1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen
  2. Bitte schaltet eure Ad Blocker aus. SLinfo kann nur betrieben werden, wenn es durch Werbung Einnahmen erzielt. Vielen Dank!!
    Information ausblenden
  3. Wir freuen uns, wenn du dich in unserem Forum anmeldest. Bitte beachte, dass die Freigabe per Hand durchgeführt wird (Schutz vor Spammer). Damit kann die Freigabe bis zu 24 Stunden dauern.
    Information ausblenden

[OT] Sicherheitsüberprüfung der E-Mail Adresse

Dieses Thema im Forum "Allgemeine Diskussionen zu SecondLife" wurde erstellt von sven Homewood, 22. Januar 2014.

  1. Mareta Dagostino

    Mareta Dagostino Superstar

    Beiträge:
    1.315
    Zustimmungen:
    99
    Punkte für Erfolge:
    49
    Ihr tut ja gerade so, als würden die Eure E-Mail lesen wollen! Angenommen, das BSI würde Böses im Schilde führen. Was bekommen sie dann? einen Riesenhaufen gültiger Mailadressen ohne Zuordnung. Wer mehrere Adressen checken lassen will, und extrem misstrauisch ist, geht halt über einen Anonymisierungsdienst und schickt jede Anfrage mit einer neuen IP los.

    Ich glaube, zur Zeit gibt es auf der dunklen Seite des Webs 1000 bestätigte E-Mailadressen für 1 €.
     
  2. Monalisa Robbiani

    Monalisa Robbiani Superstar

    Beiträge:
    4.357
    Zustimmungen:
    6
    Punkte für Erfolge:
    38
    Danke für den Hinweis. Habe alle meine Adressen getestet und eine war kompromittiert. Eine Spamadresse bei Yahoo, die ich für Torrents, Foren, diverse Portale und so etwas genutzt habe. Also meiner Meinung nach ist das ein guter Hinweis, dass das System tut, was es verspricht.
     
  3. Swapps Swenson

    Swapps Swenson Gründer

    Beiträge:
    8.738
    Zustimmungen:
    2
    Punkte für Erfolge:
    38
    Habe 5 Mailadressen getestet und davon wurde eine beantwortet.
    Interessanterweise habe ich für genau diese Mailadresse etwa 2003 (also vor über 10 Jahren) meine Mailbox gelöscht und dort seitdem nur noch eine reine Weiterleitung (kein Postfach = kein Login).

    Die Daten beim BSI sind - in meinem Fall jedenfalls - völlig veraltet.
     
  4. Monalisa Robbiani

    Monalisa Robbiani Superstar

    Beiträge:
    4.357
    Zustimmungen:
    6
    Punkte für Erfolge:
    38
    Ich glaube, es geht nicht um die Adressen und ihre Passwörter, sondern um Webseiten, auf denen man mit dieser Adresse als Username einloggt, und die dazu passenden Passwörter.
     
  5. Jenna Felton

    Jenna Felton Superstar

    Beiträge:
    1.995
    Zustimmungen:
    57
    Punkte für Erfolge:
    64
    Phischingattake

    Guten morgen :)

    Es kann auch eine übliche Phischingattake sein, aber irgendwie ordne ich sie hierher unter. Ich habe gerade eine Email von angeblich PayPal bekommen

    Die Mail wurde an meine alternative Adresse verschickt und an einen fiktiven Namen gerichtet, den ich für diese Adresse ausgedacht habe. Den Namen kennt nur mein Mailprovider, ich habe den nirgends und gar nicht mit dieser Adresse benutzt. Also entweder hat der meine Daten verkauft (kann vorkommen) oder wurde da tatsächlich eingebrochen. Mein PayPal läuft auf die richtige Adresse und da hab ichs nachgeschaut keine Spur von irgendwelchen Sperrungen.

    Wer also so eine Mail bekommt, wie immer schließen und bei PayPal direkt nachschauen, und keine Links ankliken.

    LG
    Jenna

    PS. Die hier benutzte Adresse war ebenfalls so um 2005 rum eingerichtet worden, also ebenfalls sehr alt, allerdings ist sie im Gebrauch. Nur den Namen hatte ich seit Einrichtung nirgends benutzt.
     
    Zuletzt bearbeitet: 30. Januar 2014
  6. Bittersweet Frostbite

    Bittersweet Frostbite Moderatorin in Urlaub

    Beiträge:
    1.924
    Zustimmungen:
    239
    Punkte für Erfolge:
    63
    Du könntest mal den Header posten, dann kann man oft sehen, woher es kommt.
     
  7. Nicoletta Schnute

    Nicoletta Schnute Forumsgott/göttin

    Beiträge:
    8.042
    Zustimmungen:
    720
    Punkte für Erfolge:
    123
    Wer sich nicht sicher ist klickt niemals auf einen Link in einer Mail, sondern geht in den Lieblingsbrowser und tippt per Hand die bekannte Web-Adresse ein, oder holt sich die Login-Seite aus den persönlichen Lesezeichen.
     
  8. Dianna Loxely

    Dianna Loxely Superstar

    Beiträge:
    1.625
    Zustimmungen:
    2
    Punkte für Erfolge:
    0
    Nachdem großartigen Fehlschlag des Bundestrojaners versucht sich das BSI jetzt mit Social Engineering, quasi der kleiner Bruder von Facebook
     
  9. Jenna Felton

    Jenna Felton Superstar

    Beiträge:
    1.995
    Zustimmungen:
    57
    Punkte für Erfolge:
    64
    Habe mir lange überlegt, ob ich mehr oder weniger eine Volzitat mit Domainnamen hier posten kann. Wenn das durch Forenregeln verboten sein sollte (habe die Lange version nicht gefundne) bitte löschen oder was auch immer. Die angegebene Mailadressen könnten gefälscht sein, also die Zitat muss nicht heißen die NAchricht kam tatsächlich davon.

    Ich habe kurz recherchiert. fisher.arvixe.com müsste eigentlich eine Subdomain von arvixe.com sein, arvixe.com scheint ein recht solider Webhosting-Unternehmen sein. Für "fisher.arvixe.com" gibt es aber komische Suchergebnisse, die ich nicht zitieren wage, weil ich da evtl. falsch liege. Die Adresse "gourmet@fisher.arvixe.com" halte ich irgendwie für gefälscht, Aber ich finde keine Mitarbeiterliste bei arvixe.com um zu prüfen, ob da jemand eingestellt ist der gourmet mit Nachnamen oder so heißen könnte.

    Der Eintrag fisher.arvixe.com [10.248.1.104] scheint nicht zu stimmen, die IP wird glaube ich etwas anders aufgelöst. Damit kann man, denke ich, die angegebene Unternehmen nicht dem Spamversand belangen. Die Idee, die Mail an GMX oder arvixe.com mit einem Misbrauchshinweis weiterzuleiten, sollte ich, denke ich, auch lassen.

    Der Server "europe-service-paypal.de" existiert ebenfalls nicht. Interessant sind da auch Angaben wie "REMOTE_ADDR" und der Hinweis auf Localhost. Naja, soviel habe ich dem ganzen entnehmen können, vielleicht können Experten da mehr mit anfangen.

    Achso, der Link wo ich zum Wiederherstellen meines PP Account ankliken sollte, führte zu http://akadama.ru

    Edit. Das mit Localhost nehme ich zurück, hälfte meiner empfangenen "normalen" Emails haben das im Header.
     
    Zuletzt bearbeitet: 31. Januar 2014
  10. Nicoletta Schnute

    Nicoletta Schnute Forumsgott/göttin

    Beiträge:
    8.042
    Zustimmungen:
    720
    Punkte für Erfolge:
    123
    Beschwerden an:

    Admin Name: ARVAND SABETIAN
    Admin Organization: ARVIXE, LLC
    Admin Street: 23801 CALABASAS RD #2005
    Admin City: CALABASAS
    Admin State/Province: CA
    Admin Postal Code: 91302
    Admin Country: US
    Admin Phone: +1.8889278493
    Admin Phone Ext:
    Admin Fax:
    Admin Fax Ext:
    Admin Email: DOMAINS@ARVIXE.COM

    Die Adresse <server4255774306.europe-service-paypal.de> ist gefakt. Die TLD europe-service-paypal.de ist nicht registriert und bei der Denic frei.
     
    Zuletzt bearbeitet: 31. Januar 2014
  11. Bittersweet Frostbite

    Bittersweet Frostbite Moderatorin in Urlaub

    Beiträge:
    1.924
    Zustimmungen:
    239
    Punkte für Erfolge:
    63
    Arvixe ist ein amerikanischer Webhoster, so wie 1&1 oder Strato bei uns. Fisher ist einfach der Servername. Auf fisher.arvixe.com laufen nach kurzer Recherche hunderte von Domains. Gourmet könnte der User bei Arvixe sein, was uns aber alles nicht weiterhilft.

    Die Frage ist, was am Header könnte gefälscht sein. Normalerweise wird die Fälschungswarscheinlichkeit der Received-Abschnitte immer höher, desto tiefer sie im Header liegen. Die E-Mail wurde definitiv über Arvixe gesendet, das zeigen die IP's in den ersten Received-Abschnitten. Ganz unten haben wir aber einen speziellen Header. Das Datumsfeld ist um X-SG-User und X-SG-Opt erweitert. "X"-Felder sind einfach irgendwelche Headererweiterungen, die jedes Programm beliebig setzen kann. X-SG-Felder benutzt z.B. das Programm mini_sendmail. Hier aber denke ich steht SG für SiteGround. Das ist eine amerikanische Firma. Ein Blick in die Wikipedia verrät uns, das die Firma SoftLayer ein Partner von SiteGround ist. Und hier schliesst sich der Kreis, Arvixe gehört zu SoftLayer. Daher ist es sehr warscheinlich, dass X-SG-User und X-SG-Opt vom Server von Arvixe gesetzt wurden. Darauf deutet auch, dass sämtliche arvixe-Mails diese Header-Erweiterungen besitzen. Daher würde ich sagen, dass die Angabe der REMOTE_ADDR mit hoher Warscheinlichkeit echt ist, sagen wir mal 80%, lach.

    Dann hätte der Absender die IP 176.10.115.98 und säße irgendwo in der Schweiz, Internetzugang über Datasource AG. Vermutlich ist die IP dynamisch, muss aber nicht sein.
     
  12. Bittersweet Frostbite

    Bittersweet Frostbite Moderatorin in Urlaub

    Beiträge:
    1.924
    Zustimmungen:
    239
    Punkte für Erfolge:
    63
    P.S. Das sagt uns jetzt, dass die E-Mail mit Sicherheit nicht von Paypal kommt und mit eingiger Wahrscheinlichkeit von einem Privatmann aus der Schweiz.
     
  13. Nicoletta Schnute

    Nicoletta Schnute Forumsgott/göttin

    Beiträge:
    8.042
    Zustimmungen:
    720
    Punkte für Erfolge:
    123
    Die Adresse des Hosters ist gekapert und der Absender gefakt, generiert. Die wirkliche Quelle lässt sich nicht bestimmen. Zuständig ist der Hoster selbst. Über abuse@ würde ich eine Mail schreiben damit die Adresse gesperrt wird.
     
  14. Shirley Iuga

    Shirley Iuga Forumsgott/göttin

    Beiträge:
    7.507
    Zustimmungen:
    2
    Punkte für Erfolge:
    36
    Doch, kann man letztendlich ;-)
    Die 10.248.1.104 ist einfach eine private Adresse, die nicht ins Internet geroutet wird. (10.0.0.0 bis 10.255.255.255, also 10.0.0.0/8 sind ebenso private Adressen wie z.B. auch 192.168.0.0/256). Das ist die lokale IP von fisher.arvixe.com im eigenen Subnetz. (So, wie man zuhause oft z.B. 192.168.0.1 für seinen Router hat und z.B. 192.168.0.5 für seinen PC dann.) Übers Internet ist der Rechner fisher.arvixe.com dann über eine andere Adresse erreichbar (50.97.138.111), die derzeit dem Webhoster Arvixe gehört.

    Die 127.0.0.1 ist auf dem Rechner fisher.arvixe.com der Rechner fisher.arvixe.com selbst (loacalhost/loopback). D.h. die Mail wurde wohl von einem Programm/Skript auf diesem Rechner an den Mail Server auf dem lokalen Rechner verschickt und ging dann von dort über ein MailChannels Relay zu GMX und dann von dort zu Dir. Die X-Header (X-SG User bzw. X-SG OPT ) wurden dabei auf dem Rechner selbst gesetzt, sind also nicht unbedingt "vertrauenswürdig" und könnten durchaus auch gefälscht sein.

    Da wurde wohl einfach der Webhosting/Admin-Account bzw. der Zugang von "Aaron's Gourmet" gekapert, einem US-Lebensmittelmarkt aus NY, der bis vor kurzem u.a. unter "passovermenu.com" noch einen Food-Service mit jüdischem/koscherem Essen angeboten hat. (Ist aber immer noch unter http://www.aaronsgourmet.com/ zu erreichen, siehe http://www.aaronsgourmet.com/html/passover_2014.html). Und anschließend wurden vermutlich von einem (umgeschriebenen) php-Script auf diesem Rechner eben die Mails verschickt. Vermutlich dann über den Mailer, der z.B. sonst den Newsletter verschickt hat. Weswegen das wohl auch z.B. dem MailChannels Relay nicht aufgefallen ist.
     
  15. Bittersweet Frostbite

    Bittersweet Frostbite Moderatorin in Urlaub

    Beiträge:
    1.924
    Zustimmungen:
    239
    Punkte für Erfolge:
    63
    Die Argumentation hinkt ein wenig. Wenn X-SG-Opt gefälscht wurde, wäre auch passovermenu.com gefälscht. Aber ich denke schon das X-SG-Opt echt ist, wie gesagt 80%. Ansonsten ist natürlich nichts im Header wirklich vertrauenswürdig. Im Extremfall könnte sogar der ganze Postweg ab einschliesslich Zeile 5 gefälscht sein.
     
  16. Jenna Felton

    Jenna Felton Superstar

    Beiträge:
    1.995
    Zustimmungen:
    57
    Punkte für Erfolge:
    64
    Danke Euch für die Antworten. Cool, hätte ich nicht gedacht dass man soviel rauslesen kann :)

    Nico, kurze frage, woher hast Du diese Angaben?

    Unter Contact hat Arvixe eine andere Angabe, vor allem gibts da "abuse@.." Email angegeben. Und wenn ich die IP 50.97.138.111 aus dem Header auflösen will, bekomme ich ebenfalls die Adresse mit abuse. Ich werde die Mail mit der Headerzitat an beide weiterleiten.

    LG
    Jenna
     
  17. Bittersweet Frostbite

    Bittersweet Frostbite Moderatorin in Urlaub

    Beiträge:
    1.924
    Zustimmungen:
    239
    Punkte für Erfolge:
    63
    Sie hat nicht 50.97.138.111, sondern arvixe.com aufgelöst.
     
  18. Jenna Felton

    Jenna Felton Superstar

    Beiträge:
    1.995
    Zustimmungen:
    57
    Punkte für Erfolge:
    64
    Stimmt, danke Dir Bittersweet :) Habe an beide verschickt, so können die schneller reagieren, bzw der richtige evtl gleich informiert, falls in den 2 Tagen nicht schon der Misbrauch aufgefallen ist.