Aldi-Talk-Phishing-E-Mail möglich oder legitim? Borns IT- und Windows-Blog
9 mins read

Aldi-Talk-Phishing-E-Mail möglich oder legitim? Borns IT- und Windows-Blog


Nutzer von Aldi-Talk-Handytarifen (und Medion-Kunden) sollten vorsichtig sein. Sie können nun gezielt mit gezielten Phishing-E-Mails umgehen, die ihren Namen und ihre Kundennummer enthalten. Oder der Lieferant hat seine IT-Prozesse auch nach der Umstellung 2024 noch nicht im Griff. Notiz: Die in der Originalversion enthaltene Annahme eines Cyberangriffs gegen Medion ist vermutlich falsch. Es sieht aus wie eine legitime E-Mail, aber die Umstände sind schlimm.

Ein Leserhinweis zum möglichen Aldi Talk SPAM

Ralf H. hat mich vor ein paar Stunden per E-Mail kontaktiert und sich als „Stammleser“ des Blogs angemeldet. Der Leser und seine Frau sind schon lange Aldi Talk-Kunden. Am 21. Januar 2025 ging an der Adresse seiner Frau eine für den Leser sofort verdächtige E-Mail ein.

Der Leser schrieb, dass der Inhalt der E-Mail zunächst Sinn machte, da der Name des Empfängers und sogar die in der Betreffzeile genannte Kundennummer korrekt seien. Sie können sehen, dass der Absender der Nachricht Zugriff auf die Kundendaten von Aldi-Talk hat.

Aldi-Talk-SPAM
Aldi Talk SPAM; Zum Vergrößern anklicken

Der Text der potenziellen „SPAM-E-Mail“ ist eigentlich harmlos und besagt, dass die Rechnung erstellt wurde und über die Aldi-Talk-App oder online heruntergeladen werden kann. In der E-Mail befindet sich außerdem ein Link zum „Aldi-Talk-Kundenportal“.

Was dem Leser schließlich auffiel, war die URL des Kundenkontos, mit der man sich anmelden muss, um die Rechnung einzusehen. Diese URL wurde per gesendet http://… und nicht wie üblich per Anmeldung verbunden

Was dem Leser auch auffiel, war der Hinweis im E-Mail-Betreff, dass für eine Bestellung eine Rechnung erstellt wurde. Der Leser gab in seiner E-Mail an, dass seine Frau nichts bei Aldi Talk bestellt habe und vermutete, dass die Zugangsdaten beim Login über eine gefälschte Website eingegeben worden seien. Er fragte sich, wie die Absender an die Kundennummer gekommen seien und fragte, ob ich etwas wüsste?

Zusätzlich: Ich habe jetzt die Original-E-Mail. Der Betreff lautete „Rechnung für Ihre Bestellung bei ALDI TALK“. Da der Empfänger aber ohne sein Wissen nichts bestellt hatte, war das ärgerlich.

Versuchen Sie, etwas genauer hinzusehen

Ich konnte in der ersten Version des Artikels nicht alles korrigieren, da ich nicht über die Original-E-Mail des Lesers verfügte (ich hatte nur den Screenshot oben, daher wurde der Text später korrigiert, um neue Ansichten aufzunehmen). Anschließend habe ich die in der E-Mail angegebene URL manuell eingegeben alditalk-Kundenportal [.] von erwähnt, im Browser eingegeben und gelangte zur nächsten Anmeldeseite des Aldi Talk Kundenportals.

Kundenportal Aldi Talk

Es wird eine Aldi Talk-Anmeldeseite angezeigt, deren URL jedoch hier ist alditalk-Kundensupport[.]von. Es kommt also zu einer Weiterleitung, die potenziell verdächtig ist. Der Zugriff auf das Portal erfolgt jedoch über https und das Zertifikat wird als gültig angezeigt, wobei mir die bereitgestellten Informationen dadurch etwas verloren gehen.

Zertifikat Aldi-Talk-Portal

Es gibt keinen Hinweis auf die Organisation und das Zertifikat läuft im Februar 2025 ab. Als ich versuchte zu sehen, was Google über das Anmeldeportal Aldi Talk zu sagen hat, wurden mir die folgenden Links angezeigt.

Google-Meet Aldi-Talk-Sitzung

Wenn ich auf den Login-Link des Aldi Talk-Kundendienstes klicke, lande ich auf der Login-Seite oben im Google Chromium-Browser. In Firefox erhalte ich jedoch einen Umleitungsfehler (siehe folgendes Bild).

Umleitungsfehler in Firefox

Es ist alles sehr seltsam – einige Dinge sind hin und her falsch. Dann habe ich mir die URL angesehen, um mich im Browser anzumelden. Es ist ein sehr langer Ausdruck mit mehreren Weiterleitungen in der URL, was für mich ziemlich undurchsichtig ist. Ich habe die URL dann mit Virustotal überprüft, aber alle Virenscanner melden die URL als „sauber“.

Zusätzlich: Ich habe jetzt die Original-E-Mail – der Link verweist auf die oben angegebene URL. Aber was ich gesehen habe: Die URL, die sich öffnet, wenn man den Link anklickt, ist sehr lang und enthält einige Weiterleitungen und X-Parameter. Dies kann technisch gesehen der Fall sein. Aber für mich wäre eine solche URL ein Fall von „Hände weg“.

Es scheint legitim zu sein

An dieser Stelle der ersten Version des Artikels habe ich spekuliert und fälschlicherweise angenommen, dass Medion der Betreiber der Technologie sei. Das ist aber falsch, denn in der E-Mail des Lesers wird E-Plus als Verantwortlicher genannt. Bezüglich E-Mail wurden folgende Erläuterungen gegeben:

  • Hierbei handelt es sich um einen raffinierten Phishing-Versuch, bei dem hinter der im Screenshot oben gezeigten Ziel-URL eine völlig andere Landingpage verlinkt wird. Aber ich kann das ablehnen, nachdem ich die Original-E-Mail habe. Die im obigen Screenshot angezeigte URL lautet http://www. alditalk-Kundenportal. von aufgelöst
  • Es handelt sich lediglich um ein technisches Problem, denn die IT von E-Plus brummt von vorne und hinten. Und beim Erstellen der Client-Nachricht gab es viele Fehler (http statt https), möglicherweise wurde im Brief die falsche URL angegeben.

Aus dem Kommentar des Lesers ging hervor, dass seine Frau nichts bestellt hatte, ein Phishing-Versuch. Aber es könnte an der „Sprache des Anbieters“ liegen, dass Aldi Talk jede Fristverlängerung oder jede Änderung der Tarifbedingungen als „Anfrage“ bezeichnet – ich weiß es nicht genau, da der Leser es nicht preisgegeben hat. mir den Inhalt der angeblichen Rechnung mitzuteilen. Persönlich hätte ich auch Bedenken, meine Anmeldedaten in ein Portal einzugeben, wenn mir etwas Ähnliches wie der oben beschriebene Vorgang angezeigt würde. Im Header der E-Mail (siehe auch am Ende des Artikels) sehe ich Folgendes:

[email protected]

wurde verschickt Dies ist aber der E-Mail-Absender, den O2 und seine Subs zum Versenden von E-Mails verwenden (und wahrscheinlich basiert auch E-Plus auf dem Absender). Daher gehe ich mittlerweile davon aus, dass die an den Leser gesendete E-Mail tatsächlich von Aldi-Talk stammt. Aber alles ist schrecklich. Mittlerweile hat sich Leser Ralf in den Kommentaren unten bei uns gemeldet und berichtet, dass Aldi-Talk im November/Dezember 2024 sein Buchungsportal überarbeitet hat und seitdem Chaos herrscht. Natürlich erklärt es einiges.

Abschließende Bemerkungen

Doch die obige Passage zeigt, wie kaputt unsere IT-Prozesse weltweit sind. Es sei ein „Blick hinter den Spiegel“ für betroffene Unternehmen nach Cybervorfällen, „in naher Zukunft besonders vorsichtig bei E-Mails, SMS und Anrufen zu sein, da es zu Betrugsversuchen kommen kann“. Der durchschnittliche Nutzer kann nicht erkennen, ob es sich um einen Phishing-Versuch oder um eine technisch oder inhaltlich fehlerhaft gestaltete E-Mail handelt. Der obige Fall ist ein gutes Beispiel; Schließlich sieht es wie eine legitime E-Mail aus, aber die Situation lässt auf Phishing schließen. So soll es sicher nicht funktionieren.


Nachfolgend finden Sie einen Auszug aus dem E-Mail-Header

Return-Path: <prvs=11168dbb59=[email protected]>
Received: from RelayQueue24 (f1mb-mailbe007 [10.6.25.7])
	by f1mb-mailbe007 with SMTP
	(envelope-from <[email protected]>);
	Tue, 21 Jan 2025 17:39:57 +0100
Authentication-Results: mx5.vodafonemail.de/4YctGj5PH6z28lV; dkim=pass
 (2048-bit key; unprotected) header.d=mailservices-sc.de
 [email protected] header.a=rsa-sha256 header.s=fortimail
 header.b=FVZE2Xem; dkim-atps=neutral
Received: from mail01.mailservices-sc.de (mail01.mailservices-sc.de
 [213.155.74.85]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384
 (256/256 bits)) (No client certificate requested) by mx5.vodafonemail.de
 (Postfix) with ESMTPS id 4YctGj5PH6z28lV for <***.***@arcor.de>;
 Tue, 21 Jan 2025 16:39:54 +0000 (UTC)
Received: from WVXSVC02AP ([172.30.19.19])
	([email protected] mech=LOGIN bits=0)
	by Mail01.mailservices-fw.de  with ESMTPA id 50LGdroI010511-50LGdroJ010511
	for <***.***@arcor.de>; Tue, 21 Jan 2025 17:39:54 +0100
thread-index: AdtsIxkD9Y7ZlGtnQOi2v1lTdpm4wA==
Thread-Topic: Rechnung zu Deiner Bestellung bei ALDI TALK - Kundennummer:
 C-0011381560
Reply-To: 
From: "ALDI TALK Kundenbetreuung &lt",
	<[email protected]&gt>
Sender: <[email protected]>
To: <***.***@arcor.de>
Subject: Rechnung zu Deiner Bestellung bei ALDI TALK - Kundennummer:
 C-0011xxxxx
Date: Tue, 21 Jan 2025 17:39:53 +0100
Message-ID: <[email protected]>
MIME-Version: 1.0
Content-Type: multipart/alternative;
	boundary="----=_NextPart_000_30A1B7_01DB6C2B.7ACA6680"
X-Mailer: Formware Mailservice Microsoft CDO
Content-Class: urn:content-classes:message
Importance: normal
Priority: non-urgent
X-MimeOLE: Produced By Microsoft MimeOLE
X-FEAS-Auth-User: [email protected]
X-FEAS-Client-IP: 172.30.19.19
X-FE-Policy-ID: 1:3:0:SYSTEM
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; d=mailservices-sc.de;
 s=fortimail; c=relaxed/relaxed;
 h=reply-to:from:to:subject:date:message-id:mime-version:content-type;
 bh=9zXCAgh0aDulQWwyo7VnJ+vU+Id4oryjdqelLTGrMFY=;
 b=FVZE2Xemqf8sCD/CSiJuI9DuvP8UgaMs79FRUXWvFcK9m6h85dYbw0+D6Il2Y1oMJ+C4G3HOBebD
 ORgfRqLlqQsqcWOPYXv65xxMHEs2/6hycCKicpxjYiQqXzxEDEoGY2ynJvnjP5yu8KOjgcr2PB8y
 ekHHCGxwz5OBw6ACnCZDqjYzJ2FLxMqSvSRu5u2W+LLR7zOqgUPECLddDwd3NvGpGlp58MtmTM9v
 OSkB6Z2udfy5JXtfyQOB7zsmw7XgmR7RikHV9B1/W/mVyaZNsl8Inor7HMW8xl5I9/wY3Ycs4fGF
 c8gWMcF1iCZNjcCjUxRQa1Nkr2CIAxCWdKMRfA==
X-purgate-type: clean
X-purgate-Ad: Categorized by eleven eXpurgate (R) 
X-purgate: This mail is considered clean (visit  for
 further information)
X-purgate: clean
X-purgate-size: 9402
X-purgate-ID: 149169::1737477597-57FFE11D-0AD59955/3/8249995820
X-purgate-MailingId: 7YCG3eqUh9brlYzf
X-purgate-SuspectCounter: huge

This is a multi-part message in MIME format.

------=_NextPart_000_30A1B7_01DB6C2B.7ACA6680
Content-Type: text/plain;
	charset="Windows-1252"
Content-Transfer-Encoding: quoted-printable

*************************************************************************=
************

Guten Tag,=20

deine Rechnung wurde erstellt und kann in der ALDI TALK App oder online =
im Kundenportal ( heruntergeladen =
werden.

Freundliche Gr=FC=DFe,
dein ALDI TALK Team

E-Plus Service GmbH, E-Plus-Stra=DFe 1, 40472 D=FCsseldorf
Sitz: D=FCsseldorf (AG D=FCsseldorf, HRB 74152)
Gesch=E4ftsf=FChrung: Markus Haas, Valentina Daiber, Nicole Gerhardt, =
Andreas Laukenmann, Alfons L=F6sing, Mallik Rao, Markus Rolle
Umsatzsteueridentifikationsnummer: DE 292 637 472
Aufsichtsrechtliche Beh=F6rde: Bundesnetzagentur f=FCr Elektrizit=E4t, =
Gas, Telekommunikation, Post und Eisenbahnen, Tulpenfeld 4, 53113 Bonn, =
Tel: 02 28/14-0
www.alditalk.de



technische Probleme auf

Leave a Reply

Your email address will not be published. Required fields are marked *