gefälschter Absender oder geknackter Account?

j_tilde · 14. November 2019 um 10:07

Moin,

gestern bekam ich eine eMail mit dem yahoo-Absender eines Bekannten welche offensichtlich nicht von ihm ist. Weitere ihm bekannte Empfänger die es tatsächlich gibt, waren auch korrekt angegeben ( Vorname Nachname ).
Ich habe mir den Header angesehen, werde aber nicht schlau draus. Es gibt da ein passendes „From“ und eine „merkwürdige“ Message-ID:
Message-ID:
From: „bekannter“

uhlinmed.a.se gehört zu keinem von uns beiden.

Zuerst dachte ich, die Absenderangabe wäre einfach gefälscht, aber was ist mit den weiteren eMail-Adressen? Es wird ausschließlich Webmail gemacht, kann man dann ein Problem mit dem heimischen PC ausschließen? Oder gibt es Schadsoftware, die beim einloggen per Browser auf yahoo.com das dortige Adressbuch weiterleiten kann?
Ist ein geknackter yahoo-Account wahrscheinlicher? Die „weiteren Empfänger“ haben sich eher nicht im gegenseitigen Adressbuch.

Muss man handeln und wenn ja wie? Das yahoo-Passwort ist geändert, fällt der Rest unter „Spam->löschen->ignorieren“?

Vielen Dank für einen Rat,
J~

herrmann_59614f · 14. November 2019 um 10:08

Ad hoc: Welche IP-Adresse in den Headerzeilen ist die oberste unterhalb der IP-Adresse des Servers deines Providers? Lässt diese Adresse sich per whois eindeutig Yahoo zuordnen?

Ja? Dann geknackter Account.

Nein? Dann gefälschter Absender.

HTH

j_tilde · 14. November 2019 um 10:08

Moin und danke erst mal,

Ad hoc: Welche IP-Adresse in den Headerzeilen ist die oberste
unterhalb der IP-Adresse des Servers deines Providers? Lässt
diese Adresse sich per whois eindeutig Yahoo zuordnen?

Es gibt insgesamt vier

Received: from servername ([IP]),

die obersten beiden sind von meinen beiden Providern (wg Weiterleitung). Die dann folgende lautet:

Received: from amail3.space2u.com ([194.237.215.173])

wobei IP und Name zusammenpassen (scheint ein Schwedischer Provider zu sein)
Dann gibts noch eine vierte Zeile:

Received: from uhlinmedia.se ([217.64.16.199])

217.64.16.199 führt bei http://whois.domaintools.com aber nach Aserbaidschan, nicht nach uhlinmedia.se ist also falsch angegeben.
Ist 217.64.16.199 dann der tatsächliche Absender oder kann das auch schon falsch sein?

OK, yahoo taucht in den Received: from gar nicht auf, also:

Nein? Dann gefälschter Absender.

Aber irgendeine Idee, woher dann die weiteren korrekten Adressen kommen? Das muss ein geklautes Adressbuch sein, die Namen passen zu den eMail-Adressen, die sind auch nicht „durchprobiert“. Ich werde noch mal nachfragen, ob das nicht doch das Adressbuch eines der gemeinsamen Bekannten sein könnte. Bisher spricht eher was dagegen: die Empfänger kennen sich glaub gar nicht alle.

VG und danke nochmal!
J~

herrmann_59614f · 14. November 2019 um 10:08

Aber irgendeine Idee, woher dann die weiteren korrekten
Adressen kommen?

Moment, da war doch was… Ja genau: http://www.heise.de/security/meldung/Spam-Welle-roll…

Gruß

j_tilde · 14. November 2019 um 10:09

Aber irgendeine Idee, woher dann die weiteren korrekten
Adressen kommen?

Moment, da war doch was… Ja genau:
http://www.heise.de/security/meldung/Spam-Welle-roll…

Ach, das ist ja interessant (ich sollte wieder regelmäßiger den heise-ticker lesen) und erklärt einiges. Besonders schön finde ich „Wie die Täter an die Kontaktdaten gekommen sind, ist derzeit noch unklar.“ Na super yahoo…

Ich danke dir!
J~