Lucid Mail /Fake

[C. H. Lübbers]

Guten Tag,

ich möchte ein neues Thema erstellen, jedoch gibt es einfach nirgendswo die Option " Thema erstellen". Wieso? Wie geht das?

Du gehst auf: neues Thema erstellen. Nicht in einem Thread, sondern in der Kategorie. Oben links.

[C. H. Lübbers]

Du kannst jetzt hier noch lange rum rätseln und diskutieren, aber vielleicht solltest Du die Zeit besser nutzen und schleunigst alle Zugänge ändern, bei denen Du das gleiche Passwort nutzt!

Tue ich nicht. Zum 5tausensten Mal. Für Lucid hatte ich ein Passwort, das ich nirgends sonst anders verwende. Schon gar nicht mit dieser E-Mail und da jetzt auch nicht mehr.

Ist das jetzt bitte mal geklärt?

[dlnkrg1511]

Mithilfe von https://haveibeenpwned.com/ könnt ihr eure E-Mail überprüfen.

[Spk]

Ich würde es dringend unterlassen, auf Phishing-Seiten herumzuspielen und irgendwelche zufälligen Daten einzugeben, besonders wenn man von HTML, PHP und Co. keine Ahnung hat. Habe schon Webseiten gesehen, da wird nach dem Abenden noch ein ganzes Exploit Kit ausgeführt, der einen Trojaner herunterlädt falls man ein passendes Plugin mit Sicherheitslücke benutzt. Danach könnten eure Daten verschlüsselt sein und ihr seht eine Lösegeldforderung auf dem Bildschirm. Achtet immer auf die URL im Browser; sie sollte zum Beispiel "sellerforum.de" und nicht "seller-forum.de" oder "sellerforum.to" lauten. Öffnet auch keine fremden E-Mail-Anhänge mit merkwürdigen Endungen, insbesondere nicht eine PDF, die später ein Makro aktivieren möchte. Wenn ihr euch unsicher seid, ladet die Datei zuerst auf https://www.virustotal.com hoch.

[0815-2.0]

Wenn du dich auf fremden Seiten einloggst, die dir die Passwörter klauen und die Diebe sich dann auf anderen fremden Seiten mit deinem Passwort einloggen, dann wirst du den besten Virencanner der Welt 24/7 über deinen Computer laufen lassen können, ohne dass er etwas bei dir findet.



Erkläre mir das bitte für die Blöden! Wie geht das?

Nur nochmal zur Verdeutlichung:
Ein Virenscanner kann einen Virus, also Schadsoftware, auf DEINEM Computer (bzw. Gerät) finden, blockieren o.ä.. Dafür muss der Virus erst einmal auf deinen Computer gelangen.
Phishing (so wie durch die Email) ist aber nur ein Trick, damit du auf einem ANDEREN Gerät irgendwo deine Zugangsdaten eingibst und ist kein Virus.

[C. H. Lübbers]

Danke. Genauso hatte ich mir das gedacht.
War aber doch irritiert von den ganzen Querschüssen.

[absence]

Wenn man unsicher ist ob es eine Fakeseite ist sollte man doch irgend eine Mailadresse und ein faslches Passwort eingeben können?
Eine Fakeseite wird ja nicht die Echtheit prüfen können.

Und wie sie das kann - indem sie sich im Hintergrund auf der richtigen Seite wirklich damit einloggt.
Ein Tipp dazu: Amazon erlaubt(e?) es wohl irgendwie mit ein paar Tricks per AWS eigene Daten unter amazon.de abzulegen. Ratet mal, worüber wir schon mal fast gestolpert wären... die haben das dann auch genauso gemacht, wirklich eingeloggt und mitprotokolliert. Wir haben stundenlang JS analysiert, die korrekten Login-Scripte von Amazon wurden inkludiert und an einer Stelle erweitert, so dass die Daten nach erfolgreichem Login an eine IP in Pakistan geschickt wurden. Was dann angezeigt würde haben wir nicht ausprobiert...War jedenfalls echt harter Tobak.
Darum unser Tipp: Immer Link kopieren (der führt bei Amazon niemals direkt zum Login, ist gerade nicht eingeloggt dann wird man umgeleitet), und nach dem manuellen einloggen auf der richtigen Seite dann den Link im Browser einfügen (Und natürlich dennoch angucken wo der eigentlich hinführt bzw. wo man da landet). Wir klicken jedenfalls auf keine Links in Mails, niemals, auch nicht bei echten Mails.

Neben Passwort-Harvesting gibt es abern noch einige Möglichkeiten. Es würde mich anschließend z.B. auch nicht wundern, wenn dann Rechnungen ankommen. Die Daten darauf enthalten dann sogar die überprüfbar richtigen Meldemengen. Vllt. ganz perfide: die Fake-Rechnung kommt nicht mal vom Verpackungsregister sondern angeblich vom (auch noch richtigen) Systembeteiligungsanbieter und dann am besten auch noch per Post - und irgendwo steht klein "Angebot" drauf - das sollten die meisten ja vom Handelsregister her kennen, dürfte hier aber sehr, sehr erfolgversprechend sein...
Die Registrierung selbst abzugreifen kann aber u.U. auch hilfreich sein, vllt.um auf irgendwelchen Plattformen seinen Schrott mit fremden Federn geschmückt verkaufen zu dürfen (ja, die "Haken" daran sehe ich auch... dennoch, wer weiß wie gut manche Verkaufsplattform da prüft?)
Für noch mehr ideen fehlt mir jetzt das gewisse Maß an krimineller Energie, aber man kann sicher sein da gibt es noch einiges.

Das wichtigste: Niemals irgendwelche Annahmen contra Phishing machen.

[regalboy]

...Das wichtigste: Niemals irgendwelche Annahmen contra Phishing machen.

Diesen Satz verstehe ich nicht.

[martin_the_joiner]

...Das wichtigste: Niemals irgendwelche Annahmen contra Phishing machen.

Diesen Satz verstehe ich nicht.

Vielleicht so:
„Hier klicken, um sich abzumelden“
Und das sollte man eben nicht machen.
Aber vielleicht ist es auch anders gemeint.

[absence]

Gemeint war: Niemals annehmen es sei kein Phishing. Immer und auch jedesmal alles genau angucken und Phishing erst einmal unterstellen

[aaha]

Gemeint war: Niemals annehmen es sei kein Phishing. Immer und auch jedesmal alles genau angucken und Phishing erst einmal unterstellen

Richtig.

Das heißt unter anderem auch Absender-E-Mailadressen im Mailprogramm/auf dem Smartphone grundsätzlich komplett anzeigen lassen (geht eigentlich immer, ggf. einfach mal Einstellungen checken), Links zu prüfen, ob sie mit den angezeigten übereinstimmen ... am Rechner grundsätzlich mit der Maus über Links hoovern, auf dem Smartphone ggf. Funktion "URL/Link kopieren" zum Kopieren nutzen und manuell in Browser eingeben.