Ominöse E-Mail

drambeldier · 8. November 2021 um 11:19

Liebe ExpertInnen,

in meinem Briefkasten ist eine Mail, die ich mir angeblich selbst geschickt habe:

Nun bin ich zwar alt, aber doch nicht so alt, dass ich das vergessen hätte. RAW-Text kann ich nicht deuten, vielleicht findet sich ein Kundiger:

Date: Tue, 19 Oct 2021 10:51:41 +0000 (UTC)
From: [email protected]
Reply-To: [email protected]
Message-ID: [email protected]
Subject: Ab 0 Euro: ADAC Kreditkarte.
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_Part_6461677_1771859190.1634640701726"
Content-Length: 903

------=_Part_6461677_1771859190.1634640701726
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 7bit

------=_Part_6461677_1771859190.1634640701726
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: 7bit

------=_Part_6461677_1771859190.1634640701726–

Hier auch noch der Link, der sich hinter dem Kästchen verbirgt (https geändert in httpx):

httpx://ad3.adfarm1.adition.com/redi?sid=4504679&kid=4646475&bid=14367855&gdpr=1&gdpr_consent=CO4Rx7UO4Rx7UAOACBDEBACoAP_AAH_AACiQGVtd_X9fb2tj-_599_t0eY1f9_63t2wzjgeNs-8NyZ_X_J4Xv2MyvA34pqYKmR4kunbBAQFtHGncTQgBwIlVqTLsYk2MjzNKJ7JEilsbe2dYGHtPn8VT-ZCZr06s___7v3______7oGUEEmGpfAQJCWMBJNmlUKIEIVxIVAGACihGFo0sNCRwU7I4CPUACAAAYgIQIgQYgohZBAAAAAElEQAgAwIBEARAIAAQAjQEIACJAEFgBIGAQACoGhYARRBCBIQYHBUcogQFSLRQTzAAA

Wer weiß was?
Dank & Gruß
Ralf

steve_m · 8. November 2021 um 11:26

Hallo,

die Absender-Adresse kann man beliebig setzen, denn das Protokoll darunter sieht erstmal keine Verifizierung vor.

Daher bringt es auch nichts, Spam-Absender zu blockieren, da diese den Absender beim nächsten Mal ohnehin anders setzen.

Gruß,
Steve

Wiz · 8. November 2021 um 11:28

Nicht mehr und nicht weniger als eine von 1001 Spam-Mails mit angeblich dem eigenen Konto als Absender (den man so schlecht als Spammer sperren kann, wenn man sich gelegentlich hierüber tatsächlich mal z.B. zur Erinnerung etwas schicken will).

Und natürlich steckt hinter dem Formular dann jemand, der auf diesem Wege Dir nicht wirklich die ADAC-Kreditkarte zukommen lassen will, sondern jemand der die Seiten des Beantragungsprozesses vermutlich nachgebaut hat, um hierüber deine persönlichen Daten inkl. Bankverbindung abzugreifen und im schlechtesten Fall auch noch Schadsoftware auf deinen Rechner bringt.

Helmut_Taunus · 8. November 2021 um 13:19

Hallo,
auf jeden Fall diese ominoese Mail erst mal oeffnen und alle Daten dort eingeben die sie von Dir wollen.
Anschliessend auf einem anderen Rechner hier nachfragen, wie man seinen PC wieder auf Normalbetrieb setzen kann, wenn man Spam Mails nicht gleich geloescht hat.
Achtung, kann Satire enthalten.

X_Strom · 8. November 2021 um 14:16

Ja. Der ADAC mit einem Kreditkartenangebot.

Einfach mal den Link ein bisschen ändern, damit das Tracking ins Leere läuft und testen.

anon2160089 · 8. November 2021 um 15:14

Ganz blöde Idee. Noch nie davon gehört, dass allein der Aufruf einer präparierten Seite zur Installation einer Schadsoftware führen kann?

X_Strom · 8. November 2021 um 16:02

Gehört schon. Wie groß ist die Wahrscheinlichkeit eines Drive-by-downloads bei aktuellen Firefox, aktivem No-Script, uBlock origin - vor allem aber, wenn man die Seite eines bekannten Anbieters (Adtech Solutions = adition.com) aufruft?

Im Internet bin ich seit 1996. Schadsoftware hatte ich noch nie. (Wobei, ich hatte mal Avast. Das war ziemlich hartnäckig bei der Deinstallation und würde ich daher schon irgendwie als Schadsoftware bezeichnen.)

Wiz · 8. November 2021 um 16:09

Niemand ist sicher davor, dass ihm Dinge untergeschoben werden, die so neu sind, dass eigene Schutzsoftware nicht anspringt. Gerade heute las ich mal wieder über die „bösen“ größten Verteiler von Schadsoftware. Das sind durchaus namhafte Unternehmen, die ganz sicher nicht selbst so etwas vertreiben. Die bieten aber Hosting- und sonstige Clouddienste an, die von bösen Buben trotz durchaus vorhandener Sicherheitsmaßnahmen und Engagement entsprechend erfolgreich missbraucht werden.

Insoweit lasse ich die Finger von solchen Experimenten, wie dem Nachverfolgen von Links aus SPAM-Mails, wenn ich nicht gerade hohes Interesse an einer bestimmten Geschichte habe. Dafür setze ich mir dann aber einen Raspi in der DMZ auf, den ich hinterher wieder platt mache, wenn ich auch nur den Hauch eines Verdachts eines Missbrauchs habe.

drambeldier · 8. November 2021 um 16:30

Servus, X_Strom,

vor allem aber, wenn man die Seite eines bekannten Anbieters (Adtech Solutions = adition.com) aufruft

den kennst Du. Und wer sagt mir, dass die Angabe [href="https://ad3.adfarm1.adition.com/redi?.…] nicht ebenso gefälscht ist?

Ist mir aber eher wurscht, ich würde nicht draufklicken, und mit.

Link ein bisschen ändern, damit das Tracking ins Leere läuft

wäre ich überfordert.

Worauf meine Frage abzielte: Lässt sich an dem RAW erkennen, wer mir das Zeug schickt?

Gruß
Ralf

anon2160089 · 9. November 2021 um 08:21

Und das hat der Fragesteller? Und ausreichend Wissen obendrein?

Btw., warum gibt es eigentlich dauernd diese Sicherheitsupdates? Auch beim Firefox?

Und: wie kommt es eigentlich, dass Saturn/Mediamarkt grad seiner Daten verlustig gegangen ist, wenn doch alles so ungefährlich ist?

anon2160089 · 9. November 2021 um 08:30

Das weiß immer nur die Presse. Und der BSI. Und die Amis.
Es waren immer russische Hacker.

Das ist natürlich kompletter Nonsense. Einen russischen Server kann auch ich jederzeit mieten. Anonym. Und schon hast du einen russischen Hackerangriff. Oder, noch einfacher, ich habe nur angeblich den Angriff zurück verfolgt. Behauptung reicht doch und ist viel einfacher. Und weil das alle sagen, muss es ja stimmen.

In der Realität: ein Hacker muss schon ziemlich bescheuert sein, um sich anhand seiner Mail erkennen zu lassen. Ja, auch das gibt es, aber das ist schon eine richtig große Ausnahme. Letztens in der c’t war ein entsprechender Bericht. Der Normalfall heute ist, dass der Hacker nicht mal die Mails selber versendet, sondern von einem Dienstleister versenden lässt. Und der kennt sich damit aus, da kannst du ganz sicher sein.

Und hinzu kommt: in D hat es unsere völlig ahnungslose Regierung so derart verkackt, dass sie sogar das Hacken eigener Server als Sicherheitsprüfung verboten haben. Allein schon der Besitz von Hackertools ist strafbar. Und dann wundert man sich, dass alle wehrlos sind…

X_Strom · 9. November 2021 um 16:53

Ja ja. Alle tot.

Du klickst täglich auf hunderte Links, denen du vertraust. Du vertraust wer-weiss-was.de, aber adition.com nicht. Warum? Letztere dürften vermutlich professioneller geschützte Systeme haben.

Wenn die E-Mail nicht deutlich als „Werbung“ erkennbar gewesen wäre, sondern unter „Letzte Mahnung“ oder „Ihr Anschluss wird gekündigt“ eingetroffen wäre, würde ich sehr viel vorsichtiger sein.
Niemand macht sich die Mühe, zuerst die Seiten von adition.com zu manipulieren, um dann E-Mails zu verfassen, deren Aufmachung bei 99,9% der Empfänger zu „Die Werbung lösche ich“ führt.

Zurück zur Frage:
Vielleicht könnte man sich mal den Quelltext der Mail anschauen.

Bonustext:
Gerade trudelt eine „kritische Sicherheitswarnung“ von Google ein. Eins meiner im Google Konto gespeicherten Passwörter sei durch eine Datenpanne preisgegeben worden.
WTF? Ich speichere keine Passwörter bei Google.
Nachgeguckt: Betroffen ist mein Konto bei reichelt.de. (Habe ich, ja.) Der gespeicherte Account lautet:
Nutzername: „Benutzername“
Passwort: „Kennwort“

anon2160089 · 9. November 2021 um 21:34

Sicher. Ohne Erkenntnisgewinn natürlich, aber selbstverständlich machbar.

Aber warum genau sollte man das tun? Und vor allem: warum sollte das der Laie tun, der nicht mal erkannt hat, um was es sich handelt?

Überall wird gepredigt, unerwartete Mails einfach zu löschen und auf gar keinen Fall auf irgendwelche Links zu klicken. Und nun kommst du mit diesem seltsamen Vorschlag. Tolle Wurst.