[honx]

ich poste hier den quelltext einer email, angeblich von ebay-kleinanzeigen.de, mit der aufforderung, das passwort zu ändern.
von besagter email kann ich mittlerweile nicht mehr exakt sagen, ob das phishing ist oder ob der absender echt ist.

laut analyse des sourcecodes scheinen alle links in jener email zu ebay-kleinanzeigen.de (also zum original) zu verlinken. der e-mail header analyzer (gaijin.at) moniert etwas, dass empfänger unterschiedlich sind (im sourcecode taucht einmal https://mailout46-2.mobile.de/ auf. doch wenn ich nach https://mailout46-2.mobile.de/ im netz suche, scheint auch diese adresse zum original ebay-kleinanzeigen.de zu gehören: https://myip-address.com/ip-lookup/m...9484e4e43454j5
ebenfalls scheint bei date etwas unterschiedlich zu sein.
ich wollte auch das "result" von gaijin hier verlinken, doch folgt man dem link, ist alles leer. man muss also wohl oder übel selbst besagten analyzer aufrufen und den sourcecode da rein kopieren.

nun meine frage, ist besagte email phishing oder echt? falls das echt ist, sind die denn tatsächlich so dämlich und senden eine email mit der aufforderung, das passwort zu ändern? mit einem verdächtigen button "Neues Passwort wählen" in einer email?

hier nun der sourcecode besagter email. jene mail kam bereits am 02. dezember, doch das ganze lässt mir keine ruhe, so dass ich nun tatsächlich mal fragen muss.

Code:

zensiert

[urphate]

Ich weiß, dass das nicht der Kern deiner Frage ist und ich bin ja da bei Weitem nicht so versiert wie ihr, aber macht das in der Praxis denn einen Unterschied ?

Ich antworte prinzipiell nicht auf Mails, die mich zur Eingabe oder Änderung eines Passworts auffordern, weil ich einfach der Überzeugung bin, dass das immer phising ist und ein seriöses Unternehmen nicht auf diesem Wege an den User bzw. Kunden herantreten würde.
Vor allem nicht, wenn n der Mail praktischerweise schon ein Link angegeben ist.

[Homerclon]

Es kommt selten vor, das per Mail zur Änderung des Passworts aufgefordert wird. Nämlich dann, wenn festgestellt wurde das es ein erfolgreichen Hack gab, und davon auszugehen ist, das Kundendaten gestohlen wurden.
Das Passwort sollte zwar verschlüsselt gespeichert werden - wobei das leider noch nicht alle Unternehmen machen -, aber mit den Daten kann man nun ungehindert per Bruteforce die Passwörter knacken, es gibt keine Sperre mehr wenn man das PW x-mal falsch eingibt. Es ist dann nur noch eine Frage der Zeit. Sicherheitshalber sollten die Passwörter dann geändert werden.

Ohne das es öffentlich bekannt wurde, passiert so etwas aber in der Regel nicht.

Auf die schnelle, konnte ich nichts dazu finden, das es einen erfolgreichen Hack bei ebay gegeben hätte. Alles nur wo einzelne Accounts betroffen waren, und das sind fast nie hacks, sondern per Phishing erhaltene Zugangsdaten.
Es ist daher unwahrscheinlich das die eMail aus diesem Grund geschickt wurde.
Aber mind. ein Bericht darüber, das seit Dezember einige eine solche eMail erhalten haben, welche auch echt gewesen sein sollen. Der Grund dafür ist aber unbekannt. Möglich wäre ein technischer Fehler.
Bei ebay soll es auch möglich sein, mittels der "Passwort vergessen" Funktion herauszufinden ob eine eMail-Adresse existiert. Das könnte also der Grund sein, weshalb aktuell einige eine solche Mail erhalten.
Oder jemand hat einfach eine ähnliche eMail-Adresse und sich vertippt.



So oder so würde ich keinen der Links nutzen, sondern selbst die mir bekannte Internetadresse eingeben, und zu den Kontoeinstellungen navigieren.
Höchstens dann, wenn ich genau eine solche eMail erwarte, weil ich auf "Passwort vergessen" geklickt habe. Dann ist es ja die einzige Möglichkeit das Passwort wieder zu ändern.

[honx]

also war diese "aufforderung" echt?

nur, was sollte einem angreifer besagte "passwort vergessen" funktion bringen?
besagte email würde doch der account-inhaber erhalten, nicht der abzocker...

irgendwelche links in emails würde ich ohnehin niemals anklicken, soviel ist klar.

nur zur klarstellung, jene mail betrifft ebay-kleinanzeigen.de, nicht ebay selbst.

jedenfalls hab ich, um sicherzugehen, ebay-kleinanzeigen direkt angesurft,
mich dort eingeloggt und auf der website selbst das passwort geändert.

funfact:
es existiert keine option, das passwort zweimal einzugeben, um tippfehler zu vermeiden.
stattessen existiert nur so ein "auge" button, um das neue passwort im klartext zu sehen.
klickt man aber auf besagtes auge icon, wird das neue passwort nur ganz kurz angezeigt,
anschliessend wird man sofort "zur sicherheit ausgeloggt, da passwort geändert wurde"...
was ist also, wenn man sich tatsächlich vertippt haben sollte?
dann hat man sich wohl vermutlich selbst erfolgreich aus dem eigenen account gesperrt,
da man in der extrem kurzen zeitspanne, welche zum lesen des passworts nicht reicht,
ja keine möglichkeit hatte, das neue passwort zu kontrollieren und ggfs. zu korrigieren...
wie selten dämlich ist das denn?

[Homerclon]

also war diese "aufforderung" echt?

Vermutlich, aber ohne Gewähr.

nur, was sollte einem angreifer besagte "passwort vergessen" funktion bringen?
besagte email würde doch der account-inhaber erhalten, nicht der abzocker...

Es gibt ja Datenbanken die eMails (und Passwörter) enthalten und auf dem Schwarzmarkt verkauft werden.
Die eMail interessiert daher nicht, sondern nur die Bestätigung das die eMail-Adresse existiert.

nur zur klarstellung, jene mail betrifft ebay-kleinanzeigen.de, nicht ebay selbst.

Da gibts einen Unterschied? Ich nutze keine Dienstleistungen der eBay Inc.

funfact:
es existiert keine option, das passwort zweimal einzugeben, um tippfehler zu vermeiden.
stattessen existiert nur so ein "auge" button, um das neue passwort im klartext zu sehen.
klickt man aber auf besagtes auge icon, wird das neue passwort nur ganz kurz angezeigt,
anschliessend wird man sofort "zur sicherheit ausgeloggt, da passwort geändert wurde"...
was ist also, wenn man sich tatsächlich vertippt haben sollte?
dann hat man sich wohl vermutlich selbst erfolgreich aus dem eigenen account gesperrt,
da man in der extrem kurzen zeitspanne, welche zum lesen des passworts nicht reicht,
ja keine möglichkeit hatte, das neue passwort zu kontrollieren und ggfs. zu korrigieren...
wie selten dämlich ist das denn?

Klingt wirklich ... suboptimal.

[Küken]

Ich würde auch vermuten, dass die Mail echt ist. Zwei Dinge sprechen dafür:

• Im "Authentication-Results"-Header steht, dass DKIM erfolgreich geprüft wurde. Die Mail kommt also tatsächlich von einem sendeberechtigten Server. Da steht zwar was von mobile.de, aber diese beiden Firmen gehören laut Wikipedia seit 2022 einer norwegischen Firma namens "Adevinta". Kann gut sein, dass die sich Teile der Infrastruktur teilen.
• Die Links im Body verweisen tatsächlich auf die korrekte Seite und versuchen nicht, die auf irgendwelche Phishingseiten umzuleiten.

Du könntest mal selbst neues Passwort anfordern und schauen, wie die Mail dann aussieht.

Warum dir diese Mail gesendet wurde kann natürlich nur spekuliert werden. Solange sich niemand Zugriff auf dein Postfach verschafft hat kann damit auch niemand den Account übernehmen. Vielleicht war das auch nur ein Versuch, herauszufinden, ob ein Account zu dieser Mailadresse gehört. Manche Seiten sind da recht deutlich und geben konkrete Info, ob die Mailadresse bekannt ist oder nicht, andere sind da aus Sicherheitsgründen verschwiegener und melden sowas wie "falls wir die Mailadresse kennen senden wir eine Mail mit Infos dort hin". Ich weiß jetzt nicht, wie das bei der Seite aussieht und habe es auch nicht ausprobiert.

[jabu]

Vielleicht hat jemand mit honx' Mailadresse (die bei ebay-kleinanzeigen auch als Anmeldename verwendet wird) angegeben, er habe sein Password vergessen, woraufhin dann vielleicht diese Mail geschickt wurde, damit der berechtigte Empfänger (honx) ein neues vergeben kann. Das wäre ein Fall, bei dem man nicht darauf eingehen sollte, falls man es nicht selber ausgelöst hat.

Aber auch nachdem man selber eine solche Anfrage getätigt hat, sollte man sich vergewissern, dass der Link stimmt, denn es könnte durch einen dummen Zufall ein Phishing in dem Moment erfolgen. Diese zeitliche Übereinstimmung ist zwar wenig wahrscheinlich, aber nicht auszuschließen (Verwechslung wird wahrscheinlicher, falls die angeforderte Mail nicht oder nicht zeitnah kommt). Wo Buchstaben gleich oder fast gleich aussehen, müssen sie nicht gleich sein, was sich für homografische Angriffe ausnutzen lässt. Alleine das ist schon ein guter Grund dafür, irgendwelche zugesandten Links grundsätzlich nicht in Szenarien mit Authentisierung zu verwenden.

An den Link sind übrigens Parameter angehängt, welche recht wahrscheinlich individuell sind. Solchen Quelltext bzw. solche Links würde ich hier nicht posten, da diese Parameter zur Authentisierung genügen könnten. Denn mehr hätte honx nicht an der Hand, falls er sein Password vergessen haben sollte und nicht noch weitere Sicherheitsmerkmale abgefragt werden (wobei die oft erratbar sind). Demnach hätte, falls die Parameter genügen, mit dem Quelltext jemand honx' Konto entführen können (falls honx sie nicht verändert hat). Falls die E-Mail-Adresse nicht verändert wurde, kann man natürlich auch diese lesen.

Wegen des Risikos haben solche Links üblicherweise eine zeitlich begrenzte Gültigkeit, aber garantieren kann einem das niemand, da es dafür keine technische Notwendigkeit gibt.

[honx]

Vielleicht hat jemand mit honx' Mailadresse (die bei ebay-kleinanzeigen auch als Anmeldename verwendet wird) angegeben, er habe sein Password vergessen, woraufhin dann vielleicht diese Mail geschickt wurde, damit der berechtigte Empfänger (honx) ein neues vergeben kann. Das wäre ein Fall, bei dem man nicht darauf eingehen sollte, falls man es nicht selber ausgelöst hat.

wenn so ein a*loch angeblich mein kennwort "vergessen" hat, dann sieht eine entsprechende mail, von welcher ich in den letzten wochen so einige gespammt bekommen habe, wie folgt aus (diesmal nur ein screenshot, empfänger email adresse zensiert):
[Bild: ebaykl_passwort_spam.PNG]

wie geraten, hab ich nun auch den quelltext aus dem einleitungspost zensiert.

von euch hat niemand eine ahnung, wie man besagte schrottmails ein für alle mal los wird? da das ja offensichtlich von ebay-kleinanzeigen selbst kommt, kann ich den absender wohl schlecht auf eine junkmail liste setzen.

eine google suche fördert bei mydealz auch jene hier genannte problematik zu tage, welche wohl bereits etwas älter und immer noch ungelöst zu sein scheint (erster post in besagtem thread ist ein jahr alt, vom januar 2022).

[jabu]

Verstehe, der erste Fall bleibt also nebulös.

Wegen Herumprobierens oder Fehleingaben durch andere (der zweite Fall) ergibt sich naturgemäß die Frage, ob sich anstelle der E-Mail-Adresse ein (genügend komplexer) Login-Name vergeben lässt. Gut, das hast du dich vielleicht schon selber gefragt.

eine google suche fördert bei mydealz auch jene hier genannte problematik zu tage, welche wohl bereits etwas älter und immer noch ungelöst zu sein scheint (erster post in besagtem thread ist ein jahr alt, vom januar 2022).

Ja, selten leider häufig dämlich, das für Außenstehende unterscheidbar zu machen. Von zahlreichen Seiten kennt man solche und ähnliche Geschwätzigkeiten, z.B. "Zu diesem Login existiert kein Account!".

[honx]

leider kann man sich dort nur mittels email adresse und passwort einloggen.

[jabu]

leider kann man sich dort nur mittels email adresse und passwort einloggen.

Danke. Grrrr.....

[honx]

Ja, selten leider häufig dämlich, das für Außenstehende unterscheidbar zu machen. Von zahlreichen Seiten kennt man solche und ähnliche Geschwätzigkeiten, z.B. "Zu diesem Login existiert kein Account!".

ja, sowas in der art würde durchaus sinn ergeben.
doch man muss leider feststellen, dass bei ebay-kleinanzeigen offenbar nur inkompetente stümper beschäftigt sind, welche in bezug auf account-sicherheit von tuten und blasen nicht die geringste ahnung zu haben scheinen. diese wurden wohl vermutlich direkt aus der grundschule abgeworben oder so...
zuerst bereits angesprochene problematik mit passwort ändern... bei jedem vernünftigen portal müsste man hierfür ein passwort ZWEIMAL eingeben, eine solche lösung hat sich denke ich nicht umsonst bewährt... und es dann auch noch irgendwelchen dahergelaufenen abzockern besonders einfach zu machen, herauszufinden, ob ein account existiert oder nicht... entweder sind diese typen total inkompetent oder kriminell und stecken mit jenen abzockern, welche das seit offenbar einem jahr abziehen, unter einer decke...

[jabu]

[...]entweder sind diese typen total inkompetent oder kriminell und stecken mit jenen abzockern, welche das seit offenbar einem jahr abziehen, unter einer decke...

Das Geld fließt ihnen auch ohne größere Anstengungen zu. Deswegen können sie solche Sachen ruhig angehen lassen. Ein anderer Grund könnte darin bestehen, dass es dort große Vorhaben gibt und dafür anderes erst mal zurückstecken muss.