PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Seltsame Mail von Blizzard Taiwan aber kein Phishing


Nasenbaer
2013-07-15, 21:41:12
Moins,
habe gerade eine sehr seltsame Mail von Blizzard erhalten, die scheinbar auf taiwanesisch ist und echt zu sein scheint aber bin etwas ratlos, ob das ggf. eine Komprimitierung eines meiner Systeme bedeutet. Hier erst einmal die E-Mail und Übersetzung via Google:

Mail:
(Die kursiven Teile der Mail habe ich eingefügt)

親愛的 r2zx0e2 玩家,您好:

Blizzard Entertainment 最近收到更改電子郵件地址的要求以便登入您的 Battle.net 帳號。 此電子郵件地址 mycrysis_account@[ZENSIERT] 將成為您新的 Battle.net 帳號名稱。 為完成並授權此電子郵件的地址修改,請點擊下列驗證連結。 若不點擊連結則無法完成更新。

驗證連結: https://us.battle.net/account/email/confirm.xml?ticket=80oKxPhLnzsKkFoFUlmJGTCko7EQnj[GEKÜRZT]

如果您不想要做以上修改,或者您沒有提出此要求,請忽視或刪除此電子郵件。 請注意此連結在七天內將失效。

如果在完成此申請時碰到困難,請點擊這裡尋求常見問題解答,或聯絡 Blizzard 客服團隊。

敬啟

Battle.net 帳號管理團隊
線上隱私權政策


Übersetzung:

Dear r2zx0e2 players, hello:

Blizzard Entertainment recently received a request to change your email address Sign in to your Battle.net account. This email address mycrysis_account@[MEIN-MAIL-SERVER] will become your new Battle.net account name. To complete and authorize this email address changes, please click on the verification link. If you can not click the link to complete the update.

Verification link: https://us.battle.net/account/email/confirm.xml?ticket=80oKxPhLnzsKkFoFUlmJGTCko7EQnj[GEKÜRZT]

If you do not want to do the above changes, or you did not make this request, please ignore or remove this email. Please note that this link will expire within seven days.

If you encounter difficulties completing this application, please click here to find FAQs, or contact Blizzard customer service team.

Dear Sir,

Battle.net Account Management Team
Online Privacy Policy


Header:

Return-Path: <noreply@battle.net>
Delivered-To: michael@[MEIN-MAIL-SERVER]
Received: from ext-smtp11.us.battle.net (ext-smtp11.us.battle.net [12.129.242.47])
by server-mi.[MEIN-MAIL-SERVER] (Postfix) with ESMTP id 635C81BAA4002
for <mycrysis_account@[MEIN-MAIL-SERVER]>; Sun, 14 Jul 2013 18:48:10 +0200 (CEST)
Received: from uw1-web-35-blade08.wowadmin.net (uw1-web-35-blade08.wowadmin.net [10.48.58.68])
by ext-smtp11.us.battle.net (Postfix) with ESMTP id B5E3FAE0543
for <mycrysis_account@[MEIN-MAIL-SERVER]>; Sun, 14 Jul 2013 16:48:08 +0000 (UTC)
X-DKIM: Sendmail DKIM Filter v2.8.3 ext-smtp11.us.battle.net B5E3FAE0543
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; d=battle.net; s=mail;
t=1373820488; bh=1D6qB9kSCkISf0Tm0/gTTXh2RbQ=;
h=From:To:Message-ID:Subject:MIME-Version:Content-Type:
Content-Transfer-Encoding;
b=XB0QzvUPi3gXC/BIYGcwgyb6YzZHk7UgXCyyFEGWquZ5krsUtQxYeQvtfWSK1Gx4C
fdVNC8MqMyazyodpAUHKEn4ObOB1yIlKmCummZeu9VD1Tfwyp4pPQzaXyVNDRC+YAs
VO52g509FV9STqQ3XwIH3cYbZNLI98HNzx8SAfB0=
From: Blizzard Entertainment <noreply@battle.net>
To: "mycrysis_account@[MEIN-MAIL-SERVER]" <mycrysis_account@[MEIN-MAIL-SERVER]>
Message-ID: <1563717209.36002.1373820488736.JavaMail.tomcat@uw1-admin-smtp-vip.wowadmin.net>
Subject: =?utf-8?Q?Battle.net_=E5=B8=B3?=
=?utf-8?Q?=E8=99=9F_=E2=80=93_=E9=9B=BB=E5=AD=90?=
=?utf-8?Q?=E9=83=B5=E4=BB=B6=E5=9C=B0=E5=9D=80=E8=AE=8A=E6=9B=B4?=
MIME-Version: 1.0
Content-Type: text/html; charset=utf-8
Content-Transfer-Encoding: quoted-printable


Das seltsame ist, dass zwar der Username am Anfang der Mail nicht meiner ist, die angegebene E-Mail-Adresse aber durchaus mir gehört und diese doch eher unüblich ist, sodass ein Typo des Users beim Ändern seiner Mail doch eher unwarscheinlich ist. Zudem läuft der E-Mail-Server auf meiner eigenen Domain und ist von mir administriert.
Allerdings sind sowohl mein Account auf MyCrysis.com (dort nutze ich besagtze Mail-Adresse) als auch mein Battle.net-Account scheinbar nicht gekapert worden. Konnte mich noch anmelden, wenngleich mycrysis buggy ist und daher ein Ändern des PWs vorhin nicht funktionierte.

Hat irgendwer ne Idee oder bin ich nur paranoid? *g* Warum sollte jemand eine Mail-Adresse angeben, auf die er keinen Zugriff hat? Oder ist mein Mail-Server kompromitiert?

AlecWhite
2013-07-16, 09:09:08
Scheint echt..ist sie aber nicht - dafür sprechen einige Kleinigkeiten: Jagt Blizzard e-mails wirklich über ein Relay mit OpenDNS raus ??

Ggf. kannst du die mail ja durch einen DKIM Filter laufen lassen. Vermute da kommt auch ein Fehler raus.

sei laut
2013-07-16, 09:26:34
Jagt Blizzard e-mails wirklich über ein Relay mit OpenDNS raus ??
Was meinst du mit OpenDNS?
Gehts um die Zeile:
Received: from uw1-web-35-blade08.wowadmin.net (uw1-web-35-blade08.wowadmin.net [10.48.58.68]) ??

Annator
2013-07-16, 09:41:40
Check nochmal den Link in der Email oft wird da getrickst mit Text und Hyperlink.

Wenn man nach wowadmin.net googelt findet man viel Blizzard und Phishing.

AlecWhite
2013-07-16, 11:46:58
Was meinst du mit OpenDNS?
Gehts um die Zeile:
Received: from uw1-web-35-blade08.wowadmin.net (uw1-web-35-blade08.wowadmin.net [10.48.58.68]) ??
jepp darum geht's - auch die MsgID besagt, dass dies der Ursprung ist - na ja, sein sollte. Lässt sich im Zweifel faken.

Was sagt der DKIM Parser zu der Nachricht ? Wenn der nicht "OK" sagt -> FAKE!

Birdman
2013-07-16, 12:18:28
Das ganze sieht soweit "legitim" aus.

Bzw. scheint da wer über die Taiwan Battle.Net Site einen Email-Adressen Change-Request für deinen Account ausgelöst zu haben.
Soweit ich weiss kann man dies aber nur wenn man im Battle.Net mit dem Account auch eingeloggt ist - was mich in diesem Falle also beunruhigen würde.

Afaik ist es doch so, dass man das Accountpasswort auch nur noch via Email-Verifikation ändern kann, oder?
In dem Falle würde es Sinn machen, dass jemand zuerst versucht die Emailadrresse zu ändern, damit er danach die Passwortänderung selber bestätigen kann.

sei laut
2013-07-16, 19:23:26
Bei eu.battle.net braucht man sogar Vor- und Nachnamen oder andere Informationen, um ein Passwort reset zu beantragen.
Vielleicht ist das bei anderen Regionen aber anders.

@AlecWhite: Du bist auf der völlig richtigen Spur:
Blizzard.com und battle.net haben gleiche Registrar-Informationen.
wowadmin.net ist zwar auf Blizzard Entertainment registriert, die Adressdaten sind aber völlig andere.

=> Fake

Nasenbaer
2013-07-16, 19:31:07
Was mich aber wundert ist doch, dass der Link nach us.battle.net führt - genau so wie ich ihr hier gepostet habe!?

Ne Online-Verifikation für die DKIM-Sache hab ich nicht gefunden. Nur etliche Erweiterungen für Mail-Server.

BTW heute hat jemand ne Passwort-Reset bei einem Steam-Account von mir beantragt. Der ist aber auf ne alte GMX-Adresse registriert und auch per Steam-Guard geschützt. Für Battle.net nutze ich natürlich auch zusätzlich die Authenticator-App.

Nasenbaer
2013-07-16, 20:13:53
Also meinen Steam-Account kann ich weiterhin erreichen und für die Rücksetzung des PW benötigt man wohl nur den Accountnamen. Scheint also ein blöder Zufall zu sein.