Glorf IT

März 2007
M	D	M	D	F	S	S
	1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30	31

:Von Thomas:

Vor drei Tagen bekam ich eine Mail, die in mir starke Zweifel aufkommen ließ:

Ich solle bei zukünftigen Bestellungen eine andere Kontonummer verwenden.
Als Absender war tchibo.de angegeben,
der tatsächliche Absender war laut Mail-Header aber "neon.neonmail.de"

Hier die Mail:

Lieber Herr Glörfeld,

heute möchten wir uns mit einer kleinen Bitte an Sie wenden:

Für die Überweisung Ihrer Rechnungsbeträge für Bestellungen bei Tchibo
direct nutzten Sie in der Vergangenheit unsere Bankverbindung bei der
Commerzbank. Diese Bankverbindung ist nun nicht mehr gültig, da wir
bereits seit November 2006 mit der Dresdner Bank zusammenarbeiten.
Sicherlich haben Sie diese neuen Angaben auf unseren Überweisungs-
trägern übersehen oder eine Vorlage bei Ihrer Bank eingerichtet.

Dürfen wir Sie bitten, Überweisungen zukünftig an die folgende
Bankverbindung vorzunehmen?

Dresdner Bank Hamburg
Kto-Nr.: #### (Anm. v. Thomas: von mir entfernt)
BLZ: #### (Anm. v. Thomas: von mir entfernt)

Vielen Dank für Ihre Unterstützung!

Mit freundlichen Grüßen

Ihre Tchibo direct Kundenbetreuung

Naja, abgesehen vom falschen Absender hätte das ja sogar stimmen können. Tatsächlich hatte ich ja vor einigen Wochen etwas bei Tchibo bestellt. Aus meinem Blog konnte das aber auch jeder andere entnehmen…
Und wenn schon der Absender falsch ist, dann ist Vorsicht geboten. Derartige Mails lösche ich normalerweise sofort. Vorsichtshalber und aus Neugier fragte ich nach: Ist die Mail echt oder handelte es sich um die üblichen Betrügereien?

Gestern kam die Antwort:

Sehr geehrter Herr Glörfeld,

vielen Dank für Ihre E-Mail.

Wir können selbstverständlich nachvollziehen, dass Sie eine Bestätigung unserer Nachricht bezüglich der geänderten Bankverbindung wünschen.

Gerne möchten wir Sie daher auch auf diesem Wege bitten, Ihre Tchibo direct Rechnungen zukünftig auf folgendes Konto zu überweisen:

Dresdner Bank Hamburg
Kto-Nr.: #### (Anm. v. Thomas: von mir entfernt)
BLZ: #### (Anm. v. Thomas: von mir entfernt)

Vielen Dank für Ihre Unterstützung!

Mit freundlichen Grüßen

Ihr Tchibo.de-Team

Die Antwort kam vergleichsweise prompt und ist nett geschrieben. Und diese Mail wurde auch tatsächlich von einem Tchibo.de-Server verschickt. Meine vage Hoffnung stimmte also tatsächlich… Unglaublich!

Stephan schreibt:

23. März 2007 um 09:37

Hast du direkt an Tchibo geschrieben oder an die Mail über die Mail kam?

Spencer Tracy schreibt:

23. März 2007 um 14:29

Wird auf einer von Tchibo
ausgestellten Rechnung nicht immer
explizit genannt, welche Bankverbindung
zu verwenden ist?
Warum soll ich mich als Kunde
bei einer Bestellung noch an
eine Bankverbindung erinnern, die mir
von einiger Zeit einmal mitgeteilt wurde?

Thomas schreibt:

23. März 2007 um 20:08

Hi,

ich habe an "service@tchibo.de" geschrieben. Die Antwort kam dann vom Server "demxp114.tchibo.tchiboroot.net" über den "mail4.tchibo.de".

Hier der Ausschnitt aus dem Header:

Received: (qmail invoked by alias); 22 Mar 2007 09:10:58 -0000
Received: from mail4.tchibo.de (EHLO Mail4.tchibo.de) [194.115.171.72]
by mx0.gmx.net (mx069) with SMTP; 22 Mar 2007 10:10:58 +0100
Received: from demxp105.tchibo.tchiboroot.net (unverified) by Mail4.tchibo.de
(Content Technologies SMTPRS 4.3.20) with ESMTP id for ;
Thu, 22 Mar 2007 10:13:38 +0100
Received: from demxp114.tchibo.tchiboroot.net ([10.100.101.120]) by demxp105.tchibo.tchiboroot.net with Microsoft SMTPSVC(6.0.3790.0);
Thu, 22 Mar 2007 10:10:57 +0100
Received: from deapp081 ([10.100.103.53]) by demxp114.tchibo.tchiboroot.net with Microsoft SMTPSVC(6.0.3790.211);
Thu, 22 Mar 2007 10:10:56 +0100

Wenn ich es richtig verstehe, dann können die unteren Angaben ohne weiteres gefälscht sein. Aber mindestens der Server von dem der GMX-Server (mx0.gmx.net) die Mail bekam, muss stimmen: "mail4.tchibo.de". Die anderen Stationen könnte man auch bereits beim ersten versenden in den Header reinschreiben. Das wird von Spammern gerne gemacht, um die Herkunft zu verschleiern.

23. März 2007 um 20:17

Der Einwand von Spencer ist stichhaltig. Deswegen habe ich mir die Mühe gemacht mal die Kontonummern zu vergleichen: Genau an die in der Mail angegebene Nummer bei "Dresdner Bank" habe ich die letzte Überweisung getätigt. Ein paar Wochen vorher überwies ich etwas auf ein Konto bei der Commerzbank.

Damit ist zwar erwiesen, dass die Mail authentisch ist, dennoch kann ich mich irgendwie nicht darüber freuen. Heutzutage solche Mails zu verschicken ist doch irgendwie seltsam…

24. März 2007 um 14:42

Holger Bleich, Herbert Braun, Urs Mansmann (hob)
Nachricht mit Köpfchen
Inhalt und Funktion des E-Mail-Headers
c't 21/06, Seite 218
http://www.heise.de/ct/06/21/links/218.shtml
http://www.heise.de/ct/06/21/urls/

Peter Pan schreibt:

15. August 2007 um 19:39

Kurze Lösung

Tchibo wird seine Website einer "Fullsize E-Commerce Agentur" betreiben lassen. In diesem Fall hmmh aus Bremen. Diese bieten meist auch einen Newsletterservice an. hmmh nutzt dazu neonmail, kurz gesagt ein Programm zur Verwaltung und zum versenden von mails.

Tchibo biete mit Sicherheit auch einen eigenen support im hause.
daher die unterschiedlichen Email accounts.

Weils einfacher ist werden alle Kunden über die neue Bankverbindung mittels Newsletter informiert.

Bedenkliches aus dem IT-Alltag

Blogroll

PASS D-A-CH

SQL Server

Echt oder unecht?