istike2
Goto Top

"Erpressermail" über eigenen web.de-Account

Hallo Zusammen,

ein User aus dem Team hat folgende "Erpressermail" scheinbar von dem eigenen Mailaccount bekommen:

2018-12-10_20h28_20

Da die User - leider - auch mit ihrem privaten Handys, Tablets im WLAN Netz sind wäre ein Infektion mehr als unangenehm. Unser UTM hat nichts gemeldet, ein Restrisiko kann ich aber nichts ausschließen. Wenn sie persönlich überwacht wäre, würde es möglicherweise nicht als klassisches Virus/Botnetz auffallen.

Wegen Inhalt, Tonfall stufe ich die Mail nicht als reale Bedrohung ein, wir werden Kennwort ändern und Handy / Tablet überprüfen. Ich denke es geht es um einen kleinen Betrüger, der "höchstens" den Mailaccount gehackt hat. Möglicherweise hat er nur den Absenderadresse gefälscht.

Würdet ihr noch etwas tun? Eventuell web.de informieren.

Gr. I.

Content-Key: 395293

Url: https://administrator.de/contentid/395293

Ausgedruckt am: 19.03.2024 um 10:03 Uhr

Mitglied: 129580
129580 10.12.2018 aktualisiert um 21:01:08 Uhr
Goto Top
Guten Abend,

hast du sichergestellt, dass die E-Mail wirklich von web.de bzw. von dem Account des Betroffenen verschickt wurde?
Denn andernfalls hätte der Kriminelle sicherlich noch persönliche Daten des Nutzers in der Erpresser E-Mail reingetan, um den Druck zu erhöhen.

Und Absende Adressen lassen sich ganz einfach fälschen.
Allerdings würde es mich wundern, dass web.de überhaupt eine solch eine E-Mail zulässt. Die werden doch sicherlich SPF, DKIM...prüfen.

Da die User - leider - auch mit ihrem privaten Handys, Tablets im WLAN Netz sind wäre ein Infektion mehr als unangenehm.

Wenn das eine Bedrohung darstellt, dann habt ihr ein falsches Netzdesign. WLAN Netz sollte in ein separates VLAN.

Möglicherweise hat er nur den Absenderadresse gefälscht.

Dann solltest du das mal herausfinden.

P.S: Falls das Web.de Account tatsächlich gehackt wurde, dann hat der Mitarbeiter das Passwort garantiert mehrmals verwendet.
Denn Web.de hat sicherlich Schutzfunktionen auf ihrer Website, sodass Brute Force und ähnliche Attacken schwer bis unmöglich sind.
Außer das Passwort nennt sich "Pa$$w0rd" o.ä.

Von daher: Mitarbeiter entsprechend schulen, dass diese pro Dienst nur ein Passwort verwenden. Notfalls die Einführung von einem PW Manager.

Viele Grüße
Exception
Mitglied: LordGurke
LordGurke 10.12.2018 um 20:59:10 Uhr
Goto Top
Schau mal in den Mailheader, insbesondere ganz oben in den Return-Path.
Da wird irgendwas drin stehen, aber sicher nicht die Adresse des eigenen Accounts face-wink
Den Absender zu fälschen hilft natürlich um den Anschein zu erwecken, dass da was dran ist, aber...

Kannst ja die Mailadresse bei haveibeenpwned.com einwerfen und gucken, in welchen Databreaches die Mailadresse mal aufgetaucht ist, dann weißt du auch, wo der Absender die Adresse her hat.
Mitglied: maxblank
maxblank 10.12.2018 um 21:01:21 Uhr
Goto Top
Hi,
checke mal den Header der E-Mail.
Ich gehe hier von Spoofing aus.

Gruß
maxblank
Mitglied: istike2
istike2 10.12.2018 aktualisiert um 21:48:03 Uhr
Goto Top
Hi LordGurke,

laut haveIbeenpawned war die Adresse in drei Breaches.

Die Details der Mail sehe ich leider nicht. Wenn ich in OL365 die Mail in Detailansicht öffne sehe ich lediglich die Details der Weiterleitung.

Aktuell gehe ich aus einer Absenderfälschung aus.

Vielen Dank an Alle für Eure Hilfe.

Gr. I.

EDIT:

header

Anscheind wurde der Account wirklich gehackt ... Laut Header wurde die Mail wirklich von der Adresse versendet...
Mitglied: LordGurke
Lösung LordGurke 10.12.2018 aktualisiert um 22:04:53 Uhr
Goto Top
Wenn es eine Weiterleitung ist, wird von web.de der Return-Path auf den Account umgeschrieben, von dem Weitergeleitet wird!

Edit:
Ah, warte!
Laut Received:-Header wurde die Mail von irgendeinem Server in Brasilien von web.de empfangen.
Und da es per "ESMTP" empfangen wurde, sind dafür keine Zugangsdaten verwendet worden (sonst stünde da "ESMTPSA").
Web.de ist schlicht zu doof, das bei sich ordentlich zu filtern...
Mitglied: istike2
istike2 10.12.2018 aktualisiert um 22:11:52 Uhr
Goto Top
in diesem Fall leider nicht. Der User hat mir sein Kennwort gegeben. Dies ist also direkt im Web.de Account.

Vielen Dank für die Info.

in diesem Fall soll ich also davon ausgehen, dass der Absender den Account im klassischen Sinne erst gar nicht hacken musste?
Er hat also lediglich die Mailadresse gekannt?
Mitglied: 129580
Lösung 129580 10.12.2018 aktualisiert um 22:21:25 Uhr
Goto Top
in diesem Fall soll ich also davon ausgehen, dass der Absender den Account im klassischen Sinne erst gar nicht hacken musste?

Er hat den Account nie gehackt. face-wink
Eine gewöhnliche Spam Mail, die per Massenversand an zahlreiche Empfänger verschickt wird. Deshalb auch keine persönliche Anrede usw.

Wenn der Account tatsächlich gehackt worden wäre, dann wäre der Angreifer deutlich professioneller vorgegangen. Erstmals hätte er das Opfer überhaupt nicht in Kenntnis gesetzt und wäre erstmals die E-Mails von dem Opfer durchgegangen. Dann bei potenziellen Seiten, wo das Opfer Mitglied ist, dessen Accounts nach und nach übernehmen und dort wertvolle Daten klauen eth.

Und falls der Angreifer zu guter letzt auf Erpressung rübergeht, dann wäre die Mail tausendmal professioneller und detaillierter mit persönlichen Daten von den Opfer eth.

Zumal die Geschichte in der E-Mail sehr unglaubwürdig klingt.
Mitglied: istike2
istike2 10.12.2018 um 22:27:16 Uhr
Goto Top
Vielen Dank ...

Ja unglaubwürdig war es schon. Da aber "gewöhnliche" Spam - bei uns zumindest - nicht von einem bekannten Mailadresse kam, hat es mich mal etwas beunruhigt.

Vielen Dank für Eure Unterstützung.

LG

I.
Mitglied: Dilbert-MD
Dilbert-MD 11.12.2018 um 06:54:43 Uhr
Goto Top
Moin,

Zitat von @istike2:

ein User aus dem Team hat folgende "Erpressermail" [...]

Habt Ihr denn einen Cisco Router im Einsatz, auf den sich der "Erpresser" bezieht?

Gruß
Mitglied: Lochkartenstanzer
Lochkartenstanzer 11.12.2018 aktualisiert um 07:55:07 Uhr
Goto Top
Moin,

Das ist der übliche SPAM, der die Leute erschrecken soll indem er vorgibt, vom eigenen Ccount zu kommen.

Aus den Headern sieht man üblicherweise sofort, daß die von einem anderen kommen.

Einen Mailabsender zu fälschen ist genau so einfach wie bei Briefpost. weil die ganzen MUAs den Umschlag nicht direkt anzeigen, sondern nur den Inhalt. Normalerweise nehmen die Mailserver keine Mails von außen an, die vorgibt intern zu sein.

lks
Mitglied: maretz
maretz 11.12.2018 um 07:32:34 Uhr
Goto Top
Entspann dich, auf meinem Spam-catch accout bei gmx hab ich davon min. 10.... is nur standardmüll...
Mitglied: itisnapanto
itisnapanto 11.12.2018 um 08:06:46 Uhr
Goto Top
Moin ,

kannst dich erst mal entspannen . Habe mal eine ähnliche bekommen und mich auch im ersten Moment erschrocken.

Bei mir war sogar das Passwort korrekt. Ich benutzte dieses Passwort wirklich . Allerdings nur als Initialpasswort bei unwichtigen Foren.
Aber es war ganz sicher nicht meins vom Email Account.

Also wurde da mal wieder Daten aus einem schlecht gesicherten Forum abgegriffen und benutzt für diese Fake Email.

Dort sieht man auch mal wieder wie wichtig es ist , überall verschiedene Passwörter zu benutzen :D

Gruss Michael
Mitglied: Bem0815
Bem0815 11.12.2018 aktualisiert um 09:04:48 Uhr
Goto Top
Zitat von @LordGurke:

Web.de ist schlicht zu doof, das bei sich ordentlich zu filtern...

Ja gut was heißt die sind zu doof.

Die frage ist eher warum sollte die das für kostenlose Accounts Filtern?
Kostet doch nur Geld und bringt Web.de keinen Nutzen.

Und zusätzlich können die doch nur dem Kunden ein Abo für den kostenpflichtigen Web.de Club mit erhöhter Sicherheit andrehen, wenn diese beim FreeMail vernachlässigt wird.

Zitat von @istike2:

Da die User - leider - auch mit ihrem privaten Handys, Tablets im WLAN Netz sind wäre ein Infektion mehr als unangenehm. Unser UTM hat nichts gemeldet, ein Restrisiko kann ich aber nichts ausschließen. Wenn sie persönlich überwacht wäre, würde es möglicherweise nicht als klassisches Virus/Botnetz auffallen.

Und warum macht macht das bitte? Mach auf der UTM für die Handys ein gesondertes WLAN Netz als Gästenetz auf. Ich denke mal es geht bei den Geräten ja nicht um mehr, als dass die mit den Handys etc. ins Internet kommen.

Wenn bei denen aber die Geräte immer im Internen Netz hängen und doch mal was infiziert ist und was passiert und dann noch dabei Kundendaten abhanden kommen, kann das mit den DSGVO Strafen richtig teuer werden. Dann ist man auch direkt bei grober Fahrlässigkeit mit Privatgeräten im Firmennetz.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 11.12.2018 aktualisiert um 17:25:49 Uhr
Goto Top
Moin,

gerade wieder eben einen Epressermail "von mir an mich bekommen:

LETZTE WARNUNG! 

Ich gebe Ihnen die letzten 72 Stunden, um die Zahlung zu tätigen, bevor ich
allen Ihren Freunden ein Video mit Ihrer Masturbation schicke.

Als Sie das letzte Mal eine pornografische Website mit Jugendlichen besucht
haben, haben Sie von mir entwickelte Software heruntergeladen und
installiert.

Mein Programm hat Ihre Kamera eingeschaltet und den Vorgang Ihrer
Masturbation aufgezeichnet. Meine Software hat auch alle Ihre
E-Mail-Kontaktlisten und eine Liste Ihrer Freunde auf Facebook
heruntergeladen.

Ich habe sowohl die 7kgftqqb.mpg mit Ihrer Masturbation als auch eine Datei
mit all Ihren Kontakten auf meiner Festplatte.
Du bist sehr pervers!

Wenn Sie möchten, dass ich beide Dateien lösche und das Geheimnis bewahre,
müssen Sie mir eine Bitcoin-Zahlung senden. Ich gebe dir die letzten 72
Stunden.
Wenn Sie nicht wissen, wie Bitcoins gesendet werden sollen, besuchen Sie
Google.

Senden Sie sofort 1000 EUR an diese Bitcoin-Adresse:
3J4eJ76wnQAwW4FHytmvV7uxukDehDb7cF

1 BTC = 3033 EUR, senden Sie also exakt 0.331890 BTC an die obige Adresse.

Versuche nicht mich zu betrügen! Sobald Sie diese E-Mail öffnen, werde ich
wissen, dass Sie sie geöffnet haben.

Diese Bitcoin-Adresse ist nur mit Ihnen verknüpft, daher weiß ich, ob Sie
den richtigen Betrag gesendet haben.
Wenn Sie die Zahlung nicht senden, schicke ich Ihr Masturbationsvideo an
alle Ihre Freunde aus Ihrer Kontaktliste, die ich gehackt habe.

Hier nochmal die Zahlungsdetails:

Senden Sie 0.331890 BTC an diese Bitcoin-Adresse:

3J4eJ76wnQAwW4FHytmvV7uxukDehDb7cF


Sie können die Polizei besuchen, aber niemand wird Ihnen helfen.
Ich wohne nicht in deinem Land. Ich habe diese Nachricht in Ihre Sprache
übersetzt, damit Sie verstehen können.

Betrüge mich nicht Vergiss die Scham nicht und wenn du diese Nachricht
ignorierst, wird dein Leben ruiniert.

Ich warte auf Ihre Bitcoin-Zahlung.

Abdul
Anonymous Hacker


(persönliche daten entfernt.).

Schaut man im header, kommt die Mail von:

abdul279@dzhom.anonymous-hacked.gq

lks

PS: Mal schauen, ob ich jetzt endlich auf youtube lande, wenn ich nciht zahle. face-smile
Mitglied: itisnapanto
itisnapanto 11.12.2018 um 17:50:23 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Moin,

gerade wieder eben einen Epressermail "von mir an mich bekommen:

> LETZTE WARNUNG! 
> 
> Ich gebe Ihnen die letzten 72 Stunden, um die Zahlung zu tätigen, bevor ich
> allen Ihren Freunden ein Video mit Ihrer Masturbation schicke.
> 
> Als Sie das letzte Mal eine pornografische Website mit Jugendlichen besucht
> haben, haben Sie von mir entwickelte Software heruntergeladen und
> installiert.
> 
> Mein Programm hat Ihre Kamera eingeschaltet und den Vorgang Ihrer
> Masturbation aufgezeichnet. Meine Software hat auch alle Ihre
> E-Mail-Kontaktlisten und eine Liste Ihrer Freunde auf Facebook
> heruntergeladen.
> 
> Ich habe sowohl die 7kgftqqb.mpg mit Ihrer Masturbation als auch eine Datei
> mit all Ihren Kontakten auf meiner Festplatte.
> Du bist sehr pervers!
> 
> Wenn Sie möchten, dass ich beide Dateien lösche und das Geheimnis bewahre,
> müssen Sie mir eine Bitcoin-Zahlung senden. Ich gebe dir die letzten 72
> Stunden.
> Wenn Sie nicht wissen, wie Bitcoins gesendet werden sollen, besuchen Sie
> Google.
> 
> Senden Sie sofort 1000 EUR an diese Bitcoin-Adresse:
> 3J4eJ76wnQAwW4FHytmvV7uxukDehDb7cF
> 
> 1 BTC = 3033 EUR, senden Sie also exakt 0.331890 BTC an die obige Adresse.
> 
> Versuche nicht mich zu betrügen! Sobald Sie diese E-Mail öffnen, werde ich
> wissen, dass Sie sie geöffnet haben.
> 
> Diese Bitcoin-Adresse ist nur mit Ihnen verknüpft, daher weiß ich, ob Sie
> den richtigen Betrag gesendet haben.
> Wenn Sie die Zahlung nicht senden, schicke ich Ihr Masturbationsvideo an
> alle Ihre Freunde aus Ihrer Kontaktliste, die ich gehackt habe.
> 
> Hier nochmal die Zahlungsdetails:
> 
> Senden Sie 0.331890 BTC an diese Bitcoin-Adresse:
> 
> 3J4eJ76wnQAwW4FHytmvV7uxukDehDb7cF
> 
> 
> Sie können die Polizei besuchen, aber niemand wird Ihnen helfen.
> Ich wohne nicht in deinem Land. Ich habe diese Nachricht in Ihre Sprache
> übersetzt, damit Sie verstehen können.
> 
> Betrüge mich nicht Vergiss die Scham nicht und wenn du diese Nachricht
> ignorierst, wird dein Leben ruiniert.
> 
> Ich warte auf Ihre Bitcoin-Zahlung.
> 
> Abdul
> Anonymous Hacker
> 


(persönliche daten entfernt.).

Schaut man im header, kommt die Mail von:

abdul279@dzhom.anonymous-hacked.gq

lks

PS: Mal schauen, ob ich jetzt endlich auf youtube lande, wenn ich nciht zahle. face-smile


Haben wir heute auch einige von bekommen :D
Mitglied: SuperGurke
SuperGurke 25.01.2019 um 22:51:57 Uhr
Goto Top
Nach 6 Wochen, bin ich nun auch betroffen.
Das Ganze erinnert doch stark an eine Folge von "Black Mirror", in der ein Jugendlicher
erpresst wird. Seit ich diese Folge gesehen habe ist meine Kamera immer verdeckt.
Und das seit über einem Jahr...