{"id":264648,"date":"2022-04-26T01:32:48","date_gmt":"2022-04-25T23:32:48","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=264648"},"modified":"2022-04-26T12:51:14","modified_gmt":"2022-04-26T10:51:14","slug":"vorsicht-rechnungs-spam-e-mail-von-ionos-mit-verschlsselungstrojaner","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/04\/26\/vorsicht-rechnungs-spam-e-mail-von-ionos-mit-verschlsselungstrojaner\/","title":{"rendered":"Vorsicht: Rechnungs-Spam-E-Mail von Ionos mit Verschlüsselungstrojaner"},"content":{"rendered":"

\"SicherheitKleine Warnung vor einer neuen Ransomware-Kampagne, die vermeintlich von noreply@ionos.de<\/em> versandt wird. Die Mail avisiert eine Rechnung, die vom Anbieter Ionos f\u00fcr einen Vertrag erstellt wird. Die Rechnung ist aber ein Phishing-Angriff und enth\u00e4lt einen Verschl\u00fcsselungstrojaner. Das Skurrile an dieser Geschichte: Offenbar gelingt es Ionos nicht, diese Mails bei der Zustellung \u00fcber die eigenen E-Mail-Server wirksam auszufiltern. Erg\u00e4nzung:<\/strong> Solche Mails kommen auch mit angeblichem Absender von Strato, HostEurope oder anderen Providern, wobei der vorgebliche Absender gefakt ist.<\/p>\n

<\/p>\n

\"\"Ich bin \u00fcber Twitter mittels nachfolgend gezeigtem Tweet<\/a> mit der betreffenden E-Mail auf den Sachverhalt aufmerksam gemacht worden. Der Tweet enth\u00e4lt einen Screenshot der betreffenden E-Mail, die einen Betrag f\u00fcr eine Ionos-Leitung in Rechnung stellt.<\/p>\n

<\/a><\/p>\n

Der Empf\u00e4nger der Mail schreibt im Tweet<\/a>, dass diese mit einem Verschl\u00fcsselungstrojaner daherkommt und wundert sich, dass der Anbieter Ionos diese Mails nicht in seinen Filtern erkennt und ausfiltert. Es ist kein Einzelfall, da gleich zwei Personen in Antworten best\u00e4tigen, dass sie eine solche Mail ebenfalls bekommen haben. Die Antwort des Ionos-Supports<\/a>:<\/p>\n

Danke f\u00fcrs Feedback. Wichtig ist, dass Sie die E-Mails \u00fcber den Spam-Button filtern, damit der pers\u00f6nliche Spamfilter lernt, diese E-Mails zuk\u00fcnftig nicht mehr in den Posteingang zuzustellen. Prinzipiell k\u00f6nnen wir von unserer Seite keine E-Mails unterdr\u00fccken. Gru\u00df<\/p><\/blockquote>\n

Das Thema Phishing-Mails in Verbindung mit Ionos hatte ich 2020 bereits hier<\/a> angesprochen. Und es ist nicht die erste Phishing-Kampagne, die diesbez\u00fcglich l\u00e4uft (siehe beispielsweise den Beitrag Phishing-Kampagne zielt auf 1&1\/IONOS-Kunden<\/a>).<\/p>\n

Erg\u00e4nzungen: Den Eintr\u00e4gen in den nachfolgenden Kommentaren entnehme ich, dass die Ionos DMARC<\/a> mehr oder weniger unbrauchbar f\u00fcr eine Pr\u00fcfung sind.<\/p>\n

Blog-Leser haben inzwischen ja den Eingang solcher Mails best\u00e4tigt und weitere Informationen in den nachfolgenden Kommentaren geliefert. Ein HTML-Anhang kann auf eine Phishing-Seite f\u00fchren, auf der Anmeldedaten abgezogen werden sollen. Oder es wird dort der Schadcode zur Installation des Verschl\u00fcsselungstrojaners bereitgestellt.<\/p>\n

Den nachfolgend geposteten Mail-Headern ist zu entnehmen, dass diese Nachrichten nicht \u00fcber die Ionos-Mail-Server verschickt, sondern nur zugestellt werden. Der Absender ist ein Drittanbieter Mailserver wie mail.hotwy.store<\/em> (der Provider ist crowncloud.net aus Australien).<\/p>\n

Erg\u00e4nzung:<\/strong> Solche Mails kommen auch mit angeblichem Strato-Absender. Auf Facebook hat mir ein Blog-Leser folgenden Screenshot zukommen lassen.<\/p>\n

\"Strato<\/p>\n

Auch weitere angebliche Absender wie HostEurope oder andere Provider wurden mir berichtet. In alles F\u00e4llen stimmt der Absender in der Mail nicht mit dem vorgeblichen Absender \u00fcberein.<\/p>\n

Ziel des Beitrags hier ist auch, die Leserschaft f\u00fcr die neue Spam-\/Phishing-Kampagne zu sensibilisieren. Vielleicht n\u00fctzt es was.<\/p>\n","protected":false},"excerpt":{"rendered":"

Kleine Warnung vor einer neuen Ransomware-Kampagne, die vermeintlich von noreply@ionos.de versandt wird. Die Mail avisiert eine Rechnung, die vom Anbieter Ionos f\u00fcr einen Vertrag erstellt wird. Die Rechnung ist aber ein Phishing-Angriff und enth\u00e4lt einen Verschl\u00fcsselungstrojaner. Das Skurrile an dieser … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-264648","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/264648","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=264648"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/264648\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=264648"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=264648"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=264648"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}