Kurzer Hinweis für Leute, die ein Netflix-Abo besitzen. Gerade habe ich im SPAM-Ordner meines Postfach die Benachrichtigung gefunden, dass mein Netflix-Abo enden würde. Ich wurde gebeten, meine Zahlungsdaten in einem Formular einzutragen, damit der Bezug des Netflix-Abos weiterhin möglich wäre. Der Pferdefuß an diesem gesamten Ansatz: Ich habe gar kein Netflix-Abo.
Anzeige
Es war eine Nachricht, die mir bei der Durchsicht meines Spam-Ordners eines Postfachs ins Auge stach. Ich wurde zur Abo-Erneuerung aufgefordert, ohne dass mir aber der Anbieter des Abos genannt wurde. Erst die Mail selbst suggerierte, dass es sich um Netflix handele.
Das sollte eigentlich schon jeden Empfänger stutzig machen. Zudem war die Mail nicht von netflix, sondern von einer zendesk.com-Mail, was wohl auch nicht ganz passt. Der Text der Mail war in englisch:
Dear Customer,
We noticed that your Netflix subscription is about to expire, and we wanted to send you a quick reminder to renew it in order to avoid any service interruption.
To renew, simply:
- Visit here and sign in.
- Choose your plan and enter your payment information.
If you have any questions or need assistance, feel free to contact our Customer Support team.
Thanks for being a part of the Netflix family, and happy streaming!
Best regards,
Auch die fehlende Anrede sowie die nicht vorhandene Angabe, wer für die Nachricht verantwortlich zeichnet, zeugt von lausiger Gestaltung dieser Phishing-Nachricht. Der unter Visit here and sign in angegebene Link
Anzeige
*ttps://xxxx/dereferrer/?redirectUrl=*ttps%3A%2F%2Flnkd.in%2FeU3AwD-V
leitete auf eine Webseite, die die Annahme von Cookies aufforderte. Allerdings scheint die Zielseite sehr selektiv zu arbeiten, denn ich wurde zur Google-Suche umgeleitet – konnte also nicht herausfinden, was genau dort angeboten wird. Auch mein Versuch, die Ziel-URL der Umleitung mit Virustotal analysieren zu lassen, war nicht sonderlich erfolgreich. Bei den ersten Versuchen wurde ein Hinweis, dass kein Ziel gefunden wurde, angezeigt.
Anschließend wurde die obige Seite mit Ergebnissen angezeigt. Keiner der Virenscanner erkannt die Seite als schädlich. Ich interpretiere es so, dass die Zielseite gemerkt hat, dass jemand eine Analyse mittels Virustotal versucht und leitet die Anfragen eine gewisse Zeit zu Google um. Ich bin mir aber, angesichts der obigen Mail sowie des Umstands, dass ich kein Netflix-Kunde bin, dass es ein plumper Phishing-Versuch ist, an die Daten von Netflix-Kunden heranzukommen.
Anzeige
Leute ist den nachdenken heutzutage so schwer? Wenn ich ne Mail bekomme wo irgendwas mit meinen Daten abgefragt werden soll dann lass ich die links liegen oder lösche diese gleich. Dann loggt man sich (nicht aus der Mail raus) in besagten Dienst ein
und schaut nach. Fertig! Da braucht man sich über Phishing keine Gedanken machen, egal wie gut oder mies die gemacht ist. Ihr gebt doch an der Haustüre wenn jemand klingelt auch nicht so einfach all eure Daten preis! Oder etwas doch?
Das hat auch nichts mit zu tun wann einem so eine Mail überrascht egal ob Morgens vor dem Frühstück Mittags Abends Nachts im Stress oder kurz vor Feierabend… einfach nach obiger Regel handeln und ihr könnte damit jedem Phisher den Stingefinger zeigen! *** Aussage wegen doch verunglimpfender Zuweisungen entfernt ***
Und als Bonus: Das funktioniert auch abseits der Mail, wie SMS, Messenger XY oder auch beim Brief und Fax. Ganz egal welche 'Masche' gerade als 'neu' durch die Medien geht.
Das Leben kann in der Hinsicht so einfach und sicher sein, aber leider sind sehr viele im Blindflugmodus online unterwegs. Nur nicht über das nachdenken, was gerade auf dem Bildschirm angezeigt wird…
Zu TAN-Zeiten haben Leute angeblich alle 100 TANs brav eingetippt.
naja wer 100 TAN schön brav auf die Phishing Seite abtippt… was soll man dazu noch sagen ;-P manche brauchen eben erst wirklich den Schaden.
Nein, Schadenfreude hilft hier nicht. Solche Leute gibt es heute natürlich auch und sie geben dann halt andere sensitive Daten preis. Die sind nicht immer dumm, sondern manchmal in der "neuen internet-Welt" einfach nicht geschult. Omas und Opas, auch die Nachwachsenden ("hier, Handy, bring's Dir selbst bei!"), die natürlich kein zweites mal fragen, wenn beim ersten mal ein hochnäsiges "das weiß man doch" kommt.
Deswegen sind Schulungen an Volkshochschulen auch immer noch relevant und werden besucht.
Denn für Spammer lohnt sich diese nachwachsende Resource offenbar immer (noch).
Jo, simples Pishing, wie es tausendfach täglich mit anderen Diensten auch versucht wird. Wie Luzifer schon geschrieben hat…. bei solchen Emails nie irgendwelche Links in Mails anklicken sondern immer manuell bei dem jeweiligen dienst anmelden und dort nachschauen.
Was ergibt eine Suche mit URLScan.io?
Hilfreich könnte auch sein die Header der Webseite zu lesen:
curl -I -k [domain.tld]
Gab des nicht einen Provider dessen DNS bei einer nicht existierenden Domain auf Google umleitete?
Auch gibt's Server die Anstatt einer 404 auch den User auf Google setzten?
Die pfeffern zig Millionen emails ab. Da werden schon ein paar Netflix User bei sein.
Und auch welche, die den Link benutzen
Es sei an an die man TAN Zeiten erinnert, zu der die Opfer gebeten wurden,
alle 100 nummerierten TANs einzugeben.
Wird mein Hinweis auf die TAN:-Zeiten, in denen die Opfer 100 TANs eintippten immer wieder gelöscht?
Ist das ein Trigger Wort?
Ich kann dazu nichts sagen – weder im Papierkorb noch im SPAM-Ordner habe ich einen Eintrag finden können – allerdings sind nicht alle Filter von mir gesetzt, sondern einiges erledigt auch ein Plugin.
also ich seh deinen TAN Kommentare … passiert mir aber auch mal das ich meine Kommentare nach absenden nicht zu Gesicht bekomme, da hilft ein neu laden der Seite, dann sind sie da.
Bei sowas immer mit urlscan.io eine Zweitmeinung einholen …
Dort sieht man, das es zu htt**://redde.builderallwppro.com/account/NETFLIX/login
geht …
Das nochmal bei urlscan.io rein und man sieht eine Nachgebaute Netflix Seite.
Und das Virustotal sieht dann so aus:
https://www.virustotal.com/gui/url/abd337cee19858eaf115e814f61483a2ad79b419aab6c64a8c31cfe1e66f8f41?nocache=1
Da braucht's keine Zweitmeinung – ab in den Papierkorb und gut ist's.
Warum soll man da Lebenszeit investieren?
Kann jemand die
redde.builderallwppro.com/account/NETFLIX/style/js/Baby.js
entziffern?
Der ISP hosted auch weitere Scam-Versuche:
art-trad-di.builderallwppro.com/PostBank.de/meine/
(auf https[:]//urlscan.io/result/ef20d29e-7aca-4a44-bd4a-b9eeea2265ed)
ISP: AS15083 INFOLINK-MIA-, US (Florida)
(https[:]//urlscan.io/asn/AS15083)