Achtung: hinter „@facebookmail“ muss nicht immer Facebook stecken!

Tom Wannenmacher, 21. März 2012

160_F_18740616_gyxAtFf2Hrp8hpDwIdcWxNqC1zF1o7wK

"@facebookmail" ist nicht immer Facebook! Eine Nachricht, die angeblich direkt von Facebook kommt, verunsichert im Moment viele Facebook-Nutzer. Wenn man sich den Absender der E-Mail ansieht, dann denken hier viele Nutzer, dass diese Nachricht wirklich von Facebook stammte, denn es steht ja "@facebookmail.com". Doch dem ist nicht so denn hinter dieser Nachricht stecken Betrüger, die versuchen, durch einen Vorwand, an die Facebook-Zugangsdaten des Accounts zu gelangen. Hinter der "@facebookmail.com" Adresse steckt, in diesem Falle jedoch nicht Facebook. Hier haben die Betrüger die Lücke des SMTP Servers genutzt.

So sieht die Nachricht aus:

image

Man bekommt hier den Eindruck das es sich hierbei wirklich um eine E-Mailadresse von Facebook handelt denn hinter dem "@" steht "facebookmail.com"

Tatsächlich handelt es sich hierbei um eine Domäne von Facebook selbst und dies lässt sich durch eine "Whois" Abfrage leicht beweisen:

image

Um eine Mailadresse "vorzutäuschen" braucht man nur ein paar Kenntnisse und es reichen ein paar "SMTP" Kommandos bereits aus.

Wie funktioniert SMTP?

image

Ein großer Nachteil von SMTP ist die nicht vorhandene Authentifizierung eines Benutzers (Absender), die bei einem Verbindungsaufbau zwischen dem SMTP-Client und dem SMTP-Server notwendig wäre.

Das kann dazu führen, dass eine BELIEBIGE ABSENDERADRESSE BEIM VERSAND ANGEGEBEN WERDEN KANN!

Zumeist werden über OFFENEN SMTP-SERVER WERBEMAILS (SPAM) versendet. Aufgrund einer gefälschten Absender-Adresse kann der Urheber der E-Mail nur mit sehr viel Aufwand ausgeforscht werden.

Schauen wir uns nun die Nachricht genauer an:

image

In der Nachricht befindet sich ein Link denn man bestätigen muss, damit der jeweilige Account nicht von Facebook deaktiviert wird.

Wenn man nun genau schaut, dann erkennt man, dass hinter diesem Link eine APP (Anwendung) steckt.

Klickt man nun diese, öffnet sich zwar die Facebookseite ABER im Fenster erscheint ein Formular, WELCHES NICHT VON FACEBOOK stammte.
Dieses Formular wurde von Internetkriminellen programmiert und durch die APP auf Facebook eingeschleust!

Hier soll man nun angeblich seine Daten nochmals eingeben!
Wenn man die Domäne hier nochmals betrachtet, dann erkennt man das vor der eigentlichen Domäne von Facebook sich noch das Wort "apps." befindet und dies ist die eben beschriebene Anwendung.

 image

Hat man diesen Schritt erledigt, öffnet sich eine weitere Seite auf der steht:

image

Bedeute so viel wie das angeblich der Account nun wieder aktiviert wird und dass dies bis zu 24 Stunden dauern kann!

ACHTUNG:

Wer an diesem Punkt angekommen ist, dann haben die Internetbetrüger bereits die ganzen Daten des Nutzers inkl. die E-Mailadresse und das Passwort des jeweiligen Facebook-Accounts.
Wenn du OPFER dieser Attacke geworden bist, dann ändere SOFORT DEIN PASSWORT!


Unabhängige Faktenchecks und Recherchen sind wichtig und richtig. Sie fördern Medienkompetenz und Bildung. 

Ein unabhängiges und für jeden frei zugängliches Informationsmedium ist in Zeiten von Fakenews, aber auch Message Control besonders wichtig. Wir sind seit 2011 bestrebt, allen Internetnutzern stets hochwertige Faktenchecks zu bieten.  Dies soll es auch langfristig bleiben. Dafür brauchen wir jetzt Deine Unterstützung!

Hinweis: Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.

weitere mimikama-Artikel