Hotelbestätigung - Fake-Mail!

[Elkevogel]

Hi,
meine Mama (88) soll heute für 2 Personen ein Doppelzimmer im September in einem Hotel in Fulda gebucht haben
GsD hat sie mir die „Bestätigung“ sofort weitergeleitet
Wir haben das Hotel angerufen und der junge Mann konnte sich sogar noch an die telefonische Reservierung erinnern.
Wir haben natürlich storniert.
Bitte achtet auf solche Mails!!!
Lt. GöGa werden aktuell auch gerne teure Waren bestellt und an „wen auch immer“ geschickt!
Verantwortlich sind vermutlich Kinder (nicht straffällig), die sich einen Spaß damit machen
Bitte achtet auf euch und ggf. auch auf eure Eltern.
Liebe Grüße
Elkevogel

 

[Tubi]

Hi,
meine Mama (88) soll heute für 2 Personen ein Doppelzimmer im September in einem Hotel in Fulda gebucht haben
GsD hat sie mir die „Bestätigung“ sofort weitergeleitet
Wir haben das Hotel angerufen und der junge Mann konnte sich sogar noch an die telefonische Reservierung erinnern.
Wir haben natürlich storniert.
Bitte achtet auf solche Mails!!!

Aber woher wissen die Buchenden denn die Emailadresse? Das finde ich irgendwie sehr merkwürdig.
Klingt so, wie wenn die buchende Person sie kannte.

 

[Elkevogel]

Ja, ich finde es auch seltsam.
Aber irgendwoher haben sie sie bekommen

 

[JoergK]

Vielleicht hat jemand die Daten irgendwo gehackt.
Ich habe schon 2 oder 3 mal eine Nachricht von einem Shop bekommen, dass dort Kundendaten geklaut wurden.

Im Fall des Hotels frage ich mich aber, wer - außer dem Hotel - von der Fehlbuchung profitiert.

 

[Linserich]

Verantwortlich sind vermutlich Kinder (nicht straffällig), die sich einen Spaß damit machen

Das sind ziemlich sicher keine Kinder gewesen sondern Bots oder Hacker, die Chaos stiften und Daten abfangen wollen. Ich empfehle Euch, das Passwort der Email zu ändern.

Habt ihr auch einen finanziellen Schaden erlitten oder wurde nichts von Eurem Konto abgebucht?

 

[Sunfreak]

Aber woher wissen die Buchenden denn die Emailadresse?

E-Mail Adressen kann man auf verschiedene Wege abgreifen. Die landen dann in irgendwelche Listen, werden im (Darknet) verkauft oder werden irgendwo auf verstaubte Server hochgeladen.

Ganz prominent hier im Forum ist der Fall, als der Samen Shop Seemnemaailm gehackt wurde.

Ich habe mir die gehackten Datensätze, stolze 12.126 Kundenkonten, damals angeschaut.Viele Tomatenfreunde aus meinem Bekanntenkreis habe ich in den Daten wiedererkannt. Gespeichert waren Benutzernamen, Passwörter, Vor- und Nachnamen, Adressen, Telefonnummern und natürlich die E-Mail Adressen.

Ein Super-GAU! Zumal einige der Leute dasselbe Passwort für "alles" genutzt haben: E-Mail Konto, PayPal, Amazon, Google Konto, usw.

Die E-Mail Adressen aus damaligen Hack landen heute häufig in Spam-Verteilern. Das merk ich ja heute noch selbst: Mein E-Mail Konto ist nicht mehr das, was es mal war: Seither bekomme ich Spam!

Ob man betroffen ist, kann man auf dieser Seite checken:

Have I Been Pwned: Check if your email address has been exposed in a data breach

Have I Been Pwned allows you to check whether your email address has been exposed in a data breach.

haveibeenpwned.com

Die Hacker damals mussten sich damals kaum Mühe geben. Anstatt dass Seemnemaailm ein bewährtes und fertiges Shopsystem gekauft und auf ihrer Internetseite installiert hat, haben sie selbst was zusammengepfuscht und bei der Programmierung Dinge getan, welche man niemals, absolut niemals tut. Dinge, die jemand in der Berufsausbildung ziemlich früh beigebracht bekommt, es niemals zu tun. Und so war die Seite anfällig für SQL Injections und die Passwörter wurden in Klartext in der Datenbank gespeichert.

Für einen Informatiker ein Horror Film oder eine unlustige Komödie. Oder was auch immer.

 

[JoergK]

Es gibt noch weitere Leak Checker mit teils anderen Datenbanken:

Hasso Plattner-Institut Potsdam Identity Leak Checker

Mozilla Monitor https://monitor.mozilla.org

DeHashed DeHashed — #FreeThePassword

LeakCheck LeakCheck - Find out if your credentials have been compromised

Intelligence X Intelligence X


ChatGPT schreibt:

Wichtige Warnung (sehr wichtig!)​

NIEMALS:

• Passwörter auf unbekannten Seiten eingeben
• Webseiten nutzen, die „Klartext-Passwörter“ versprechen
• Passwort per Formular ohne Erklärung der Prüfmethode senden

✔ Seriöse Seiten erklären Hashing & Anonymisierung klar und offen.

 

[Sunfreak]

Ich bin mir nicht sicher, was ChatGPT da genau meint, aber ich kann folgende Empfehlung geben: Gleiches Passwort niemals für mehrere Internetseiten benutzen. Jede Seite sollte ihr eigenes Passwort bekommen. Denn: Hinter die Kulissen, wie eine Seite programmiert ist, darauf haben wir kein Einblick. Wir wissen nicht, ob der Code sauber oder schmutzig ist. Im Zweifel wird das Passwort im Klartext gespeichert und dann ist die Kacke am Dampfen, wenn jemand die Passwörter abgreift.

Ich musste mir damals keine Sorgen machen, ich wusste: Die Hacker konnten mit meinem Passwort nichts anfangen, außer sich damit im Samen Shop einloggen. Den überall sonst hatte ich separate Passwörter.

 

[JoergK]

Ich bin mir nicht sicher, was ChatGPT da genau meint,

Das weiß ich auch nicht genau, aber ich wollte die Warnung nicht unterschlagen.

Have I been pawned und das Plattner-Institut kenne ich schon lange und es sind auch einige meiner ehemaligen Mail-Accounts dort gelistet, wurden also gehackt.
Auch die anderen 4 Leak Checker hat ChatGPT als vertrauenswürdig empfohlen.

 

[Feli871]

Ich denke die verkaufen Mailadressen genau wie auch Adressen oder Telefonnummern verkauft werden.
Auch das Einwohnermeldeamt verkauft Adressen, ist noch die Telefonnummer oder die Mailadresse dabei umso besser, ein gutes Zubrot für die Stadtkasse.
So werden auch manche Internetshops mit Mailadressen handeln.

 

[JoergK]

Ich denke die verkaufen Mailadressen genau wie auch Adressen oder Telefonnummern verkauft werden.

Worauf beziehst Du Dich ?

Auch das Einwohnermeldeamt verkauft Adressen, ist noch die Telefonnummer oder die Mailadresse dabei umso besser, ein gutes Zubrot für die Stadtkasse.

Ja, das stimmt, wenn man nicht widerspricht. Unverschämtheit !

 

[Feli871]

Wie, auf was beziehe ich mich ? Verstehe ich gerade nicht.

 

[Feli871]

Ja, das stimmt, wenn man nicht widerspricht. Unverschämtheit !

nur wissen die meisten nicht, wo sie da ihr Häckchen machen müssen, ältere Menschen noch weniger und die im Bürgerbüro weisen auch nicht extra darauf hin.

 

[JoergK]

Wie, auf was beziehe ich mich ? Verstehe ich gerade nicht.

Ich meine, wer verkauft die Mail-Adressen ? Die Leak Checker ?
Beim Link von @Sunfreak und beim Plattner-Institut glaube ich das nicht. Die haben eine hohe Vertrauenswürdigkeit.

 

[JoergK]

nur wissen die meisten nicht, wo sie da ihr Häckchen machen müssen, ältere Menschen noch weniger und die im Bürgerbüro weisen auch nicht extra darauf hin.

Hast Du da einen Tipp, wo / wie man beim Einwohnermeldeamt widerspricht ?

 

[Feli871]

Keine Ahnung, dachte vielleicht kann man das auf den Formularen die man doch jetzt überall 10fach zum Dateschutz bekommt.

Sonst würde ich bei den Mitarbeitern nachfragen, zum Beispiel wenn du einen neuen Ausweis beantragst.

 

[JoergK]

Werde ich so machen, einen neuen Ausweis brauche ich sowieso.

 

[Feli871]

Ja dann frag mal. Würde mich interessieren was die dann sagen.
Wahrscheinlich wissen sie es nicht. Beliebte Antwort ist ja * da muss ich erst nachfragen*.

 

[JoergK]

Werde ich machen und mich hier melden.
Das bezieht sich dann aber erst mal auf das Bürgerbüro Bochum.

 

[Okolyt]

Wahrscheinlich wissen sie es nicht. Beliebte Antwort ist ja * da muss ich erst nachfragen*.

Die beliebteste Antwort in einer Behörde ist:
Tut mit leid, aber in dem Verfahren bin ich nur unbeteiligter Dritter.