{"id":272712,"date":"2022-09-11T00:17:00","date_gmt":"2022-09-10T22:17:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=272712"},"modified":"2022-09-09T17:06:07","modified_gmt":"2022-09-09T15:06:07","slug":"phishing-versuch-mit-gesperrter-strato-domain-sept-2022","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/09\/11\/phishing-versuch-mit-gesperrter-strato-domain-sept-2022\/","title":{"rendered":"Phishing-Versuch mit "gesperrter" Strato-Domain (Sept. 2022)"},"content":{"rendered":"

\"SicherheitDie Tage ist mir eine Phishing-Mail ins Posteingangsfach geflattert, die auf die Daten von Domain-Inhabern abzielt. In der E-Mail versuchten Cyberkriminelle mir weiszumachen, dass eine Domain gesperrt sei und dass eine Reaktion binnen 24 Stunden erforderlich werden. Andernfalls werde der \"Dienst gel\u00f6scht\" – was als \"dann ist die Domain weg\" zu interpretieren sei. Der Besitzer einer Homepage k\u00f6nnte dann schon mal in Panik verfallen, wenn er sich nicht gut auskennt. <\/p>\n

<\/p>\n

Die Phishing-Mail<\/h2>\n

\"\"Ich habe mir die betreffende Mail sofort als Lehrbeispiel aufgehoben, da ich das Ganze etwas analysieren wollte – falls so etwas bei Dritten hereinkommt und nicht sofort klar ist, was gespielt wird. Hier der Screenshot dieser Mail:<\/p>\n

\"Phishing-Mail\"
Phishing-Mail<\/p>\n

F\u00fcr mich war der Lackmus-Test bereits mit dem Namen Strato vorbei, da ich diesen Hoster nicht verwende. Aber auch im Thunderbird wird das Ganze bereits als Junk eingestuft. Hier der Original-Text dieser Mail:<\/p>\n

\n

S\u0435hr g\u0435\u0435hrt\u0435r Kund\u0435 <\/p>\n

Di\u0435s ist \u0435in\u0435 B\u0435nachrichtigung, um Si\u0435 dar\u00fcb\u0435r zu informi\u0435r\u0435n, dass Ihr Kontogesperrt wurd\u0435.Di\u0435 Auss\u0435tzung ist wi\u0435 folgt: -Dom\u00e4n\u0435nn\u0430m\u0435n.
Grund f\u00fcr di\u0435 Auss\u0435tzung :Uns\u0435r Abr\u0435chnungssyst\u0435m h\u0430t f\u0435stg\u0435st\u0435llt, d\u0430ss Ihr Domain-N\u0430m\u0435 abg\u0435lauf\u0435n ist, \u0435s wurd\u0435 trotz uns\u0435r\u0435r vorh\u0435rig\u0435n Erh\u00f6hung nicht \u0435rn\u0435u\u0435rt.
Sie sind eingel\u0430den, d\u0430s Verl\u00e4ngerungsformul\u0430r f\u00fcr Ihre Dienstleistungen gem\u00e4\u00df den Anweisungen und Schritten unter folgendem Link m\u0430nuell \u0430uszuf\u00fcllen : Kundenbereich
Wichtig: Wenn Sie die Domain nicht innerh\u0430lb von 24 Stunden \u0430b heute werden erneuern, Ihre Dienste endg\u00fcltig gel\u00f6scht werden <\/p>\n

Mit freundlichen Gr\u00fc\u00dfen
STRATO AG <\/p>\n

<\/blockquote>\n<\/blockquote>\n

Der Text selbst ist bereits etwas krude in der Zeichensetzung und in der Orthografie\/Formulierung der Aussage. Es wird auch kein Domain-Name genannt, der angeblich \"abgelaufen\" ist – dieser w\u00fcrde aber ben\u00f6tigt, um ggf. eine Zuordnung vornehmen zu k\u00f6nnen. <\/p>\n

Kleine Analyse<\/h2>\n<\/p>\n

Der Header der betreffenden Mail zeigt bereits, dass die Nachricht vom 8. Sept. 2022 von einem obskuren Mail-Server kam, der nichts mit der Strato AG zu tun haben d\u00fcrfte – lediglich deren Antworten an-E-Mail-Adresse (die im E-Mail-Client angezeigt wird) deutet auf Strato hin. <\/p>\n

\n
From - Fri Sep  9 11:57:56 2022\nX-Account-Key: account4\nX-UIDL: 1MD6jn-1ofPQE0Jqz-009Dav\nX-Mozilla-Status: 0005\nX-Mozilla-Status2: 00000000\nX-Mozilla-Keys:                                                                                 \nReturn-Path: <info5160l@strato.de<\/strong>>\nAuthentication-Results:  kundenserver.de; dkim=none\nReceived: from vm3827830.1nvme.had.wf<\/strong> ([178.159.43.67]) by mx.kundenserver.de\n (mxeue111 [217.72.192.67]) with ESMTP (Nemesis) id 1Mibc9-1p26dt3orH-00fhA2\n for <****@borncity.de>; Thu, 08 Sep 2022 21:15:34 +0200\nReceived: from WIN-8GVLG1RQIAB (localhost [IPv6:::1])\n\tby vm3827830.1nvme.had.wf (Postfix) with ESMTP id 1D855423ABF\n\tfor <****@borncity.de>; Thu,  8 Sep 2022 22:14:44 +0300 (EEST)\nMIME-Version: 1.0\nFrom: \"=?UTF-8?B?U1RSQVRPLUFH?=\" <info5160l@strato.de>\nTo: **** @ borncity.de\nDate: 8 Sep 2022 19:14:44 +0000\nSubject: =?UTF-8?B?R2VzcGVycnRlIERvbcOkbmU=?=#516072\nContent-Type: multipart\/mixed;\n boundary=--boundary_9313575_6e9e78b5-6af9-463b-88e6-41eeefcc1be1\nMessage-Id: <20220908191444.1D855423ABF@vm3827830.1nvme.had.wf>\nEnvelope-To: <****@borncity.de>\nX-Spam-Flag: NO\nX-UI-Filterresults: notjunk:1;V03:K0:2R3o8o2byxw=:SGHLGHKy<\/code><\/pre>\n<\/blockquote>\n
Der Link \"Kundenbereich\" verweist auf eine Domain *ttps:\/\/www.strato-ag.kunden-auth.com<\/em>, die zumindest schon mal geschickt gew\u00e4hlt wurde. So unter dem Strich: Da wurde versucht, Bankdaten \u00fcber ein Phishing-Formular abzufischen – testen konnte ich nichts mehr, da die Seite beim Schreiben dieses Beitrags am 9. September bereits einen \"Unauthorized access\" meldet. Ich habe dann die angegebene URL auf virustotal.com \u00fcberpr\u00fcfen lassen und folgendes Ergebnis<\/a> erhalten: <\/p>\n
\"Virustotal-Analyse<\/a>\n<\/p>\n
Die Seite wird nur von Abusix als \"Spam\" klassifiziert – ersch\u00fctternd ist, dass kein \"security vendor\" diese URL als sch\u00e4dlich markiert hat. Im Blog-Beitrag Wissen: Webseite als kompromittiert gemeldet? Wie geht man vor?<\/a> hatte ich ja skizziert, wie man eine kompromittierte Webseite mit dem Sucuri Seit Check<\/a> \u00fcberpr\u00fcfen kann.\n<\/p>\n
\"Sucuri##
Sucuri Site Check-Ergebnis<\/p>\n
Eine \u00dcberpr\u00fcfung der Ziel-Domain ergab, dass der Scan scheiterte (Fehler 403, Forbidden), dass die Domain aber noch nicht auf einer Black-Liste steht (siehe obiges Bild). Das Risiko wurde als mittel eingestuft. Ich habe dann mal die IP-Adresse 105.134.137.109 <\/em>\u00fcber Whois auswerten lassen und erhielt folgendes Ergebnis. <\/p>\n
\n
% This is the AfriNIC Whois server.\n% The AFRINIC whois database is subject to  the following terms of Use. See https:\/\/afrinic.net\/whois\/terms\n\n% Note: this output has been filtered.\n%       To receive output for a database update, use the \"-B\" flag.\n\n% Information related to '105.134.0.0 - 105.134.255.255'\n\n% No abuse contact registered for 105.134.0.0 - 105.134.255.255\n\ninetnum:        105.134.0.0 - 105.134.255.255\nnetname:        RABAT_3G_MarocTelecom\ndescr:          RABAT_3G_MarocTelecom\ncountry:        MA\nadmin-c:        SMT1-AFRINIC\ntech-c:         DMT1-AFRINIC\nstatus:         ASSIGNED PA\nmnt-by:         ONPT-MNT\nsource:         AFRINIC # Filtered\nparent:         105.128.0.0 - 105.159.255.255\n\nperson:         DEMPFS Maroc Telecom\naddress:        Division Exploitation et maintenance des PFS\naddress:        MAROC TELECOM\naddress:        Avenue de France AGDAL\naddress:        Immeuble DR Rabat\nphone:          tel:+212-37686318\nnic-hdl:        DMT1-AFRINIC\nmnt-by:         GENERATED-59UQAQ1UAZKQWKK5GWNQRJ9VGMHDFDGD-MNT\nsource:         AFRINIC # Filtered\n\nperson:         SEPFS Maroc Telecom\naddress:        Service Exploitation des PFS\naddress:        MAROC TELECOM\naddress:        Avenue Hay Annakhil Riad\naddress:        rabat\naddress:        Morocco\nphone:          tel:+212-37284314\nphone:          tel:+212-37284319\nnic-hdl:        SMT1-AFRINIC\nmnt-by:         GENERATED-QKJHRQGRJU8KJEZGF62S2JCUXLD0D81A-MNT\nsource:         AFRINIC # Filtered\n\n% Information related to '105.128.0.0\/11AS36903'\n\nroute:          105.128.0.0\/11\ndescr:          route object\norigin:         AS36903\nmnt-by:         ONPT-MNT\nsource:         AFRINIC # Filtered\n\n% Information related to '105.128.0.0\/11AS6713'\n\nroute:          105.128.0.0\/11\ndescr:          route object\norigin:         AS6713\nmnt-by:         ONPT-MNT\nsource:         AFRINIC # Filtered<\/code><\/pre>\n<\/blockquote>\n
Sieht zwar nicht \"spanisch\", sondern eher marokkanisch aus – aber wenn Strato jetzt nicht wegen hoher Energiekosten nach Marokko gezogen ist, treibt sich der Phisher auf den Servern von Maroc Telecom in RABAT herum. Vielleicht helfen die obigen Hinweise (ggf. bei einer eigenen Analyse) weiter. <\/p>\n","protected":false},"excerpt":{"rendered":"
Die Tage ist mir eine Phishing-Mail ins Posteingangsfach geflattert, die auf die Daten von Domain-Inhabern abzielt. In der E-Mail versuchten Cyberkriminelle mir weiszumachen, dass eine Domain gesperrt sei und dass eine Reaktion binnen 24 Stunden erforderlich werden. Andernfalls werde der … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-272712","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/272712","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=272712"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/272712\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=272712"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=272712"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=272712"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}