Spam/Phising E-Mail über Otto Verteiler als Adressat

[Teh_Pwnage]

Guten Tag allerseits,

ich möcht hier kurz darauf aufmerksam machen, dass es anscheinend beim Online-Händler Otto.de eine Sicherheitslücke gibt und Mailing-Listen entwendet wurden, falls das überhaupt geht.

Denn ich habe heute eine Phishing E-Mail, die sich als Amazon Konto Verifikationswarnung tarnt, über einen noreply Liste von @otto.de bekommen!

Wie kann man Otto nun darauf aufmerksam machen, ohne, dass ich beim Kundenservice (der möglicherweise keine Ahnung davon hat) abgewimmelt werde?

Vielleicht habt ihr auch solch eine E-Mail bekommen

 

[fritte76]

service@otto.de vielleicht schriftlich wobei das eben auch fraglich ist ob das überhaupt korrekt weitergegeben wird oder werden kann.

 

[Teh_Pwnage]

Das ist eben auch mein Bedenken, dass sowas nicht ernstgenommen wird. Für mich ist das eine sehr pikante Sache, denn wer weiß was sonst so entwendet werden kann wenn otto so schlampig mit den Daten ihrer Kunden umgeht.

 

[visiothek]

Woher weisst du, dass es von Otto kommt? Anhand der angezeigten Mailadresse?

 

[Teh_Pwnage]

Als Empfänger steht eine noreply @otto.de domain

Die Betrüger nutzen den Verteiler von Otto. Ich habe nicht gesagt, dass es von otto kommt sondern deren Verteiler genutzt wird.

Heißt für mich, es interessiert den Mailing Admin(s) nicht was über den Verteiler versendet wird.

 

[Senku]

kleiner Hinweis die angezeigte Mailadresse die bei Absender steht kann gefälscht werden. Die mails müssen nicht von @otto.de gekommen sein nur weil das da steht.

 

[SpookyFBI]

Klick mal auf das plus, da wird bestimmt eine andere eMail zu finden sein

 

[Teh_Pwnage]

Schon klar, aber Empfängeradressen/Verteiler? Warum sollte man sowas machen als Betrüger, dann kann ich ja eine beliebige Liste erstellen

@SpookyFBI
Nein wird es nicht. Sonst hätte ich erst gar nicht den Thread hier aufgemacht

 

[BFF]

Im Empfaengerfeld wird irgendwas eingetragen und der Rest bekommt die Mail per Blindkopie. Also nix ungewoehnliches. @Teh_Pwnage

Wenn Du Dir so sicher bist, dass eine Mailingliste von Otto missbraucht wird, wende Dich an die.

Schau Dir mal genau den Mailheader an.

BFF

 

[Amplifier]

Ich geb das mal intern weiter (arbeite zufällig da ^^). Ansonsten ist die Service Mail Adresse schon passend soweit ich weiß.

 

[TorenAltair]

@Teh_Pwnage Schau' Dir mal den Header / Quelltext an.
Hier z.B. eine Spam-Mail an meinen Webserver, Bild 1 wie es im "normalen" Mailprogramm aussieht, Bild 2, wenn man sich den Header / Quelltext anschaut.

 

[Teh_Pwnage]

Also ich habe mir nun den Header angeschaut, soweit ich das verstehen konnte, da ich mich nicht gut auskenne.

Als "Received:" steht nur meine E-Mail adresse mehr nicht und bei "To:" die Otto liste. Kann ich euch den irgendwie zeigen? Ihr versteht euch sicherlich besser darin.

Edit: Und bei Envelope-To steht wieder meine Adresse

 

[BFF]

Einfach den Quelltext anzeigen lassen, anonymisieren und einen Screenshot davon hier posten.

Weiterhin kannst Du Dich hier mal durchackern.
-> https://www.trojaner-info.de/historisch/faq/anleitungen/e-mail-faq.htm

BFF

 

[Teh_Pwnage]

 Return-Path: <aplicationhnekopoi8@veriviyihrconto.com>
Received: from mail-io1-f68.google.com ([209.85.166.68]) by mx-ha.gmx.net (mxgmx101 [212.227.17.5]) with ESMTPS (Nemesis) id 1M3Uy2-1k5yFr2okc-000fQy for <mich>; Fri, 14 Aug 2020 11:41:49 +0200
Received: by mail-io1-f68.google.com with SMTP id h4so10186898ioe.5 for <mich>; Fri, 14 Aug 2020 02:41:49 -0700 (PDT)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=veriviyihrconto.com; s=google; h=date:to:from:subject:message-id:mime-version :content-transfer-encoding; bh=5ibafVHCrfgejm7cIK75B+7kccMWz4hrYYjeqTUPaT4=; b=h4Q6AftyAetwmKnuDqyEhyzaB96JQ0Q9d0ALBwxjnQ58r9UzlrKCGOROEawj8gcc2/ o5PMKQTht1N65m4K99zY6kvIsL+JsBxjT+edECy5JgVDpYWKE21uhn5AN6h88db5y2xq NxgOEcp8XJ2YFXto88M7j8Gr8PXcmueQBOxcKTRXqqXKwVWGQKkGypyrE9HmKPXVm7ZM GSkY2cJSn+aS/B3dSu2MFtnL17llhYkcwBpHEa5G8qlQCgWr0BISBk85RIHc5vFhv8Yf vOVzYsioElvF70JUBMceboFmMWQztrBhi9tmxO9x7XRtiBk/vvplUtNxm8he1Pg9UrfZ iuSw==
X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=1e100.net; s=20161025; h=x-gm-message-state:date:to:from:subject:message-id:mime-version :content-transfer-encoding; bh=5ibafVHCrfgejm7cIK75B+7kccMWz4hrYYjeqTUPaT4=; b=AkD1Zj/m67WP9iGcrxtqkC7fYV+rjcmMidXmqtX17uCS/7Pzs1sxWl4hz3mnIlkdYt DKfbm5OWMQlLIcjn2pbKk7GUZcePVlXvDVGZ4q6EKAhwSSvilQTWpHNOTfjmeg+oHqc2 MGdMSArqxsy5z46MrpTWl5pHyWvPnJtjpkru13CojlnTQ5E4kBqnFwjpLG8QNJ7z6PXT /eZrIsu8GGRfOhSUTLVa2MT2pkd82q7TJfORP9hrljRRKDcCJO4aCnWZAORsPIBZPJUD SBcV/kvlkAM9VLRzztu5o0zKwljwpqLt4SldfgSPlPBmb4iwen6onm97MEazPZ/kFs/v TdEQ==
X-Gm-Message-State: AOAM532VT0/R/mPukTWWXc/UDgOt1GUPK9F9AqVVT2zW2RzTKjv+RcPQ svooHVYJEmoySZ+Yt/lfcuraFMhkog15M1OcA81FI3nucyyWCm5jqYbJ467QlLy9Cs82y5SLO3J P2nIU
X-Google-Smtp-Source: ABdhPJyy/8HakBTVsxRPXtc5NBC46F1kOd2BqizhvAdEnrHyW8mVMWj//6/2ZZXBL2mIc7Sl+b+aVg==
X-Received: by 2002:a05:6602:2106:: with SMTP id x6mr1462891iox.84.1597398108922; Fri, 14 Aug 2020 02:41:48 -0700 (PDT)
Received: from instance-1 (82.249.184.35.bc.googleusercontent.com. [35.184.249.82]) by smtp.gmail.com with ESMTPSA id a8sm271877ilq.21.2020.08.14.02.41.48 (version=TLS1_2 cipher=ECDHE-ECDSA-CHACHA20-POLY1305 bits=256/256); Fri, 14 Aug 2020 02:41:48 -0700 (PDT)
Date: Fri, 14 Aug 2020 02:41:48 -0700
To: noreply-9457628@otto.de
From: "cs-noreply@amazon.de" <aplicationhnekopoi8@veriviyihrconto.com>
Subject: =?utf-8?Q?Wichtige_Informationen_zu_Ihren_Einstellungenwurdenge=C3=A4nder?= =?utf-8?Q?t_[9457628]?=
Message-ID: <f9460d078a735fe54321011e975dc6ae@mx.google.com>
X-Mailer: PHPMailer 5.2.23 (https://github.com/PHPMailer/PHPMailer)
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="b1_f9460d078a735fe54321011e975dc6ae"
Content-Transfer-Encoding: 8bit
Envelope-To: <mich>
X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
X-Spam-Flag: NO

Ich hoffe es ist ausreichend anonymisiert

 

[HyperSnap]

Also doch nix mit Otto^^

 

[Teh_Pwnage]

Okay das ist ja beruhigend und woran genau erkennst du das ?

Zweitens, was ist der Sinn dahinter denn Empfänger zu ändern? Absender verstehe ich, um "glaubwürdig" zu erscheinen aber andererseits

 

[BFF]

Da ist nix drin was irgendeine Liste von Otto als Absender schliessen laesst.

Die Mail wurde von "aplicationhnekopoi8@veriviyihrconto.com" gesendet an "noreply-9457628@otto.de". Deine Adresse wird im BCC stehen und ist deshalb nicht sichtbar.

Waere da was von Otto gekommen, waeren otto bei von zu sehen.

Die vollstaendige Auswertung kannst Du Dir im angehaengten PDF ansehen.
Oder selbst analysieren, wenn Du den Header hier checken laesst. -> https://mailheader.org/

BFF

 

[Teh_Pwnage]

Zunächst vielen Dank für die Arbeit. Aber ich habe irgendwie das Gefühl keiner liest sich hier die Beiträge durch.

Ich habe zu keinem Zeitpunkt erwähnt es handle sich um Otto als Absender!

Und gerade darum geht es ja! Dass jemand die Liste von Otto nutzt und es Otto anscheindend egal ist (die sollten doch sehen wer die Mails bekommt, bzw der Admin sollte doch evtl im Verteiler drin stehen) wer diese Verteiler nutzt. Oder ist das unmöglich Missbrauch zu verhindern?

 

[HyperSnap]

Da muss keiner ne Liste von OttO nutzen viele der mail Adressen sind meist nur zufallsgeneriert und treffen trotzdem ins schwarze.
Was denkst wie das funktioniert wenn dich die Postbank auffordert dein Konto zu validieren obwohl du noch nie Kunde warst.
Hier braucht man sich auch nicht an die OttO Hotline schwingen weil die nichts dagegen machen können.
Das ist wie der Sack Reis der in China der umfällt, du weist es aber kannst trotzdem nicht dagegen tun^^

 

[BFF]

Das was Du im Post #1 schreibst liest sich aber so.

Denn ich habe heute eine Phishing E-Mail, die sich als Amazon Konto Verifikationswarnung tarnt, über einen noreply Liste von @otto.de bekommen!

Anyway.
Vermutlich nutzt niemand eine "Liste" von Otto, sondern traegt nur deren "Namen" als "Empfaenger" in Massenmails ein. Woher der Name der (einmal-)Adresse kam sei dahin gestellt. Das kann aus einem erbeuteten Adressbuch oder einen gehackten Online-Account sein.

BFF