Zur Zeit stellen wir eine starke Angriffswelle aus einem serbischen Netz, auf verschiedene Mailserver per SMTP fest. Interessant daran ist auch, dass wir diese Angriffe fast ausschließlich an Vodafone/Unitymedia-Anbindungen sehen.
Hier eine Größenordnung: wir haben auf einem Mailrelay an einem Tag von 0:00 Uhr bis 19:00 Uhr über 170.000 Login-Versuche festgestellt, die natürlich Einfluss auf die verfügbare Bandbreite für andere Dienste und auch auf die Performance der Firewalls haben.
Als Schutzmaßnahme haben wir die Verbindungen aus dem Angreifernetzwerk an der Firewall gesperrt. Trotzdem sehen wir aktuell immer noch 3-4 Verbindungsaufbauversuche pro Sekunde aus diesem Netzwerk. Bei anderen Kunden ist der Angriff ähnlich massiv.
Ziel dieser Angriffe ist unter anderem das Ausprobieren von Benutzernamen/Passwort Kombinationen.
Ein erfolgreicher Login könnte deshalb folgende Konsequenzen nach sich ziehen:
- Der Mailserver könnte als Spamschleuder verwendet werden.
- Der Benutzername und das Passwort würden als gültig identifiziert werden und sind dann, möglicherweise auch für andere Dienste oder Webseiten, z.B. Amazon, Paypal, Instagram etc. verwendbar.
Zur Sicherheit raten wir deshalb, möglichst überall andere Passwörter zu verwenden!
Außerdem haben wir dazu eine Mail an abuse@unitymedia.de geschrieben, die Sachlage beschrieben und Vodafone gebeten die Weiterleitung von Paketen aus dem Netz 45.142.120.0/24 zu unterbinden. Natürlich haben wir darauf leider noch keine Reaktion von Vodafone erhalten.
Wir behalten dies weiter für Sie im Auge!
Wenn Sie etwas Ähnliches in Ihren Systemen feststellen, dann scheuen Sie sich nicht uns zu kontaktieren.
Wir helfen Ihnen gern!