GMX verschickt komische Emails. Ungewöhnliche Aktivität?
Hallo zusammen,
Ich brauche eure Hilfe.
Heute ist es zum 2x vorgekommen, dass ich E-Mails von GMX bekommen habe (siehe Bilder, gesicherter Absender: mailings@sicher.gmx.net), in dem sie mir mitteilen, dass Daten von meinem Email Account angeblich geändert wurden.
Passwort und Kontakt Emailadresse.
Ich habe mich gerade angemeldet (mit meinem eigenen, "originalen" Passwort), und bin in die Einstellungen gegangen. Dort steht sogar: "Passwort zuletzt geändert am 07. Dezember 2024" (dort war das 1x diese Situation). Und meine Kontakt-Emailadresse ist auch die richtige. Zusätzlich steht in einer der E-Mails, dass das Passwort um 18:39 geändert wurde, beide E-Mails kam aber erst um 19:39 an. Witziger weise ist in der "Kontaktadresse E-Mail" beide Daten richtig datiert.
Warum bekomme ich also jetzt schon zum zweiten mal Emails von GMX, dass meine Daten geändert wurden, obwohl es nicht so ist. Als ich beim ersten mal die Passwörter geändert habe, bekam ich genau die selben E-Mails, auch von der selben E-Mailadresse. Also müssen sie ja wirklich von GMX sein. Ich würde ja den Support mal anfragen, ob die Technische Probleme haben, aber für die normalen Leute stehen Menschliche Kontakte nicht zur Verfügung, nur das Hilfeforum...
Zur Accountsicherheit:
- 2FA ist aktiviert
- Telefonnummer hinterlegt
- Kontakt-Emailadresse hinterlegt und korrekt
- Aktive Sitzungen wurden überprüft, dort ist nur 1 Browser angemeldet, das bin ich, mein Handy wird aber auch nicht angezeigt.
Ich werde jetzt wieder das Passwort ändern, dann sollte nochmal alles und jeder ausgeloggt werden, und dann ohne 2FA nicht mehr rein kommen.
Ich bin über jede Hilfe dankbar. Obwohl ich eigentlich Ahnung habe, verunsichert mich diese Emails und ich weiß nicht, wie ich darauf jetzt reagieren soll.
2 Antworten
Schaue mal, ob diese Mails tatsächlich von GMX stammen:
Man kann die sichtbare Absenderadresse leicht fälschen, die zweite Adresse im Header aber nicht. Zudem weist die Anrede "Hallo" auf Täuschung hin. Wenn Du alles kontrolliert hast, und alles funktioniert wie gehabt, lösche diese Mails.
GMX schreibt wirklich "Hallo" als Anrede? Gut, ich nutze GMX nicht.
Kann ich dir spontan nicht beantworten, nutze GMX auch schon lange nicht mehr. Aber es gibt objektiv immer noch Firmen, die solche Anreden trotz bekanntem Namen verwenden.
Wie gesagt: Der Hinweis "GMX geprüfter Absender" spricht tendenziell gegen einen Fake. Der wird außerhalb des Mailboy angezeigt, den zu manipulieren wäre m. E. nicht trivial (aber nicht komplett auszuschließen, wenn GMX keine hinreichenden Maßnahmen gegen JS und HTML Spielereien ergriffen hat).
Die Header der Mail wären mal interessant.
Ich bekomme gleich hoffentlich die Header der Mail, danach sind wir schlauer.
Also für mich sieht die Mail erst mal sauber aus. Versand nur über interne Server von GMX, die IPs gehören zu GMX / 1&1 Mail & Media GmbH.
Die Ursache für die versendeten Mails muss also irgendwo bei GMX liegen, mehr könnte nur der dortige Support dazu sagen.
Ich habe gerade mein Passwort geändert, und habe darauf hin direkt die selbe Email bekommen, wie die Male davor. Ich habe mir auch die Adresse bei beiden Malen kopiert und untereinander eingefügt. Beide sind identisch. Ich bin mir zu 95% sicher, dass diese Emails alle echt sind und von GMX stammen. Zumal diese ja von GMX Verifizieren sind
Ist, war das Passwort hinreichend komplex und nicht erratbar? Kennt das wirklich niemand sonst? Ansonsten: Sicher kein Virus, Trojaner als "Gast" da?
Ein Salat aus Buchstaben, groß und klein, mit Sonderzeichen und Zahlen. Über 12 Zeichen lang. Man hätte mehr Chancen, das zu erraten, wenn man eine Katze über die Tastatur laufen lässt.
Habe dem Kollegen gerade auch geschrieben, meinen Rechner vor 1-2 Wochen neu aufgesetzt. Immer mal wieder Windows Antivirus laufen lassen. Ausschließen kann man es nie, aber ich wäre mir ziemlich sicher
Dann fehlt es mir momentan an Ideen... Wenn ich das richtig sehe, ist da genau eine Stunde Versatz. Ein Fehler seitens GMX ist da auch nicht auszuschließen. Vielleicht mal an die Hotline der heise c't schreiben: hotline@ct.de
Genau so geht es mir auch. Irgendwie passt das alles nicht zusammen. Wer sind denn ct? Noch nie von denen gehört... Und danke schonmal für deine Hilfe!!!
Das kann m. E. nur der Support beantworten. Dubios ist das in der Tat. Eine Kompromittierung lokaler Geräte (z. B. in Form eines bösartigen oder kompromittieren Browser-Addons) kannst du hinreichend sicher ausschließen?
Theoretisch ja. Ich habe meinen Rechner erst vor einer Woche neu aufgesetzt, kann mich aber nicht erinnern, andere Browser Addons benutzt zu haben wie Return YT Dislikes und Adblock Pro, jeweils mit mehreren tausend positiven Bewertungen. Ich weiß aber nicht, ob ich doch mal was auf dem alten pc aktiviert hätte.
Ich würde gerne den Support kontaktieren, leider gibt es keine Möglichkeit für FreeNet User… Die Kontaktmöglichkeit ist mir gar nicht erst gegeben.
jeweils mit mehreren tausend positiven Bewertungen
Google entfernt im Google PlayStore regelmäßig bösartige Apps, die von Millionen Usern installiert wurden (siehe z. B. hier oder hier). Insofern sagen ein paar tausend positive Bewertungen leider nur begrenzt etwas aus. Und teilweise werden bestehende, unbedenkliche Apps oder Addons auch schlicht von Dritten gehackt und manipuliert (siehe z. B. Anfang des Jahres: https://www.heise.de/news/Nach-Phishing-Angriff-Schaedliche-Erweiterungen-in-Chrome-Web-Store-geschleust-10224745.html
Und das ist kein Einzelfall, nur beispielhaft aus 2023: https://www.heise.de/news/Webbrowser-Schadcode-in-Chrome-Erweiterungen-mit-87-Millionen-Nutzern-9164090.html
Du könntest die Mail aber mal von GMX auf diesen Wegen prüfen lassen:
Die Echtheit der E-Mail konnte nicht bestätigt werden.
Keine Ahung was ich jetzt davon halten soll...
Dann mal bitte die Header der Mail vorlegen. Vorsicht: Da steht auch deine eigene Mailadresse drin, die bitte zensieren. Du kannst mir die Header aber gerne auch per PN schicken, wenn du sie nicht posten willst.
Du wolltest auch was von dem Email Header wissen. Was möchtest du denn wissen?
Ich möchte sehen, welche Absenderadresse dort steht, wer als mailfrom auftritt, was im helo steht, welche IP die Mail eingeliefert hat, was ggf. die DMARC-Prüfung ergeben hat.
Also für mich sieht die Mail erst mal sauber aus. Versand nur über interne Server von GMX, die IPs gehören zu GMX / 1&1 Mail & Media GmbH.
Die Ursache für die versendeten Mails muss also irgendwo bei GMX liegen, mehr könnte nur der dortige Support dazu sagen.
danke für die Hilfe. Nur schwach, dass ich mich dort noch hat melden kann als free Mitglied…
Nur schwach, dass ich mich dort noch hat melden kann als free Mitglied…
Ja, das ist so. Andererseits musst du dir eines klar machen: Wenn du für eine Leistung nichts bezahlen musst, die aber in der Erbringung objektiv Geld kostest, bist du nicht der Kunde, sondern das Produkt.
Dann müsste aber jemand bei GMX einen Weg gefunden haben, die Verifizierung GMX-eigener Mails zu manipulieren. Grundsätzlich vorstellbar, wäre dann aber ein Sicherheitsproblem seitens GMX.