Kurze Warnung bezüglich einer neuen Phishing-Nachricht, die mir gerade ins Postfach geschneit ist. Kommt angeblich von der deutschen Post bzw. DHL und meldet einen Brief, der der Weiterleitung harrt. Die URLs werden aber auf Virustotal noch nicht als schädlich erkannt.
Anzeige
Die Phishing-Mail ist so schlecht gemacht, dass aufmerksame Nutzer da nicht drauf reagieren – ich stelle es aber hier mal im Blog als Beispiel ein.
Dеutschе pоst Infоrmiеrt siе, dаss ihrе sеndung
N° RM 10 *** 172 7DE wаrtеt immеr nоch auf Anwеisungеn vоn Ihnеn.
Gеbührеn zu zаhlеn : 2,99 €
Die Mail besagt, dass eine Sendung auf Anweisungen harrt, weil Gebühren zu zahlen seien. Die URL ist aber per Link-Verkürzer gestaltet und reichlich obskur. Ich habe das Ganze aber mal auf Virustotal prüfen lassen – dort gibt es noch keinen Fund.
Vielleicht triggert das Beispiel aber bei dem einen oder anderen Leser den "sofort löschen" Reflex – denn mehr kann man nicht tun.
2015
Kurze Frage dazu: Kommt die Mail wirklich von "mail.de" oder ist der Absender gefälscht?
witzig. Es wird alles gefälscht, zumal die DHL nichts mit so eienr Adresse versendet. Es ist doch nichts Neues mehr.
Günter hätte aber in der Titelseite schreiben müssen: "Paketzustellung" und nicht "Briefzustellung".
Günter sei mutig und analysiere mal das mit "Schicen Sie mein Paket". Deshalb habe ich bei mir das Herunterladen von Bilder generell ausgeschaltet.
Holzauge sei wachsam.
Mehr oder auch weniger witzig. Wenn es perfekt gefälscht worden wäre, dann stände auch ein "dhl.de" hinter dem @. Es könnte jetzt natürlich so sein, dass diese Mail tatsächlich über dieses mail.de-Konto verschickt wurde und deren Filtern entgangen ist oder die Maschinerie der Phisher hat mal wieder verrückt gespielt und irgendwas Blödsinniges zusammengebastelt, was mit der Realität nichts zu tun hat. Das kann man ohne die Header zu betrachten aber nicht sicher sagen.
Ich frage auch deshalb nach, weil ich privat eine "mail.de"- Adresse nutze und auch schön etwas länger darüber nachdenke, diese zu bezahlen. Bisher war "mail.de" *meiner* Beobachtung nach eher unauffällig hinsichtlich Spam und Phishing. Wenn die aber ähnlich wie gmx und web demnächst regelmäßig auf Blocklisten landen könnten, wäre das dann nicht gerade toll.
Deutsche Post ist aber Briefzustellung und die Sendungsnummer deutet auch auf eine Briefsendung hin. Von daher stimmt der Titel. Auch die 2,99 Euro deuten auf was kleineres hin.
Bevor sich jetzt jemand "über die Klippe stürzt", weil er am Titel verzweifelt ist: Als Sofortmaßnahme habe ich den Titel jetzt angepasst. Hoffe, die Diskussion auf diesem Nebenkriegsschauplatz ist damit beendet.
Eine Spitze kann ich mir dann doch nicht verkneifen: Wenn für jede Phishing-Mail so viel Sorgfalt und Zeit investiert würde, wie jetzt in Kommentare um die Titeldiskussion eingeflossen ist – dann sähe das Feld für Phisher sehr schlecht aus ;-).
Na, das hängt aber davon ab, welche Seite viel Sorgfalt und Zeit in die Phishing-Mail investiert! ;-)
Ich wiederhole allerdings nochmal höflich meine ursprüngliche Frage: ist "mail.de" wirklich an dem ganzen Vorgang beteiligt gewesen oder ist den Phishern bei der Mail-Generierung da ein Lapsus unterlaufen und die Mail kam über gänzlich andere Wege?
Virustotal zeigt "403 Status", die Serverantwort im Browser enthält aber ein JavaScript, das den Browser auf eine weitere URL weiterleitet.
Beide URLs sind beim Anbieter noip.com registriert, Abuse-Formular: https://www.noip.com/de-DE/abuse
die Seite auf die weitergeleitet wird, wird aber erkannt
virustotal.com
Ein ähnlicher Dreck kam heute schon zweimal von der (angeblichen) Postbank. Allerdings schon als Betreff stand jedes Mal so was wie: dflkjskld5415&§ljdhf@@$oru
Von daher … :-) Scheinen es gerade auf die Deutsche Post abgesehen zu haben …
Beim Titel "mit Briefzustellung" hätte ich jetzt erwartet, dass der Phishing-Versuch mit traditioneller (Snail-Mail) Post erfolgt, also auf gedruckter Postkarte im Briefkasten ;-)