Wenn Phisher deine Domain bei Strato sperren wollen ….

Sicherheit (Pexels, allgemeine Nutzung)Ich habe ja schon lange darauf gewartet, dass eine meiner Domains gesperrt wird und ich eine entsprechende Meldung vom Herrn Phisher per E-Mail bekomme – so viel Service muss schon sein. Freitag war es dann so weit, meine Domain borncity.de, die nebenbei von 1&1 gehostet wird, wurde beim Anbieter Strato gesperrt, einfach so. Kaum zu glauben, aber von Herrn Phisher mit "Brief und Siegel" in einer E-Mail bestätigt und mit dem "Angebot" verbunden, die Sperre ganz leicht per Link aufheben zu lassen. 


Anzeige

Es war eine der Mails, die vom 1&1-Spam-Filter einfach so durchgelassen wurde. Nun ja, im Grunde war ich ja froh, da solch wichtige Post nicht einfach im Spam-Filter hängen bleiben darf. Die Mail sah dann folgendermaßen aus:

Strato Phishing Mail

Schon a bisserl doof, mit der Rechtschreibung und der Wort-Trennung hat der Herr Phisher es nicht so. Aber immerhin hat sich der Herr Phisher die Mühe gemacht, die Domain zu eruieren (oder er fischt im Trüben und postuliert, dass zur E-Mail-Adresse auch eine eigene Domain gehört). Immerhin erklärt mir der Herr Phisher, welche "Schmerzen" er mit meinem "Kontogesperrt" habe. Sein Abrechnungssystem hat festgestellt, dass mein Domain-Name abgelaufen sei und trotz vorheriger Erhöhung nicht erneuert wurde. Was erhöht wurde? Keine Ahnung, schreibt der Herr Phisher nicht.

Aber der freundliche Herr Phisher hat mich ja eingeladen das Verlängerungsformular meiner Dienstleistungen gemäß den Anweisungen und Schritte unter dem angegebenen Link manuell auszufüllen. Hab ich jetzt Schwein gehabt, dass da keine Windows 11 KI auf meinem System im Thunderbird werkelt. Die hätte das vielleicht gleich aufgegriffen und meine "Dienstleistungen" in diesem verlinkten Formular eingetragen. So musste der Herr Phisher halt mir mir vorlieb nehmen – wobei mir irgendwie der Absendername info[at]hauser.de spanisch vorkam. Vielleicht hat der arme Herr Hauser auch den Betrieb des Strato E-Mail-Servers als Dienstleister übernommen – bei diesen verlinkten Formularen weiß man ja nie, was am Ende dabei herauskommt.

Was mir auch nicht so gefallen hat, ist der Umstand, dass der Herr Phisher keine gescheiten URLs auf einen Strato-Server in seinem Link hin gezimmert bekommt. Der Verweis in der Fußzeile des Thunderbird (siehe obiger Screenshot) ist ja schon süß. Ein Test auf virustotal.com ergab dann auch, dass bereits ein Anbieter dieses Ziel als schädlich bzw. Phishing ausweist. Auch die Seite von EasyDMARC.com wies mir die Ziel-URL als verdächtig aus und zeigt einen Redirect auf ayvazfrost[dot]de/str/ die von einem Anbieter ebenfalls als Phishing ausgewiesen wird.

Phishing-Formular

Unter der Ziel-URL wird dann obige Phishing-Seite angezeigt, die schon sehr stark an die Strato-Anmeldeseite angelehnt ist. Neu ist der Ansatz der Phisher nicht – und auf Grund der oben aufgezeigten "Problemstellen" sollte der Versuch von potentiellen Opfern auch leicht zu erkennen sein.

Ähnliche Artikel:
Phishing-Mails, die auf Bankkunden (Ing, DKB, Postbank etc.) zielen (Juli 2023)
Volksbankkunden werden mit SecureGo-TAN-Phishing abgezogen
Phishing-Mail: "Registrierung für Mastercard® Identity Check"; kommt über gehackten freshdesk.com-Server
Strato-Phishing: Angebliche Verlängerung SSL-Zertifikat
Warnung: Phishing-Mail zu "nicht zugestellten Mails" zielt auf 1&1-Kunden
Warnung vor Phishing-Mails mit S-ID-Check von Sparkassen (August 2023)
Phishing-Welle mit Facebook-Security Fake-Absender


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Wenn Phisher deine Domain bei Strato sperren wollen ….

  1. Norddeutsch - Neuphish 1984 sagt:

    … das Internet odert Technik sind nicht mehr die, welche ich vor Jahren mochte.
    … oder das, was Einige daraus machen …
    Günters Energie will ich auch. Mach bitte noch länger so weiter ;-)
    Neudeutsch könnt man diesen Thread "Awareness" nennen – eigentlich sogar zur (verpflichtenden,iterativen) Sicherheits- und Datenschutzunterweisung von Mitarbeitern geeignet…

  2. R.S. sagt:

    Das die Mail nicht von Strato stammt, ist offensichtlich, ohne den genauen Text zu lesen.
    Strato schreibt einen immer mit Namen an, nie mit "Sehr geehrter Kunde", denn die kennen den Namen des Domaininhabers ja.
    Außerdem steht im Kopf einer echten Strato-Mail immer die Kundennummer und die Auftragsnummer.
    Die kennt der Phisher aber nicht, ergo fehlt das.
    Und im Text selbst sind viele sachliche Fehler drin.
    Die gebuchten Pakete werden bei Strato so lange automatisch verlängert, bis man sie explizit kündigt. Man muß also nie etwas "verlängern". Ergo wird es nie eine entsprechende Mail von Strato geben.

    Kundennummer und Auftragsnummer kennt auch eine KI nicht, ergo wird das auch zukünftig in Phishingmails fehlen.

    • Anonymous sagt:

      Schau dir auch mal die E-Mail an, von der die Mail geschickt wurde.
      Das beantwortet doch alles. Strato von info at hausser de …

      Das wäre als würde ich dir eine E-Mail mit meiner GMX Adresse schreiben, dass dein Bankkonto bei der Sparkasse abläuft.

  3. Fritz sagt:

    "meine Domain borncity.de, die nebenbei von 1&1 gehostet wird"
    Strato und 1&1 gehören schon seit etlichen Jahren zum gleichen Mutterkonzern, so daß eine Zusammenführung der Domainverwaltung gar nicht mal so ungewöhnlich wäre. Früher wurden übrigens viele Domaingeschäfte (z.B. die Registrierung ausländischer Domains) auch von der Cronon AG gemacht, da diese im Gegensatz zu Strato selbst RIPE- und DENIC-Mitglied war. Das hat man manchmal an den angegebenen Tech-C bzw. Eigentümern der Netzblöcke gesehen.

    Was mich an der oben gezeigten Phishing-Mail als erstes mißtrauisch gemacht hätte ist übrigens, daß sie von einem (vermutlich gehackten) Konto "info@hausser.de" ausgeht.

  4. Robin Pfeifer sagt:

    Sowas habe ich heute von einem Kunden ebenfalls bekommen. Allerdings war der Phisher hier pfiffig genug, tatsächlich den korrekten Hoster zu imitieren, hier all-inkl. Aber Absender war eine Mailadresse aus Frankreich, Linkziel eine brasilianische Domäne. Dort dann eine schicke all-inkl. Fakeseite zur Eingabe von Kreditkartendaten.

    Nicht gut gemacht, aber es scheint keinen wirklichen Leistungsdruck zu geben. Offensichtlich fallen auch auf grottenschlecht gemachtes Phishing noch genug Leute rein.

  5. enrgy sagt:

    Der Grundtenor in den Phising Mails ist ja meistens gleich – irgendwas wurde oder wird gesperrt, wenn man nicht sofort hier oder dort draufklickt und die Sperrung abwendet.
    Da wird Druck erzeugt, dem der User mit wenig oder Null Wissen über die Thematik schnell erliegt und diesen Zustand auf garkeinen Fall eintreten lassen will.

    Bei der boomenden Online-Shopperei auf Portalen rund um den Globus braucht man sich nicht wundern, daß irgendwelche Daten in dunkle Kanäle fließen.

    Ich hatte vor einem halben Jahr mal wieder nach längerer Zeit was in der Bucht gekauft und wurde prompt ein paar Tage später von "DHL" auf angebliche Probleme mit der Lieferung hingewiesen und zu einer unverzüglichen Reaktion aufgefordert. Schon wirklich tricky, daß dieser Phishing-Versuch ausgerechnet in den Zeitraum der tatsächlich zu erwartenden Lieferung fiel.

    • Dat Bundesferkel sagt:

      "Bei der boomenden Online-Shopperei auf Portalen rund um den Globus braucht man sich nicht wundern, daß irgendwelche Daten in dunkle Kanäle fließen."

      Temu ist bei vielen Unwissenden derzeit "der heiße Shice". Super günstige Preise verlocken zum Kauf und zur Eingabe persönlicher Daten.

      Es irritiert die Kunden auch nicht, daß Temu BEI JEDER BESTELLUNG "Minus" einfährt (sprich: draufzahlt).

      Dies ist einer der verläßlichen "Daten-Lieferanten" für die "dunkle Seite des Internets".

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.