Ich stelle mal eine kurze Warnung hier im Blog ein, weil mir bereits zum zweiten Monat eine Phishing-Mail von 1&1 in meinem Postfach zugestellt wurde, die Rechnungs-Phishing bei IONOS versucht. Speziell, weil ich mal vor Jahren selbst für einige Minuten in einer Art "geistiger Umnachtung" auf so etwas reingefallen bin – das aber durch Änderung der Zugangsdaten sofort korrigieren konnte (siehe IONOS/1&1-Phishing: 'Mails in Warteschleife gelegt').
Bei IONOS / 1&1 bekommst Du als Kunde monatlich deine Abrechnung für deinen DSL-Vertrag und andere Leistungen per Mail zugestellt. Typischerweise als Benachrichtigung, dass die Rechnung im Kontrollcenter bereitliegt. Man kann sich die PDF auch direkt zuschicken lassen. Der Betrag wird automatisch abgebucht – so weit so gut.
Plötzlich eine "Abrechnungs-Mail" mit kruden Positionen
Vor einem einem Monat erhielt ich erstmals eine Phishing-Mail über mein E-Mail-Konto bei 1&1, welche mich über eine "vorliegende Abrechnung" informierte. Im ersten Moment habe ich gestutzt und vermutete einen Abrechnungsfehler, weil die Positionen nicht stimmten. Denn ich habe bei meinem 1&1 DSL-Vertrag mehrere E-Mail-Adressen sowie eine .de-Domain inkludiert (ist bei sehr alten Verträgen noch der Fall), wobei die .de-Domain nicht mehr für den Webauftritt genutzt wird. Ich verwende nur E-Mail-Postfächer.
Beim genauem Ansehen der Mail kam ich aber schnell darauf, dass es Phishing war. Wollte es noch kurz im Blog erwähnen, aber das ist angesichts der Vielzahl an Themen etwas untergegangen. Die Tage kam die nächste Phishing-Mail (siehe oben), und ich habe beschlossen, das hier im Blog kurz einzustellen.
Auf den ersten schnellen Blick sieht es in der obigen Mail so aus, als ob eine zusätzliche Gebühr für E-Mails in der Abrechnung erhoben wird (ist bei mir aber im DSL-Vertrag enthalten). Die Domain und meine E-Mail-Adresse, die angegeben sind, stimmen (aber diese Informationen sind öffentlich einsehbar).
Ein Blick auf die URL, die beim Zeigen auf "Abrechnung herunterladen" im E-Mail-Client angezeigt wird, zeigt bereits, dass es Phishing ist. Denn bookingbear.co.za gehört nicht unbedingt zum IONOS-Kosmos und klingt auch nicht so vertrauenswürdig.
Die Schaltfläche führt inzwischen zu einer leeren Seite. Ziel war es mutmaßlich, die Zugangsdaten abzufischen, um das E-Mail-Konto zu übernehmen. Was ich erstaunlich finde, ist der Umstand, dass die Phishing-Mail jetzt im zweiten Monat kommt und IONOS das in den SPAM-Filtern noch nicht abfangen kann.
Ähnliche Artikel:
Mal wieder IONOS E-Mail-Konten-Phishing
IONOS/1&1-Phishing: 'Mails in Warteschleife gelegt'
Phishing-Kampagne zielt auf 1&1/IONOS-Kunden
MVP: 2013 – 2016
Meiner Meinung nach fängt IONOS überhaupt sehr spärlich "IONOS" Betrugsmails ab und derzeit ist tatsächlich mal wieder einer Hochphase mit solchen Mails. Aber im Prinzip kommen IONOS Phising Mails recht regelmäßig.
Die letzten waren mal wieder etwas besser, aber im allgemeinen reicht ein Blick auf die Absenderadresse um es zu erkennen. Das ist nach wie vor der entscheidende Punkt. Traurig das nicht längst alle Mailprogramme eine fette Anzeige bei Mails haben, was die wirkliche Absenderadresse ist. Dann würde viel Phising auch durch weniger erfahrene Anwender besser erkennbar sein.
das hat Microsoft irgendwann einmal weg erfunden weil deren Outlook Adresse ein Ungetüm war das den Kunden zu sehr belastet hatte.
und alle machten es nach.
Es ist ein gewaltiger Aufwand, aber der Admin kann es einrichten.
Moin,
diese IONOS Rechnungs Mails bekommen wir eigentlich ziemlich regelmäßig
i.d.R. landen diese auch erfolgreich im SPAM-Filter aber manchmal fragen Kollegen doch wieder mal nach.
Momentan finde ich eher das Thema mit dem "You've received a Business Manager partner request" – Facebook – Phising nervig
https://www.reddit.com/r/facebook/comments/1t3ex4u/what_to_do_with_this_email_titled_youve_received/
https://www.alphamountain.ai/meta-business-manager-phishing/
Schöne Restwoche
Sebastian
Frage: Bekommt ihr diese IONOS-Rechnungsmails über IONOS-/1&1-E-Mail-Konten?
teilweise kommen die mit einem "gefälschten" Absender mit ionos hinten dran – heute wars aber nur eine Fantasiedomain. Also ganz verschieden.
Bei Zweifel einwerfen bei
https://postmaster-contact.ionos.de/help/email/validate
Antwort kommt sofort.
Danke für den Hinweis! Von meiner Seite zwei Anmerkungen: Bis die Leute beim "Zweifelsfall" angelangt sind und die Phishing-Nachricht auf obiger Seite überprüfen, haben zig Opfer vorher auf die Phishing-Mail reagiert. Ich bin heute im Nachgang zum Artikel auf obige Seite gestoßen, als ich danach gesucht habe, ob ich die Phishing-Mail an IONOS melden kann (damit die ihre SPAM-Filter auf das Muster trainieren). Eine Meldeseite habe ich nicht gefunden.
Imho hilft nur eines: IONOS muss für die Mails, die über deren Mail-Server zugestellt werden, die SPAM-Erkennung verbessern. Und da gilt: "Einmal ist keinmal, kann passieren, machen wir ab sofort besser". Wenn dann aber einen Monat später die gleiche Mail in angepasster Form zugestellt wird, liegt der Schluss nahe, dass die das nicht im Griff haben.
Wobei ich zur Ehrenrettung von 1&1 in meinem obigen Fall sagen muss, dass ich auf einem sehr alten DSL-Vertrag mit .de-Domain samt E-Mail inkludiert sitze. Bieten die längst nicht mehr an und wollen die Leute auf ihre IONOS-Verträge schieben, wo es dann anderen Ungemach gibt. Daher vermeide ich diese Umstellung wie der Teufel das Weihwasser – sitze aber wohl noch auf einem alten E-Mail-System. Aber bei meinem Postfach wirkt die SPAM-Erkennung inzwischen wirklich sehr gut, die Phishing Mail war seit langem wieder ein Ausrutscher (keine Ahnung, was der 1&1-Support gedreht hat, dass es seit Jahren wieder zuverlässig mit der SPAM-Filterung klappt).
Bei extrem alten 1&1/IONOS Konten weiß ich es nicht, aber bei neueren Konten (Nicht Hosted Exchange!) – kann man den SPAM Filter konfigurieren. Was der aber macht, wenn man den Regler auf Maximum schiebt weiß ich auch nicht. Vielleicht bleibt der Posteingang dann generell leer!
Ja, mit eigenem Mailserver und vorgelagerter Antispam Appliance war das Thema SPAM sehr viel schöner zu managen – On-Prem eben – aber der Aufwand für einen eigenen Mailserver ist mir mittlerweile zu groß. Zumal auch die Zuverlässigkeit der DSL Leitung zuletzt abgenommen hat – bzw. das neue Modem mit der Leitung nicht mehr so Robust zurecht kommt – nennt sich glaube ich Fortschritt oder so – muss mal raufinden was diese neue Sache Namens Fortschritt genau ist – vielleicht kann man das ja auch wieder abschalten?
Bei den alten 1&1-E-Mailkonten kann ich max. eine Mail-Domain im Spam-Filter sperren – sonst lässt sich nichts konfigurieren.
Keine Schieberegler für den SPAM-Filter?
Bei der Gelegenheit – hier kündigt sich gerade erhebliches Phising Ungemach an:
https://www.heise.de/news/DENIC-fordert-zur-Verifizierung-von-Domaininhaberdaten-auf-11283974.html
Den Schieberegler gibt es bei den alten E-Mail-Diensten im Control Center der E-Mail-Postfächer schlicht nicht. Auf diesen Sachverhalt fallen viele Leute herein, wenn ich teilweise die Spezialitäten im Blog thematisiere.
ich nutze ein Spamgateway vor dem all-inkl eigenen Mailserver. man muss keinen eigenen Mailserver betreiben.
Dieser Validator wurde hier in der Vergangenheit von diversen Lesern/Kommentatoren schon mehrfach genannt, auch von mir. Sollte man sich bookmarken, wenn man öfters von solchen Mails belästigt wird.
Außerdem ist es nützlich, sich mal das komplexe Firmengeflecht rund um Ionos ansehen, das ist auf Wikipedia ganz gut überschaubar. Die sind Teil von United Internet, das ist sowas wie die Dachorganisation, oder wie man das nennt. Und da gibts noch viele viele Marken mehr, die "irgendwas" machen, jede spezialisiert auf ihre eigene Kernkompetenz. Dann sieht man zum Beispiel, dass Ionos – ebenso wie Strato – gehostete Dienste oder ganze Server zum Vermieten anbietet.
Man wird also niemals eine Einzelrechnung zu einem Mailkonto von Ionos bekommen, weil das nicht deren Kerngeschäft ist. (Ja, man kann da auf einem angemieteten Server einen Mailserver betreiben, aber das ist dann Sache des Server-Mieters). Einzelne Mailkontos gibts im United Internet Konzern bei gmx, web.de, mailbox.org usw., auch mit eigener Domain, aber nicht bei Ionos. Ionos verkauft auch keine VDSL-Verträge, das liegt bei der Kernmarke 1&1. Ionos verkauft auch keine Handyverträge, auch das ist die 1&1 Kernmarke und diverse Marken der Drillisch, die auch zum Konzern gehört.
Mit dem Hintergrundwissen weiß man ziemlich sofort, ob an der Rechnungsmail angeblich von einer der United Internet Konzern Marken alles sauber ist.
Auch bei uns trudeln diese Mails regelmäßig ein, wir haben aber überhaupt nix von denen, und dementsprechend reagiert unser Spamfilter inzwischen, landet alles in der Quarantäne.
ich klick immer noch zusätzlich auf hilfe betrügerische Seite melden
"https://safebrowsing.google.com/safebrowsing/report_phish/?tpl=mozilla&url="
@Günther: Und wenn ich damit nur einen einzigen bewahre hat sichs schon rentiert.
Viele Mails kommen von ionos Adressen und verweisen auf Webseiten die bei ionos gehostet sind und auf den ein wordpress läuft.
O das nun gehakte WordPress Seiten oder mit admin 1234 bzw. geheim super abgesicherte Ionos Konten sind – keine Ahnung.
Interessant ist, ich persönlich bin Strato Kunde und krieg die nicht, im Job hab ich ionos und locker einmal alle drei Wochen kommt eine.
Wir haben täglich davon, die sind schon Witzig. Ich habe in der Firma eine Regel erstellt die alle IONOS * Rechnungen unter Admin Aufsicht stellt, und einmal im Monat filtere ich die 4 Korrekten Heraus , fertig.
Warum nicht nach korrektem Absender filtern?
Und wenn der komplett gespooft sein sollte, sollte das durch DMARC auffallen und auch filterbar sein.
Was mich persönlich wundert, ist der Umstand, dass IONOS / 1&1 das mit der SPAM-Filterung bei mir nicht auf die Reihe bringt. Wir hören doch allenthalben Wunderdinge über "diese KI", die auch Inhalte erkennen und Rechnungen korrekt in Buchhaltungssysteme einpflegen kann. Dann sollte es doch möglich sein, dass ein KI-gestützter E-Mail-Filter von 1&1 diese Fake-Mails erkennt und raus filtert. Für mich deutet es darauf hin, dass trainierte Systeme fatal versagen und blind sind, sobald ein Pattern auftritt, für das keine Trainingsdaten vorliegen.
Die Gefahr, dass Menschen auf so was hereinfallen, ist durchaus gegeben. Die oben zitierte Phishing-Mail rangierte bei mir nicht unter "was soll der Mist, erkennt ein Blinder doch auf Meilen Entfernung, sofort löschen", sondern fällt in die Kategorie "ups, was ist da schon wieder bei 1&1 los …", dann genaues Hinschauen, "… ach, ist SPAM".
Noch a bisserl komplexer sind dann Mails von Herrn Microsoft himself persönlich, wo ich auch nach Monaten nicht sicher bin, ob es Phishing, Unfähigkeit dieses hohen Hauses, oder einfach ein Bug ist (wobei es imho Tausenden Empfängern solcher Mails genau so geht, sehe ich an zahlreichen Interneteinträgen in Foren). Es bleibt also kompliziert – lieber einmal zu viel gewarnt als zu wenig.
Weder 1u1 noch Strato bekommen das hin (wie es bei anderen aussieht, entzieht sich meiner Kenntnis), angebliche "eigene" Rechnungen in deren eigenen Email-Systemen herauszufiltern…nix wirklich neues. Da muss leider selbst Hand angelegt werden und leider sind die Fake-Emails z.T. sehr gut gemacht…
Schon mal darüber nachgedacht, dass sie die Mails nicht lesen dürfen? Da dürften sich viele völlig zu Recht wegen Datenschutz beschweren.
Spam sollte natürlich schon automatisch im Header eingefügt werden, sofern man den Spamfilter aktiviert hat. Aber da sind die Angreifer leider sehr findig beim umgehen. Und wer verschiedene Postfächer hat sieht auch nicht immer in der Masse sofort wo das gerade durchgeschlüpft ist.
Ärgerlich ist es natürlich schon. Aber wenn ich mich über jede Phishingmail in einem meiner Postfächer aufregen würde, dann wäre ich schon vor vielen Jahren an plötzlichem Herzkasperl verstorben.
Womit ich nicht sagen will, dass man auch mich nicht mal auf dem falschen Fuß erwischen kann. Habe gerade wieder vier Phishingversuche gelöscht. Schauen alle recht echt aus. Habe nur zum Glück derzeit mit diesen sehr großen Firmen nichts zu tun.
Microsoft schafft es doch mit seinen Angeboten genau so wenig. Da kommt auch viel Spam durch.
Einerseits ständig auf KI schimpfen, gebetsmühlenartig die Fehleranfälligkeit von KI ankreiden, und dann andererseits hoffen, dass ein Mailanbieter alle Mails durch eine KI als Spamfilter treibt? Irgendwie wiedersprüchlich.
Wozu? Ich stelle schlicht Sachverhalte fest! Und beim SPAM-Filter könnte ich mir durchaus ein lokal laufendes LLM vorstellen, was die Bewertung vornimmt. Das kann ein auf Effizienz getrimmtes, sehr kleines, aber selbst lernendes Modell sein, was genau diese Aufgabe erledigt. Was maximal schief gehen kann, ist dass eine E-Mail als false positiv im SPAM landet, oder eine verdächtige Mail durchkommt (aber das haben wir heute schon. Also wo ist das Problem?
Ich vermisse bei solchen Kommentaren schlicht Pragmatismus und erkenne eher Missionarisches. Ja, ich spieße Fehlentwicklungen und Probleme im KI-Bereich auf. Nein, ich verweigere mich nicht zu 100 % dieser Technologie, sondern befasse mich (aus Zeit- und Ressourcenmangel – und es gibt auch wichtigeres – nicht genug) damit und setze diese auch gezielt ein. Und ja, ich nutze sogar Vibe Coding – habe bisher aber noch kein Projekt produktiv gestellt (auch da fehlt mir die Zeit). Bisher sind mir die Ergebnisse nicht valide genug, als das ich das produktiv als WordPress-Plugin einsetzen könnte.
Und stell dir vor, ich nutze Windows 10 (ein LTSC) und Linux abwechselnd – und finde auch Linux in manchen Belangen schwierig. Aber die Gängelei, die ich bei meinen VMs mit Windows 11 erlebe, ist mir unter Mint bisher nicht untergekommen. Aus dieser Sicht lassen mich Windows 10 (LTSC) und Mint als Betriebssystem schlicht arbeiten – dafür setze ich die Dinger ein – und sehe dies nicht als Selbstzweck, um irgendwas abzudrehen etc. In gehe da pragmatisch vor und bin da persönlich sehr entspannt unterwegs.
"könnte ich mir durchaus ein lokal laufendes LLM vorstellen, was die Bewertung vornimmt."
Ja, richtig, lokal, bei Ihnen auf dem Klapptop.
@Froschkönig, das Wort schreibt sich widersprüchlich ;-p
Und NEIN es ist eben NICHT widersprüchlich, wenn man schreibt upps auch dieses Versprechen hält die AI/KI nicht.
Ich persönlich finde ja die Schreibweise Kay One für diese Art der Zeit / Ressourcenverschwendung angebrachter, das verstehen aber nur Mattscheiben Eingeweihte.
Das sollte man über eine "Und" Verknüpfung mit dem Inhalt des Headers, z.B. über die Nachrichten ID, DKIM, SPF, Return-Path etc. aber eleganter hinbekommen.
Einfach Mal 30 Minuten hinsetzen und die Header der echten Mails auf Gemeinsamkeiten prüfen und dann mit den Header der Fake Mails vergleichen.
Gruß
und ich mich mit einem Kollegen der sein Konto bei GMAIL hat über seine IONOS Rechnung unterhalten will, die er an mich weitergeleitet hat?
Das kommt hier täglich bei mehreren Kunden an und das schon seit Wochen.
Hilft nur im Spamfilter konsequent alles mit Betreff Ionos und 1&1 zu löschen und die Rechnungen händisch aus dem Portal zu ziehen.
Sind aber auch alles Ionos Kunden und damit vermute ich das bei denen mal was abhanden gekommen ist ;)
Ich bekomme verschiedenste ähnliche Mails schon seit Monaten, oft ist eine Datei mit der Endung .pdf.html angehängt. Die meisten dieser Mails kommen durch das Spam Filter durch, es gibt immer wieder neue Variationen.
Lieber Herr Born,
ich kann dazu auch nur sagen: Danke für den Post, als Reminder für ALLE!
Ja – man kann auf die paar kleinen Rechtschreibfehler achten
Ja – man kann auf die „Professionalität" der Mail achten
Ja – man kann in den Quelltext der Mail schauen
Ich nehme mich da nicht aus. In dem ganzen Gewusel Privat und auf der Arbeit falle ich ab und zu auch auf unsere Awareness-Kampagnen rein…
Ja, ich weiß es als Admin besser.
Aber in der heutigen schnelllebigen und von allen Seiten mit Information befeuerten Zeit ist es einfach schwieriger, weil einfach immer mehr Dinge zusammenkommen und man dann nicht an die einfachen Sachen denkt.
Ich finde es vor allem für den normalen User wird es immer schwieriger, auf die Details zu achten! Ist die Mail richtig gut, schauen wir ja am Ende nochmal in den Quelltext. Erklär das mal einem User…
Dazu sehen wir seit einigen Wochen z. B. bei unseren Kunden ein höheres Aufkommen an Spam/Phishing seitens validen "temporären" Google-Servern (SPF/DKIM/DMARC – pass). Da kann es dann am Ende auch bei 1 von 100 vielleicht passieren, dass man denkt: „Oh, die brauch ich, muss ich mal schauen, was Rechtsanwalt XY möchte, gebe ich mir mal ausm SPAM frei." – Link ggf. geklickt, mal drauf geantwortet ( Fisch am Haken)….
Auch das Aufkommen an Phishing-Mails, deren Ursprung ein gekapertes M365 Exchange-Konto ist und dann seinen Weg über "temporäre" Google-Server findet, hat auch ordentlich zugenommen!
Es wird einfach schwieriger, und das beste Mitarbeiter-Awareness hilft nichts, wenn in der
IT nicht diverse Stellschrauben vorhanden sind, die greifen.
Und meine Meinung zu guten Awareness-Kampagnen – besser hier mal auf nen Link geklickt, was definitiv nicht geil ist!! Aber man hat den "scheiße" und hoffentlich auch den Lerneffekt!
Das schärft einem dann wieder für die nächste Zeit, die Sinne.
Denn Awareness Schulung ist das Training und die Kampagne ist der Wettkampf 😊
Euch einen schönen Tag 😊
gab es nicht da mal so ein System das sehr wirksam gehen Emails von Unbefugten gewesen sein sollte? irgendwas mit Mark oder Kim. War wohl so ein runnig Gag wie Solid State Akkus?
1und1 und IONOS sprechen in echten Mails Ihre Kundschaft immer persönlich an, niemals mit "Sehr geehrter….., Lieber Kunde….. usw". Daran sollte man es leicht erkennen können. Natürlich sollte man trotzdem wachsam sein….eine Plage unserer Zeit…
Eigentlich ist es doch ganz einfach. IONOS schickt keine Rechnungen per E-Mail nur den Hinweis, dass eine im Portal vorhanden ist.
Dummerweise ist es NICHT SO EINFACH! Kuckst Du oben, siehst Du, dass die keine Rechnung in diesem Sinne schicken – möglicherweise hat meine Titellei dich in die Irre geführt. Die behaupten nur, es länge eine neue Rechnung vor, geben einen Betrag an, der die Leute, die Flat-Rate E-Mails haben, sofort triggert. Könnte ja ein Fehler von IONOS sein (ging mir so). Freundlicherweise enthält die Mail einen "Rechnung herunterladen"-Button – wer ab da nicht aufpasst, sitzt in der Falle.
Zudem kann man im Control-Center von 1&1 einstellen, ob man die Rechnungen aus deren Portal herunterladen, oder doch wieder per E-Mail-Anhang haben möchte.
Das Thema nimmt zu. Das eigentliche Problem ist ja, dass jemand versucht im Namen einer Marke, ein Mail zu schicken.
Die ganzen Hinweise.. von wegen Absender Adresse prüfen usw. sind eher sinnlos.
Wenn man es zu Ende denkt, lernt man.. das einzige was hilft, ist das Ende von Kennwörtern. Sobald es die nicht mehr gibt kann man sie auch nicht mehr klauen.
Oder technischer Formuliert, was fehlt, ist dass sich Portale beim Anwender auch authentifizieren.
Genau, soll der Berg zum Propheten kommen. 😉
Das ist falsch, ich erhalte die schon ewig per Mail und ich wüsste nicht das jemals bewusst so eingestellt/angefordert zu haben.
Ich bekomme meine Rechnung auch per Mail. IIRC wurde mir das vor einigen Jahren als Opt-in angeboten.
Es ist schon seit Jahren bei Ionos grauenhaft, was die "Erkennung" von Mails mit Ionos- oder ähnlichen ählichen Namen angeht. Lonos (sieht mit serifenlosem Font wie Ionos aus), "von Ionos", ungelogen vorgestern "Opa Kunz von Ionos" u.s.w.u.s.f. werden alle nicht als Spam erkannt. Da steckt wohl Absicht hinter, ein käufliches Paket zu kaufen, mit dem es dann doch bestimmt besser funktioniert…
Ich habe im Webfrontend unter dem linken drei-Striche-Menü unter "Einstellungen" (text untern rechts) in "Anti-Spam" mal whitelist und blacklist-Adressen eingetippt, aber das ist müßig. Lieber eins höher unter "Mail -> Regeln" solche für whitelist und blacklist definieren, da kann man feiner unterscheiden. Würde ich gerne exportieren und hier zum Importieren reinstellen, aber: das geht ja nicht, man kann die Seite nicht mal als Text kopieren, ist wohl auch nicht gewollt! :/