phishing (?) email: ohne Anhang, an diverse Adressbuch-emails

S

schdrag

Active member
Themenstarter
Registriert
18 Aug. 2011
Beiträge
745
hab zwei emails von einem Bekannten bekommen: ""Guten Morgen, Hast du gestern meine E-Mails erhalten" ohne "Gruss" oder ähnliches, nur der Vor-Name am Schluss
Hab dann meinen Bekannten angerufen (da ich kein email bekommen habe, natürlich vorher die spam-Ordner angeschaut). Er hat mir erzählt, dass diverse Leute aus seinem email Adressbuch diese mail bekommen haben, obwohl er nie so ein email versendet hat.
Kann es sein, dass da jemand sein Adressbuch "geknackt" hat

Bei phishing wäre doch immer ein Anhang dabei (wo sich die Schädlinge verstecken), oder? Hab meinem Bekannten empfohlen, einen online Virenscanner laufen zu lassen (hab ihm die Kaspersky download-Adresse mitgeteilt. In thunderbird (normalerweise nutze ich outlook) habe ich geschaut, ob die email Adresse nicht gefälscht war.
Edit: habe ihm nochmals angerufen und ihm gesagt, er soll sofort sein email pw ändern (vielleicht kam er so an die email Adressen?). Er soll auch seinen Bekannten anrufen, von dem er diese email bekommen hat.
 
Zuletzt bearbeitet:
Sieht danach aus. - Sofort Kennwörter aller Mailkonten ändern.

(Ein Grund, warum ich keine Kontakte in meinen Mailaccounts ablege)
 
sehe ich die möglichen Ursachen richtig?
1) Entweder ist der PC kompromitiert
2) Nur das email pw ist geknackt (dagegen spricht: wenn der spammer wirklich das PW wie auch immer bekommen hätte, dann hätte er das PW sofort ändern und eine alternative email Adresse (für's PW) setzen können (alias und alternative email Felder sind leer). Evtl. hat er es aber auch bewusst nicht gemacht, damit es nicht auffällt...
Wie sieht es mit router viren aus (wusste gar nicht, dass es das gibt)? Können die einen Einfluss haben? Hab meinem Bekannten gesagt, er soll auch den router abschalten und wieder einschalten (hatte noch etwas mit der ip Adresse in Erinnerung).
 
Router-Viren? Ja, es gibt infizierte Router, die dann gerne als Bot-Netz missbraucht werden. Aber nicht als "Spionage-Device", dafür reicht die Rechenleistung meist nicht. Verschlüsselten Traffic können sie sowieso nicht aufbrechen.
Von daher:
- Entweder E-Mail-Account gehackt
- Oder E-Mail-Account auf Basis von geleakten Daten gekapert. Soll heißen: Mit der gleichen E-Mail/Passwort-Kombination auch woanders angemeldet, wo die Daten abhanden gekommen sind? Das lässt sich hier https://sec.hpi.de/ilc/?lang=de und hier https://haveibeenpwned.com/ chekcen.
- Oder ein Virus/Trojaner auf dem PC, der dort die Zugangsdaten abgefangen hat.
 
Dein link zum Leak-Daten test (danke @cuco): die email Adresse ist nicht geleakt.

Die komische email "Guten Morgen, Hast du gestern meine E-Mails erhalten" hat mein Bekannter von einem seiner Bekannten bekommen (vor ein paar Tagen). Theoretisch könnte der spammer doch auch das email Konto seines Bekannten geknackt und über eine email die ihm mein Bekannter (als cc denjenigen, die das spam mail bekommen haben) geschickt hat, bekommen haben (?).
 
Nur mal so am Rande,....die Email Addresse, die dir dein Email Programm als Absender anzeigt, muss nicht mit der tatzächlichen Absender Adresse überein stimmen. Das lässt sich manipulieren. Vermutlich gings bei dem Phishing Versuch darum dich in eine Email Konversation mit dem Absender zu verwickeln, und dir dann, wie beim Enkeltrick am Telefon, irgendwelche Infos zu entlocken bzw. dich dann auf einen manipulierten Link zu lenken.

Und das ihr Beide diese Email erhalten hat, muss auch nicht zwingend heißen, dass das eine kausal mit dem anderen zusammen hängt. Euer beider Email Adressen können auch einfach Teil eines Datenleaks sein. Wenn so was passiert stürzen sich die Spammer immer gleich auf sämtliche neuen "Opfer" Email Adressen.

Hier https://haveibeenpwned.com/ kannst du überprüfen ob deine Email Adresse, und die deines Bekannten, zu einem Datenleak gehört.
 
Zuletzt bearbeitet:
in thunderbird habe ich 'mal auf Queltext geklickt: sehe ich da den tatsächlichen Absender? Eine CODE]X-Env-Mailfrom google Suche hat mich nicht wirklich erleuchtet...
Code: 
X-Env-Mailfrom: xxx@sunrise.ch
X-Env-Rcptto: x@gmail.com
X-SourceIP: 100.105.128.112
X-CNFS-Analysis: v=2.4 cv=YdHv5BRf c=1 sm=1 tr=0 ts=66f6663d
 a=fOTtZselR8SjVrWaGeyTYQ==:117 a=9cW_t1CCXrUA:10 a=-KwsbdaM2XEA:10
 a=v6IGI_6bDf_rcQ18wSkA:9 a=QEXdDO2ut3YA:10 a=U9Yl4EFLUYPprRYAUVQA:9
 a=_W_S_7VecoQA:10 a=x_kL3ZZGt9SESQEAgDXp:22
X-Authenticated-Sender: xxx@sunrise.ch
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=sunrise.ch;
    s=pemc2017may; t=1727424061;
    bh=cIzEnPKIz5FxgFC85bse+FdGzW0QDFkRbiB60mr5jd8=;
    h=Date:From:Subject;
    b=vQcMl5IYTYYwAkKoTDu+tkP7mUUGeFVp1bEe9NRh0y5Gu9sUC+J0Gq4n0bhXqALnw
     Dse0Foc3TxDY5ifF4qjQGpvBoBSnAzKYvADxwxxEZDOMsfP0Ty2AcIYeNahFsX/bAV
     atQj3m8WkCkFskq54dCCTpwWfeDtVsMZQDV4PDOnLqlmZtA58CG2Y/A5mLot+0bQuc
     l72Fw7eOWeBXXmg9zrPXqxvKtrAQ+ilGsPxpou6kEQNaiVafqrjWSxOuWoBPsWkHLL
     Vx0Z1MhsFAPi2Y4wH9pHZ/atI+vkVmbTJAeTgGeHbE9SmOPZIISxyAbPtIaq3x4Qca
     MmLtKY1TkX+/g==
Date: Fri, 27 Sep 2024 10:01:01 +0200 (CEST)
From: vorname nachname <xxx@sunrise.ch>
 
Zuletzt bearbeitet:
schdrag schrieb:
Dein link zum Leak-Daten test (danke @cuco): die email Adresse ist nicht geleakt.
Zum Vergrößern anklicken....
Natürlich vom Versender. Aber das war klar, oder? Dann bleibt nur Zugangsdaten gehackt und/oder Trojaner auf dem PC hat sie abgefangen.

schdrag schrieb:
in thunderbird habe ich 'mal auf Queltext geklickt: sehe ich da den tatsächlichen Absender? Eine google Suche hat mich nicht wirklich erleuchtet...
Code: 
X-SourceIP: 100.105.128.112
Zum Vergrößern anklicken....
Das ist ne interne IP, reserviert für CGNAT. Die dürfte/könnte eigentlich niemals vom Server des Absenders sein...
 
cuco schrieb:
Das ist ne interne IP, reserviert für CGNAT. Die dürfte/könnte eigentlich niemals vom Server des Absenders sein...
Zum Vergrößern anklicken....
Ist jetzt ein bisserl hoch für mich; "Server des Absenders": hiesse das sunrise [der provider] Server? Und was bedeutet das? Heisst das, die email wurde von einem (nicht-sunrise) Server verschickt, der evtl. Teil eines botnet ist?
 
"From:" - Einträge werden von unten nach oben erzeugt. Da gibt es oft mehrere "From"-Einträge.

Stehen noch mehr IP-Adressen im Header?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben