gefälschte Eset Mails im umlauf!

  • Achtung zur zeit sind emails im umlauf die angeblich von eset sind!

    absender z.b. service-317900815@esetshop.de

    kleiner auszug aus der mail

    link hab ich entfernt

  • Hab auch diese Mail Bekommen:
    Dear Eset Customer,(Mein Name)

    During our regularly scheduled account maintenance and verification
    procedure we have detected aslight error in your ESET online account.

    Please fill in all the details that are required to complete this verification
    process or you ESET license will get suspended.

    Please understand that this is a security measure intended to help protect
    you and your account.

    If you choose to ignore our request, you leave us no choice but to temporary
    suspend your license. We apologize for any inconvenience.

    Please click the following link to verify your account :


    [color=#ff0019]Jetzt aber mal ne andere Frage dazu, woher Wissen die meinen richtigen Namen? Wurde da Eset vielleicht Gehackt kann das sein?[/color]

  • Hallo,
    vielen Dank für eure Meldungen! Ich nehme das sehr ernst! Sobald ich etwas in Erfahrung bringen konnte melde ich mich wieder. ESET selbst zumindest wurde nicht "gehackt" o.ä.!

    Thomas "Tommi" Uhlemann - Security Specialist - ESET Deutschland GmbH - @SecureTommi

  • yepp auch im Postfach gehabt............


    [color=#720000]Jetzt aber mal ne andere Frage dazu, woher Wissen die meinen richtigen Namen? Wurde da Eset vielleicht Gehackt kann das sein?[/color]

    ich auch!

  • Moin.

    Habe heute Nacht um 02:15 Uhr auch so eine Mail erhalten.

    Habe eine 3 Jahres Lizenz für 3 Rechner und finde es sehr unschön, das jemand meinen Namen zu meiner Lizenz zuordnen konnte.
    Hier die Mail:

    # # # #

    Betreff: Please verify your ESET Account
    Von: "ESET" <service-246576229@esetshop.de>
    Datum: Do, 27.06.2013, 02:15

    ...


    Dear Eset Customer,(Dennis K.....)
    During our regularly scheduled account maintenance and verification
    procedure we have detected aslight error in your ESET online account.
    Please fill in all the details that are required to complete this verification
    process or you ESET license will get suspended.
    Please understand that this is a security measure intended to help protect
    you and your account.
    If you choose to ignore our request, you leave us no choice but to temporary
    suspend your license. We apologize for any inconvenience.
    Please click the following link to verify your account :
    https://www.esetshop.de/verify/PP1263/ (http://affairs4u.com/esetnod/?-246576229/?z-246576229)

    ESET NOD Email ID PP1263.
    Copyright © 1999-2013 ESET. All rights reserved. ESET (Germany)

    # # # #

    RFC822 Message body


    Return-Path: <root@server.affairs4u.com>
    Delivered-To: MEINE MAIL
    Received: (qmail 26998 invoked by uid 508); 27 Jun 2013 00:15:16 -0000
    Received: from unknown (HELO mailin4.artfiles.de) (212.72.162.132)
    by 0 with SMTP; 27 Jun 2013 00:15:16 -0000
    Envelope-to: MEINE MAIL
    Received: from [216.246.29.28] (helo=server.affairs4u.com)
    by mailin4.artfiles.de with esmtp (Exim 4.72)
    id 1Urzro-00087r-I7
    for MEINE MAIL; Thu, 27 Jun 2013 02:15:16 +0200
    Received: from root by server.affairs4u.com with local (Exim 4.69)
    (envelope-from <root@server.affairs4u.com>)
    id 1Urzro-0001RQ-7f
    for MEINE MAIL; Thu, 27 Jun 2013 01:15:16 +0100
    To: MEINE MAIL
    Subject: Please verify your ESET Account
    From: ESET <service-246576229@esetshop.de>
    MIME-Version: 1.3
    Content-Type: Text/HTML
    Content-Transfer-Encoding: 32bit
    Message-Id: <E1Urzro-0001RQ-7f@server.affairs4u.com>
    Date: Thu, 27 Jun 2013 01:15:16 +0100
    X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
    X-AntiAbuse: Primary Hostname - server.affairs4u.com
    X-AntiAbuse: Original Domain - MEINE DOMAI
    X-AntiAbuse: Originator/Caller UID/GID - [0 0] / [47 12]
    X-AntiAbuse: Sender Address Domain - server.affairs4u.com
    X-Source: /usr/local/bin/php
    X-Source-Args: php x.php
    X-Source-Dir: /root/123
    X-AF-Envelope-to-2:

    <div class="top_banner" style="color: rgb(0, 0, 0); font-family: 'Segoe UI', Arial, Helvetica, sans-serif; font-size: 13px; line-height: 13px; margin: 0px; padding: 0px; border: none; top: 0px; left: -60px; background-image: url(https://my.eset.com/img/base_banner_bckg.png); background-color: rgb(233, 234, 236); height: 342px; background-position: 0px 0px; background-repeat: repeat repeat;">
    <div class="bck_banner" style="margin: 0px auto; padding: 0px; border-style: none none solid; border-bottom-width: 1px; border-bottom-color: rgb(209, 210, 214); background-image: url(https://my.eset.com/img/base_banner.jpg); background-color: transparent; height: 342px; background-position: 50% 0px; background-repeat: no-repeat no-repeat;">
    </div>
    </div>
    <div class="content ntop" style="color: rgb(0, 0, 0); font-family: 'Segoe UI', Arial, Helvetica, sans-serif; font-size: 13px; line-height: 13px; margin: -341px auto 0px; padding: 0px; border: none; position: relative; width: 980px;">
    <div class="banner base" style="margin: 0px auto; padding: 40px 0px 0px 15px; border: none; height: 301px; position: relative; width: 980px;">
    <div id="cphMain_Login_pnlLogin" style="margin: 0px; padding: 0px; border: none;">
    <fieldset class="atab" id="login" style="margin: 0px; padding: 0px; border: 0px none; position: relative;">
    <div>
    Dear Eset Customer,(Dennis K....)</div>
    <div>
    </div>
    <div>
    During our regularly scheduled account maintenance and verification</div>
    <div>
    procedure we have detected aslight error in your ESET online account.</div>
    <div>
    </div>
    <div>
    Please fill in all the details that are required to complete this verification</div>
    <div>
    process or you ESET license will get suspended.</div>
    <div>
    </div>
    <div>
    Please understand that this is a security measure intended to help protect</div>
    <div>
    you and your account.</div>
    <div>
    </div>
    <div>
    If you choose to ignore our request, you leave us no choice but to temporary</div>
    <div>
    suspend your license. We apologize for any inconvenience.</div>
    <div>
    </div>
    <div>
    Please click the following link to verify your account :</div>
    <div>
    </div>
    <div>
    <a
    href="http://affairs4u.com/esetnod/?-246576229/?z-246576229">https://www.esetshop.de/verify/PP1263/</a></div>
    <div>
    </div>
    <div>
    </div>
    <div>
    ESET NOD Email ID PP1263.</div>
    <div>
    </div>
    <div>
    Copyright © 1999-2013 ESET. All rights reserved. ESET (Germany)</div>
    <div>
    </div>
    <div>
    </div>
    </fieldset>
    </div>
    </div>
    </div>

    #########

    Wäre klasse wenn wir hier kurzfristig ein paar Infos bekommen könnten.


    MfG

  • Hallo,
    ich habe diese Mail auch gleich 2 mal bekommen !
    die erste:

    das ist die zweite:

    Gruß FrankyM

  • [quote user="ESET Deutschland" post="63063"]Hallo,
    vielen Dank für eure Meldungen! Ich nehme das sehr ernst! Sobald ich etwas in Erfahrung bringen konnte melde ich mich wieder. ESET selbst zumindest wurde nicht "gehackt" o.ä.![/quote]

    Ich habe ebenfalls diese Email erhalten; in Summe zweimal im Laufe der vergangenen Nacht.
    Da ich Kunde bei ESET bin und die Emails exakt an die registrierte Adresse gegangen ist, stellt sich auch mir die Frage meiner Vorredner.


    Ergänzend einige Inhalte des Mail-Headers



    Der Quelltext der Email führt zur Domain esetnod.tld.cc:
    [color=#FF000C]!!!NICHT AUFRUFEN!!![/color]

    Code
    <a href="http://esetnod.tld.cc/?-143348119/?z-143348119----o-143348119">https://www.esetshop.de/verify/PP1263/</a></div>

    ...und weiter geht's mit

  • Ich habe diese Mail auch bekommen und was in meinem Fall besonders dramatisch ist: Wir haben eine Mehrfachlizenz die auf den Namen meiner Frau läuft (aber mit meiner E-Mail Adresse registriert ist) und ihr Name stand ganz korrekt als Lizenzbesitzerin in der Anrede der Mail obwohl die Mail auf meinem Rechner an meinen Mailaccount ging.
    Für mich gibt es aktuell deshalb nur folgenden logische Schlüsse:

    [color=#FF0000]1. Eset wurde gehackt[/color]
    oder
    [color=#FF0000]2. Mein Rechner ist mit einem Trojaner infiziert, der diese Daten von meinem Rechner auslesen kann[/color]

    woher sollten die Gangster sonst die korrekten Lizenzdaten bekommen haben?

    @Eset: Bitte geht der Sache nach - ich bin extrem beunruhigt - vor allem die Aussicht einen Trojaner zu haben macht mich nervös!

  • Wenn man eine im Quelltext angegebene Seite aufruft sieht man mehrere Ordner.
    In den Unterordnern finden sich Unmengen Profilinformationen und Bilder irgendwelcher Leute ... teilweise in sehr eindeutigen Posen.
    Ich nehme an das die Seite eigentlich eine FSK 18 Singelbörse aus dem Spanischen Raum ist/war.

    Das gefakte Script in dem die Profilinformationen von ESET aktualisiert werden sollten ist auch da zu finden.

    Sollte man den Eigentümer der Seite darüber unterrichten das die Informationen öffentlich zugänglich sind ?

    Falls der Besitzer nicht der Urheber der ganzen Sache ist könnte er evtl. unerwartet Probleme mit den Leuten/Behörden bekommen... ?!

    Wie geht man da am besten vor ?

    MfG

  • [quote user="andiearbeit" post="63070"]
    Die Seite scheint noch nie seriös gewesen zu sein - siehe reviews hier:
    http://www.reviewcentre.com/reviews260205.html
    Sie haben offensichtlich nur ihr Geschäftsmodell gewechselt :wink:[/quote]


    Allerdings kann ich mir nicht vorstellen das sich Account Diebstahl mehr lohnt als gefakte Sexbörsen.
    Es gibt genug Leute die sich da anmelden und Geld bezahlen auch wenns nur zum gucken ist.

    Es muss nur die richtige Werbung geschaltet werden und mirnichtsdirnichts hast Du ~1000 neue User á 30 EUR die mal eben Dein Konto gefüllt haben...

    Wenn genug bei rum kommt musst Du Dir nicht mal Sorgen um die Behörden machen... Die beteiligen sich auch mal gerne am Kuchen essen.

  • Zum Namen- / Email- Paar: Kann sein, dass die die Email rausgesucht haben und euren echten Namen gefunden haben oder jemand hat beides weiter verkauft. Ich bekam gestern eine Mail von Galleria Kaufhof, dass ich was gekauft haette. Im Anhang war ein unbekannter Trojaner. Den habe ich erst mal an alle Hersteller geschickt. Eset hat den auch prompt hinzugefuegt. Bei Computerbase hat jemand anderes die gleiche Mail bekommen, nur von Schlecker. Sowohl bei ihm als auch bei mir war der echte Name angegeben. Daher vermute ich, dass die Name und Email entweder vom Werbetraeger gekauft haben, oder die sonst irgendwo oeffentlich sind.

    Gestern waren es noch 10 AVs, die den Schaedling erkannt haben. Heute sind es etwas mehr:

    https://www.virustotal.com/en/file/c81b5c…sis/1372323390/

  • [quote user="BrollyLSSJ" post="63073"]Zum Namen- / Email- Paar: Kann sein, dass die die Email rausgesucht haben und euren echten Namen gefunden haben oder jemand hat beides weiter verkauft./[/quote]

    Das erklärt nicht, dass in meinem Fall der korrekte Name des ESET Lizenznehmers (der meiner Frau) mit meiner E-Mail Adresse kombiniert wurde.
    Das ist die Original-Kombination wie sie in diesem speziellen Fall bei Eset hinterlegt wurde.

    Also NICHT: mein Name, meine Mailadresse sondern ganz korrekt: Name meiner Frau mit MEINER E-Mail Adresse
    Das ist es auch, was mich in diesem Fall extrem beunruhigt - denn das diese Kombination zufällig zustande kam halte ich für ausgeschlossen!

  • Ich weis jetzt zwar nicht genau ob ich hier richtig bin, aber ich habe heute Nacht ebenfalls eine solche E-Mail erhalten.
    Als ich heute am späten vormittag meinen Windows 7 PC mit ESET NOD32 Antivir gestartet habe, hat sich die Signaturdatenbank von NOD32 automatisch aktuallisiert, erstmal nicht ungewöhnliches, als ich allerdings Windows Live Mail startete erkannte NOD32 zunächst die hier diskutierte email als trojaner und verschob sie in die Quarantäne. Als ich dann prüfen wollte was mit der E-Mail in Windows Live Mail geschehen ist, fing NOD32 an (für mich wahllos) E-Mails aus allen möglichen Postfächern in die Quarantäne zu verschieben :shock:
    Woraufhin ich den PC erstmal abschaltete um wenigstens zu versuchen schlimmeres zu verhindern...
    Hoffentlich hat es niemand geschafft sich Zugang zu den ESET Servern zu verschaffen und per Signaturupdate Schadsoftware zu verteilen. Nennt mich paranoid, aber normal ist das nicht was hier vorgeht.

    greetz ViR

  • Das wäre natürlich ein Supergau.
    Dagegen spricht aber meiner Meinung nach, dass die Hintermänner die sowas schaffen dann nicht so "billig" auftreten würden und eine abgehalfterte spanische dating-Betrugsseite als Host für auch eher lausige Spammails verwenden würden.
    Aber vielleicht ist dieser Rückschluss auch naiv :grin:

    Mein Eset scheint sich aber normal zu verhalten - hat aber auch bis jetzt keine Infektion feststellen können.

    Wäre aber schön, wenn sich ESET nochmal äussern könnte...

  • Zitat

    ESET selbst zumindest wurde nicht "gehackt" o.ä.!

    Das sieht im Moment aber sehr danach aus. Bis jetzt sind aber scheinbar nur deutsche Kunden betroffen, was darauf schließen lässt, dass möglicherweise die DATSEC Datenbank erwischt worden ist.

    In meinem Fall ist mein Klarname und die betroffene E-Mail passend, UND weder der Name, noch die E-Mail Adresse war bekannt, bzw. hat jemals SPAM/Phishing Mails erhalten!

    Das sieht gar nicht gut aus...


    Haben die betroffenen über DATSEC bestellt?

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!