• Herzlich willkommen im "neuen" DSLR-Forum!

    Wir hoffen, dass Euch das neue Design und die neuen Features gefallen und Ihr Euch schnell zurechtfindet.
    Wir werden wohl alle etwas Zeit brauchen, um uns in die neue Umgebung einzuleben. Auch für uns ist das alles neu.

    Euer DSLR-Forum-Team

  • In eigener Sache!

    Liebe Mitglieder, liebe Besucher und Gäste
    ich weiß, es ist ein leidiges Thema, aber ich muss es ansprechen: Werbung, Werbeblocker und Finanzierung des Forums.
    Bitte hier weiterlesen ...

  • DSLR-Forum Fotowettbewerb neu erfunden!
    Nach wochenlanger intensiver Arbeit an der Erneuerung des Formates unseres internen Fotowettbewerbes ist es Frosty als Moderator
    und au lait als Programmierer gelungen, unseren Wettbewerb auf ein völlig neues Level zu heben!
    Lest hier alle Infos zum DSLR-Forum Fotowettbewerb 2.0
    Einen voll funktionsfähigen Demowettbewerb kannst du dir hier ansehen.
  • Neuer Partner: AkkuShop.de
    Akkus, Ladegeräte und mehr (nicht nur) für Digitalkameras und Drohnen
  • Neuer Gutscheincode unseres Partners Schutzfolien24:
    DSLR-Forum2024
    Dauerhaft 10% Rabatt auf alle Displayschutzfolien der Eigenmarken "Upscreen", "Brotec", "Savvies".
    Der Code ist für alle Geräteklassen gültig.
  • Stimmt ab über die Sieger des DSLR-Forum Fotowettbewerbs April 2024.
    Thema: "Sprichwörtlich"
    Nur noch bis zum 30.04.2024 23:59!
    Jeder darf abstimmen!
    Zur Abstimmung und Bewertung hier lang
WERBUNG

User-Datenbank entwendet (???)

Status
Für weitere Antworten geschlossen.

mlmlc

Themenersteller
Hallo zusammen,

ich habe heute Nacht eine Spam-E-Mail an meine nur hier verwendete E-Mail-Adresse erhalten, in der ich aufgefordert werde meinen Battle.net-Account zu überprüfen...:grumble:

Header:

Received: from WWW-9763E06E580.net (110.103.66.222) by
exmail1.xxxxx-xxxxxxxxx.de (192.168.178.66) with Microsoft SMTP Server id
14.2.298.4; Thu, 16 Aug 2012 02:03:57 +0200
Message-ID: <09FE282256F69CA3195A527B18FC2890@WWW-9763E06E580.net>
From: Diablo III <diablo@email.com>
To: <a_dslrforum@xxxx.xx>
Subject: [EN]Diablo III Account Locked - Action Required
Date: Thu, 16 Aug 2012 08:05:03 +0800
MIME-Version: 1.0
Content-Type: text/html; charset="utf-8"
Content-Transfer-Encoding: base64
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.5512
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5512
Return-Path: agcz@WWW-9763E06E580.net
X-MS-Exchange-Organization-AuthSource: exmail1.xxxxx-xxxxxxxxx.intern
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-Exchange-Organization-PRD: email.com
X-MS-Exchange-Organization-SenderIdResult: None
Received-SPF: None (exmail1.xxxxx-xxxxxxxxx.intern: diablo@email.com does
not designate permitted sender hosts)
Zum Vergrößern anklicken....

Screenshot angehängt.

Kann es sein, dass sich jemand unberechtigt Zugang zur Benutzerdatenbank dieses Forums verschafft hat?

Gruß mlmlc
 
Zuletzt bearbeitet:
Da wird jetzt noch mehr Spam kommen, da du deine Mailadresse jetzt weltweit für alle Mail-Scanner bekannt gemacht hast. :devilish:
 
Könnte es nicht auch sein, dass Deine email-Adresse zufällig vom Spam-Roboter erstellt/getroffen wurde? Ich habe ja keine Ahnung, aber würde mich wundern, wenn diese Massenmails nur an "verifizierte" email-Adressen gehen..
 
Ich habe in der Nacht exakt die gleiche E-Mail erhalten. Offensichtlich ein Phishing-Versuch.

Die E-Mail-Adresse ("disposable e-mail address") ist exklusiv für das DSLR-Forum und ich habe niemals eine E-Mail mit diesem Absender verschickt, daher liegt der Verdacht nahe, daß sich jemand Zugang zur Benutzerdatenbank des Forums verschafft hat.
 
Eyecandy schrieb:
Ich habe in der Nacht exakt die gleiche E-Mail erhalten. Offensichtlich ein Phishing-Versuch.

Die E-Mail-Adresse ("disposable e-mail address") ist exklusiv für das DSLR-Forum und ich habe niemals eine E-Mail mit diesem Absender verschickt, daher liegt der Verdacht nahe, daß sich jemand Zugang zur Benutzerdatenbank des Forums verschafft hat.
Zum Vergrößern anklicken....

oder zu deinem Rechner...
 
Chironer schrieb:
oder zu deinem Rechner...
Zum Vergrößern anklicken....
Das würde ich auch vermuten. Mögliches Szenario: Eingefangener Trojaner/Wurm/Virus/... liest aus dem vorhandenden Mailsystem (z.B. Outlook MAPI) die Accounts aus und meldet sie an sein Botnet weiter. Spammer usw. nutzen auch gesammelte reale Adressen als Fake-Absender.
Vorschlag an die Betroffenen: das Avira Rescue System (ISO) auf einem anderen PC herunterladen, auf CD brennen, den eigenen PC damit booten und dann scannen.
 
Das wäre mir neu, dass sich Trojaner etc. aus der globalen Adressliste die Aliasadressen zu einem Exchange-User auslesen, die ist immerhin nicht explizit als Adressbuch bzw. Kontakte-Ordner im Outlook vorhanden. Wenn dem so wäre, hätte ich sicher schon Spam an andere der vielen Aliase bekommen, das ist allerdings nicht der Fall. NDRs an als Absender missbrauchte Aliase habe ich auch keine erhalten...
Meinen Rechner habe ich bereits mit mehreren AV-Produkten abgescannt und nichts gefunden; der Verdacht, dass die E-Mail-Adresse aus der Datenbank dieses Forums entwendet wurde ist also meiner Meinung nach nicht unbegründet...
 
Zuletzt bearbeitet:
mlmlc schrieb:
Das wäre mir neu, dass sich Trojaner etc. aus der globalen Adressliste die Aliasadressen zu einem Exchange-User auslesen
Zum Vergrößern anklicken....
Von Exchange hattest du bisher nichts geschrieben.
EDIT: Doch, hattest du im Header. Habe ich überlesen. :eek:
Die Virenscans sind per Boot von einem sauberen Medium (CD, nicht USB) erfolgt?
 
Zuletzt bearbeitet:
Der OWA-Screenshot kann doch nur von einem Exchange kommen... ;)
Ich habe gescannt mit den Boot-CDs von Avira und Microsoft sowie dem installierten F-Secure-AV. EDIT: Von CD-Rs gestarten, keine USB-Sticks.
 
Zuletzt bearbeitet:
mlmlc schrieb:
Der OWA-Screenshot kann doch nur von einem Exchange kommen... ;)
Zum Vergrößern anklicken....
Ich hatte mir nur die ersten Headerzeilen angeschaut. Nicht den Rest und auch nicht den Screenshot. Web Access war mir beim Antworten auch schon wieder entfallen. :eek:

mlmlc schrieb:
Ich habe gescannt mit den Boot-CDs von Avira und Microsoft sowie dem installierten F-Secure-AV. EDIT: Von CD-Rs gestarten, keine USB-Sticks.
Zum Vergrößern anklicken....
Oha. Gab es letztes Jahr nicht Angriffe auf das Forum? Vielleicht ist da schon was entwendet worden.
 
Wenn es so wäre dann hättest nicht nur Du das Problem.
Hab mal vor vielen Jahren mal eine Mailadresse eingerichtet. Wenn ich mich richtig erinnere nicht nur Namen sondern irgendwie noch was dabei. Hatte die Adresse noch nirgends verwendet und ich hatte schon Spam drauf.
 
Ja das kenne ich, genau aus dem Grund benutze ich auch meine eigene Domain und nicht den GMX, web.de, yahoo und sonstigen crap.

Den meisten wird zusätzlicher Spam in der Mailbox vielleicht gar nicht erst auffallen, weil sie sowieso schon reichlich davon bekommen... :p
 
RaumKraehe schrieb:
Wenn jemand weiß was er tut und wirklich die DB des Forums abgeriffen hat dann ist er auch in der Lage die Logs wieder so aussehen zu lassen als wäre nichts gewesen. ;)
Zum Vergrößern anklicken....
Das ist mir klar. Nutzt aber nichts. Wenn jemand die Frage stellt, ob Daten aus der DB entwendet wurden, kann ich nur auf Grundlage der vorhandenen Informationen antworten.

Möglich ist alles und nichts.
 
Es gibt ja diverse Möglichkeiten, wo eine Mailadresse abgegriffen werden kann und bisher scheinen hier nur 2 Leute betroffen. Wäre die Forums-DB kompromittiert, wäre ja eigentlich deutlich mehr zu erwarten gewesen.
 
******** schrieb:
Es gibt ja diverse Möglichkeiten, wo eine Mailadresse abgegriffen werden kann und bisher scheinen hier nur 2 Leute betroffen. Wäre die Forums-DB kompromittiert, wäre ja eigentlich deutlich mehr zu erwarten gewesen.
Zum Vergrößern anklicken....

Und wievielen Leuten fällt auf, dass sie Spam bekommen, wenn sie nicht eine dedizierte Emailadresse ausschließlich fürs Forum benutzt haben?
Könnte also schon sein, dass es nur wenigen auffällt.
 
Möglich. Ich glaube aber, dass bei den zigtausend Usern hier mehr als 2 eine Adresse nur für's Forum haben. Ist es nicht naheliegender, dass das von einem früheren Angriff stammt?
 
******** schrieb:
Möglich. Ich glaube aber, dass bei den zigtausend Usern hier mehr als 2 eine Adresse nur für's Forum haben. Ist es nicht naheliegender, dass das von einem früheren Angriff stammt?
Zum Vergrößern anklicken....

hmm komisch ich verwende ja jar@forum nicht, das geht nur wenn mir einer über das Userzentrum eine Mail schickt und die die ich erhalten hatte in 7 Jahren waren marginal, wo soll die abgegriffen werden ausser vom Forum und das könnten nur SpamBots machen wenn die sich selber einloggen, aber alle die ich bis jetzt hier so sah wurden innerhalb von 2-3 Posts gekillt und das di in der Zeit nennenswerte e-mail verschicken ? unwahrscheinlich :confused:
 
Status
Für weitere Antworten geschlossen.
WERBUNG
Zurück
Oben Unten