Account bei web.de als Spam-Schleuder

Hallo zusammen,

ich hol diesen Thread mal nach oben, weil ich denke, er passt sehr gut zu meinem aktuellen Problem. Deswegen habe ich mich auch heute hier neu angemeldet -> also nochmal: Hallo

Und zwar wird mein Freemail-Account bei web.de seit einigen Tagen von Dritten als Spam-Schleuder missbraucht. Dabei handelt es sich augenscheinlich auch um Phishing-Mails.

Aufmerksam darauf wurde ich einerseits durch Rückmeldungen Bekannter, die mir sagten, ich würde Spam versenden, andererseits durch unzählige "Mail delivery failed"-Mails.

Inhalt der sehr simplen Mail:

"Hello, read this! >Link<"

Als Absender wird meine E-Mail Adresse angegeben. Die Mail wird ausschließlich an Empfänger versendet, die bereits mit meiner E-Mail Adresse kommuniziert haben. Daher ist es mir sehr unangenehm, mich dauernd bei meinen Bekannten zu entschuldigen, dass ich so einen Müll verbreite.

Ich kopiere einfach mal den Mail-Header hier rein, evtl. kann ein Profi was damit anfangen. Ich persönlich verstehe nur Bahnhof...




Return-Path: <meineemail-adresse@web.de>

Received: from wavecable.net ([76.14.0.234]) by mx-ha.web.de (mxweb006) with ESMTP (Nemesis) id 0LgaVZ-1aU4fL0ew9-00o0gp for <meineemail-adresse@web.de>; Mon, 28 Sep 2015 08:40:56 +0200

Received: from [1.0.229.122] (account lowellblankenship@wavecable.com HELO WORLDST-UQ3K9Q0) by wavecable.net (CommuniGate Pro SMTP 4.2.8) with ESMTP-TLS id 431445677; Sun, 27 Sep 2015 23:42:15 -0700

From: <meineemail-adresse@web.de>

To: ausschließlich bekannte E-Mail Adressen, die bereits mit dieser Adresse (meineemail-adresse@web.de) kommuniziert haben

Subject: Fw: read this

Date: Mon, 28 Sep 2015 08:39:58 +0200

Message-ID: <0000a8e0f6c3$2613704f$7952d1a6$@web.de>

MIME-Version: 1.0

Content-Type: multipart/alternative; boundary="----=_NextPart_000_0001_5FA8CF14.09BADF69"

X-Mailer: Microsoft Outlook 15.0

Thread-Index: AdDwolwPiFTrvXyH6sELHgxhEh/HUw==

Content-Language: en-us

Envelope-To: <meineemail-adresse@web.de>

X-UI-Filterresults: notjunk:1;V01:K0:HZJ4CCUeswU=:jAy16OtHSzx42XNOz4sMBQ38xq 7QK6MMTgue1nLpnSoN51dFgBzzrBXUrShclpMruIH60tytIvbmN5nFuBOYQJUOOt13Zxts9VZ WRvhqErLGP+JV3o/i3tknBlwpaqbPPVZFA0CVQ2XgKoxGDDHW6LNmWleWoFQdNPmRooNfe9LH 3OH9q7L5qec+oJzniFwMh1R13gNpT8lLvkB5u1X98vVTMA3v1eAnFecHyM2dvhvRjyp6OEerQ Fi3dcI22FAIWRQfwq7Mi0ZoAgZ7taLk47QszgNwjDiV4cZplZsa7zVM4C+hL6Ajf2l3zFtXwl KoQMKULJ1IY++bggUGW1eZHHm6hxb8isQ4TrGiA0fITQMsJSJziekg22azORmYc4pWy7EnsKJ qvcBPQ3uN3nuIXvmMXONUMoVn3LixJQ1a19ZPuwLRZGrYs5C3E31EtwOW9AdxeYdOnavjJNyf Wd+3jnh6futIANJyO5QZENN3PyHeijQgqZswY4kjbirZ9uz3T+lHZagqw/pn0uR0dgTtWSl35 znKt+MhtCyBXaJvSiCYM8T4+73MtxjkmaFO3SS3Fy9QAA9smJuqpqc6adF5b179EvaxvEcgFX sj4118VjcXlMQzNZ/S7mHzgojiHjafzw4DeECGXs/SoVFGDNmPfE76zCaMfxgL0fASCEEF6+r anaDfDZFGJW6D1v6d12gvL4iDzOzutZRbwU8PPDa8nAIHh6BLIdwSGd6CFctsUeNU4pry7CAN K0OCSoDdas2tylHLXHxinzt31z/Z+INZKldKfyWdYL+nR36nDd/BHzMOml1mpDVdcyIHq0MHo ahLzcBOWFQ2HA4v1ueu/fVxO+EqjwGbjkEjKPEw+ld2OdggarS+rwF/oJCfPaYY5/I8WmhgP+ 3KtUoL2j2Z4EFGbRtVGQVtAkGO8PtplMSl2eXH8X0Z1kPEywzxdy9qWXeS3FqEzvMG7fH8Rx/ A+QgFLx2LkE449vSvTd1ee3iJDLJamFKGZNIcWpYwpKoDxxbnEoDqYk5joSs7L5u1NMFkD3sr suOP4P97yMK4hD4OEVcDwrIcBCAc3NDzUm1pG1y0KVWNytRKVbpXrbLwaZrV2GcIv8Mw0w21T fQknK5j52sh2NuUboTNM/+ZRaNoFBoj5ukuPLtXhrj24YrMuOsHVKxtskQu2guCRNGDpxD14Y VbjY2JcEm69OWbyNUbdnpt0kNSDpQEwzC655teIQ+5V8C51VVq6/z0Z6axhw5MOwdTRkGfiJV Op9PzG6hXZ4JUxhZkBIcR66jWhVQqUemu8mj7/yiDbzNVvx2h2sMVIBI7v3zRQA0XuGKlNBJv vrNLaJ8ci9VH5UwbxPHzki4PS8CtCIQS9mVm2wCu5p8y8LXpgaHbz06A/aW/8pSDiDyOLwyKl tMbf1pjpMLgHubYl5kxyU7hDp91y+t/7eGbdjGduBL2K+avQDbnI98FZWcDch0ka1PaakdJvF 00ttz4Tca9cOvMCr4rlT0q+/00HKI0EaJP7XrU8S9aL9rNgluA



Kann jemand was dazu sagen?

Was ich bisher unternommen habe:

1) Passwort des betroffenen Accounts geändert (war nicht erfolgreich, danach gab es wieder Spam)
2) Mail an web.de mit Bitte um Support (welcher gelinde gesagt grottenschlecht ist)
3) div. Versuche per Telefon mit web.de in Kontakt zu treten (erfolglos - Bandansagenhölle)
4) alle Mail-nutzenden Systeme per Antivir auf Schädlinge überprüft. Das wären im Einzelnen
4.1) iMac mit aktuellstem Betriebssystem (Nutzung des Accounts per "Mail", nicht Web-Anwendung)
4.2) Win8 Laptop (Nutzung der Web-Anwendung)
4.3) iPhone (nicht überprüft, da nicht gejailbreaked und keine Antivirensoftware vorhanden)
4.4) iPad (dito iPhone)
5) erkannte "Bedrohungen" durch Antivir entfernt
6) Passwort des betroffenen Accounts erneut geändert

Seit dem (d.h. seit einigen Minuten ;-P) keine Spam-Wellen mehr. Waren seit dem ersten Auftreten (vor 4 Tagen) auch nur 3 Wellen.

Preisfrage: Ist mir damit geholfen, oder handelt es sich auch um einen dieser Fälle, bei denen man machtlos ist. Wenn ja - hört das irgendwann auf? Möchte diesen Account nur ungern "verbrennen", weil dieser die Basis für meine wichtigen Online-Konten ist.

Danke fürs lesen (habe immer Schwierigkeiten, mich kurz zu fassen )!

Für Antworten bin ich sehr dankbar!

Liebe Grüße!

 

Ist die Mailkopie von einer zurück gekommenen Mail oder hat dir einer deiner bekannten den Original Mailtext geschickt?

Das war konkret was?

 

Beides ist beliebig und trivial fälschbar und daher kein Anhaltspunkt dafür, dass dein Mailaccount wirklich gehackt wurde.

Wichtig ist:

wavecable.net ist derjenige Mailserver, an den die Mail ging. lowellblankenship@wavecable.com ist der Absender. Die IP-Adresse 1.0.229.122 verweist auf eine TOT Public Company Limited. Auch interessant: Die Zeitdifferenz zw. deinem eigenen Mailserver (+2h) und dem des Absenders (-7h).




Mehr Infos dazu, was das nun genau für eine Mail war, wären hilfreich.

 

Hallo zusammen,

zunächst danke für die Antworten .

Konkrete Infos über die Bedrohungen habe ich leider nicht (mehr). Es stellte sich nur heraus, dass der Laptop durch einige schädliche Dateien infiziert war. Diese wurde durch Antivir gelöscht. Doch mit diesem Laptop, der web.de ausschließlich über die Web-Anwendung erreicht, habe ich meinen Account seit einigen Monaten (Jahren?) nicht mehr geöffnet. Ausschließlich nutze ich die Apple "Mail" Anwendung meines iMac, iPhone und iPad. Diese wiesen jedoch keine Infizierung jeglicher Art auf.

Daher ging ich zunächst davon aus, dass meine Adresse schlicht als Absender gefälscht wurde... was mich etwas ratlos machte, da der allgemeine Tenor sagt, dagegen könne man nichts tun... (Abwarten, Tee trinken?)

Das führt mich aber zu einer Frage: Wieso wurden diese Spam-Mails NUR an bekannte Kontakte (also E-Mail Adressen, die irgendwann einmal mit diesem Account kommunizierten) versendet. Wie kommt der Spammer an diese Informationen? Doch nur über mein web.de Account, oder? Das wiederum legt nahe, dieser wurde gehackt. Nur wie, wenn nicht über meine Hardware...? (wovon ich ausgehe).

Meine Gegenmaßnahmen neben dem Scannen und Bereinigen der Hardware war gestern Abend noch:
- löschen jeder E-Mail (gesendet/empfangen) aus meinem Account (damit löschen jeder bekannten E-Mail Adresse)
- erneute Neuvergabe eines Passwortes

Seit der letzten Mail (gestern gegen Mittag) ist nun Ruhe... *klopf auf Holz

Der Inhalt der E-Mail war folgender:


Absender: ich
Betreff: read this

Hello! New message, please read >Link mit .php Endung<



Für Antworten und Denkanstöße bin ich dankbar!

PS: Heute morgen erhielt ich die E-Mail eines Facebook-Freundes mit der Information, dieser habe etwas in einer gemeinsamen Gruppe gepostet. Der Inhalt: Extrem ähnlich zu "meinen" Spam-Mails. Interessant... akute Spam-Welle?

 

Und du glaubst, das wäre dann erledigt? Es wäre schön, wenn du z.B. durch die Avira-Logs dieser Ereignisse darlegen könntest, WAS GENAU da gefunden und angeblich gelöscht wurde. Wenn wirklich ernsthafte Malware aktiv war, ist eine solche "Löschung" nämlich reine Illusion und völlig wertlos.

 

Hallo,

sorry für die lange Antwortzeit - hatte viel um die Ohren. Und nebenbei auch Ruhe von dem Spam-Problem. Genauer genommen seit dem 29.09. mittags... bis heute 14:00 Uhr offensichtlich ein neuerlicher Missbrauch stattfand. Doch dazu gleich mehr...

Sorry nochmal, dass keine Logs vorhanden sind. Aber aufgrund der Tatsache, dass der Laptop seit ewigen Zeiten nicht mehr für die Nutzung des Accounts genutzt wurde und auch sonst keine Hinweise darauf bestanden, dass eine etwaige Infizierung mit dem Problem im Zusammenhang stehen, habe ich es vernachlässigt, die Diagnose von Antivir zu dokumentieren - sorry nochmal.

Nochmal zurück zu meiner Frage: Wieso wurden diese Spam-Mails NUR an bekannte Kontakte (also E-Mail Adressen, die irgendwann einmal mit diesem Account kommunizierten) versendet. Wie kommt der Spammer an diese Informationen? Doch nur über mein web.de Account, oder? Das wiederum legt nahe, dieser wurde gehackt. Nur wie, wenn nicht über meine Hardware...? (wovon ich ausgehe).

Wie schon angedeutet, hatte ich die letzte Woche auch Ruhe und es stellte sich bei mir das Gefühl ein, das Problem sei überwunden. Denkste! Heute Mittag erhielt ich drei neue "Mail Delivery System"-Mails, die mir mitteilten, dass die Zustellung meiner Nachricht (die ich natürlich nie selbst gesendet habe) an einige meiner Kontakte bedauerlicherweise nicht möglich ist/war. Als ich die neuerliche Spam-Nachricht ansah, war ich doch leicht verwundert. Denn anstatt meines Namens war die E-Mail mit dem Namen eines Bekannten gekennzeichnet. Die Adresse selbst war aber meine. Also ungefähr so:

Kopfzeile: Name des Bekannten <meineemailadresse>

Inhalt: Hello! Important message, please read! <link>

Signatur: Name des Bekannten

Den kompletten Header habe ich leider nicht, da die Mail nicht an meine eigene Adresse gesendet wurde.


Also nochmal: Woher hat der Spammer die E-Mail Adressen meiner Kontakte? Wurde mein web.de-Account gehackt?

Danke für eure Antworten!

 

Das ist eine Anscheinsvermutung deinerseits. Ein Fremder, der die gleiche E-Mail mit deiner Adresse bekommen hat, wird sich nur selten bei dir melden. Zudem werden deine Freunde die Nachricht nur erhalten, da deine Adresse in ihrem Adressbuch bzw. auf der Whitelist des E-Mail Programms steht. Bei einem Fremden verschwindet die Mail vermutlich bereits beim E-Mail Provider automatisch in der Spamliste.

Nein. Deine Schlussfolgerung ist nur eine von vielen Möglichkeiten. Zwei andere:
1) Die Wahrscheinlichkeit ist hoch, dass die Leute in deinem "Adressbuch" auch in deren Adressbüchern verzeichnet sind. Wenn auch nur einer sich ein passendes Schadprogramm eingefangen hat, sind die Adressen mit der entsprechenden Personenverbindung im Umlauf.
2) Wenn du, und ein Teil deiner Adressen z.B. in sozialen Netzwerken aktiv seit, sind Freundschaftsverknüpfung recht ähnlich zum E-Mail Adressbuch. Aus diesen Verknüpfungen lassen sich problemlos maßgeschneiderte Adresslisten für Spammer erstellen.

Das wäre die einzige Möglichkeit, zumindest einen aktiven Missbrauch (Versand der Nachrichten über deinen Account) des Kontos festzustellen. Alles andere ist Spekulation ohne handfeste Indizien.