Es scheint eine neue Mode zu sein, z.B. GMX Accounts zu hacken und E-Mails an das Adressbuch zu verschicken. Ich dürfte nicht das einzige Opfer sein. Ähnliches wird bereits in diversen Internet-Foren berichtet, zum Beispiel im Heise Forum zu sehen.
Was ist interessant an der Nachricht?
Ich habe sie über einen Mail-Verteiler auch an mich zurückgeschickt bekommen. Und daher steht mir der Header der Nachricht zur Verfügung:
Received: from 123.161.74.229 by www002.gmx.net with HTTP; Mon, 19 Sep 2011 04:44:18 +0200 (CEST)
Von daher weiß ich, dass es sich um eine IP Adresse aus China handelt:
# whois 123.161.74.229 % [whois.apnic.net node-3] % Whois data copyright terms http://www.apnic.net/db/dbcopyright.html inetnum: 123.160.0.0 - 123.163.255.255 netname: CHINANET-HA descr: CHINANET henan province network descr: China Telecom descr: No.31,jingrong street descr: Beijing 100032 country: CN admin-c: HZ149-AP tech-c: HZ149-AP status: ALLOCATED PORTABLE remarks: Henan Telecom Corporation hostmaster mnt-by: APNIC-HM mnt-lower: MAINT-CHINANET-HA mnt-routes: MAINT-CHINANET-HA remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+ remarks: This object can only be updated by APNIC hostmasters. remarks: To update this object, please contact APNIC remarks: hostmasters and include your organisation's account remarks: name in the subject line. remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+ changed: hm-changed@apnic.net 20070228 source: APNIC person: Hongbiao Zhang nic-hdl: HZ149-AP e-mail: ip@hntele.com address: 97# Zhongyuan Street, Zhengzhou City, China phone: +86 371 65310018 fax-no: +86 371 65310015 country: CN changed: zhb@hntele.com 20060511 mnt-by: MAINT-CHINANET-HA source: APNIC
Ich bin mir ziemlich sicher, dass ich heute morgen um 04:44:18 nicht in China war!
Ähnliches dürfte auch schon mit Hotmail-Accounts passiert sein.
Leider bringen weder Whois-Einträge der Beworbenen Domain elegovs.com noch deren DNS Server echte weitere Hinweise, wer dahinter steckt.
Anonym writes:
Hatte heute das gleiche Problem! Aufgefallen ist es mir nur da einige Email Adressen in meinem Adressbuch nicht mehr gültig waren und ich deshalb eine "failure notice" bekommen habe. Im Ordner "Gesendet" war auch noch das Email enthalten, das der Angreifer gesendet hat 🙁
Anonym writes:
selbe IP – mir ist ess gestern passiert, gleichso aufgefallen.
Welche Gegenmaßnahme ist zu treffen – ist einfach ein besseres GMX-Passwort ausreichend? Sind am PC/Notebook sonst irgendwelche Spuren (Trojaner etc.) zu entfernen?
Anonymous writes:
Mir ist gestern das selbe passiert, am meisten ärgert mich aber die arrogante Antwort von GMX. Die rät nur das Passwort zu wechseln, keine Antwort auf meine Frage was denn der Hacker in meinem Konto so alles angestellt hat. Keine Antwort auf die Frage welche Gegenmassnahmen zu treffen sind. GMX hat ja die log files und dadurch die Möglichkeit zu überprüfen was auf meinem Konto passierte. Es scheint eine Sicherheitslücke bei GMX zu geben, hier versucht ein Hacker mit software tools Konten aufzuknacken, die elegovs. com email ist ja kein Einzelfall, normalerweise werden e-mail Konten doch bei x Fehlversuchen gesperrt. Dies ist hier anscheinend nicht passiert.
Leider werde ich mein GMX Top Mail Konto wohl schliessen müssen.