Spammails Van Mijn Hotmail-Account

[Tom]

Lui,

Van mijn hotmail-account zijn vannacht rond 4.30 spammails verstuurd naar alle contacten. Wellicht dat sommigen van jullie er ook één gezien hebben. Het is mij een raadsel hoe dat kan zijn gebeurd: ik download uiteraard nooit van onbekende of onbetrouwbare internetbronnen, FrostWire is al maanden niet meer in gebruik en ik heb geen virussen volgens de laatste scan van AVG internet security. Geen cookies, geen spyware voor zover bekend. Ik kwam mijn account nog wel in met het oude wachtwoord.

Ik heb uiteraard direct alle wachtwoorden gewijzigd. Frappant was dat ook de routerinstellingen terug stonden op de fabrieksinstellingen, behalve het wachtwoord van het netwerk. De SSID is weer teruggewijzigd, het wachtwoord ook veranderd. De router was met een WPA2-key beveiligd, het wachtwoord was bij niemand bekend. Heeft iemand enig idee hoe deze situatie kan zijn ontstaan? Daarnaast, moet ik nog stappen ondernemen om een nieuwe aanval te voorkomen?

Dank u,

Tom

[marcelvn]

Eerst moet je je afvragen als zowel het antwoord op je geheime vraag als je wachtwoord niet te standaard is.

Waarschijnlijk was dit bij jouw mail niet het geval, weet je zeker dat ze via hotmail is verzonden?, het kan ook zijn dat de spammer alleen je contact lijst wist

(wat al te krijgen is als je vriend een virus heeft, die toegang heeft tot je hotmail profiel.).

Bekijk je outbox is als er staat dat het verzonden is vanaf je mail.

Het is daarna makkelijk om mails te verzenden met "jouw e-mail adres", kan je het volledige script van het spam mailtje is sturen?

mogelijk staat daar een server in van waar het verstuurd is.

Mocht het wel via je account zijn gedaan, is dit gedaan via je wachtwoord. Gebruik je nergens anders het wachtwoord?,

misschien is een andere site waar je hetzelfde wachtwoord heb gehackt.

in ieder geval is het voor nu verstandig om je wachtwoord te wijzigen.

Met vriendelijke groet,

marcelvn

[Tom]

Goeie, ik had inderdaad nog niet gecontroleerd of ze in mijn verzonden items staan. Dat is niet het geval. Wel zijn ze uit mijn naam vanaf mijn hotmailadres verzonden, niet vanaf een ander. Ik heb namelijk een aantal andere mailadressen, waaronder mijn @duken adres, geïntegreerd in hotmail. Geen van mijn vrienden kent mijn wachtwoord, wel gebruik ik het wachtwoord op andere sites.

Wat ik vooral absurd vind, is dat er onzin in de mail staat (zjkjxckjk jakdjfkj, etc) en een link die nergens naartoe verwijst, volgens één van mijn respondanten. Ik heb er zelf uiteraard niet op geklikt om dat te controleren, maar wat is dan het doel?

[marcelvn]

Goeie, ik had inderdaad nog niet gecontroleerd of ze in mijn verzonden items staan. Dat is niet het geval. Wel zijn ze uit mijn naam vanaf mijn hotmailadres verzonden, niet vanaf een ander. Ik heb namelijk een aantal andere mailadressen, waaronder mijn @duken adres, geïntegreerd in hotmail. Geen van mijn vrienden kent mijn wachtwoord, wel gebruik ik het wachtwoord op andere sites.

Wat ik vooral absurd vind, is dat er onzin in de mail staat (zjkjxckjk jakdjfkj, etc) en een link die nergens naartoe verwijst, volgens één van mijn respondanten. Ik heb er zelf uiteraard niet op geklikt om dat te controleren, maar wat is dan het doel?

Ze kunnen wel als jouw naam verzonden zijn, maar niet vanaf je hotmail zelf. Dit kan door manipulatie in de header van e-mails, het zou me helpen als je de header van het verzonden mailtje hier kan posten

Voorbeeld header:

Return-path: <hsiebenga@deltion.nl>
Envelope-to: mail@marcelvn.com
Delivery-date: Sat, 24 Dec 2011 18:12:08 +0100
Received: from smtp2.deltion.nl ([195.169.9.20])
    by m-domein.nl with esmtp (Exim 4.76)
    (envelope-from <mail@mail.com>)
    id 1ReV8i-00042S-6e
    for mail@marcelvn.com; Sat, 24 Dec 2011 18:12:08 +0100
Received: from mail.marcelvn.com (unknown [10.100.102.171])
    by smtp.ziggo.nl (Postfix) with ESMTPS id 6B1C418814C;
    Sat, 24 Dec 2011 18:10:24 +0100 (CET)
Received: from EXCH-ME02 ([fe80::6c12:6e7f:a6bd:7611]) by
    EXCH-CHK01.ow.deltion.local ([::1]) with mapi id 14.01.0255.000; Sat, 24 Dec
    2011 18:10:29 +0100
From: Naam <mail@mail.com>
To: "naam (mail@marcelvn.com)"
Subject: subject
Thread-Topic: topic
Thread-Index: AczCXr2BJIeFWkSYT1WWFb1/A2sWDQ==
Date: Sat, 24 Dec 2011 17:10:28 +0000
Message-ID: <1041222135A14B4A9ABA0FCE3030A52949C5498E@EXCH-ME02>
Accept-Language: nl-NL, en-US
Content-Language: nl-NL
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
x-originating-ip: [10.100.103.42]
Content-Type: multipart/alternative;
    boundary="_000_1041222135A14B4A9ABA0FCE3030A52949C5498EEXCHME02owdelti_"
MIME-Version: 1.0

[Tom]

Wacht even. De mails staan wel allemaal in mijn verwijderde items, ook gelezen. Wat ik aan informatie voor je heb, is het volgende:

Message-ID: <BLU162-W35AEBAF8107EB365CEDC3BBBA90@phx.gbl>
Content-Type: multipart/alternative;
	boundary="_40076c01-08fd-466b-ad1f-7db13cde0711_"
X-Originating-IP: [180.191.89.2]
From: Tom Biersteker <[b]Weggejorist[/b]@hotmail.com>
To: [b]Even weggehaald[/b]
Subject: 58b954j 19nr9r
Date: Sun, 25 Dec 2011 04:34:43 +0000
Importance: Normal
MIME-Version: 1.0

--_40076c01-08fd-466b-ad1f-7db13cde0711_
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

2g4zl6ly=2C clpsz5s.
 http://bafbhyfm.blog.com/tb5/=20
m136imh=2C mim cu252u=2C mdz47w ts4phmgfy2h5 cb1fv4qg odyfaohwb5=2C sfjs 46=
mz6d4x5 dhyq.
 		 	   		  =

--_40076c01-08fd-466b-ad1f-7db13cde0711_
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<html>
<head>
<style><!--
.hmmessage P
{
margin:0px=3B
padding:0px
}
body.hmmessage
{
font-size: 10pt=3B
font-family:Tahoma
}
--></style></head>
<body class=3D'hmmessage'><div dir=3D'ltr'>2g4zl6ly=2C clpsz5s.<br> <a href=
=3D'http://bafbhyfm.blog.com/tb5/'>http://bafbhyfm.blog.com/tb5/</a> <br>m1=
36imh=2C mim cu252u=2C mdz47w ts4phmgfy2h5 cb1fv4qg odyfaohwb5=2C sfjs 46mz=
6d4x5 dhyq.<br> 		 	   		  </div></body>
</html>=

--_40076c01-08fd-466b-ad1f-7db13cde0711_--

Maar er stond nog een mail in mijn mailbox, met de tag [spam?] ervoor. Die kwam van hetzelfde IP-adres als hierboven genoemd: 180.191.89.2, afkomstig van een umail-adres, oftewel een mailadres van de Universiteit Leiden. Mijn umail is ook geforward naar hotmail, fyi. De header van dat bericht:

x-store-info:Ru8Mzrcu9Bi87krfImffoGU6zyI7zQxEaTs990SdloBwZyJQlP6qF+FllES/N1cD3FsiQYnMzy6+Y3QAwnLkc6j4UD06Tph2Evw5loCnZ1sC4o1MedwrF+70A5/zSq4o
Authentication-Results: hotmail.com; sender-id=softfail (sender IP is 132.229.103.50) header.from=tombiersteker@hotmail.com; dkim=none header.d=hotmail.com; x-hmca=fail
X-Message-Status: n:0:n
X-SID-PRA: Tom Biersteker <tombiersteker@hotmail.com>
X-SID-Result: SoftFail
X-DKIM-Result: None
X-AUTH-Result: FAIL
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTE7YT0xO0Q9MDtHRD0wO1NDTD0w
X-Message-Info: wjTPN9XlLm7yjM1e8Ad9u3ioBpvKKN+WvgvaeyUYJYdhFqhKuGpujUwVwUlBUZV0XqlsUyHktH1I4U/EZgWPpDb0HbGxhBRwmApzAf/EVi29iULdajElKaduvX8OxsH4xwYtSx4+A4c=
Received: from Sauk-Suiattle.meta.leidenuniv.nl ([132.229.103.50]) by COL0-MC1-F40.Col0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);
	 Sat, 24 Dec 2011 20:41:34 -0800
X-ASG-Debug-ID: 1324788090-301caec10001-1cSqe3
Received: from umail.leidenuniv.nl (mohegan.meta.leidenuniv.nl [132.229.103.9]) by Sauk-Suiattle.meta.leidenuniv.nl with ESMTP id Cw8wmcB49wbInjNf (version=TLSv1 cipher=AES256-SHA bits=256 verify=NO) for <tombiersteker@hotmail.com>; Sun, 25 Dec 2011 05:41
X-Barracuda-Envelope-From: tombiersteker@hotmail.com
X-Barracuda-RBL-Trusted-Forwarder: 132.229.103.9
Received: from Sauk-Suiattle.meta.leidenuniv.nl not authenticated [132.229.103.50]
	by umail.leidenuniv.nl with NetMail SMTP Agent $Revision: 8582 $ on Linux
	via secured & encrypted transport (TLS);
	Sun, 25 Dec 2011 05:41:30 +0100
Received: from blu0-omc3-s5.blu0.hotmail.com (blu0-omc3-s5.blu0.hotmail.com [65.55.116.80]) by Sauk-Suiattle.meta.leidenuniv.nl with ESMTP id GlZrsGkcwFSayeBP for <s0800597@umail.leidenuniv.nl>; Sun, 25 Dec 2011 05:41:27 +0100 (CET)
Received: from BLU162-W55 ([65.55.116.74]) by blu0-omc3-s5.blu0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
	 Sat, 24 Dec 2011 20:41:26 -0800
Message-ID: <BLU162-W559CBB2525BCB3DE2C4A41BBA90@phx.gbl>
Content-Type: multipart/alternative;
	boundary="_b6f77e90-f9ec-42f4-8d9f-85b58984d308_"
X-Originating-IP: [180.191.89.2]
From: Tom Biersteker <[b]Wederom weggejorist[/b]@hotmail.com>
To: <[b]Mijn studentnummer[/b]@umail.leidenuniv.nl>
X-ASG-Orig-Subj: [SPAM?]  txztch fftnovco
Subject: [SPAM?]  txztch fftnovco
Date: Sun, 25 Dec 2011 04:41:25 +0000
Importance: Normal
MIME-Version: 1.0
X-OriginalArrivalTime: 25 Dec 2011 04:41:26.0422 (UTC) FILETIME=[762EC360:01CCC2BF]
X-Virus-Scanned: by bsmtpd at meta.leidenuniv.nl
X-Priority: 5 (Lowest)
X-MSMail-Priority: Low
Importance: Low
X-Barracuda-Connect: mohegan.meta.leidenuniv.nl[132.229.103.9]
X-Barracuda-Start-Time: 1324788090
X-Barracuda-Encrypted: AES256-SHA
X-Barracuda-URL: http://132.229.103.50:8000/cgi-mod/mark.cgi
X-Virus-Scanned: by bsmtpd at meta.leidenuniv.nl
X-ASG-Tag: INTENT (http://tkgy1k1a.blog.com/mh8/'>http://tkgy1k1a.blog.com/mh8/</a>)
Return-Path: btv1==3403e7144c1==tombiersteker@hotmail.com

--_b6f77e90-f9ec-42f4-8d9f-85b58984d308_
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

amofx635=2C jii76rn7yt.
 http://tkgy1k1a.blog.com/mh8/=20
l1htz=2C k0y6 7frghho=2C dwj990nyuz 057yuoftfd 636jj50s 064odt92u5=2C 878oa=
oa3 dotxt7u okolm.
 		 	   		  =

--_b6f77e90-f9ec-42f4-8d9f-85b58984d308_
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<html>
<head>
<style><!--
.hmmessage P
{
margin:0px=3B
padding:0px
}
body.hmmessage
{
font-size: 10pt=3B
font-family:Tahoma
}
--></style></head>
<body class=3D'hmmessage'><div dir=3D'ltr'>amofx635=2C jii76rn7yt.<br> <a h=
ref=3D'http://tkgy1k1a.blog.com/mh8/'>http://tkgy1k1a.blog.com/mh8/</a> <br=
>l1htz=2C k0y6 7frghho=2C dwj990nyuz 057yuoftfd 636jj50s 064odt92u5=2C 878o=
aoa3 dotxt7u okolm.<br> 		 	   		  </div></body>
</html>=

--_b6f77e90-f9ec-42f4-8d9f-85b58984d308_--

Vallen hier conclusies uit te trekken? Ik ben niet zo thuis in deze shit.

[marcelvn]

Nuttige spam als je viagra nodig hebt iig.

Het lijkt erop dat de header van dat mailje een mailtje is die is doorgestuurd vanaf je umail.

Handig om te weten, het lijkt me namelijk sterk dat deze spam is verstuurd door server bij jouw op de universiteit.

Als dit inderdaad een doorgestuurd mailtje is zou het fijn zijn als je ook een header hebt van het spam mailtje zonder dat deze doorgestuurd is

[Tom]

Het is een mailtje van iemand anders aan mij. De bovenste in mijn post is een mailtje van mij aan een ander. Meer smaken heb ik niet, bijzonder is wel dat er een shitload spammails in mijn verwijderde items staan: 12 pagina's.

Sent from my GT-I9100 using Tapatalk

[marcelvn]

Dan lijkt het erop dat je gewoon gebruikt is, dit mogelijk doordat een andere site waar je op geregistreerd is gekraakt is.

Ik gebruik zelf geen hotmail, maar mogelijk staan er ergens logs over ingelogde ip adressen.

Het is ook mogelijk dat je ergens ingelogd bent toen je in de trein zat, en geen "https://" gebruikte (bijvoorbeeld het forum van duken.nl)

Nu je je wachtwoord veranderd hebt lijkt me dat het niet snel opnieuw zou gebeuren. Omdat jouw hotmail account is gebruikt voor het versturen van de mail kan ik helaas weinig opmaken uit de headers.

Marcelvn

[Marciej123]

Het zou kunnen zijn dat je een FUD R.A.T. had/hebt op je pc. Als je dan je pc aan laat staan en even een half uurtje weg bent (eg: eten ofzo) kan het zijn dat ze je pc hebben overgenomen (ja dat kan)

Je kan er gegevens ook mee stelen dus dat zou kunnen dat ze dat hebben gedaan + ingelogd en verstuurd, al dan niet automatisch.

Scan je pc eens met MBAM. (Eerst kort, volledig en evt nog een korte.

Een R.A.T. kan gecrypt zijn waardoor die FUD wordt en je virusscanner m niet ziet.

Uitgebreidere en betaalde crypters hebben vaak een extension spoofer + binder waardoor ze hun virus kunnen binden met een mp3-tje, foto, .txt bestandje, alle extensies zegmaar.

Rat's kunnen worden gekoppeld aan een website die met java werkt, waardoor als je die website opent je een popup krijgt om java 'aan' te zetten.

Dit noem je een 'Java Drive-By' als een R.A.T, FUD wordt gemaakt en vervolgens als Java Drive-By wordt geupload. Blijft deze voor altijd FUD..

Ik kan zo nog wel even door gaan hoe ik denk dat t gebeurd is maargoed de oplossing ligt waarschijnlijk door te scannen met MBAM, in veilige modus raad ik aan met internet uit zodat er geen verbindingen van buiten naar je pc kunnen.

Mocht je meer willen weten, feel free to ask!

Grt marciej123

Sent from my HTC Desire using Tapatalk

[Tom]

Mijn pc heeft al dagen niet aangestaan. Daarnaast staat ie nooit 's nachts in slaap. Ik vraag me af of het registreren op een nieuw forum laatst met dit geval te maken heeft gehad. Iemand van hf meende een half jaar geleden mij ook al te moeten hacken vanwege een ruzietje, maar afaik was dat met andere logingegevens.

Het enige waarmee ik gewerkt heb is de telefoon van waaraf ik nu post. Kan dat een oorzaak zijn?

Sent from my GT-I9100 using Tapatalk

[Marciej123]

Mallware op je android, ja dat is ook mogelijk.

even scan doen met Eset mobile security of andere betrouwbare scanner.

Sent from my HTC Desire using Tapatalk

[Tom]

Norton en AVG vonden niks... Wifi stond vannacht ook uit.

Sent from my GT-I9100 using Tapatalk

[marcelvn]

Je gaf zelf al aan dat het hoog waarschijnlijk geen virus was, de beste reden die ik voor je kan opmaken is dan ook dat je wachtwoord is gehackt.

Dit mogelijk op een site waar je geregistreerd staat met je email en je waar hetzelfde wachtwoord gebruikt.

Wat je nu het beste kan doen is hopen dat het niet nogmaals gebeurt.

marcelvn

[Tom]

De mobiele versies, bedoelde ik. Dan hopen we er maar het beste van, ik ben nog nooit eerder gehackt en verander best vaak mijn wachtwoord. Niet meer dir ene gebruiken dus. Bedankt voor jullie hulp, mocht het nog een keer gebeuren dan geef ik wel een gil!

Sent from my GT-I9100 using Tapatalk

[Duken]

Goede hulp @marcelvn. Leest erg goed weg!

Nog een vraagje van mij, was het wachtwoord van je Wifi router ook hetzelfde als je hotmail wachtwoord?

[Tom]

Nop. Gelukkig niet, anders was het wel heel gemakkelijk geweest. Iig heb ik mijn ww en geheime vraag aangepast.

Sent from my GT-I9100 using Tapatalk

[Piraatje]

Vergeten jullie alsjeblieft de VPN verbinding niet? Je internet provider zoals Ziggo of KPN kan door gebruik van de VPN niet zien wat er gebeurd op je internet verbinding en ben je volledig anoniem voor iedereen. Een vereiste tegenwoordig.... We een uitgebreide handleiding geschreven met informatie. 

Deze vindt je hier:   https://www.duken.nl/forums/handleidingen/downloaden/vpn-verbinding-en-anoniem-downloaden-r35/