Nutzer von Aldi-Talk-Mobilfunktarifen (und Medion-Kunden) sollten aufpassen. Die könnten nun mit persönlich adressierten Phishing-Nachrichten, die Name und Kundennummer enthalten, konfrontiert zu werden. Oder der Anbieter hat seine IT-Prozesse nach der Umstellung in 2024 immer noch nicht im Griff. Anmerkung: Die Vermutung hinsichtlich eines Cyberangriffs auf Medion, in der Ursprungsfassung enthalten, ist wohl falsch. es scheint sich um eine legitime E-Mail zu handeln, aber die Umstände sind grottig.
Anzeige
Ein Leserhinweis auf möglichen Aldi Talk-SPAM
Ralf H. hat mich vor einigen Stunden per Mail kontaktiert und sich als "regelmäßiger Leser" des Blogs geoutet – soll es ja geben. Der Leser und seine Frau sind sind seit langem Kunden bei Aldi Talk. Zum 21. Januar 2025 kam dann eine für den Leser gleich verdächtige Mail an die Adresse seiner Frau.
Der Leser schrieb, dass der Inhalt der E-Mail zunächst schlüssig klang, denn der Name des Empfängers und sogar die Kundennummer, die in der Betreffzeile genannt wurden, waren korrekt. Da hat der Absender der Mail also Zugriff auf die Aldi-Talk Kundendaten, kann man schon mal festhalten.
Aldi-Talk SPAM; Zum Vergrößern klicken
Der Text der potentiellen "SPAM-Mail" ist eigentlich auch unverfänglich, es heißt, dass die Rechnung erstellt wurde und über die Aldi-Talk App oder Online heruntergeladen werden könne. Es wird noch ein Link auf das "Aldi-Talk-Kundenportal" in der Mail angegeben.
Anzeige
Was den Leser dann aber endgültig hellhörig gemacht hat, war die angegebene URL des Kundenkontos, bei dem man sich anmelden sollte, um die Rechnung anschauen zu können. Diese URL wurde per http://… und nicht wie bei einer Anmeldung üblich per https://… verlinkt.
Der Leser merkt in seiner E-Mail an, dass seine Frau nichts bei Aldi Talk bestellt habe und vermutet, dass die Zugangsdaten über eine Fake-Webseite beim Login abgegriffen werden sollen. Er stellt sich die Frage, wie die Absender an die Kundennummer kommen und fragte, ob mir etwas bekannt sei?
Ergänzung: Inzwischen habe ich die Original-Mail vorliegen. Dort hieß es im Betreff "Rechnung zu Deiner Bestellung bei ALDI TALK". Da die Empfängerin aber nichts bestellt hatte, war das schon irritierend.
Versuch, etwas genauer zu schauen
Ich kann es an dieser Stelle nicht alles auflösen, da mir die Original-Mail des Lesers nicht vorliegt (ich habe nur obigen Screenshot). Tippe ich manuell die in der Mail angegebene URL, die auf alditalk-kundenportal [.] de verweist, im Browser ein, gelange ich zur nachfolgenden Login-Seite des Aldi-Talk-Kundenportals.
Es wird zwar eine Aldi-Talk-Anmeldeseite angezeigt, aber deren URL lautet auf alditalk-kundenbetreuung[.]de. Es passiert also eine Umleitung, was potentiell verdächtig ist. Das Portal wird aber per https abgerufen und das Zertifikat wird als gültig angezeigt, wenn mich dieses auch etwas ratlos ob der gemachten Angaben zurück lässt.
Kein Hinweis auf die Organisation und das Zertifikat läuft im Februar 2025 ab. Bei der Probe, was Google zum Aldi-Talk-Login-Portal sagt, wurden mir nachfolgende Links ausgeworfen.
Gehe ich auf den Link zum Login der Aldi-Talk-Kundenbetreuung, lande ich in Google Chromium-Browsern auf der obigen Login-Seite. Im Firefox wird mir dagegen ein Umleitungsfehler gemeldet (siehe folgendes Bild).
Ist alles sehr merkwürdig – da stimmt einiges hinten und vorne nicht. Ich habe mir dann noch die URL zum Login im Browser angeschaut. Ist ein ellenlanger Ausdruck mit diversen Umleitungen in der URL, der für mich ad-hoc recht intransparent ist. Ich habe dann die URL bei Virustotal prüfen lassen – aber alle Virenscanner melden die URL als "clean".
Ergänzung: Inzwischen liegt mir die Original-Mail vor – der Link verweist wirklich auf die oben angegebene URL. Was mir aber aufgefallen ist: Die bei Anwahl des Links geöffnete URL ist ellenlang und enthält einige Redirects sowie X Parameter. Muss möglicherweise technisch so sein. Aber so eine URL wäre für mich eher ein Fall von "Finger weg".
Scheint wohl legitim
An dieser Stelle hatte ich in der ersten Fassung des Beitrags spekuliert und fälschlich Medion als Betreiber der Technik angenommen. Ist aber unzutreffend, denn in der Mail des Lesers wird E-Plus als Verantwortlicher genannt.
- Es handelt sich um einen raffinierten Phishing-Versuch, bei dem hinter der oben im Screenshot gezeigten Ziel-URL eine gänzlich andere Zielseite verlinkt ist. Das kann ich aber negieren, nachdem mir die Original-Mail vorliegt. Es wird die in obigem Screenshot gezeigte URL http: // www . alditalk-kundenportal . de aufgelöst.
- Es ist schlicht ein technisches Problem, dass die IT von E-Plus vorne und hinten rumpelt. Und beim Erstellen der Kundennachricht sind halt zahlreiche Fehler (http statt https), ggf. falsche URL im Schreiben angegeben.
Der Hinweis des Lesers, dass seine Frau nichts bestellt habe, deutete eher auf einen Phishing-Versuch hin. Im Header der Mail sehe ich aber, dass diese von
o2mail@mailservices-sc.de
verschickt wurde. Das ist aber ein Mail-Versender, der von O2 und Unterfirmen für den Versand von Mails genutzt wird (und E-Plus setzt wohl auch auf den Versender). Ich gehe daher inzwischen davon aus, dass die Mail an den Leser wirklich von Aldi-Talk stammt. Aber das ganze Drumherum ist einfach nur grottig. Inzwischen hat sich ja Leser Ralf in nachfolgenden Kommentaren gemeldet und berichtet, dass Aldi-Talk im November / Dezember 2024 sein Buchungsportal überarbeitet habe und das seit dieser Zeit Chaos herrsche. Erklärt natürlich einiges.
Abschließende Bemerkungen
Die obige Episode zeigt aber, wie kaputt unsere IT-Prozesse weltweit sind. Der wohlfeile Rat, der nach Cybervorfällen von betroffenen Firmen gegeben wird, "in nächster Zeit besonders vorsichtig bei Mails, SMS und Anrufen zu sein, da es Betrugsversuche geben könne" ist "zum hinter den Spiegel stecken". Der normale Nutzer ist doch nicht in der Lage, herauszufinden, ob es ein Phishing-Versuch darstellt oder eine technisch bzw. inhaltlich unzulänglich gestaltete Mail ist. Obiger Fall ist ein gutes Beispiel – es sieht am Ende des Tages nach einer legitimen Mail aus, aber die Umstände lassen auf Phishing schließen. So sollte es keinesfalls laufen.
Anzeige
Eine Abfrage
https://crt.sh/?q=login.alditalk-kundenbetreuung.de
zeigt nur Zertifikate ab August 2024.
NSLOOKUP liefert, eigentlich unauffällig,
login.alditalk-kundenbetreuung.de canonical name = static-ipv4.spectrum.telefonica.de
URLScan.io hat Probleme, die Seite zu scannen.
"alditalk.de" leitet nach Anlicken des "Mein ALDI Talk"-Buttons selbst auf "https://login.alditalk-kundenbetreuung.de" um…
Wird also wohl entweder in Ordnung sein oder das Problem ist deutlich größer als gedacht ;-)
"in nächster Zeit besonders vorsichtig bei Mails, SMS und Anrufen zu sein, da es Betrugsversuche geben könne"
ist in meinen Augen beschönigender Euphemismus. Daten sind ja bereits in irgendeiner Form abgeflossen, Spam ist dabei das geringste. Identitätsdiebstahl, Profilerstellung usw. sind die größeren Probleme.
Ich finde den -auch poltisch/juristisch- laxen Umgang bei Datenhacks, nahezu sanktionsfrei für die Unternehmen, bedenklich.
Aldi-Talk hat im November / Dezember 2024 sein Buchungsportal überarbeitet. Seit dieser Überarbeitung ist bei Aldi-Talk das Chaos ausgebrochen. Die Kundenbetreuung schafft es nicht, die (offenbar massenhaft) eingereichten Reklamationen zeitnah zu bearbeiten. Wenn man im Kundenportal eine Reklamation absenden will, findet man dort folgenden "Hinweis":
"Aktuell kann es aufgrund einer temporären Störung zu Beeinträchtigungen bei der Aktivierung und Verlängerung von Tarifoptionen kommen. Wir arbeiten derzeit mit Hochdruck daran, dass du ALDI TALK schnellstmöglich wieder wie gehabt nutzen kannst. Die entstandenen Unannehmlichkeiten bitten wir zu entschuldigen. Vorsorglich möchten wir dich darauf hinweisen, dass es aufgrund der erhöhten Nachfrage aktuell zu einer verlängerten Bearbeitungszeit deiner Anfrage kommen kann."
Jetzt muss man wissen: Diese "temporäre Störung" besteht seit Wochen.
Bzgl. der thematisierten Mail: Ob das ein Phishing-Versuch ist, lässt sich anhand eines Screenshots kaum entscheiden. Ich könnte mir vorstellen, dass diese Mail der chaotischen Überarbeitung des Buchungsportals geschuldet ist. Würde zumindest ins "aktuelle" Bild der dauerhaft bestehenden "temporären Störung" passen …
Das Aldi-Talk-Kundenportal wird im übrigen von der E-Plus Service GmbH betrieben, die zu Telefónica gehören dürfte. Eine Verbindung zu den Vorfällen beim Online-Shop von Medion erscheint mir nicht naheliegend. Das sind verschiedene Baustellen.
danke für die Insights, da lag ich mit Medion wohl daneben