Kurze Information an die Leserschaft, um die Aufmerksamkeit für dieses Thema aufzufrischen. Ralf hat mich darüber informiert, dass wieder eine Phishing-Welle läuft, dessen Absender der Hoster Hetzner sein soll – was natürlich Fake ist. Behauptet wird, dass die Domain nicht mehr zugreifbar sei, weil es ein Problem mit einem Zahlungsversuch gegeben habe. Ziel ist es, die Zahlungsinformationen des Opfers abzugreifen. Wer bei Hetzner hostet, könnte möglicherweise darauf hereinfallen.
Anzeige
Ralf schrieb mir dazu: "Aktuell läuft mal wieder eine Phishing Welle mit angeblichem Absender von Hetzner,
sehr gut gemacht, Link führt jedoch auf eine Seite die ich nicht aufrufen möchte. Kurzes Telefonat mit Hetzner hat bestätigt, das hier aktuell wieder etwas unterwegs ist, bin nicht der einzige der angerufen hat." Das ist eine gute Idee, wenn man sicher sein möchte, dass die Mail vom wirklichen Absender kommt, bei den als Kunde bekannt sein sollten Kontaktadressen nachfragen (und nicht bei Adressen, die eventuell in der Mail genannt werden, die könnten Fake sein). Hier noch ein Screenshot der betreffenden Mail (leider habe ich von Ralf nur eine Grafik erhalten).
Wie man ggf. bei einer Analyse vorgehen könnte, ohne sich dem Risiko einer Infektion auszusetzen, habe ich im kürzlich veröffentlichten Blog-Beitrag Phishing-Welle mit Warnung vor angeblichem Virus skizziert. So ließe sich ein Online-Browser zur Inspektion der Zielseite verwenden – sollte aber nur von erfahrenen Personen durchgeführt werden.
Anzeige
Darauf fällt jemand herein?
Auch wenn einzelne Formulierungen etwas komisch sind, die Zeiten von massiven Rechtschreibfehlern sind wohl vorbei.
Auch wenn es 0815-Spam ist. Es dürfte jetzt Teilen der Bevölkerung definitiv sehr schwer fallen Spam zu erkennen, wenn man nicht weiß wo man hinschauen soll. Gerade wenn die Spammer noch anfangen es mit "KI" zu koppeln, dass jede Mail vom Inhalt/Betreff noch individueller wird.
Man läuft aus meiner Sicht gerade evtl. in ein mittelgroßes Problem, insb. weil viel Spam bisher extrem schlecht gemacht war.
Parallel dazu werden echte Mails immer schlechter, so zumindest mein Eindruck bei manchem Großkonzern, sodass beide Sorten Mails wie ein Einheitsbrei aussehen
Da derzeit sogar Sparkassen offiziell und ernsthaft wirre Mailings mit Betreff "Ist Ihr Passwort 12345678" u.ä. als Werbekampagne für irgendein Produkt mit Klick Button herumschicken, darf man sich nicht wundern, wenn Leute auf alles mögliche ähnliche reinfallen.
So ähnlich gab es die kürzlich auch zu verschiedenen 1&1 Marken, u.a. Ionos und Winsim, wir hatten davon bei einigen Mitarbeitern über Wochen immer wieder welche im Postfach, teils wurde uns auch erzählt, dass solche Mails auch bei denen im privaten Bereich ankamen. Scheinbar haben die Phisher jetzt eine andere Marke vorgeknöpft.
Die Qualität der Gestaltung und Formulierung dieser Mails wird (dank KI) immer besser. Man sieht es oft nur noch per Mausover auf die Absenderadressen und Ziel-URLs, die man anklicken soll.
Ich weiß nicht wie es bei Hetzner ist, aber bei Ionos wundert mich wie viele dieser Emails durch die Spamerkennung durchrutschen bei denen angeblich Ionos der Absender ist und entweder die Domain abläuft, das Postfach voll ist …
Gerade hier sollte doch eine besondere Achtsamkeit gelten, da die eigenen Kunden dafür am anfälligsten sind. Wenn ich eine Email von Hetzner erhalte, dann ist mir das egal da ich kein Kunde bin, aber bei den angeblichen Ionos Emails ist das schon gefährlicher.
Diesbezüglich ärgern mich auch viele Email-Programme / Email-Webdienste. Häufig wird nur noch der Absendername und nicht mehr die Email-Adresse angezeigt. Bei Links könnte man auch in der HTML-Ansicht hinter dem Link das Ziel als Klartext schreiben. Dann würde es den Anwendern einfacher gemacht die SPAM-Mails zu erkennen. Nicht jeder will den Quelltext der Emails durchlesen.
Bei Mailadressen und Weblinks reicht es in Outlook und Thunderbrid mit der Maus da drauf zu gehen und NICHT zu klicken, dann Statuszeile oder Popup beachten…
Leider beinhalten inzwischen auch viele legitime Mails seltsam aussehende Links, da die Absender unbedingt jeden Aufruf durch einen Tracking-Link schleusen müssen um die Nutzerinteraktion zu erfassen.
Na endlich mal Spam etc. in korrektem Deutsch. Schade, daß man das erst mit der KI hinbekommt. Wir haben aber eine KI gegen die KI die das alles per Monatsabo per User erkennt. So sparen wir die Schulung der User.
"Wir hoffen, dass diese Nachricht Sie wohl erreicht." und "Vielen Dank für Ihre schnelle Aufmerksamkeit in dieser Angelegenheit." ist also korrektes Deutsch?
Na dann …
Ich würde nicht an der User-Schulung sparen, die finden immer einen Weg, um durch zu kommen…
Darauf fällt jemand rein? Ja wenn er Mail auf iOS Geräten nutzt, denn Apple schafft es nicht, die richtige Absenderadresse dort anzuzeigen. Und weil wir gerade von Phishing reden. Es erscheint mir eine typische Angewohnheit von WWW-Admins (Wald-Wiesen-Windows) zu sein, in ihren vergammelten O365 Konstrukten, wo MS jede Mail mitliest DMARC falsch zu konfigurieren. Just unlängst wieder passiert:
https://blog.jakobs.systems/micro/20240604-o365-misconfiguration/
Bei einem Unternehmen passiert, das Ende letzten Jahres wochenlang weg-geransomwared war. Lesson not learnt, kein Mitleid!
was soll man daraus jetzt lernen?
Den Artikel hätte man sich sparen können, ohne sinnvolle Erklärung was jetzt genau das Problem ist.
Viel Schlimmer sind derzeit die Phishing Wellen die eine MS365 Authentifizierung abgreifen wollen – indem Sie eine Anmeldung erfordern.
Über eine gehackte vertrauenswürdige Mail Adresse versendet.
(Selbst MFA wird ausgehebelt durch stehlen eines Session Tokens)
Das haben wir derzeit häufig.
Es wird immer komplizierter sich abzusichern… =/
Nö, es ist nur für jene kompliziert, die "all in" auf Microsoft gegangen sind.
Einen ganz gewöhnlichen, eigenen (Linux-) Mailserver mit SPF und DMARC nutzen, das meinetwegen auch mit einem ActiveSync und eigenem 2FA Webclient, und es gibt kein Phishing-Problem bzw. Versuche mit Emails der eigenen Domäne.
Sehr ähnliche Mail von "Strato" (natürlich nicht wirklich) hier am 1.6. eingetroffen, vom sehr bekannte "John Doe". Da kann man sogar mit Kryptowährung bezahlen ;-)
STRATO
Sehr geehrter Kunde
Wir hoffen, dass es Ihnen gut geht.
Wir wenden uns an Sie, um Sie darüber zu informieren, dass es ein Problem bei der Verarbeitung der Zahlung für Ihr Domain-Hosting bei Strato gab. Ihr letzter Zahlungsversuch für Ihre Domain, xxxxxxxxxx.de, war nicht erfolgreich.
Um Unterbrechungen Ihrer Dienste zu vermeiden, bitten wir Sie, Ihre Zahlungsinformationen so schnell wie möglich zu aktualisieren.
Wir bieten Ihnen mehrere Zahlungsmethoden zur Auswahl:
Kryptowährung (Neu!)
SEPA-Lastschrift per IBAN
Kreditkarte
Um Ihre Zahlungsdetails zu aktualisieren, klicken Sie bitte auf die Schaltfläche unten:
[Zahlungsmethode aktualisieren]
Wenn Sie Hilfe benötigen oder Fragen haben, zögern Sie bitte nicht, sich an unser Support-Team zu wenden.
Vielen Dank für Ihre prompte Aufmerksamkeit in dieser Angelegenheit.
Mit freundlichen Grüßen,
John Doe
Kundensupport-Spezialist
Strato AG
© 2024 Strato AG. Alle Rechte vorbehalten.
Ich bin heute früh halb drauf reingefallen. Es kam eine neue Email mit dem Hinweis, dass eine Rechnung nicht bezahlt sei und die Sperrung droht.
Wegen der Urlaubszeit schmökerte ich nur per Handy (Mäusekino) durch die Postfächer und habe vor dem 2. Morgenkaffee die Email zumindest beantwortet, dass ich mich heute darum kümmere. Auf solche Links klicke ich generell nicht ohne Inspektion (und Wachsein).
Nach dem Einloggen bei Hetzner über meinen Bookmark (bzw. manuell) war alles in Ordnung mit den Rechnungen und ich habe mir die Mail genauer angesehen und den Sh*t bemerkt.
Jetzt habe ich denen allerdings bestätigt, dass meine Email aktiv gelesen wird. Tja, so schnell kanns gehen wenn man pennt…..