• Mitspieler gesucht? Du willst dich locker mit der Community austauschen? Schau gerne auf unserem ComputerBase Discord vorbei!

Origin Seltsame Phishing E-Mail mit noch seltsameren, weil echt wirkenden Links?

LordB

Commodore
Registriert
Apr. 2012
Beiträge
4.441
Ich habe eine E-Mail erhalten die ich für einen Phishing versuch halte, da die realen Links nicht mit denen im Fließtext übereinstimmen. Davon ab öffne ich Links aus E-Mails sowieso generell nicht.

Dennoch möchte ich das hier mal zeigen, weil ich es für eine verdammt gut gemachte E-Mail halte, denn auch meine Adresse passt zu meinem Account.

Ich habe selbstverständlich keinen der Links angeklickt und kann mich ganz regulär bei origin anmelden. Soviel schon mal vorweg.

Was mich irritiert sind die realen Links in der Mail, weil diese auf tatsächlich auf die Domain ea.com verweisen. Jedoch mit diversen subdomains die wiederum nicht zum Text passen.

Bildschirmfoto 2017-09-19 um 19.41.07.png

So, das schaut doch schon recht echt aus.
Der tatsächliche Link im Text verweist natürlich per http statt einer ordentlichen https Andresse auf:

Code:
http://click.e.ea.com/?qs=214f419101b39b0e9fc1c8d8520a3af04992f22e9b60e7bce042d52ec305be8469555fdb41968a7de41d9bf6df3103fedf5b3aa3de79aa59

Der Hilfe Link verweist in Wirklichkeit auf:

Code:
http://click.e.ea.com/?qs=02aceb67a5afbac208d87a458cb4e6cdee7eff73ee6a4091190ee4b0da95edfdfe68600e78c0a77fb1b49f9dbe880cd68c406088cfb2a48f

Dennoch bin ich verwundert, denn so schaut es für mich so aus, als sei da von bei EA eine Subdomain angelegt worden, sprich da irgendwas kompromittiert. Oder lese ich das gerade falsch?!

in Ergänzung hier noch ein Auszug aus der Header Datei:

Received-Spf: pass (mail.com: domain bounce.e.ea.com designates 136.147.183.218 as permitted sender) mechanism=ip4; client-ip=136.147.183.218; helo="mta13.e.ea.com"; envelope-from="bounce-18_HTML-295915986-2636-7229410-1063138@bounce.e.ea.com"
 
Zuletzt bearbeitet:
Ich würde sagen eMail ignorieren und das Passwort ändern
 
Dein Nickname passt wie die Faust auf's Auge zum Inhalt dieses Threads :lol:

Das soll natürlich nicht heissen, dass man so etwas nicht ernst nehmen sollte.
 
Deswegen Mails nicht in HTML sondern in Reintext anzeigen lassen. Damit fallen sämtliche Linktäuschungen schon mal flach, außerdem wird das Nach-Hause-Telephonieren von Trackingpixeln etc. unterbunden.

Die Subdomains gehören aber tatsächlich zu EA. Subdomains für tracking und drei Milliarden andere Sachen sind bei großen Firmen nicht ungewöhnlich – auf die Top-Level-Domain sollte man eher achten bzw. auf eine Imitation davon. Jemand hatte wie du da auch schon mal Bedenken: http://answers.ea.com/t5/Technical-Issues/Suspicious-email/td-p/5295700

Im Zweifel eine URL von Hand in die Adreßleiste des Browsers tippen oder aus einem Lesezeichen öffnen. Passwort würde ich trotzdem ändern.
 
So, ich habe heute eine weitere Mail erhalten und dann auch etwas darüber im EA Hilfe Forum gefunden.
Diese http://click.e.ea.com Links sind Links mit Zeitablauf um das Passwort bei ea zurück zu setzen. Man landet auf der korrekten Domain.

Ist natürlich dennoch blöde gelöst wenn in der Mail andere Links auftauchen als angegeben.
Aber lieber 3x schauen und drüber nachdenken und wachsam bleiben.
 
Zuletzt bearbeitet:
ich wäre auch stutzig geworden, vor allem weil sie direkt hinter den Links ja schreiben: "Emails, die wir im Zusammenhang mit der Sicherheit deines Kontos schicken, erhalten keine anklickbaren Links".
 
hab heute auch sowas bekommen aber auf eine Email, die denen gar nicht bekannt sein dürfte und ich den ganzen Dreck von denen nicht nutze!
Ich kann aber verifizieren, das die Email tatsächlich von einen EA Server kommt mta13.e.ea.com ([136.147.183.218]:57775)

Also entweder wurde EA mal wieder gehackt und verschweigt es den Kunden, oder das System von denen ist sowas von am Allerwertesten wie die Spiele die die machen bzw der Umgang mit den Kunden allgemein.
 
Habe gestern auch eine entsprechende Mail bekommen und hielt sie erst nur für Spam. Habe dann aber erst einmal Origin gestartet und konnte mich tatsächlich nicht einloggen. Dennoch wollte ich der Mail nicht ganz vertrauen und habe dann über Origin den Passwort-Reset eingeleitet.
 
Zurück
Oben