{"id":307974,"date":"2025-01-23T08:36:06","date_gmt":"2025-01-23T07:36:06","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=307974"},"modified":"2025-01-23T20:12:31","modified_gmt":"2025-01-23T19:12:31","slug":"aldi-talk-phishing-nach-black-basta-ransomware-angriff-auf-medion","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/01\/23\/aldi-talk-phishing-nach-black-basta-ransomware-angriff-auf-medion\/","title":{"rendered":"M\u00f6gliche Aldi-Talk-Phishing Mail oder legitim?"},"content":{"rendered":"

\"SicherheitNutzer von Aldi-Talk-Mobilfunktarifen (und Medion-Kunden) sollten aufpassen. Die k\u00f6nnten nun mit pers\u00f6nlich adressierten Phishing-Nachrichten, die Name und Kundennummer enthalten, konfrontiert zu werden. Oder der Anbieter hat seine IT-Prozesse nach der Umstellung in 2024 immer noch nicht im Griff. Anmerkung:<\/strong> Die Vermutung hinsichtlich eines Cyberangriffs auf Medion, in der Ursprungsfassung enthalten, ist wohl falsch. es scheint sich um eine legitime E-Mail zu handeln, aber die Umst\u00e4nde sind grottig.<\/p>\n

<\/p>\n

Ein Leserhinweis auf m\u00f6glichen Aldi Talk-SPAM<\/h2>\n

\"\"Ralf H. hat mich vor einigen Stunden per Mail kontaktiert und sich als \"regelm\u00e4\u00dfiger Leser\" des Blogs geoutet. Der Leser und seine Frau sind seit langem Kunden bei Aldi Talk. Zum 21. Januar 2025 kam dann eine f\u00fcr den Leser gleich verd\u00e4chtige Mail an die Adresse seiner Frau.<\/p>\n

Der Leser schrieb, dass der Inhalt der E-Mail zun\u00e4chst schl\u00fcssig klang, denn der Name\u00a0 des Empf\u00e4ngers und sogar die Kundennummer, die in der Betreffzeile genannt wurden, waren korrekt. Da hat der Absender der Mail also Zugriff auf die Aldi-Talk Kundendaten, kann man schon mal festhalten.<\/p>\n

\"Aldi-Talk-SPAM\"<\/a>
\nAldi-Talk SPAM; Zum Vergr\u00f6\u00dfern klicken<\/a><\/p>\n

Der Text der potentiellen \"SPAM-Mail\" ist eigentlich auch unverf\u00e4nglich, es hei\u00dft, dass die Rechnung erstellt wurde und \u00fcber die Aldi-Talk App oder Online heruntergeladen werden k\u00f6nne. Es wird noch ein Link auf das \"Aldi-Talk-Kundenportal\" in der Mail angegeben.<\/p>\n

Was den Leser dann aber endg\u00fcltig hellh\u00f6rig gemacht hat, war die angegebene URL des Kundenkontos, bei dem man sich anmelden sollte, um die Rechnung anschauen zu k\u00f6nnen. Diese URL wurde per http:\/\/<\/em>… und nicht wie bei einer Anmeldung \u00fcblich per https:\/\/… <\/em>verlinkt.<\/p>\n

Was dem Leser auch noch aufstie\u00df, war die Information im Betreff der E-Mail, dass eine Rechnung f\u00fcr eine Bestellung erzeugt worden w\u00e4re.\u00a0Der Leser merkt in seiner E-Mail an, dass seine Frau nichts bei Aldi Talk bestellt habe und vermutete, dass die Zugangsdaten \u00fcber eine Fake-Webseite beim Login abgegriffen werden sollen. Er stellt sich die Frage, wie die Absender an die Kundennummer kommen und fragte, ob mir etwas bekannt sei?<\/p>\n

Erg\u00e4nzung:<\/strong> Inzwischen habe ich die Original-Mail vorliegen. Dort hie\u00df es im Betreff \"Rechnung zu Deiner Bestellung bei ALDI TALK\". Da die Empf\u00e4ngerin aber wissentlich nichts bestellt hatte, war das schon irritierend.<\/p>\n

Versuch, etwas genauer zu schauen<\/h2>\n

Ich konnte in der Erstfassung des Artikels dieser Stelle nicht alles aufl\u00f6sen, da mir die Original-Mail des Lesers nicht vorlag (ich hatte nur den obigen Screenshot, daher wurden im Nachgang auch Korrekturen im Text vorgenommen, um neue Erkenntnisse einzupflegen). Ich habe dann manuell die in der Mail angegebene URL, die auf alditalk-kundenportal [.] de<\/em> verweist, im Browser eingetippt, und gelangte zur nachfolgenden Login-Seite des Aldi-Talk-Kundenportals.<\/p>\n

\"Aldi-Talk<\/p>\n

Es wird zwar eine Aldi-Talk-Anmeldeseite angezeigt, aber deren URL lautet auf alditalk-kundenbetreuung[.]de<\/em>. Es passiert also eine Umleitung, was potentiell verd\u00e4chtig ist. Das Portal wird aber per https abgerufen und das Zertifikat wird als g\u00fcltig angezeigt, wenn mich dieses auch etwas ratlos ob der gemachten Angaben zur\u00fcck l\u00e4sst.<\/p>\n

\"Zertifikat<\/p>\n

Kein Hinweis auf die Organisation und das Zertifikat l\u00e4uft im Februar 2025 ab. Bei der Probe, was Google zum Aldi-Talk-Login-Portal sagt, wurden mir nachfolgende Links ausgeworfen.<\/p>\n

\"Google-Treffer<\/p>\n

Gehe ich auf den Link zum Login der Aldi-Talk-Kundenbetreuung, lande ich in Google Chromium-Browsern auf der obigen Login-Seite. Im Firefox wird mir dagegen ein Umleitungsfehler gemeldet (siehe folgendes Bild).<\/p>\n

\"Redirect-Fehler<\/p>\n

Ist alles sehr merkw\u00fcrdig – da stimmt einiges hinten und vorne nicht. Ich habe mir dann noch die URL zum Login im Browser angeschaut. Ist ein ellenlanger Ausdruck mit diversen Umleitungen in der URL, der f\u00fcr mich ad-hoc recht intransparent ist. Ich habe dann die URL bei Virustotal pr\u00fcfen<\/a> lassen – aber alle\u00a0 Virenscanner melden die URL als \"clean\".<\/p>\n

Erg\u00e4nzung:<\/strong> Inzwischen liegt mir die Original-Mail vor – der Link verweist wirklich auf die oben angegebene URL. Was mir aber aufgefallen ist: Die bei Anwahl des Links ge\u00f6ffnete URL ist ellenlang und enth\u00e4lt einige Redirects sowie X Parameter. Muss m\u00f6glicherweise technisch so sein. Aber so eine URL w\u00e4re f\u00fcr mich eher ein Fall von \"Finger weg\".<\/p>\n

Scheint wohl legitim<\/h2>\n

An dieser Stelle hatte ich in der ersten Fassung des Beitrags spekuliert und f\u00e4lschlich Medion als Betreiber der Technik angenommen. Ist aber unzutreffend, denn in der Mail des Lesers wird E-Plus als Verantwortlicher genannt. Was die Mail betrifft gab es folgende Erkl\u00e4rungen:<\/p>\n