Phishing-Welle: "Ihre lΟNΟS R‌echnung … ist da"; keine Reaktion von IONOS?

MailKurzer Hinweis für Nutzer, die irgend einen Vertrag bei IONOS / 1&1 haben. Der Anbieter hat ein Problem: In den letzten Wochen nimmt Phishing rund um "IONOS-Rechnungen" zu. Und es hat den Anschein, dass der Anbieter bei den von ihm verwalteten Postfächern nichts tut bzw. das Problem nicht im Griff hat.

Ein kurzer Rückblick auf die letzten Monate

Ich habe mal nachgeschaut, bereits im Mai 202t gab es den Blog-Beitrag Mal wieder IONOS E-Mail-Konten-Phishing, der sich mit einer Pishing-Welle befasste. Mir war eine Phishing-Welle, die auf IONOS-Kunden abzielte, aufgefallen, weil diese Meldungen zuverlässig im Postfach vom SPAM-Filter in den betreffenden SPAM-Ordner einsortiert werden. Da ich ein E-Mail-Postfach bei 1&1 führe, lautete mein Schluss "die haben das im Griff".  Aber nun scheint das nicht mehr im Griff zu sein, weshalb ich es aufgreife.

Phishing-Welle seit April 2026?

Aber seit April / Mai 2026 läuft wohl eine Phishing-Welle nach der anderen und die Mails schlagen durch den SPAM-Filter durch – so mein Eindruck. Ich hatte zum 7. Mai 2026 den Beitrag Warnung vor IONOS/1&1 Rechnungs-Phishing hier im Blog, weil mir bereits zum zweiten Monat eine Phishing-Mail von 1&1 in meinem Postfach zugestellt wurde, die Rechnungs-Phishing bei IONOS versucht.

IONOS-Phishing-Mail

Hintergrund ist, dass Kunden von IONOS / 1&1monatlich eine Abrechnung für den DSL-Vertrag und andere Leistungen per Mail zugestellt bekommen. Auf den ersten schnellen Blick sieht es in der obigen Mail so aus, als ob eine zusätzliche Gebühr für E-Mails in der Abrechnung erhoben wird (ist bei mir aber im DSL-Vertrag enthalten). Die Domain und meine E-Mail-Adresse, die angegeben sind, stimmen (aber diese Informationen sind öffentlich einsehbar),

Ein Blick auf die URL, die beim Zeigen auf "Abrechnung herunterladen" im E-Mail-Client angezeigt wird, zeigt bereits, dass es Phishing ist. Denn bookingbear.co.za gehört nicht unbedingt zum IONOS-Kosmos und klingt auch nicht so vertrauenswürdig.

Versagt die IONOS-Phishing-Erkennung?

Bei Postfächern, die von IONOS gehostet werden, bieten IONOS \ 1&1 einen SPAM-Filter an, der nach meinem Dafürhalten in den letzten Jahren auch gut funktionierte (ich nutze sogar nur den abgespeckten SPAM-Filter, der bei Postfächern, die im DSL-Vertrag inkludiert sind, der nur begrenzte Konfigurationsoptionen hat).

Aber seit April 2026 schlagen wieder vereinzelt "IONOS-Phishing-Mails" durch. Blog-Leser Gregor S. hatte mich darauf hingewiesen, dass es bei denen zum 8. Juni 2026 eine massive Phishing-Welle gab, die bei deren E-Mail-Postfächern eingeschlagen sei. Es wurde in einer Meldung an die Buchhaltung behauptet, dass eine SEPA-Lastschrift fehlgeschlagen sei. Ist natürlich Phishing. Ich hatte dieses Thema in mehreren Blog-Beiträgen, die am Artikelende verlinkt sind, aufgegriffen.

IONOS-Problem: Meldung über neuen Rechnungs-SPAM

Die letzten Tage hat mich der Betreiber der kleinen Seite zoopresseschau.info mehrfach kontaktiert, und schrieb, dass er jeden Tag zahlreiche neue, ernste Phishing-/ Betrugsmails erhält, die IONOS-Kunden angreifen. Alle Mails würden über IONOS/1&1 ohne Filter und ohne Spam-Markierung über deren Server an die eigenen Kunden in vorgeblich geschützte Kundenpostfächer verteilt!

Eine Phishing-Mail als Beispiel

Mir liegt eine dieser E-Mail als Beispiel vor, die einen Rechnungsbeitrag ankündigt. Ich habe die Mail nachfolgend mal abgebildet. Alleine die bei mir im Thunderbird abgebildete Absender-Adresse für diese Mail zeigt, dass es sich um Phishing handelt.

IONOS-PhishingIONOS-Phishing-Mail; Zum Vergrößern klicken

Die Rechnungen von IONOS sehen zudem anders aus und enthalten eine Vertragsnummer etc. Weiterhin lässt sich beim Zeigen auf den Button "Rechnung ansehen" die zugehörige URL zum Abrufen der Rechnung in der Fußzeile des E-Mail-Clients anzeigen. Es ist sofort erkennbar, dass die URL auf irgend einer gekaperten / missbrauchten Seite liegt. Die Mail gehört also gelöscht.

Phishing-Mails bei IONOS prüfen und melden

IONOS bietet eine Möglichkeit, Phishing-Mails auf Gültigkeit zu prüfen und auch zur weiteren Veranlassung einzureichen.

  • Dazu ist die Phishing-Mail im E-Mail-Client auf einem Gerät lokal zu speichern (geht im Thunderbird unter Windows mit dem Kontextmenübefehl Speichern unter.
  • Anschließend ruft man die IONOS-Seite Echtheit einer E-Mail überprüfen zum Validieren auf und zieht die .eml-Datei der gespeicherten E-Mail in das angezeigte Feld des Validators.

IONOS-Validator

Wer aus Gründen der Vertraulichkeit nicht die gesamte E-Mail in den Validator hochladen möchte, kann im E-Mail-Client auch den E-Mail-Header im Quelltext markieren, in die Zwischenablage kopieren und im Feld Optional: Echtheit anhand des E-Mail Headers prüfen des Validators einfügen. Die Schaltfläche Prüfen leitet eine Validierung ein.

IONOS-Validator-Ergebnis

In der Ergebnisseite des Validators wird angezeigt, ob die E-Mail legitim ist. Diese Seite enthält noch einige Ratschläge, die Opfer, die auf Phishing hereingefallen sind, berücksichtigen und ausführen sollten. Zudem besteht die Möglichkeit, die Phishing-E-Mail zur Prüfung an IONOS zu schicken.

Anmerkungen: Aus naheliegenden Gründen sollte man keine Mails mit vertraulichen Informationen vollständig in den Validator hochladen. Bei der Meldung einer E-Mail zur Prüfung an IONOS ist es zwar naheliegend, dass damit auch die SPAM-Filter trainiert werden. Ich bin aber nicht sicher, ob das dann auch Eingang in die SPAM-Filter aller Postfächer findet. Ich habe noch eine .de-Domain aus einem sehr alten 1&1 DSL-Vertrag, die inkludiert ist. Die E-Mail-Postfächer laufen dort nicht unter den üblichen IONOS E-Mail-Systemen – sehe ich daran, dass die Optionen für SPAM-Filter nicht dem entsprechen, was mir von der Leserschaft berichtet wird.

Diese Prüfung / Meldung ist nutzlos

Der Betreiber der obigen Zoo-Seite scheint seit Wochen mit dem IONOS-Support bezüglich des Themas im Austausch, ohne das etwas passiert. Er schreibt, dass das Problem seit Monaten bekannt sei, es passiere nichts. Vielfache Hinweise an IONOS würden ignoriert oder mit Standardtexten wie "dieses Mail stammt nicht von uns" abgewimmelt.

Als neueste Masche würde bei IONOS nur noch eine "KI" antworten, die aber nur ein Automat sei. Sobald das Wort "Phishing" in einer Anfragt auftaucht, käme eine völlig unpassende Automatikantwort, die nichts hilft und selbst reiner Spam sei. Niemand bei IONOS scheine Beschwerden noch zu lesen, geschweige denn seriös und fachlich korrekt antworten zu können. Mir liegen Mails, die ausgetauscht wurden vor und der Betreiber merkt an:

Es ist einfach unglaublich, wie sorglos IONOS mit der Sicherheit seiner eigenen Kunden umgeht. Jeden Tag kommen immer besser gefälschte ernste Phishing-/Betrugsmails wie dieses, die IONOS-Kunden angreifen, und die IONOS/1&1 ohne Filter und ohne Spam-Markierung über seine eigenen Server an seine eigenen Kunden in vorgeblich geschützte Kundenpostfächer verteilt!

Und damit spricht der Betreiber der obigen Zoo-Seite das Kernproblem an: Die Leute buchen E-Mail-Postfächer bei IONOS / 1&1, in der Hoffnung, dass der Betreiber dort auch für Sicherheit sorgt. Bei den Postfächern ist ein SPAM-Schutz enthalten, der eigentlich solche offensichtlichen Phishing-Versuche erkennen müsste.

  • Die Mail dreht sich inhaltlich offensichtlich um "Rechnungs-/Finanzthemen", die IONOS-Kunden betreffen
  • Der Absender ist nicht IONOS selbst – wodurch sofort ein Trigger anschlagen müsste.

Die Mails sind zwar encodiert, aber diese obigen Trigger müssten eigentlich dafür sorgen, dass die Nachrichten in den SPAM-Ordner einsortiert oder zumindest im Betreff als "SPAM" markiert werden sollten. Passiert aber offenbar nicht. Wie ist eure Erfahrung diesbezüglich?

Ähnliche Artikel:
Warnung vor neuer IONOS-Phishing-Mail
IONOS-Phishing-Welle: "SEPA-Lastschrift fehlgeschlagen"
Warnung vor IONOS/1&1 Rechnungs-Phishing
Mal wieder IONOS E-Mail-Konten-Phishing

Dieser Beitrag wurde unter Mail, Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen für den Permalink.

52 Kommentare zu Phishing-Welle: "Ihre lΟNΟS R‌echnung … ist da"; keine Reaktion von IONOS?

  1. Martin S. sagt:

    Habe auch gerade eine entsprechende Mail im Buchhaltungspostfach gefunden, vielen Dank.

  2. Nordnavigator sagt:

    Zitat: "Als neueste Masche würde bei IONOS nur noch eine "KI" antworten, die aber nur ein Automat sei. Sobald das Wort "Phishing" in einer Anfragt auftaucht, käme eine völlig unpassende Automatikantwort, die nichts hilft und selbst reiner Spam sei. Niemand bei IONOS scheine Beschwerden noch zu lesen, geschweige denn seriös und fachlich korrekt antworten zu können."

    Willkommen in der kafkaesken KI-Supporthölle. Das wird nicht mehr besser werden, und ist mir ebenfalls schon bei einigen großen deutschen Unternehmen aus dem IT-Umfeld begegnet. Gruselig. Ich werde meinen Kunden zukünftig Empfehlungen aussprechen, die sich noch stärker daran orienteren, wie gut (und wie gut erreichbar) der Support eines Herstellers ist.

  3. ilu sagt:

    Ich bin davon nicht direkt betroffen, da ich keine Mailadresse bei 1&1 / IONOS habe, aber ich bekomme seit dem Wochenende massiv Spam-Mails auf meine GMX-Mailadresse. Da GMX wie IONOS zu United Internet gehört, könnte es hier evtl. ein generelles Problem mit dem Mailfilter geben.

    • JohnRipper sagt:

      Gerade mal überprüft: ist auf meinen GMX Emailadressen ähnlich. Da ich aber alles in Office265 weiterleiten lasse, weisen die MS Server den Krempel im SMTP Dialog schon ab und es fällt mir nicht auf.

  4. R.S. sagt:

    Stimmt denn die Kundennummer, die auf der Beispielrechnung zu sehen ist?
    Die Kundennummer ist i.d.R. nicht öffentlich zugänglich.
    Fehlt die Kundennummer oder ist falsch, handelt es sich zu 100% um Spam/Phishing.
    Stimmt der Aufbau der Rechnungsnummer?
    Wenn nicht, ist es zu 100% Spam/Phishing.
    etc. etc.
    Und schon die Ansprache mit "Sehr geehrter Kundin, sehr geehrter Kunde" und "Guten Tag mail@tld.de" zeigt, das es Spam/Phishing ist, denn der Versender einer echten Rechnung kennt den Namen des Kunden und nennt ihn auch.
    Auf einer echten Rechnung würde also z.B. "Sehr geehrter Herr Born" stehen.

    Es gibt noch mehr solche Dinge, anhand denen man eine Mail als Spam/Phishing erkennen kann.
    Da können die Spammer/Phisher noch so sehr eine Rechnung optisch und sprachlich perfekt machen, an bestimmte Daten, die auf einer echten rechnung stehen, kommen die nicht dran, ohne das echte Unternehmen zu hacken.

  5. Christian Krause sagt:

    meine eigenen Domains und ein paar von andern Kunden sicher ich mit Proxmox Mail Gateway ab und habe dafür viel Zeit investiert, die sicherlich so nicht jeder aufbringen kann und will.
    ich habe im Proxmox Forum hierzu Anleitungen hinterlassen, mit denen man diese Ergebnisse (Filtererfolg > 95%) reproduzieren kann.

    bei meinem GMX Postfach funktioniert das mangels eigener Domain nicht, meine Erfahrung dort ist aber: seit ca. einem Jahr hat GMX das Thema eingehenden Spam unglaublich gut im Griff. es kommen nur noch einzelne spams im Monat durch. früher waren es mehrere am Tag

    • Martin S. sagt:

      Dann hast du einen Pro Account oder? Denn der Account meiner Eltern bekommt täglich ca. 5 Spam Mails. Diese werden aber vom Spamfilter von Thunderbird relativ gut rausgelöscht. Man muss diesen allerdings trainieren, indem man entsprechende Mails mit "j" als Spam markiert.

      • Christian Krause sagt:

        ne, tatsächlich nicht.
        ist ein free Account

      • Nourius sagt:

        Ich verwende sowohl einen Pro-Account sowie eine Freemail-Adresse. Auf beiden Accounts hatte ich bis letzte Woche keinerlei Spam. Lediglich beim Pro-Mailer waren es einmalig 5 E-Mails in Spamordner in der letzten Woche. Aber das war es dann auch schon. Der Pro ist seit mehreren Jahren, wenn nicht sogar Jahrzehnte aktiv. Der Free Account muss als Anmelde- und Kontaktinfo für Spiele etc herhalten und ist (ich kann leider nur schätzen) 3 Jahre alt?

        Über Thunderbird filtere ich keinen Spam aus, sondern habe selektiv IMAP Ordner abonniert und sortiere bei Bedarf per Drag an Drop um. Da ich auch mit Vivaldi und mit Apps unter Android E-Mails abhole, ist Filterung über Thunderbird oder Mailclients allgemein für mich kein Thema.

        Bei WEB.DE wurde einige Zeit der Spam zu 100% in Spam Ordner oder Unbekannt einsortiert. Teilweise zwar dutzendweise, aber ohne dass mir wichtige E-Mails falsch abgelegt wurden.

        Von daher stufe ich die UI / Ionos / 1&1 Postfächer und die Filter auf den Servern als zuverlässig und gründlich ein, was meine Nutzung angeht.

        Ansonsten klicke ich bei Zweifeln keine Links in den E-Mails an. Lieber über den Browser mit Bookmark für die Firmen, bei denen ich Kunde bin. Bisher ging das ohne Zwischenfälle gut.

  6. dasLutzel sagt:

    "Früher" (also bis vor ein paar Wochen) wurde man täglich benachrichtigt, wenn die Spam-Erkennung Nachrichten in den Spam-Ordner umsortierte. Seit Mai (?) funktionierte das dann plötzlich nicht mehr, obwohl sich diese Benachrichtigung in den Einstellungen des Postfachs immer noch aktivieren/deaktivieren ließ. Mittlerweile gibt es diese Option nicht mehr und man ist gezwungen, täglich "händisch" in den Spam-Ordner zu schauen (oder einen IMAP-Mail-Client zu benutzen), falls doch eine fehlerkannte Nachricht dort gelandet ist.

    • Borkum123 sagt:

      Stimmt, bis 30.4. war das so, ab da wurde ein passive Info zum aktiven "Du must selbst gucken!". In den letzten Benachrichtigungs-Mails stand das sogar drin:
      "Wichtiger Hinweis: Wir entwickeln unseren E-Mail-Service weiter. Bitte beachten Sie, dass dieser tägliche Spambericht zum 30.04.2026 eingestellt wird. Sie können Ihre Spam-Nachrichten weiterhin jederzeit direkt in Ihrem Spam-Ordner, in Webmail oder über Ihr E-Mail-Programm per IMAP einsehen."

      "Wir entwickeln unseren E-Mail-Service weiter.": Wenn das nicht blanker Hohn ist! Wir bekommen einfach so ins Gesicht gelacht!

      • N. Westram sagt:

        Danke für die Info, das war tatsächlich an mir vorbei gegangen.

      • User007 sagt:

        ""Wir entwickeln unseren E-Mail-Service weiter.""
        Was GENAU ist denn an dem Satz falsch?
        "Wenn das nicht blanker Hohn ist! Wir bekommen einfach so ins Gesicht gelacht!"
        Ist da nicht viel eher die Erwartungshaltung des Nutzers FALSCH bzw. von eben seiner priorisierten Interessenbehaftung folgenden Parametern getragen?
        Das die nunmal selten(st) mit der Interessenbehaftung von Gewerbetreibenden übereinstimmt, sollte mittlerweile selbst der letzte Idealist begriffen haben. 🤷‍♂️

        • Visitator sagt:

          Bei Web.de bekomme ich täglich eine Info, bei GMX kommt ganz selten Spam, da kann ich es noch nicht beurteilen.
          Ich habe keine Info, dass da was abgeschaltet werden soll.
          Sind beides alte Freemail-Konten (25/20 Jahre alt)

          Bei web.de und GMX habe ich die Einstellung noch:
          Automatischen Spam-Report senden (nur für POP3 Nutzer verfügbar)

          Wenn die das einstellen, muss ich als POP3-Nutzer den Spamfilter ausschalten wie bei T-Online, das weckt keine Freude.

          Wir haben die Rezeptur verbessert (für mehr Gewinn bei weniger Qualität).

  7. Christian sagt:

    Ich könnte hier jetzt einen langen Aufsatz hinterlassen. Die Essenz wäre diese:
    Glaubt tatsächlich nach über einem viertel Jahrhundert E-Mail-Nutzung noch irgendjemand, dass man das Spam-Problem bei E-Mail irgendwann in den Griff bekommt? Alle technischen Maßnahmen sind komplett betriebsblind und die wesentliche Schwachstelle wird immer mangelnde Erfahrung, Wissen und Verständnis auf Seiten der Empfänger sein. Wenn wir 90% des Spams vor dem Empfänger verstecken, kann man nicht erwarten, dass auf die wenigen Mails, die dann durchrutschen niemand reinfällt.
    Insgesamt wird das Problem damit auch nur unter den Teppich gekehrt. Im Sinne von Löschen statt Sperren, müssten viel mehr Ressourcen darauf verwendet werden, die Verursacher zu erwischen. Bislang ist die Spam-Bekämpfung in etwas so erfolgreich wie der "War on Drugs".

    • R.S. sagt:

      Das ginge schon.
      Bei Kunde hier hat für einige Emailadressen ein Whitelisting eingeführt.
      Steht die Sendeadresse nicht auf der Whitelist, kommt die Mail zurück mit dem Vermerk, das die Annahme der Mail verweigert wird.
      Man muss da explizit bei einer anderen Mailadresse einen Antrag stellen, das man auf die Whitelist gelangt.

      So etwas ähnliches lässt sich auch in einigen Mailprogrammn (z.B. Outlook Classic) einrichten:
      Alles, was nicht auf der Whitelist steht, landet im Spamordner.
      Und man könnte das auch teilweise automatisieren:
      Alle Mailadressen, an die man selbst eine Mail gesendet hat, landen auf der Whitelist.

      • Bernd Bachmann sagt:

        Ist aber keine allgemeine Lösung, oder?

        Ich stelle mir vor, ich kontaktiere ein Unternehmen, weil ich eine Frage zu dessen Angebot habe oder gar — Horror! — einen Auftrag erteilen möchte, und dann soll ich erst einen Antrag stellen, dass ich mit dem Unternehmen kommunizieren darf? Mein Interesse für dieses Unternehmen hätte sich damit erledigt.

        • R.S. sagt:

          Nein, so läuft das da auch nicht.
          Allgemeine Adressen laufen bei dem Kunden ohne Whitelisting.
          Es betrifft nur spezielle Adressen, wie z.B. die interne Instandhaltungsabteilung.
          Zu der hat man ja normalerweise nur Kontakt, wenn die den Erstkontakt macht.

          Aber als Privatperson kann man schon Whitelisting machen.
          Beispielsweise kommen auf die Whitelist alle Freunde, Verwandte und Bekannte, Versicherungen, Banken, etc.
          Und dadurch, das alle Mails von unbekannten Absendern im Spamordner landen, sind die Mails ja nicht weg, aber es erhöht deutlich die Wachsamkeit bzgl. des Inhalts der Mails.
          Beispielsweise:
          Eine angebliche Mail von der Bank landet im Spamordner.
          Da fragt man sich dann: Warum ist die Mail im Spamordner gelandet, die Bank steht doch in der Whitelist?
          Und dann schaut man sich die Mail genauer an als üblich.

    • Christian Krause sagt:

      mein Spamfilter filtert gut 98%.
      das ist aber Aufwand und der kostet deutlich mehr als das Postfach, was nur einen Euro kostet.
      niemand als Privatperson ist bereit das auszugeben, deshalb wird sich da auch nichts ändern.

    • User007 sagt:

      "[…] die wesentliche Schwachstelle wird immer mangelnde Erfahrung, Wissen und Verständnis auf Seiten der Empfänger sein."
      Na ja, als wesentliche Schwachstelle sollte aber eben das hier ursächlich entwickelte "Geschäftsmodell" relevant in der Betrachtung stehen, dem eben als Basis das Ansinnen andere Menschen zu übervorteilen, also der Straftatbestand des Betrugs, intendiert ist! 🤨

  8. Olli sagt:

    Das Problem ist so vielschichtig, da wird sich nichts dran ändern. Hier trifft Dummheit bzw. Fahrlässigkeit der Anbieter auf Naivität und Bequemlichkeit der Kunden. Das löst man nicht mehr auf.

    Bei Rechnungen plädiere ich unbedingt(!) für den Medienbruch – diese sollten ausschließlich immer per Briefpost versandt werden – niemals elektronisch egal ob direkt per Mail oder per Download im Kundencenter. Und dann müssen die Empfänger eingegangene Rechnungen konsequent prüfen – aber wer macht das schon? Wie viele Menschen kennen alle ihre Verträge und wissen damit wann eine Rechnung mit welchem Betrag und welcher Produktbeschreibung zu erwarten ist? Wie viele Menschen prüfen tatsächlich konsequent und regelmäßig ihre Kontoauszüge und kontrollieren ob alle Positionen mit einer vorhandenen Rechnung/Quittung hinterlegt sind?

    Ich will nicht sagen, dass so was Schulstoff sein sollte, weil ich es für "gesunden Menschenverstand" halte, aber was ist schon gesunder Menschenverstand?

    Fakt ist doch so viele Menschen sind einfach nicht in der Lage die einfachsten Grundregeln bei Finanzgeschäften zu beherrschen und die Anbieter nutzen das gnadenlos aus um nur keinen Cent zu viel ausgeben zu müssen.

    • R.S. sagt:

      Naja, viele Leute fallen auch auf Briefpost herein und zahlen Fake-Rechnungen.

      Das Hauptproblem ist in beiden Fällen der Empfänger.

      • Olli sagt:

        Ja, aber die Hürden für Briefpost-Phising sind ungleich höher und auch die Kosten dafür. Ein Brief benötigt sein Porto, die Kosten um mal schnell ein paar Millionen Phising e-Mails zu verschicken jucken Niemanden.

        Das das Hauptproblem der Empfänger ist, ist klar. Das sollte doch deutlich geworden sein?

    • Luzifer sagt:

      Ich sag mal jeder der hart für sein Geld arbeiten musste…
      Ich weis in der Firma zwar auch nicht jede einzelne Rechnung, aber gibt es keinen Auftrag, Sachvorgang; Abruf etc. landet die im Spam! Wenn die Buchhalterin einfach so eine Rechnung zahlt ohne das es entsprechend einen internen Vorgang gibt kann die direkt zu HR!

      Das sind einfach Grundlagen, das kleine 1×1… wer das nicht beherrscht hat hier nix verloren!

  9. Rick sagt:

    bei solch mails ist der Absender noch immer der erste Indikator.

    blöderweise verweisen die Links in solchen Phishing Mails derzeit gerne auf gehackte Google Drive Shares, damit sind hier blocklsiten zur Erkennung wiederrum sinnlos. sehr mühsam alles
    ..

  10. Stefan Körner sagt:

    "bei solch mails ist der Absender noch immer der erste Indikator"
    Leider nicht. Die 1&1-Phinsingmails kommen mit dem gefakten Absender "noreply@1und1.de" und anderen, die 1&1 tatsächlich benutzt.

    Die Antworten hier konzentrieren sich mal wieder auf zwei Dinge: Zu dumme Anwender und die Einrichtung von Spamfiltern. Das ist zu einfach gedacht. Es geht nicht darum, an den Symptonen zu kurieren und das eigene Postfach schön sauber zu halten, sondern das Problem grundsätzlich anzugehen.

    Der eigentliche Skandal ist der fast komplett eingestellte Fachsupport von 1&1 und die Unfähigkeit oder Unwillen von 1&1, simple Massenspamfilter zu implementieren. Es wäre so simpel, den Versandserver mit angeblicher 1&1-Absendeadresse abzugleichen. Oder mit der ja selbst vergebenen Markierung "geprüfterAbsender". Dessen buntes kleines Logo, ein blaues Zahnrad mit Haken drin, das u.a. in den Webmailern angezeigt wird, wird nun übrigens auch schon versucht zu fälschen, durch Anfügen eines Icons in die Betreffzeile, so dass da dann ein grünes Quadrat mit Haken auftaucht…

    Und, nein, die Kundennummers und Vertagsnummern stimmen natürlich nicht, aber wer weiß die schon auswendig? Aber 1&1 weiß die und könnte sie ebenfalls intern automatisch abgleichen.

    Es gäbe so viele Möglcihkeiten. Das Problem auf die Kunden abzuwälzen und dann noch eine völlig unfähige KI zwischenzuschalten – eigentlich nur ein auf Schlüsselwörter reagierender Bot! – zeugt von völligem Desinteresse bei 1&1 an Kundensicherheit.

    • Froschkönig sagt:

      So einfach ist es vielleicht nicht. Denn dazu muss erstmal der Mailscanner erkennen, dass hier eine angebliche Ionos-Rechnung vorliegt, und erst dann muss die Absenderadresse geprüft werden. Wenn da täglich sagen wir mal tausende solcher Mails unter millionen anderer legaler Mails einprasseln, dann hat dieser Spamfilter ordentlich zu tun. Zumal es wahrscheinlich gegen Datenschutzregeln verstößt, wenn Kunden-Emails nach Inhalt vom Provider klassifiziert werden.

      Ich würde dem Hausmeister seinen Ansatz einfach mal ausbauen… Erstmal anhand des Mailheaders den ionos-Mailvalidator die Email auf Echtheit überprüfen lassen. Und wenn der schon sagt, dass die Mail nicht von ionos bzw. aus dem 1&1 Konzern stammt, dann hat das nichts mehr mit Privatsphäre zu tun, denn es ist offensichtlich ein Fake. Und wenn man sowieso bei der Firma Kunde ist, ist auch die Empfänger-Email für diese Firma kein Geheimnis. Also, als nächstes dann die komplette Mail hochladen. (Alternativ könnte man mit Notepad++ oder so auch erstmal in der Mail-Datei die eigene Mailadresse gegen irgendeinen plausibel aussehenden Unsinn austauschen, und dann hochladen!!!) Ich hege nämlich die Hoffnung, dass solche Mails dann nämlich von echten Leuten analysiert werden. Denn da stecken URLs drin, die sich mit einem Abuse-Aufruf an den jeweiligen Hostingprovider der Phishing-Seite vielleicht abschalten lassen. Ich kann mir sicher vorstellen, dass es nicht im Interesse von ionos oder einer anderen Firma ist, wenn in derem Namen Abzocke betrieben wird. Alternativ, wenn euch das Spaß macht, könnt ihr für die Phishing-Domain per who.is evtl. selbst eine Abuse-Mailadresse finden, normalerweise findet man die dort, die ihr anschreiben könnt, mit einer entsprechenden Erklärung, der Phishingmail im Anhang und einem Link zur Originalseite, klappt das manchmal sogar. Nur vergessen kann man das, wenn der Provider in einem großen Staat liegt, der in Europa anfängt und am östlichsten fröstlichen Zipfel Asiens aufhört, oder in einem der anderen Schurkenstaaten liegt, Seychellen kann man hier auch vergessen, oder wenn der Hoster z.B. irgendwas mit "unmanaged" heißt. Ich habe das mal gemacht, als ich mehrfach mit Mails angeblich von Edeka-, Toom oder Microsoft-Mails gephisht wurde, die Phishingseiten lagen alle bei Godaddy in den USA, und man hat dort tatsächlich gehandelt und sich sogar noch bei mir bedankt, denn das Hosten von Phsihing-Seiten dulden auch viele Provider schon rein aus Reputationsgründen nicht.

      Viel Erfolg! Wehrt euch gegen die Phisher. Denn wenn denen der Provider den Phishing-Server unter den Füßen wegreißt, ist uns allen geholfen.

      • stefan körner sagt:

        @Froschkönig "So einfach ist es vielleicht nicht. Denn dazu muss erstmal der Mailscanner erkennen, dass hier eine angebliche Ionos-Rechnung vorliegt, und erst dann muss die Absenderadresse geprüft werden. "
        Doch, ganz einfach. Denn sowohl im Betreff wie auch der gefälschten Absendeadresse steht ionos oder 1&1. Wenn das dann nicht wirklcih von ionos kommt -> Spam. Zudem kommen diese Mails auch nicht einzeln: Gleichen Mail an verschiedene Adressaten: Spam.

        Nochmals zur Erinnerung: Es geht um Ionos-Postfächer. Ionos hat sowieso den kompletten Zugriff auf die Header und auch den Inhalt.

        Zu7m " ionos-Mailvalidator"; statt dass man da mit einem Klick die Mail hinschicken kann, soll man sie erst lokal speichern und dann wieder als Anhang euf einer Website hochladen, auf der man noch händisch zig weitere Felder ausfüllen soll. Locker 5 Minuten Arbeit pro Mail. Das wird absichtlcih so schwer gemacht, damit möglichst wenig Arbeit bei Ionos landet! Und was hat man davon, wenn man schon weiß, dass es eine Fakemail ist? Nichts! Ionos schickt nach 2 oder drei Tagen{!} einen Automatiktext "Diese Mail stammt nicht von uns" und einen langen Sermon, wie man sich schützen kann – aber selbst tut man dort absolut nichts.

        Den Aufwand mit whois usw, braucht man gar nicht selbst zu machen, dafür gibt es Spamcop. Und fast immer stammt der Spam von Google, und die Spammer-Website ist von Cloudflare geschützt. Kommt bekannt vor? Die dann automatisch kreierte Spammeldung an beide kann man gern abschicken, aber dort wird ebenfalls nichts getan, s. der Blogeintrag zum Google-Cloudflare-Spam.

        Der einzige Weg, diese Angriffe an Ionos-Kunden zu stoppen ist, dass Ionos endlich seiner Verantwortung nachkommt und entsprechende Filter einbaut. Das ist weder kompliziert noch zu viel verlangt. Nur passiert dort seit über einem Jahr nichts und das Phishing wird immer agressiver und besser gemacht. Daher sollte nun massiver Druck von Seiten der betroffenen Kunden erfolgen, und dazu dient auch dieser Blog um eine möglichst große Reichweite und öffentliche Aufmerksamkeit auf den Skandal zu erreichen.

        • Froschkönig sagt:

          Trotzdem DARF ein Mailprovider die Mails seiner Kunden NICHT inhaltlich scannen und klassifizieren. Das ist Datenchutz, isssoooo… Und dass man die Mail nicht einfach an den Mailvalidator per Email weiter leiten kann, hat bestimmt auch mehrere Gründe. Zum einen wenn das eine gültige Mailadresse wäre, würden "Spaßvögel" diese Maildresse einfach mit Mails zubomben. Zum anderen verfälschen viele Mailprogramme die Mailheader weitergeleiter Emails, dann sind sie nutzlos. Daher der manuelle Prozess, vermute ich mal.

  11. Luzifer sagt:

    ******************************
    Und, nein, die Kundennummers und Vertagsnummern stimmen natürlich nicht, aber wer weiß die schon auswendig? Aber 1&1 weiß die und könnte sie ebenfalls intern automatisch abgleichen.
    *******************************
    die musst du nicht auswendig können, die gleicht deine Buchahltungssoftware automatisch ab! Alles was hier kein: Kundennummer, Vertragsnummer; Auftrag, Sachvorgang, Abruf hat etc. landet direkt im Spam! Vollautomatisch!

    Solltest deinem Admin halt mal auf die Finger klopfen! Wenn Phishing bis zum Sachbearbeiter druchschlägt hat die IT versagt! Dann sollte man die teeren und federn… oder gleich feuern!

    • aus dem Rhein-Main Gebiet sagt:

      @Luzifer
      Manchmal finde ich Deine Kommentare absolut unterirdisch!

      Du scheinst die Weisheit mit Löffeln gefressen zu haben. Und Allwissend zu sein.
      Du kommst auch nicht auf den Gedanken, daß nicht jeder Angestellter, welcher sich um die EDV kümmert, DEIN gottgebendes ALLWISSEN hat?
      Schon einmal daran gedacht, daß in manchen Unternehmen, übernehmen mußte, weil er sich etwas besser auskennt als die anderen Mitarbeiterinnen und Mitarbeiter?
      Er diese Stelle so gut es geht ausübert? Auch mit Enthusiasmus und Hingabe? Sich auch nach Feierabend hinsetzt und verscucht die Komplexität zu verstehen?

      Auch manch andere Kommentare von Dir Abseits der EDV hier im Forum lassen uns nur den Kopf schütteln.

      • Luzifer sagt:

        Ein Abgleich eingehender Rechnungen mit dem Warenwirtschaftssystem ist das Kleine einmals Eins… wer das nicht beherrscht ist ne Fehlbesetzung, dabei spielt es keine Rolle ob Studierter Ausgebildeter oder Quereinsteiger Admin.
        Dazu gehört dann eben auch mal dem Chef zu sagen: sorry dafür bin ich nicht qualifiziert genug! Gib mir Weiterbildung oder stell nen richtigen Admin ein. Wenn der dies dann ignoriert gehört der geteert und gefedert.

        Es geht hier nicht um Spezialwissen sondern um Grundlagen! Da sollte Finanz bereits auf die Barrikaden gehen… den die haben das dann dem Wirtschaftsprüfer zu erklären.

        • Froschkönig sagt:

          Du hast bei der Firma, die du betreust, die Warenwirtschaft an alle Emailpsotfächer (Persönliche, Allgemeine wie info@, support@, service@ usw.) gekoppelt, damit die WaWi alles nach Rechnungen durchsucht?

          Respekt!

      • User007 sagt:

        "[…] lassen uns nur den Kopf schütteln."
        Ähm, sorry, aber bitte sprich mal nur für Dich selbst! ☝️
        Ich find' nämlich so manchen von @Luzifer geäußerten Satz inhaltlich durchaus sehr richtig.
        Ja, manche Mißstände klar benennende Formulierungen könnten vllt. ab und an etwas diplomatischer gehalten sein, aber darauf gibt's eben auch keinen verbrieften Rechtsanspruch, dass immer alles "nett" beschrieben sein muß. Und offensichtlich benötigt's ja auch in gewisser Hinsicht mehr von dieser aus dem Wohlstandsbequemlichkeitsschlaf aufrüttelnden Sprache. 🤷‍♂️

    • User007 sagt:

      Na ja, nicht jedes Unternehmen hat 'ne/n "Admin/IT-Abteilung" oder nutzt "FiBu-Software – in so manch Einzel-/Kleinunternehmen wird das tatsächlich aus mehrerlei validen Gründen noch manuell erledigt.

      • Olli sagt:

        Auch ein für ein Einzel-/Kleinunternehmen gehört es zum 1×1 JEDE Rechnung korrekt zu prüfen. Ansonsten ist es besser Angestellter zu bleiben. Mir ist klar, dass dies Wunschdenken ist aber es ändert nichts daran das man das als Verantwortlicher wissen MUSS oder eben Lehrgeld bezahlt wenn man es nicht wusste.

        Wie oben geschrieben, das korrekte Prüfen eine Rechnung sollte man nicht extra erwähnen müssen, dass sollte für JEDEN eine Selbstverständlichkeit sein. Wenn ich aber sehe wie viele Menschen jeden Kaffee für 2,50 Euro per Karte bezahlen und dann nicht den Bon mitnehmen – Sorry wie kann so was sein? Wieso verstehen so viele Menschen nicht wie falsch dieses Verhalten ist?

        • User007 sagt:

          "Auch ein für ein Einzel-/Kleinunternehmen gehört es zum 1×1 JEDE Rechnung korrekt zu prüfen."
          Ja, Controlling gehört als elementarer Bestandteil ins Unternehmenswesen, aber sorry, darum ging's in meinem Beitrag nicht, sondern ich habe explizit aus einem anderen Blickwinkel auf eine Äußerung in @Luzifer's Initialbeitrag reagiert.

          Btw.:
          Was hat eine "Bonmitnahme" für mich als privater Konsument für eine Bewandtnis?

        • Luzifer sagt:

          This!

          Spätestens wenn die mal ne ordentliche Wirtschaftsprüfung im Haus hatten… ändert sich das. Manche verschwinden dann einfach von der Bildfläche, weil sie sich davon nicht erholen.
          Was dann aber kaum schade ist. Gut für jeden vertrauensvollen Kunden.

    • Jan sagt:

      Lieber Lizifer:
      "Solltest deinem Admin halt mal auf die Finger klopfen! Wenn Phishing bis zum Sachbearbeiter druchschlägt hat die IT versagt! Dann sollte man die teeren und federn… oder gleich feuern!"

      Wenn dein Arbeitgeber 1und1 / ionos Kunde ist, dann kannste froh sein, wenn der d
      nen Admin einstellt. Das sind typischerweise die Art Spezialisten, die aus jeder Kaffeklatschnummer gleich hochtrabend eine Schulung machen.
      Billig ist willig da hat der Itboy/ das ITGirl ausnahmsweise mal nix mit am Hut, wenns da nach der Schuldfrage geht.

      UND NEIön, die Phischungmail kriegen nur ionos kunden….

    • Stefan Körner sagt:

      Welche Buchaltungssoftware?
      Welcher Admin?
      Welcher Sachbearbeiter?

      Hier werden an ganz normale Privatkunden, die bei Ionos eine Website und ein Mailpostfach haben, täuschend echte Fake-Rechnngen über das angeblich sichere Servernetz von Ionos an das angeblich Spam- und Phishing-gesicherte Bezahlpostfach ausgeliefert. Und Support gleich Null

      Nochmal: Es geht überweigend um Privatkunden! Komm mal von deinem hohen Großunternehmens-Ross runter!

  12. JohnRipper sagt:

    1und1/Ionos eben..

  13. KT sagt:

    Wir bekommen in unserem Betrieb auch solche Spams. Und das schon seit Jahren und in allen Qualitätsstufen. Von billigen klassischen Spam bis zum perfekten Nachbau von Ionos-Mails ist alles dabei. Seit einiger Zeit kommt das auch in Postfächer, die nicht in unserer Webseite oder im Internet stehen. Die Mailadressen werden nur einigen Kunden bekannt gegeben und von den Kunden kann das nicht in diesem Umfang so plötzlich gekommen sein. Ich vermute, dass die Hacker über Ionos direkt an diese Adressen gekommen sein könnten.

    • R.S. sagt:

      Denkbar ist auch, das Phisher/Spammer einfach alle möglichen Kombinationen xy@tld durchprobieren.
      99,99% der Mails kommen wegen nicht existenter Mailadressen zurück, aber die 0,01%, die durchkommen, reichen den Phishern/Spammern schon.

      Beleg dafür:
      Ich hatte mal privat eine Mailadresse angelegt, die aber nie benutzt und nie irgendwem bekannt gegeben. Und trotzdem kamen da Spammails rein.

  14. RZ sagt:

    Will 1und1/IONOS nicht Geld für einen Spamschutz? Wurde der gekauft?

  15. Varus sagt:

    IONOS-Kunden sind Kummer gewohnt. Der Konzern verweigert Ihnen regelmäßig die Protokolldatananalyse zur Feststellung einer Kompromittierung.

    Was ist denn die Folge eines Phishing-Versuchs? Die Kompromittierung des Mail-Accounts – also Fremdzugriffe, die in der Regel betrügerische Folgen haben, denn es werden Rechnungsdaten ausgespäht und für die Betrugstaktik "neue Bankverbindung" verwendet. Im Verdachtfalle würde jeder Administrator den Mail-Server bzw. die Protokolldaten hinsichtlich fremder IPs in den Logs prüfen. Das Problem für IONOS-Kunden: Die Protokolldaten liegen ausschließlich bei IONOS und der Konzern verhindert den Zugriff. Die Analyse ist demnach unmöglich.

    Viele IONOS-Kunden wissen nicht, dass sie selbst keinen Zugriff auf ihre eigenen Protokolldaten besitzen. Die speichert IONOS und gewährt den Kunden keinen Zugriff zur Analyse hinsichtlich fremder IP-Adressen.
    Der Konzern handelt mit diesem Geschäftsprinzip grob fahrlässig und zum Nachteil seiner Kunden, meiner Meinung nach. Ich persönlich würde mein Unternehmen niemals an einen derart kundenunfreundlichen und intransparenten E-Mail-Dienst binden.

    Zur Phishing-Problematik noch ein Wort: Warum ist diese Taktik so erfolgreich, warum verschenken derart viele Anwender ihre Credentials? Weil sie weder zum Erkennen und zum Einordnen einer Domain einer Mail- noch einer Webseitenadresse imstande sind. Das Erlernen dieser Fähigkeit kostet 20 Minuten Zeit, schützt aber vor 99,999 aller Phishing-Versuche – weitaus effektiver als jeder SPAM-Filter.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht. Wegen Missbrauchs bin ich gezwungen, Name und E-Mail als Pflichtfelder beim Kommentieren zu aktivieren. Wählt ggf. einen (noch nicht benutzten) Alias-Namen und verwendet ggf. eine Dummy-Mail-Adresse (z.B. t@hotkev.com).

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.