Homepage selbermachen 7.851 Themen, 35.615 Beiträge

Phishing 2.0 – vermeintliche Nachricht von 1+1 Webhosting

Olaf19 / 4 Antworten / Baumansicht Nickles

Hallo zusammen!

Dieser Thread ist evtl. interessant für diejenigen von euch, die eine eigene .de-, .com- etc. -Domain besitzen. Da läuft eine anscheinend neue Phishing-Masche.

Je nach aktueller Stimmungslage quittiere ich Phishing-Mails entweder mit einem Lächeln oder einem Kopfschütteln. Ab in die Tonne und gut is'.

Gestern Abend allerdings haben es die Phisher zum ersten Mal doch geschafft, mich wenigstens für ein, zwei Minütchen etwas aus der Fassung zu bringen (siehe unten).

Die Mails hatte ich auf meinem iPhone gesehen, wo immer alles in HTML angezeigt wird. Dadurch entgingen mir wesentliche Informationen, die nur in Reintext sichtbar sind, angefangen von verräterischen Details im Mailheader bis zu den tatsächlichen(!) URLs, die bei Aufruf eines Links aufgerufen würden (eine HTML-Mail zeigt ja gern mal 1und1.de an, führt in Wirklichtkeit aber zu milzbrand.ru).

Warum eigentlich sollte der Kundendienst des deutschen Unternehmens 1+1 einen deutschen Kunden auf Englisch anschreiben? Und dann noch grammatikalisch falsch (have been suspended, obwohl es nur um eine Domain ging) und stellenweise ziemlich ungelenk formuliert? Auch hatte die behauptete Kontaktaufnahme nie stattgefunden, weder telefonisch noch per E-Mail.

Das sprang mir aber erst ins Auge, nachdem ich meinen ersten leichten Adrenalinstoß verwunden hatte, denn Domainname und Personenname und E-Mail-Adresse stimmten perfekt überein, und wer außer 1+1 und mir sollte davon wissen? Klar, guten Morgen Olaf: jeder der in der Lage ist, eine WHOIS-Abfrage durchzuführen – also wir alle. So etwas übersieht man aber leicht, wenn man überrumpelt wird.

Ein kurzer Anruf bei 1+1 hat es dann endgültig geklärt. Natürlich war's Phishing, ich war der ca. 10. Anrufer. Viele andere Betroffene haben sich wohl ganz auf ihre eigene Urteilskraft verlassen, ich wollte unbedingt das letzte Prozent Restunsicherheit aus der Welt schaffen.

Das mexikanisch-brasilianische Cleaner-Programm "YAC" gibt es übrigens wirklich: http://de.pcthreat.com/parasitebyid-39171de.html

Was die ganze Aktion sollte, ist mir schleierhaft. Die im Mailtext unten ausgesternte Domain gehört einer jungen Frau, die eine Pferdeseite im Internet betreibt. Was hätte das den Phishern jetzt gebracht, wenn ich da draufgeklickt hätte?!

CU, Olaf

=============================

Dear Olaf Neunzehn,

The Domain Name olaf19.com have been suspended for violation of the 1&1 Internet AG Abuse Policy.

Multiple warnings were sent by 1&1 Internet AG Spam and Abuse Department to give you an opportunity to address the complaints we have received.

We did not receive a reply from you to these email warnings so we then attempted to contact you via telephone.

We had no choice but to suspend your domain name when you did not respond to our attempts to contact you.

Click here and download http://*********.de/abuse.php?olaf19.com a copy of complaints we have received.

Please contact us for additional information regarding this notification.

Sincerely,
1&1 Internet AG
Spam and Abuse Department

This email has been protected by YAC (Yet Another Cleaner) http://www.yac.mx?source=email

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
gelöscht_189916 Olaf19 „Phishing 2.0 – vermeintliche Nachricht von 1+1 Webhosting“
Optionen

Moin Olaf

Das dürfte die Mail-Variante des angeblichen Telefonsupports von 1&1 sein;-)

http://www.nickles.de/forum/viren-spyware-datenschutz/2015/alte-masche-neue-runde-bei-anruf-virus-539148588.html

http://www.heise.de/security/meldung/Falscher-1-1-Support-will-Computer-reparieren-2907022.html?wt_mc=rss.security.beitrag.atom

Was die ganze Aktion sollte, ist mir schleierhaft. Die im Mailtext unten ausgesternte Domain gehört einer jungen Frau, die eine Pferdeseite im Internet betreibt. Was hätte das den Phishern jetzt gebracht, wenn ich da draufgeklickt hätte?!


Es ist in so einem Fall sehr wahrscheinlich, dass der Link/die Seite/die Domain infiziert oder gekapert ist und der potentielle Besucher nicht dort landet, sondern auf eine andere Seite umgeleitet wird. Das ist z.B. ein Grund, Skripte zu blockieren und wie in Deinem Bespiel Mails nur im Textformat abzurufen und zu versenden. Die russische Spam-Mafia ist momentan wieder sehr aktiv. Die Nigeria-Connection ist auch nicht untätig:

http://www.heise.de/security/meldung/l-f-Webseite-der-Regierung-von-Nigeria-serviert-frischen-Phish-2910341.html?wt_mc=rss.security.beitrag.atom

Sincerely,
1&1 Internet AG
Spam and Abuse Department


Ick gloobe, det et diese Abteilung jar nich jibt bei 1&1;-)

bei Antwort benachrichtigen
Olaf19 gelöscht_189916 „Moin Olaf Das dürfte die Mail-Variante des angeblichen ...“
Optionen

Moin faki, habe ich gerade gelesen incl. beantwortet ;-)

Es ist in so einem Fall sehr wahrscheinlich, dass der Link/die Seite/die Domain infiziert oder gekapert ist und der potentielle Besucher nicht dort landet, sondern auf eine andere Seite umgeleitet wird.

Ja, das ist gut möglich bis anzunehmen. NoScript sollte ich mir doch noch einmal zu Gemüte führen...

Übrigens bin ich ein Horst. In den Phishing-Mails standen weder Kunden- noch Vertragsnummer, und das ist immer das erste, was einem 1+1 bei jeder Kontaktaufnahme um die Ohren haut (und was über WHOIS-Abfragen eben nicht verfügbar ist). Also den Anruf hätte ich mir wirklich schenken sollen!

Ick gloobe, det et diese Abteilung jar nich jibt bei 1&1;-)

Das hier kommt dem noch am nächsten: http://hilfe-center.1und1.de/hosting/sicherheit-c10084638/sicher-mit-e-mails-umgehen-c10084640/spam-und-phishing-c10084641/gefaelschte-1und1-e-mail-phishing-a10795029.html – heißt einfach "Sicherheit".

THX, Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
gelöscht_189916 Olaf19 „Moin faki, habe ich gerade gelesen incl. beantwortet - Ja, das ist ...“
Optionen
Das hier kommt dem noch am nächsten: http://hilfe-center.1und1.de/hosting/sicherheit-c10084638/sicher-mit-e-mails-umgehen-c10084640/spam-und-phishing-c10084641/gefaelschte-1und1-e-mail-phishing-a10795029.html – heißt einfach "Sicherheit".


Ich hoffe, Du hast jetzt die "pesönlichen" Angaben gecheckt und auch die Schlechtreibfehler untersucht; Was aber am allerwichtigsten ist, die Seite des BSI aufgesucht, um diese nach Merkmalen gefälschter Seiten abzufischen?

Ey - das ist nämlich todernst;-)

bei Antwort benachrichtigen
Olaf19 gelöscht_189916 „Ich hoffe, Du hast jetzt die pesönlichen Angaben gecheckt und ...“
Optionen

Öhm, nö... habe 1und1.de eingetippt und mich dann durch die Menüführung durchgehangelt. Also nix mit Fälschungsgefahr!

CU, Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen