Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Passwort“

gammelfleisch, You Have (8) New Undelivered E-mails

Dienstag, 9. April 2019

Ah ja, aber diese Mail kommt wundersamerweise an. Und die acht unzugestellten können nicht ankommen, und da kann man auch nichts machen (wie sie etwa an diese Mail anhängen). Alles klar! Mal reinschauen…

Von: tamagothi.de <nkhoan@namuga.co.kr>

Klar, du bist tamagothi (punkt) de. Und ich bin der Osterhase mit den dicken, lebensfroh bemalten Eiern.

An: gammelfleisch@tamagothi.de

In diesem Postfach sammeln sich die Dümmsten der Dümmsten der Dümmsten!

Dear gammelfleisch,

Genau mein Name! :D

Due to some errors in your e-mail gammelfleisch@tamagothi.de in response to a complaint received by your e-mail administrator, tamagothi.de server is holding (8) undelivered incoming contact messages.

Aber der Administrator des Mailservers bin ich selbst. Was ich so alles anstelle, wenn ich mal nicht bei mir bin! Und dann soll ich…

Kindly FIX THE PROBLEM HERE with your e-mail administrator to avoid missing important mails.

…in eine dumme Phishing-Spam klicken, um meine Probleme mit mir selbst zu lösen. Da müsste ich aber ganz schön blöd sein!

Wer auf den Link klickt, lasse alle Hoffnung fahren. Nach „nur“ drei Weiterleitungen…

$ https://finpluszambia.com/web/freeeeeeesh/ii/?email=gammelfleisch@tamagothi.de
     1	https://batmodschools.com.ng/freshnew86/update?rand=13InboxLightaspxn.1774256418&fid.4.1252899642&fid=1&fav.1&rand.13InboxLight.aspxn.1774256418&fid.1252899642&fid.1&fav.1&email=gammelfleisch@tamagothi.de&.rand=13InboxLight.aspx?n=1774256418&fid=4#n=1252899642&fid=1&fav=1
     2	https://batmodschools.com.ng/freshnew86/update/?rand=13InboxLightaspxn.1774256418&fid.4.1252899642&fid=1&fav.1&rand.13InboxLight.aspxn.1774256418&fid.1252899642&fid.1&fav.1&email=gammelfleisch@tamagothi.de&.rand=13InboxLight.aspx?n=1774256418&fid=4
     3	y81jms69woi000gktono3ba0.php?client_id=3D4FC76FC07C2F9993156592671B9800&response_mode=form_post&response_type=code+id_token&scope=openid+profile&email=gammelfleisch@tamagothi.de&Connect_Authentication_Properties&&nonce=21010461973d4fc76fc07c2f9993156592671b9800&redirect_uri=&ui_locales=en-US&mkt=en-US
$ _

…die der Tatsache gedankt sind, dass Spammer und Werber im Gegensatz zu denkenden und fühlenden Wesen so ungern direkte Links setzen, bekomme ich die Gelegenheit…

Screenshot der Phishing-Site

…auf einer Website, die nichts mit tamagothi (punkt) de zu tun hat¹ irgendwelchen Spammern und Phishern mein Mailpasswort mitzuteilen. Das führt im Regelfall dazu, dass man Verbrechern den Zugang zu allen möglichen Diensten gibt, bei denen man sich mit dieser Mailadresse registriert hat. Denn die Verbrecher können einfach über Funktionen wie „Ich habe mein Passwort vergessen“ das Passwort zurücksetzen und das neu vergebene Passwort lesen oder mitlesen, weil sie ja Vollzugriff auf die E-Mail haben. Und so richtige Verbrecher werden damit schon etwas anfangen können, was sich kein Mensch wünschen kann. Zum Beispiel, wenn unter Missbrauch der so gephisten Identität irgendwelche Freude auf Social Media angeschrieben werden, dass man gerade in einer Notlage sei und ohne Geld und ohne Papiere in einer fremden Stadt rumstehe und deshalb darum bittet, schnell ein paar hundert Euro über Western Union zu schicken, das Geld gibt es auch nächste Woche zurück, aber mit ganz dickem Danke. Oder, indem eifrig auf Amazon und eBay bestellt, aber nicht bezahlt wird. Oder, indem Hehlerware verkauft wird. Verbrechern wird immer eine Nutzung einfallen. Der arme Mensch, dessen Mailpasswort so gephisht wurde, hat die Strafanzeigen, die Schufaeinträge und die ganzen Laufereien am Hals. Und die Verbrecher haben das Geld gemacht.

Zum Glück gibt es einen ganz einfachen Schutz gegen Phishing: Niemals in eine E-Mail klicken! Wenn man sich angewöhnt, die wichtigsten Websites als Lesezeichen im Browser zu haben und nur über die Lesezeichen im Browser aufzurufen, kann einem der Phisher nicht einfach eine solche Datensammelseite unterjubeln und das Phishing in dieser primitiven, aber weitverbreiteten Form wird völlig unmöglich. Diese Vorsicht kann leicht viel Geld und viel mit Ärger vergällte Lebenszeit einsparen.

Generell ist ein Passwort als Sicherheitsmaßnahme nur dann wirksam, wenn das Passwort ausschließlich auf der Site angegeben wird, für die man es auch verwendet. Sobald ein Dritter das Passwort erfährt, ist die Sicherheitsmaßnahme sinnlos geworden. Wenn man die angemessene Vorsicht bei der Passworteingabe mit einem sicheren Passwort kombiniert, kann praktisch nichts passieren.

tamagothi.de support team

Ja, schon klar, Spammer! Geh sterben und leiste deinen Support in der Hölle!

¹Der zerschossene Schatten unter der Eingabemaske ist aus dem Original. Vermutlich ist den Phishern beim Hin- und Herziehen ihrer Phishing-Seite eine Grafikdatei verloren gegangen. Und es sind kriminelle Spammer, die schauen sich das nicht selbst an. Wenn die sich Mühe geben wollten, könnten sie ja auch gleich arbeiten gehen.

tamagothi.de SHUTDOW IN PROGRESS

Sonntag, 17. Februar 2019

So so, ein „shutdow“. Da will ich mal hoffen, dass es sich nicht um eine Schließung des Dow-Jones-Index handelt.

Von: tamagothi.de <rack@mc.net>

Sehr unterzeugend gefälschte Absenderadresse. Das ist ja fast so, als würde ich behaupten, ich sei Google und dabei Microsoft als Absender benutzen.

An: gammelfleisch@tamagothi.de

Dieser Müll geht an jede Mailadresse, die man irgendwo im Web einsammeln kann. Also bloß nicht beunruhigt sein. Es ist Spam. Von Kriminellen. Nichts an den Behauptungen in der Spam stimmt.

tamagothi.de

Herzlichen Glückwunsch, Spammer! Du kannst offenbar den Text nach dem @ einer Mailadresse vom Text…

Dear gammelfleisch,

…vor dem @ einer Mailadresse trennen, um aus Letzterem eine „persönliche“ Anrede zu bauen, mit der du zu verbergen trachtest, dass du mich gar nicht kennst. Dieses Programmierkunststück aus einem Kurs für Achtjährige kriegt nicht jeder deiner spammenden Kollegen hin.

Email account will Expire on 17 February 2019

Huch, das ist ja heute! :shock:

Übrigens: Der Mailserver in der Domain tamagothi (punkt) de wird von mir selbst verwaltet. Da läuft ein Mailkonto nicht einfach so ab. ;)

Der Spammer lügt also. Vermutlich wird seine Lüge in ganz vielen Fällen glaubwürdig genug klingen, und dann klicken Menschen halt in eine Spam:

You needs to be Re-verified due to our system upgrade to avoid Shutdown gammelfleisch@tamagothi.de.

You have (1) new unread message.

CLICK TO VERIFY NOW gammelfleisch@tamagothi.de

Wer auf den Klickmich-Link klickt, landet auf der Website in der Domain hotstuffdance (punkt) com, der man nur beim Hinschauen ansieht, dass sie nichts mit der Domain tamagothi (punkt) de zu tun hat. Dort erhält man dann die Gelegenheit, Kriminellen sein Mailpasswort zu geben – und damit mehr oder minder direkten Zugriff auf alles, was am Mailpasswort dranhängt oder was als Sicherheitsmaßnahme eventuelle Passwortrücksetzungen über E-Mail bestätigt haben möchte: Amazon, eBay, PayPal, Social-Media-Sites, Clouddienste… :(

Die Phishing-Seite sieht übrigens so aus:

Phishing-Website für E-Mail-Konten

Die Mailadresse wird offen als GET-Parameter in der URI übertragen, ist also Bestandteil des Links. Ich habe nicht ausprobiert, ob es für gängige Freemailer wie etwa GMail ein angepasstes Design für diese Phishingseite gibt, aber es wäre eine Kleinigkeit, so etwas zu machen.

Zum Glück für uns alle gibt es eine ganz einfache und völlig sichere Methode, nicht zum Opfer eines Phishings zu werden: Niemals in eine E-Mail klicken! Websites immer über ein Lesezeichen im Browser aufrufen, und schon können einem die Verbrecher keinen giftigen Link mehr unterschieben. Dass die Behauptungen einer grundlosen Abschaltung eines Mailkontos substanzlos sind, zeigt sich sehr schnell, wenn man die Website seines E-Mail-Anbieters aufruft und dort nach einer ganz normalen Anmeldung feststellt, dass es das behauptete Problem gar nicht gibt.

Das Beste daran: Dieser Schutz vor Phishing funktioniert vollkommen zuverlässig und kostet kein Geld. Vernünftige Menschen und Unternehmen, die Interesse daran haben, dass der kriminelle Sumpf im Internet endlich ausgetrocknet wird, ergänzen solche Vorsichtsmaßnahmen, indem sie ausschließlich digital signierte E-Mail versenden, bei welcher der Absender jenseits jedes vernünftigen Zweifels sichergestellt werden kann¹. Das kostet übrigens auch kein Geld und ist so einfach wie klicken.

Thank you
tamagothi.de notification. ©2019

Oh toll, mit deklariertem Copyright von einer Benachrichtigung! :mrgreen:

¹Indem sichergestellt wird, dass der Absender der E-Mail im Besitz des Privatschlüssels des Absenders ist.

31 Dec 2017-Mailbox Service Warning

Montag, 1. Januar 2018

Bitte nicht darauf reinfallen. Es handelt sich um eine Phishing-Spam! Diese Spam geht an jede Mailadresse, die Spammer im Web einsammeln können.

Dear gammelfleisch,

Nicht immer ist das, was im Namensteil der Mailadresse steht, ein guter Name für eine Anrede. :D

Your email account will Expire on 2 Jan 2018,
If you want to continue using your email address: gammelfleisch@tamagothi.de
You will need to verify immediately to prevent your account from terminating

Schon klar, die läuft einfach so ab, die Mailadresse, außer natürlich, ich „verifiziere“ sie. Und das geschieht selbst noch bei mir, obwohl diese Mailadresse auf einem Server existiert, den ich selbst verwalte. Großes Kino im kleinen Köpfchen des Spammers!

Aber selbstverständlich richtet sich dieses Phishing an technisch Ahnungslose, die damit überrumpelt werden sollen, dass sie Zugangsdaten an Kriminelle geben. Und statt einer Erklärung gibt es im Zeitalter des IMAP-Postfaches und des Webmailers noch eine hübsche Horrorvision…

All messages and files will be lost if you do not immediately verify

…dass mit dem vom Spammer behaupteten Ablauf der Mailadresse alles verloren geht. (Wohl dem, der eine richtige Mailsoftware verwendet und deshalb auch noch eine lokale Kopie herumliegen hat!) Und deshalb soll man jetzt ganz schnell…

Verify Now

…klicki klicki auf Linki Linki machen.

Der Link geht zur Website in eine Domain…

$ whois aslantaxservices.com | grep WHOIS
   Registrar WHOIS Server: whois.godaddy.com
$ whois -h whois.godaddy.com aslantaxservices.com | grep ^Registrant
Registrant Name: Ernesto Sanchez
Registrant Organization: Aslan Tax Services Inc.
$ _

…die nicht von einem Administrator meines Mailpostfaches (also von mir selbst) betrieben wird. Wer darauf klickt, bekommt nach dem üblichen Weiterleitungsapparat die folgende Möglichkeit präsentiert, Kriminellen ein Passwort zu seiner Mailadresse zu geben, während eine in Javascript realisierte Uhr die Mailadresse wegtickt und auf diesem Weg versucht, zusätzlichen psychischen Stress zu erzeugen, damit es auch nicht zum Nachdenken vor einer solchen Dummheit kommt:

Screenshot der Phishing-Seite

Übrigens: Ein Passwort ist eine durchaus gute und schon lange vor dem Internetzeitalter vielfach bewährte Sicherheitsmaßnahme, die aber nur funktionieren kann, wenn man das Passwort ausschließlich dort benutzt, wo es einen identifiziert und niemals gegenüber einem Dritten preisgibt. Deshalb sollte man Passwörter niemals auf irgendwelchen Websites eingeben, sondern nur dort, wo das jeweilige Passwort gilt; und auf gar keinen Fall sollte man jemals ein Passwort auf Seiten angeben, die im Browser dargestellt werden, nachdem man einen Link in einer Mail angeklickt hat. Wenn man das mit einem gut gewählten Passwort kombiniert, hat man viel dafür getan, dass die eigenen Zugangsdaten nicht von Betrügerbanden missbraucht werden. Diese können sich übrigens oft diverse weitere Konten aneignen, nachdem sie die Mailadresse gepwnt haben. Beinahe überall kann man sich eine Mail zusenden lassen, nachdem man sein Passwort vergessen hat, um sich ein neues Passwort zu geben. Und einer Betrügerbande liegt viel daran, bei ihren betrügerischen Geschäften unter der Identität eines anderen Menschen zu agieren, der dann ins Visier der Ermittler gerät, während die Betrüger selbst anonym bleiben.

Der sicherste Schutz gegen Phishing ist es immer noch, dass man sich angewöhnt, niemals in eine E-Mail zu klicken. Webbrowser haben ausgesprochen praktische Lesezeichenfunktionen, und so kann man die entsprechenden Websites auch sehr bequem direkt aufrufen, ohne dass irgendwelche Phisher eine Gelegenheit erhalten, einen irrezuführen und zu überrumpeln.

This service is free of charge.

Schon klar! :mrgreen:

tamagothi.de provider! © 2017 All rights reserved

Mit Gruß vom Provider, der völlig namenlos als „All rights reserved“ firmiert. Aber dafür mit Ausrufezeichen. Sehr unterzeugend.

Konto-Status

Dienstag, 19. Januar 2016

Nein, diese E-Mail kommt nicht von PayPal. Sie hat niemals einen Server von PayPal gesehen. Es handelt sich um Phishing. Wer Daten eingibt und absendet, übergibt sie an Kriminelle.

Von: service (at) paypol (punkt) co

Fast richtig!

Hey Spammer, wenn du schon einen Absender fälschst, kannst du es auch gleich richtig machen. Ach, da bist du zu doof für?! Oder du weißt gar nicht, dass das geht?! Gut so!

Lieber PayPal Kunde,

Genau mein Name! :mrgreen:

Aufgrund der jüngsten betrügerischen Aktivitäten haben wir ein neues Online-Sicherheitssystem für den maximalen Schutz der persönliche Daten unserer Kunden gestartet.

Wie, PayPal hat betrogen?! :mrgreen:

Nach dieser Tatsache, wird Ihnen angeboten, ihr PayPal-Konto zu aktualisieren.

Aha, die programmieren sich da einen zurecht, aber sie sind nicht dazu imstande, einfach mal ein paar Daten zu konvertieren (zumal sie das mit an Sicherheit grenzender Wahrscheinlichkeit gar nicht müssten), und deshalb muss man alles noch einmal eingeben. Sehr glaubwürdig!

Um Ihr PayPal-Konto zu aktualisieren, liegt Ihnen in Ihrer E-Mail Adresse ein Formular zur Verfügung.

Tja, im Rest der deutschsprachigen Welt spricht man von einem Mailanhang. :D

Bitte laden Sie das Formular aus, rufen Sie über Ihren Internet-Browser und folgen Sie den Anweisungen auf dem Bildschirm.

So so, „das Formular ausladen“. Das ist mal wieder ein Qualitäts-Spamdeutsch heute!

Apropos Deutsch:

Detail aus dem Mailanhang mit einer nachgemachten PayPal-Loginmaske und einem Button 'New anmelden'.

„New anmelden“ ist nicht die gelungendste aller Eindeutschungen. :mrgreen:

Hinweis: Das Formular muss in einem modernen Browser geöffnet werden, dass JavaScript aktiviert hat. (z.B. Internet Explorer, Mozilla Firefox)

Klar, ganz wichtig! Denn der Spammer schreibt da nicht so gern die Domain seines Phishing-Servers, an den die Daten alle gehen, direkt und im Klartext rein. Sonst kennt den bald jeder Spamfilter. Und das wäre schlecht für das „Geschäft“ des Spammers.

Nach Abschluss dieser Phase wird die Aktualisierung Ihres PayPal-Kontos normal funktionieren.

Vorher übrigens auch. :D

Wir entschuldigen uns für die Unannehmlichkeiten und danken Ihnen für Ihre Zeit.
Für weitere Informationen kontaktieren Sie bitte den Kundenservice.

Oh, wie höflich! Und…

Mit freundlichen Grüßen,

PayPal-Team.

…freundlich sind die auch noch! Aber PayPal ist das nicht.

Warum da nicht ein Link auf eine Phishing-Seite gesetzt wurde, sondern ein Anhang gemacht wurde, obwohl das irgendwie verdächtig aussieht? Ganz einfach: Selbst bei Menschen mit restriktiv konfiguriertem Browser gibt es oft Ausnahmen für lokale Dateien.

PayPal würde das übrigens niemals so machen. Warum nicht? Aus Sicherheitsgründen. Was das mit Sicherheit zu tun hat? Ich will es mal so sagen: Hier könnt ihr überprüfen lassen, ob euer PayPal-Passwort sicher genug ist.

Wer drauf reingefallen ist, hat das Wichtigste schon gelesen – für alle anderen: Ein Passwort ist eine Sicherheitsmaßnahme, die nur dann funktioniert, wenn das Passwort ausschließlich dort verwendet wird, wo es Zugang gewähren soll und niemals irgendwo anders. Im Falle des PayPal-Passwortes ist das die Login-Seite auf der Website von PayPal. Und sonst nirgends. Niemals! Wenn das Passwort nur ein einziges Mal an einer anderen Stelle eingegeben wurde, ist es als kompromittiert zu betrachten und sollte sofort geändert werden.

Eigentlich eine Banalität und Selbstverständlichkeit.

Aber eben auch eine der wichtigsten Maßnahmen für die Sicherheit bei passwortgeschützten Diensten.

Mr James

Montag, 28. Juli 2014

Das war der ausgedachte Name des Kommentarspammers, der den folgenden Kommentar auf Unser täglich Spam hinterlassen hat – die Zeilenumbrüche sind aus dem Original:

Wir bieten Darlehen rechtliche Organisation, die
gegründet wurde, um Menschen, die Hilfe, finanzielle
Hilfe brauchen. [sic!] Also, wenn Sie in finanziellen
Schwierigkeiten oder Sie sich in einem finanziellen
Schlamassel [sic!] und Sie Geld brauchen, um Ihr eigenes
Geschäft zu starten, oder Sie brauchen einen Kredit,
um Schulden abzuzahlen [sic!] oder die Zahlung von
Rechnungen, starten Sie ein gutes Geschäft oder
hatte Schwierigkeiten, ein Darlehen von lokalen
Banken, Kontaktieren Sie uns noch heute per E-Mail:
jameswoodloan (at) gmail (punkt) com Also diese Gelegenheit
nicht entgehen. Für die schweren Gedanken und
gottesfürchtige Menschen. [sic!] Kreditantrag [sic!]
Name: _______
Adresse: _______
Staat: _______
Beruf: _______
loan________
Anwendungsdauer loan________
Einkommen: _______
Telefon: _______
E-Mail: _______
Password________ [sic!]
Bitte kontaktieren Sie uns über unsere E-Mail: E-Mail:
jameswoodloan (at) gmail (punkt) com

Toll, ein Formular zum Ausfüllen in einem Spamkommentar! Das kann man ausdrucken, den Rest der dargestellten Website einfach mit einer Schere wegschneiden, ausfüllen, einscannen und an eine E-Mail anhängen! Ganz großes Kino im Hohlraum des Spammers!

Besonders „lobenswert“ an diesem Ausfluss aus einem weniger zu schweren Gedanken geeigneten Gehirn finde ich ja, dass man dem Spammer zu seinem Datenstriptease gleich noch ein Passwort mitteilen soll. Welches? Egal, denn die „Zielgruppe“ dieser Kommentarspam – Leute, die allen Erstes glauben, dass in Kommentarbereichen von Blogs Reklame für Darlehen gemacht wird und dass Darlehensgeber ihre geschäftliche Korrespondenz über eine anonym einzurichtende und kostenlose Mailadresse bei Google Mail erledigen – ja, diese „Zielgruppe“ verwendet eh nur ein Passwort. Und zwar überall das gleiche, vom Forum über die Mail über Amazon bis zu PayPal…

Ach ja, apropos Passwort: Ist das Passwort auch sicher genug?! ;)

Microsoft Windows Update

Dienstag, 25. September 2012

Die Mails haben den (gefälschten) Absender privacy (at) microsoft (punkt) com, aber sie stammen natürlich nicht von Microsoft. Das fällt übrigens schon beim flüchtigen Lesen auf, ohne dass man eigens einen Blick in die Mailheader werfen müsste, denn die holprig-unbeholfene Ausdrucksweise und die Kleinschreibung des Microsoft-Produktes „windows“ klingen nicht überzeugend nach dem behaupteten Absender. Einmal ganz davon abgesehen, dass Microsoft – wenn man dort überhaupt derartige Mail schriebe – für deutsche Empfänger gewiss einen ins Deutsche übersetzten Text verwendet hätte.

Und vermutlich hätte Microsoft keine Menschen wie mich angeschrieben, die gar kein Betriebssystem von Microsoft verwenden…

Dear Windows User,
It has come to our attention that your Microsoft windows Installation records are out of date. Every Windows installation has to be tied to an email account for daily update. [sic! Wie konnte man nur die ganze Zeit arbeiten, ohne seine Windows-Installation an ein E-Mail-Konto zu binden?]

This requires you to verify the Email Account. Failure to verify your records will result in account suspension. Click on the Verify button below and enter your login information on the following page to confirm your records.

VERIFY

Thank you,

Microsoft Windows Team.

Natürlich führt der Link unter „VERIFY“ nicht zu Microsoft, sondern zu einer schnell hingepfuschten Website mit einem Windows-Logo und der Behauptung:

Your computer is out of date [sic!], and risk is very high. To update your windows installation records, you are required to choose your email address below.

Anders als der etwas kränkelnd formulierte Text vermuten lässt, befindet sich darunter keine Auswahlliste mit sämtlichen Mailadressen im Internet. Darunter befinden sich vielmehr die Logos verschiedener populärer Freemailer sowie ein weiteres Bild „Other emails“. Wenn man auf eines dieses Logos klickt, erhält man die Gelegenheit, seine Mailadresse und das Passwort seines Mailaccounts einzugeben und mit dem Button „Sign in“ direkt an die Kriminellen zu übertragen. Diese werden sich gewiss sehr darüber freuen, dass sie viele neue Mailaccounts für betrügerische Geschäfte und für den Spamversand zur Verfügung haben. Deshalb machen sie diese Phishing-Nummer ja auch. Wenn es sich um einen Account bei GMail, AOL, Yahoo oder Windows Live handelt, bekommen sie auch gleich noch die Adressbücher der Kontakte und ganze Userprofile zur beliebigen Manipulation geliefert. Und wehe, das gleiche Passwort wird auch auf anderen Websites (Facebook, Twitter, LinkedIn, etc.) verwendet.

Wer darauf hereingefallen ist, sollte sofort sein Passwort ändern und alle seine Kontakte aus dem Adressbuch darüber unterrichten, dass sein Mailaccount gehackt wurde (man muss ja nicht gleich zugeben, dass man in akuter Panik auf eine plumpe Phishing-Masche hereingefallen ist) und dass deshalb eventuelle Mails der letzten Stunden mit äußerster Vorsicht zu behandeln sind.

Ein Internet-Betrug ist nämlich viel überzeugender, wenn das Opfer glaubt, den Absender einer Mail persönlich zu kennen. Da wird viel schneller in eine Mail geklickt, ein Anhang geöffnet oder ein „Gefallen“ getan – so etwas wie: „Ich bin in der Klemme. Kannst du mir schnell 300 Euro über Western Union zukommen lassen, ich geb dir das Geld nächste Woche zurück“.

Grundsätzliches

Jeder, der ein Mailpasswort haben will, ist ausgesprochen fragwürdig. Ein Passwort ist eine Sicherheitsmaßnahme, die nur dadurch Wirkung entfaltet, dass das Passwort auch geheim bleibt. Es gibt keinerlei Internetdienst, der auf die Kenntnis von Mailpasswörtern angewiesen ist – mit Ausnahme eines Mailservers.

Das gleiche gilt übrigens auch für andere Passwörter. Solche Versuche, an ein Passwort zu gelangen, sind in beinahe allen Fällen das Treiben von Kriminellen.

Deshalb: Niemals darauf hereinfallen!

Wenn ein Absender, bei dem eine derartige Frage ausnahmsweise einmal legitim erscheint (zum Beispiel ein Provider oder sonstiger Dienstleister, der im Falle eines akuten technischen Problemes Support leistet) eine derartige Frage in einer nicht digital signierten Mail stellt, ist ebenfalls äußerste Vorsicht angesagt. Die Absenderadresse einer Mail kann ohne großen Aufwand beliebig gefälscht werden. Der Verzicht auf eine digitale Signatur in einer derartig heiklen Angelegenheit deutet übrigens – wenn sich eine solche Anfrage bei telefonischer Rückfrage als authentisch erweisen sollte – auf schwere professionelle Mängel hin, die genug Grund sind, so schnell wie möglich einen anderen Dienstleister zu suchen.

Der beste Schutz vor Internet-Kriminalität ist ein funktionierendes und stets aufmerksames Gehirn, dass bei der Benutzung des Computers mitläuft – und eine Haltung, sich nicht von jeder alarmierend formulierten Mail in eine Panik versetzen zu lassen, die die Vernunft dämpft und damit den Verbrechern entgegenkommt.