Thema: Web.de / GMX diverses ...

[Jürgen]

GMX-Kunde Mario Jung staunte, als er plötzlich fremde Mails in seinem Posteingang vorfand: "Ich hatte meinen Account gerade von POP auf IMAP umgestellt, da fand ich auf einmal etwa ein Dutzend Nachrichten, die an einen anderen GMX-Kunden adressiert waren", berichtete er heise online. "Es handelte sich nicht um Spam oder ähnliche Massen-Mails, sondern um persönliche Mitteilungen". Nach der nächsten Synchronisation sei die fremde Post dann aber wieder verschwunden.

Am vergangenen Freitag konnten wir ein ähnliches Phänomen live miterleben. Als wir mit einem Pocket-PC über das IMAP-Protokoll auf ein GMX-Konto zugriffen, fanden sich plötzlich 64 Nachrichten in der Inbox, die allesamt an einen Jürgen W. adressiert waren -- eine vollkommen fremde Person. Auch die Ordnerstruktur hatte sich merkwürdig verändert. Eine kurze Testmail, abgesandt über einen anonymen Webmailer, bestätigte: Wir hatten nicht nur Zugriff auf ein fremdes Nachrichten-Archiv, wir konnten auch sämtliche eingehenden Nachrichten einsehen. Auch das Löschen der Testmail war problemlos möglich.

Zwischen Newslettern und Werbemails fanden sich in dem Postfach auch durchaus kritische Nachrichten, beispielsweise die Anmeldebestätigung für das Online-Rechnungsverfahren bei einem großen Telekommunikationskonzern -- inklusive Usernamen und Passwort. Ein Missbrauch dieser Daten hätte wohl eine Menge Ärger für ihren Inhaber verursacht.

-/-

Update:
GMX teilte heise online am heutigen Donnerstagnachmittag mit, den Fehler in der selbst entwickelten IMAP-Serversoftware behoben zu haben. Anhand des von uns dokumentierten Falls sei es gelungen, das Problem zu analysieren. Der beschriebene Fall sei sehr selten aufgetreten.

Der Darstellung von GMX zufolge waren abgestürzte Prozesse auf den Mailservern Ursache des Problems. Jeder Prozess hat nach den Angaben von GMX eine Port-Nummer, an die während der IMAP-Session die Kundennummer gekoppelt werde. Stürzte er ab, löschte der Server diese Bindung nicht. "Wenn der Kunde dann einige Zeit wartete, bis er wieder seine Mails abrief, konnte es passieren, dass das Betriebssystem diesen Port an einen anderen Kunden, der sich genau in dieser Zeit per IMAP angemeldet hat, vergab", erläuterte GMX-Sprecherin Nicole Braun. "Wenn dann Kunde 1 wieder auf seine Mailbox zugriff, konnte er auf die Mailbox des Kunden 2 zugreifen"

Die Sprecherin betonte, dass die Wahrscheinlichkeit für diese Fälle sehr gering gewesen sei. "Zum einen gibt es höchst selten Server-Prozess-Abstürze, die überdies nicht bewusst herbeigeführt werden können. Zum anderen gibt es über 60.000 mögliche Ports, von denen gleichzeitig in der Regel zehn vergeben sind. Unter diesen zehn musste der sein, den der Kunde 1 gehabt hatte. Selbst dann hatte hat Kunde 1 genau eine Chance, den Fehler präsentiert zu bekommen. Andernfalls wurde der ursprüngliche Fehler (Zuordnung wurde nicht gelöscht) korrigiert." (hob/c't) Der ganze Artikel
Quelle: www.heise.de

[SiLæncer]

Die österreichischen Online-Sicherheitsexperten SEC Consult weisen auf mehrere Sicherheitslücken (1, 2) bei populären Webmail-Anbietern wie Yahoo, Web.de und GMX hin. Bei allen genannten Diensten lassen sich in HTML-Mails Skripte einschleusen. Durch diese Cross-Site-Scripting-Attacken (XSS) lassen sich beispielsweise Account-Daten des Empfängers auslesen.

Alle drei Provider versuchen, JavaScript oder VBScript in Mails durch Filterung gefährlicher Schlüsselbegriffe (etwa "script" oder "javascript") zu unterbinden, doch scheitern diese Filter an dazwischengeschobenen Null-Bytes – eine seit längerem bekannte Schwachstelle. Ein weiterer Schwachpunkt sind "XML Data Islands", mit denen Internet Explorer XML-Daten zum Beispiel an eine Tabelle binden kann. Hier kann ein Angreifer Schadcode einschmuggeln, der in <![CDATA[...]]> eingeschlossen ist.

SEC Consult steht nach eigenen Angaben bereits geraume Zeit in Kontakt mit den genannten Mail-Diensten, doch "habe sich die Situation kaum geändert, da die zuständigen Sicherheitsleute nicht viel Interesse an der Sache zeigen". SEC Consult empfiehlt den Providern dringend, alle HTML-Anweisungen mit Ausnahme weniger harmloser Tags zu entfernen – also per Whitelist anstatt per Blacklist zu filtern.

Als den für solche Angriffe anfälligsten Browser schätzt SEC Consult Microsoft Internet Explorer ein, von dessen Verwendung sie abraten. Eine zuverlässige Sicherheitsmaßnahme für die Anwender ist das Abschalten von JavaScript beim Abruf der E-Mails per Web-Frontend.

Quelle und Links : http://www.heise.de/security/news/meldung/66943

[SiLæncer]

Beim E-Mail-Dienst GMX klaffte bis zum vergangenen Donnerstag eine große Sicherheitslücke. Wie lange schon, ist nicht mehr in Erfahrung zu bringen. Durch Zufall entdeckte ein heise-online-Leser, dass GMX Sitzungen am Webfrontend offenbar lediglich über eine Session-ID, die in der URL im Klartext übergeben wird, auf Gültigkeit überprüft.

Dem Leser war aufgefallen, dass es möglich war, URLs von offenen GMX-Sessions an andere Rechner zu schicken und dort am geöffneten Web-Postfach weiterzuarbeiten. Dies funktionierte sowohl bei Rechnern mit unterschiedlichen IP-Adressen als mit auch verschiedenen Browser-Typen. heise online konnte diese Rechner-übergreifende Session-Übernahme in verschiedenen Konstellationen nachvollziehen. Erst, wenn von jenem Browser aus, an dem das GMX-Login stattfand, die Sitzung geschlossen wurde, konnten auch die anderen nicht mehr auf das Web-Postfach zugreifen.

Eine Sitzung am Webportal lediglich mit der Klartext-Übergabe der ID in der URL aufrecht zu erhalten, gilt unter Sicherheitsexperten seit langem als grober Fauxpas, der Angreifern unnötig Tore öffnet. Denkbar wäre etwa, dass ein Trojaner auf dem Rechner, der die Sitzung eröffnet, URLs abgreift und sofort versendet. Insbesondere bei nicht via SSL verschlüsselten Sitzungen könnte sich jeder Zugang zum Postfach verschaffen, der die Übertragung belauschen kann, also beispielsweise ein Kollege im (W)LAN oder Betreiber eines Proxies.

Von heise online auf die Problematik angesprochen, wiegelte GMX ab. Man habe den Sachverhalt nachvollziehen können, er stelle allerdings "einen sehr speziellen Sonderfall" dar, erklärte Unternehmenssprecherin Nadja Elias: "Der Nutzer muss die URL während der geöffneten Session versenden und diese darf noch nicht vom Nutzer selbst oder vom System beendet worden sein."

Auf Nachfrage erklärte GMX, dass eine Session bei Inaktivität des Kunden zwischen 30 Minuten und drei Stunden aufrecht erhalten wird, falls dieser sie nicht aktiv beendet. Diese Zeit stand Angreifern folglich zur Verfügung, falls sich der Nutzer nicht sofort nach der eventuell unbemerkten Kaperung seines Accounts ausloggt.

Ohnehin sei die Konstellation GMX zufolge speziell, weil "Sender und Empfänger diesselbe Browser- und Betriebssystem-Version verwenden" müssten. Reproduzierbare Tests von heise online, nach denen die URL-Übergabe beispielsweise auch von Firefox zum Internet Explorer klappte, habe man nicht nachvollziehen können. Man nehme den Hinweis dennoch ernst und überprüfe, ob ein Bugfix nötig sei, teilte GMX am vergangenen Mittwoch mit.

Zwei Tage später erhielt heise online von GMX die Mitteilung, dass der Fehler nicht nachvollzogen werden konnte und daher keine Korrektur notwendig sei: "Wo kein Bug, da kein Fix", hieß es lapidar. Bereits kurz zuvor klappte allerdings unserer Beobachtung zufolge die Übergabe von offenen Sessions via URL zwischen Browsern nicht mehr.

Parallel dazu erhielten wir Meldungen von Nutzern des Anonymisierungsdiensts TOR, wonach seit jenem Zeitpunkt ein Arbeiten mit dem GMX-Webfrontend plötzlich nicht mehr möglich ist, wenn die TOR-Route wechsle und damit eine neue IP-Adresse an den Client vergeben worden ist. Offenbar hat GMX mit IP-Adressüberprüfung reagiert, die verhindert, dass Rechner mit unterschiedlichen Adressen auf dieselbe Session zugreifen können.

Quelle : www.heise.de

[SiLæncer]

Um Phishing-Attacken vorzubeugen, haben GMX und Web.de in Kooperation mit eBay ein E-Mail-Siegel für Original-eBay-Mails eingeführt. Über ein technisch nicht näher erläutertes, als mehrschichtig bezeichnetes System testen Web.de und GMX eingehende Post von eBay-Absendern darauf, ob sie tatsächlich echt sind, und kennzeichnen erfolgreich geprüfte Mails im Posteingang mit dem eBay-Logo und einem Häkchen.

Zusätzlich erhalten manche Mails einen grünen Haken (eBay-System-Mails) oder ein Kopf-Symbol (Post von eBay-Nutzern). Anwender, die ihre Mails über POP3 oder IMAP4 abrufen, profitieren von dem Dienst vorerst nur geringfügig: Offensichtlich fügen die Freemail-Provider eine Zeile in den X-Header der Mail ein. Die drei Unternehmen verbinden die Siegel-Aktion mit einer Anti-Phishing-Kampagne.

Quelle : www.heise.de

[SiLæncer]

Dass ein Echtheitssiegel nicht sicher vor Unerwünschtem schützt, zeigen Werbe-E-Mails von eBay, die in den vergangenen Tagen an deutsche Kunden gingen. Offenbar versehentlich, denn sie sind vollständig in spanischer Sprache verfasst und weisen auf das spanische eBay-Angebot hin.

GMX kennzeichnet E-Mails, die tatsächlich von eBay stammen, neuerdings als echt, auch wenn sie wie in diesem Fall unerwünscht sind.

Außer Ärger bei den betroffenen Empfängern lösen solche fehlgeleiteten Kampagnen auch Sicherheitsbedenken aus. So gingen etliche dieser E-Mails, die den Mitgliedsnamen und den vollen Namen der Kunden enthalten, auch an Mail-Accounts, die eigens als sogenannte Spamfallen für das Projekt NiX Spam eingerichtet wurden. Ein Hinweis darauf, dass eBay nicht in ausreichendem Maße darauf achtet, Kunden-Accounts zu deaktivieren, deren Mail-Adressen nicht mehr erreichbar sind. GMX beispielsweise gibt aufgegebene Adressen erst nach einem halben Jahr erneut zur Registrierung frei – eigentlich Zeit genug für Werbeversender, auf Fehlermeldungen wegen nicht zustellbarer E-Mails zu reagieren.

Quelle : www.heise.de

[SiLæncer]

Möglicherweise sind Millionen von deutschen GMX-Nutzern von einem neuen Betrugsversuch betroffen. Auf dem Mailserver von onlinekosten.de wurde eine gefälschte E-Mail im Namen des Freemailes entdeckt, die unter anderem darauf abzielt, persönliche Daten von GMX-Mitgliedern abzufangen.
   
Leicht zu erkennen

Die HTML-Nachricht wurde angeblich vom GMX-Supportteam verschickt und relativ lieblos mit vier GMX-Logos versehen. In gebrochenem Deutsch wird der Empfänger der Nachricht darüber informiert, dass angeblich eine über das GMX-Konto empfangene Nachricht mit einem Trojaner infiziert gewesen sei. Um die schadhafte Software von der Festplatte zu löschen, reiche es aus, auf einen in der E-Mail generierten Link zu klicken.

Wer das tut, wird auf einen Internetseite geleitet, die zwar der GMX-Startseite stark ähnelt, jedoch auf einem südkoreanischen Server liegt. Loggen sich GMX-Nutzer auf dieser Seite mit ihren persönlichen Daten ein, haben die Betrüger vollen Zugriff auf das echte GMX-Konto und können persönliche Daten auslesen. Wird ein kostenpflichtiger GMX-Dienst genutzt, gehören auch Bankdaten dazu.

Auch echte GMX-Post

Brisant ist der Fall auch, weil GMX selbst in der Nacht von Freitag auf Samstag ebenfalls einen E-Mail-Newsletter verschickte. Darin wird über ein verbessertes Login-Verfahren auf der GMX-Homepage informiert.

Quelle : www.onlinekosten.de

[SiLæncer]

Mails, die nur scheinbar von GMX stammen, weisen die Empfänger auf ein vorgeblich demnächst ablaufendes Benutzerkonto hin. Sie fordern zur Kontoaktualisierung auf einer nachgeahmten GMX-Seite auf.

Am Wochenende sind Spam-artige Mails verschickt worden, die Phishing-Angriffe auf GMX-Nutzer darstellen. Sie versuchen potenzielle Opfer auf eine gefälschte GMX-Anmeldeseite zu locken. Online-Kriminelle wollen so an Anmeldedaten für Mail-Konten beim Online-Dienst GMX gelangen, um diese etwa zum Spam-Versand zu missbrauchen.

Die Mails kommen mit einem Betreff wie "E-Mail und Datenschutz" sowie der gefälschten Absenderangabe "GMX Internet Services GmbH". In holprigem Deutsch heißt es, das Konto laufe demnächst ab und man rate dem Empfänger sein Konto zu aktualisieren, um "die Aussetzung zu vermeiden", gefolgt von einem Link. Dieser führt nur scheinbar zum Server service.gmx.net, tatsächlich jedoch auf eine in den USA registrierte .com-Domain.

Die Seite ahmt die GMX-Anmeldeseite täuschend echt nach - allerdings fehlen ein paar Bilddateien. Web-Browser wie Firefox und Chrome, die Googles  Safe-Browsing-Filter benutzen, warnen vor sehr deutlich einer Phishing- oder Betrugsseite. Die Phishing-Seite ist jedoch nach wie vor erreichbar. Wer seine Anmeldedaten dort eingibt, wird zur echten GMX-Seite weiter geleitet.

Die Mails kommen von einer russischen IP-Adresse. Die Phishing-Seite befindet auf einer bereits im Jahr 2000 im US-Bundesstaat New York registrierten Domain, deren Web-Server offenbar gehackt worden ist.

Wenn Sie sich via Web in Ihr GMX-Konto einloggen, benutzen Sie stets die SSL-verschlüsselte Anmeldeseite, die auch FreeMail-Nutzern zur Verfügung steht. Achten Sie auf die Web-Adresse (URL), die mit "https" beginnt, sowie auf das Schlosssymbol und die farbige Unterlegung der Adressleiste.

Quelle : www.tecchannel.de

[SiLæncer]

Die Security-Experten von 'Sicherheit-Online' machen auf zwei kritische Schwachstellen, die auf der Plattform von Web.de gefunden wurden, aufmerksam. Offiziell hat sich Web.de noch nicht zu diesem Thema geäußert.

Den getroffenen Angaben von Sicherheit-Online.org zufolge wird eine der gefundenen Schwachstellen schon von virtuellen Angreifern und Spammern aktiv zur Verfolgung ihrer Ziele ausgenutzt. Die in diesem Fall angesprochene Schwachstelle steht im Zusammenhang mit der eingesetzten Redirect-Funktion.

Als kritisch wird diese Problematik angesehen, da viele Benutzer nicht auf den ersten Blick erkennen, dass es sich um eine Weiterleitung auf eine andere Webseite handelt. Auch eine solche Schwachstelle kann für die Besucher mit Gefahren verbunden sein. Immerhin kursieren gegenwärtig mehrere dieser Links auf dem Social Network Facebook und verleiten die Mitglieder zu einem Klick darauf.

Beachtet man die jeweilige Adresse, so wirkt diese zunächst vertrauenswürdig, da es sich um einen Link von Web.de handelt. In Wirklichkeit findet aber eine Weiterleitung auf eine ganz andere Adresse statt, die gar nichts mit dem Angebot von Web.de zu tun hat.

Die entsprechend manipulierte Webseite, auf die die Benutzer geleitet werden, soll entweder Schwachstellen im Webbrowser ausnutzen oder die Nutzer zur Eingabe von persönlichen Daten auffordern. Neben dieser Thematik wurden die Sicherheitsexperten am heutigen Montag auf eine weitere Schwachstelle aufmerksam. Dadurch soll das Einschleusen von Code über manipulierte Parameter möglich sein.

Augenscheinlich haben die Entwickler von Web.de die verwendete Suchfunktion nicht entsprechend abgesichert. Ein Angreifer könnte auf diese Weise unter Umständen externe Seiten und Dateien direkt in die Website von Web.de einschleusen, teilte man mit.

Sicherheit-Online macht in regelmäßigen Abständen auf Sicherheitslücken und Schwachstellen auf verschiedenen Webseiten aufmerksam. Dazu gehören beispielsweise eine Sicherheitslücke in der Webseite des Mineralölkonzerns Aral, eine kritische Cross-Site-Scripting-Lücke auf dem Hauptstadtportal Berlin.de und eine Schwachstelle auf der Webseite der Fastfoodkette McDonalds.

Quelle : http://winfuture.de/

[SiLæncer]

Heiko Frenzel von Sicherheit-Online.org mutmaßt, die kürzlich bekannt gewordenen Kontenübernahmen von GMX-Nutzern könnten möglicherweise mit Hilfe der gleiche Schwachstelle realisiert worden sein, die nach wie vor bei Web.de aktiv ist. Die Betreiber der beiden Portale wurden auf die Problematik hingewiesen. Sie haben aber noch nicht reagiert.

Neben Web.de können auch beim E-Mail-Anbieter GMX externe Dateien in die Webseite eingeschleust werden, da beide Anbieter mit dem gleichen System arbeiten. Cyber-Kriminelle können diese Schwachstelle gezielt für Phishing-Attacken ausnutzen. Der Dienstleister Web.de reagierte bislang auf keine der verschickten Hinweise. Regulär werden solche Schwachstellen seltener als kritisch eingestuft. Dennoch wurden derartige Lücken bereits in unzähligen Fällen beim sozialen Netzwerk Facebook dafür eingesetzt, um darüber Schadsoftware zu verbreiten.

Das Problem dabei: Anfänger sehen, dass bei Facebook auf eine Seite geleitet wird, die im Link die Adresse eines seriösen Anbieters beinhaltet. Sie glauben, da von dort keine Gefahr droht, könne ihrem Equipment nichts passieren. Das ist aber nicht der Fall. Klickt der Benutzer auf den bei Facebook beworbenen Link, so wird er entweder zu einer Webseite geleitet, die die Schwachstellen in seinem Browser ausnutzen soll. Oder aber er wird dazu aufgefordert, persönlich Daten einzugeben um diese später auszuwerten. Natürlich sollen die ahnungslosen Nutzer vor dem Konsum des vermeintlichen Videos noch den „Like Button“ klicken, um die Infizierung weiter durch's Internet zu tragen. Es wird aber so oder so kein Video angezeigt, das dient lediglich als Lockmittel.

Die Behebung der Schwachstellen bei web.de, gmx.net (gmx.de) würde nach Auskunft von Sicherheit-Online.org jeweils nur wenige Minuten Zeit in Anspruch nehmen. Die Lücken ausfindig zu machen, kostete den Datenschützer nur rund zwei Minuten. Erfahrene Cyber-Kriminelle dürften dafür auch nicht mehr Zeit in Anspruch nehmen.

Quelle : www.gulli.com

[Jürgen]

Zweierlei ganz schlichte Überlegungen könnten die Sicherheit für Normalbürger deutlich erhöhen:

1.) Zwischen so wichtigen Diensten wie E-Mail (die man ja oft auch für ganz offizielle oder gar Zahlungs-Zwecke einsetzt) und dem eigenen Interesse für Klatsch und Tratsch muss konsequent und hart getrennt werden.
So werde ich ganz sicher niemals in den ganzen bunten Seiten herumklicken, mit denen Mail-Anbieter ihre Portale überfluten.
Genauso wenig wie auf deren wöchentlichen Werbe-Mails.
BTW, das Nachladen externer Komponenten ist meinem Mailprogramm natürlich strikt verboten.
Und weil auch ich mich in gewissen Abständen doch mal auf dem Web-Interface einloggen muss, z.B. um Spamfilter zu kontrollieren und justieren, oder weil das der Freemailer alle paar Monate verlangt, werde ich stets vorher und hinterher Cache und Cookies platt machen und nie von einer anderen Seite dahin oder von da woandershin gehen.
Weil ich meine Browser entsprechend eingerichtet habe, geschieht das automatisch beim Schließen. Und meine Startseite heißt natürlich immer about:blank

2.) Es ist wohl nicht zuviel verlangt, so kurze Adressen wie die von web.de oder gmx.de immer nur manuell einzugeben, von mir aus die dann auch selbst als Lesezeichen einzurichten.
Kein vernünftiger Mensch braucht dafür irgendeinen Link aus Dritter Hand.
Das wäre nicht einmal schneller, sondern nur absolut dämlich...

Jürgen

[SiLæncer]

Nach eingehender Kommunikation zwischen Pressesprecher Martin Wilhelm der 1&1 Internet AG und dem Leiter von Sicherheit-Online.org, wurden alle bestehenden Schwachstellen bei den Anbietern GMX und Web.de geschlossen. Betroffen war die „Redirect-Funktion“ und die integrierte Google-Suche, die von Cyber-Kriminellen missbraucht werden konnte.

Sicherheitsdienstleister Heiko Frenzel von Sicherheit-Online.org hatte kürzlich darauf hingewiesen, dass bei GMX und Web.de kritische Lücken bestanden. Da seine Meldungen bei den Unternehmen offenbar ins Leere gingen, reagierte man leider erst nach der Berichterstattung in diversen Online-Portalen.

1&1 Pressesprecher Wilhelm meldete vorgestern zurück, die Technik des Unternehmens sei mit der Behebung der Lücken beschäftigt. Gestern kam grünes Licht, die Schwachstellen seien alle dicht. Es kann jetzt also kein Phishing mehr über eine der beiden Webseiten durchgeführt werden. Auch die Suchfunktion wurde entsprechend korrigiert. Die Verantwortlichen haben sich für das ehrenamtliche Engagement von Herrn Frenzel bedankt.

Quelle : www.gulli.com

[SiLæncer]

Das Ausmaß des am Mittwoch bekannt gewordenen Cyber-Angriffs auf GMX-Kunden ist immens: wie das Unternehmen gegenüber heise Security erklärte, konnten sich die Spam-Versender in die Accounts von über 300.000 Kunden einloggen. GMX geht inzwischen davon aus, dass die Angreifer im Besitz einer umfangreichen Liste mit Mailadressen und den dazugehörigen Passwörtern sind. Die ursprüngliche Vermutung, dass die Accounts durch Brute-Force-Angriffe geknackt wurden, habe sich nicht bestätigt.

Der zu United Internet gehörende Mailprovider nimmt an, dass die Daten nicht von den eigenen Servern stammen, sondern anderswo entwendet wurden. Woher die Liste stammt, ist bislang noch nicht geklärt. Laut GMX hat es zu den 300.000 erfolgreichen Logins noch mal etwa doppelt so viele Versuche mit falschen Passwörtern gegeben. Das deute darauf hin, dass dass die Angreifer die Zugangsdaten anderswo erbeutet haben und nun durchprobieren, wer das Passwort auch beim GMX nutzt.

Nach Angaben von GMX wurde die Liste in alphabetischer Reihenfolge über das Webmail-Interface für Smartphones durchprobiert. Es wurden nur Logins mit E-Mail-Adressen probiert, die tatsächlich von GMX stammen. Dabei seien die Spammer jedoch nicht mal bis zu "Z" vorgedrungen, was bedeutet, dass sie vermutlich noch weitere gültige Zugangsdaten besitzen.

300.000 kompromittierte Accounts und die doppelte Anzahl Fehlschläge lassen auf rund eine Million betroffene GMX-User schließen. Bei einem geschätzten Marktanteil von 20 Prozent, wie wir ihn bei den Heise-Registrierungen sehen, könnte die Passwort-Liste rund 5 Millionen deutsche Anwender umfassen. Damit käme eigentlich nur noch ein Einbruch bei einem der wirklich großen Dienste wie Facebook, eBay, Google oder Amazon in Frage – vorausgesetzt, es steckt wie von GMX vermutet tatsächlich eine Website mit einer großen Nutzerbasis und nicht etwa ein Passwort-Trojaner oder gar ein Einbruch in die GMX-Systeme dahinter. Keiner dieser großen Anbieter hat jedoch in letzter Zeit einen derartigen Einbruch gemeldet

Der Mailprovider hat nach eigenen Angaben die Accounts der betroffenen Nutzer inzwischen gesperrt. Wenn der eigene Account zum Versand von Spam missbraucht wurde, wird man nach dem Login in die Weboberfläche dazu aufgefordert, ein neues Passwort festzulegen. Da die unbekannten Täter vermutlich noch nicht ihre gesamtes Pulver verschossen haben, sollte auch alle anderen Nutzer in Erwägung ziehen, ihre Passwörter zu ändern – insbesondere dann, wenn man das GMX-Passwort bisher auch bei anderen Webdiensten nutzt.

Ein sicheres Passwort hat mindestens acht Zeichen, enthält Ziffern und Buchstaben und ist nicht von einem realen Wort abgeleitet. Dabei gilt: Je länger, desto schwerer zu knacken. Man könnte sich zum Beispiel einen Merksatz aussuchen und die Anfangsbuchstaben der einzelnen Wörter zu einem Passwort kombinieren.

Quelle : www.heise.de

[SiLæncer]

Nach Erscheinen unserer Tickermeldung hat GMX die am heutigen Donnerstag gegenüber heise Security mehrfach bestätigte Zahl von über 300.000 kompromittierten und gesperrten Accounts radikal nach unten korrigiert. "GMX hat aktuell 3000 Nutzeraccounts zweifelsfrei identifiziert, bei denen eine missbräuchliche Nutzung durch ein bekanntes Botnetz vorliegt, welche vorübergehend gesperrt wurden", erklärte das Unternehmen in einer Stellungnahme.

Mittlerweile stehe fest, dass die Angreifer bei GMX auch Logins ausprobiert haben, die zu anderen Providern gehören. Insgesamt sei eine sechsstellige Anzahl an Benutzername/Passwort-Kombinationen durchprobiert worden. Damit wären unsere Hochrechnungen in der vorangegangenen Tickermeldung hinfällig, denen zufolge die Angreifer potentiell die Daten von bis zu fünf Millionen Nutzern entwendet haben.

Quelle : www.heise.de

[Jürgen]

Auf keinem meiner GMX Accounts wurde auch nur ein einziger ungültiger Login-Versuch registriert, weder unter gmx.de noch unter gmx.net
Das würde nämlich im Web-Mailer angezeigt.
Und die dort sichtbaren jeweils letzten gültigen Logins waren immer tatsächlich meine.
So ist hier jeder Missbrauch auszuschließen.

[Jürgen]

Mittlerweile erscheint mir diese Geschichte in einem etwas anderen Licht.

Nach wie vor hatte ich auf keinem meiner GMX Accounts irgendwelche unberechtigten Login-Versuche.

Wir haben ja hier im Board kürzlich über PayPal Phishing Mails diskutiert und dabei feststellen müssen, dass davon offenbar vornehmlich GMX-Konten betroffen sind.
Eines davon ist ein rein privates von mir, und die Phisher müssen irgendwie an meinen Klarnamen gekommen sein, obwohl der nie in Verbindung damit verwendet wurde, außer bei GMX selbst.
Nutzerdaten wurden geändert, der Account wohl bald stillgelegt.

So weit, so gut.

Aber seit zwei Tagen ist plötzlich ein zweiter meiner GMX-Accounts auch von qualifiziertem Spam mit Klarnamen betroffen, das ich lediglich für die Kommunikation mit Behörden und mit GMX selbst als (ehemaligen) DSL-Provider verwendet habe, und seit etwa drei Jahren eigentlich gar nicht mehr.     
Und wieder sind die Umlaute verstümmelt, derzeit im Betreff wie im Text.
Sowohl infizierte Anhänge, als (Fake dell.de) Rechnungen getarnt, als auch verfälschte Links sind im Spiel, und als Quelle erscheinen stets GMX-Accounts, mal über die Server von GMX, aber auch über DSL-IPs von Arcor.
Dieser Account existiert seit 2000, und er war noch nie von Spam betroffen.
Zum Glück lese ich unerwartete oder irgendwie merkwürdige Mails immer nur im Quelltext, ohne sie zu öffnen oder auch "nur" in eine Vorschau-Darstellung zu lassen.
Die Vorschau ist hier schon seit etwa 1998 immer deaktiviert...

Rein von der Logik her kommen eigentlich nur zwei mögliche Ursachen für diese neue Spam-Betroffenheit in Frage, entweder ein Datenleck bei einer hiesigen Behörde bzw. bei Dataport, oder eines bei GMX, ähnlich dem hier geschilderten.
Einer Bewertung enthalte ich mich erst einmal...

Es muss ja nicht immer gleich um eine Accpunt-Übernahme samt Passwort-Diebstahl gehen, wenn irgendwelche Hacker angreifen.
Geld wird auch gemacht mit möglichst detaillierten persönlichen Daten, die man für Phishing und Pharming gebrauchen kann.
Wenn es gelingt, an solche Daten(banken) zu geraten, steigt der Wert einer Adressen-Sammlung für die Spammer enorm.

Ich weiß schon lange genau, warum ich stets diverse E-Mail-Adressen vorhalte, bei verschiedenen Providern und überwiegend unabhängig von irgendwelchen Verträgen.
So kann ich nicht nur die Dinge streng voneinander getrennt halten und klar unterscheiden, sondern in aktuellen Fällen auch mal schnell umstellen.

Jedenfalls ist offensichtlich allergrößte Vorsicht geboten.

Jürgen