Hallo, zusammen, auch auf die Gefahr hin, dass das längst bekannt ist:
Im T-Online-Mail-Konto eines Kunden gefunden (Bild1):
Ihr E-Mail-Konto verlangt, dass die Überprüfung unblockiert wird
Definitiv der Versuch, Kontodaten abzufischen, denn der Anklick-Link führt (obwohl plausibel dargestellt) zu einer Phishing -Site
(Bild2)
Übel natürlich im Kontext, dass der Kunde gerade einen Tarifwechsel durchmacht und davon ausgehen kann/muss, diese Nachricht könnte damit zusammenhängen.
@Team: Habe Mail gespeichert und könnte ggf. per Mail forwarden zur weiteren Untersuchung nach PN
vor 8 Jahren
Hallo @wolliballa,
danke für die Info, aber ich hoffe doch, der Empfänger weiss, dass die Telekom schon der Lage ist, ihre Kunden in korrektem Deutsch anzuschreiben.
Schon an dem Schreibstil sollte jeder Empfänger in der heutigen Zeit diese E-Mails als Spam zu identifizieren wissen.
3
Antwort
von
vor 8 Jahren
@zimso
"Sollte" ist korrekt, aber nachdem hier sogar schon
"persönliche Kennwörter" öffentlich gepostet wurden - mit allen
Kundendaten, rechne ich leider meist mit dem Gegenteil - nämlich
der Sorglosigkeit der Menschen...
Antwort
von
vor 8 Jahren
@zimso: leider ein nur zu frommer Wunsch.
Und wenn das ganze (wie oben beschrieben) am Tag nach einer IP-Umstellung im Postfach landet, würde ich die Klick-Quote nahe bei 100% ansetzen. (Und auch ich habe zunächst gestutzt, bin aber dann (vielleicht nur aus täglichem Trainingserfolg) auf die Rechercheschiene ausgewichen.))
0
Antwort
von
vor 8 Jahren
Wenn die Telekom schon nicht in der Lage ist, eine gefälschte Mail der Telekom als Phishing einzustufen, wer dann?
Ein Hoch auf den gut funktionierenden Spamfilter. Sarkasmus Ende.
0
Uneingeloggter Nutzer
Antwort
von
Akzeptierte Lösung
akzeptiert von
vor 8 Jahren
@zimso
"Sollte" ist korrekt, aber nachdem hier sogar schon
"persönliche Kennwörter" öffentlich gepostet wurden - mit allen
Kundendaten, rechne ich leider meist mit dem Gegenteil - nämlich
der Sorglosigkeit der Menschen...
0
vor 8 Jahren
Im übrigen kann man anhand der Received-Headerzeilen herausfinden, über welchen Provider die Mail verschickt wurde, und sich bei der zuständigen Abuse-Abteilung beschweren.
0
5
Antwort
von
vor 8 Jahren
@patrickn
@Gelöschter Nutzer
siehe hier https://telekomhilft.telekom.de/t5/Beratung-Kauf/Empfangende-E-mail-von-der-Telekom/m-p/2668083#M589
Ihr seht, dass das normale Nutzerverhalten durchaus 'normal' anders ist, als es die 'reine Lehre' erwarten würde. Ich habe täglich im Kundenkreis damit zu tun
0
Antwort
von
vor 8 Jahren
@wolliballa Genau aus diesem Grund ist es doch wichtig, dass der Spamfilter endlich mal vernünftig funktioniert - oder jedenfalls annähernd.
Und wenn man den Verdacht hat, es handelt sich um Phishing , muss man das deutlicher kennzeichnen - und nicht nur - wenn überhaupt - durch Hinzufügen eines popligen *** SPAM *** Hinweis im Betreff.
Da gehört ein fetter Banner über den Inhalt der Mail hin, wie hier der Datenschutzbanner. Aber in Knallrot, nicht Babyblau. Zusätzlich könnte man noch eine explizite Warnung bei Klick auf den Link anzeigen, sowie Links wie "Klicken Sie hier" automatisch abändern in "Klicken Sie hier (http://ganzbestimmtnichttelekom.de.sdfjkgsaukf.com/email-verify.php)"
0
Antwort
von
vor 8 Jahren
- Returnpath (gefakte Absenderadresse ) ist @fk12373
- Returnpath (gefakte Absenderadresse ) ist @fk12373
Sicher, daß die gefälscht ist? Die Phishing -Mails, die bisher hier mit T-Online-Absenderadresse aufgeschlagen sind, wurden tatsächlich über (gekaperte) T-Online-Accounts verschickt.
Wenn die Mail via securesmtp.t-online.de verrschickt wurde, dann findet man eine Headerzeile in der Art:
Received: from [10.123.224.6] (Sx+e7cZ[noch viele weitere Zeichen]@[81.95.XXX.XXX])
by fwd05.t-online.de with (TLSv1:DHE-RSA-AES256-SHA encrypted) esmtp id
1dAE09-24Kc8m0; Mon, 15 May 2017 13:17:21 +0200
Via E-Mail-Center siehts so aus:
Received: from spica14.aul.t-online.de
(TJzmDc[noch viele weitere Zeichen]@[172.20.102.126])
by fwd30.aul.t-online.de with esmtp id 1dKNi9-06u99E0; Mon, 12 Jun 2017
13:40:45 +0200
Received: from 197.210.XXX.XXX:60535 by cmpweb06.aul.t-online.de with
HTTP/1.1 (Lisa V4-9-3-0.13997 on API V5-7-0-0)
Die langen Zeichenfolgen tauchen dann nochmal in der Headerzeile X-ID auf.
Helfen würde eine Meldung in dem Fall vornehmlich dem Nutzer, dessen Account gekapert wurde, dadurch, daß er vom Abuse-Team darauf hingewiesen wird, daß ihm offenbar das ein oder andere Paßwort geklaut wurde (möglicherweise durch Malware). Früher oder später landet so ein Phish zwar wahrscheinlich eh in einer Spam-Trap und wird gemeldet; aber je früher umso besser.
Ob man dann noch den (ausländichen) ISP informiert, aus dessen Netz der Phish (wahrscheinlich von einem infizierten Kundenrechner) versandt wurde, mag man selbst entscheiden (bei manchen ISPs. ist es vielleicht auch wenig aussichtsreich). Ich würde vermuten, daß das T-Online-Abuse-Team das eh macht - weiß es aber nicht.
0
Uneingeloggter Nutzer
Antwort
von
Uneingeloggter Nutzer
Frage
von