VORSICHT!!! Möglicherweise Phishing-Attacke über "Lufthansa Newsletter"

ANZEIGE
Status

Dieses Thema ist geschlossen.
Geschlossene Themen können, müssen aber nicht, veraltete oder unrichtige Informationen enthalten.
Bitte erkundige dich im Forum bevor du eigenes Handeln auf Information aus geschlossenen Themen aufbaust.

Themenstarter können ihre Themen erneut öffnen lassen indem sie sich über die Funktion "Inhalt melden" an die Moderatoren wenden.

Mantegna

Erfahrenes Mitglied
21.05.2009
3.025
17
MUC
ANZEIGE
Heute landete bei mir folgender "Lufthansa Newsletter":

Sehr geehrter Herr Mantegna,

damit Sie Ihren Flug online noch einfacher buchen können, haben wir die Profilfunktion auf unserer Website lufthansa.com verbessert. Infolge der Weiterentwicklung sind jedoch die bisher hinterlegten Kreditkarteninformationen ab 3. März 2010 nicht mehr in Ihrem Profil abgespeichert.

Die Neuerung ermöglicht es Ihnen, künftig Ihre Kreditkarteninformationen ganz einfach während der Buchung per Klick in Ihr Profil zu übertragen und dort abzuspeichern. So haben Sie alle wichtigen Daten wie gewohnt stets im Blick und können auch künftige Buchungen bequem mit wenigen Klicks abschließen.

Probieren Sie es doch einfach beim nächsten Mal aus - wir freuen uns auf Ihren Besuch auf lufthansa.com


Mit freundlichen Grüßen

Ihr Lufthansa Team


Die Serviceline gab keine Bestätigung für diese Aktion: "Uns ist nichts derartiges bekannt, doch haben wir diese Anfrage heute bereits schon mal bekommen.Empfehlung daher: Machen Sie bitte nichts!"

Vielleicht bin ich ja zu kritisch und übervorsichtig, doch wollt ich die Warnung sicherheitshalber weitergeben.


Ergänzung: Neuerdings scheinen wieder massive Spam-Wellen mit dem bekannten Banken-Trojaner ZeuS (aka zbot / wsnpoem) unterwegs zu sein.

Für Details: http://www.abuse.ch/

Mantegna
 
Zuletzt bearbeitet:

anwe

Erfahrenes Mitglied
01.12.2009
724
0
Vielleicht bin ich ja zu kritisch und übervorsichtig, doch wollt ich die Warnung sicherheitshalber weitergeben.


Mantegna


Zu vorsichtig kann man nicht sein :)

Aber in diesem Fall ist deine Skepsis unangebracht.
Die Mail ist sogar per Domainkey DomainKeys - Wikipedia verschickt.

Ja, auch das könnte man fälschen (relativ schwer), aber die Mailheader Daten entsprechen denen anderer LH Mailings, in der Mail gehen alle Links auf lufthansa.com -> Da kann keiner phishen :)
 

Ralf1975

Erfahrenes Mitglied
12.05.2009
6.122
17
Die Kreditkarteninformation hat aber die LH aus dem Profil geloescht, glaube das es da kein Ridiko gibt und das die Hotline keine Ahnung hat ist ja nicht so neu. Habe die Ymail auch erhalten und mache mir keine Gedanken.:D
 
T

tosc

Guest
Joar, echt ist die Mail schon - ich versteh das "Enhancement" nur nicht ganz, denn das ging doch vorher auch schon alles :confused:
 

Mantegna

Erfahrenes Mitglied
21.05.2009
3.025
17
MUC
Heute landete bei mir folgender "Lufthansa Newsletter":

Die Serviceline gab keine Bestätigung für diese Aktion: "Uns ist nichts derartiges bekannt, doch haben wir diese Anfrage heute bereits schon mal bekommen.Empfehlung daher: Machen Sie bitte nichts!"

Vielleicht bin ich ja zu kritisch und übervorsichtig, doch wollt ich die Warnung sicherheitshalber weitergeben.


Ergänzung: Neuerdings scheinen wieder massive Spam-Wellen mit dem bekannten Banken-Trojaner ZeuS (aka zbot / wsnpoem) unterwegs zu sein.

Für Details: abuse.ch - The Swiss Security Blog

Mantegna

DEFINITIVE BESTÄTIGUNG:

DIE HOTLINE DER LH CREDIT CARD HAT SOEBEN BESTÄTIGT;
DASS EINE PHISHING-ATTACKE VORLIEGT.
SEIT EINER HALBEN STUNDE HÄUFEN SICH DIE ANRUFE.


Mantegna
 

Ralf1975

Erfahrenes Mitglied
12.05.2009
6.122
17
DEFINITIVE BESTÄTIGUNG:

DIE HOTLINE DER LH CREDIT CARD HAT SOEBEN BESTÄTIGT;
DASS EINE PHISHING-ATTACKE VORLIEGT.
SEIT EINER HALBEN STUNDE HÄUFEN SICH DIE ANRUFE.


Mantegna

Jetzt bin ich aber Mal gespannt wie das ausgeht. Verstehe nicht wie da jemand xn Daten kommen will, wenn ich die Infos nur auf der LH Seite eingebe. :confused:

Hoffen wir Mal das es nur an der Hotline liegt und die wieder keine Ahnung haben. :D
 

hch

Erfahrenes Mitglied
25.05.2009
1.679
505
INN
Selbst wenn die mail echt ist wueder ich nie sensible daten ueber einen link in einer email eingeben. Ich gehe sogar noch weiter und folge links in mails eigentlich nie - und wenn dann mittels copy & paste aus meinem text-mailer in den browser damit ich die url noch mal genau anschauen kann..
 
T

tosc

Guest
Jetzt bin ich aber Mal gespannt wie das ausgeht. Verstehe nicht wie da jemand xn Daten kommen will, wenn ich die Infos nur auf der LH Seite eingebe. :confused:
Konstruierter Fall: Mitarbeiter a) mit Zugriff auf die Mailadressen und b) der Möglichkeit LH Newsletter zu versenden, könnte in einem zweiten Schritt ggf. selektiv Kunden anschreiben und diesen eine Seite zur Eingabe von KK-Daten unterjubeln - wäre allerdings "etwas" auffällig und daher selten dämlich (zumal hinterlegte KK-Daten in LH-Profilen ja nun tatsächlich "weg" sind, dies also sicherlich keine Vorbereitung auf Phishing oder sonstigen Schabernack ist).
 

f0zzyNUE

Erfahrenes Mitglied
08.03.2009
8.395
683
also für mich sieht das auch nicht nach phishing aus. man wird ja nicht aufgefordert sofort über einen in der mail eingebauten link die daten einzugeben. stattdessen wird man informiert, dass die kreditkartendaten nicht mehr zur verfügung stehen aber bei der nächsten buchung einfach aus der buchung übernommen werden können :confused:

ich habe eine derartige mail nicht erhalten - vielleicht weil ich meine kreditkartendaten nicht bei lufthansa hinterlegt habe ...
 

anwe

Erfahrenes Mitglied
01.12.2009
724
0
Konstruierter Fall: Mitarbeiter a) mit Zugriff auf die Mailadressen und b) der Möglichkeit LH Newsletter zu versenden, könnte in einem zweiten Schritt ggf. selektiv Kunden anschreiben und diesen eine Seite zur Eingabe von KK-Daten unterjubeln - wäre allerdings "etwas" auffällig und daher selten dämlich (zumal hinterlegte KK-Daten in LH-Profilen ja nun tatsächlich "weg" sind, dies also sicherlich keine Vorbereitung auf Phishing oder sonstigen Schabernack ist).


Das wäre in diesem Fall die einzige Option.
Trifft aber nicht zu -> alle Links gehen auf orginal LH Seiten, die Mail ist ohne Javasript (crosside scripting).

Gannnzzz entspannt bleiben :)
 

Mantegna

Erfahrenes Mitglied
21.05.2009
3.025
17
MUC
Ich hoffe ja auch, dass es harmlos ist. Hab nur die Infos weitergegeben, die ich erhalten habe.Bei der Bank befasst sich mittlerweile die Betrugsabteilung mit dem Fall.

Sollte ich von dort morgen Entwarnung bekommen, werd ich die selbstverständlich hier einstellen.

Ansonsten: Dass Links in solchen Mails auf täuschend echte und hochprofessionell gemachte Websites verbinden, dürfte ja bekannt sein.

Vielleicht kann ja ein IT-Guru mal prüfen, ob der Link auf dieselbe IP-Adresse verbindet, unter der die LH-Seite zu erreichen ist. Sollte es andere Verifizierungsmethoden geben, bin ich für entsprechende Prüfung selbstverständlich auch dankbar.

Mantegna
 
T

tosc

Guest
Ansonsten: Dass Links in solchen Mails auf täuschend echte und hochprofessionell gemachte Websites verbinden, dürfte ja bekannt sein.

Vielleicht kann ja ein IT-Guru mal prüfen, ob der Link auf dieselbe IP-Adresse verbindet, unter der die LH-Seite zu erreichen ist. Sollte es andere Verifizierungsmethoden geben, bin ich für entsprechende Prüfung selbstverständlich auch dankbar.

Also:
- Lufthansa bedient sich zum Versand des Newsletters des Dienstleister "Responsys".
- Der Newsletter wurde über ein Netzwerk-Segment (IP-Bereich) des Dienstleister versandt.
- Der Newsletter ist per DKIM/Domainkey "signiert".
- Es gibt einen SPF Eintrag für die Subdomain newsletter.lufthansa.com der besagt, dass die Mailsysteme über die der Newsletter versandt wurde dies auch dürfen.
- In dem Mail-Header des Newsletters finden sich einige Informationen, die abschliessend die Authentizität eindeutig beweisen, u.a.:

X-valueof-CARD_TYPE: xxx
X-valueof-USER_ID: xxxx

CARD_TYPE ist der M&M-Status, USER_ID die M&M-Kundennummer.

Zusammengefasst: Das Ding ist 100% echt. Der einzige Fall, den ich an den Haaren herbei gezogen aus dem Stehgreif konstruieren könnte, habe ich bereits ein paar Posts zuvor beschrieben - dies würde bedingen, dass dies nur die Vorbereitung einer Phishing-Attacke ist und die eigentliche Attacke (2. Mail) noch folgt -> in der Gesamtbetrachtung imho absolut ausgeschlossen.

Was kann die Lufthansa daraus lernen? Grade solch sensible Dinge mit Vorlauf ankündigen und nicht erst nach dem Update der Systeme und ersten Rückfragen von Kunden ... und weiterhin die eigene Hotline, wie auch die Kartenhotline im Vorfeld informieren und ggf. sensibilisieren.

Was kann die Kartenhotline daraus lernen? Kunden keinen Unfug erzählen, zur Not sich schlau machen (so das in die Prozesse einer Hotline integrier(t|bar) ist.)
 
Zuletzt bearbeitet:
  • Like
Reaktionen: anwe und Mantegna

anwe

Erfahrenes Mitglied
01.12.2009
724
0
Was kann die Lufthansa daraus lernen? Grade solch sensible Dinge mit Vorlauf ankündigen und nicht erst nach dem Update der Systeme und ersten Rückfragen von Kunden ... und weiterhin die eigene Hotline, wie auch die Kartenhotline im Vorfeld informieren und ggf. sensibilisieren.

Was kann die Kartenhotline daraus lernen? Kunden keinen Unfug erzählen, zur Not sich schlau machen (so das in die Prozesse einer Hotline integrier(t|bar) ist.)

Dazu gibts nicht mehr zu sagen!

Die LH IT könnte vielleicht endlich mal für ihre Mailings ein und den gleichen Dienstleister nehmen, der den Mailserver dann auch unter LH Namen betreibt.
Aber das wäre ja zu einfach
 

Mantegna

Erfahrenes Mitglied
21.05.2009
3.025
17
MUC
Hab das gleiche gemacht.

Zur Beruhigung der Paranoia, ich habe es nicht über den Link im Newsletter gemacht, weil ich auf diesen erst über diesen Thread aufmerksam geworden bin... :eek:

Bei mir jedenfalls ist es nicht Paranoia: Vor ein paar Tagen hat sich meine Bank gemeldet, weil - trotz Virenschutz! - auf meiner Rechner ein Trojaner sei.
Über die bisherigen Maßnahmen hinaus lass ich derzeit regelmässig Fullscans mit verschiedenen Programmen laufen.

Mantegna
 
Status

Dieses Thema ist geschlossen.
Geschlossene Themen können, müssen aber nicht, veraltete oder unrichtige Informationen enthalten.
Bitte erkundige dich im Forum bevor du eigenes Handeln auf Information aus geschlossenen Themen aufbaust.

Themenstarter können ihre Themen erneut öffnen lassen indem sie sich über die Funktion "Inhalt melden" an die Moderatoren wenden.