Da bemueht man sich, seit man sich mit Email beschaeftigt, naemlich seit 1994, seine elektronische Korrespondenz immer schoen mit Betreffzeile, Anrede, inhaltsgeschwaengertem Hauptteil, Gruss, Name und einer Signatur mit Hinweis auf meine Webseite zu versehen, und es faellt kaum jemandem auf, wenn mein bereits seit einer Dekade sorgfaeltig befolgtes Prinzip gebrochen wird.  Jawohl, mein Email-Konto fiel einem heutzutage nicht mehr so seltenen Hijack-Angriff zum Opfer und wurde dazu benutzt, unschoene Webaddressen an saemtliche Kontakte in meinem Adressbuch zu versenden.

Sollte dir das aufgefallen sein und du hast dich gleich darum bemueht, mich ueber die Kompromittierung meines Email-Kontos zu informieren, dann danke ich dir aufrichtig.

Sollte dir das aufgefallen sein und du hast die Email geloscht, freue ich mich mit Dir ueber deine gut ausgepraegte Erkenntnisfaehigkeit.

Solltest du dich gewundert haben und fragtest erst einmal vorsichtig bei mir an, um was es sich eigentlich handelt, beglueckwuensche ich dich dazu.

Solltest du auf den Link geklickt und nachgefragt haben, was ich dir denn schoenes geschickt haette und dass sich der Link leider nicht oeffnen liess, dann…, ja was dann…  Dann hat es meine strikt befolgtes Email-Gestaltungprinzip mit Betreff, persoenlichem Haupttext und Verabschiedung nicht geschafft, in diesem Fall bei dir virtuelle Alarmglocken auszuloesen — da duerfte dieser Beitrag ja gerade richtig kommen…

Leute, setzt bitte Eure Denkkappen auf, bevor Ihr gutglaeubig auf irgendwelche Links klickt.  In der heutigen Zeit ist nichts sicher.  Traut Euren Email-Freunden ein bisschen was zu und geht nicht davon aus, dass sie unmotiviert und ohne ein Wort der Erklaerung, selbst ohne eine Betreff-Zeile, irgendwelche kryptischen Webadressen rausschicken, ohne ein Hallo, ein Auf Wiedersehen oder irgendeine persoenliche Nachricht.

Eine voellig unmotivierte Spam-Email, zumeist eine Script-Kiddie-Fingeruebung mit Ziel populaerer Web-Emailprogramme wie eben Yahoo Mail, schreit geradezu danach, sofort geloescht zu werden.

Sollte eine Spam-Email mal ganz clever geschrieben sein und sich nicht augenblicklich als solche zu erkennen geben, dann kann man dem Sender ja immer noch eine kurze Email schicken und um Erlaeuterung bitten.  Nur auf den Link zu klicken ist ganz ganz falsch, und den Sender zu fragen, was sich denn nettes dahinter verberge, ist hoch-redundant.

Mein Bruder hat uebrigens eine Erklaerung parat, fuer die, die es interessiert:

Vielleicht zur Beruhigung, die Mail ist auf den ersten Blick nicht von deinem Rechner aus verschickt worden, sondern von nem Bot-Rechner aus den Philippinen.  Wie die jetzt auf deinen Account kamen und dein Adressbuch lesen konnten, ist noch nicht ganz klar. Sehr wahrscheinlich ist leider, dass Yahoo selbst schuld daran ist, denn deren Webmail ist anfaellig fuer Brute Force Attacken (Passwort Abfrage, Reset). Da hilft zumindest nur ein kompliziertes Passwort oder gleich weg von Yahoo gehen.

Eine andere Moeglichkeit, die nicht ausgeschlossen sei, ist eine Cross Site Script Attacke ueber den Browser, aber die Yahoo-Mails sind schon oefter und vor laengerer Zeit aufgetreten, also unwahrscheinlich.  Schau mal nach, ob deine Sent Mails geloescht wurde, das deutet dann auf eine Hijacking von aussen hin. Zumindest ist es nicht dein Rechner gewesen, der die Mails verschickt hat, was vielleicht ein kleiner Trost ist.

Yahoo hat uebrigens gleich nach der Attacke gemerkt, dass mit meinem Account etwas nicht stimmte und mir dankenswerter Weise sofort virtuelle Fesseln angelegt.  Ich kann ab sofort keine Massenmails rausschicken (demzufolge konnte ich Euch auch nicht ueber die Spam-Mail in Kenntnis setzten), und ich muss jetzt bei jeder Email, die ich schicke, einen Zahlencode eingeben.  Beide Sachen machen zwar Sinn, aber das Kind liegt leider schon drin im Brunnen…  Mit super-kompliziertem Passwort und keiner einzigen Adresse in meinem Adressbuch wuensche ich dem naechsten Bot viel Glueck….

In diesem Sinne — immer schoen hinterfragen, was in der Mailbox landet oder auf einer Webseite zum Klicken verlockt, statt gutglaeubig auf altbewaehrte Maschen hereinzufallen.  Sollte irgendetwas nach Unsinn aussehen, ist es mit Sicherheit Unsinn…  Einfach ignorieren, statt nach einem Sinn zu suchen…

Und als Schmankerl gibt’s noch einen aktuellen Spiegel-Artikel zum Thema. Keine Angst – ist sauber, du kannst beruhigt auf den Link klicken :-)

http://www.spiegel.de/netzwelt/web/0,1518,790936,00.html

Hier noch ein Link auf English:

http://dagblog.com/humor-satire/who-hijacked-yahoo-mail-3151