Hallo,

mir wurde heute von mehreren Leuten mitgeteilt, dass Spam-Mails mit meinem Namen aber einer fremde Email Adresse versendet wurden. Die Nachrichten gingen offensichtlich an mein Adressbuch bei Web.de. Inhalt war:

Fw:New important message

Hello!

New message,please read ...Link...

Mein Name

Ich habe meine Emails in letzter Zeit fast ausschließlich über mein Tablet über die Web.de App abgerufen. Ist mein Account gehackt worden? Was kann ich tun?

Danke für eure Hilfe!

Kurze Ergänzung: Der in der Spam Mail angegebene Name ist mein Mädchenname. Meine Email Adresse lautet auf meinen neuen Namen, ich habe jedoch in meinem Adressbuch unter "Ich" noch diesen alten Namen drin.
Mein Postfach ist an sich sauber. Keine Fehlermeldung zwecks Zustellung, kein unbekannter Postausgang.

Scheint so, als ob jemand an mein Adressbuch gelangt ist. Oder?

Kann es auch ein Problem beim Provider geben? Ist betreffend Web.de etwas bekannt?

Habe gestern selbst so eine Spam Mail von einer unbekannten Web.de Email Adresse erhalten.

Ich habe heute eine ähnliche E-Mail (vermeintlich) von meiner Schwester bekommen. Also tatsächlich stand als Absender eine mir unbekannte Person drin, aber die E-Mail-Adresse dieser Person war die meiner Schwester.

Die Mail ging nicht nur an mich, sondern auch an andere Adressen. Besonders auffällig dabei: es waren zwei Adressen mit Tippfehler dabei und zwar Tippfehler, die ich mal gemacht habe, einer davon vor vier Jahren(!). Diese Adressen existieren so in keinem Adressbuch. Aber sie liegen zumindest noch im Postfach rum, bei mir, und vielleicht auch bei meiner Schwester, die in beiden Fällen auch unter den Adressaten war.

Ergo: Die Spammer haben ihre Adressen in meinem Fall nicht aus einem Adressbuch sondern aus dem E-Mail-Postfach.

Die Spam-Mails wurden übrigens nur im Namen meiner Schwester versendet. Die Mails kamen laut Mail-Header von der IP-Adresse 41.69.22.111 und die ist in Cairo, Ägypten, zu verorten.

Bleibt die Frage, wie sind die Spammer an das Postfach rangekommen? Folgende Möglichkeiten kommen in Frage:

1. Einer der Mail-Provider wurde gehackt und die Spammer kamen so an die Postfächer
2. Das Passwort für das Mail-Postfach beim Provider kam in fremde Hände.
3. Meine Schwester hat sich einen Trojaner eingefangen.
4. Ich habe mir einen Trojaner eingefangen.

Mal schauen, was ich hierzu noch herausbekomme.


@sterni85: ich hab das hier alles reingeschrieben, um zu sehen, ob es bei Dir Parallelen gibt. Letztlich geht es darum einzugrenzen, wessen Postfach hier gehackt wurde und ob Du weitere Vorkehrungen treffen musst oder vielleicht einer Deiner Freunde.

Mal ein paar Fragen dazu:

1. Was meinst Du mit "die Mail-Adresse läuft auf Deinen neuen Namen"? Enthält die Adresse tatsächlich den neuen Namen? Oder verwendest Du sie nur noch in Verbindung mit dem neuen Namen? Hast Du die Adresse auch mal mit Deinem alten Namen verwendet?
2. Für die Bestätigung meiner Postfach-Theorie würde es bei Dir genügen, dass jemand anders mal eine Mail empfangen hat, in der Deine E-Mail-Adresse in Verbindung mit Deinem Mädchennamen verwendet wurde. Ist ein solcher Fall denkbar?
3. Enthielt die Mail, die Du bekommen hast, noch weitere Adressaten?
4. Du schreibst, der Absender ist Dir unbekannt. Wie sieht's denn mit der E-Mail-Adresse des Absenders aus? Kennst Du die?

Auf jeden Fall fände ich es sehr beunruhigend, wenn Spammer Zugriff auf private Postfächer hätten.

Danke für deine Antwort.

Ich habe die Mail Adresse schon seit Ewigkeiten. Anfangs lief sie auf meinen Mädchennamen, zwischenzeitlich auf meinen neuen Namen.

Bsp. Martha Müller "Beispiel@web.de" (alt)
Martha Schmid "Beispiel@web.de"(neu)

Und ja, meine mail adresse in Verbindung mit meinem alten Namen ist bekannt und ich habe auch Mails damals versandt.

Ich habe die spam Mail nicht bekommen, sondern mein Mann und eine Bekannte. Bei meinem Mann waren weitere 4 oder 5 Email Adressen aus meinem Adressbuch enthalten, bei der Bekannten auch. Beide haben unterschiedliche Mails mit unterschiedlichen Links erhalten, die weiteren Personen waren bei beiden nicht die gleichen (ich hoffe du verstehst was ich meine )

Die Email das Absenders ist eine gmx.de Adresse, die ich nicht kenne. Sie enthält auch das Wort spam.

Alles irgendwie seltsam. Tendiere weiterhin zur Theorie, dass irgendwer an mein Adressbuch gelangt ist.

Ich kann in meinem Fall ausschließen, dass es sich um einen Adressbuchdiebstahl handelt, da Adressen involviert waren, die in keinem Adressbuch stehen. Auf Grund der zeitlichen Nähe und des identischen Inhalts der Spam-Mails würde ich vermuten, dass die Spammer in Deinem und meinem Fall ähnlich vorgehen.

Also mal angenommen, die Spammer haben Zugriff auf Postfächer, entweder direkt beim Provider oder über einen Trojaner auf einem der Rechner.

In Deinem Fall wäre am besten, wenn alle Absender und Empfänger der Spam-Mails schauen, ob sie jede der beteiligten Adressen irgendwo im Postfach haben (in empfangenen Mails oder gesendeten). So kann man den möglicherweise gehackten Personenkreis hoffentlich etwas eingrenzen. In den Fokus rücken alle, die jede der involvierten Adressen "kennen".

In meinem Fall ist das zum Glück etwas einfacher, weil die fehlerhaften Adressen dabei waren, die wirklich nur bei mir oder meiner Schwester im Postfach auftauchen können.

Alle möglicherweise Gehackten sollten auf jeden Fall Folgendes tun:

1. Das E-Mail-Passwort ändern
2. Prüfen, dass alle Mobilgeräte die Mails nur verschlüsselt abrufen (Stichwort:SSL). Bei web.de ist das inzwischen (glaub ich) verpflichtend, das war aber nicht immer so. Also vielleicht wandern irgendwo noch unverschlüsselt Passwörter durch die Gegend.
3. Nach Viren/Trojanern auf den Rechnern schauen, auf denen die Mails abgerufen werden.

Passwort werde ich ändern und die Provider informieren.

Es kann eigentlich nur mein Adressbuch sein. Bei der Bekannten stehen alle weiteren Empfänger in alphabetischer Reihenfolge so in meinem Adressbuch.sie kennt keine der weiteren Personen bzw hatte jemals Kontakt mit diesen. Selbiges bei meinem Mann.

Ich habe mit den mir bekannten weiteren Empfängern der Spam zum Teil nie Email Kontakt gehabt.

Noch eine Idee, wie Angreifer an Dein E-Mail-Passwort gekommen sein könnten:

Verwendest Du Dein E-Mail-Passwort auch für das Login bei anderen Webseiten (z.B. Onlineshops oder Foren)?

Es ist in der Vergangenheit schon mehrfach vorgekommen, dass die Kundendatenbanken von Internetdiensten gehackt wurden und die Angreifer sich dann mit den gewonnenen Daten (E-Mail-Adressen + Passwörtern) bei anderen Diensten einloggen konnten.

Beispiel: Angenommen Du verwendest Dein E-Mail-Passwort auch für das Login in diesem Forum. Wenn nun jemand den Server dieses Forums hackt und darüber an das Passwort kommt, könnte er sich mit Deiner E-Mail-Adresse (die dem Forum-Server ja auch bekannt ist) und dem Passwort bei Deinem Mail-Provider einloggen

Also, Faustregel: Verwende niemals das gleiche Passwort bei verschiedenen Onlinediensten!

Nun kann sich niemand tausend Passwörter merken, aber es genügen schon leichte Abwandlungen des Passworts, um einen automatisierten Missbrauch auszuschließen. Zum Beispiel kannst Du die ersten drei Buchstaben des jeweiligen Dienstes mit ins Passwort packen. Ein Mensch würde das vielleicht durchschauen, wenn er das Passwort sieht, aber die Daten von irgend welchen Server-Hacks werden meist automatisiert ausgewertet und da ist nur wichtig, dass sich das Programm nicht automatisiert mit der gefundenen E-Mail-Adresse und dem Passwort woanders einloggen kann.

Hallo zusammen,

das gleiche Problem ist bei mir auch aufgetreten (GMX-Account, ist aber auch United Internet). (22.02.2016)

Die Symptome sind absolut vergleichbar.

Als Client verwende ich Thunderbird, auf MAC und Linux, außerdem den GMX-Client für Android. Es ist also kein Windows-Zeug dabei, was vielleicht normal wäre.

Allerdings: Im Header stand: X-Mailer - Microsoft Outlook 15.0

Der läuft bei mir mit sicherheit nirgends.

Aus den zurückgekommenen Mails waren IP-Adressen u.a. aus Ägypten, Mongolei, UK und Japan dabei.

@ sterni85: gleiches Verhalten wie du beschrieben hast. Taucht bei dir auch Outlook 15.0 als X-Mailer auf? Auffällig ist, dass Accounts von praktisch einem Provider betroffen sind.

VG
Martin

Ich wurde gestern abend von einem Bekannten darauf aufmerksam gemacht, dass in meinem Namen, aber mit anderer Emailadresse Emails verschickt wurden an Adressen aus meinem Adressbuch - also ein Fall wie unten beschrieben.

Nun meine Frage: Habt Ihr dieses Problem bereits in den Griff bekommen u wenn ja...wie???

Ich bin eine absolute PC-Null...habe keine Ahnung...

Was ich bisher gemacht habe: Virenscanner (Antivir) und Malwarebytes checken lassen - der Virenscanner hat nichts gefunden, Malwarebytes ja...diese Dateien wurden entfernt.

Was auch komisch ist: Ich wollte mir heute morgen den CCCleaner downloaden, was nicht ging - absolut blockiert mit Error-Fehlermeldungen.

Es wäre toll, wenn Ihr noch einen Tipp für mich habt, was ich sonst tun kann...

Herzlichen Dank!

@Martin_KA:

Bei meiner Schwester war es auch GMX und im ersten Moment hatte ich auch überlegt, ob United Internet da ein Problem haben könnte. Andererseits ist es (bei den vielen millionen Nutzern) viel wahrscheinlicher, das dem ein oder anderen mal sein Passwort abhanden kommt. Wäre wirklich Web.de oder GMX direkt gehackt worden, wäre dazu längst die Presse Sturm gelaufen, schließlich ist das einer der größten Mail-Provider Deutschlands. Sowas lässt sich nicht unter den Teppich kehren.

@Steffi75:
Hat derjenige, dessen E-Mail-Adresse verwendet wurde, auch die Adressen entweder in seinem Adressbuch ODER irgendwo in seinem Postfach (z.B. ein empfangenen E-Mails)? Es kann sehr gut sein, dass nicht Du gehackt wurdest sonder der, dessen E-Mail-Adresse als Absender benutzt wurde. So war es bei meiner Schwester. (sie wurde gehackt und nicht der, dessen Name als Absender auftauchte)

Und nochmal zusammenfassend: Bisher kann man nur mutmaßen, wie die Spammer an die Mailadressen gekommen sind. Folgende Varianten sind für mich bisher denkbar: *)

1. Die Adressen wurden aus einem E-Mail-Programm gestohlen. Hierfür würde es genügen, dass irgend jemand, der alle beteiligten Adressen irgendwo in seinem Postfach oder Adressbuch schlummern hat, sich einen Virus/Trojaner eingefangen hat. Dieser jemand muss nicht einmal selbst in den gesendeten SPAM-Mails auftauchen.
2. Die Adressen wurden online aus einem Mail-Postfach gestohlen. Hierfür bräuchten die Angreifer das Passwort zum Postfach (siehe nächster Absatz) ODER direkten Zugriff zum Provider-Server (d.h. Mail-Provider gehackt, das ist unwahrscheinlich, siehe oben).

Wie können Angreifer an ein E-Mail-Passwort gelangt sein. Hierzu gib es viele Möglichkeiten, ich zähle mal die meiner Meinung nach wahrscheinlichsten auf:

1. Das Passwort wurde auf einem PC eingegeben, welcher mit einem Trojaner infiziert war. Das kann z.B. auch im Urlaub im Hotel oder Internet-Café passieren.
2. Das Passwort wurde unverschlüsselt über ein unsicheres Netzwerk (z.B. öffentliches WLAN) übertragen. Das kann passieren, wenn man im Mailprogramm im mobilen Gerät die Verschlüsselung (SSL/TLS) nicht aktiviert hat bzw. hatte.
3. Das Passwort wurde auch bei anderen Online-Diensten verwendet (z.B. Online-Shops) und einer dieser Dienste wurde gehackt. Sowas passiert ständig, auch bei prominenten Diensten. Siehe z.B. die Hacks des Playstation Networks.

Es hilft nur:

1. Passwort ändern
2. Rechner auf Trojaner prüfen (Antivirenprogramm)

@Steffi75: Das Problem ist, dass die Adressdaten bereits in der Hand der Angreifer sind. Selbst wenn man jetzt also sein Passwort ändert, Viren löscht, etc. können die Angreifer/Spammer mit den Daten weiter tun, was sie wollen. Sie können weiterhin E-Mails unter fremden Namen verschicken. Das liegt daran, dass E-Mails diesbezüglich nicht sonderlich sicher sind. Das ist, als ob Du auf einen Briefumschlag einen falschen Absender schreibst. Das kann auch keiner verhindern.

*) Vielleicht ganz kurz zu meinem Background, weshalb ich glaube solche Dinge ganz gut beurteilen zu können: Ich bin Informatiker mit Spezialisierung auf Netzwerktechnologien seit über 15 Jahren. Ich habe viele Hacks erlebt, bekämpft und einige selbst durchgeführt. Ich weiß z.B. wie leicht es ist, in einem offenen WLAN oder einem verdrahteten Netzwerk Passwörter abzufangen. Dagegen kann sich ein Nutzer nur wehren, wenn er konsequent auf verschlüsselte Verbindungen im Mail-Programm und auch im Browser setzt. Außerdem sollte man sehr wachsam werden, wenn der Browser einen z.B. mit Zertifikatsfehlern warnt, wenn man gerade ein Passwort eingegeben hat. Leider war es gerade bei Web.de und GMX über viele Jahre Brauch, nicht zu verschlüsseln. Weder im Mail-Programm noch im Browser. Es könnte also auch sein, dass Passwörter schon vor Jahren abgefangen wurde und erst jetzt verwendet werden.

@jkow
Herzlichen Dank für Deine ausführliche Antwort!

folgendes: alle Emailadressen stammen definitiv aus meinem Adressbuch, davon gehe ich aus.

Ich habe folgende Adware gefunden und bin mir nicht sicher, ob sie damit zusammenhängt: PUP.optional.MindSpark - diese (so hab ich gelesen) muss ich manuell löschen.

@Steffi75:

Alles, was ich zu MindSpark bisher gelesen habe, deutet darauf hin, dass die Geld damit verdienen, "Nutzern" ungefragt Werbung unterzuschieben. Die Installation erfolgt dabei mehr oder weniger offiziell im Rahmen einer anderen Software-Installation. Das Geschäftsmodell ist also, dass sie andere Software-Lieferanten an ihren Werbeeinnahmen beteiligen und dafür liefern diese MindSpark gekoppelt an ihre Installationspakete aus.

Sie wären technisch sicherlich auch in der Lage, Mailkonten zu durchwühlen oder Passwörter abzufangen, das allerdings wäre im Gegensatz zu den sonst nur unliebsamen Aktivitäten kriminell. Sie würden riskieren, im Falle dass das auffliegt, ihre legalen Partner und damit einen Gutteil ihrer Einnahmequelle zu verlieren.

Also ich würde in jedem Fall versuchen, MindSpark loszuwerden, aber so richtig glaub ich nicht dran, dass sie in fremden Postfächern rumschnüffeln.

Allerdings beweist die Existenz von Mindspark auf Deinem Rechner schon, dass Du Software von fragwürdigen Quellen installiert hast. Insofern steht die Chance gut, dass Du Dir da auch mal was anderes eingefangen hast.

Mal etwas gesponnen: Es wäre auch denkbar, dass wir es mit einem Trojaner zu tun haben, der sich selbst löscht, nachdem er die Postfächer und Adressbücher nach Adressen durchwühlt hat. Quasi um Spuren zu verwischen und nachträgliche Ermittlungen zu erschweren.

Hallo, ich habe zu dem Thema mal noch folgende Fragen ...

1. Die Mails, die da in meinem Namen rundgeschickt werden, haben alle den gleichen Inhalt "New message, please read ..." mit dem bekannten Drumherum. Der größte Teil davon wird bei den Empfänger-Servern als SPAM erkannt und entsprechend in SPAM-Ordner abgelegt, aber eben nicht alle. Warum ist es den Mail-Providern nicht möglich ALLE solche E-Mails als SPAM zu erkennen, wo sie doch alle ein leicht erkennbares identisches Strickmuster haben?

2. Auch die Bounces "Mail delivery .... ", die zu mir zurückkommen, landen größtenteils in meinem SPAM-Ordner, aber eben auch nicht alle. Deshalb gleiche Frage wie oben.

3. Wenn ich nun zukünftig nur noch S/MIME-signierte E-Mails verschicke, könnten dann meine Empfänger die falschen nicht signierten irgendwie automatisch ausfiltern? Also gibt es bei zumindest manchen Providern oder auch Mail-Programmen SPAM-Filter, die eine manuell oder automatisch überprüfte/eingetragene Signatur bei der Überprüfung mit einbeziehen.

4. Die erste SPAM-Welle erfolgte ziemlich genau 2 Wochen nachdem ich nach sehr langer Zeit einmalig in einem Café das über Browser-Einmal-Passwort-Eingabe geschützte WLAN nutzte. Seit dem kommt ziemlich regelmäßig alle 2 Wochen eine neue Welle. Ich meine mich auch zu erinnern, dass schon mal jemand über eine angebliche Unsicherheit in genau diesem Café, in dem ich viele Gäste kenne, gesprochen hat. Hier wurde also möglicherweise entweder mein Passwort von einem anderen "Gast" abgehört, oder durch eine Malware auf deren System oder durch gezielte Spionage seitens der Café-Betreiber. Wie verbreitet sind diese Möglichkeiten jeweils? Wie kann man sie erkennen und evtl. vorbeugen? Wie könnte man eine Überprüfung der dortigen Infrastruktur diplomatisch veranlassen bzw. vielleicht selbst durchführen um für sich selbst und andere befreundete Gäste für die Zukunft vorzubeugen?

5. Bei den Providern die ich kenne, GMX, 1und1 und auch andere, wird trotz SSL/TLS keine verschlüsselte Passwort-Übertragung zugelassen. Was nützt in dem Fall die SSL/TLS-Sicherung bzgl. Login-Klau?

6. Ich verwende ausschließlich Thunderbird auf meinem Ubuntu-Linux Notebook, um auf meine E-Mails sowohl mittels POP3 als auch IMAP zuzugreifen. Betroffen ist meine GMX-Adresse, allerdings verwende ich zum Versand den 1und1-SMTP-Server, wo ich auch 3 Postfächer habe, die aber bisher nicht betroffen sind. In den Headern der SPAMs finde ich ausschließlich: "X-Mailer: Microsoft Outlook 15.0" Ich denke, damit kann ich sicher sein, dass die E-Mails nicht über meinen Rechner - z.B. mittels Malware - versandt werden, es sei denn, es gibt eine auf Linux lauffähige Malware, die fälschlicherweise "X-Mailer: Microsoft Outlook 15.0" einträgt. Aus gleichem Grund denke ich auch, dass die verwendeten Kontakt-Daten nicht aus meinem Rechner ausgelesen wurden, sondern aus den gespeicherten E-Mails auf dem GMX-Server, wo mein Adressbuch leer ist. Mein Passwort habe ich geändert. Aus dieser Logik heraus kommen für mich nur 2 Möglichkeiten für den wann auch immer und vermutlich nur einmal erfolgten "Einbruch" in Frage: A) Mein früheres Passwort, welches ich nirgendwo außer dort verwendete, wurde gehackt bzw. abgefangen. B) Es gibt undichte Stellen (NSA?) bzw. kriminelle Mitarbeiter in der GMX-Server-Landschaft.
Liege ich mit meinen Annahmen richtig?

7. Sind schon mal irgendwo Hinweise aufgetaucht, dass auch die Inhalte der gekaperten E-Mails in irgendeiner Weise "genutzt", also missbraucht wurden? Wenn nicht, würde das doch vielleicht darauf hindeuten, dass 6.B) oben zutreffen könnte, denn was sollte externe Einbrecher davon abhalten, auch die Inhalte für was auch immer zu verwenden?
Es könnte evtl. auch sein, dass die Einbrecher nur die E-Mail-Kopfdaten, nicht aber die Inhalte herunterladen. Das könnte 2 Gründe haben: A) Bandbreite sparen. B) Einbruch weniger auffällig und damit schwerer nachvollziehbar machen.

8. Hat schon mal jemand versucht, über den Provider herauszubekommen, wann und wie der Einbruch stattgefunden hat. Es müsste doch aus deren Log-Dateien erkennbar sein, wenn mit einem Rutsch alle E-Mails auf einmal abgerufen wurden, was im normalen Betrieb ja nur vorkommt, wenn man einen Mail-Client-Zugang frisch einrichtet, und dann einmalig alles auf einmal heruntergeladen wird.

@jkow

Ich habe genau das problem das du beschrieben hast. ebenfalls adressen mit tippfehlern von mir dabei usw. Kannst du mir vilt sagen ob du diesem problem schon auf den grund gehen konntest? Wenn du mir bei der lösung dieses problems helfen könntest wär ich wirklich sehr dankbar

Niklas