Kleiner Hinweis für Administratoren von Webauftritten, die auch für die Server oder Hosting-Pakete zuständig sind. Ein Blog-Leser hat mich informiert, dass aktuell wohl eine Phishing-Kampagne läuft, die auf Kunden des Hosters Strato abzielt (könnte auch andere Hosting-Kunden treffen). In einer Phishing-Mail wird dem Empfänger vorgegaukelt, dass sein SSL-Zertifikat beim Hoster abläuft und er sich über ein Formular um die Erneuerung kümmern muss. Ist natürlich Betrug und dienst dazu, die Zugangsdaten abzugreifen.
Anzeige
Die Cyberkriminellen feilen ständig daran, wie sie ihre Opfer über den Tisch ziehen und an deren Zugangsdaten für Online-Konten gelangen können. Spezielle Leute, die für das Hosting von Webseiten zuständig sind, haben einen besonderen Wert. Gelingt es den Cyberkriminellen Zugang zum Webhosting-Paket zu erhalten, könnte dort Malware installiert werden. Ein Blog-Leser hat mich bereits im August 2023 kontaktiert, weil er eine ihm neue Phishing-Mail erhalten hatte. Dazu schrieb er mir:
Hallo Günter,
vielleicht interessiert es ja, heute morgen eine Phishing-Mail zu einer Strato-Domain im Posteingang gehabt. Und mal was anderes als das schon regelmäßige "Verweigerung der Verlängerung ihres Domainnamens".
Ich gestehe, eine Phishing-Mail mit Hinweis auf die Verweigerung der Verlängerung der Domain-Registrierung habe ich persönlich bisher noch nicht bekommen. Der Leser schrieb dann noch etwas zum Inhalt der Mail:
Ich müsste mein SSL-Zertifikat verlängern. Erster Gedanke vor genauem Draufschauen "kann doch nicht sein dass die das nicht automatisch hinbekommen", ist ja ein von Strato generiertes Zertifikat, keines das ich selbst hochgeladen habe wo ich tatsächlich aktiv hätte werden müssen.
Meine Webseite aufgerufen für die das angeblich schon gestern abgelaufen sein soll, Seite lädt normal mit grünem Schlüsselsymbol. Eigenschaften des Zertifikats sagen gültig bis April 2024.
Mit dieser schnellen Überprüfung hat der Leser bereits die Spreu vom Weizen getrennt – denn es gilt bei solchen Themen sich immer am üblichen Webportal anmelden, wobei die URL für das Portal einzutippen ist (keine Links oder URL-Vorgaben aus Mails benutzen).
Die zweite Prüfmöglichkeit wäre, die URL des eigenen Webauftritts im Seiten zur Prüfung des SSL-Zertifikats eingeben. Das könnte beispielsweise auf der Seite ssl-trust.com oder ssllabs.com sein. Die Webseiten melden nach einer Analyse, wann das registrierte SSL-Zertifikat abläuft.
Anzeige
Dem Leser war also schnell klar, dass dies ein Phishing-Versuch war. Er hat mir dazu noch obigen Screenshot mit der Phishing-Nachricht geschickt. Lustig fand der Leser die Fake-URL in der Mail, die aus einem Kunden (customer) einen Kostümverleiher (costumer) macht. Und die URL ist auch "kostümiert", würde ganz woanders hin führen wie man am Popup im Screenshot sieht.
Strato hat eine Seite um Mails auf Phishing zu prüfen, da hab ich diese komplett (als *.msg aus Outlook gespeichert) hochgeladen damit die ggf.
(hoffentlich) weitere Schritte unternehmen können wie zumindest die Zielseite stilllegen lassen (ich habe erst gar nicht versucht die
aufzurufen). Denn wahrscheinlich werden viele Strato-Domainkunden solch eine Mail bekommen. Und Kunden anderer Hoster ggf. das gleiche optisch angepasst.Laut Header ging die Mail an die Adresse webmaster@<meinedomain> die ich nirgends verwende. Außerdem kam die Mail aus Frankreich über den Provider
Gandi SAS, wegen SPF mit einer anderen Envelope-Absenderadresse als der Strato-ähnlichen die man beim Öffnen der Mail als "From" sieht:…
Received-SPF: pass
(strato.com: domain mjcs****.org designates 217.70.190.214 as permitted sender)
mechanism=ip4;
client-ip=217.70.190.214;
helo="mail2.mjcs***y.org";
envelope-from="info@mjcsavigny.org";
receiver=smtpin.rzone.de;
identity=mailfrom;
Received: from mail2.mjcs***.org ([217.70.190.214])
by smtpin.rzone.de (RZmta 49.6.6 OK)
with ESMTPS id xxxxxxxxxxxxxxx
(using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256 bits))
(Client did not present a certificate)
for webmaster@xxxxxxxxxxxxxxx.de;
…
Ich gehe mal davon aus, dass der die angegebene E-Mail-Adresse von einem gehackten Konto stammt. Der Blog-Leser hat mir im Nachgang mitgeteilt, dass er inzwischen insgesamt drei weitgehend gleiche Mails zur angeblichen Strato-SSL-Verlängerung an verschiedene Mailadressen bekommen hat, wobei deren Fake-Link jeweils auf unterschiedliche Adressen verlinkt. Alle Mails hat er bei Strato über die Phishing-Check-Seite hochgeladen. Es ist davon auszugehen, dass er nicht alleine ist. Das passiert sicher automatisiert und massenweise. Also immer schön vorsichtig bei Mails sein, die zu irgend einer Online-Aktivität auffordern – es könnte Phishing sein.
Anzeige
Zumindest mal halbwegs gutes deutsch.
"Es ist von entscheidener Bedeutung" würde aber eine Company zu ihren Customern so hier nicht formulieren.
spielt doch keine Rolle ob das in perfektem Deutsch ist oder nicht. Es ist nur Phishing und beherzigt man die 2 Grundregeln ist man zu 100% vor Phishing geschützt!
Diese sollte in 2023 auch mitlerweile jeder kennen, wurde ja seit Jahrzehnten
in den Medien rauf und runtergebetet.
Ich sage es immer wieder: wer auf phising reinfällt ist selbst Schuld! Das war in den Anfangszeiten des Internet evtl. ein Problem da man es noch nicht besser wusste, aber heute gibt es dafür keine Ausrede mehr.
Sollte wegen der komischen Domäne sslstrato.de eigentlich schon auffallen. Und dann auch noch unbekannte Empfänger. Bei so einer Mail würde ich gleich die Header anschauen.
Strato hat mir übrigens auch eine Warnung vor Phishing geschickt.
Mails von Strato lassen sich leicht erkennen, denn im Kopf des Mailtextes steht oben rechts immer die Kundennummer und die Auftragsnummer. Zudem spricht einen Strato immer mit Namen an!
Fehlt eines dieser Dinge, dann stammt die Mail NICHT von Strato!
Und Strato hat eine Mail-Validierung.
Da kann man prüfen, ob die Mail tatsächlich von Strato stammt:
https://phishing-contact.strato.de/
Bzgl. der Zertifikatsverlängerung:
Das passiert bei Strato automatisch und es gibt deswegen auch keine Möglichkeit, das manuell anzustoßen.
Bitte auch hier gillt, schickt solche Mails an eure Provider als Anhang weiter, damit die die gefälschten Login-Seiten, Domänen usw. abschalten können!
Für Strato gillt, wie in https://www.borncity.com/blog/2023/09/09/warnung-phishing-mail-zu-nicht-zugestellten-mails-zielt-auf-11-kunden/ als Kommentar verlinkt: https://phishing-contact.strato.de/ – Der Provider liest dort bestimmt mit und wertet solche Phishing-Versuche aus und nimmt die Seiten vom Netz. Jeder Provider hat solch ein Verfahren.
Habe ich auch zum wiederholten Mal bekommen.
Ganz gut gemacht und nur ein Grammatikfehler, aber die Absenderadresse info[ät]terrapsy.org und die verlinkte URL hXXp://48ym1o03.homeoffice-point.com/TR484 040 lassen doch aufhorchen.
48ym1o03.homeoffice-point.com könnten die Hacker tatsächlich extra gemietet zu haben, dort läuft noch eine Plesk-Default-Seite. Normalerweise findet man auf solchen Hauptseiten sehr oft WordPress basierte Webseiten, die dann gehackt wurden und wo es neue Unterseiten gibt, die der Besitzer noch nicht selbst entdeckt hat. Deswegen ist es so extrem kritisch, WP zeitnah zur Herausgabe eines Updates zu aktualisieren. Am harmlosesten ist dann noch, dass man den Traffic der Hacker auf seiner Seite zahlt.