Unfug mit teilweise gestohlener virtueller Identität

B

bluez

0
Hi,

heute nacht sind E-Mails, auf den ersten Blick, vom E-Mail-Konto meiner Schwester an ihre Kontakte (u.A. an mich, aber auch an Kontakte auf ihrer Arbeit) rausgegangen. Tatsächlich kamen die Mails aber von einem Konto, dass bei demselben Mail-Anbieter erstellt wurde, bei dem ein gleichlautender Name verwendet wurde, der allerdings auf .com, nicht auf .de endet.
Zwei Mails wurden sicher gesendet an jeweils unterschiedliche Kontakte, mit demselben Header (bis auf die Uhrzeit)

Auszug aus Header hat gesagt.:
Return-Path: aaaaaa@yahoo.com
Received: from server.nylofthostel.com ([198.100.46.60]) by mx-ha.gmx.net (mxgmx011) with ESMTPS (Nemesis) id 0Lxtfo-1Wnemc1MF2-015MI1 for <bbbbbb@gmx.net>; Sun, 01 Jun 2014 01:01:30 +0200
Received: from [188.240.70.31] (port=64898 helo=nylofthostel.com) by server.nylofthostel.com with esmtpa (Exim 4.80.1) (envelope-from <aaaaaa@yahoo.com>) id 1WqsHG-0002Zz-7h; Sun, 01 Jun 2014 03:01:26 +0400
Message-ID: <E95D336BC4E02B5AA31818AE5846EC13@nylofthostel.com>
Zum Vergrößern anklicken....

Die Mails enthalten jeweils nur diese beiden Links, die ich nicht angeklickt habe:
http://windpowerservices.nl/mtwfbtec/zxauuoejxd.qpsfoybibqqalvffpgvoonhqmu
und http://www.silkwaymedia.com/tehrjkeh/ktnhjpdwfkgtghqi.fhtstrwsiwaqjiyvfrcwwnpjwloofz

Sicherheitshalber habe ich ihr E-Mail-Passwort geändert. Kundendienst von Yahoo ist informiert, die Empfänger werden auch informiert.

Letzter Login auf den Account war am 12.Mai. Dummerweise loggt sie sich regelmäßig über ihr iPhone in das Konto ein. Diese Logins werden von Yahoo nicht mitgeloggt.

Was kann ich noch tun? Wie finde ich die schwache Stelle von der das alles rausgesickert ist? Wie kriege ich das jetzt alles wieder unter Kontrolle? Leider verteilt sie ihre E-Mail-Adresse, trotz meiner unermüdlichen Appelle, sehr großzügig und leichtsinnig und hatte bis zu meiner Änderung ein lächerlich einfaches E-Mail-Passwort.
 
Der E-Mailaccount selbst scheint ja nicht betroffen zu sein, sonst wäre wohl
dieser auch zum senden genutzt worden.
Ich würde mich erstmal auf App's konzentrieren, die nicht aus dem Appstore von
Apple stammen und Zugang zu den Kontakten fordern. Hier können selbstverständlich
auch andere Geräte mit einer synchronisierten Kontaktliste betroffen sein oder gar
ihr Applekonto falls sie dort ein ähnlich starkes Passwort wie bei der Mailadresse
verwendet hat.
Als Letztes bleibt dann noch das jemand physischen Zugriff hatte, um die Kontakte
zu kopieren.

Ich würde auf jedenfall den Kontakten empfehlen die .com in den Spamfilter zu schicken
und meine E-Mailadresse ändern und wenn eine Suche erfolglos bleibt die Geräte
neu aufsetzen.

Gruss
 
Alle Leute in ihrem Addressbuch sind bereits informiert und wurden gebeten die .com zu blacklisten. Ich hab auch nochmal reingeschrieben, dass auch Mails von der .de mit äußerster Vorsicht betrachtet werden sollen und auf keinen Fall Anhänge oder Links geöffnet werden sollen.
Erfreulicherweise hat zumindest GMX es bei mir direkt in den Spamordner gefiltert.

Die Addresse wird in allernächster Zukunft auch geändert und, wie ich es schon lange verlange, aufgesplittet in Einzeladdressen für geschäftliches, privates und spam. Wenigstens sieht sie jetzt, warum ich ihr ständig in den Ohren gelegen habe damit.

Ich muss trotzdem rausfinden, wo die Kontaktdaten geleakt wurden. Kann ja auch etwas so profanes sein, wie Daten aus einem alten heartbleed Leck, wogegen man eh praktisch machtlos ist.

Apple Konto werde ich überprüfen. Nach Apps frage ich auch. Leider kenne ich mich da überhaupt nicht aus. Ihre Rechner habe ich zwar halbwegs unter Kontrolle und wenigstens einen groben Überblick über ihre Aktivitäten, aber als Smartphone-Hasser habe ich gleich zu Beginn rundheraus abgelehnt mich um ihr iPhone zu kümmern. Vielleicht ein Fehler.

Ein interessantes Detail ist auch, dass sie ihre eigene E-Mail-Addresse als Kontakt im Addressbuch hatte. Entsprechend ist auch dieser Spam an ihre eigene Addresse verschickt worden. Also ebenfalls eine Mail von foo@yahoo.com an bar@yahoo.de. Aber diese Mail taucht weder im Eingang, noch im Spamordner, noch in ihrem Papierkorb auf. Da ich nicht davon ausgehe, dass Yahoo Mails von anderen Yahoonutzern filtert, muss diese Mail also gelöscht worden sein.
Zumindest laut den unvollständigen Logs die Yahoo anbietet hat sich seit dem 12.Mai niemand dort eingeloggt. Ich war seitdem der Erste der drin war. Aber wie gesagt, werden die Zugriffe vom iPhone nicht mitgeschrieben.
 
Meines Wissens gibt es beim IPhone einen Menuepunkt Datenschutz, indem
Berechtigungen von App's bearbeitet und damit auch kontrolliert werden können.
Aber wie gesagt gibt es viele Möglichkeiten an eine Kontaktliste zu kommen.
Inzwischen bietet ja auch jeder Webdienst dir an deine Kontakte online zu
"sichern" und zu synchronisieren und ob Google, Android, Kalender, Microsoft,
Whatsapp, Facebook........
Hier das Leck zu finden, wenn der Angriff nicht regelmäßig stattfindet,
vorallem wenn eine Neigung zu schwachen Passwörtern besteht, dürfte
schwer bis unmöglich sein ohne intensive forensische Untersuchung sein.


Gruss
 
Hi,

meine Freundin hatte heute genau das selbe Problem. Komplette gleiche E-Mail Adresse und Name nur .de und .com verändert. Es ging nicht an alle Kontakte im Adressbuch und es ging wohl nicht über die Webmail sache bei Yahoo.


Meine Freundin verwendet einen Androiden und dort taucht nirgendswo die E-Mail adresse auf von Yahoo, die ist komplett entkoppelt vom Smartphone. Einzig ein oder 2 mal in den letzten 6 Monaten über den Browser eingeloggt per Handy.

Was auffallend war, die Kontakte an dem die Mail ging waren alles alte Schulkamerada im selben Jahrgang obwohl im Adressbuch wesentlich mehr leute drinne stehen. Vermutung daher meinerseits irgendein "Klassentreff Portal" oder ähnlich.

Die richtige E-Mail adresse war bei ebay.de registiert, der Account ist aber schonlage gelöscht.

Schickt man an die falsche, also .com eine Mail hin bekommt man sie unverzüglich zurück.

Den Header der Datei kann ich dann gleich Anfügen, wenn interesse besteht.

Wie hast du Yahoo Informiert?

//Update:

Gerade nochmal geschaut, bei meiner Freundin ist ihre richtige Yahoo Adresse im Telefonbuch gespeichert, aber das sie es selbständig eingetragen hat bezweifelt sie, also wenn dann nicht aktiv.

Vielleicht ist das mit der App gar kein schlechter Ansatz und in der Spamzentrale geht was mit den Endungen schief. Aber an den leuten an dem die E-Mail rausgegangen ist, stehen 100% nicht im Telefonbuch drinne.
 
Zuletzt bearbeitet:
In diesem Fall meine ich nicht die Kontakte im Telefonbuch, sondern die Kontakte im Addressbuch im Yahoo-Webmailer.

Diese Kontakte hatten größtenteils untereinander überhaupt keine Beziehungen. Es gingen zudem auch Mails an Addressen raus, die nicht im Addressbuch stehen, insbesondere an diverse noreply-Addressen.

Meine Schwester hat dabei, so hat sie es mir zumindest dargestellt, täglich die Mails über die Yahoo-App aus dem app-store gecheckt. Zum seltenen Verschicken hat sie dann aber den Laptop benutzt. Zuletzt hat sie sich am 12.Mai vom Laptop eingeloggt, am 8.Mai zuletzt eine Mail verschickt.

Die Liste der Apps die sie mir telefonisch durchgegeben hat, scheinen mir übrigens überhaupt nicht auffällig und sie stammen wohl alle aus dem App-Store.

Der Header deiner Mail, chakky, wäre in sofern interessant, als das man es mit dem Header vergleichen könnte, den ich gepostet habe.

Yahoo habe ich über ein gut verstecktes Kontaktformular kontaktiert und um Aufklärung und Sperrung des vandalierenden Nutzers gebeten. Da nirgends eine direkte Addresse stand und alle starren Themenvorgaben nicht so ganz passten, habe ich mich für den Punkt "Missbrauch und Spam : Jemand sendet Mails von meiner Adresse" entschieden.

Ich würde tendenziell eh eher vermuten, dass es weder am Rechner noch am Smartphone liegt, sondern daran, dass diese vorher gesammelten Daten irgendwem verkauft wurden und der nun heute davon gebraucht hat. Automatisierter Spam. Sogar ziemlich schlecht automatisert, wenn er selbst an noreplys schreibt.
 
Hier der Header
Received: from mail-in-15.arcor-online.net (mail-in-15.arcor-online.net [151.189.21.55])
by mail-in-03-z2.arcor-online.net (Postfix) with ESMTP id 22014562BEB;
Sun, 1 Jun 2014 04:18:47 +0200 (CEST)
Received: from host.professionalvitaminsource.net (host.professionalvitaminsource.net [207.7.86.6])
by mx.arcor.de (Postfix) with ESMTPS id CD7A51AB52F;
Sun, 1 Jun 2014 04:18:46 +0200 (CEST)
Received: from [46.8.42.83] (port=63596 helo=cutthefatpodcast.com)
by host.professionalvitaminsource.net with esmtpa (Exim 4.82)
(envelope-from <aaaaaaa@yahoo.com>)
id 1Wquf5-0008RE-PH; Sat, 31 May 2014 21:34:12 -0400
Message-ID: <51915980.94837.1401616237664.JavaMail.ngmail@webmail11.arcor-online.net>

From: "XXX" <aaaaaaa@yahoo.com>
To: <VIELE ANDERE>
Subject: XXX
Date: Sat, 1 Jun 2014 02:34:08 +0000
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_34E5_66EFC181.473E9E8E"
X-Priority: 3
X-MSMail-Priority: Normal
Importance: Normal
X-Mailer: Microsoft Windows Live Mail 16.4.3522.110
X-MIMEOLE: Produced By Microsoft MimeOLE V16.4.3522.110
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - host.professionalvitaminsource.net
X-AntiAbuse: Original Domain - arcor.de
X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]
X-AntiAbuse: Sender Address Domain - yahoo.com
X-Get-Message-Sender-Via: host.professionalvitaminsource.net: authenticated_id: info@cutthefatpodcast.com
X-Arcor-Antispam: SUSPICIOUS_DATE_FUTURE SPF_NEUTRAL
X-ArcorSpamBlocker: Spamcount: 5 Sensitivity: 10

This is a multi-part message in MIME format.

------=_NextPart_000_34E5_66EFC181.473E9E8E
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Meine Mutter verdient Geld
------=_NextPart_000_34E5_66EFC181.473E9E8E
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

=EF=BB=BF<HTML><HEAD><META http-equiv=3D"content-type" content: text/html;=
charset=
=3DUTF-8></HEAD><BODY>Meine Mutter verdient Geld
bdzqu.atzguoy</BODY></HTML>

------=_NextPart_000_34E5_66EFC181.473E9E8E--

Die Mails scheinen aber von einigen User garnicht empfangen wurden sein. Weil nicht jeder Beklagt der in der Adressleiste stand, die Mail bekommen zu haben.


//Update 02.06

Heute Nacht wurden wieder E-Mails verschickt, diesmal an einen anderen Teil des Adressbuches, wieder mit halbfalschen Absender. Bei dir auch?
 
Zuletzt bearbeitet:
Was kann ich noch tun? Wie finde ich die schwache Stelle von der das alles rausgesickert ist? Wie kriege ich das jetzt alles wieder unter Kontrolle? Leider verteilt sie ihre E-Mail-Adresse, trotz meiner unermüdlichen Appelle, sehr großzügig und leichtsinnig und hatte bis zu meiner Änderung ein lächerlich einfaches E-Mail-Passwort.
Zum Vergrößern anklicken....

Also rein (prozess)technisch ist alles in Ordnung.

Gegen so was kannst Du rein gar nichts machen. Wenn, dann muss Aktion beim Empfänger erfolgen.
 
Jo, heut Nacht wieder. Äußerst unangenehm und peinlich. Man kann nur hoffen, dass die gewarnten Empfänger die Warnung auch beherzigen.
 
Ich hab heute mal Testweise in das Adressbuch eine andere E-Mail adresse eingetragen um zu checken ob aktuell Logindaten abgegriffen werden und Adressbücher oder es irgendwo aus einen alten bestand sind.

Hast du eine Reaktion von Yahoo bekommen?
 
Yahoo hat geantwortet, dass sie nichts tun können und mir eine Liste mit Zeugs geschickt, das ich ausprobieren soll. Habs vorhin nur mal kurz überflogen.
Aber eine interessante Information war dabei: Offenbar reserviert yahoo den gesamten foobar@yahoo.* Raum. die .de Addressen sind also ebenfalls im Besitz des Accountbesitzers, wie auch die .coms.
Die Mails kommen also nicht von Yahoo-Accounts.
 
wenn du aber eine Mail an eine @yahoo.com schickst, kommt sie als unzustellbar zurück...

Hier mal der Header

From - Mon Jun 02 20:16:22 2014
X-Account-Key: account1
X-UIDL: 0MhSL0-1XCgZy1ETS-00MeQl
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: aaaaaaa@yahoo.com
Received: from ns72.small-dns.com ([14.102.148.41]) by mx-ha.web.de (mxweb104)
with ESMTPS (Nemesis) id 0MhSL0-1XCgZy1ETS-00MeQl for <aaaaaaa@web.de>; Mon,
02 Jun 2014 04:34:37 +0200
Received: from pc-10-214-161-190.cm.vtr.net ([190.161.214.10] helo=neuegraphic.com)
by ns72.small-dns.com with esmtpa (Exim 4.77)
(envelope-from <aaaaaaa@yahoo.com>)
id 1WrI7U-0002Ye-I6; Mon, 02 Jun 2014 10:37:05 +0800
Message-ID: <56CE271D8500F72B65A136AB3F273985@neuegraphic.com>
From: "aaaaaaa" <aaaaaaa@yahoo.com>
To: <VIELE USER>
Subject: aaaaaaa
Date: Sun, 2 Jun 2014 03:34:15 +0000
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_F8DE_6C4D2CA8.56615FE2"
X-Priority: 3
X-MSMail-Priority: Normal
Importance: Normal
X-Mailer: Microsoft Windows Live Mail 16.4.3522.110
X-MIMEOLE: Produced By Microsoft MimeOLE V16.4.3522.110
Envelope-To: <XXXXX@web.de>
X-UI-Filterresults: junk:10;V01:K0:asU11DapMII=:SGH0I3fXj+TBJxy7ow2DodCQ+5DG
6u0h1QUC4Hmj/x5EgV6bspYibusXXDT/X9/Xtszyen3rymuzXAGfRJNJ1Vg0KR0QwELxu3LgD
X40f9bhA+scK3fbwZRGUIrdOb6r+OL/aq28PGwLURlI3O2m2Xe2q3xOWE1pPTAwP/Vso/3m9k
hVDfvZnwpPbNmtJbE1pJi8WvQHvDMa+XSxQ7I7kkPVAttsNHmkPcW3L1ufiA/MJA32qGfkUC0
g+GM2lvzola48+1UVVYh3BiIfA6Q56fqFQR4vA6YEBNqVKxi0iNiB0N1wLHxQZBQiENQh5lIe
AMW0/kKJnpKRTcmZe5Q0SJz5VmptWJkqkDDHDoMer3hjxrJqi/rnbx0QBaw1lkJt24U/S61w6
TwootBu87BCUITp4HwaBK9AKr++vf3226g4V/SsOJBmTnzYzvESiUN3XKohqLjTGpcYLkS15I
t1z3zswFBbw2cibTGO94i+WxyrD9vKw0DOV0WFBUDL5ikVG5xr05LcUzCJb0B33OdJArHHKl9
EK45L/1SP5YDj1YlAAN6+69PfoRE3HVGyi4K0S4RAMXtIjYe2zEmHiOlAyAw0R7RVrBnf9mFP
L0+56kifAE5Hy9lCXVL8sojME2xpvMoXoHzZfsPwcA4T+IGnMX6cz4iuiL7BEXN7dLNfK6ymT
Qjr+PACaNViDKPkVOJgWg7YrpBxv2ayUIubIDHPEi+POot+xgHYjOfA6vUAqv3nYsz+omWBSH
oaoK6dW5jKDByDS1VORQByQRnOm+ooX7z2/6NLdpmXMc7+gLHZ+u5f29njrIo6i+Vk4lO4nsP
usBcBvlw1pUQ6d/93dPMioWkzzReLCDt+JuzFNL7wqkL+Y9MrhqYwkX8zhMUv+Rz9RABFig61
ufn1/WfpDa1LkyTjgOZSdBrU0vnRZG63HezOCh+jef4/9Tln++UoYCtQjtFvWpkKGjfGCfJnY
eN8+MeGaB0D/FID1Ui7nky+VubTU+SAFq4M/YmwxXqrG/DcdJbXnUOU7/opslZF2gSxwvOCoS
oxYUR1/NxQplWPo7Tp+Qx9hM2xHiJ3s1R+uN1vCGnq1xPprpP6R0fpwogo5ZfrTuranxg5eC4
fiHoS7/k5Vr6yhkjDsBMTFYrVqeN6a0KYPcbahEidHUcZDmRTgdSlz6G7uBO9XRhlebdSL+0R
s0/VS9Qnfp5kQhzXUnssgs2CQaolytEG9legQnak1FBLloONhw+jxfQONeWr0zgE2vj+11Li7
UyS1to/0X4ssmfdcbPxfTfL7Iwut6CTJluJR38prZ4l4M166ipa0CCIo2uQtX+n5q4M/g/ZYP
+9G7TH0z2Nd5Lke19+mCsC8xKjLmeD3h0UYLVXbfggdkti5c3ijcMtq30D4tXtFgXU5VJLIIx
Ih9y5Vv2c9a1n7Q==
X-Antivirus: avast! (VPS 140602-0, 02.06.2014), Inbound message
X-Antivirus-Status: Clean

This is a multi-part message in MIME format.

------=_NextPart_000_F8DE_6C4D2CA8.56615FE2
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Meine Mutter verdient Geld
------=_NextPart_000_F8DE_6C4D2CA8.56615FE2
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

=EF=BB=BF<HTML><HEAD><META http-equiv=3D"content-type" content: text/html;=
charset=
=3DUTF-8></HEAD><BODY>Meine Mutter verdient Geld
qdpjkupa</BODY></HTML>

------=_NextPart_000_F8DE_6C4D2CA8.56615FE2--

Diesmal kommt es von einen Onlineshop aus Malaysia...
 
Habe auch eine solche Mail bekommen

Hallo zusammen! Habe auch eine solche Mail mit Link zu silkawaymedia bekommen -auch von einem Schulfreund- und habe dummerweiße draufgeklickt. Hatte jedoch noscript an und die Seite bevor sie geladen hat wieder weggeklickt. Virenscaner hat nichts angezeigt und Anti-malewarebytes findet auch nichts. Fühle mich trotzdem nicht mehr sicher. Vlt könnt ihr ja eine Einschätzung geben: Virus eher ausgeschlossen? Ist vielleicht meine eigene Mailadresse jetzt in Gefahr? Ich weiß, dass man das natürlich auf dieser Grundlage nicht genau sagen kann, aber ich weiß gerade wirklich nicht mehr was ich da jetzt noch tun kann. Pw habe ich schon geändert und den "Versender" schon informiert. Wäre dankbar für eure Meinung :)
 
Zuletzt bearbeitet:
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben