Mail vom T-Online Abuse Team

P

PPrecht

Active member
Themenstarter
Registriert
20 Juli 2008
Beiträge
1.263
Hallo,

ein Freund hat heute eine Mail vom T-Online Abuse Team bekommen:

Anhang anzeigen 30507

Wollte mal den Header prüfen, aber er hatte die Mail leider schon gelöscht. Auffällig war aber, daß die Spams zu einem Zeitpunkt verschickt wurden, als sein PC nicht lief.

Der Gute ist eigentlich so vorsichtig, dass er bei jeder Anfrage den PC eher ausmacht, als irgendeine Frage zu bejahen.

Da der Rechner nicht lief, besteht ja noch die Möglichkeit, dass die Zugangsdaten ausgespäht wurden, Also stelle ich mir folgende Lösung(en) vor:

- Änderung des Zugangskennwortes um weiteren Mißbrauch bei geklauten Zugangsdaten auszuschliessen
- PC wird von AntiVir Free edition überwacht, automatische Updates funktionieren
- Scan mit HiJackthis und AUswertung des Logfiles
- WLAN ist nciht vorhanden

Was kann ich sonst noch machen?


PS: Etwas peinlich, daß T-Online bei einem Spam-Verdacht so penetrant sein Norton Paket anbieten will:

Anhang anzeigen 30508
 

Anhänge

  • abuse.jpg
    abuse.jpg
    103,6 KB · Aufrufe: 221
  • norton.jpg
    norton.jpg
    54,9 KB · Aufrufe: 84
Da die Mails über seinen Account beim Mailserver verschickt wurden, muss sein Rechner nicht laufen. Da hat scheinbar einfach jemand seinen Login + Passwort ausgespäht. Mit den Daten kann er mit einem eigenen Mail/Spam-Programm über sein Konto Mails verschicken.

Ob sein Rechner unbedingt infiziert ist, ist fraglich. <- Da war ich wohl ein wenig vorschnell. Laut Telekom kommt der Zugriff ja von seinem Rechner..
Rein prophylaktisch würde ich natürlich trotzdem ein Full-Format empfehlen. Sind ja nicht meine Daten :D

Und bzgl. der Werbung für Norton: es würde mich nicht wundern, wenn die Norton empfehlen. Gerade für jemanden, der sich nicht so mit Computern auskennt, sorgt das für Sicherheit. Und aufdringlich waren sie mit der Empfehlung nun auch nicht unbedingt.
 
[quote='PPrecht',index.php?page=Thread&postID=866925#post866925]PS: Etwas peinlich, daß T-Online bei einem Spam-Verdacht so penetrant sein Norton Paket anbieten will:[/quote]
Ist nur legitim. Immerhin ist nicht der betreffende "Absender" primär davon betroffen, sondern zahlreiche Andere - auch Geschäftskunden - die über die gleiche IP-Adresse des Mailservers ihre Mails versenden wollen, aber deren Mails als unzustellbar zurück kommen, da der sendende Mailserver auf der Blacklist steht.

Ich würde nicht nur die von Dir vorgeschlagenen Checks durchführen, sondern mit einem online-Scan des trendmicro.com Online-Virenscanners eine "zweite Meinung" einholen.

Gibt es noch andere Benutzer/Rechner/NAS/etc. in seinem Netzwerk? Möglicherweise wurde ja über einen anderen Rechner der Spam versendet.

Ob T-Online tatsächlich derartige Mitteilungen versendet, entzieht sich meiner Kenntnis. Es gibt aber Provider, die dies machen.
 
Hi,

bei ihm steht nur ein einziger PC, ausser Drucker und Scanner keine andere Hardware. Und daß es im Sinne von T-Online und deren Kunden ist, keine Spams auszusenden (Netzwerkauslastung bei T-Online, Nichtversendbarkeit von Mails bei den Kunden) , ist klar, allerdings würde meiner Meinung nach ein Hinweis auf den Gebrauch eines Virenscanners reichen. Und im letzten ct-Test gab es ja das überraschende Ergebnis, dass die den Standalone-Scanner besser sind als die Internet-Suiten, die oft für die eigene Funktion große Scheunentore aufmachen.

Und man glaubt es nicht, wieviele Leute noch ohne Virenschutz bzw ohne Windows-Updates unterwegs sind (arbeite in der Onlinebankingabteilung einer Bank, und einige Trojanerfälle entstanden trotz Norton 360) Unter anderem beschäftigt das Rechenzentrum eine Firma, die die Trojaner-Server hackt, um zu sehen, welche Kunden ihre Zugangsdaten auf dem "falschen" Server hinterlassen um weiteren Schaden zu verhindern. Und wenn du den gleichen Kunden innerhlab eines halben Jahres 6 mal in der Meldung hast zweifelst Du am Verstand mancher Menschen.... WSeiters Beispiel: Jeder Kunde bekommt den Hinweis keine leicht zu merkende PIN wie "12345" zu nehmen. Nach einer Fusion konnten fast 200 Kunden erstmal kein Banking machen, weil gerade dies die Einstiegs-PIN der neuen Gesamtbank war..


Aber egal, werde die erweiterten Maßnahmwn mal testen.

Danke

Peter
 
[quote='whisk4s',index.php?page=Thread&postID=866944#post866944]Laut Telekom kommt der Zugriff ja von seinem Rechner..[/quote]
Nein, der Muell kam von einem Telekom-Anschluss, von dem man sich mit seinen Zugangsdaten eingewaehlt hat. Dieser Anschluss kann ueberall in D sein, hinter dem Anschluss koennen beliebig viele Rechner haengen. Dass der Muell von einem bestimmten Rechner kommt, kann man kaum beweisen.
 
[quote='Philosoph',index.php?page=Thread&postID=867028#post867028]...wenn Du VOLLPROFI bist, warun fragst Du dann noch im Forum nach...?!?[/quote]


Als "Philosoph" solltest Du wissen, dass gerade ein "Vollprofi" sich nicht unbedingt auf seinen eigenen Wissensstand verlässt (sich quasi für "Gott" hält) sondern auch über den eigenen Tellerrand schaut um auch andere Ideen und Alternativen zu erfahren :D

Denn egal, wo man sich rumtreibt, ob im richtigen Leben oder im Cyberspace, die Entwicklungen gehen immer weiter....und was heute ausreichend ist, reicht morgen eben schon nicht mehr aus....

[quote='Philosoph',index.php?page=Thread&postID=867028#post867028]PS: E-Mails sind eh nicht dokumentenecht oder jurisisch sicher[/quote]


Es geht hier nicht um so nen Kleinkram wie ne Mail, wenn jemand die Zugangsdaten hat, wird bei jedem Missbrauch (illegale Downloads, Kinderpornographie usw) nach dem Inhaber der IP-Adresse ermittelt und dann wird es aufwändig zu beweisen, dass man selbst es nicht war. :cursing:
 
Gleiche Geschichte auch bei googlemail.
Was ich da schon für einen Schrott und Dummfug in die weite Welt geschickt habe... :D

Also: Regelmäßig Passwort ändern, was IMHO für alle Accounts gilt, egal ob Email, Bank und Foren...
 
Angenommen es stimmt alles, was in der E-Mail steht: Dann hat wohl jemand seine DSL-Zugangsdaten. In dem Fall würde ich umgehend T-Online informieren und verlangen (oder muss man die bitten? ) , dass sie den Telefonanschluss ausfindig machen, an dem die Zugangsdaten genutzt wurden.

Da dein Freund die Mail schon gelöscht hat, würde ich erstmal beim Abuse Team nachfragen, ob sie diese Mail überhaupt verschickt haben. Dabei kannst du gleich noch um eine Erklärung bitten, wie genau sie drauf gekommen sind, dass das über seinen Anschluss kam und was da überhaupt verschickt worden sein soll (da würde ich min. ein Kopie des Headers der angeblichen Spam-Mail erwarten).

Wenn sich die Annahme bestätigt, ist erstmal Ursachenforschung angesagt. Das System platt machen und neu installieren steht erst am Ende bzw. wurde an anderer Stelle (Link) sogar davon abgeraten:
Wichtig! Nichts löschen vom PC, es sollte umgehend ein Beweissicherungsimage von Deinem Computer erstellt werden!

Falls nämlich Deine Zugangsdaten über einen "Virus" (richtiger: eine Malware) gestohlen worden sein sollten, müssen diese Schädlingsdateien aus Beweissicherungsgründen gesichert werden! Sie dürfen nicht gelöscht werden!
Zum Vergrößern anklicken....
P.S.: Ich betrachte mich nicht als Experte für dieses Thema. Falls ich Unsinn geschrieben habe, korrigiert mich ;)
 
Wenn er Wlan nutzt kann es sein, dass der Anschluß gehackt wurde und nicht nur das Emailpasswort. Denn der normale Emailausgangsserver der Telekom nutzt NUR! die Anschlusskennung und nicht anderes. Deshalb kann man auch nicht Emails außerhalb seines Anschlusses abrufen bzw versenden. Das geht dann nur mit einem zusätzlichen Email-Paket für 5€ im Monat. Ist halt auch die Frage, was da genau genutzt wurde?

Sehe gerade, dass kein WLan benutzt wurde, aber vllt. durch Versehen im Router aktiviert? Oder Zugangsdaten aus Router geklaut, weil der mit einem Standardpasswort gesichert war?
 
[quote='Philosoph',index.php?page=Thread&postID=867070#post867070]1. Es geht hier tatsächlich NUR um eine E-Mail, deren Konto-Paßwort jemandem bekannt ist und NICHT (s.o.) um die Zugangsdaten eines Internetaccounts...
[/quote]
In der Standardeinstellung ist T-Online E-Mailpassort = Zugangspasswort. Erst, wenn man ein separates E-Mailpasswort eingerichtet hat, kann auch über andere Internetzugänge auf das Mailkonto zugegriffen werden.
Was vor einiger Zeit ebenfalls noch funktionierte (weiß aber nicht, ob T-Online dies inzwischen behoben hat):
Greift A mit seinen eigenen T-Online E-Maildaten über den T-Onlinezugang von B auf seine eigenen Mails zu, landete er automatisch im Mailaccount von B.
 
[quote='Philosoph',index.php?page=Thread&postID=867070#post867070]1. Es geht hier tatsächlich NUR um eine E-Mail, deren Konto-Paßwort jemandem bekannt ist und NICHT (s.o.) um die Zugangsdaten eines Internetaccounts...[/quote]
In der T-Online E-Mail steht doch:
In diesen Daten ist eine IP-Adresse mit Zeitangaben inklusive Zeitzone enthalten. Diese Daten haben wir ausgewertet und auf der Basis ihre Kennung (Kundenkonto) als Verursacher ermittelt. Es handelt sich in diesem Fall um:
IP-Adresse: 93.213.46.108
Zeitangaben: 02.06.2010, 20:52:00 (MESZ)
Zum Vergrößern anklicken....
Das heißt doch, dass diese IP zu dieser Uhrzeit diesem Kunden zugewiesen war (sprich: Internetzugangsdaten benutzt). Sonst hätten die ja geschrieben: "Über ihr Mailkonto wurde Spam versendet von der IP ... . Wem diese IP gehört(e) können/wollen wir aber nicht feststellen..."
 
[quote='Philosoph',index.php?page=Thread&postID=867187#post867187]Sinnvoll ists auch, den Router permanent eigeloggt zu lassen: ...dann kann kein anderer einloggen!
[/quote]
Noch besser:
Ist man außer Haus oder im Bett: Router ausschalten. Keiner kann sich einhacken und Strom spart man vor Allem bei WLan auch nicht gerade wenig.

[quote='Philosoph',index.php?page=Thread&postID=867187#post867187]Noch eine Lehre: Sofort immer Paßwörter setzen!
[/quote]
Darauf wird der Kunde immer hingewiesen. Faulheit siegt aber...

[quote='Philosoph',index.php?page=Thread&postID=867187#post867187]...komisch, im Land der verrammelten Einfamilienhäuser und Vorgärten mit Gartenzwergen muß man den Leuten erzählen, ihre Internet-Haustür abzuschließen...
[/quote]
T-Online, 1&1 und andere (da kenne ich aber kaum jemanden;)) versenden Router entweder mit deaktiviertem Wlan oder bereits eingerichtetem WPA/WPA2-Passwort.
Beim Einrichten des E-Mailaccounts wird man seitens T-Online zur Vergabe eines E-Mailpassworts aufgefordert. Leider kann man dies aber umgehen.
 
[quote='Philosoph',index.php?page=Thread&postID=867209#post867209]Ich bin nicht bei der T-Com, wo man sich nur vom eigenen Anschluß aus einloggen kann: Schalte ich den Router ab, kann rein, wer will, vorausgesetzt, der hat die Paßwörter...[/quote]

Da hab ich mit Alice ja richtig gelitten. Benutzername ist die Telefonnummer und PW ist beliebig.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben