VORSICHT!!! Möglicherweise Phishing-Attacke über "Lufthansa Newsletter"

[f0zzyNUE]

ANZEIGE

Habe keine Mail bekommen.

hast du ein deutsches M/M profil? bei meinem österreichischen M/M profil fehlt der karteikartenreiter "zahlungsmittel" komplett. vielleicht sind nicht-deutsche profile ja nicht betroffen
ich habe auch keine mail bekommen.

 

[steffen0212]

hast du ein deutsches M/M profil? bei meinem österreichischen M/M profil fehlt der karteikartenreiter "zahlungsmittel" komplett. vielleicht sind nicht-deutsche profile ja nicht betroffen
ich habe auch keine mail bekommen.

In meinem M&M-Profil (nicht deutsch) fehlt auch der Reiter, wenn ich mich aber unter lufthansa.com einlogge ist er da (und die Kartendaten sind wie angekündigt gelöscht).

 

[f0zzyNUE]

In meinem M&M-Profil (nicht deutsch) fehlt auch der Reiter, wenn ich mich aber unter lufthansa.com einlogge ist er da (und die Kartendaten sind wie angekündigt gelöscht).

hast du die mail bekommen?

 

[Xexor]

Bei mir jedenfalls ist es nicht Paranoia: Vor ein paar Tagen hat sich meine Bank gemeldet, weil - trotz Virenschutz! - auf meiner Rechner ein Trojaner sei.
Über die bisherigen Maßnahmen hinaus lass ich derzeit regelmässig Fullscans mit verschiedenen Programmen laufen.

Mantegna

Öhm Deine Bank kann Dir mitteilen das auf Deinem Rechner ein trojan sitzt?

 

[sitzfleisch]

Habe keine Mail bekommen.

zu wenig umsatz-

 

[tosc]

Dazu gibts nicht mehr zu sagen!

Die LH IT könnte vielleicht endlich mal für ihre Mailings ein und den gleichen Dienstleister nehmen, der den Mailserver dann auch unter LH Namen betreibt.
Aber das wäre ja zu einfach

Insbesondere das fett hervorgehobene ist der Fall (in Bezug auf den Newsletter).

 

[flying_student]

zu wenig umsatz-

Das glaube ich ehrlich gesagt nicht.

 

[anwe]

Insbesondere das fett hervorgehobene ist der Fall (in Bezug auf den Newsletter).

Da war ich etwas unpräzise:

from unknown (HELO om-lufthansa.rsys3.com) (12.130.136.116) by 0 with SMTP; 4 Mar 2010 09:20:38 -0000

Ein lufthansa.com helo gibt zwar keine 100%Sicherheit, sieht aber deutlich schöner aus und wäre mit Domainkeys auch deutlich vertrauenswürdiger.

 

[peter42]

Bei mir jedenfalls ist es nicht Paranoia: Vor ein paar Tagen hat sich meine Bank gemeldet, weil - trotz Virenschutz! - auf meiner Rechner ein Trojaner sei.
Über die bisherigen Maßnahmen hinaus lass ich derzeit regelmässig Fullscans mit verschiedenen Programmen laufen.

Mantegna

Bei Infektion musst Du mindestens einen Fullscan von einem definitiv sauberen Datenträger mit aktuellen Sugnaturen machen (musst natürlich auch von diesem booten) - besser ist aber immer eine Neuinstallation.

 

[peter42]

Da war ich etwas unpräzise:

from unknown (HELO om-lufthansa.rsys3.com) (12.130.136.116) by 0 with SMTP; 4 Mar 2010 09:20:38 -0000

Ein lufthansa.com helo gibt zwar keine 100%Sicherheit, sieht aber deutlich schöner aus und wäre mit Domainkeys auch deutlich vertrauenswürdiger.

Ein HELO gibt genau 0% Sicherheit, aber ein Reversecheck sagt immerhin, dass 12.130.136.116 om-lufthansa.rsys3.com ist.

 

[anwe]

Ein "korrektes" Helo mit einem korrekten reverse DNS und Domainkeys sieht aber schon wesentlich besser aus.

Dann muss man zumindestens nicht nachschauen ob es ein Dienstleister ist oder nicht.

 

[tosc]

Ein "korrektes" Helo mit einem korrekten reverse DNS und Domainkeys sieht aber schon wesentlich besser aus.

Dann muss man zumindestens nicht nachschauen ob es ein Dienstleister ist oder nicht.

Vermutlich ein kaputter DNS bei dir/deinem Provider, bei mir kommt das Mailout-System "korrekt" an. Warum man dem Mailout-System (und ggf. den MXern) nicht einen Namen wie mailout.newsletter.lufthansa.com verpasst ist mir schleierhaft, da die Zone newsletter.lufthansa.com eh an den Dienstleister delegiert ist - wird wohl für den Dienstleister einfacher sein.

 

[SleepOverGreenland]

- Der Newsletter ist per DKIM/Domainkey "signiert".
- Es gibt einen SPF Eintrag für die Subdomain newsletter.lufthansa.com der besagt,

from unknown (HELO om-lufthansa.rsys3.com) (12.130.136.116) by 0 with SMTP; 4 Mar 2010 09:20:38 -0000

Ein lufthansa.com helo gibt zwar keine 100%Sicherheit

Ein HELO gibt genau 0% Sicherheit, aber ein Reversecheck sagt immerhin, dass 12.130.136.116 om-lufthansa.rsys3.com ist.

Ein "korrektes" Helo mit einem korrekten reverse DNS und Domainkeys sieht aber schon wesentlich besser aus.

Vermutlich ein kaputter DNS bei dir/deinem Provider, bei mir kommt das Mailout-System "korrekt" an. Warum man dem Mailout-System (und ggf. den MXern) nicht einen Namen wie mailout.newsletter.lufthansa.com verpasst ist mir schleierhaft, da die Zone newsletter.lufthansa.com eh an den Dienstleister delegiert ist - wird wohl für den Dienstleister einfacher sein.

Ihr wisst schon, von was ihr da sprecht.

Wenn meine IT Gurus mit solchen Begriffen anfangen gehe ich immer raus und sage ich komme wieder, wenn sie mir irgendwas sinnvoll Verständliches sagen wollen.

 

[peter42]

Ihr wisst schon, von was ihr da sprecht.

Wenn meine IT Gurus mit solchen Begriffen anfangen gehe ich immer raus und sage ich komme wieder, wenn sie mir irgendwas sinnvoll Verständliches sagen wollen.

Was willst Du uns mit Deinem Post sagen?

 

[tosc]

Ihr wisst schon, von was ihr da sprecht.

Wenn meine IT Gurus mit solchen Begriffen anfangen gehe ich immer raus und sage ich komme wieder, wenn sie mir irgendwas sinnvoll Verständliches sagen wollen.

Bei Interesse kann ich das gerne nochmal etwas ausführlicher für den "interessierten Laien" ausformulieren

 

[f0zzyNUE]

Was willst Du uns mit Deinem Post sagen?

wahrscheinlich dass dies hier ein vielfliegerforum und kein it forum ist ...

mittlerweile ist ja geklärt dass es keine phishing-attacke war und vielleicht könnte man den thread somit auch schliessen?

 

[peter42]

wahrscheinlich dass dies hier ein vielfliegerforum und kein it forum ist ...

mittlerweile ist ja geklärt dass es keine phishing-attacke war und vielleicht könnte man den thread somit auch schliessen?

Das wäre die positive Version davon, die negative führe ich mal nicht aus.

 

[SleepOverGreenland]

Was willst Du uns mit Deinem Post sagen?

Das ich bei den technischen Ausführungen nur Bahnhof verstehe, wobei ich das Thema durchaus für sehr interessant halte und lieber einmal zu viel als einmal zu wenig eine mögliche Paranoia gegenüber Phischen, Trojanern (inkl. dem Bundestrojaner) usw. an den Tag lege.

Allerdings kann Otto-Normalverbraucher nicht mal ansatzweise nachvollziehen, was jetzt gut oder schlecht ist, wenn Begriffe wie DKIM, HELO, SPF oder MXern fallen. Ich glaube euch, dass ihr Experden diesen Newsletter zweifelsfrei als harmlos enttarnen könnt. Auf Basis der Erklärungen könnte ich es das nächste Mal aber wieder nicht.

 

[SmilingBoy]

Für Laien: Es war kein Link auf irgendwelche dubiosen Webseiten in der E-Mail. Deshalb kein Phishing. Außerdem kann der Profi durch verschiedene technische Maßnahmen (Sender Policy Framework und DomainKeys Identified Mail) erkennen, dass die E-mail von Lufthansa verschickt wurde.

Das einfachste Mittel gegen Phishing ist einfach: nicht auf irgendwelche Links in E-mails klicken, sondern alle "kritischen" Webseiten immer per Bookmark oder manuelle Eingabe der Adresse aufrufen.

 

[flying_student]

Verdacht unbegründet, inhaltlich ist alles geklärt deshalb mache ich mal zu.

 

[peter42]

ANZEIGE

Für Laien: Es war kein Link auf irgendwelche dubiosen Webseiten in der E-Mail. Deshalb kein Phishing. Außerdem kann der Profi durch verschiedene technische Maßnahmen (Sender Policy Framework und DomainKeys Identified Mail) erkennen, dass die E-mail von Lufthansa verschickt wurde.

Das einfachste Mittel gegen Phishing ist einfach: nicht auf irgendwelche Links in E-mails klicken, sondern alle "kritischen" Webseiten immer per Bookmark oder manuelle Eingabe der Adresse aufrufen.

SPF ist aber auch Mist, google mal nach SPF und forwarding.