Hallo,

ich habe für einen Bekannten zu klären, inwiefern möglicherweise doch sein Computer oder wenigstens seine Mail-Adresse gehackt wurde. Jener hat erst einmal eine der üblichen Mails bekommen: Du wurdest gehackt, alle deine Daten kopiert, Schmuddel-Webseiten gefunden, zahle bitte 1800€ in Bitcoin.

Normalerweise ist dies Ablage P. Aber die Mail kam von seiner eigenen Mailadresse. Ich habe es auch nachgeprüft, es ist kein Sonderzeichensatz verwendet worden, sprich es wurde nicht irgendwie die Mailadresse mittels eines gleich aussehenden Buchstabens gefälscht.

Zugleich passierte auch noch folgendes: Die Mail war im Junk-Folder des Posteingangs - und zugleich auch unter Entwürfe, aber nicht unter "Gesendet". Es wurde extra ausprobiert: Auch sich selbst gesendete Mails werden vom System (Hotmail) unter "Gesendet" abgelegt, sobald sie raus sind. Dies ist also ganz mysteriös.

Frage: Gibt es eine Möglichkeit, dass nicht sein (einfaches) Mail-Passwort gehackt wurde? Das man irgendwie hat Hotmail überlisten können? Oder aber gibt es eine andere Erklärung dafür, die auskommt, ohne das seine Mail gehackt wurde?

Der Computer ist es mit einiger Sicherheit nicht, ansonsten hätte man da schon mehr Schindluder getrieben. Wird nun sowieso umgehend (heute noch) neu aufgesetzt.

Klingt imho inmernoch nach Ablage P.

Kommt doch immer dann von der eigenen Adresse oder nicht? ( spoofing) Halt nur nicht wirklich. Unter Entwürfe könnte sie schon sein weil er auf Antworten geklickt hat und dann abbrach?

E-Mail spoofing über SMTP, da gibt es keine Legitimitätsprüfung. Guckt euch mal den Header an, da wird man sehen, dass es eben nicht von seiner Mailadresse kommt und auch das Passwort somit nicht kompromittiert ist.

Es wurde extra ausprobiert: Auch sich selbst gesendete Mails werden vom System (Hotmail) unter "Gesendet" abgelegt, sobald sie raus sind. Dies ist also ganz mysteriös.
Das Speichern im Postausgang ist am Ende des Tages nur eine Einstellung im Mail-Client. Daran kannst du es nicht festmachen.

Welches Email System und Client? Achso Hotmail.

Passwort ändern auf ein Starkes und ignorieren.

Verstehe sowieso nicht, warum mal als Mailpasswort was einfacheres hat, das gibst ja sowieso eigentlich nie ein.

E-Mail spoofing über SMTP, da gibt es keine Legitimitätsprüfung. Guckt euch mal den Header an, da wird man sehen, dass es eben nicht von seiner Mailadresse kommt und auch das Passwort somit nicht kompromittiert ist.

Ja, würde auch sagen aus dem Header sollte ersichtlich werden, ob die Mail wirklich von seinem Postfach kommt.

Hatte ich auch vor nem halben Jahr bei Hotmail.
Recherchen ergaben dass, das ändern des Absenders ein klacks ist. Gelöscht und gut war^^

Ablage P, hatte meine Schwiegermutter auch schon. Und auch da wurde die Absender-Adresse gefaket.

Thunderbird: View -> Headers -> All.

Klingt imho inmernoch nach Ablage P.

Kommt doch immer dann von der eigenen Adresse oder nicht? ( spoofing) Halt nur nicht wirklich. Unter Entwürfe könnte sie schon sein weil er auf Antworten geklickt hat und dann abbrach?

Wie gesagt: Die Mailadresse ist wirklich seine. Oder kann tatsächlich etwas anderes angezeigt werden als woher die Mail tatsächlich kommt? Das wäre dann aber eine heftige Niederlage für das Mail-Programm.

Im Entwürfe-Ordner ist auch nur die originale Mail, keine Antwort.



Thunderbird: View -> Headers -> All.

Ja. Das wäre auch mein erster Gedanke.

Und nun aber: Es ist ein Apple-System. Die Mails sind allerdings im Chrome-Browser drin.

2. Frage: Kann ich es aus der mir weitergeleiteten Mail sehen, woher die original kam? Ebenfalls im Chrome-Browser. Notfalls an Thunderbird zu überstellen.

Wie gesagt: Die Mailadresse ist wirklich seine. Oder kann tatsächlich etwas anderes angezeigt werden als woher die Mail tatsächlich kommt? Das wäre dann aber eine heftige Niederlage für das Mail-Programm.

Im Entwürfe-Ordner ist auch nur die originale Mail, keine Antwort.


Wie gesagt google mal nach E-Mail spoofing. Ist leider viel zu einfach.
Und würde die Email gesendet, würde sie aus dem Entwürfe Ordner ja verschwinden und in gesendet geschoben

Und nun aber: Es ist ein Apple-System. Die Mails sind allerdings im Chrome-Browser drin.


https://support.apple.com/de-de/guide/mail/mlhlp1089/mac
https://www.hrz.tu-darmstadt.de/support_und_anleitungen/hrz_anleitungen/linux_mailbox/e_mail_anpassen/mac_mail_anpassen/header_anzeigen_3/index.de.jsp

2. Frage: Kann ich es aus der mir weitergeleiteten Mail sehen, woher die original kam? Ebenfalls im Chrome-Browser. Notfalls an Thunderbird zu überstellen.

Wenn er die mail über einen Webclient im Chrome ansieht...dann muss man im Webclient entsprechend konfigurieren. Welcher Webclient?

EDIT: für diverse Webclients gibts Anleitungen hier:
https://www.polizei.sachsen.de/de/73501.htm

AFAIK müsste auch der Originalheader bei einer Weiterleitung weitergeleitet werden, da bin ich mir aber nicht sicher.

Ja. Das wäre auch mein erster Gedanke.

Und nun aber: Es ist ein Apple-System. Die Mails sind allerdings im Chrome-Browser drin.



Apple-System = macOS oder iOS?

Wenn als E-Mail Absender Adresse "TheRealDonaldTrump@whitehouse.gov" angezeigt werden soll, dann kann man das ziemlich einfach so einstellen. Spoofing ist das Stichwort.

Von welcher E-Mail Adresse diese Mail tatsächlich gekommen ist, siehst du im Header der E-Mail. Um einen genauen, tieferen Blick wirst du hier nicht drum rum kommen.

MfG Blase

Apple-System = macOS oder iOS?

Beides.



Wenn er die mail über einen Webclient im Chrome ansieht...dann muss man im Webclient entsprechend konfigurieren. Welcher Webclient?

EDIT: für diverse Webclients gibts Anleitungen hier:
https://www.polizei.sachsen.de/de/73501.htm

Wunderbar, danke!

Was war das Ergebnis der Mail-Header Untersuchung?