Kleiner Infosplitter zum Abschluss der Woche. Blog-Leser Norman O. hat mir die Woche eine Info zu einer sehr merkwürdigen Spam-Mail zukommen lassen, die von Microsoft stammen soll, auf die ich mir aber keinen wirklichen Reim machen kann. Denn die Verlinkungen zeigen auf Microsoft.
Anzeige
Normalerweise ist es ja so, dass Browser und Mail-Clients beim Zeigen auf einen Link die wirkliche Ziel-URL in der Fußzeile des Fensters einblenden. Hier wird das Ganze aber verschleiert. Norman schrieb:
haben Sie evtl. von dieser SPAM Welle gehört?
scheint recht rafiniert
hat html anhang der harmlos scheint
hat natürlich auch „klicken Sie hier", aber der link zeigt auf www.microsoft.com wenn man nur mit dem Mauszeiger drüber fährt (siehe folgender Screenshot).
War mir noch nicht untergekommen, wenn auch der Text etwas krude ist. Der Teil der Nachricht, den Norman an mich weiter geleitet hat, verlinkt auf eine Microsoft-Seite. Hier nochmals der Text der Mail:
————————
Anzeige
Von: Microsoft account team <account-security-noreply@accountprotection.microsoft.com>
Gesendet: Donnerstag, 12. November 2020 06:18
An:
Betreff: Ihr Microsoft-E-Mail-Konto läuft am 14. November 2020 ab.
Ihr Microsoft-E-Mail-Konto läuft am 14. November 2020 ab.
Ihr Microsoft-E-Mail-Konto am 14. November 2020 ab .
Reaktivierung beigefügt
Klicken Sie hier, um zu deaktivieren oder zu ändern, wo Sie Sicherheitsbenachrichtigungen erhalten .
Vielen Dank, dass Sie mit Microsoft Geschäfte gemacht haben.
Mit freundlichen Grüßen
Das Microsoft Account TeamDies ist eine obligatorische Servicekommunikation. Besuchen Sie den Promotional Communications Manager , um Ihre Kontakteinstellungen für andere Kommunikationen festzulegen .
Diese Nachricht wurde von einer nicht überwachten E-Mail-Adresse gesendet. Bitte antworten Sie nicht auf diese Nachricht.
Datenschutz | LegalMicrosoft Office
Walter-Gropius-Straße 5
80807 München
Deutschland
Ich kann mir nur schwer vorstellen, dass die Mail von Microsoft sein soll – und eine Kontensperre, wie hier beschrieben, ist es auch nicht. Aber ich bin auf dieser Seite auf ähnliche Fälle gestoßen, wo solche Mails versandt wurden. Jemand von Euch, der mehr zu dieser kruden Benachrichtigung erzählen kann?
Anmerkung: Einige Links im unteren Teil der Nachricht auf *ttps://click.email.microsoftonline.com wurden deaktiviert, da die Umleitungen bereits ungültig waren.
Anzeige
Kurze Antwort: einige verlinkte Domains scheinen sehr verdächtig zu sein.
Eine WHOIS Suche für microsoftonline.com und azure-dns.com führt zu markmonitor.com (also nichts das Microsoft gehört)
An deine Stelle würde ich alle klickbare Links von dieser Blog Artikel deaktivieren !!!
Alles schon richtig so:
https://en.wikipedia.org/wiki/MarkMonitor
Microsoft greift auf die Dienste von MarkMonitor zurück, ebenso Google und Andere.
Die Links in der Mail sind unkritisch.
https://www.whois.com/whois/microsoftonline.com
Vorsicht ist gut, aber man kann es auch übertreiben.
Na dan freuen sich die Spammer jetzt aber, dass die Mail sogar mit funktionierenden Links veröffentlich wird.
microsoft.com nutzt ebenfalls markmonitor
https://login.microsoftonline.com ist der zentrale Login Dienst für Microsoft 365 Dienste.
Siehe dazu auch:
https://docs.microsoft.com/de-de/office365/troubleshoot/sign-in/sign-in-to-office-365-azure-intune
Kann man einfach via Google rausbekommen :-)
Wäre natürlich schöner, wenn sich Fragende einfach mal angewöhnen könnten den Quelltext(!) einer E-Mail weiterzugeben.
Das sähe dann so aus (exemplarisch):
Return-Path: ***@bnc3.mailjet.com
Delivered-To: ***@***.***
X-Spam-Checker-Version: SpamAssassin *.*.* on
***.***
X-Spam-Level:
X-Spam-Status: No, score=-1.1 required=5.0 tests=DKIM_SIGNED,DKIM_VALID,
DKIM_VALID_AU,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_RATIO_02,HTML_MESSAGE,
MAILING_LIST_MULTI,RCVD_IN_MSPIKE_H2,SPF_HELO_PASS,URIBL_BLOCKED
autolearn=ham autolearn_force=no version=*.*.*
Received: from o187.p11.mailjet.com (o187.p11.mailjet.com [87.253.236.187])
by ***.*** with ESMTPS
(version=TLSv1.3 cipher=TLS_AES_128_GCM_SHA256 bits=128)
; Sun, 15 Nov 2020 11:07:39 +0100
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; q=dns/txt;
d=***.***; i=***@***.***; s=mailjet;
h=message-id:mime-version:from:to:subject:date:list-id:list-unsubscribe-post:
list-unsubscribe:precedence:x-campaignid:x-csa-complaints:x-mj-mid:
x-mj-mimemessagestructure:x-report-abuse-to:feedback-id:content-type;
bh=gUjwL5CeGMlAO/6sl6hoau377vjU7wrWw2RbekUnsNo=;
b=O+FrOF1UJKQqHoXNjCI/+Ei99LOnqIGwDdJjKe2pahMpuLfTbNINKIDOU
NmlH82LKeFbIHjNH2HZ+z4N+FQgi9BiPWGuC246oDg7tpTPPkeIeAkJkr5TU
sBGeuwQcXWDhkMgxQ9TnrIvltOBewOEZIchKGci7BMUv01KoNWUYdg=
Return-Path:
Message-Id:
MIME-Version: 1.0
From: "***"
To: ***@***.***
Subject: =?UTF-8?Q?=E2=98=85_PUMA_Future_Spark_5=2E2_?=
=?UTF-8?Q?Netfit_Mix!_=E2=98=85_Nur_26=2C26_?=
=?UTF-8?Q?=E2=82=AC!_=E2=98=85?=
Date: Sun, 15 Nov 2020 10:06:48 +0000
List-Id:
List-Unsubscribe-Post: List-Unsubscribe=One-Click
List-Unsubscribe:
,
Precedence: bulk
X-CampaignID: 7690481336
X-CSA-Complaints: csa-complaints@eco.de
X-MJ-Mid:
AagAAA43e5kAAcpjbrgAAKGsboYAAAASBFMAAEkGAAvOZQBfsP24u86HxPSIQDK7t0hD0_XJMgAL4tc
X-MJ-MIMEMessageStructure: no-related
X-REPORT-ABUSE-TO: Message sent by Mailjet please report to
abuse@mailjet.com with a copy of the message
Feedback-Id: 42.773733.778967:MJ
Content-Type: multipart/alternative; boundary="=-qujTh01Wo0JLA1g2JxzX"
… denn, mit den ach so schönen Bildchen und den Mail-Auszügen kann man de facto nicht wirklich etwas anfangen.
Die Mail selber wirkt zwar merkwürdig, aber laut Microsoft selbst:
https://support.microsoft.com/de-de/account-billing/sind-e-mails-vom-microsoft-kontoteam-vertrauensw%C3%BCrdig-685fd302-f52f-1a9f-cc13-065dec46fe25
… erfüllt sie möglicherweise (ohne Quelltext nicht sicher festzustellen) die Voraussetzungen, echt zu sein.
Warum sollte die E-Mail gefälscht sein, wenn alle Links auf die offizielle Seite von MS verweisen. Und zudem ist der Versender vertrauenswürdig, siehe https://support.microsoft.com/de-de/account-billing/sind-e-mails-vom-microsoft-kontoteam-vertrauensw%C3%BCrdig-685fd302-f52f-1a9f-cc13-065dec46fe25
Hab das selbst nicht bekommen, aber sowas wurde mir weitergeleitet mit einer Anlage "E-Mail-Reaktivierung.html".
Wenn ich das im Editor ansehe, beginnt das mit Javascript …
Sagt doch alles.
Und just in diesem Moment sagt auch mein Virenscanner "Troj/Phish-IJF" erkannt.