Aktuelle Phishingwelle bei Hetzner (Juni 2024)

Sicherheit (Pexels, allgemeine Nutzung)Kurze Information an die Leserschaft, um die Aufmerksamkeit für dieses Thema aufzufrischen. Ralf hat mich darüber informiert, dass wieder eine Phishing-Welle läuft, dessen Absender der Hoster Hetzner sein soll – was natürlich Fake ist. Behauptet wird, dass die Domain nicht mehr zugreifbar sei, weil es ein Problem mit einem Zahlungsversuch gegeben habe. Ziel ist es, die Zahlungsinformationen des Opfers abzugreifen. Wer bei Hetzner hostet, könnte möglicherweise darauf hereinfallen.


Anzeige

Ralf schrieb mir dazu: "Aktuell läuft mal wieder eine Phishing Welle mit angeblichem Absender von Hetzner,
sehr gut gemacht, Link führt jedoch auf eine Seite die ich nicht aufrufen möchte. Kurzes Telefonat mit Hetzner hat bestätigt, das hier aktuell wieder etwas unterwegs ist, bin nicht der einzige der angerufen hat." Das ist eine gute Idee, wenn man sicher sein möchte, dass die Mail vom wirklichen Absender kommt, bei den als Kunde bekannt sein sollten Kontaktadressen nachfragen (und nicht bei Adressen, die eventuell in der Mail genannt werden, die könnten Fake sein). Hier noch ein Screenshot der betreffenden Mail (leider habe ich von Ralf nur eine Grafik erhalten).

Hetzner-Phishing-Mail (Juni 2024)

Wie man ggf. bei einer Analyse vorgehen könnte, ohne sich dem Risiko einer Infektion auszusetzen, habe ich im kürzlich veröffentlichten Blog-Beitrag Phishing-Welle mit Warnung vor angeblichem Virus skizziert. So ließe sich ein Online-Browser zur Inspektion der Zielseite verwenden – sollte aber nur von erfahrenen Personen durchgeführt werden.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

17 Antworten zu Aktuelle Phishingwelle bei Hetzner (Juni 2024)

  1. Charlie sagt:

    Darauf fällt jemand herein?

  2. GüntherW sagt:

    Auch wenn einzelne Formulierungen etwas komisch sind, die Zeiten von massiven Rechtschreibfehlern sind wohl vorbei.

    Auch wenn es 0815-Spam ist. Es dürfte jetzt Teilen der Bevölkerung definitiv sehr schwer fallen Spam zu erkennen, wenn man nicht weiß wo man hinschauen soll. Gerade wenn die Spammer noch anfangen es mit "KI" zu koppeln, dass jede Mail vom Inhalt/Betreff noch individueller wird.

    Man läuft aus meiner Sicht gerade evtl. in ein mittelgroßes Problem, insb. weil viel Spam bisher extrem schlecht gemacht war.

    • Niels sagt:

      Parallel dazu werden echte Mails immer schlechter, so zumindest mein Eindruck bei manchem Großkonzern, sodass beide Sorten Mails wie ein Einheitsbrei aussehen

  3. Anonym sagt:

    Da derzeit sogar Sparkassen offiziell und ernsthaft wirre Mailings mit Betreff "Ist Ihr Passwort 12345678" u.ä. als Werbekampagne für irgendein Produkt mit Klick Button herumschicken, darf man sich nicht wundern, wenn Leute auf alles mögliche ähnliche reinfallen.

  4. 1ST1 sagt:

    So ähnlich gab es die kürzlich auch zu verschiedenen 1&1 Marken, u.a. Ionos und Winsim, wir hatten davon bei einigen Mitarbeitern über Wochen immer wieder welche im Postfach, teils wurde uns auch erzählt, dass solche Mails auch bei denen im privaten Bereich ankamen. Scheinbar haben die Phisher jetzt eine andere Marke vorgeknöpft.

    Die Qualität der Gestaltung und Formulierung dieser Mails wird (dank KI) immer besser. Man sieht es oft nur noch per Mausover auf die Absenderadressen und Ziel-URLs, die man anklicken soll.

  5. N. Westram sagt:

    Ich weiß nicht wie es bei Hetzner ist, aber bei Ionos wundert mich wie viele dieser Emails durch die Spamerkennung durchrutschen bei denen angeblich Ionos der Absender ist und entweder die Domain abläuft, das Postfach voll ist …
    Gerade hier sollte doch eine besondere Achtsamkeit gelten, da die eigenen Kunden dafür am anfälligsten sind. Wenn ich eine Email von Hetzner erhalte, dann ist mir das egal da ich kein Kunde bin, aber bei den angeblichen Ionos Emails ist das schon gefährlicher.

    Diesbezüglich ärgern mich auch viele Email-Programme / Email-Webdienste. Häufig wird nur noch der Absendername und nicht mehr die Email-Adresse angezeigt. Bei Links könnte man auch in der HTML-Ansicht hinter dem Link das Ziel als Klartext schreiben. Dann würde es den Anwendern einfacher gemacht die SPAM-Mails zu erkennen. Nicht jeder will den Quelltext der Emails durchlesen.

    • 1ST1 sagt:

      Bei Mailadressen und Weblinks reicht es in Outlook und Thunderbrid mit der Maus da drauf zu gehen und NICHT zu klicken, dann Statuszeile oder Popup beachten…

      • Anonym sagt:

        Leider beinhalten inzwischen auch viele legitime Mails seltsam aussehende Links, da die Absender unbedingt jeden Aufruf durch einen Tracking-Link schleusen müssen um die Nutzerinteraktion zu erfassen.

  6. michael sagt:

    Na endlich mal Spam etc. in korrektem Deutsch. Schade, daß man das erst mit der KI hinbekommt. Wir haben aber eine KI gegen die KI die das alles per Monatsabo per User erkennt. So sparen wir die Schulung der User.

  7. Tomas Jakobs sagt:

    Darauf fällt jemand rein? Ja wenn er Mail auf iOS Geräten nutzt, denn Apple schafft es nicht, die richtige Absenderadresse dort anzuzeigen. Und weil wir gerade von Phishing reden. Es erscheint mir eine typische Angewohnheit von WWW-Admins (Wald-Wiesen-Windows) zu sein, in ihren vergammelten O365 Konstrukten, wo MS jede Mail mitliest DMARC falsch zu konfigurieren. Just unlängst wieder passiert:
    https://blog.jakobs.systems/micro/20240604-o365-misconfiguration/

    Bei einem Unternehmen passiert, das Ende letzten Jahres wochenlang weg-geransomwared war. Lesson not learnt, kein Mitleid!

    • Anonym sagt:

      was soll man daraus jetzt lernen?
      Den Artikel hätte man sich sparen können, ohne sinnvolle Erklärung was jetzt genau das Problem ist.

  8. secondJo sagt:

    Viel Schlimmer sind derzeit die Phishing Wellen die eine MS365 Authentifizierung abgreifen wollen – indem Sie eine Anmeldung erfordern.

    Über eine gehackte vertrauenswürdige Mail Adresse versendet.
    (Selbst MFA wird ausgehebelt durch stehlen eines Session Tokens)

    Das haben wir derzeit häufig.

    Es wird immer komplizierter sich abzusichern… =/

    • Tomas Jakobs sagt:

      Nö, es ist nur für jene kompliziert, die "all in" auf Microsoft gegangen sind.

      Einen ganz gewöhnlichen, eigenen (Linux-) Mailserver mit SPF und DMARC nutzen, das meinetwegen auch mit einem ActiveSync und eigenem 2FA Webclient, und es gibt kein Phishing-Problem bzw. Versuche mit Emails der eigenen Domäne.

  9. Harald.L sagt:

    Sehr ähnliche Mail von "Strato" (natürlich nicht wirklich) hier am 1.6. eingetroffen, vom sehr bekannte "John Doe". Da kann man sogar mit Kryptowährung bezahlen ;-)

    STRATO

    Sehr geehrter Kunde

    Wir hoffen, dass es Ihnen gut geht.

    Wir wenden uns an Sie, um Sie darüber zu informieren, dass es ein Problem bei der Verarbeitung der Zahlung für Ihr Domain-Hosting bei Strato gab. Ihr letzter Zahlungsversuch für Ihre Domain, xxxxxxxxxx.de, war nicht erfolgreich.

    Um Unterbrechungen Ihrer Dienste zu vermeiden, bitten wir Sie, Ihre Zahlungsinformationen so schnell wie möglich zu aktualisieren.

    Wir bieten Ihnen mehrere Zahlungsmethoden zur Auswahl:

    Kryptowährung (Neu!)

    SEPA-Lastschrift per IBAN

    Kreditkarte

    Um Ihre Zahlungsdetails zu aktualisieren, klicken Sie bitte auf die Schaltfläche unten:

    [Zahlungsmethode aktualisieren]

    Wenn Sie Hilfe benötigen oder Fragen haben, zögern Sie bitte nicht, sich an unser Support-Team zu wenden.

    Vielen Dank für Ihre prompte Aufmerksamkeit in dieser Angelegenheit.

    Mit freundlichen Grüßen,

    John Doe
    Kundensupport-Spezialist
    Strato AG

    © 2024 Strato AG. Alle Rechte vorbehalten.

  10. Martin sagt:

    Ich bin heute früh halb drauf reingefallen. Es kam eine neue Email mit dem Hinweis, dass eine Rechnung nicht bezahlt sei und die Sperrung droht.

    Wegen der Urlaubszeit schmökerte ich nur per Handy (Mäusekino) durch die Postfächer und habe vor dem 2. Morgenkaffee die Email zumindest beantwortet, dass ich mich heute darum kümmere. Auf solche Links klicke ich generell nicht ohne Inspektion (und Wachsein).

    Nach dem Einloggen bei Hetzner über meinen Bookmark (bzw. manuell) war alles in Ordnung mit den Rechnungen und ich habe mir die Mail genauer angesehen und den Sh*t bemerkt.

    Jetzt habe ich denen allerdings bestätigt, dass meine Email aktiv gelesen wird. Tja, so schnell kanns gehen wenn man pennt…..

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.