Aktuell laufen wohl wieder Kampagnen mit SPAM-Mails, die dann auf auf Google-Seiten verlinkten. Ziel ist es, Reputation beim Opfer vorzugaukeln. Auf der Google-Seite werden dann aber Links auf Phishing-Seiten untergebracht. Stefan hatte mir die Tage eine solche Mail zukommen lassen. Ich bereite den Sachverhalt mal etwas im Detail auf.
Anzeige
Ein Leserhinweis auf die SPAM-Kampagne
Stefan K. hatte mich am 22. November 2024 per Mail unter dem Betreff "Netter (untauglicher) Versuch" auf die SPAM-Kampagne hingewiesen. Die angehängt Mail ist in folgendem Screenshot abgebildet.
Ich habe die im Feld An im Klartext zu erkennenden Empfänger verschleiert – die Nachricht geht ausschließlich an arcor.de-Postfächer. In der Mail erfährt der "Lieber ARCOR-Nutzer", dass ein "KONTO-UPDATE 2024" ansteht und der Betreff suggeriert ausstehend E-Mails von Arcor und dass es mit den "Benachrichtigungseinstellungen" zu tun habe.
Es sei das letzte Mal, dass man den Empfänger informieren möchte, dass "wir", also ARCOR, die Verarbeitung eingehender E-Mails im Benutzer-Konto für die E-Mails eingestellt habe.
Dann kommt die vermeintliche Drohung: "Da Sie sich geweigert haben, Ihr Konto auf unseren neuen Dienst zu aktualisieren, sind wir gezwungen, Ihr Konto zu sperren, wenn Sie diese Benachrichtigung ignorieren." Wer kann da als Empfänger, der gerne sein Arcor-E-Mail-Postfach behalten möchte, schon widerstehen? Ist schließlich ein "Angebot, was Du nicht ablehnen kannst". Netter weise ist noch einen Link KONTO JETZT AKTUALISIEREN mit in der Mail enthalten, um den Vorgang schnell erledigen zu können.
Anzeige
Spannende Verlinkungen
Hier im Blog gibt es den aktuellen Kommentar "Über Google Groups läuft aktuell auch eine SPAM-Kampagne seit drei Wochen. Google kümmert sich leider, trotz Meldung vom SPAM, nicht darum. Hoffentlich landen die bald ebenfalls auf den RBLs.", der auch in diese Richtung gehen könnte (ich kenne aber keine Details. In obiger Mail ist nun interessant, dass der Link KONTO JETZT AKTUALISIEREN beim Zeigen per Maus eine Google-Seite verweist.
Ich habe die Google-Seite mal im Tor-Browser aufgerufen. Diese zeigt einen Text zur ARCOR Epoxy Technologies – Datenschutzrichtlinie an. Ok, ich bin auf der ARCOR-Webseite, die mir unverständliches Zeugs um die Ohren hauen, aber immerhin, mir wird ein Link am Textanfang angeboten.
Ein Epoyid-Harz Hersteller in den USA
Und jetzt wird es interessant, so dass ich es ein wenig aufbereiten möchte. Der Telekommunikationsanbieter ARCOR fungiert unter der Domain arcor.de, was sich an den E-Mail-Adressen aus dem Screenshot mit der SPAM-Mail erkennen lässt. Schaut man sich aber mal an, was hinter ARCOR Epoxy Technologies steckt, stößt man auf einen kleinen Betrieb in den USA, der sich mit Epoxid-Harzen beschäftigt. Die haben aber mit Sicherheit nichts mit den Datenschutzbedingungen von ARCOR-Deutschland zu schaffen.
Google Sites für tolle Phishing-Seiten
Das Dokument, welches obiger Screenshot im Browser zeigt, liegt auf einer Google Cloud-Seite. So etwas stutzig macht den geneigten Beobachter, wenn er per Maus auf das blau unterlegte Banner "Klicken Sie hier, um fortzufahren und die neuen aktualisierten Nutzungsbedingungen und Datenschutzrichtlinien von Arcor." zeigt. Abgesehen davon, dass der Satz abgebrochen ist, verweist das Ziel auf eine ganz merkwürdige URL, wie sich in der Fußzeile des obigem Screenshots erkennen lässt.
Das Zertifikat ist als Wildcard für *.google.com zum 21. Oktober 2024 ausgestellt, und läuft im Januar 2024 ab. Schon wieder mysteriös, das Ganze – wird aber einen normalen Nutzer nicht stören.
Wer aber mal die URL sites.google.com in einem Browser aufruft (das ist ja Teil der URL aus der obigen "Arcor-Datenschutzseite") bekommt nachfolgende Information gezeigt. Unter der URL können Fremde "unkompliziert tolle Websites für Ihr Team, ein Projekt oder eine Veranstaltung" erstellen. Du brauchst nur OK zu klicken und bist glücklich.
Sprich: Auf der Seite kann jeder seinen Schmodder abladen. Kuckt mal, ich bin auch auf Google Sites, sogar unter guenni zu finden.
Das ging ja einfach, ich bin drin. "A Schlaraffenländ" für jeden Spammer, würde ich mal sagen.
Was meint Virustotal dazu?
Ich habe dann mal Virustotal mit der "Arcor-Datenschutzseite" gefüttert und bekam folgende Information.
Da klingelt zumindest bei einem der 96 Security-Scanner was und der schreibt, dass die Seite schädlich (Malicious) sei. Ein zweiter Scanner meldet, dass die Seite verdächtig (Suspicious) sei.
Die Phishing-Seite in voller Pracht
Ich habe dann doch mal die Ziel-URL, die auf der "ARCOR-Datenschutzseite" so verlinkt wurde, in einem Browser aufgerufen (sollte niemand nachmachen). Da bekam ich dann nachfolgende Seite angezeigt.
Gut, die Gestaltung der Formularseite hat den Anschein, als Vodafone einen Praktikanten von einer Umschulung der Bundesagentur für Arbeit dran gelassen, dann aber die Praktikumsvergütung nicht bezahlt hat.
Aber Hand auf's Herz, das sieht doch richtig seriös aus. Was schreibt der Born für einen Stuss? Live Anbieter sind international aufgestellt und melden sich schon mal mit I am human, drohen mit AI-Bots und Captchas und haben auch sonst so einiges an "Nerv" auf Lager. Aber der normale Mensch ist willig, loggt sich mit seinen Benutzerdaten ein und ist fortan glücklich. Nie mehr Ärger mit vergessenen Login-Daten, denn die sind ja weg, weg, weg.
Ok, falls wer doch noch Zweifel haben sollte: Das oben gezeigte ist eine arg schlecht gemachte Phishing-Seite, wie ich sie nicht schlechter hin bekommen hätte. Also obacht, wo ihr eure Daten im Internet eingebt. Und gibt die obige Analyse ggf. auch an andere Nutzer, die auf so etwas hereinfallen könnten, weiter.
Anzeige
Ich vermute, da werden einige drauf reinfallen, die aktuell Probleme mit Arcor-/Vodafonemail haben, das Forum spricht Bände.
Habe selbst noch ein Arcor-Konto, aber bis dato nichts davon mitbekommen, da ich – wie diverse andere Kunden – keinerlei Spam-Mails bekomme, sie werfen gnadenlos und ungefragt alles weg, Spam-Ordner ist seit Wochen leer.
z. B. https://forum.vodafone.de/t5/MeinVodafone-E-Mail/Spam-Ordner-seit-Wochen-leer/td-p/3157141
Ahja, na mal sehen, noch ist nichts angekommen aber das kann ja noch werden.
ich habe von einem Verwandten eine Variante mit einer URL zu https://yftghtj.weebly.com/ weitergeleitet bekommen, die liefert aber inzwischen einen 404. Weebly scheint offenbar schneller Seiten zu sperren als Google ;-)
Typo:
"Epoyid-Harz"
-> "Epoxid-Harz"
oder Epoxy
—
2.
Typo #2:
"fungiert under der"
-> "fungiert unter der"
—
3.
Typo #3:
"denn die sich ja weg, weg, weg."
-> "denn die sind ja weg, weg, weg."
Off-Topic II:
Ist es Absicht oder hängt es mit dem Blog-Umzug zusammen, dass Links in Kommentaren sich nicht in neuem Fenster öffnen? Beim Draufklicken verlässt man den Blog, während Links im Text wie gewohnt in einem eigenen Fenster geladen werden.
Hat mit dem Umzug nichts zu tun, sondern mit WordPress – in Artikeln kann ich über Attribute steuern, ob es interne Links, zu öffnen im Browser-Tag, oder externe Links, zu öffnen in einem neuen Tab, sind. Bei Kommentaren konnte ich das früher auch steuern – vor vielen Monaten scheint diese Option aber weggefallen zu sein – die Attribute werden aus Kommentaren rausgefiltert und alles öffnet sich im gleichen Tab.
Das scheint eine Welle zu sein: bei mir kam heute eine Email von "Strato" herein (Absender: noreply@inv-strato.de) in der ebenfalls ein Link zu Google (https://google.de/amp/s/gamesban.com//01s/?kzadhejb=xxxx <- ich habe das hier bewusst ausgeixt) zum Anklicken eingebaut war – damit ich auch weiterhin deren Dienste nutzen darf, sollte ich schnell die letzte nicht beglichene Rechnung zahlen…
Bekomme viele dieser ganzen Spam Wellen garnicht.
Eher nur den Müll welcher über Google und Microsoft verteilt wird, weil Blacklisten beide Anbieter nicht wirklich hart abstrafen.
Google interessiert sich für sowas nicht. Es gab vor etwa einen halben Jahr eine gigantische wahrscheinlich auf einen Hack der Google Analytics Technik basierende Referal-Spamwelle von der auch unsere Firmenwebseite betroffen war. Das lief ca. einen Monat lang vor sich hin und hunterte Kommentare und 1800 Klicks auf "Ich hab das selbe Problem" sammelten sich in mehreren Threads, bevor man sich bei Google dann letzlich auch mal entschloß, sich dann dazu zu bequemen, das Problem doch endlich mal zu lösen.
https://support.google.com/analytics/thread/259268902/referral-spam-news-grets-store-poland?hl=en