offenbar ein neuer Wurm

Zu meinem Schrecken wurde ich von meinen Freunden, deren e-Mail-Adresse in meinem GMX-Account gespeichert war, darauf angesprochen, eine e-Mail mit folgendem englischen Inhalt verschickt zu haben:
"Hey，good news!
I ordered one Apple iphone 4S And Ipad 2 from this website "www.eoriginzone.com"
one weeks ago, today I've got it . Amazing,beyond my
imagination, it's genuine and as good as expected,but much cheaper. I'm pleased to share
this good news with you!"
Offenbar hat sich der Wurm oder was das war, alle gespeicherten Adressen herausgesucht und dabei auch noch meine voreingestellte Grußformel für meine Mails genutzt, sodass das Ganze auch noch glaubhaft aussah.
Hat jemand Erfahrungen damit oder einen Vorschlag, wie man das Viech wieder los wird. Ich habe sicherheitshalber als erstes mal alle in meinem GMX-Account gespeicherten Adressen gelöscht.
Danke, Kael

 

Hallo Kael,
ich hatte gestern (27.10.) um 14:31 exakt das gleiche Problem. Irgendwas hat mein GMX Account "geknackt" und die gleiche Spam mail wie bei Dir an alle eMail Adressen meines GMX Adressbuches als Bcc geschickt. Die Mail wurde im meinem Namen gesendet und offenbar auch als "ich" an GMX authentifiziert - ich konnte die Spam Mail sogar in meinem Gesendeten Mails im GMX finden!
Ich habe nun auch mein Passwort geändert und das Adressbuch gelöscht. Es ist mir aber ein Rätsel wie das passieren konnte.
Die Spam Mail selber wurde (laut header) bei GMX von der IP 178.18.245.84 abgeliefert. Eine Abuse Mail an den Provider hat noch keine Antwort gebracht.
Hast Du schon neue Informationen hierzu?
Gruss
Marko.

 

Hallo Marko,
hallo Kael,

ich hatte am 27.10. um ca. 14:30 Uhr genau das gleiche Problem wie von Euch beschrieben. Habe mein Passwort geändert und meinen Rechner gecheckt, nichts gefunden.

Soweit mir bekannt ist, soll "www.eoriginzone.com" ein sehr unseriöser Anbieter sein. Allerdings hatte ich vor dieser Geschichte nie Kontakt mit der Internetseite.
Meine Nachfrage bei GMX und weitere Recherchen waren bis jetzt jedoch ohne Erfolg. Bin aber auch kein Spezi was die Thematik angeht.
Für weitere Infos wäre ich daher auch sehr dankbar.
Gruß Grundgesetz

 

Hallo Ihr Drei !!!

Bei mir (bzw. meiner Frau) genau das gleiche, nur in Deutscher Sprache !
( 28.10.2011 )

Aber Vorsicht !
UNBEDINGT PRÜFEN !!!!!
Wir haben zusätzlich noch herausgefunden, dass einige Adressen, die sich im Adressbuch befunden haben, auf die "Blacklist" gesetzt worden sind um zu verhindern, dass der Nutzer gewarnt wird.

Habe auf unseren Systemen ein Scann mit verschiedenen Progies durchgeführt und nichts gefunden.

Wir haben den Verdacht, dass evtl. eine Defekte SSD Kingston Festplatte die wir auf Gewährleistung eingereicht haben die Ursache war, denn nur hier waren die Zugangsdaten in Form von Outlook gespeichert...

Wir überlegen eine Anzeige gegen Unbekannt zu stellen, da so wie es aussieht, der Angreifer in Deutschland sitz, bzw eingeloggt war.

Wäre super wenn wir hier einen "Gemeinsamen Nenner der Schwachstelle" finden würden, um diesen Idioten das Handwerk zu legen !

Grüße

Badguy24

 

Wurde der jeweilige GMX Account durch einen Browser bedient?

 

Hallo Maclin,

ja ... (Hauptsächlich)

Wieso ? Hast Du nähere Infos für uns ?

Mfg

Badguy24

 

Nein. Ich fragte aus Neugier.

Ich glaube nicht, dass das durch einen Wurm verursacht wurde.
Ich glaube, dass die jeweiligen Accounts gehackt wurden. Das Passwort war zu einfach.
Oder durch Unachtsamkeit war der Account an einem fremden Rechner noch offen.

Daher glaube ich auch nicht, dass man etwas auf einem Mac-Rechner finden wird.
Das wäre in den diversen Mac-Magazinen breit getreten worden.

Ob eine Anzeige was bringen wird...

 

Was ich vergessen hatte !

Ich fahre kein Mac System, sondern Windows 7 64 bit ...


Grüße

Badguy24

 

:meckert: dann hats mit dem Mac ja wohl kaum was zu tun, oder? :meckert:
Christian

 

Hallo,

habe seit gestern das gleiche Problem gehabt.
Mac Pro mit GMX Account.

Werde morgen zur Kripo gehen. Hat jemand sonst neue Infos?

Habe in den letzten zwei Wochen ledliglich einen Icloud, Skydrive und einen Comunio Account angelegt !

Das kann doch alles nicht wahr sein oder ?? Wie geht das ??

Grüße

 

Wenn sich für Macs interessiert und sich zukünftig einen kaufen möchte, ist er natürlich herzlich willkommen... :biggrin:

 

Leute, legt Euch vernünftige Passwörter zu (mind. 8 Zeichen, eine wahllose Kombination aus Groß u. Kleinbuchstaben, Zahlen und Sonderzeichen - zB. Hfd7%f43F!), klickt nicht auf alles, was im Netz oder im Mail ganz süß blinkt und baut Euch (sofern gefordert) sichere Sicherheitsabfragen für Euren Account (zB. "Was ist Deine Lieblingsfarbe?" - Antwort: "Steve Jobs").

Damit hat man den Großteil der Script-Kiddies schon mal außen vor...

John L. :shake:

 

Hallo an die Betroffenen,

wie ich bei den anderen Leidtragenden hier sehe, haben wir uns in diesem Forum angemeldet, um uns über dieses Problems auszutauschen.

Lieber MAC User, entschuldigt bitte, wenn wenn wir uns damit im falschen Forum befinden. Ich vermute der erste Betroffene ist ein MAC Nutzer, aber das Problem ist übergreifend.

Ich habe auch keinen MAC Rechner.

Um Unterstützung beim Eingrenzen zu geben:
Das Passwort war im Browsern auf verschiedenen Windows 7 64bit, Windows 7 32bit, Windows XP gecached - scan mit Virenscanner und Spybot S&D ergab keine Ergebnisse. Weiter auf einem Exchange 2003 Server zum SMTP senden und einem gejailbreaktem iPhone 4 (4.3.1).

Das PW hatte 12 Zeichen, aber nicht sonderlich komplex. Wenn GMX es nicht verhindern würde (was ich hoffe), wäre eine dictionary attack denkbar.

Danke für den Tip mit der Blacklist, aber bei mir war dort nichts hinzugekommen.

Ich habe seit ca. 10 Jahren einen GMX TopMail Account.

Da die Mail ja authentifiziert war und in den Gesendet Ordner liegt, würde es mich interessieren, ob die anderen Betroffenen auch mal den Header einblenden und die IP des Senders vergleichen könnten. Wenn es immer die gleiche IP ist (auch über andere Zeitfenster), halte ich eine Anzeige gegen Unbekannt für sinnvoll.
Meine Abuse Mail an den Provider hat keine Reaktion gebracht.

Ich hoffe damit anderen Betroffenen geolfen zu haben und würde mich über weitere Rückmeldungen freuen.

Gruss

Marko.

 

Nun, im Titel des ersten Beitrags war von einem "Wurm" die Rede. das hätte gut sein können - und es ist selbstverständlich auch möglich, einen solchen für das MacOS zu programmieren. Ich hab nichts dagegen, dass sich auch "Nicht-Macer" hier beteiligen, aber da die ganzer Diskussion im Bereich "OS X 10.6" dieses Forums stattfindet, musste ich annehmen, dass die hier mit-diskutierenden alle auch MacOS 10.6 nutzen. Vielleicht hätte die Diskussion woanders besser hingepasst - aber ich wüsste jetzt auch nicht grad wo. Die Abteilung "Small-Talk" ist wohl auch nicht das Wahre...

Die Viren- und Würmer-Problematik ist m.E. unabhängig vom verwendeten System - nur leider (oder auch zum Glück?) ist es so, dass bis heute kain ernstzunehmender Virus für das MacOS aufgetaucht ist - mit Ausnahme von ein paar Prototypen, mit denen geziegt wurde, dass auch der Mac nicht unangreifbar ist.

Wenn deine Systemüberprüfung nichts zutage gefördert hat, heisst das nur, dass dein Antivirus-Programm nichts gefunden hat - aber noch lange nicht, dass du "sauber" bist. Es gibt aber noch andere Möglichkeiten, um an Passwörter zu kommen:

* Phishing (jemand schickt ein Mail das auf eine gefälschte GMX-Seite verlinkt, wo du dich "anmelden" sollst)
* du benutzst irgend einen zweifelhaften "Service", dem du Zugriff auf dein Mail-Adressbuch (bei dir lokal oder bei GMX) gegeben hast - z.B. um "weitere Freunde" zu finden à la Facebook
* jemand "hört" deine Tätigkeiten am Computer mit
* ...

Welcher Provider - GMX (dein Mailprovider) oder den Zugangsprovider, von wo die Mail kam? Ich denke, GMX sollte grosses Interesse haben, dass solchem Tun Einhalt geboten wird. Beim andern bin ich nicht so sicher...

Und noch was: Leider ist meist das grösste Sicherheitsproblem zwischen Stuhl und Tastatur zu suchen... (bitte nicht persönlich nehmen, aber es ist wirklich so).

Christian

 

Hallo @all !

Mir ist es überehaupt einmal wichtig herauszufinden wie der Angreifer an das Passwort gekommen ist ...

1. Soweit ich das nun einschätzen kann, ist die Chance ja relativ gering, dass es sich um einen Trojaner o etc. handelt, da ja verschiedene Betriebssysteme betroffen sind.

2, Eine Phishing Attacke kann ich oder können wir nahezu ausschliessen, da kein link oder ect. angeklickt wurde. Es wurde immer die Seite von GMX von der "Home Standard Seite" des Browsers angesurft.

3. Es wird von meiner Frau ein "org" Iphone 4 genutzt um via App auf den account zuzugreifen, von hier würde ich auch annehmen, dass ein Angriff erfolgte.

4. Meine Frau hatte ein PSW mit 9 klein Buchstaben verwenden, was wir ja alle wissen nicht gerade sicher ist, ABER: meines Wissens nach wird bei GMX ein Filter eingesetzt der erkennt, falls eine Brutforce bzw. Dictionary Attacke erfolgt.
Selbst wenn ein Angreifer dies versucht kann ich mir auch vorstellen dass dies einige Tage in Anspruch nehmen würde, und da sich meine Frau, mehrmals am Tage einloggt wäre es Ihr aufgefallen, dass viele fehlerhafte LoginVersuche stattgefunden haben - und dies war nicht der Fall - Aber wie gesagt nicht unmöglich !

5. Für mich das wahrscheinlichste ist, dass wie schon von mir im ersten Beitrag beschrieben, dass eine def. Festplatte (GarantieTausch) die Ursache ist.
Denn auf dieser war das PSW in Outlook gespeichert...


Das was auffällt, dass die genannte Ip Adresse von "mkomac" 178.18.245.84 in Karlsruhe regestriert ist. Meine Angreifer Ip (an die ich im Moment nicht rankomme da ich unterwegs bin ) kommt aus München. Also Deutsche Provider, wo ich allerdings stark vermute, dass dies Zombie PC´s sind (Bot Netz ?), wer wäre so Dumm über Deutschland einen Angriff zu starten ???


So, jetzt bin ich ja mal gespannt, ob wir hier trotzdem einen gemeinsamen Nenner finden ???

Grüße @all

Martin

 

Moin moin @all!

Zum allgemeinen Abgleich hier meine Infos, die ich noch beitragen kann:

Ich habe auch keinen MAC-Rechner, nutze kein Iphone oder sonst irgendwelche Apps. Allerdings gehe ich ab und zu mit meinen Nokia online und rufe über GMX meine E-Mails ab. Ich hatte die letzten Tage keine registrierten fehlerhaften LoginVersuche bei meinem GMX-Account. Allerdings hat sich bei GMX die Mobil-Oberfläche geändert, sprich die sind da irgendwie am Basteln.
Noch eins, mein GMX-Passwort verwende ich nur für GMX! Und immer Logout!

Die IP Location des Senders (eingeblendeter Header) ist bei mir China! Und ob ich jetzt eine Abuse-Mail nach China sende oder nicht… Also eher wie schon angesprochen Zombie PC´s. Bringt uns also nicht groß weiter??
Received: from 115.49.97.78 by www073.gmx.net with HTTP;
Thu, 27 Oct 2011 14:38:45 +0200 (CEST)

Aufgrund der relativ punktgenauen Attacke bei GMX, schließe ich auf eine Sicherheitslücke bei GMX. Die Geschichte mit der auf Gewährleistung eingereichten Festplatte kann man wohl ausschließen, denn sonst wäre das ein Einzelfall geblieben.
Was mich irritiert ist, dass vom Mailprovider GMX keinerlei Reaktion kommt. Mehrfache Anfragen bei GMX sind nicht beantwortet worden. Anrufe habe ich mir bist jetzt erspart.

Grüße @all
Grundgesetz

 

Nachtrag @all!

Hier die Reaktion von GMX:

Liebes GMX Mitglied,
vielen Dank für Ihre Nachricht.
Ihre Daten könnten durch Fremdsoftware auf Ihrem Rechner oder durch Phishingmails in Umlauf gekommen sein. Wir bitten Sie daher, in regelmäßigen Abständen Ihren Rechner auf schädliche Programme zu scannen und niemals Ihr Passwort preis zu geben.
Wir empfehlen zusätzlich eine Prüfung Ihres Computers mit dem DE-Cleaner welchen Sie unter folgendem Link finden: www.botfrei.de
Haben Sie das Passwort entsprechend sicher gewählt, ist es nahezu ausgeschlossen, dass Unbefugte in Ihren Account eindringen können.
Die Möglichkeit Ihr Passwort zu ändern und auf Sicherheit zu überprüfen, finden Sie unter 'Mein Account' > 'Passwort'.

Ich bin immer noch auf Reaktionen eurerseits gespannt.
Gruß Grundgesetz

 

...oder es wurde mal in einem Internetcafe vergessen...

 

Hallo zusammen, ich bin neu hier in der Macwelt und habe mich nur angemeldet weil ich seit wenigen Tagen auf diese Sache hereingefallen bin. Da ich bisher immer dachte, ich wäre ein Profi beim erkennen von Betrugsmaschen, muss ich Euch diese Story kurz erzählen. Kurz der Reihe nach:
Ich wohne in der NÄhe von Stuttgart. Ein Mieter einer Wohnung von mir in meinem Haus ist ein anerkannte Computerfachmann bei Daimler in Stuttgart.
Der hat mir eine E-Mail geschickt mit seinem Absender in der sinngemäß stand, dass er einen interessanten Lieferanten für nagelneue Apple-IPHONs entdeckt hat. Da der Lieferant in Hongkong sitzt hat er selber erst mal für sich ein neues Handy bestellt und das nach 1 Woche erhalten. Superpreis ca. 30% unter dem hiesigen Ladenpreis, alles ohne Probleme, er kann die Fa mir daher nur empfehlen. DA ich zufälligerweise für eine Bekannte als Geschenk ein neues Apple-iphon4s vorgesehen hatte, kam mir dieser Hinweis gerade recht. Also habe ich die empfohlene Webseite angeklickt. Alles sehr professionell und aufwendig gemacht.
DA es bei Bestellung von 3 Geräten nochmals zusätzlich 10% extra gab habe ich in schwäbischer Manier gleich 3 Stück iphon4s bestellt, macht rund 1.000 Euro.
Die Dinger eignen sich stets als schönes Geschenk, das kommt gut an.
Etwas skeptisch war ich lediglich weil bei der Bezahlung keine Kreditkarte ging
sondern nur Vorauskasse auf eine chinesische Bank oder Western Union. Diese Skepsis habe ich aber beiseite geschoben weil ja mein Mieter mir bestätigt hat, dass der Kauf bei ihm problemlos geklappt hat. Und jetzt wird es spannend.
Ich habe mich dann bei meinem Mieter für den Tip bedankt und ihm mitgeteilt, dass ich 3 Geräte bestellt habe. Und jetzt kommt die Überraschung: Er hat mir geschrieben, dass er mir gar kein Mail geschickt hat und da wurde es dann hektisch. Jetzt war ich hochgradig misstrauisch und habe im Internet nachgeforscht und siehe da habe ich einige WARNUNGEN gefunden, auch auf dieser Seite. Da es es sich um Auslandsüberweisung nach Hongkong handelte und die Bank das manuell macht, konnte ich dann tatsächlich noch am nächsten TAG den Onlineauftrag stornieren und die Überweisung zurückhalten.
Mein Mieter hat mir inzwischen mitgeteilt, dass alle seine GMX-Adressbucheinträge dasselbe Mail erhalten haben und er jetzt prüft wie die Firma an seine Adressdaten gekommen ist. Er hat inzwischen eine neue E-Mail-Adresse eingerichtet und ein neues Passwort. Zum Schluss noch ein Fazit von mir: Das Geld hätte mich weniger geärgert, mehr geärgert hat mich, dass ich trotz meiner scheinbaren Klugheit Opfer einer Betrugsmasche werden sollte und das nicht gemerkt habe. Übrigens nch ein Tip. Schauen Sie sich mal die Seite von EORIGINZONE.com an. Die ist so gut gemacht, da kommt kein Mensch auf die Idee dass da ein Betrug dahinter steckt. Das war mein Beitag auf dieser Seite. Schöne Grüße aus Esslingen bei Stuttgart von HEINZ32.

 

Interessanter Beitrag, vielen Dank dafür. Ich glaube aber nicht, dass es "Dummheit" ist wenn man auf so eine Sache reinfällt. Die Betrüger sind mittlerweile so geschickt, dass niemand wirklich zu 100% trotz aller Vorsicht und Klugheit dagegen gefeit ist. Es ist halt leider so, dass bei jedem "Schnäppchen" erst einmal die Alarmglocken angehen müssen und im Zweifelsfall lieber nicht. Traurig aber wahr. :frown:

MACaerer