Gehackte Email Adresse
hallo,
weiss jemand Bescheid über die Sicherheit von Adressen ?
Ich bekam vorgestern eine englischsprachige Email, worin ich gebeten wurde, über Western Union 850 Pfund zu zahlen an eine Frau D. Sie wäre in London ausgeraubt worden und bräuchte das Geld für die Heimreise. Die Absenderadresse und der Name machten mich stutzig, weil eine Bekannte dieses Vor und Nachnamens gleich um die Ecke wohnt und im gleichen Verein ist. Tatsächlich war die Mailadresse des Bettelmails völlig identisch mit dieser Bekannten. Die Endung war @yahoo.com
Wie kann man eine Adresse missbrauchen. Sind die Adressen nicht "einmalig". Oder wurden Daten bei Yahoo gestohlen ?
Weiss jemand darüber Bescheid ? Muss man solche Sachen Yahoo melden oder hat das keinen Zweck?
Grüsse
Marzell
@ Marzell [#1]
Sie hat nicht zufällig eine Mail mit Deiner Adresse erhalten, dass sie für Dich Geld überweisen soll?
Gruß
"... hat das keinen Zweck?"
Das hat keinen Zweck.
Wenn ich in meinen Spam-Ordner schaue befinden sich immer wieder E-Mails drin, die sogar meine eigene E-Mail Adresse als Absender haben..
Rein technisch gesehen ist die Versendung beliebiger E-Mails über bestimmte Mailserver möglich.
@ gautama2 [#2]
... nein Sie hat keine Email von meiner Mailadresse erhalten.
@ jogi100 [#3]
ich find das gefährlich, wenn Adressen gefälscht werden können.
Damit kann man also diffamieren. Wenn Jemand unter meiner Adresse eine Email an z.B. ... sendet und diesen Herrn ... einen Trottel nennt. Wie kann ich mich dann reinwaschen ?
Das ist jetzt vermutlich einer der kleineren anzurichtenden Schäden von den vielen anderen die noch möglich sind.
Vielen Dank für die Hinweise !
Grüsse
Marzell
Marzell,
hier mal ein Beispiel wie ein Header einer E-Mail aussieht, in der ich als Absender eingesetzt wurde:
Received: from [213.243.242.167] (helo=[213.243.242.167])
by mx45.web.de with esmtp (WEB.DE 4.110 #314)
id 1NEMyM-0000Y1-01
for XXX@web.de; Sat, 28 Nov 2009 14:04:23 +0100
From: XXX@web.de>
To: XXX@web.de
Subject: Member XXX@web.de gets 80% Off
MIME-Version: 1.0
Content-Type: text/html; charset="ISO-8859-1"
Content-Transfer-Encoding: 7bit
Message-Id: <E1NEMyM-0000Y1-01@mx45.web.de>
Date: Sat, 28 Nov 2009 14:04:23 +0100
Return-Path: XXX@web.de
Bemerkung: meine richtige E-Mail Adresse in XXX abgeändert.
WEB.DE hat diese E-Mail richtiger weise als SPAM eingestuft.
An der IP-Adresse 213.243.242.167 sieht man aber dass es sich um einen Mailserver handelt, der in Italien steht.
Alles ist möglich.
Wenn ich jetzt auf ANTWORTEN drücken würde, würde ich mir meine Antwort selber zuschicken.
-----weil eine Bekannte dieses Vor und Nachnamens gleich um die Ecke wohnt----
das wird Zufall sein
grundsätzlich is es auch möglich das dritte Persomen e-mails mitlesen können
Auch bei verschlüsselten E-Mails ist es mitlesenden Dritten möglich, Absender und Empfänger zu protokollieren und anhand der erfassten Daten Kommunikationsprofile zu erstellen. Die Vorratsdatenspeicherung und die darauf aufbauenden internationalen ESTI-Standards für Geheimdienste und Strafverfolger zeigen, dass diese nicht verschlüsselbaren Informationen bedeutsam sind.
grundsätzlich gibt es Möglichkeiten sich dagen zu schützen
http://anonymous-proxy-servers.net/de/jondofox
http://echo931.server4you.de/handbuch_34.htm
http://anonymouse.org/anonwww_de.html
@ Marzell [#1]
Hast du evtl. die Mail-Adresse der Bekannten in deinen Kontakten beim Mail-Provider bzw. lokal in deinem Mail-Programm?
Dann wurde diese wahrscheinlich daher genommen und eingesetzt durche 'nen Trojaner oder was auch immer.
Oder kann auch umgedreht sein, du stehst bei ihr in den Kontakten.
"Damit kann man also diffamieren. Wenn Jemand unter meiner Adresse eine Email an z.B. ... sendet und diesen Herrn ... einen Trottel nennt. Wie kann ich mich dann reinwaschen ?"
Vergleiche eine unverschlüsselte Email mit einer Postkarte.
Da kann ebenfalls jeder einen beliebigen Inhalt mit beliebigen Absender eintragen und diese versenden.
@ Sammy [#7]
Gegenüber der Postkarte kann man bei der Mail aber zumindest prüfen welche IP-Adresse angegeben ist und durchaus Rückschlüsse auf mögliche oder unmögliche Absender ziehen.
Bei der Postkarte kann man vergleichbar ja auch nach Fingerabdrücken oder GEN -Spuren suchen.
@ Sammy [#7]
ja ich hatte mal eine Emailadresse bei yahoo.com
Auch in meiner Adressdatei "Outlock" steht die gehackte Mailadresse der Bekannten.
Grüsse
Marzell
Ich habe heute spannenderweise eine Spam im Kästchen, die von Microsoft selber kommt.
Oder wie habe ich das zu deuten, wenn eine Sussel Lopez so was schreibt:
"Beautiful say hello toward you!
nbsp; nbsp; The now of my company super price is various
electronics merchandise toward your sale.
(television, notebook, cellular phone, GPS,
motorcycle, etc.) Please browse the authorities
website ---wwx.yulta.com
provide the best quality to you, the best price,
nbsp;Maybe you have unpleasant shopping experience.you can be assured that my company to use the world's most secure payment methods: PAYPAL.
Thanks
Discover the new Windows Vista Learn more!"
und das hier als Quelle angezeigt wird:
Eine gefälschte EMail Adresse ist leider genauso einfach
wie ein gefälschter Absender auf einem Brief. Man kann
nur den Header analysieren und seine Schlüsse daraus
ziehen. Solange die EMail Provider keinen Bock darauf
haben, zu prüfen, ob die Adresse stimmen kann, ist man
machlos.
Grüße
Thomas
@ Speku [#11]
Aber den Ursprungsserver kann man nicht fälschen oder?
meines Wissen kann man den nicht fälschen.
Grüße
Thomas
Das wäre das erste, was mit Software gemacht ist, was man nicht fälschen kann.
Sagen wir: es ist nicht einfach, das zu manipulieren.
Gruß,
Asamat
@ Asamat [#14]
sicherlich kann man fast alles alles fälschen, nicht nur mit Software erstelltes! Die Frage ist aber doch mit welchem Aufwand.
Der ist doch erheblich, wenn man keine Spuren im Internet hinterlassen will. Das ganze Gerede vom rechtsfreiem Internetraum löst sich dann doch wieder in Dunst auf.
@ rodeonrwdeo [#15]
Dann ist die Spam, die angeblich vom MSFT Server kommt gut gefälscht oder was is eigentlich mit dem Ding? Ist MS selber für ein Botnet eingespannt worden? Das wär ja ulkig. Für die Meldung bekomm ich von der Presse sicher viel Kohle :)
@ gautama2 [#12]
<snip>
Aber den Ursprungsserver kann man nicht fälschen oder?
...
meines Wissen kann man den nicht fälschen.
<snip>
Naja...
Wie vorher bereits erwähnt, der Vergleich mit einem Briefumschlag passt wohl am besten. Niemand verifiziert, ob ich tatsächlich auch der Absender bin oder nur irgendeinen Namen drauf schreibe.
Die Manipulation der absendenden IP-Adresse wäre somit eher vergleichbar mit einer Fälschung des Poststempels bei der Briefpost. Diese IP-Adresse zu manipulieren (in diesem Fall zu spoofen) stellt für Technik-affine kein Problem dar und ist nur eine Frage der genutzten Technik. Ausreichend wären bereits zwei virtuelle Maschinen hintereinander routend/nattend und irgendein Relay im Internet.
Für Rückschlüsse auf die Echtheit einer eMail müsste entsprechend zumindest der gesamte Header betrachtet werden und eben nicht nur die Absendeadresse... Und sicher kann man sich final nur bei einer Signierung sein.
Gruß
für den Emailversand sollte eine Rechtssprechung da sein.
Eröffnen eines Emailkontos nur mit Personalausweiskopie. Jedes Email 2 ct. Für Spam Strafen. Versand verschlüsselt, sofern man will.
Oder: Emails mit Zertifikat, so dass man alle anderen in den Papierkorb leiten kann.
Der jetzige Zustand ist ein Nährboden für allerlei zwielichte Geschäfte.
Grüsse
Marzell
@ Marzell [#18]
warum immer nach dem Staat rufen. Es steht doch jedem frei einen E-Mailservice mit Zertifikat auf den Markt zu bringen. Falls genügend Nutzer mitmachen wird es funktionieren und überleben.
Aber bitte nicht noch ein Gesetz.
@ Marzell [#18]
Schöne Konditionen. Wie rodeonrwdeo schon schrieb das von jedermann, auch von Ihnen, am freien Markt angeboten werden. Noch mehr Staat wird aber in einem freien Markt und gerade bei uns als dem Land mit wie ich gelesen habe 90.000 verschiedenen Gesetzen und Verordnungen wirklich nicht gebraucht.
Ich versende für meine Internet Hobbyseite zu Beginn jeden Monats über 6.000 Mails, kostenfrei, werbefrei, beschwerdefrei.
Wenn ich nach Ihren Vorschlägen dafür künftig rund 1.500 Euro pro Jahr zahlen soll plus Kosten für Zertikat und ähnliches würde ich den Dienst sofort einstellen.
Denken Sie den Empfängern wäre damit geholfen ?
@ Richard Ebert [#20]
dass es mit meinen dahingeschriebenen Vorschlägen viele Wenns und Aber gibt war mir schon klar. Ich erlasse ihnen aber hiermit die 2 ct. je Email.
Ich will ausdrücken, dass ich vom Staat erwarte, dass er Rahmen schafft, in dem möglichst niemand kriminell tätig werden kann. Zumindest wenn er die Möglichkeiten hätte es zu verhindern.
Wenn ich zurückdenke wie lange die Parlamente benötigten, bis gegen Dialerprogrammen eingeschritten wurde. Ich hatte bei unseren Parlamenten den Eindruck von Interesselosigkeit.
Grüsse
Marzell
@ Marzell [#21]
Ich glaube du verkennst etwas die Möglichkeitem des "Staates"... dummerweise basiert das öffentliche INET auf ganz alten offenen Regeln und alle Nutzer, die mit beliebigen anderen in Kontakt treten wollen müssen notgedrungen die unregulierten Methoden benutzen.
Staaten wie China versuchen zwar technisch soviel wie möglich zu regulieren/kontrollieren, scheitern aber praktisch an den technischen Möglichkeiten der Nutzer.
Ebenso dein Gedanke mit den Dialerprogrammen, die sind nicht wegen der Parlamentsgesetze verschwunden. Die wurden technisch überholt, die Mehrheit mittlerweile geht per DSL/UMTS/Kabel ins Internet => Einwahlnummern die man als 0190/0900 Nummern nutzen kann gibt es da nicht mehr.
Und das mit den Zerifikaten für elektr. Kommunikation gibt es ja auch schon. Jeder der eine Rechnung als PDF verschicken will muss diese signieren, sonst bekommt der Empfänger die MwSt. nicht wieder. Die Finanzämter sind aber noch sehr gnädig und akzeptieren im Normalfall auch noch Papierausdrucke von nicht signierten Dokumenten. (Betriebsprüfer in ein paar Jahren erinnern sich hoffentlich an die aktuelle Praxis)
Auch hier ist aber nur die Kopier/Druck-Technik schuld. Es ist einfach nicht mehr möglich, einen org. Ausdruck von einer Kopie zu unterscheiden, wenn auf dem org. keine "durchgedrückte" manuelle Unterschrift ist.
=> Man müßte alle Rechnungen manuell unterschreiben um diese als "echt" auszuweisen, ist im Alltagsgeschäft nicht mehr möglich, also tut es auch weiter das pure bedruckte Papier oder der Empfänger druckt sich die Seite vom PDF selbst, was ein identisches "Papierergebnis" liefert. (Manipualtionen bei Umsatzsteuer/Vorsteuer erkennt das FA anders, die machen einfach zufällige Gegenprüfungen der Steuerkonten)
Man sehe Mails einfach wie oben schon geschrieben als Postkarte. Jeder kann lesen was drauf steht und jeder kann was dazuschreiben oder weglöschen. Wer es anders will und unter "gleichen" kommuniziert, nutzt Zertifikate, Signaturen bis zur Verschlüsselung. Dies steht ja jedem auch derzeit schon frei, aber per Gesetz alle dazu zwingen das so zu machen... das wird wohl nichts, schon garnicht einzeln in D oder der EU.
@ TimeTrade [#22]
Hallo TimeTrade,
bitte melde Dich per Mail.
Grüße
Thomas