Wie die 1&1 Internet AG ihre Kunden über Vireninfektionen informiert

In Zeiten von Botnetzen, Trojanern und Drive-by-Downloads ist ein Heim-PC schneller mit einem Virus infiziert als es dem Besitzer vielleicht lieb ist. Die meisten Nutzer bemerken die Virusinfektion viel zu spät oder gar nicht. In diesem Sinne informiert die Abuse Abteilung (=engl. für „Missbrauch“) der 1&1 Internet AG (inklusive WEB.DE und GMX) in Zusammenarbeit mit dem Anti-Botnet Beratungszentrum seine Kunden.

Und so erkennen wir infizierte Kunden:

  • Mit Hilfe von im Internet ausgelegten “Honigtöpfen” (sogenannten HoneyPots) bemerkt die Abuse Abteilung die Vireninfektion auf dem PC hinter dem DSL Anschluss und informiert die Kunden. Im Detail baut hierbei der Virus eine Verbindung zur Falle (=dem getarnten Server) auf und die Abuse Abteilung bekommt zu diesem Vorfall eine direkte Rückmeldung. Anhand von Zeitstempeln und IP-Adressen kann dies direkt dem jeweiligen Kunden zugeordnet werden.
  • Mit Hilfe von im Internet ausgelegten “Spamfallen” (sogenannten Spamtraps). Da infizierte Rechner sehr oft zum Spamversand missbraucht werden, werten wir E-Mails, die auf diesen gezielt ausgelegten “Spam-Magneten” auch nach DSL-IPs aus und führen einen Abgleich mit unseren Kunden-Datenbanken durch.
  • Aufgrund von Hinweisen durch Dritte: wie z.B. Behörden (Polizei, Bundesamt für Sicherheit in der Informationstechnik, etc.) oder durch die Teilnahme an Projekten wie “Project HoneyPot” oder der Conficker Working-Group
  • Durch gezielte Checks auf unseren WebSeiten, wie z.B. dem Conficker-Checker auf http://scan.web.de/ oder http://scan.gmx.net/
  • u.v.m.

Und so informieren wir Kunden:
Der Kunde bekommt eine E-Mail von der Abuse Abteilung in sein im Vertrag hinterlegtes Postfach von der Adresse „abuse@1und1.de“ zugeschickt. Diese E-Mail enthält immer die Kundennummer, die Vertragsnummer, eine direkte Anrede mit Vor- und Zunamen und eine Ticketnummer. Diese Merkmale sollen dem Kunden helfen eine eventuell gefälschten Warnmeldung von einer echten zu unterscheiden.

Hier ein Beispiel einer solchen E-Mail (im GMX-Postfach)

ScreenShot einer Abuse-E-Mail der 1&1 Internet AG

ScreenShot einer Abuse-E-Mail der 1&1 Internet AG

Sollten Sie weitere Fragen oder Anregungen zu diesem Beitrag haben, freue ich mich auf Ihre Kommentare.

Zum Autor dieses Gastbeitrags:

Frank Herold, Senior Abuse Analyst, arbeitet seit April 2008 im zentralen Abuse Department der 1&1 Internet AG. Der geprüfte Fachinformatiker für Systemintegration (IHK) analysiert dort Angriffe auf Kunden-Präsenzen, lokalisiert Einfallstore und ist für die schnelle Abschaltung von Phishing-Seiten gegen die Unternehmensgruppe zuständig.

3 thoughts on “Wie die 1&1 Internet AG ihre Kunden über Vireninfektionen informiert”

  1. Hatte den trojaner über einen Stick von meiner Schwester,Tina, hatte nach Feststellung über Kaspersky den gefunden und hoffentlich gelöscht, zeigt nichts mehr an, ihr Datum ist falsch, dass Ereignis war ein Tag später, Veilen Dank für eure Warnung , werde Anweisungen befolgen !!
    Habe mir zwei Sticks damit versaut einer ist geschäftlich!
    Reitmajer

  2. …seit ich bei 1und1 bin (6monate) habe ich wesentlich mehr viren etc. als 2 jahre lang bei kabel deutschland! trotz norton und avira!!
    didi

    1. Hallo didi,

      das ist keine Frage des Internetproviders, sondern hängt von vielen anderen Faktoren ab, u.A. das eigene Surfverhalten, die Zahl der infizierten Webseiten (Drive-by-Download), Anzahl der Sicherheitslücken, Exploitausnutzung etc.

      Achte bitte darauf, dein System aktuell zu halten und nutze nur einen permanenten AV-Scanner. Zwei Scanner bremsen das System nur aus und geben keinen wirklichen Mehrwert.

      Grüße
      CG (ABBZ)

Kommentare sind geschlossen.