Kurze Information bzw. Frage an die Leserschaft, ob noch jemand von einer massiven Phishing-Welle betroffen ist, bei der Name von UnitedDomains missbraucht wird? Ein Blog-Leser hat mich zum 26. Februar 2026 auf diesen Sachverhalt hingewiesen. In der Phishing-Mail wird versucht, an die Zahlungsdaten von UnitedDomains-Kunden heran zu kommen.
Ein Leserhinweis auf Phishing
Lukas H. hatte mich per E-Mail unter dem Betreff "Massives Phishing im Namen von UnitedDomains" angeschrieben. Er schrieb, dass er nicht weiß, ob auch Andere betroffen sind. Aber in seinem Unternehmensumfeld sind ca. 50 Empfänger vom "UnitedDomain-Spam betroffen". Es geht in den Spam-Mails um eine angebliche Abo-Verlängerung für UnitedDomains, weshalb die Empfänger angeschrieben wurden. Hier ein Screenshot dre Phishing-Mail, die es wohl auf deutsch und auch in englisch gibt.
Es wird suggeriert, dass der Zahlungstermin für ein "Abonnement" bereits abgelaufen sei und die Abbuchung über die hinterlegte Zahlungsmethode nicht erfolgreich durchgeführt werden konnte. Der Empfänger wird angewiesen, über einen Link "Zahlungsdaten jetzt aktualisieren" die betreffenden Angaben zu verifizieren.
Da weder eine Kundennummer noch eine Angabe, um was es bei diesem Abonnement geht, in der Mail zu finden ist, handelt es sich klar um Phishing. Ziel ist es, Bankdaten abzufragen, die dann missbraucht werden sollen.
Noch einige Informationen
Der Leser schrieb, dass wohl zwei Absender-Domains / Mailkonten gekapert wurden. Das schließt er daraus, dass alle Mails, die Lukas zu Gesicht bekam, von den beiden nachfolgend genannten Domains verschickt wurden.
- karlfeldhahn-stiftung.de – 91.208.75.211
- kindi.lt – 91.208.75.84
Beide Domains haben laut Leser SPF-Records (zwar nur auf Softfail gestellt aber egal), welche diese IPs als Absender autorisieren. Auf der Webseite von UnitedDomains gibt es die Seite Über die Server von united-domains wurde Spam an mich verschickt, die einige allgemeine Hinweise über die Absenderadressen des MAILER-DAEMON enthält. Wenn aber eine Domain oder ein legitimes Konto bei diesem Anbieter gekapert wurde, hilft dieser Hinweis zur Absenderkennung nicht. Weiterhin gibt es noch diesen Support-Beitrag mit allgemeinen Hinweisen, wie Nutzer Phishing erkennen können.
MVP: 2013 – 2016
Bekommen wir tatsächlich regelmäßig – in 2025 wurden noch PDF-Rechnungen mit portugisischer/spanischer IBAN verschickt…
nicht mehr als sonst auch… das Verhältnis erwünschte Mails zu unerwünschte Mails ( sprich Spam Phishing Maltware & Co.) ist ungefähr 50:50. Zu Gesicht bekomme ich da aber nix, da das die Security Appliancce recht zuverlässig filtert.
Einmal ordentlich trainiert kommt da faktisch nix durch. War am Anfang noch anders… selbstlernend und ganz ohne KI ;-P
Diese Phishing Emails mit United Domains laufen schon ewig. Gibt es aber auch von IONOS, Strato und Hetzner.
genau die Mails bekomme ich zur Zeit auch.
ärgerlich, sie werden zur Zeit nicht von Spamgateway erkannt.
Es ist momentan eigentlich ziemlich Lau, was Spam und Phishing angeht, ich bekomme seit Monaten Smava, Sky und "Ihre Cloud-Daten sind unmittelbar vom Löschen bedroht" und Lotto Angebote. Thunderbird sortiert die Mails bis auf ganz wenige direkt aus.
Habe ich bei uns noch nicht gesehen. Dafür bekommen wir aktuell recht viele Mails, in denen im Namen echter Rechtsanwaltskanzleien aus angeblichen Insolvenzen stammende (nicht existierende) Produkte angeboten werden. Mails und Kommunikation sind teilweise recht gut gemacht – und kommen regelmäßig durch die Spamfilter durch. (Fällt umso mehr auf, seit der ganze 0815-Spam am NoSpamProxy hängen bleibt.) Der Webauftritt wird demjenigen (wechselnder) echter Kanzleien nachgeahmt, nur Domain und Telefonnummer wird ausgetauscht. Legitim klingende Domain, Festnetznummer aus dem passenden Ort, Kommunikation teilweise in wirklich sauberem und professionellem Deutsch, Zahlungen (teilweise?) auf deutsche Konten. Mailserver wechsel schneller als man abuse reports schreiben kann, die Webseiten werden (recht erfolgreich) hinter Cloudflare versteckt.
Das ist wohl die gängige Methode Firmen Mails so gut es geht nachzuahmen wie es eben geht, nur geht es eben nicht mit der Mailadresse. Ich lasse die Grafiken auf den Mails schon lange nicht mehr zu, und sehe mir nur noch das geschriebene Wort und Mailadresse an.
Der größte Phishing und Spamversender ist Google.
Firebase, Google Group Lists, "private" Gmail Konten mit offensichtlich viel zu hohem Versandlimit. Definitiv kommt > 50% des Spams von Google, zeitweise über 80%. Eigentlich würde ich den ganzen Laden einfach sperren, der Rest ist Kollateralschaden.
Geht leider nicht, weil einige große Unternehmen über Google Workspace darüber versenden, so u.a. Ryanair, Doctolib, etc.
Dazu kommt, dass sie sich nicht an Standards halten. So nutzen sie in großem Stil auch Sekundäre MX Server, wenn ihnen der Primäre (Stichwort: before queue filtering) zu langsam ist.
Nur durch Google bin ich von before queue filtering weg, mit dem Nachteil, dass der Absender jetzt nicht mehr erfährt, wenn seine E-Mails kommentarlos gelöscht werden. Irgend einen Tod muss man sterben.