Ok, dann können wir sagen, dass der Angreifer sich nicht eingeloggt hat, und die Email aus der WEB.de Oberfläche geschickt hat. Er hat geschreiben:
Dass es Programme gibt die Absender-Adressen fälschen könne, ist schon klar.

Gehen wir davon aus, dass der sich nicht eingeloggt hat, bleibt die Frage wie er er an das Passwort kommt, und das Passwort geändert hat.

Ich denke ich schreibe mal WEB.de an und frage ob die eine Datenlücke hatten.

Dir ist aber schon klar, dass man Emails, die man über einen Provider wie z.B. Web.de versendet, nicht in deren Weboberfläche erstellen muss?

Ich habe bei verschiedensten Providern Postfächer und würde niemals freiwillig deren Weboberflächen benutzen. Ich verwende meist Apple Mail, Thunderbird, wenn es sein muss Outlook oder aber was selbst geschriebenes.

Das ist mir schon klar. Was ich versuche zu ergründen ist, ob es ein guter Hack-Trick ist, mit dem irgendwie geartet das WEB.de Passwort geändert wurde, oder hatten die tatsächlich Zugang.

Es ist nicht das erste Mal, das ich eine Phishing-Mail bekommen habe, und einige davon waren so gut, dass sie keine Fehler beinhalteten. Da stimmte nicht nur die E-Mail Adresse, sondern auch die Postadresse und die Telefonnummer. Das einzige was mich hinderte drauf einzugehen war mein Misstrauen. Und wenn ich die Mail bis ins Detail analysierte, fand ich immer den Schwachpunkt.

Deshalb fällt es mir schwer lediglich das Passwort zu ändern und es darauf beruhen zu lassen. Vielmehr will ich wissen: habe ich Malware auf dem Rechner oder wurde WEB.de gehackt, wobei die Zugangsdaten gestohlen wurden, oder war ich Opfer eine Bruteforce Attacke. Ich suche nach erklärungen, und hier gibt es eine Masse an Fachwissen.

Wenn das mit einem Programm versendet wurde, dann weiß ich wie das Datum manipuliert wurde. So ein Programm kriege ich auch hin. Mich interessiert eher ob sie sich eingeloggt haben, und es aus der Webseite gemacht haben.

Wobei, wo ich das hier gerade schreibe, fällt mir ein, dass die Email sehr aufwendig gestaltet ist. Ich hänge die E-Mail als Screenshot mal dran. Die Mail ist farbig, mit Tabellen formatiert, usw. Unwahrscheinlich, dass es im Browser geschrieben wurde. Zu aufwendig. Womit die Frage eigentlich beantwortet ist.

Bleibt noch die Frage nach dem Passwort.

Kleiner Nachtrag. Ich habe noch eine E-Mail bei GMX, wo ich mich gerade angemeldet habe. Gehören zusammen. WEB.de und GMX.de ist eine Firma. Bei GMX habe ich ebenfalls die gleiche E-Mail. Sogar die gleiche Stunde und Minute (soweit die stimmen). Auch hier ist das Passwort bekannt, wurde aber nicht geändert, so dass ich das Postfach öffnen konnte. Das Bitcoin-Wollet ist anders.

Eine weitere E-Mail Adresse bei WEB.de, die ich für meinen Vater angelegt habe, und die er nie genutzt hat, ist leer.

Womit sich die Frage stellt ob es bei WEB.de ein Datenklau gab.

Der Inhalt der E-Mail sieht für mich weitgehend automatisiert aus. Man hat sich da noch nicht einmal die Mühe gemacht deinen Namen herauszufinden. Von daher würde ich davon ausgehen das der Hacker nur deine E-Mail Adresse und dein Passwort hatte.

Seltsam ist die Sache mit deinem Passwort. Wenn es ein Datenklau war, dann müsste dies ja bedeuten das Web.de nicht den Hash Wert des Passwortes sondern das Passwort im Klartext speichert. Weiß hierzu jemand anderes etwas hierzu, ob es sein kann, dass Web.de (bzw. GMX) die Passwörter im Klartext speichert.

Sich an GMX zu wenden wird wahrscheinlich keinen Sinn machen, sonst müßte GMX seine eigene Sicherheit anzweifeln. Viel mehr Sinn wird es machen die Polizei zu informieren. Dort gibt es entsprechende Abteilungen die sich hiermit beschäftigen.

Das heißt einfach nur, dass die beiden Logindaten in dem gleichen Datenpaket verkauft wurden. Und dann werden halt automatisiert alle durchprobiert.

Dann müssen diese Daten zusammen damit im Darknet liegen.

Jajn. Das Das WEB.de Postfach nutze ich auch für eBay. Die geben die E-Mail-Adresse an die Händler (und mehr). Ich hatte vor einiger Zeit einen Zahlendreher in der Telefonnummer. Diese falsche Nummer hatte ich auch in einer Phishing-E-Mail. Anscheinend verkaufen einige Händler die Adressen, die sie von eBay bekommen, weiter. Oder lassen sich die klauen.

Leider habe ich mich dann entschieden die richtige Nummer anzugeben, für den Fall, dass ich den Account reaktivieren muss.

Haben solche Mails nicht immer den Fehler, dass man wo hinklicken oder Daten eingeben soll?

So einfach ist das nicht mehr. Überwiegend wird mit der Angst des Empfängers oder bei Firmen mit Social Engeneering gearbeitet.