Merkwürdige Mail von Apple

[Tournesol]

Hallo zusammen,

ich habe heute eine Mail von Apple bekommen, dass sich gestern nacht ein neuer Mac Pro bei FaceTime angemeldet hat. Ich war das aber nicht und habe gleich das Kennwort geändert. Wie kann sich jemand meine E-Mail Adresse erschleichen und dann auch noch das zugehörige Passwort. Zudem mache ich 2-fach Authentifizierung. Da hätte ja eine Abfrage auf mein iPhone kommen müssen. Könnt Ihr mir da was dazu sagen?

 

[noodyn]

Sicher, dass es sich nicht einfach um Spam / Phishing handelt?
Ist in der Mail ein Link den du anklicken sollst um deine Daten / Passwort zu bestätigen? Dann ist es Phishing. Klick ihn nicht an und gebe keine Daten ein!

 

[Tournesol]

Nein, da ist kein Link drin. Die Mail hat folgenden Inhalt:


deine Apple-ID wurde verwendet, um sich auf einem Mac Pro mit dem Namen „MacPro“ bei FaceTime anzumelden.
Datum und Zeit: 6. Februar 2019, 23:08 Uhr PST
Wenn dir die oben aufgeführten Informationen bekannt vorkommen, kannst du diese Nachricht ignorieren.
Falls du dich nicht vor kurzem mit deiner Apple-ID auf einem Mac Pro angemeldet hast und der Meinung bist, dass jemand anderes versucht hat, auf deinen Account zuzugreifen, solltest du dein Passwort unter Apple-ID zurücksetzen (https://appleid.apple.com).
Mit freundlichen Grüßen
Apple Support

 

[electricdawn]

1. Da ist ein Link drin.
2. Habe ich auch letztens erhalten, als ich zum allerersten Mal ueberhaupt FaceTime ausprobiert habe auf meinem MacBook. Sicher, dass vielleicht nicht jemand anders deinen Rechner benutzt hat, um sich in FaceTime einzuloggen? Kinder vielleicht? Ehepartner?

 

[PinkMacFloyd]

entferne bitte mal Deine xxxx... Datei da oben

gruß mcfloyd

 

[phonow]

Aber flott!

 

[Rul]

Deine Mail kannst du hier unter dem dazugehörigen Punkt von und bei Apple melden:
https://support.apple.com/de-at/HT204759

 

[Tournesol]

Ich habe zuerst den langen Header überprüft. Kommt alles von Apple. Und hier hat niemand Zugang zu meinem Rechner. Mittlerweile hatte ich keinen Zugang zu iCloud. Habe das dann mit dem Wiederherstellungsschlüssel bei eingerichtet. War also tatsächlich phishing.

So sah der Header aus:

X-Spam-Level: ⁨⁩

X-Attach-Flag: ⁨N⁩

X-Business-Group: ⁨iCloud⁩

X-Spam-Checker-Version: ⁨SpamAssassin 3.4.0 (2014-02-07) on www.xxx.de⁩

Domainkey-Status: ⁨no signature⁩

Domainkey-Status: ⁨no signature⁩

Return-Path: ⁨<noreply@email.apple.com>⁩

Mime-Version: ⁨1.0⁩

X-Dkim_Sign_Required: ⁨YES⁩

X-Reference: ⁨iCloudwebSessionID/⁩

⁨<615328757.16110370.1549523307279@email.apple.com>⁩

X-Sent-To: xx@xxx.de,2,wh%2B6DfNNvnSZuEOdCO2u46c2PGtsrZ7CLzB4GBSTIvxo9iaOwytrCAwT8cty%2BaFJMsbteM3IIq1ILffo1bdiKKusB7bilGCLaeJ%2BlipKT9Up125egOSiOOmfyvsCWHBEzT0zea5yYO3JlDCznGeqt59WrE7UCJx3RTZ4ydKFs8MePXKIUFKadfoyKM8SDl0iN1rxivR1NR20%2FJaY7DsRw458agr%2BdUUj4wxPyElN9wp8sUuXNNUhmVB8qsMvlfPX0xclHXHIFYqLnvrourGbQ6O38N%2BaTEEAjYYE2ltpdVSLcdKy0gRMSua7AiY95EY9MvXS2kvrdrmrGUYlk%2B9eQausB7bilGCLaeJ%2BlipKT9VRz757%2Bal1dos3mLWFrJyy7sbcGLSTmSkhMc5lZDsJmvBo%2Fi02qqF1uW8SmZW%2BLck%3D⁩

Dkim-Signature: ⁨v=1; a=rsa-sha256; c=relaxed/relaxed; d=email.apple.com; s=email0517; t=1549523307; bh=eubk4+UadTw28Ye/zxiUZIYzX0jsYy/HZBbyKnyq7Z0=; h=Date:From:To:Message-ID:Subject:Content-Type; b=Z3iP1Wz2tN3vFB0OldLf3nYD59vd4dQl5bP/umMLBMX4qfcrbXXV/GqcilgHm+oAT GTf65E1YsTFIsD9QXID4+LmwKj1eyZm8A818nRixP50FA5NAenlgPnTppLBDV932ZO ET9YW1/N6By46/l7TjXDf8nSbx1eDLmTZ15/8F9v3cP0rswBbnSh4sXEcLacVcz5oJ JQ8NLejqDGumLN6qyJ1rzQT26pTlxe7+89/FAt5B6B2r1I4eDlOYp3Qs7bkepTC097 Ku8t2Z+jdIDgaq9IMDvPnAigYh+dlzWpQZCNQG6yli4efXE7TPJjS2VID+Iq+Wv5D3 U1Ob1/pOxCNfA==⁩

X-Emailtype-Id: ⁨997725⁩

X-Spam-Status: ⁨No, score=-4.2 required=7.0 tests=BAYES_00,HTML_MESSAGE, RCVD_IN_DNSWL_MED,URIBL_BLOCKED autolearn=ham autolearn_force=no version=3.4.0⁩

X-Txn_Id: ⁨BC5D2314-E2CF-4553-9A72-A804973026B4⁩

Content-Type: ⁨multipart/alternative; boundary="----=_Part_16110368_615325378.1549523307279"⁩

X-Request-Uuid: ⁨8d1a2f25-b93d-4d2d-acd7-42f49245584f⁩

Delivered-To: ⁨xxh@xxx.de⁩

X-Original-To: ⁨xx@xxx.de⁩

Received: ⁨by www.xxx.de (Postfix, from userid 30) id 99A3B4D1; Thu, 7 Feb 2019 08:13:32 +0100 (CET)⁩

Received: ⁨from nwk-txn-msbadger0401.apple.com (nwk-txn-msbadger0401.apple.com [17.151.1.62]) by www.xxx.de (Postfix) with ESMTPS id 915274BF for <xx@xxx.de>; Thu, 7 Feb 2019 08:13:31 +0100 (CET)⁩

 

[electricdawn]

Wenn es von Apple kommt... kann es kein Phishing sein.

PS: Ach so, Du meinst, dass irgendwie deine Emailadresse und dein Passwort VORHER schon jemand bekannt war. Das kann natuerlich moeglich sein. DIESE Email scheint jedenfalls echt zu sein.

 

[phonow]

Deine Links in dem Header haben ein tatsächliches Ziel. Also bitte!

 

[Tournesol]

Deine Mail kannst du hier unter dem dazugehörigen Punkt von und bei Apple melden:
https://support.apple.com/de-at/HT204759

Habe ich soeben gemacht. Danke.

Deine Links in dem Header haben ein tatsächliches Ziel. Also bitte!

Du ich steh gerade auf dem Schlauch. Was meinst Du mit tatsächliches Ziel?

 

[phonow]

Na, xxx.de ist eine Webseite.

 

[oneOeight]

Datum und Zeit: 6. Februar 2019, 23:08 Uhr PST

du weißt schon, dass PST 9h zeitunterscheid zu MEZ/CET hat?
das login war also hier am 7.2. um 8:08…

 

[electricdawn]

Noch einmal, die Email ist ECHT (hoechst wahrscheinlich). Ich denke, dass schon VORHER jemand Zugriff auf deinen Apple-Account hatte. Trotzdem richtig und wichtig, dass Du das Passwort geaendert hast.

 

[Tournesol]

Na, xxx.de ist eine Webseite.

Das ist meine, über die die Mails reinkommen.

 

[phonow]

Im Moment ist es vor allem Werbung für erwachsene Kunden

Received: ⁨by www.xxx.de (Postfix, from userid 30) id 99A3B4D1; Thu, 7 Feb 2019 08:13:32 +0100 (CET)⁩

Received: ⁨from nwk-txn-msbadger0401.apple.com (nwk-txn-msbadger0401.apple.com [17.151.1.62]) by www.xxx.de (Postfix) with ESMTPS id 915274BF for <xx@xxx.de>; Thu, 7 Feb 2019 08:13:31 +0100 (CET)⁩

Nur so als Hinweis.

 

[phonow]

Das wolltest Du nicht, stimmts. Macuser macht das aber automatisch.

 

[Tournesol]

Noch einmal, die Email ist ECHT (hoechst wahrscheinlich). Ich denke, dass schon VORHER jemand Zugriff auf deinen Apple-Account hatte. Trotzdem richtig und wichtig, dass Du das Passwort geaendert hast.

Sieht echt aus. Ich habe auch gleich heute morgen das PW geändert. Als ich mich vor kurzem wieder einloggen wollte, war das PW angeblich falsch. Ich habe es dann mit dem Wiederherstellungsschlüssel nochmals geändert. Merkwürdig ist doch, dass ich die 2-fach Authentifizierung mache und einen Code auf mein Handy hätte erhalten müssen.

 

[Tournesol]

Das wolltest Du nicht, stimmts. Macuser macht das aber automatisch.

Ehrlich? dann hätte ich mir ja die Arbeit ersparen können.

 

[electricdawn]

Sicher, dass dein Rechner nicht von Malware befallen ist? Das kommt mir sehr merkwuerdig vor... Sicher auch, dass deine AppleID nicht noch von jemand anders verwendet wird? Das kann ja nicht sein, dass dein Passwort sich so kurz hintereinander staendig von selbst aendert.