Phishing-Mails: Netflix-Abo endet

Sicherheit (Pexels, allgemeine Nutzung)Kurzer Hinweis für Leute, die ein Netflix-Abo besitzen. Gerade habe ich im SPAM-Ordner meines Postfach die Benachrichtigung gefunden, dass mein Netflix-Abo enden würde. Ich wurde gebeten, meine Zahlungsdaten in einem Formular einzutragen, damit der Bezug des Netflix-Abos weiterhin möglich wäre. Der Pferdefuß an diesem gesamten Ansatz: Ich habe gar kein Netflix-Abo.


Anzeige

Es war eine Nachricht, die mir bei der Durchsicht meines Spam-Ordners eines  Postfachs ins Auge stach. Ich wurde zur Abo-Erneuerung aufgefordert, ohne dass mir aber der Anbieter des Abos genannt wurde. Erst die Mail selbst suggerierte, dass es sich um Netflix handele.

Das sollte eigentlich schon jeden Empfänger stutzig machen. Zudem war die Mail nicht von netflix, sondern von einer zendesk.com-Mail, was wohl auch nicht ganz passt. Der Text der Mail war in englisch:

Dear Customer,

We noticed that your Netflix subscription is about to expire, and we wanted to send you a quick reminder to renew it in order to avoid any service interruption.

To renew, simply:

  1. Visit here and sign in.
  2. Choose your plan and enter your payment information.

If you have any questions or need assistance, feel free to contact our Customer Support team.

Thanks for being a part of the Netflix family, and happy streaming!

Best regards,

Auch die fehlende Anrede sowie die nicht vorhandene Angabe, wer für die Nachricht verantwortlich zeichnet, zeugt von lausiger Gestaltung dieser Phishing-Nachricht. Der unter Visit here and sign in angegebene Link

*ttps://xxxx/dereferrer/?redirectUrl=*ttps%3A%2F%2Flnkd.in%2FeU3AwD-V

leitete auf eine Webseite, die die Annahme von Cookies aufforderte. Allerdings scheint die Zielseite sehr selektiv zu arbeiten, denn ich wurde zur Google-Suche umgeleitet – konnte also nicht herausfinden, was genau dort angeboten wird. Auch mein Versuch, die Ziel-URL der Umleitung mit Virustotal analysieren zu lassen, war nicht sonderlich erfolgreich. Bei den ersten Versuchen wurde ein Hinweis, dass kein Ziel gefunden wurde, angezeigt.

Virustotal scan

Anschließend wurde die obige Seite mit Ergebnissen angezeigt. Keiner der Virenscanner erkannt die Seite als schädlich. Ich interpretiere es so, dass die Zielseite gemerkt hat, dass jemand eine Analyse mittels Virustotal versucht und leitet die Anfragen eine gewisse Zeit zu Google um. Ich bin mir aber, angesichts der obigen Mail sowie des Umstands, dass ich kein Netflix-Kunde bin, dass es ein plumper Phishing-Versuch ist, an die Daten von Netflix-Kunden heranzukommen.


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

16 Antworten zu Phishing-Mails: Netflix-Abo endet

  1. Luzifer sagt:

    Leute ist den nachdenken heutzutage so schwer? Wenn ich ne Mail bekomme wo irgendwas mit meinen Daten abgefragt werden soll dann lass ich die links liegen oder lösche diese gleich. Dann loggt man sich (nicht aus der Mail raus) in besagten Dienst ein
    und schaut nach. Fertig! Da braucht man sich über Phishing keine Gedanken machen, egal wie gut oder mies die gemacht ist. Ihr gebt doch an der Haustüre wenn jemand klingelt auch nicht so einfach all eure Daten preis! Oder etwas doch?

    Das hat auch nichts mit zu tun wann einem so eine Mail überrascht egal ob Morgens vor dem Frühstück Mittags Abends Nachts im Stress oder kurz vor Feierabend… einfach nach obiger Regel handeln und ihr könnte damit jedem Phisher den Stingefinger zeigen! *** Aussage wegen doch verunglimpfender Zuweisungen entfernt ***

    • Kai sagt:

      Und als Bonus: Das funktioniert auch abseits der Mail, wie SMS, Messenger XY oder auch beim Brief und Fax. Ganz egal welche 'Masche' gerade als 'neu' durch die Medien geht.

      Das Leben kann in der Hinsicht so einfach und sicher sein, aber leider sind sehr viele im Blindflugmodus online unterwegs. Nur nicht über das nachdenken, was gerade auf dem Bildschirm angezeigt wird…

    • pau1 sagt:

      Zu TAN-Zeiten haben Leute angeblich alle 100 TANs brav eingetippt.

      • Luzifer sagt:

        naja wer 100 TAN schön brav auf die Phishing Seite abtippt… was soll man dazu noch sagen ;-P manche brauchen eben erst wirklich den Schaden.

        • chw9999 sagt:

          Nein, Schadenfreude hilft hier nicht. Solche Leute gibt es heute natürlich auch und sie geben dann halt andere sensitive Daten preis. Die sind nicht immer dumm, sondern manchmal in der "neuen internet-Welt" einfach nicht geschult. Omas und Opas, auch die Nachwachsenden ("hier, Handy, bring's Dir selbst bei!"), die natürlich kein zweites mal fragen, wenn beim ersten mal ein hochnäsiges "das weiß man doch" kommt.
          Deswegen sind Schulungen an Volkshochschulen auch immer noch relevant und werden besucht.
          Denn für Spammer lohnt sich diese nachwachsende Resource offenbar immer (noch).

  2. Franz sagt:

    Jo, simples Pishing, wie es tausendfach täglich mit anderen Diensten auch versucht wird. Wie Luzifer schon geschrieben hat…. bei solchen Emails nie irgendwelche Links in Mails anklicken sondern immer manuell bei dem jeweiligen dienst anmelden und dort nachschauen.

  3. A. Nonym sagt:

    Was ergibt eine Suche mit URLScan.io?

    Hilfreich könnte auch sein die Header der Webseite zu lesen:

    curl -I -k [domain.tld]

  4. Psu1 sagt:

    Gab des nicht einen Provider dessen DNS bei einer nicht existierenden Domain auf Google umleitete?

    Auch gibt's Server die Anstatt einer 404 auch den User auf Google setzten?

  5. Psu1 sagt:

    Die pfeffern zig Millionen emails ab. Da werden schon ein paar Netflix User bei sein.
    Und auch welche, die den Link benutzen

    Es sei an an die man TAN Zeiten erinnert, zu der die Opfer gebeten wurden,
    alle 100 nummerierten TANs einzugeben.

  6. Pau1 sagt:

    Wird mein Hinweis auf die TAN:-Zeiten, in denen die Opfer 100 TANs eintippten immer wieder gelöscht?
    Ist das ein Trigger Wort?

    • Günter Born sagt:

      Ich kann dazu nichts sagen – weder im Papierkorb noch im SPAM-Ordner habe ich einen Eintrag finden können – allerdings sind nicht alle Filter von mir gesetzt, sondern einiges erledigt auch ein Plugin.

    • Luzifer sagt:

      also ich seh deinen TAN Kommentare … passiert mir aber auch mal das ich meine Kommentare nach absenden nicht zu Gesicht bekomme, da hilft ein neu laden der Seite, dann sind sie da.

  7. jup sagt:

    Bei sowas immer mit urlscan.io eine Zweitmeinung einholen …
    Dort sieht man, das es zu htt**://redde.builderallwppro.com/account/NETFLIX/login
    geht …
    Das nochmal bei urlscan.io rein und man sieht eine Nachgebaute Netflix Seite.
    Und das Virustotal sieht dann so aus:
    https://www.virustotal.com/gui/url/abd337cee19858eaf115e814f61483a2ad79b419aab6c64a8c31cfe1e66f8f41?nocache=1

    • Matze sagt:

      Da braucht's keine Zweitmeinung – ab in den Papierkorb und gut ist's.
      Warum soll man da Lebenszeit investieren?

    • A. Nonym sagt:

      Kann jemand die

      redde.builderallwppro.com/account/NETFLIX/style/js/Baby.js

      entziffern?

      • A. Nonym sagt:

        Der ISP hosted auch weitere Scam-Versuche:

        art-trad-di.builderallwppro.com/PostBank.de/meine/
        (auf https[:]//urlscan.io/result/ef20d29e-7aca-4a44-bd4a-b9eeea2265ed)

        ISP: AS15083 INFOLINK-MIA-, US (Florida)

        (https[:]//urlscan.io/asn/AS15083)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.