Email-Farming mit kleinanzeigen.de

Listen aktiver Emailadressen sind für Cyberkriminelle eine wichtige Voraussetzung für ihre Aktivitäten. Mit Hilfe des Portals kleinanzeigen.de haben sie einen Weg gefunden, im großen Stil valide Emailadressen zu erhalten.

Was ist passiert?

Seit einiger Zeit erhalte ich Emails, die nach der Verfügbarkeit von irgendwelchen Artikeln fragen. Sie umgehen den Spamfilter meines Gmail-Postfachs und kommen von legitimen, aber kryptischen Gmal-Adressen. Die Absendeadressen bestehen immer aus dem gleichen Muster: 6-8 Buchstaben gefolgt von 2-3 Nummern. Der Body ist immer eine Nachfrage nach einem Artikel, die textlich variieren aber in gutem, fehlerfreien deutsch formuliert sind.

Da der Spamfilter von Gmail sowas in der Regel rausfiltert, habe ich die Mails im ersten Moment für legitim gehalten und befürchtet, dass evtl. mein kleinenazeigen.de Account übernommen wurde. Allerdings findet die Kommunikation über die Angebote innerhalb von kleinanzeigen.de statt und ein Interessent hätte keine Gelegenheit, an meine Emailadresse zu kommen. Ausserdem bin ich bei kleinanzeigen.de nicht mit meiner Gmail-Adresse registriert.Ich habe die Mails also als Spam markiert und nicht weiter beachtet.

Dann habe ich einen Artikel selbst eingestellt und erhielt innerhalb kürzester Zeit wieder solche Anfragen zu genau meinem Artikel. Da es nicht an meine kleinanzeigen.de-Email ging, vermutete ich, dass mein Account dort sicher war. Aber das machte mich stutzig, woher kennt der Spammer meine Gmail-Adresse????

Ich bekam insgesamt 4 solcher Emails, drei davon hatten den gleichen Namen aber alle vier unterschiedliche Gmail-Absender. Da schien etwas mit dem zufälligen Vergeben der Namen bei den Spammern schiefzulaufen.

Da es sich diesmal um eine meiner Anzeigen drehte und meine Gmail-Adresse involviert war, begann ich mir Sorgen zu machen. Habe ich irgendwo ein Leck, habe ich mir etwas eingefangen? Ein malwareversuchtes Broser-Addon vielleicht? Ich musste herausfinden, wie das funktioniert.

So geht die Masche

Die Lösung war im Prinzip ganz einfach. Ich habe bei kleinanzeigen.de meinen Klarnamen angegeben. Alle neuen Anzeigen werden gescrapt und aus den Namensinformationen werden Emailadressen generiert. Mindestens bei Gmail, wahrscheinlich auch bei anderen Mailanbietern. An diese Emailadressen werden Mails mit massenhaft generierten Gmail-Postfächern versendet, denen zufällige Namen zugeordnet werden. Bounced die Mail nicht, wissen die Farmer, dass die Adresse existiert. Wenn man auch noch antwortet, wissen sie, dass die Mailadresse aktiv ist. Mit einer Antwort qualifiziert man sich wahrscheinlich für nachfolgende Spam-, Scam- oder Phishingkampagnen.

Eine Gegenprobe bestätigte diese Methode. Ich habe bei kleinanzeigen.de nach den Artikeln gesucht, für die ich Nachfragen bekommen habe und siehe da, der Anbieter hatte den gleichen Klarnamen wie ich eingetragen.

Wie kann ich mich schützen?

Um zu verhindern, dass man weiterhin diese Mail bekommt, sollte man seinen Klarnamen bei kleinanzeigen.de gegen einen Alias erstzen. Vor allem aber sollte man nicht auf die Mails antworten, denn dann wird deine Adresse als aktiv vermerkt und man wird sehr wahrscheinlich das Ziel weiterer Kampagnen werden.