Drohmail mit eignerer iCloud Mail als Absender

[oneOeight]

Darf ich fragen wie Du das rausgefunden hast, dass dort der Dienst der Firma FIRSTBYTE.PRO/FIRSTBYTE.RU verwendet wird?

Man kann auf IP Adressen/Blöcke eine Whois Abfrage machen, dann gekommst den Anbieter dem dieser IP Block gehört und im Whois sind meist auch Kontaktdaten hinterlegt.

Hast du eigentlich mal ausgehende Mails deiner me.com im Header angeguckt?
Eventuell hat die einen X-Authenticated-Sender mit der iCloud Adresse mit drin.

 

[iMaxer]

egal wie vorsichtig ich mit meinen Daten umgehen, dass trotzdem immer etwas mit meiner Adresse passieren kann.

Stimmt leider, bedeutet aber im Umkehrschluss nicht, dass Vorsicht überflüssig wäre.

 

[Ugeen]

Man kann auf IP Adressen/Blöcke eine Whois Abfrage machen, dann gekommst den Anbieter dem dieser IP Block gehört und im Whois sind meist auch Kontaktdaten hinterlegt.

Hast du eigentlich mal ausgehende Mails deiner me.com im Header angeguckt?
Eventuell hat die einen X-Authenticated-Sender mit der iCloud Adresse mit drin.

Danke für die Info.

In meinen ausgehenden Mails konnte ich keinen X-Authenticated-Sender sehen.

Stimmt leider, bedeutet aber im Umkehrschluss nicht, dass Vorsicht überflüssig wäre.

Das soll es natürlich nicht sein.

 

[MrChad]

In meinen ausgehenden Mails konnte ich keinen X-Authenticated-Sender sehen

Wäre ja noch schöner, wenn man (bzw. der Spammer) sich seine Identität selbst bestätigen dürfte ...
Will sagen:

• Den Header machst weder du selbst noch deine lokale Mail-Äpp. Es ist eine freiwillige Aufgabe/Angabe des SMTP-Servers, das für den Empfänger offenzulegen bzw. zu bestätigen.

Mail ist zwar im Prinzip archaisch und simpel, inzwischen aber durch allerlei freiwillige und mehr oder weniger wirksame Anti-Spam-Maßnahmen ziemlich komplex geworden.

 

[Cassiuzz]

Womit wirst Du denn erpresst? Wenn schon dieser Sachverhalt nicht zutrifft, dann würde ich keinen Gedanken an diese Mail verschwenden und löschen.
Und bitte nicht erst dort irgendwas in der Email anklicken.

Wahrscheinlich mit dem Sonoma "Zwangs" Update?


btw:
@oneOeight
Aus Datenschutzgründen, bekommst du doch gar keine hinterlegten Adressen mehr über WHOIS etc angezeigt, oder?
Bzw. gibt es doch Anbieter, die deine Klarnamen, Anschrift etc. von Haus aus verschleiern!

 

[oneOeight]

Aus Datenschutzgründen, bekommst du doch gar keine hinterlegten Adressen mehr über WHOIS etc angezeigt, oder?

Bei Firmen und IP Blöcken kriegst du halt den Anbieter, das sind ja keine privaten Daten sondern Geschäftsadressen.

 

[THEIN]

Hallo zusammen,

ich habe letzte Woche eine (angebliche) Erpressungsmail bekommen wo der Absender meiner @icloud.com Adresse war. Meine eigentliche Apple ID ist jedoch meine @me.com Adresse. Die dort angegebene iCloud Adresse gibt es zwar, habe ich jedoch nie verwendet. Daher frage ich mich, woher derjenige an meine E-Mail Adresse gelangt ist. Sicherheitshalber habe ich das Kennwort meiner Apple ID verändert und meine iCloud Adresse im Netz prüfen lassen (z.B. auf https://haveibeenpwned.com/). Dort wurde mir jedoch nichts angezeigt.
Habt Ihr eine Idee wie der oder diejenige an diese Mail Adresse gelangt ist?
Achso meinen Mac habe ich ebenfalls prüfen lassen (App SilientKnight). Auf dem iPhone habe ich leider kein Prüfprogramm.

Interessante Geschichte. Denn mir ist vor einigen Tagen exakt das gleiche passiert. Ich habe auch so eine Erpressungsmail bekommen, der Absender der Adresse gab sich aber als meine eigene icloud.com-Adresse aus, die ich jedoch ebenfalls nie benutze, da ich primär - wenn es überhaupt die Apple-Adresse sein muss - meine mac.com-Adresse verwende.

Der "Erpresser" behauptete allen möglich Unsinn, der aber vermutlich einige Leute doch erschrecken könnte. Angeblich hat er mich beobachtet - ihr wisst schon bei was - und das ganze mit meiner Webcam gefilmt. Soso. Und er wollte mich allen Ernstes damit erpressen, die vermeintlichen Videos "online zu stellen" und an alle meine Freunde und Verwandten zu schicken. Fun Fact am Rande: sollte derjenige tatsächlich meine Webcam, gekapert haben, dann wäre darauf genau gar nichts zu sehen ausser tiefes Schwarz, da meine einzige Webcam sich im Gehäuse meines MBP befindet und das ist immer zugeklappt. Dumm gelaufen. Alleine daraus war schon mehr als deutlich ersichtlich, dass der ganze Unfug nichts weiter als eine leere Drohung und sinnfreies Blabla war. Und wenn ich das Lösungsgeld nicht innerhalb von 48 Stunden gezahlt hätte, dann hätte er all meine Daten gelöscht, meinen Rechner gesprengt und was weiß ich noch alles. Ja ne, is' klar. Ach ja, natürlich ist nach Ablauf dieser ominösen Frist genau gar nichts passiert.

Schöne Grüße daher auch an die russischen Trolle bei FIRSTBYTE.PRO/FIRSTBYTE.RU!

Trotzdem ein weiterer und wichtiger Hinweis darauf, dass man im Netz nach wie vor auf der Hut sein sollte und dass die eigenen Daten mit ziemlicher Sicherheit nie 100%ig sicher sind. Und ich habe nun immerhin durch diesen Thread auch gelernt, dass man In der macOS Mail App den vollständigen Header über das Darstellung-Menü oder direkt per Command+Shift+H einsehen kann. Danke für den wertvollen Tipp!

 

[oneOeight]

Schöne Grüße daher auch an die russischen Trolle bei FIRSTBYTE.PRO/FIRSTBYTE.RU!

Firmenanschrift ist in London, aber da leben/lebten ja auch viele Russen.

 

[Ugeen]

Interessante Geschichte. Denn mir ist vor einigen Tagen exakt das gleiche passiert. Ich habe auch so eine Erpressungsmail bekommen, der Absender der Adresse gab sich aber als meine eigene icloud.com-Adresse aus, die ich jedoch ebenfalls nie benutze, da ich primär - wenn es überhaupt die Apple-Adresse sein muss - meine mac.com-Adresse verwende.

Der "Erpresser" behauptete allen möglich Unsinn, der aber vermutlich einige Leute doch erschrecken könnte. Angeblich hat er mich beobachtet - ihr wisst schon bei was - und das ganze mit meiner Webcam gefilmt. Soso. Und er wollte mich allen Ernstes damit erpressen, die vermeintlichen Videos "online zu stellen" und an alle meine Freunde und Verwandten zu schicken. Fun Fact am Rande: sollte derjenige tatsächlich meine Webcam, gekapert haben, dann wäre darauf genau gar nichts zu sehen ausser tiefes Schwarz, da meine einzige Webcam sich im Gehäuse meines MBP befindet und das ist immer zugeklappt. Dumm gelaufen. Alleine daraus war schon mehr als deutlich ersichtlich, dass der ganze Unfug nichts weiter als eine leere Drohung und sinnfreies Blabla war. Und wenn ich das Lösungsgeld nicht innerhalb von 48 Stunden gezahlt hätte, dann hätte er all meine Daten gelöscht, meinen Rechner gesprengt und was weiß ich noch alles. Ja ne, is' klar. Ach ja, natürlich ist nach Ablauf dieser ominösen Frist genau gar nichts passiert.

Schöne Grüße daher auch an die russischen Trolle bei FIRSTBYTE.PRO/FIRSTBYTE.RU!

Trotzdem ein weiterer und wichtiger Hinweis darauf, dass man im Netz nach wie vor auf der Hut sein sollte und dass die eigenen Daten mit ziemlicher Sicherheit nie 100%ig sicher sind. Und ich habe nun immerhin durch diesen Thread auch gelernt, dass man In der macOS Mail App den vollständigen Header über das Darstellung-Menü oder direkt per Command+Shift+H einsehen kann. Danke für den wertvollen Tipp!

Jap das war es bei mir auch.

 

[dg2rbf]

Hi,
Solche Droh E-Mails habe ich auch schon bekommen, ab in Papierkorb und dann auch komplett gelöscht.
Franz

 

[BEASTIEPENDENT]

Der "Erpresser" behauptete allen möglich Unsinn, der aber vermutlich einige Leute doch erschrecken könnte. Angeblich hat er mich beobachtet - ihr wisst schon bei was - und das ganze mit meiner Webcam gefilmt.

Ja, vor zig Jahren habe ich auch ein paar solcher Mails bekommen. Wirklich alter Hut. Eben Spam.

Inzwischen gibt es aber sogar gut gemachte, nicht diesen billigen Sch***, den jeder durchschaut, wenn er sein Hirn anschaltet.

 

[OmarDLittle]

Ist allerdings schon etwas seltsam, dass Apples Mailserver nicht checken dass der Absender natürlich nicht icloud.com sein kann. Apple kennt doch die eigenen Mailserver die E-Mails für icloud.com verschicken dürfen. So wie ich das hier verstehe hat der TS die Mail an seine me.com-Adresse bekommen. Da hätte Apple wirklich auffallen müssen, dass diese Mail rein technisch nicht irgendwoher aus Russland kommen kann und daher zu verwerfen ist.

SPF spielt dafür auch keine Rolle, denn wenn sich ein Apple-User selbst eine E-Mail schickt dann verlässt die E-Mail Apples Mailserver erst gar nicht sondern bleibt intern bei Apple. Allerhöchstens wird sie vom icloud.com-Postfach ins me.com-Postfach geschupft, aber auch dafür muss die Mail nie ins Internet raus, das sind ja alles Apples eigene Mailserver.

Da fehlt mir wirklich das Verständnis, warum Apple das nicht korrekt konfiguriert hat. Wenn du ein innerhalb von Deutschland versandtes Paket erwartest und auf dem Paket ist plötzlich ein russischer Poststempel samt Zollerklärung doppelt auf englisch und kyrillisch, dann weißt du auch sofort dass das Paket nicht in Deutschland losgestartet ist. Apples Mailserver sehen das (die sehen die Absender-IP-Adresse natürlich) und stellen das trotzdem zu.

Als Spam zu markieren ist in dem Fall nicht genügend, hier kann Apple zu 100% erkennen dass der Absender fake ist und sollte die E-Mail unabhängig von den Spameinstellungen verwerfen. Weiß jemand warum Apple icloud.com und me.com auf SPF-SoftFail gestellt hat? Bei O365 und Gmail genauso. Meine Domains und die meiner Firma sind alle auf (Hard)Fail gestellt und hätten in diesem Fall die E-Mail gar nicht ins Postfach zugestellt, auch nicht als Spam. Wundert dass die großen Anbieter SPF so forcieren aber dann selbst bei den eigenen Domains alles annehmen.

 

[vstyle]

Das gleiche hier. Heute mal Mails gecheckt und sah das selbe bei mir. Da stellt sich auch die Frage, wie die erstens auf meine Mail Adresse kommen (nie benutzt) und woher die den genau wissen, dass man aus Deutschland kommt. Es steht ja nicht Günther, Olaf oder sowas drin. Alles sehr interessant und spannend
Und das gleiche hier. Keine Webcam, da Mac mini. iPhone wieder erst seit einer Woche und die Mail ist 2 Wochen alt. Aber von mir aus können die meine Pimmel Bilder um die Welt schicken. Kostenlose Werbung schadet nie

 

[Salem30]

...Ich habe letzte Woche ebenfalls so eine Scam-Mail bekommen. Hatte mich auch zuerst erschrocken als ich als Absender meine eigene EMail Adresse gelesen habe und fragte mich, wie das geht. Ich sollte 1100€ bezahlen, ansonsten werden alle meine von mir gemachten Videos und Fotos im Internet veröffentlicht. Man gab mir 48h Zeit. Mir war aber ziemlich schnell klar, dass das nicht meine EMail Adresse sein kann, da ich meine EMail Adresse im Adressbuch habe und mir bei allen bekannten EMail Adressen der gespeicherte Namen als Absender angezeigt wird. So hätte also auch bei meiner eigenen EMail Adresse als Absender mein Name stehen müssen. Erst auf dem iPhone hatte ich gesehen, wo der Hacken ist. Meine EMail Adresse besteht aus meinem Namen@icloud.com. Genauso stands auch in der MailApp von Mac OS. Auf dem iPhone in der MailApp stand dagegen als Absender Name@icioud.com. Hier wurde bei icloud einfach das kleine l (L) durch ein großes I (i) ersetzt. Die MailApp unter IOS hat den Unterschied angezeigt, Mac OS dagegen nicht.

 

[Difool]

Weiß jemand warum Apple icloud.com und me.com auf SPF-SoftFail gestellt hat?

Naja, der SPF-SoftFail mit Tilde ~all diente anfangs nur zu Testzwecken, wurde aber bei vielen Hostern beibehalten.
-all kann man ja ggf. selbst einstellen, sofern man einen Mailprovider-Zugang dafür hat.
Aber letztendlich schützt SPF auch nicht vor Spoofing, noch vor unauthorisierten Mail-Sender.
In der Regel werden für Mail-Spam authorisierte Mailserver verwendet, wie irgendwelche Newsletter-Tools oder Facebook und ähnliches.
Die senden dann ja authorisiert – aber eben mit falschen Mailheader dann, der nach der Überprüfung gesetzt ist.

Setze dir mal einen dmarc rua-tag, um dir mal Aggregate bzw. Bericte der Mailserver schicken zu lassen, welche Mailserver akzeptiert worden sind und welche nicht.
Beispiel: rua=mailto:deine@mail.de

Anleitung: DMARC Einführung:
https://support.google.com/a/answer/10032473?hl=de

 

[PiaggioX8]

Ah ok danke. Darf ich fragen wie Du das rausgefunden hast, dass dort der Dienst der Firma FIRSTBYTE.PRO/FIRSTBYTE.RU verwendet wird?

Das sagt doch alles wo der scheiss herkommt.
Russische Trollfabrik.......
Die Europawahlen sind im anmarsch - da werden die Orks wieder aktiver.

 

[PiaggioX8]

...Ich habe letzte Woche ebenfalls so eine Scam-Mail bekommen. Hatte mich auch zuerst erschrocken als ich als Absender meine eigene EMail Adresse gelesen habe und fragte mich, wie das geht. Ich sollte 1100€ bezahlen, ansonsten werden alle meine von mir gemachten Videos und Fotos im Internet veröffentlicht. Man gab mir 48h Zeit. Mir war aber ziemlich schnell klar, dass das nicht meine EMail Adresse sein kann, da ich meine EMail Adresse im Adressbuch habe und mir bei allen bekannten EMail Adressen der gespeicherte Namen als Absender angezeigt wird. So hätte also auch bei meiner eigenen EMail Adresse als Absender mein Name stehen müssen. Erst auf dem iPhone hatte ich gesehen, wo der Hacken ist. Meine EMail Adresse besteht aus meinem Namen@icloud.com. Genauso stands auch in der MailApp von Mac OS. Auf dem iPhone in der MailApp stand dagegen als Absender Name@icioud.com. Hier wurde bei icloud einfach das kleine l (L) durch ein großes I (i) ersetzt. Die MailApp unter IOS hat den Unterschied angezeigt, Mac OS dagegen nicht.

Die Funktionsweise ist eigentlich ganz einfach:
Ein Bot generiert hundertttausende von mail-Adressen. Man nimmt da einfach die bekannte Endung eines Provuiders. Also z.B. icloud.com, gmx.de, t-online.de etc.
Vor dem @ werden dann zufällig generierte oder häufig vorkommende Namen/Begriffe eingesetzt und ab geht die Post.
Vieles davon geht halt ins Nirwana. Aber ein Teil kommt tatsächlich bei echten Usern an. Und von denen die ankommen, machen sich einige User dann ins Höschen.
So funktioniert auch der Königssohn aus Nigeria, die ganzen DHL,DPD, UPS, Banken-Mitteilungen, dass eine Sendung nicht zugestellt werden konnte oder sich die Konto-PIN geändert hätte.

Ähnlich funktioniert das auch mit diesen ganzen ominösen Telefonanrufern.
Keiner der MItarbeiter muss da selber TElefenonnummern anwählen. Das macht ein Bot systematisch. Hebt keiner ab, gehts an die nächste Nummer. Erst wenn jemand abhebt geht da ein Mensch an die Strippe auf der Betrügerseite.
Hotspot für diesen Telefonbetrug ist die Türkei. da gints ganze CallCenter für diesen Mist.

Da anhand der Telefon-Länderkennung-/ Vorwahl und am PC via IP filtern kann, kann man so ganze Regionen, Kontinente, Provider gezielt ansteuern.
Mla triffts die Telekomkunden, mal die von DHl oder T-online oder halt Apple oder sonst welche Gruppen.
Ist also kein Hexenwerk.
Und richtig intensive KRiminelle erstellen dazu perfekte Kopien von Websites nahafter Hersteller, Dienstleister, Banken, Provider.

 

[El-Gerto]

ich habe letztens mal zum Test bei 1und1 eine neue Mailadresse vergeben und nichts damit gemacht.
Also einfach nur bei denen online eingerichtet.

Nach 28 Minuten hatte ich da im Webmailer die erste Spam.

Also alles total sicher…. soso…

 

[Ugeen]

ich habe letztens mal zum Test bei 1und1 eine neue Mailadresse vergeben und nichts damit gemacht.
Also einfach nur bei denen online eingerichtet.

Nach 28 Minuten hatte ich da im Webmailer die erste Spam.

Also alles total sicher…. soso…

Das spricht nicht grade für 1&1.

 

[Difool]

ich habe letztens mal zum Test bei 1und1 eine neue Mailadresse vergeben und nichts damit gemacht.
Also einfach nur bei denen online eingerichtet.

Nach 28 Minuten hatte ich da im Webmailer die erste Spam.

Also alles total sicher…. soso…

Den catch all haste aber schon geändert, oder?