• Spam / Phishing mit korrekter Domain. Wie geht das?

    Ich habe wieder mal eine der üblichen "Setzen Sie Ihr Passwort zurück" Mails bekommen, angeblich von der "Süddeutschen", bei der ich einen kostenlosen Account habe. Der dicke Hund war, dass ein Rechtsklick auf die Mailadresse nicht die übliche "1234xyz@gmail.com" o. Ä. zeigte, sondern die Mailadresse: , also aus der offiziellen Domain. Dazu folgender Link in der Mail:

    https://id ((PUNKT)) sueddeutsche ((PUNKT)) de/resetpassword/... ((es folgt eine lange Zeichenfolge))
    ((PUNKT)) stammt von mir, damit niemand versehentlich draufklickt.

    Ich habe spaßhalber die SZ kontaktiert. Die wussten natürlich nichts von dieser Mail und rieten dringend davon ab, dem Link zu folgen. Eh klar.

    Ich bin trotzdem ziemlich irritiert, dass jetzt schon mit aus korrekten Domains https-Links zum Phishen versandt werden. Habt Ihr eine Idee, wie das geht?
    ----------
    Herzlichst
    Archie

    der.archie(ät)gmx(punkt)de

    • Von wo das E-Mail kommt, lässt sich anhand Header feststellen

      Im Falle von Phishing sind Absenderangaben Fake.

      Im Header nachgucken, von wo kommt das E-Mail eigentlich?

      Dann noch HTML-Ansicht des E-Mails aktivieren, um festzustellen, auf welcher Website jener Link tatsächlich führen würde (nur Simple HTML, wo nichts aus dem Web nachgeladen wird).

      Dann nach checken, wo dieser gehostet ist.

      Wenn es sich so verifizieren lässt, dass das E-Mail womöglich echt ist, hat da wohl jemand versucht, Dein Account bei der Süddeutschen zu resetten (entweder absichtlich oder versehentlich, da bei Eingabe des User-ID ein Fehler gemacht).

      Gruss Markus

      • Von wo das E-Mail kommt, lässt sich anhand Header feststellen

        Durchblicke ich nicht ganz. Header ist doch die tatsächliche Absenderadresse. Also ich kriege in der Übersicht von web.de Mails von Rewe, Amazon, Angelina Jolie oder wem auch immer angezeigt. Wenn ich auf den Absender klicke, bekomme ich die Option zu antworten. Dort steht dann als Absender irgendeine seltsame Adresse, oft irgendwas von Gmail, aber eben nichts amazon.de , rewe.de etc. In dem Fall ist es aber wohl tatsächlich eine Mail von der offiziellen Domain der SZ. Dito der Link.
        Möglicherweise hat tatsächlich jemand versucht auf meinen Account zu kommen. Allerdings habe ich mich auf der Homepage der SZ nach Erhalt der Mail einmal direkt eingeloggt. Kein Problem. Passiert ist letztlich nichts.
        Mich hat es nur gewundert, dass ich eine Mail bekomme, die drei Meilen gegen den Wind nach Phishing riecht und von der auch die SZ nichts weiß, aber diese Mail direkt von einer SZ-Adresse kommt. Vielleicht war es wirklich nur ein Versehen. Ich dachte halt, das sei eine neue Phishing-Techik, von der ich noch nichts weiß
        ----------
        Herzlichst
        Archie

        der.archie(ät)gmx(punkt)de