"Bitte bestätige Deine E-Mail-Adresse"

Eben bekam ich von einem sehr großen seriösen deutschen Unternehmen mit sicherlich Hunderttausenden Kunden ein E-Mail mit der Aufforderung, die in meinem tatsächlich bestehenden Kundenkonto bei diesem Unternehmen gespeicherte E-Mail-Adresse zu bestätigen:

Mit der einmaligen Bestätigung deiner E-Mail-Adresse stellen wir sicher, dass diese zu deinem Kundenkonto gehört und nicht von unbefugten Dritten verwendet wird. In Zukunft wird eine Bestellung bei uns nur noch mit einer bestätigten E-Mail-Adresse möglich sein.

Das E-Mail enthält einen Bestätigungsbutton, der seinerseits einen Link auf die Website des Unternehmens enthält. Der URI des Links enthält einen mehrere Hundert Zeichen langen Token sowie eine etliche Zeichen lange CampID, eine AffiliateAD, pxID und SendingID. Das macht also alles erstmal den Eindruck, als sei alles echt und nicht fake.

Nun frage ich mich: Warum singen wir seit Jahr und Tag das Credo „Klicke niemals einen Link in einem E-Mail an, erst recht nicht einen Button, wo Du nicht sieht, wohin der Button verlinkt ist!“, wenn seriöse Unternehmen mit solchen üblicherweise von Betrügern verwendeten Aufforderungen sich die bei ihnen bestehenden Kundenkonten verifizieren lassen?

Ich lach mir einen.

Per email die Adresse bestätigen ja,
mit der selben Adresse bestellen nein ???

Entweder die sind bekloppt, oder es ist was faul.

Hast du die Kopfzeilen angesehen?

1 „Gefällt mir“

Das sehe ich nicht so und würde unbedingt auf einem anderen Kanal direkt Kontakt mit dem Provider aufnehmen und die Echtheit, sowie den Hintergrund verifizieren lassen!

2 „Gefällt mir“

Dieses Credo gibt es nicht. Computer sollten auch dann sicher sein, wenn irgendwelche Links geklickt werden.

Das grenzt aber schon scharf an … :roll_eyes:

1 „Gefällt mir“

Intuitiv dachte ich mir das zunächst auch :wink:
Grundsätzlich ist das aber völlig korrekt. Warum soll auf einem richtig konfigurierten System irgendwas bedenkliches passieren nur weil ich in einer E-Mail auf einen Link klicke?
Das ist so absurd, dass sich da schon keiner mehr Gedanken über die Ursache macht.

1 „Gefällt mir“

Was hat denn das doch ach so gut konfigurierte System mit einem Link in einer Mail zu tun?
Nur zum Beispiel:
Schon mal was von Phishing gehört?
Was nützt dir dabei dein System?

Aber mir egal, klickt nur Fröhlich weiter… :joy:

In Spam und Phishing Mails sind die Links personalisiert und durch den Klick bestätigst Du dem Absender, daß die Adresse valide ist und sogar gelesen wird → mehr Spam.

Wenn ich eine Email erhalte, die zwar plausibel ist, ich mir aber nicht 100% sicher bin, daß es kein Spam/Phishing ist, folge ich keinen Links, sondern logge mich selbst in das entsprechende Konto ein und überprüfe den Sachverhalt.

3 „Gefällt mir“

Ich antworte manchmal eiskalt auf Spamnachrichten, dadurch bekomme ich aber nicht mehr Spam Nachrichten,
Ich habe auch ein Experiment gestartet und alle Spamfilter bei web.de abgeschaltet, diese Adresse ist uralt und ich habe die für allen möglichen qutasch benutzt aber die Spamnachrichten halten sich in Grenzen, sind so 3 in der Woche, mein neuer Provider holt dort alle ab was da ankommt.
Selbst auf Phishing mails auf die gefälschte Seite gegangen und nur scheiße eingetragen… man kann dummer H*rensohn als Kreditkartennummer angeben, da findet keine Prüfung statt… aber der Absender hatte was zu lachen :smiley:

Hier liegt wahrscheinlich ein Mißverständnis vor und ich habe mit meiner verkürzten Reaktion sicher auch dazu beigetragen. Die Aussagen haben sich hier explizit auf den Vorposter von AlphaElwedritsch und die Reaktion von AlphaElwedritsch darauf bezogen.
Die Sachverhalte sind mir durchaus bekannt und der vom TE genannte Link strotzt ja nur so vor Tracking-Parametern. Persönlich würde ich den nicht anklicken.
Auf einem richtig konfigurierten System würde sich der Schaden aber auf das sicherlich folgende erhöhte Spamaufkommen beschränken.
Das man dennoch der Meinung sein kann, dass der Klick auf einen Link grundsätzlich ein Sicherheitsrisiko darstellt oder bedenklich wäre, hat seinen Ursprung in diverser Crapware, die als Betriebssystem getarnt auf den Markt kommt und witzigerweise seit Jahren dankbar angenommen wird.
Hatte nur vermutet, das der Vorposter sowas meinte. Dem würde ich in diesem Sinne zustimmen :wink:

Wie kannst du die Linkstruktur so eindeutig differenzieren?
Ich würde bestenfalls eine im Link enthaltene UUID erkennen können.

Tut mir leid, aber schaut sich keiner von euch Kopfzeilen an? Ansonsten ist eure ganze Diskussion für die Tonne.

2 „Gefällt mir“

Doch, im Zweifel immer (insbesondere an der Arbeit). Bei meinem privaten Postfach (MBO) ist das aber glücklicherweise, wenn überhaupt, nur ganz selten in Ausnahmefällen notwendig.

Was soll „seriös“ sein? Groß, etabliert etc.? Auch bei denen kann eingebrochen werden oder über deren Mailserver was verschickt werden und auch deren Website manipuliert werden, die zu diesem seriösen Unternehmen führt. Und selbst wenn das nur 2 Stunden läuft. Dann sind da zwei Stunden Kund:innen drauf reingefallen. Vor allem, wenn so etwas ab Freitag nachmittag stattfindet, kann es sogar ja sein, dass erst Montag gehandelt wird …

Habe ich letztens auch in einem Betrieb gehabt, dass von einer bekannten Firma eine E-Mail kam, die inhaltlich aber nicht passte. Hinweis an eine Kollegin, dort bitte sofort anzurufen ergab, dass die Probleme haben und ja, es gab wohl einen Einbruch kam dann kleinlaut am Ende.

„Klicke niemals einen Link in einem E-Mail an, erst recht nicht einen Button, wo Du nicht sieht, wohin der Button verlinkt ist!“, wenn seriöse Unternehmen mit solchen üblicherweise von Betrügern verwendeten Aufforderungen sich die bei ihnen bestehenden Kundenkonten verifizieren lassen?

Die Lösung in E-Mail wäre ja sowieso, dass die als reiner Text angezeigt wird und nicht mit HTML-Geraffel.

Frag doch mal direkt nach bei denen und schildere denen die Außenwirkung, wie du sie empfindest.

Nachtrag: in meinen Thunderbird Installationen ist das Ausführen des Aufrufes von URLs auch ausgeschaltet

1 „Gefällt mir“

So kann man es vorbildlich auch machen.
Keine Links in Email. Sondern Handlung in der dazugehörigen App.
Lediglich der Hinweis dazu per Mail.

Und das Versprechen in der Mail stimmt noch dazu.
Seit wir dort sind kam kein einziger Newsletter oder Werbung.

Einfach nur ein Handyvertrag ohne Schnickschnack.

Über die Vorgehensweise von fraenk habe ich mich heute Vormittag ebenfalls gefreut.

Nach der Bestätigung gibts dann wieder ne mail mit Bestätigungslink, muss man aber nicht klicken, alternativ gibts auch einen 6-stelligen code. Vorbildlich

1 „Gefällt mir“

Das habe ich selbstverständlich getan. Ebenso wie ich den Quellcode des E-Mails verifiziert habe und den URI in seine Einzelteile zerlegt. Wie gesagt, optisch und inhaltlich war das E-Mail „sauber“.

1 „Gefällt mir“

Dann solltest Du das vielleicht jenes sehr große seriöse deutsche Unternehmen mit sicherlich Hunderttausenden Kunden fragen …

Gehe ich also recht in der Annahme, Du wolltest uns das nur als Anekdote erzählen? :smile:

Vor einiger Zeit (ca. einem Jahr) wurde ich gerufen, da die Telekom offenbar solche Mails wie im Ausgangspost beschrieben, versandt hatte. Ich nahm dann Kontakt zur Telekom (auf einem anderen Gerät/Kanal/anderes Absender-Netzwerk; zum offiziellen Support) auf und fragte nach. Der Service bestätigte die Echtheit der monierten/auffälligen Mail - man wolle es den Kunden so leicht wie möglich machen…

(Ich kann das leider auch nur anekdotisch erzählen, da ich es nicht dokumentiert habe.)