Kurze Information und Warnung an Besitzer von E-Mail-Konten. Momentan scheint eine Kampagne zu laufen, die den Besitzern eines E-Mail-Kontos vorgaukelt, dass im Postfach einige nicht zugestellte Nachrichten befinden, die der Empfänger überprüfen soll. Mir ist gerade eine solche Phishing-Mail an mein bei 1&1 existierendes E-Mail-Konto zugegangen. Ziel der Phisher ist es, an die Zugangsdaten für das E-Mail-Konto zu gelangen, um diese sowie das Konto zu missbrauchen.
Anzeige
Ich stelle das Thema hier im Blog ein, weil ich vor Jahren mal in einer gestressten Phase, als das E-Mail-Konto wirklich Probleme machte, darauf reingefallen bin. Der Vorfall blieb folgenlos, weil ich es zeitnah gemerkt und die Zugangsdaten sofort umgesetzt habe. Weiterhin ist die Phishing-Mail ein Beispiel, wie die Phisher versuchen, die SPAM-Erkennung beim Provider zu unterlaufen. Nachfolgender Screenshot zeigt die Phishing-Mail, die folgenden Inhalt aufweist:
Erforderliche Maßnahme: Bitte antworten
In Ihrem Postfach befinden sich 5 nicht zugestellte E-Mails.
Entschuldigung für die Dienstunterbrechung, Ihr Postfach hat aufgrund eines
technischen Dienstfehlers versehentlich die Zustellung von 5 neuen E-Mails
an Ihr Postfach (g*** @ ***.de) verhindert.Bitte überprüfen Sie den nicht zugestellten E-Mail-Bericht und geben Sie
ihn frei.
Es wird also vorgegaukelt, dass im Postfach (wohl auf dem E-Mail-Server) nicht zugestellte E-Mail liegen, weil es auf Grund eines Dienstfehlers eine Dienstunterbrechung gab, die die Zustellung verhinderte. Begleitet wird die Mail mit der Bitte um Überprüfung des nicht zugestellten E-Mail-Berichts. Der Phishing-Mail ist einen HTML-Datei als Anhang beigefügt. Auffällig ist in obigem Screenshot, dass die E-Mail im Von-Feld einen Absender in Japan meldet.
Anzeige
Ich habe dann den Anhang in Form der HTML-Datei zu virustotal.com hochgeladen. Die Antworten der Virenprüfung findet sich in obigem Screenshot – 18 von 59 Virenscannern erkennen den Anhang als Phishing bzw. Trojaner Trojan.W32.cryxos.7229.
Die Cryxos-Trojaner zeigen eine Meldung auf dem Bildschirm an, die besagt, dass der Computer oder der Webbrowser des Benutzers aufgrund einer Virusinfektion "blockiert" wurde und dass seine persönlichen Daten "gestohlen" werden. Der Benutzer wird dann aufgefordert, eine Telefonnummer anzurufen, um Hilfe beim Entfernen zu erhalten. Hierbei handelt es sich um eine Variante des "Call-Support"-Betrugs.
Anschließend habe ich die angehängt HTML-Datei noch auf der Seite CheckPhish überprüfen lassen – dort wird das Ganze online in einer Sandbox gerendert. Es wird die obige Formularseite angezeigt. Das Formular ist in englisch gehalten, enthält die 1&1- sowie IONOS-Logos und fordert den Nutzer zur Anmeldung auf. Dort wird also zumindest versucht, das Passwort für den E-Mail-Zugang abzufischen.
An dieser Stelle habe ich abgebrochen und die Mail gelöscht. Inzwischen erkennt 1&1 diese Mails, denn ich habe weitere Kopien im SPAM-Ordner des E-Mail-Servers gesehen.
Für die Leserschaft: Man sollte die HTML-Datei aus dem Anhang keinesfalls im Browser öffnen, da nie bekannt ist, ob eine Malware zur Ausführung kommt.
Ergänzung: Inzwischen hat mir auch der Microsoft Defender unter Windows 10 gemeldet, dass er in der HTML-Datei einen Trojan:Win32/Phonzy.B!ml mit schwerwiegender Warnstufe gefunden und in die Quarantäne verschoben habe.
Anzeige
Check Phish zum Phishing Online-Check kannte ich noch nicht. Danke!
Take care beim Senden von allzu sensiblen Emails/Daten: Datenausleitung zu US-Servern…
Studien der Mutterfirma Bolster zum Thema Phishing und Scam sind ganz interessant.
Man sollte solche Mails auch an den jeweiligen Anbieter als Anhang weiterleiten. Die sind sicher auch daran interessiert, die Zielserver solcher Attacken abzuschalten. Hab ich schon mehrfach gemacht.
DANKE :-)) für die Info! Habe auch schon mehrere dieser Mails erhalten und hätte mich gefreut, wenn 1&1 bzw. IONOS dazu Stellung bezogen hätte.
Das Perfide an der Aktion ist ja, das die Mails in eigenem Namen verschickt werden und man nur bei genauerem Hinsehen erkennt, dass sie von jemand Anderem verschickt werden. Bei jeder Mail die ich erhalte, habe ich mir es zur Pflicht gemacht, meinen "eigenen" Virenscanner einzuschalten – hat bis dato nicht geschadet :-))
Gruß Manfred
Danke für das Analysieren! Ich habe diese Mail ebenfalls erhalten, zum zweiten Mal innerhalb eine Monats. Die angeschriebene Adresse ist allerdings eine meiner hundert Weiterleitungen, für die ich gar kein eigenes Postfach habe, geklaubt von meiner Webseite…
Was mich aber immer wieder überrascht, ist der Umstand, dass bei 1&1 regelmäßig valide Mails von Absendern, die ich sogar white-gelistet habe, im Spamordner auf dem Server landen (auch eigene Mails von mir an mich), und solche obengenannten, klar erkennbaren Mal-Mails doch unreflektiert durch die Spamfilter durchgereicht werden. Die Provider wollen offensichtlich ihren "echten Spamschutz" bezahlt bekommen.
Ist das eigentlich unterlassene Hilfeleistung oder Unterstützung krimineller Vereinigungen?
Bei Strato gibt es einen Email-Validator.
Über den kann man prüfen, ob die Email tatsächlich von Strato stammt.
https://phishing-contact.strato.de/
Auch bei IONOS gibts das:
https://postmaster-contact.ionos.de/help/email/validate
Prima, danke dafür!
Genau, diese nutzen, die werden von den Firmen auch selbst ausgewertet und es wird dann ein Takedown der Phishing-Seiten veranlasst.
Ich kenne 1&1 nicht aber bei Web.de im Browser Frontend werden Mails die wirklich von Web.de kommen extra markiert. Ohne Markierung ist die Mail nicht von Web.de egal was da steht. Und das Web.de Browser Frontend funktioniert rudimentär auch ohne Javascript. Evtl. hat 1&1 sowas ähnliches/App falls man sich mal nicht sicher ist. (Setzt natürlich voraus das die Mails beim abrufen durch den Mail Client nicht gleich vollständig gelöscht werden.)