Scam? <anonymisiert@t-online.de>

Willkommen auf antiscam.de

 Wir haben dieses Forum eröffnet, um bestimmte Formen von Internetbetrug öffentlich zu machen und mögliche Opfer zu warnen.

 Es ist eines unserer Hobbys, Betrüger im Internet aufzufinden, ihnen den Betrug nachzuweisen und sie mit uns zu beschäftigen.

 Unsere Erkenntnisse möchten wir hier veröffentlichen, vielleicht erspart das dem ein oder anderen Geld und eine bittere Lehre.

Wenn dieses Dein erster Besuch des Forums ist, dann mußt Du dich registrieren und anmelden, um Beiträge schreiben zu können und um alle Mitgliederbereiche sehen zu können.

Um den Einstieg zu erleichtern, wäre ein Besuch der Forenhilfe von Vorteil!

Hilfe

Auch solltest Du dich mit den Forenregeln vertraut machen, um Dir und auch uns Unannehmlichkeiten zu ersparen!

Forenregeln



Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste
Antwort schreiben 
Scam? <anonymisiert@t-online.de>
24.10.2015, 17:47 (Dieser Beitrag wurde zuletzt bearbeitet: 08.11.2015 15:10 von Long Drop.)
Beitrag: #1
Offline
Question Scam? <anonymisiert@t-online.de>
Hallo,

es werden mit meiner E-Mail Adresse als Absender E-Mails verschickt. Diese gehen an Empfänger, denen ich in der Vergangenheit E-Mails geschrieben habe. Ich poste mal alle Infos die ich habe, damit ihr das einschätzen könnt. Die E-Mails sind sehr kurz und enthalten einen Link, z. B.: http://j-gatelb.com/generally.php?9wr0u


Hier der vollständige Inhalt einer E-Mail:
--------------
Hey!

Important message, please visit http://j-gatelb.com/generally.php

mein Name@t-online.de
--------------


Der E-Mail Header sieht wie folgt aus (habe einiges anonymisiert):
--------------
Spoiler :
Return-Path: <anonymisiert@t-online.de>
Received: from mailin55.aul.t-online.de ([172.20.27.4])
by ehead609.aul.t-online.de (Dovecot) with LMTP id IqYAOzYxDFaW6QAAuNeDEw;
Wed, 30 Sep 2015 21:00:06 +0200
Received: from ns1.ihsdnsx22.com ([94.138.201.135]) by mailin55.aul.t-online.de
with (TLSv1:DHE-RSA-AES256-SHA encrypted)
esmtp id 1ZhMbm-0lAiB60; Wed, 30 Sep 2015 21:00:06 +0200
Received: (qmail 21663 invoked from network); 30 Sep 2015 21:53:23 +0300
Received: from r167-60-34-8.dialup.adsl.anteldata.net.uy (HELO WIN-NPPN1JPV75J) (167.60.34.8)
by ns1.ihsdnsx22.com with (DHE-RSA-AES256-SHA encrypted) SMTP; 30 Sep 2015 21:53:17 +0300
From: <anonymisiert@t-online.de>
To: "XING News Internet Technologie" <mailrobot@xing.com>, "XING News"
<mailrobot@xing.com>, "XING" <mailrobot@xing.com>, (... und weitere diverse E-Mail Adressen in CC ...)
Subject: *SPAM* Fw: important
Date: Wed, 30 Sep 2015 11:52:37 -0700
Message-ID: <000070481bc5$3dc01b2f$7b880d27$@t-online.de>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0001_11509129.36B83BCF"
X-Mailer: Microsoft Outlook 15.0
Thread-Index: AdD2PviFNdxyJO/31BWf/mGHIavFkg==
Content-Language: en-us
X-TOI-SPAM: y;1;2015-09-30T19:00:06Z
X-TOI-VIRUSSCAN: clean
X-TOI-EXPURGATEID: 149288::1443639606-00001447-288EDED7/0-0/31973-17
X-TOI-SPAMCLASS: SPAM, NORMAL
X-TOI-MSGID: 346c01da-1ad3-4335-af51-288b0db1dbd7
X-Seen: false
X-ENVELOPE-TO: <anonymisiert@t-online.de>
X-Antispam: clean, score=50
X-Antivirus: avast! (VPS 150930-2, 30.09.2015), Inbound message
X-Antivirus-Status: Clean
--------------


Vielen Dank für jede Hilfestellung.


Gruß vom
Freund der Blumen

PS: Das geht jetzt schon ca. 2 Wochen so


Eingeliefert über Türkei
Code:
IP:    94.138.201.135
Decimal:    1586153863
Hostname:    ns1.ihsdnsx22.com
ASN:    49126
ISP:    IHS Telekomunikasyon Ltd
Organization:    IHS Telekomunikasyon Ltd
Services:    None detected
Assignment:    Static IP
Blacklist:    Blacklist Check
Geolocation Information

Continent:    Asia
Country:    Turkey tr flag
Latitude:    41.0136  (41° 0′ 48.96″ N)
Longitude:    28.955  (28° 57′ 18.00″ E)
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren to top
26.10.2015, 11:51 (Dieser Beitrag wurde zuletzt bearbeitet: 08.11.2015 15:11 von Long Drop.)
Beitrag: #2
Offline
RE: Scam? <anonymisiert@t-online.de>
Du solltest mal dein Passwort für deine Mailadresse ändern.

Und deinen PC mit einem guten Vierenscanner überprüfen.


Das ist bestimmt ein Trojaner der deine Daten ausspäht und so an deine Passwörter gekommen ist.



http://www.chip.de/downloads/Avira-EU-Cl...74057.html

http://www.chip.de/downloads/Panda-Free-...17595.html

http://www.chip.de/downloads/Panda-Cloud...94746.html

Die drei installieren und durchlaufen lassen. Dann dürfte wieder alles sauber sein.


Dann schau in deinen Programmen nach ob Programme installiert sind die du nicht kennst.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren to top
27.10.2015, 21:08 (Dieser Beitrag wurde zuletzt bearbeitet: 08.11.2015 15:11 von Long Drop.)
Beitrag: #3
Offline
RE: Scam? <anonymisiert@t-online.de>
Hallo Blumenfreund!
Erst einmal, Willkommen im Forum!
Zu deiner Frage." Scam? " Nein, das ist klassischer Spam bzw. Phishing.

Aus deiner Sicht würde ich sagen:
[Bild: indexskyij.jpg]

Aber nun zu deinem Problem.
Ich schließe mich den Empfehlungen von Beitrag #2 an. Zu aller erst alle Passworte ändern, Virenscanner und Reiniger (Malwarebytes)* und dann noch einmal den Müll vom Rechner entfernen (CCleaner)**.
Je nach dem was Malwarebytes alles findet, würde ich in jedem Falle noch einmal HiJackThis *** durchlaufen lassen und die Logdatei an das deutsche Forum einsenden.

In letzter Zeit werden sogar Emailadressen von verschiedenen xxx.de Domains zum Verkauf angeboten. Siehe folgende Themen und Beiträge.

http://antiscam.de/showthread.php?tid=11361
http://antiscam.de/showthread.php?tid=11364

Vielleicht steht deine auch auf der Liste.

Ich kenne das Problem auch. Ich habe mehrere Emails von meinen Bekannten erhalten, die ebenfalls Links enthielten. Als ich eine gute Bekannte anrief um ihr mitzuteilen das ihr Yahoo Account gehackt wurde, sagte nur: "Nein, nicht schon wieder!" Sie hat den Account letztendlich abgemeldet.

Es gibt auch noch eine weitere Möglichkeit. Die Mail wurden nicht über deinen Account versendet, sondern nur deine Emailadresse verwendet, um den Header zu fälschen. In diesem Falle bist du machtlos.
Es gibt einige Hinweise darauf, daß der Header der Nachricht manipuliert wurde. merkwürdig ist schon der Weg den die Nachricht genommen hat. Eingeliefert wurde sie über eine Einwahlverbindung im Telefonnetz von Uruguay.

Zitat: Received: from r167-60-34-8.dialup.adsl.anteldata.net.uy (HELO WIN-NPPN1JPV75J) (167.60.34.8)

Code:
General IP Information
IP:    167.60.34.8
Decimal:    2805735944
Hostname:    r167-60-34-8.dialup.adsl.anteldata.net.uy
ASN:    6057
ISP:    Administracion Nacional de Telecomunicaciones
Organization:    Administracion Nacional de Telecomunicaciones
Services:    None detected
Type:    Broadband
Assignment:    Static IP
Blacklist:    
Geolocation Information
Continent:    South America
Country:    Uruguay uy flag
State/Region:    Departamento de Montevideo
City:    Montevideo

Dann ging sie über die Türkei (IP bereits in deinem Beitrag aufgelöst, auf einen Mailservereingangsserver der Telekom.

Zitat: Received: from mailin55.aul.t-online.de ([172.20.27.4])

Selbstverständlich können auch alle oder viele dieser Daten gefälscht sein um Verwirrung zu stiften und die Rückverfolgung zu erschweren.

Sollten die Mailings mit deiner Emailadresse als Absender nicht aufhören, ist die Wahrscheinlichkeit eines gefälschten Absenders sogar recht hoch.
Bitte denke auch einmal darüber nach, auf welchen Computern du deine Nachrichten liest und schreibst. Z.B. ein Android Pad ****. Auch diese mußt du checken!!! Es kann sogar über einen Rechner im Internetkaffee passiert sein, indem ein Keylogger deinen Login protokolliert hat. In diesem Falle wäre aber eine Passwortänderung schon ausreichend.
Sollte der Keylogger allerdings auf deinem Rechner sein, kannst du die Passworte ändern so oft wie du willst. Der Keylogger ließt sie jedes Mal mit und überträgt sie an den Angreifer. In diesem Falle solltest du den Rechner komplett neu installieren.

Wenn die Spammerei mit deiner Mailadresse nicht aufhört, wende dich auf jeden Fall auch an T-Online.
Du solltest auch deine Bekannten etc. anschreiben und darauf hinweisen, daß die Nachrichten nicht von dir kommen und auf keinen Fall den Link anzuklicken. Ich vermute hier entweder eine Virenschleuder oder Phishing.
Wenn ich am Wochenende Zeit finde, werde ich einmal versuchen den Link auf einem sicheren System mit UNIX Betriebssystem zu verfolgen. Erfahrungsgemäß sind diese Links aber immer nur für eine kurze Zeit geschaltet.

Viel Glück mit deinem Problem!


Links zu besonders guten Tools zur Malwarentfernung.

* Malwarebytes
https://de.malwarebytes.org/antimalware/...oC9i7w_wcB

** CCleaner
https://www.piriform.com/ccleaner

*** HiJackThis
Tool
http://sourceforge.net/projects/hjt/
Auswertung
http://www.hijackthis.de/de

Avira bietet eine UNIX Boot CD zum Download an, die auch Stealthviren etc. entdecken und entfernen kann. Ähnliches gibt es auch von Kasperski und anderen. Leider hat keiner ein Allerheilmittel. Der eine zeigt an, "alles OK" und das nächste Programm läutet alle Alarmglocken.


**** Die neuesten chinesischen Android Smartphones werden gleich ab Werk mit Spyware ausgestattet.
http://www.heise.de/security/meldung/And...94608.html
http://www.heise.de/security/meldung/Vor...21792.html
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren to top
27.10.2015, 21:20 (Dieser Beitrag wurde zuletzt bearbeitet: 08.11.2015 15:11 von Long Drop.)
Beitrag: #4
Offline
RE: Scam? <anonymisiert@t-online.de>
http://www.scamadviser.com/check-website/j-gatelb.com

Zitat:j-gatelb.com

This Site Could Be Unsafe
Site is Singapore based , but most likely from Lebanon

Summary
Website: j-gatelb.com

Domain Age: 2 Years, 172 Days
Website Speed: Very Fast
Website Value: $114.20

Owner: Hasan Jaber
Owner Address: Mazraa St. Jaber Commercial Center 2nd floor
Owner City: Beirut
Owner Postcode: 00961
Phone Number: 9613531317
Phone Type: mobile : Alfa
Email:

Owner Country : Lebanon
Website Location : Singapore

Probable website origin :-
70%; Lebanon
15%; United States
8%; Singapore
7%; Australia

Notes:-
[Alert Result] Registered contact email address is a free one
[Alert Result] Technical contact email address is a free one
[Alert Result] Administrative contact email address is a free one
[Alert Result] This website has been listed as having malware.


Analysis Details:-
Although this website appears to be based in Singapore there are other countries involved and you should review this information carefully and decide if it is as you expect.This website has been listed on a threat site at sometime in it's life. These can relate to virus/malware issues

Free email addresses have been used in the setup of this website. This is not necesarily worrying, depending on the site. For online shops, this can be a sign that the site has some risk

Wenn man die Domain des Links aufrufen möchte, erscheint folgende Meldung:

Zitat: Fatal error: Call to undefined function is_multisite() in /home/content/18/11047818/html/wp-includes/default-constants.php on line 20

Ich vermute hieraus, das diese Seite ebenfalls gehackt wurde und weitere Unterverzeichnisse und Weiterleitungen angehangen wurden. Es scheint sich hier um eine private Homepage zu handeln und der Eigentümer, Hasan Jaber, weiß eventuell nichts davon, bzw. plagt sich mit dem selben Problem, daß seine Identität missbraucht wird.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren to top
28.10.2015, 19:19 (Dieser Beitrag wurde zuletzt bearbeitet: 08.11.2015 15:12 von Long Drop.)
Beitrag: #5
Offline
RE: Scam? <anonymisiert@t-online.de>
Hallo,

erst einmal vielen Dank für die Antworten.
Ich have Avast Internet Security im Einsatz (alles aktiviert was geht). Ich nutze den Trojan Remover von Simply Super Software (alles Kaufversionen) und die free-Versionen von CCLeaner und Malwarebytes Anti-Malware. Keiner hat etwas gefunden. Ach ja, von MS das Tool zum "Entfernen bösartiger Software" lief auch durch. Passwörter habe ich auch geändert. Ich habe mir einen USB-Stick mit Virenscanner erstellt in der Firma, den lasse ich gleich mal drüber laufen.
Ich vermute auch eher, dass meine E-Mail Adresse als Absender verwendet wird und das nichts auf meinem Rechner läuft an Viren/Trojanern/Root-Kits etc., sonst hätte ja eigentlich ein Alarm ausgelöst werden müssen. Aber der "Böse" hat irgendwie eine Liste von meinen E-Mail Empfängern und -Sendern ergattert, zumindest einmal.

Ich werde weiter berichten.

Gruß vom
Freund der Blumen

PS: Lohnt sich das Geld für Vollversion von Malwarebytes Anti-Malware?
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren to top
29.10.2015, 23:11 (Dieser Beitrag wurde zuletzt bearbeitet: 08.11.2015 15:12 von Long Drop.)
Beitrag: #6
Offline
RE: Scam? <anonymisiert@t-online.de>
Das hört sich erst einmal gut an. Wenn jetzt keine Mails mehr mit deiner Absendeadresse versendet werden, sollte das Problem gelöst sein. wenn nicht, dann nimmt einer deine Adresse um den Header der Nachrichten zu fälschen, wie ich oben bereits erwähnt habe.
Wie er daran gekommen ist und an deine Adressliste? Du kennst doch sicher die Massen- und Kettenmails. Man versendet an alle Freunde eine Nachricht und einer leitet es weiter und so weiter und so weiter, bis es bei einem Adresssammler landet, der sie dann möglicherweise sogar verkauft. Zusammenhängende Adressen sind besonders beliebt bei Werbefirmen und Spammern.
Eine weitere Möglichkeit ist, das du dich einmal bei einem Portal wie Zorpia, Badoo MyZamana oder ähnlichen angemeldet hast. Bei der Anmeldung musst du bestätigen, dass sie deine Kontakte lesen dürfen, denn sonst kannst du dich nicht anmelden. Dann haben sie alle deine Kontakte und das ist der einzige Zweck dieser Seiten. Adressen und deren Kontakte sammeln um sie zu verkaufen. Überlege einmal, ob du eine Einladung von einem angeblichen Bekannten zu so einer Seite bekommen hast. die Einladung ist auch nicht von ihm gekommen, sondern automatisch durch das System versendet worden. Ich habe hier so einen Fall gepostet.

myZamana <noreply@m1.myzamanamail.com>
http://antiscam.de/showthread.php?tid=10558

Lasse dir von deinen Bekannten und Freunden berichten, ob sie weiterhin Nachrichten von dir erhalten die du nicht gesendet hast.

Zitat:PS: Lohnt sich das Geld für Vollversion von Malwarebytes Anti-Malware?

Nein, nicht wirklich. Ich habe Malwarebytes seit Jahren im Einsatz und nur in der Standbyvariante. Nicht als permanenten Scanner.
Auf diesem Rechner hier habe ich nur Malwarebytes. Ich lasse es regelmäßig laufen, da es mehr als andere findet und vor allen Dingen entfernen und reparieren kann. Die meisten Scanner können nur die Malware in Quarantäne stecken aber die Registry korrigieren sie nicht. Vorher hatte ich Antivir, aber die hatten zu viel Fehlalarme, genau wie viele andere auch. Das liegt an der heuristischen suche. Es werden bestimmte Codesequenzen gesucht, die in vielen Dateien vorkommen können.
Bei schwerwiegenden Infektionen musst du ohnehin mit Hijackthis die Registry checken und die Einträge manuell löschen, damit sich die Malware nicht wieder von alleine nachladen kann oder den Rechner neu installieren.
Für Internetstöbereien, nehme ich immer einen alten IBM mit Unix her. Dem ist jede Malware völlig schnuppe. Unix lässt sie einfach vor der Türe stehen.
Die Kaufversion kann nicht viel mehr. Es entfällt lediglich die Werbung und einige Beschränkungen für die Individuelle Konfiguration. Es schadet selbstverständlich nicht, wenn du durch den Kauf die Firma unterstützt neue und besserer Versionen auf den Markt zu bringen. Smile
Malwarebytes ist übrigens das einzige Programm, welches auch Add- und Spyware, sowie Toolbars aufspürt und diese entfernt. Diese fängt man sich inzwischen sogar bei Downloads bei Chip und Co. ein.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren to top
29.10.2015, 23:19 (Dieser Beitrag wurde zuletzt bearbeitet: 08.11.2015 15:12 von Long Drop.)
Beitrag: #7
Offline
RE: Scam? <anonymisiert@t-online.de>
Hier habe ich gerade einen Fall im Müll gefunden. Eine Einladung von einer Schönen auf Zorpia. Allerdings kommt sie Nachricht wahrscheinlich vom System und nicht von der Lady.
Solche Einladungen bekomme ich auch immer wieder von Scammern, die ich hier ins Forum gestellt habe.

Sobald du bestätigst, wird deine Adressliste ausgelesen. Ich hab es selber mit einem Köder-Account ausprobiert und nun haben sie eine satte handvoll Scammer und Spammer Emailaddressen erbeutet. L_a_c_h


Von: Zorpia <notifications@zorpia.com>
Antwort an: notifications@zorpia.com
an: Xxx <xxx.xxx@xxx.xxx>
Datum: 29. Oktober 2015 um 06:31
Betreff: Meet Mabel
Gesendet von: zorpia.com
Signiert von: zorpia.com

[Bild: zorpiaglo61.jpg]

Wenn du das mit deiner richtigen privaten T-Online Adresse gemacht hast, weist du wie es passiert ist.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren to top
31.10.2015, 11:20 (Dieser Beitrag wurde zuletzt bearbeitet: 08.11.2015 15:12 von Long Drop.)
Beitrag: #8
Offline
RE: Scam? <anonymisiert@t-online.de>
Hallo,

danke für die vielen Informationen, spitze!
Ich habe übrigens noch den EU-Scanner von Avira drüber laufen lassen, der hier verlinkt war. Zusätzlich habe ich noch BitDefender und F-Secure in den Online-Scanner-Versionen checken lassen. Keiner hat etwas gefunden. Kann somit tatsächlich nur extern sein. Badoo und Zorpia kenne ich, da hatte ich mich vor etlichen Jahren mal mit einer Fake-E-Mail-Adresse angemeldet, danach ganz sicher nicht mehr. Übrigens hat der Panda Cloud-Scanner auf meinem Windows 10-System einen Blue-Screen erzeugt (3-mal versucht -> 3 mal blue).

Besonders interessant ist sind zwei E-Mail Adressen, die E-Mails mit diesem Link bekommen haben. Es sind nämlich zwei Adressen aus meiner Firma. Ich habe an diese beiden Adressen niemals eine E-Mail vom Outlook aus geschickt und auch keine erhalten. Diesen beiden Adressen habe ich ausschließlich über das T-Online E-Mail Center genau eine E-Mail geschickt (war damals ein Test wegen irgendeinem Problem). Und an Kettenbriefen oder ähnlichem nehme ich grundsätzlich nie teil.

Am wahrscheinlichsten halte ich, dass es bei T-Online ein Leck gab und sich irgendwelche Hacker bedient haben. Diese Informationen sind dann wohl auch an einen solchen Typen gelangt, der diese E-Mails verschickt. Oder bin ich hier auf dem Holzweg?

Nochmals vielen Dank für die ausführlichen Informationen und Hilfestellungen.


Viele Grüße vom
Freund der Blumen
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren to top
01.11.2015, 12:21 (Dieser Beitrag wurde zuletzt bearbeitet: 08.11.2015 15:13 von Long Drop.)
Beitrag: #9
Offline
RE: Scam? <anonymisiert@t-online.de>
@ FreundDerBlumen

Zuerst einmal vielen Dank für das Lob über unsere Tipps und dann freue ich mich natürlich auch, dass dein Rechner sauber ist und wir dir helfen konnten dieses sicher zu stellen.

FreundDerBlumen schrieb:Am wahrscheinlichsten halte ich, dass es bei T-Online ein Leck gab

Ja, das gab es!

Ich habe einige Artikel dazu gefunden und unten zitiert. Der Datenklau hat den Veröffentlichungen nach wohl vor Mitte August stattgefundenen.
Die gestohlenen Daten sind dann sicher an Spammer, Scammer und andere Internetkriminelle weiterverkauft worden.
Siehe dazu auch die beiden Themen, die ich im Beitrag #3 verlinkt habe. Möglicherweise befinden sich die in den Veröffentlichungen genannten Daten in diesen "Paketen" zu € 800,- oder € 10.000,-.
Über die Links die dann wie in den Nachrichten, die angeblich von dir kommen, wird dann Malware in die Rechner der Empfänger eingepflanzt um weitere Daten zu stehlen.
Da versucht man dann zu den Adressen sicher auch noch die passenden Namen, Adressen, Bankdaten, Telefonnummern und Soziale Netzwerke zu bekommen, wodurch dir "Datenpakete" noch wertvoller werden. Im schlimmsten Fall werden dann die Zugangsdaten zu Amazon, PayPal, Ebay etc. gestohlen und dann munter auf deine Kosten eingekauft. Derartige Angriffe auch bereits dokumentiert.


20. August 2015
http://www.focus.de/digital/internet/deu...90784.html
Zitat:Telekom warnt vor Spam Mails
Hacker knacken T-Online
20. August 2015 von Lena Aktuelles, IT-Sicherheit

Die Telekom wurde jetzt Opfer einer Hacker-Attacke: Die Bösewichte haben sich scheinbar Zugriff auf die E-Mail Konten zahlreicher Nutzer verschafft, die Adressbücher ausspioniert und versenden jetzt verseuchte Mails.

Die Hacker verschicken ihre Schadsoftware per E-Mail von den Konten der gehackten T-Online Nutzer. Die Mails selbst enthalten meist nur einen kurzen Text und natürlich den schädlichen Link. Klickt der Empfänger auf den Link, ist es schon passiert: Die Schadsoftware installiert sich selbst auf dem Rechner.
spam mails telekom
Die Telekom warnt ihre T-Online Kunden vor der E-Mail Spam-Welle
Telekom Spam: So lief der Hack

Die Hacker haben scheinbar nur die E-Mail Adressbücher der Telekom Kunden ausspioniert und dort Daten geklaut und sich nicht (wie oft bei solchen Cyberattacken üblich) auf dem Telekom Server eingenistet. Die verseuchten Spam Mails werden also nicht von den Telekom Servern selbst verschickt. Das macht es den T-Online Mitarbeitern momentan sehr schwer, die Verursacher zu finden und das Spam Problem nachhaltig zu beheben, weil sie keinen Einfluss auf den Versand der schadhaften Mails nehmen können. Und überhaupt hat die Telekom selbst derzeit noch gar keinen Überblick, wie viele E-Mail Konten tatsächlich Opfer der Hacking-Attacke geworden sind und wie die Hacker genau vorgegangen sind. Laut Angaben des Unternehmens seien auch noch andere E-Mail Anbieter von dem Hack betroffen – Namen wurden allerdings nicht genannt und bislang hat auch kein anderer Anbieter diese Aussage bestätigt. Die offizielle Stellungnahme zur T-Online Spam-Welle gibt es noch einmal zum Nachlesen auf der Telekom Website.
Schutz vor Telekom Spam-Mail

Auch wenn der Absender der Mail einer von euren Bekannten zu sein scheint, könnt ihr die verseuchten T-Online E-Mails relativ einfach erkennen. Der Betreff lautet nämlich meistens „Try it out“, „Have you already seen it“ oder „FW: Important“. Solltet ihr mit dem Absender nicht zufällig immer auf Englisch kommunizieren, könnt ihr also bei so einer Art Betreff sofort misstrauisch werden und die E-Mail am besten gleich löschen. Ein weiteres Indiz dafür, dass es sich bei der empfangenen Mail um ein Exemplar der Telekom Spam Welle handelt: Die persönliche Ansprache fehlt. Also gleich ab in den Papierkorb damit. Ansonsten gilt: Ändert sofort euer T-Online Passwort und setzt einen aktuellen Virenscanner ein. PC-SPEZIALIST berät euch gerne zu passenden Sicherheitslösungen und übernimmt die Installation der Anti-Virensoftware für PC oder Notebook. Sollte euer Rechner schon betroffen sein, helfen wir euch mit unserer professionellen Virenentfernung.


20.08.2015
http://www.chip.de/news/Telekom-warnt-vo...74236.html
Zitat:20.08.2015, 13:40

Telekom warnt vor gefährlichen Spam-Mails: T-Online-Kunden im Visier von Hackern

Eine Welle von gefährlichen E-Mails geht derzeit bei vielen T-Online-Kunden ein: Hacker haben sich vereinzelt Zugang zu den Mail-Adressbüchern der Nutzer verschafft und versenden nun gezielt verseuchte Nachrichten an deren Bekannte.

Der Trick: Die Mails kommen dabei nur scheinbar von Freunden - die Hacker fälschen die Absenderadresse, um ihre Opfer in Sicherheit zu wiegen. Die E-Mails enthalten einen Link, der allerdings zum Download einer Schadsoftware führt. Diese hackt sich in das Adressbuch des Betroffenen und versendet weitere Spam-Mails an dessen Kontakte. Der fiese Trick wird angeblich schon seit einigen Tagen genutzt.

T-Online-Kunden: Vorsicht vor Spam-Mails.
T-Online-Kunden: Vorsicht vor Spam-Mails.
T-Online: So erkennen Sie die Spam-Mails

Generell sollen die Mails auf Englisch geschrieben sein. Im Betreff sind harmlose Aussagen wie „Have you seen it“, zu finden. Nach der Anrede „Hey“ oder „Hello“ ist in jeder Nachricht auch der Link zur Schadsoftware zu finden.

Um sich vor der Malware zu schützen, empfiehlt die Deutsche Telekom, E-Mails die Ihnen verdächtig vorkommen, nicht zu öffnen. Falls Sie zu neugierig waren und den Link angeklickt haben, müssen Sie einen aktuellen Virenscanner einsetzen und Ihre Passwörter sowohl auf sämtlichen Endgeräten als auch im Mail-Account ändern.


Telekom-Server sind weiterhin sicher
In einer Stellungnahme bekräftigte der Konzern, dass der Mail-Service nicht gehackt wurde: Die Mails werden nicht über die T-Online-Server versendet, die Eindringlinge verbreiten die Nachrichten ausschließlich über gefälschte Adressen.
(jbi)

19.08.2015
http://www.focus.de/digital/internet/deu...90784.html
Zitat:Telekom warnt vor Hackerangriff
Achtung, T-Online-Nutzer: Diese Mails von Freunden sollten Sie unbedingt löschen



Die Deutsche Telekom warnt besonders T-Online-Nutzer vor einer gefährlichen Spam-Welle per E-Mail: Klicken die Nutzer auf den Link in der Nachricht, installiert sich eine Schadsoftware. Und die verschickt im Namen der Nutzer Mails an Kontakte aus dem Adressbuch. Vermutlich sind auch andere E-Mail-Anbieter betroffen. Das müssen Nutzer beachten.

Die Deutsche Telekom warnt T-Online-Nutzer vor einer neuen Spam-Welle per E-Mail: Die Mails hätten gefälschte Absender-Adressen und enthielten einen Link. Werde dieser Link angeklickt, könne der Account des Nutzers zum Versand weiterer Spam-Mails missbraucht werden.

Dazu hackt sich eine Schadsoftware in die Adressbücher der Nutzer und verschickt in seinem Namen Mails an seine Kontakte. Der Mailserver der Telekom sei nach bisherigen Erkenntnissen aber nicht gehackt worden, hieß es am Mittwoch von dem Unternehmen.
Daran erkennt man die Spam-Mails

Dem Unternehmen zufolge treten Spam-Mails dieser Art seit Mitte August auf. Daran kann man sie erkennen:

Die Mails sind auf Englisch verfasst.
Sie haben einen unverfänglichen Eintrag im Betreff.
Die Anrede lautet in der Regel "Hey" oder "Hello!".

Sie enthalten immer einen Link, bei dem nicht sofort ersichtlich ist, wohin er führt.
Mit Sätzen wie "Have you already seen it" ("Hast du das schon gesehen") im E-Mail-Text sollen die Empfänger animiert werden, auf den beigefügten Link zu klicken.

Nach Einschätzung der Deutschen Telekom sind "vermutlich sämtliche E-Mail-Anbieter" betroffen - also nicht nur Kunden mit einem Postfach bei t-online.de. Es sei auch nicht auszuschließen, dass über die Spam-Mails Schadsoftware auf die Rechner der Empfänger gelange.
Das sollten Nutzer beachten

Wer eine solche Mail bekommt, sollte sie am besten gar nicht erst öffnen, sondern sofort löschen. Dasselbe gilt, wenn E-Mail-Kontakte plötzlich Nachrichten mit kryptischen Betreffzeilen senden, zum Beispiel Zahlen- und Buchstabenfolgen, die keinen Sinn ergeben.

Wenn Sie bereits auf den Link geklickt haben oder nicht mehr genau wissen, ob Sie das getan haben, empfiehlt die Telekom Folgendes: Man sollte einen Virenscanner nach der Schadsoftware suchen und diese unschädlich machen lassen. Dies sei wichtig, da die Schadsoftware sonst Passwortänderungen nachverfolgen könnte. Anschließend sollten die Passwörter aller Endgeräte und des E-Mail-Accounts geändert werden, rät die Telekom.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren to top
02.11.2015, 18:09 (Dieser Beitrag wurde zuletzt bearbeitet: 08.11.2015 15:13 von Long Drop.)
Beitrag: #10
Offline
RE: Scam? <anonymisiert@t-online.de>
Ja, das scheint ein Volltreffer zu sein. Ich war wohl einer der Betroffenen.
Auf meinem Rechner selbst scheint absolut nichts passiert zu sein. Die hatten offenbar nur einmalig Zugang zu meinem Postfach auf einem der Telekom-Server. Ich habe mein E-Mail Passwort und mein Passwort für das E-Mail Center bei T-Online geändert; sicherheitshalber nicht von meinem PC (Keylogger!). Auch eBay, Amazon, PayPal, etc. habe ich geändert. Nur das Windows-Passwort habe ich auf meinem Rechner direkt geändert. Auffälligkeiten gab es keine bei Amazon & Co.
Seit gut einer Woche habe ich nichts mehr von Bekannten gehört, dass die weiterhin E-Mails bekommen würden.


Viele Grüße vom
Freund der Blumen

PS: Diese E-Mails mit 10.000 Euro für E-Mail Adresse hatte ich auch mal erhalten, aber noch gleich im Mailwasher gelöscht.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren to top
08.11.2015, 14:22 (Dieser Beitrag wurde zuletzt bearbeitet: 08.11.2015 15:15 von Long Drop.)
Beitrag: #11
Offline
RE: Scam? <anonymisiert@t-online.de>
Hallo,

es geht leider weiter...

Hier der Inhalt der letzten E-Mail:
Zitat:Hello!

New message, please read http://superhotthemes.com/trust.php

anonymisiert@t-online.de

Der Hyperlink sieht vollständig so aus:
http://superhotthemes.com/trust.php?01q

Hier der E-Mail Header:
Spoiler :
Return-Path: <anonymisiert@t-online.de>
Received: from mailin55.aul.t-online.de ([172.20.27.4])
by ehead609.aul.t-online.de (Dovecot) with LMTP id A7fNK0kJO1ZSgQAAuNeDEw;
Thu, 05 Nov 2015 08:46:17 +0100
Received: from servidoritw.as29550.net ([151.236.45.14]) by mailin55.aul.t-online.de
with (TLSv1.1:ECDHE-RSA-AES256-SHA encrypted)
esmtp id 1ZuFFN-0Z5w0G0; Thu, 5 Nov 2015 08:46:13 +0100
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
Received: from WIN-NPPN1JPV75J (118-170-123-243.dynamic.hinet.net [118.170.123.243])
by servidoritw.as29550.net (Postfix) with ESMTPSA id 0DD739A2DE2;
Thu, 5 Nov 2015 08:03:26 +0100 (CET)
From: <anonymisiert@t-online.de>
To: "anonymisiert" <anonymisiert@t-online.de>, "anonymisiert"
<anonymisiert@t-online.de>, "Tipp24.com"
<service-EMID0AA011O04B40I1BF50894GA00PBORU6@dialog.tipp24.com>, "anonymisiert" <mailrobot@xing.com>
Subject: *SPAM* Fw: new message
Date: Wed, 4 Nov 2015 23:46:06 -0800
Message-ID: <0000b50af8f1$a2866ff6$73e851b1$@t-online.de>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0001_663B108F.783192CF"
X-Mailer: Microsoft Outlook 15.0
Thread-Index: AdEe1hRP8Szxy07lar4/nyyAPlT5vw==
Content-Language: en-us
X-TOI-SPAM: y;1;2015-11-05T07:46:17Z
X-TOI-VIRUSSCAN: clean
X-TOI-EXPURGATEID: 149288::1446709573-00001447-7CE8DFE3/0-0/31973-17
X-TOI-SPAMCLASS: SPAM, NORMAL
X-TOI-MSGID: d1251097-edf5-4614-9c47-0e1ce444cc43
X-Seen: false
X-ENVELOPE-TO: <anonymisiert@t-online.de>
X-Antispam: clean, score=50
X-Antivirus: avast! (VPS 151107-0, 07.11.2015), Inbound message
X-Antivirus-Status: Clean
Was kann ich tun? An T-Online wenden? Die haben da ja wohl zumindest eine Mitschuld!


Viele Grüße vom
Freund der Blumen
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren to top
08.11.2015, 15:17
Beitrag: #12
Offline
RE: Scam? <anonymisiert@t-online.de>
Ich würde das als Spam makieren und fertig.

Bei t-online kannste melden was du willst, ist das gleiche als wenn in China ein Sack Reis umkippt.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren to top
08.11.2015, 15:37
Beitrag: #13
Offline
RE: Scam? <anonymisiert@t-online.de>
Hallo Thor,

die E-Mails, die ich selbst bekomme, kann ich als Spam markieren, klar. Aber es werden ja auch in meinem Namen dutzende E-Mails an Bekannte verschickt. Das finde ich nicht so pralle ... Hast Du den ganzen thread gelesen?
Würdest da das auch einfach ignorieren?
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren to top
08.11.2015, 16:30 (Dieser Beitrag wurde zuletzt bearbeitet: 08.11.2015 17:02 von Germane.)
Beitrag: #14
Offline
RE: Scam? <anonymisiert@t-online.de>
@ Freund der Blumen

(08.11.2015 14:22)FreundDerBlumen schrieb:  es geht leider weiter...
Was kann ich tun? An T-Online wenden? Die haben da ja wohl zumindest eine


(08.11.2015 15:17)Thor schrieb:  Ich würde das als Spam makieren und fertig.
Bei t-online kannste melden was du willst, ist das gleiche als wenn in China ein Sack Reis umkippt.

@ Thor - Als Spam markieren hilft ihm nicht weiter, da er die Nachrichten ja selber nicht erhält, sondern unter seinem Namen an andere gesendet werden. Das ist dann wirklich so, wie der Reissack in China, der umfällt.

I_r_o_n_i_e Da hilft nur auf allen Mailservern der Welt einen Spamfilter mit seiner T-Online Adresse einzurichten, um den Rest der Welt vor ihm zu schützen.

Ich habe leider kein T-Online Konto mehr und daher weiß ich nicht wie man dort Bedrohungen, Phishing, Spam etc. melden kann. Du solltest aber auf jeden Fall versuchen, das dort zu melden.

Da du deine Passworte geändert hast, ist es jetzt am wahrscheinlichsten, daß mit gefälschten Headerdaten, sprich gefälschten Absendern gearbeitet wird.
Da ist die T-Online dann auch machtlos. Das einzige was du dann noch machen kannst ist , den Account löschen, einen neuen anlegen und allen deinen Bekannten, Freunden etc. die neue Emailadresse mitteilen.
Und dann, besser auf Schutz deiner Daten achten!

Möglich ist natürlich auch, das dein Account schon wieder geknackt wurde. Also noch einmal die Passworte ändern und sehen was passiert. Sollte es eine Weile Ruhe geben und dann wieder von neuem losgehen, hast du wahrscheinlich selber ein Datenleck. Auf einem deiner Geräte, sitzt ein Trojaner und Keylogger. Am wahrscheinlichsten ist da ein Mobilgerät.
Was das bedeutet, weißt du sicher selber. Alles auf "NULL" zurücksetzten.

Um dies herauszufinden bleibt dir zunächst nichts anderes übrig, als regelmäßig die Passworte zu erneuern und zu schauen, ob die Phishing Attacken von deinem Account aus ebenfalls in zeitgleichen Intervallen beginnen und enden.

Außerdem, überlege einmal genau, von wo aus du überall auf deinen Account bei T-Online zugreifst. Vom Büro auf der Arbeit, Rechner von Freunden, öffentliche Zugänge zum Internet, Internetkaffee usw.. Überall dort könnten Sicherheitslücken sein, über die deine Accountdaten abgefangen werden.

Viel Glück mein Lieber!!!
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren to top
08.11.2015, 17:11 (Dieser Beitrag wurde zuletzt bearbeitet: 08.11.2015 18:21 von Germane.)
Beitrag: #15
Offline
RE: Scam? <anonymisiert@t-online.de>
@ Freund der Blumen

Du könntest dich auch noch einmal an Antispam e.V. wenden. Die sind mehr auf Spam spezialisiert als wir hier. Wir machen hauptsächlich Scam, also Betrug durch angebliche heiratswillige Damen aus Osteuropa und afrikanische Millionenerben die im Flüchtlingscamp gelandet sind.

http://www.antispam-ev.de/


oder auch hier
(Das wird denen allerdings ein paar Nummern zu unbedeutend sein.)

Bundesamt für Sicherheit in der Informationstechnik (BSI)
https://www.bsi.bund.de/DE/Home/home_node.html
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren to top
Antwort schreiben 


Gehe zu: