Hacking: Eine eMail-Adresse ist nur gemietet

Viele glauben sicherlich an die Mär des Hackers in Hoodies mit Basecap und Sonnenbrille, aber manchmal wird auch jeder „Normalo“ aus Versehen Hacker. Ein Beispiel: eMail-Adressen bei großen Anbietern, wie GMX, T-Online, Web.de, ….

Hätten Sie gedacht, das eine eMail-Adresse nur gemietet ist und diese nach einem Zeitraum wieder freigegeben wird? Wenn Sie bspw. bei T-Online/Telekom nicht dafür Sorge tragen, die eMail-Adresse nach der Kündigung vom Provider zu behalten, wird nach einem Jahr die eMail-Adresse wieder freigegeben, d.h. ein anderer kann diese dann benutzen. Interessiert Sie nicht? Nun, dann sollten Sie mal die folgenden Zeilen einer wahren Geschichte (mit geänderten Namen und Angeboten) genauer lesen, die ich nämlich erlebt habe.

Den eMail-Alias sichern, einfach mal so

Vor einiger Zeit habe ich bei einem eMail Provider über mein sehr lange bestehenden Account sog. „Alias“-eMail-Adressen hinzugefügt: Sie kennen das, das man bei Telekom, Apple, … zusätzlich zu seiner eMail weitere eMail-Adressen dazu bekommen kann. Ich habe das also für meine Frau und meine Tochter getan und dachte, sie würden die vielleicht demnächst einmal brauchen.

SPAM – in meinem sonst nicht verwendeten Postfach einer unbekannten eMail-Adresse?

Wer kennt sie nicht, die Werbemails, die man nicht möchte. Mein Account wurde nur für spezielle Sachen verwendet und eben nicht für die tagtägöiche Mailflut, d.h. die Wahrscheinlichkeit in einem SPAM-Versender zu geraten war sehr gering, trotzdem tauchte irgendwann eine SPAM-Mail auf, aber nicht an mich, sondern an einen der Alias-Namen…..?!? Nanu? Ich habe die eMail-Adresse doch nie verwendet?!? Zudem unterliegt dieser Account besonderer Kontrolle, eben weil nur ganz wenige diesen kennen sollten.

Die Anrede war falsch, denn sie unterschied sich vom Nachnamen: Sehr geehrte Frau Müller, (…) aber die eMail ging eben an eine mit sievers im eMail-Namen… was war da los?

Ich schaute mir die Mail genauer an, die von einer dieser Forschungs-Gemeinschaften kam, die normalerweise schon korrekte eMail-Adressen haben sollten und nicht als SPAM-Versender in Erscheinung treten.

Social Hacking – Ich suchte…

Ich fing also an dieser Frau Müller, die anscheinend mal eine eMail-Adresse besessen haben musste mit unserem Nachnamen, zu suchen. Ich ging über die Webseite der Mail, die wirklich keine SPAM-Mail war, sondern, wenn man im Cache von Google nachsieht, mal dort gearbeitet hatte.

Es kam in der Zwischenzeit noch eine eMail rein, von einem Reiseveranstalter oder so und nach nach und nach noch mehr… so langsam wusste ich mehr über das digitale Leben der Frau Müller als ihr lieb sein konnte.

Es dauerte nicht allzu lang und ich fand sie in einem sozialen Netzwerk und kontaktierte sie:

Hallo Vorname,
wenn Du mal Müller geheissen hast und xyzsievers@provider.de mal Deine Mailadresse war, dann mal gerne melden. Grüße Jörg

 

…und fand sie

Es dauerte nicht allzu lang und sie antwortete. Mit ein bischen Erklärungen hin- und her machte ich ihr klar, dass so einige Mails bei mir aufgelaufen sind, die eigentlich für sie bestimmt seien und ich ihr die gerne schicken möchte, damit sie sich ggf. dort melden und umregistrieren lassen kann.

Neben der Erkenntnis einiger witziger Dinge, die wir, neben unserem Namen, gemeinsam hatten, schickte ich ihr also den Stapel an Mails an eine neue eMail-Adresse. Zudem versprach ich, weitere Ankünfte wieder an sie weiterzuleiten.

Internet-Dienste sterben, eMail-Adressen bleiben

In letzter Zeit kamen dann noch Mails hinzu, wo ein Dienst die Aufgabe seines Handels bekannt gab oder einer schrieb, das sich die Bedingungen von ihrem Service verbessert haben – naja, dazu müsste die Gefundene den Dienst noch nutzen können, aber erstens war sie geografisch mitlerweile woanders und zudem hatte ich ihre eMail-Adresse, mit der sie das Passwort hätte zurücksetzen können….

Service Account umlenken

Ich resette bei einem Dienst ein Passwort, trug ihre neue eMail-Adresse ein und schrieb ihr eine Mail mit dem neu gesetztem Passwort, damit sie den Dienst vielleicht mal kündigen könnte, bevor der noch Geld kostet. Wäre ich nun ein böser Mensch gewesen, hätte ich mit dem Account Buchungen vornehmen können und belastet worden wäre eine Person, die noch nicht einmal das Passwort hätte resetten können, da ich den eMail-Account habe…

Moral von der Geschicht‘

Ich denke an meiner Geschichte kann man ganz gut erkennen, das man schon ein wenig acht auf seine Daten geben sollte und eMail-Adressen, wenn einem die Domain nicht selbst gehört, sollten wohl gewählt werden, wenn man diese zu Registrierungszwecken bei Diensten im Internet benutzt. In meinem Fall ging das gut, da ich der Frau nichts böses wollte und eher daran interessiert war, das sie ihre Daten so ändert, damit ich keine Post mehr bekomme, die eh nicht für mich ist, aber social hacking ist einfach und es kann (leider) jeder.

Wer bis hierher gekommen ist mit dem Lesen, kann ja mal versuchen herauszubekommen, wie die eMail-Adresse der Frau denn wohl sein müsste…. das sollte man, dessen bin ich mir leider bewusst, herauszufinden sein. Schreibe an die Mailadresse eine eMail und der/dem Ersten, die/der das schafft ist eine Packung Snickers oder Mars oder Twix sicher (bitte in der eMail angeben, nebst Zieladresse) 🙂