Wie kommen Online-Kriminelle an meine Mail-Adresse?

Foto: ivanpw/flickr

Foto: ivanpw/flickr

Immer wieder rollen Phishing-Wellen durchs Netz, mit denen Kriminelle versuchen, Passwörter, Persönliche Identifikationsummern (PIN) oder Transaktionsnummern (TAN) von Kunden abzugreifen. Aktuell beispielsweise werden gefälschte Rechnungen verschickt, deren Absender angeblich die Telekom sein soll. Solche gefälschten Mails solltet Ihr am besten sofort löschen. Auf keinen Fall solltet Ihr auf in der Mail enthaltene Links klicken. Woran man Phishing-Mails erkennt und was man am besten tut, wenn man welche erhält, könnt Ihr in unserem Datenschutzratgeber nachlesen.

Mich interessiert aber die Frage, woher die Kriminellen, die diese Mails verschicken, unsere Mail-Adressen haben. Dazu habe ich Bernd Eßer befragt. Er ist der Leiter unseres Cyber Emergency Response Teams (CERT), also der Telekom Online-Sicherheitstruppe.

 

Herr Eßer, immer mehr Phishing- und Spam-Wellen rollen durchs Netz. Wie kommen die Kriminellen, die dahinter stecken, eigentlich an unsere Mailadressen?

 

EßerBernd Eßer: Es gibt da viele Möglichkeiten. Ein Weg ist, dass die Kriminellen bei großen Mail-Providern ganz einfach alle möglichen Buchstaben- und Zahlenkombinationen durchprobieren. Kommen Mails nicht zurück, ist die Chance gut, dass die Adressen stimmen und genutzt werden. Viele von uns abonnieren aber auch Newsletter oder hinterlassen in Foren ihre Mailadresse. Mit Hilfe bestimmter Programme können Kriminelle diese Adressen abgreifen. Gewinnspiele sind auch so eine Möglichkeit, um an Mail-Adressen zu gelangen. Und dann gibt es noch Schadsoftware, die man sich beim Surfen einfangen kann, wenn der Rechner nicht ausreichend geschützt ist.

 

Wie kann ich denn als Kunde sicherstellen, dass ich nicht auf eine gefälschte Rechnung hereinfalle?

 

Bernd Eßer: Wir raten unseren Kunden generell zur Vorsicht, wenn ihnen eine Mail ungewöhnlich vorkommt. Klicken Sie nicht auf Links, die eine solche Mail enthält. Auf unseren Hilfe & Service Seiten im Internet können unsere Kunden nachschauen, woran sie eine echte Telekom-Rechnung erkennen. Privatkunden werden zum Beispiel mit ihrem Namen angesprochen und nicht etwa mit „Lieber Telekom-Kunde“. Außerdem enthält die Rechnung in der Betreffzeile die exakte Buchungskontonummer. Wenn Sie bei einer Mail unsicher sind, können sie im abgesicherten Kundencenter ihre Rechnung einsehen.

 

Können wir darauf hoffen, dass die Phishing- und Spamwellen irgendwann wieder abnehmen?

 

Bernd Esser: Nein. Leider gehören solche Phishing-Attacken heute schon zur Tagesordnung. Wir beobachten solche Angriffswellen jeden Monat mehrfach. Und wir müssen auch in Zukunft weiter damit rechnen.

 

Mehr Infos zum Thema Datenschutz findet Ihr übrigens auch auf unseren Datenschutzseiten im Internet.

Kommentare (43)

  1. Pingback: Achtung: Phishing-Mails im Umlauf – nicht öffnen! | 0676 Blog T-Mobile Austria

  2. Ich stimme der Meinung von Herrn Eßer zu. Grundsätzlich ist es wohl das beste als User mit einer gesunden Portion Skepsis heranzugehen. Man kann deshalb schon viel mit dem gesunden Menschenverstand erreichen – wie so oft ;-). Trotzdem fände ich es noch angebracht, wenn die Telekom und andere Provider Ihre Spamfilter verbessern könnten. Dann werden auch keine Phishing- oder Spammails mehr durch gestellt.

    • Peter Silie sagt:

      @ Charlotte Herrmann

      Die Telekom hält für einen vernünftigen Spam-Filter die Hand auf und lässt sich diesen teuer bezahlen. Der Basic-Spamfilter reicht nicht aus.

  3. Pingback: Phishing mit gefälschten Telekom-Rechnungen per E-Mail | VoondoVoondo

  4. Lisa Burger sagt:

    Hallo
    es gibt noch eine einfache Möglichkeit, eine Telekom-Rechnung als Spam zu erkennen. Diese nutzt z.B. das BSI in seinem Newsletter. Hier musste ich eine bestimmte, von mir frei wählbare Buchstaben-Ziffern-Kombination (BZK) angeben. Diese wird in der Betreffzeile in Klammern mit angegeben. Fehlt meine BZK ist die Mail nicht vom BSI. Ganz einfach. Sollte die Telekom auch so machen.
    MfG
    L. Burger

    • Deutsche Telekom CERT sagt:

      Sie können unsere RechnungOnline-Benachrichtigungen auf ähnlichem Wege überprüfen.
      Im Betreff finden Sie hierzu eine kundenindividuelle Buchungskontonummer, die Spammern nicht bekannt sein kann.
      Darüber hinaus haben unsere Benachrichtigungen eine persönliche Ansprache, welche bei Spam üblicherweise fehlt.
      Mit freundlichen Grüßen,
      Deutsche Telekom CERT

      • Kristin sagt:

        Hallo, nein bei uns leider nicht. Wir wurden mit Namen Adresse und sogar Kundennummer angesprochen bzw es war im Briefkopf angegeben 🙁

  5. Kai Edinger sagt:

    Hat man in Ihrem Unternehmen schon mal was von SPF und DKIM gehört? Sie könnten tatsächlich weit mehr gegen Phising unternehmen! Aber dann schön mit E-Mail Made in Germany werben. Vielleicht einfach mal die Hausaufgaben machen.

    • Deutsche Telekom CERT sagt:

      Wir kennen natürlich SPF und DKIM. Aufgrund der betrieblichen Komplexität unserer Mailumgebung ist die Umsetzung dieser Verfahren jedoch leider ein langwieriger Vorgang.

      Mit freundlichen Grüßen,
      Deutsche Telekom CERT

    • Stefan sagt:

      Was denn? Die Telekom Email-Server kontrollieren die SPF Einträge der Absenderdomains. Das hilft nur leider nichts, wenn diese meist nicht oder falsch gesetzt werden. Ein SPF Eintrag zu den domains telekom.de oder auch t-online.de existiert auch korrekt. Außerdem bringt SPF nichts, wenn der Großteil an Spam von gekaperten Rechnern/Smartphones/Servern mit legitimen Email Postfächern gesendet wird. Bezüglich DKIM empfehle ich dir, mal http://antispam.yahoo.com/domainkeys/license/patentlicense1-2.html zu lesen.

      • Sandro Littke-Wilcken sagt:

        Hallo,

        es steht zu vermuten, daß die Telekom eine definierte Anzahl und damit bekannte Liste von Server für den eigenen Mailversand verwendet. Diese Liste kann gerne lang sein, denn per SPF kann man über includes etc sowohl umfangreiche, als auch beständig wechselnde Listen gut pflegen. Das gilt sogar für die Server externer Werbepartner etc.

        Aktuell lassen sich Rechnungs-SPAM bzw Phishing-Mails von bspw Vodafone etc extrem gut per SPF aussortieren, selbst wenn diese 99% wie originale Nachrichten gestaltet sind. Nur bei der Telekom ist *gar kein* SPF gesetzt:

        ;; ANSWER SECTION:
        telekom.de. 21390 IN TXT „google-site-verification:syCIRr6VyoifbE6Wpg-dmA-LMXJwh5QE-Hm4eEDU8as“

        Das ist schon sehr schwer verständlich und ich kann nur an Sie als Telekom appelieren, hier schnell und flexibel das nachzurüsten – tatsächlich eine Technik, die andere Betreiber im Internet nun schon seit Jahren einsetzen…

        Danke.

        • Sandro Littke-Wilcken sagt:

          Zusatz, hier ein Beispiel für einen entsprechenden Eintrag:

          ;; ANSWER SECTION:
          vodafone.de. 60 IN TXT „v=spf1 ip4:80.84.1.0/24 ip4:139.7.28.128 ip4:151.189.21.0/24 ip4:84.17.184.240/28 ip4:193.158.239.10 ip4:193.158.239.18 ip4:193.158.239.29 ip4:68.170.16.52/31 ip4:192.109.216.136/29 ip4:62.225.113.143 ip4:194.42.93.179 include:spf1.vodafone.de -all“
          vodafone.de. 60 IN TXT „v=DKIM1\; k=rsa\; t=y\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDg8QpbZHncELYRUwYaMNXpL2UbuWFg8CizpqNohfi2FQTzabyTGt8fTAWdNEEMVQ6NFpkSRjOQ60pFGLme7kcn1nh9DKeTCKrYpMzw7uklmspDYGy776ldkM8v7UyvrVIwLfaRVZzvv8ONhosWxSJrzyTHGjlbtZ2stZxXk1iQIDAQAB“

  6. J.A. sagt:

    Wenn die Telekom Ihre Rechnungen mit einer qualifizierten elektronischen Signatur versehen versenden würde, könnte man bei fehlender, fehlerhafter oder gefälschter Signatur sofort sicher erkennen, dass sie nicht von der Telekom stammt.

    • Daniel sagt:

      Eine elektronische Signatur kann man erhalten. Muss man nur aktivieren.
      War lange Zeit für gewerbliche Kunden zum geltend machen der Umsatzsteuer erforderlich.

      • J.A. sagt:

        Gemeint ist nicht die pdf-Datei als Anhang, sondern die E-Mail selbst. Damit ließe sich im Posteingang vor Öffnen des Anhangs sicher prüfen, von wem die E-Mail staammt. Einfach mal bei der Tochter Telesec nachfragen.

    • Ganz richtig. Mit dem Einsatz digitaler Zertifikate bestätigt der Absender seine Identität. Es würde helfen, gefälschte Emails von durchaus seriösen Anbietern sofort als Fälschung zu erkennen.
      Die Telekom ist auch nicht die einzige Firma, die regelmässig mit gefälschten Emails zu tun hat. Gerade gestern erhielt ich eine Email, angeblich vom Giro- und Sparkassenverband, und wurde über die SEP AEinführung informiert. Dise Email kam als Text ud HTML Nachricht daher. Der HTML Teil war verseucht und der Link zeigte auf einen Server in Indonesien! Abgeschickt wurde die Email aus „.ru“ über einen deutschen Freemailer. Nur wer den HTML Teil anklickte – manche User machen das Voreinstellung – holte sich den „Teufel“ ins Haus.
      Liebe Telekom, signiert doch einfach Eure Emails und gut ist. Ihr seid doch Zertifizierungsstelle! Und wartet damit nicht mehr länger!
      Für die normalen Nutzer gibt es kostenlose Zertifikate bei http://www.cacert.org. So einfach kann es sein.

  7. Pingback: Lobende Erwähnung « Unser täglich Spam

  8. Pingback: Angebliche Rechnungen der Telekom – Neue Welle von Trojaner-Mails späht Ihre Daten aus | Abzocknews.de

  9. JW sagt:

    Mal so als Info:

    Da diese Mails von irgendwo verschickt werden, ist es auch durchaus möglich, dass sie mit der Telekom gar nicht in Berührung kommen. Ich lasse mir meine Telekomrechnung immer automatisch an meine gmx-Adresse weiterleiten. Die Phishing-Mail (natürlich gleich als solche erkannt) ging an meine zweit-Mail-Adresse, da hat die Telekom (oder welches Unternehmen es auch immer betrifft) nicht einmal die Chance, irgendwelche Filter zu setzen.

    • CB sagt:

      Ganz genau. Ich habe ebenfalls mehrere Email-Adressen und bekomme die Rechnungen nur auf einer bestimmten zugestellt. Kommt die Rechnung auf einer anderen an, landet die ohne Umwege in Ablage P 😉
      Als Faustregel sage ich meinen Bekannten, dass Sie (bei einer Flatrate und ohne Extra-Posten wie Mobilrufnummern aus dem Festnetz) immer von einer relativ konstanten Rechnung ausgehen können. Sollten sie jetzt eine bekommen, die aus der Reihe tanzt, sollen Sie die kostenlose (!) Service-Hotline der Telekom 0800-3301000 anrufen und danach fragen. Ziemlich einfach und gerade für die Menschen, die keine IT-Ausbildung genossen haben und nicht unbedingt erkennen müssen, ob eine Mail-Signatur korrekt ist.

    • Kai Edinger sagt:

      @J.A. Stimmt so nicht. Die Telkom könnte bekannt geben, von welchen Server sie Ihre E-Mails kommen und die E-Mails Server von GMX können das prüfen. SPF nennt sich das. Die Telekom könnte ihre E-Mails automatisch signieren und das Bekannt geben und der Empfänger kann das dann Prüfen. DKIM nennt sich das dann. Die Telekom tun beiweitem nicht genug für die Sicherheit ihrer Kunden!

  10. Sattler Günter sagt:

    Sehr geehrte Damen und Herren,
    ich habe an Sie ein dringendes Anliegen wlches keinen Aufschub duldet.
    Ich habe eine Rechnung zu überweisen und habe von Ihnen keinerlei möglich keiten Ihre Bankverbindung zu erreichen und kann auch somit diese Rechnung vom 19.12.2013 nicht in zweimal überweisen.
    Bitte teilen Sie mir Ihre Bankverbindung von der Telekom mit aber bitte mittels Brief und nicht im Internet.
    Günter Sattler

    • Andreas Kadelke Andreas Kadelke sagt:

      Hallo Herr Sattler,
      bitte wenden Sie sich direkt an unseren Kundenservice. Die Kollegen werden Ihnen gerne weiterhelfen. Auf dieser Seite http://www.telekom.de/kontakt finden Sie eine Übersicht, auf welchen Wegen Sie unseren Kundenservice erreichen können.

  11. Pingback: Aktuelle Virenwarnung › malkus elektronik GmbH

  12. Frank carius sagt:

    Wie wäre es denn mal wenn ihr eure Mails einfach mal per SMIME digital signieren würdet. Das kostet weniger als 100€/Jahr und eure Gateways sollten das auch können.
    Dann könnten wir Empfänger sofort erkennen, dass die Mail „falsch“ ist.

  13. Martina Jacobs sagt:

    Na ja, als aufmerksamer Kunde sollte man doch eigentlich wissen, wie eine Rechnung üblicherweise gestaltet ist und dem müsste die Fälschung daher sofort auffallen. Das aber sogar die miserabelsten Fälschungen offenbar noch Erfolge bringen, beweist doch nur, wie erschreckend leichtsinnig nachlässig die breite Masse im Cyberspace unterwegs ist.

    Und was sollen angesichts dessen nun Zertifikate und Signaturen nützen, die ebenso wenig Beachtung finden würden, wie das Erscheinungsbild ordentlicher Rechnungen? Technik, die man als vernunftbegabter Mensch im Grunde nicht braucht, aber dennoch mitzufinanzieren hätte. Während der oberflächliche Mainstream weiterhin gedankenlos auf alles klicken würde, was ihm vor die Nase kommt. Und das dann am besten noch auf gecracktem Betriebssystem ohne (aktuellen) Virenschutz. Ne, Leute, Sicherheitsbewusstsein kann nicht nur vom Sender gefordert werden. Niemand würde auf die Idee kommen, den Architekten dafür verantwortlich zu machen, dass jemand seine Haustür hat offenstehen lassen. Ein Minimum an eigenverantwortlichem Handeln kann man von jedem erwarten.

  14. Pingback: Wie kommen Online-Kriminelle an meine Mail-Adre...

  15. Es ist kaum vorstellbar, dass man heute immer noch auf solche E-Mails reinfällt.
    Dies sind oft in einem sehr schlechten deutsch. Aber wenn ein bekanntes Logo da ist, dann wird das schon passen…

  16. Pingback: - Check & Secure -Bankentrojaner als Online-Rechnung, Sendungsverfolgung & Mahnung

  17. RN sagt:

    Ich habe heute eine solche Rechnungs-Email untersuchen können.
    Als Anhang ist in der angeblichen Rechnung eine Schadsoftware
    versteckt, welche nach dem Öffnen die Emailkonten aus Outlook
    ausliest und daraufhin im Namen des Benutzers weitere dieser
    Emails versendet. Das Opfer wird umgehend zum „Mittäter“.

    Die Telekom ist dabei gar nicht selbst beteiligt, der Versand erfolgt
    dann vom Konto des Benutzers (bei Yahoo, Arcor oder beliebig).
    Leider erkennen viele Virenscanner diesen Virus noch nicht.

  18. Hensel, Hermann sagt:

    Meine Idee: Bei den Telekom-Kunden, die bereits über eine DE-Mail-Adresse verfügen, könnte die Telekom-Rechnung doch an diese versandt werden.
    Selbstverständlich müsste dies technisch erst umgesetzt werden.
    Damit dürfte sich das Pischingproblem, zumindest was die Telekom-Rechnung betrifft, erledigen.

  19. Pingback: Neue Welle falscher Telekom-Rechnungen | Der Computer-Oiger

  20. Jürgen Dorn sagt:

    Bernd Eßer sagt „Ein Weg ist, dass die Kriminellen bei großen Mail-Providern ganz einfach alle möglichen Buchstaben- und Zahlenkombinationen durchprobieren.“

    Das trifft aber in diesem konkreten Fall leider nicht ansatzweise zu.

    Wurde der Mailanhang erst mal geöffnet, liest ein Programm die Mailzugangsdaten aller Accounts aus und spielt sie offenbar ins Zombie-Bot Netzwerk ein. Dadurch können sich die Spam- bzw. Virusversender – alles Clients, keine Server – legitim am Mail-Server anmelden um ihren Mist zu verschicken. Der nächste der so eine Mail aufmacht wird zum Teil des Zombie-Botnetzwerks. Und irgendwo sitzen die, welche die Zombiehosts bedienen!

    Es handelt sich also um einen Identitätsdiebstahl erster Klasse.

    Jetzt zeigt uns doch mal bitte wofür die flächendeckende Datenspeicherung gut ist, um diesen Verbrechern das Handwerk zu legen. Das gehört vom Gesetzgeber knallhaft gestraft.

    mit freundlichem Gruß, Jürgen Dorn

  21. Jürgen Dorn sagt:

    Wenn man sich den Mailheader ansieht, dann sieht man sofort, dass der Mailerdaemon ein Windows Client mit dem Namen Blat ist

    X-MSMail-Priority: High
    X-Priority: 1
    Priority: urgent
    Importance: high
    X-MimeOLE: Produced by Blat v3.1.1
    X-Mailer: Blat v3.1.1, a Win32 SMTP/NNTP mailer http://www.blat.net
    Message-ID:
    Subject: Ihre Rechnung vom 16.01.2014 im Anhang als PDF, Nr126745317877.
    Content-Type: text/html;
    charset=“ISO-8859-1″
    Content-Transfer-Encoding: quoted-printable
    Envelope-To:
    X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
    X-GMX-Antivirus: 0 (no virus found)

    was deutlich aufzeigt, dass es sich um ein dezentrales Botnetz handelt und die Clients als Zombies den Vertrieb übernehmen, leider.

  22. Schmidt sagt:

    auch habe eine entsprechende Mail erhalten, aber von der Firma 1&1 , datiert vom 16.01.

  23. Jürgen Dorn sagt:

    Man kann als Server-Admin den Blat X-Mailer-Header einfach abweisen, damit der Mist gar nicht erst durchkommt. Sieht dann so aus:

    postfix/cleanup[24849]: 9ECFA21EF71: discard: header X-Mailer: Blat v3.1.1, a Win32 SMTP/NNTP mailer

  24. René Jacobi sagt:

    Vielleicht mal so einen kleinen Hinweis.

    Wenn die Telekom anfängt ihre Rechnungen zu signieren, und zwar digital. Dann muss jeder Mail Provider weltweit, also von der 1und1 bis hin zu den kleinen Domain und Webhosting Anbietern die entsprechenden Informationen bekommen.

    Wir haben in Deutschland nicht nur die Telekom und die 1und1.

    Das wäre ein groß angelegtes Projekt, bei dem keiner in der Kette verrückt spielen darf. Außerdem müßte dann die Telekom auch die Zertifikate frei zugänglich machen, den vor allem die Lieferanten der Telekom erhalten ja ebenfalls E-Mails. Ganz Deutschland müsste nach Eurer Auffassung mit einem einzigen Standard signieren und verschlüsseln.

  25. Frank Held sagt:

    Da würde ich doch mal ein bisschen nachdenken.Denksportaufgabe ! Was macht die Deutsche Post AG wohl mit ihren Adressen na da kann man schon mal auf dumme Ideen kommen. Oder ?!!!!

  26. Weirauch sagt:

    soeben wurde im fernsehen gemeldet man solle sich ein abdet geben lassen wie komme ich dazu

  27. Thomas sagt:

    Ich finde es aber auch bedauernswert, das ich als normaler Verbraucher jetzt nach allen Seiten hin zu machen muss. Der US Geheimdienst spioniert ja auch jetzt mit. Es ist einfach nur krass!

  28. Benjamin sagt:

    Schädliche E-Mails mit Spam Inhalten kann man abmahnen lassen. Das sollte man auch dringend tun, wenn man den Verdacht auf Spam hat.

  29. Margret de Laat sagt:

    Wie kommen Phishing-Mailer an meine Kontakte?
    Z.Zt. kursieren Phishing-Mails mit meinem Namen an meine E-Mail-Adressen. Wie kann ich das verhindern und stoppen?
    Gerne erwarte ich Ihre Antwort und grüße Sie freundlich,
    Margret de Last

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Spam-Vermeidung *

Mitteilen

Schlagworte

Themenverwandte Artikel