Guter Spam

[proluckerdeluxe]

Hi,
ich habe mal eine Frage.
In den letzten Monaten sind viele Spam Mails die mich so erreichen ziemlich gut geworden, geradezu gruselig gut (Keine Rechtschreibfehler, plausible Absenderadresse etc) nur wenn man sich die Verlinkung anschaut an der man sich dann Einloggen soll etc sieht man meistens, dass da was nicht stimmt.

Nun habe ich heute das erste mal eine Mail von "Paypal" bekommen wo mein kompletter Name mit Adresse, Handynummer etc erscheint, woher haben die das und wie kann ich dagegen vorgehen?

 

[bschicht86]

Es würde theoretisch schon ausreichen, wenn du mit Adresse und Telenummer irgendwelche Gewinnspiele mitgemacht hast. Diese gehen mit den Daten relativ lose um.
Für jemanden, der an solche Daten rankommt, wäre es kein Problem, gefälschte Service-Seiten aufzusetzten.

Ich hatte so eine PayPal-Seite auch schonmal, allerdings war nur die E-Mail-Adresse drin.

 

[TomatenKenny]

naja jeder wird verkauft, und dagegen kann man so gut wie nichts machen.

 

[Amon]

So eine hatte ich auch schon. Habe dann mal auf den Link geklickt und mal geguckt wo ich lande. Das war dann eine ziemlich gut gefälschte PayPal Seite. Konnte man nur daran sehen dass der Browser keine verschlüsselte Verbindung aufgebaut hat.

 

[proluckerdeluxe]

hm... das wäre ärgerlich, ich glaube ich habe bis jetzt nur einmal in meinem leben bei einem gewinnspiel im internet mitgemacht... ich versuche da schon drauf zu achten die dagen halbwegs persönlich zu lassen...
komischerweise stimmt meine adresse aber meine handynummer ist veraltet obwohl ich beides relativ zeitnah gewechselt habe...

 

[Dr Bakterius]

Schwarze Schafe die mal den Datensatz verhökern wird es immer geben. Vielleicht war es auch einfach nur ein Datenklau bei einer der letzten Aktionen und die haben halt versucht die restlichen Sachen so zu ermitteln, wer weiß es schon genau

 

[ΔΣΛ]

[...] Habe dann mal auf den Link geklickt und mal geguckt wo ich lande. Das war dann eine ziemlich gut gefälschte PayPal Seite. [...]

Dies sollte man aber tunlichst vermeiden, manchmal reicht es schon wenn du auf den Link klickst dass dein Rechner infiziert ist was du nicht bemerkst, und dein System korrumpiert, auch Virenscanner/Firewall (oder andere Schutzsoftware) bieten keinen 100%igen Schutz davor, sie können nur darauf reagieren was sie im stande sind zu erkennen, was bei vielen vor allem neuen Schädlingen manchmal recht lange dauern kann.

 

[Amon]

Dies sollte man aber tunlichst vermeiden, manchmal reicht es schon wenn du auf den Link klickst dass dein Rechner infiziert ist, auch Virenscanner/Firewall bieten keinen 100%igen Schutz davor, sie können nur darauf reagieren was sie im stande sind zu erkennen, was bei vielen vor allem neuen Schädlingen manchmal recht lange dauern kann.

Mach dir mal keine Gedanken, ich weiss was ich tue, ich kennen mich ziemlich gut aus mit der Materie. Aber natürlich hast du auch recht dass es bei sowas auch Gefahren gibt.

 

[Atothedrian]

Naja der Klick reicht ja oft schon aus das die netten Herren wissen das die Mail Adresse existiert und weiteren Dreck schicken.

naja jeder wird verkauft, und dagegen kann man so gut wie nichts machen.

Naja du kannst mehrere Aliasse für deine Mail z.B. bei Outlook.com erstellen und dann siehste genau wer deine Daten vertickt hat

 

[Kusanar]

Naja der Klick reicht ja oft schon aus das die netten Herren wissen das die Mail Adresse existiert und weiteren Dreck schicken.

Richtig. Daher ist es am besten, diesen ganzen Spam-Müll ungesehen zu löschen.

Übrigens reicht teilweise schon die Vorschau in Outlook / Thunderbird, um entsprechendes Feedback an den Spam-Versender zu schicken, wenn dabei die im Mail vorhandenen HTML-Elemente/-Links ausgewertet werden. Am besten auch gleich die Vorschau abdrehen... Die Betreffzeile reicht in 98% der Fälle, um richtige Mail von Spam unterscheiden zu können.

 

[Robonator]

Das passt hier grade rein und ich wollt mal nachfragen:
Ich bekomm in letzter Zeit recht häufig auch Spam-Emails von z.B. angeblichen Paypal die allerdings komplett ohne Absender kommen, oder im Absender steht meine eigene E-Mail Adresse.
Das sollte doch eigentlich heißen, dass irgendwer mein Passwort hat, auf meinen Account zugreift und mir quasi selbst diese Email sendet.
Allerdings bin ich da mittlerweile Skeptisch da ich meine Passwörter regelmäßig wechsel, teils nun auch schon verrückt lange und komplizierte benutze und das einfach dennoch auftaucht.
Ich bekomme bei web.de des öfteren auch die Meldung von wegen 3 fehlgeschlagene Einlogversuche seitdem letzen mal etc.
Viren/Keylogger etc kann ich eigentlich ausschließen, da ich mein System gerade erst neu aufgesetzt habe. Firewall, Antivirus und sowat sind natürlich aktuell und laufen auch. Mir ist es daher ein Rätsel wie das immer wieder passieren kann. Merkwürdigerweise auch nur bei dieser einen Email-Adresse die so oder so für eher unwichtiges Zeugs ist. Meine Spam-Adresse und meine Private sind unbetroffen.

Web.de hab ich natürlich auch mal angeschrieben, ob die mir weiterhelfen können, allerdings kam von denen nur zurück das es nur Logins von meinem Standort gibt und von nirgendswo sonst.


Jemand ne Idee?

 

[Jimini]

[...]

Du kannst mal einen Blick in den Header / die Kopfzeilen einer solchen E-Mail werfen. Da wird dann meistens schnell ersichtlich, woher die Mail wirklich kommt. Oftmals stammt die Mail nämlich nicht von der eigenen Adresse, sondern die eigene Adresse wird nur als Absendername gesetzt.

MfG Jimini

 

[Robonator]

Du kannst mal einen Blick in den Header / die Kopfzeilen einer solchen E-Mail werfen. Da wird dann meistens schnell ersichtlich, woher die Mail wirklich kommt. Oftmals stammt die Mail nämlich nicht von der eigenen Adresse, sondern die eigene Adresse wird nur als Absendername gesetzt.

MfG Jimini

Genau das tu ich ja, wie gesagt, dann steht dort entweder meine Mailadresse oder gar nichts.
Solche Mails wo sich dann eine anderen Adresse dahinter verbarg hatte ich natürlich auch schon.

 

[Jimini]

Genau das tu ich ja, wie gesagt, dann steht dort entweder meine Mailadresse oder gar nichts.
Solche Mails wo sich dann eine anderen Adresse dahinter verbarg hatte ich natürlich auch schon.

Im Header steht also an den fett markierten Stellen deine eigene Adresse? Dann wurde die irgendwie gespooft, was aber bei einem sicher konfigurierten Mailserver eigentlich nicht so einfach möglich sein sollte.

Return-Path: spam@spam.net
Delivered-To: deine@email.adresse
Received: from localhost (localhost [127.0.0.1])
by ********* (Postfix) with ESMTP id 5718D14135C
for <deine@email.adresse>; Wed, 4 Feb 2015 14:50:17 +0100 (CET)
X-Quarantine-ID: <Dn421ejlsRXa>
X-Virus-Scanned: Filtered at *******
X-Spam-Flag: YES
X-Spam-Score: 13.444
X-Spam-Level: *************
X-Spam-Status: Yes, score=13.444 tagged_above=2 required=6.31
tests=[DATE_IN_FUTURE_48_96=0.813, DOS_BODY_HIGH_NO_MID=1,
HTML_MESSAGE=0.001, HTML_MIME_NO_HTML_TAG=0.635, MIME_HTML_ONLY=1.105,
MISSING_MID=0.14, RCVD_IN_BRBL_LASTEXT=1.644, RCVD_IN_XBL=0.724,
RDNS_NONE=1.274, URIBL_BLOCKED=0.001, URIBL_DBL_SPAM=2.5,
URIBL_JP_SURBL=1.948, URIBL_WS_SURBL=1.659] autolearn=disabled
Received: from ****** ([127.0.0.1])
by localhost (****** [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id Dn421ejlsRXa for <deine@email.adresse>;
Wed, 4 Feb 2015 14:50:16 +0100 (CET)
Received: from spam.server.net (unknown [193.194.106.1])
by ******* (Postfix) with ESMTP id E0D7C1407B4
for <deine@email.adresse>; Wed, 4 Feb 2015 14:50:15 +0100 (CET)
From: Lauretta <spam@spam.net>
To: <deine@email.adresse>
Subject: ***SPAM*** Lauretta V. uploaded her INTIMATE PHOTOS
Date: Sat, 7 Feb 2015 14:51:08 +0200
MIME-Version: 1.0
Content-Type: text/html; charset="US-ASCII"
Content-Transfer-Encoding: quoted-printable

MfG Jimini

 

[Robonator]

So isses. Die Dinger landen ja auch immer im "Freunde & Bekannte" Ordner.
Werd mir die nächste Mail zur genaueren Untersuchung mal aufbewahren.

 

[Deep Thought]

In die "From:"-Zeile kann jeder eintragen was er will. Meinetwegen "Papst@Freudenhaus.va".
Interessant sind die "Received:"-Zeilen. Hier steht, wo (von welcher IP) die Mail wirklich her kam.

Woher die Spammer die Mailadressen und Namen her haben, bleibt natürlich trotzdem im dunkeln.

Der "Return-Path:" ist irrelevant. Damit verhindert ein Mailserver nur Endloschleifen bei Problemen mit der Zustellung.

 

[Kusanar]

In die "From:"-Zeile kann jeder eintragen was er will. Meinetwegen "Papst@Freudenhaus.va".
Interessant sind die "Received:"-Zeilen. Hier steht, wo (von welcher IP) die Mail wirklich her kam.

So isses. Und da steht mit ziemlicher Sicherheit NICHT deine Email / IP oder die IP deines Mailproviders. Wenn doch, dann solltest du schleunigst deine Mailkennwörter ändern.

 

[Jimini]

In die "From:"-Zeile kann jeder eintragen was er will. Meinetwegen "Papst@Freudenhaus.va".
Interessant sind die "Received:"-Zeilen. Hier steht, wo (von welcher IP) die Mail wirklich her kam.

Möglicherweise irre ich mich gerade, aber wenn jemand eine Mail verschickt, bei der als Absenderadresse meine eigene Adresse (bspw. jimini@jimini.net) eingetragen ist, dann sollte ein korrekt kofigurierter Mailserver diese Mail nur annehmen, wenn sie auch aus der Domain stammt, welche in der E-Mail-Adresse steht (jimini.net).
Zusätzlich hat ein Mailserver zu prüfen, ob der Sender auch korrekt angemeldet ist (sonst hat man ein offenes Relay, welches Mails von überallher annimmt und versendet).

Man muss dann also prüfen, ob a) wirklich die eigene Adresse verwendet wurde (und zwar hinter dem Namen des Absenders, welcher in der Tat nichts aussagt) und woher die Mail genau stammt.

MfG Jimini

 

[Kusanar]

Möglicherweise irre ich mich gerade, aber wenn jemand eine Mail verschickt, bei der als Absenderadresse meine eigene Adresse (bspw. jimini@jimini.net) eingetragen ist, dann sollte ein korrekt kofigurierter Mailserver diese Mail nur annehmen, wenn sie auch aus der Domain stammt, welche in der E-Mail-Adresse steht (jimini.net).
Zusätzlich hat ein Mailserver zu prüfen, ob der Sender auch korrekt angemeldet ist (sonst hat man ein offenes Relay, welches Mails von überallher annimmt und versendet).

Tatsächlich gibt es nach wie vor massenhaft Mailserver im Netz, die genau das beides NICHT machen (oder mindestens eines davon nicht).
Oder du hast deinen eigenen Mailserver aufgesetzt, dann hast du sowieso "freie Schußbahn".

 

[Jimini]

Ja klar, das steht außer Frage, dass unzählige Systeme Spam versenden und / oder als offene Relays munter alles weiterreichen. Aber ich vermute mal, dass der Threadersteller nicht auf einem solchen einen Account hat - und wenn doch, dann würde ich schleunigst meine Daten umziehen

MfG Jimini