“ stark zugenommen

    • Das hängt zwar von der Mailserver-Konfiguration ab, aber ich würde wahrscheinlich alle Mails von googleusercontent.com pauschal mit 5xx ablehnen
      Seit Google die OpenBSD-Mailingliste als Spam eingestuft hat, betreibe ich meinen MX-Server selbst
      Wenn du Kunden hast, analysiere die Logs, um zu sehen, ob es legitimen Traffic gibt, und markiere es standardmäßig als Spam
      Falls es intern Workflows gibt, die Google nutzen, ersetze sie durch VPN oder einen anderen Weg
      Ideal wäre es, SMTP für googleusercontent.com komplett zu blockieren
      Da es aber Altsysteme geben könnte, kann man es entweder über einige Monate schrittweise testen oder sofort blockieren und dann die Folgen beobachten