{"id":274037,"date":"2022-10-17T20:03:22","date_gmt":"2022-10-17T18:03:22","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=274037"},"modified":"2022-10-18T03:47:29","modified_gmt":"2022-10-18T01:47:29","slug":"achtung-phishing-mail-von-microsoft-wegen-angeblichem-passwortwechsel","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/10\/17\/achtung-phishing-mail-von-microsoft-wegen-angeblichem-passwortwechsel\/","title":{"rendered":"Achtung Phishing: Mail von "Microsoft" wegen angeblichem Passwortwechsel"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Warnung bez\u00fcglich einer neuen Phishing-Kampagne, auf die mich ein Blog-Leser heute (17. Oktober 2022) per E-Mail hingewiesen hat. Die Mail kommt scheinbar von Microsoft und behauptet, dass das Passwort f\u00fcr das E-Mail-Konto ge\u00e4ndert worden sei. Wenn man das gewesen sei, brauche man nicht zu reagieren. Falls man kein Passwort ge\u00e4ndert habe, seit das Postfach kompromittiert und man m\u00fcsse reagieren. Und es gab den Hinweis, dass die Passwort\u00e4nderung aus Nordkorea vorgenommen wurde …<\/p>\n

<\/p>\n

\"\"Blog-Leser Ralph A. hat mir die Information heute Vormittag per Mail geschickt – ich komme erst jetzt dazu, den Fall aufzubereiten (danke f\u00fcr den Hinweis). Ralph schrieb in seiner Mail.<\/p>\n

Hallo Herr Born,<\/p>\n

heute kam eine Email \"tats\u00e4chlich\" von Microsoft aber mit versteckten Links betr. Best\u00e4tigung eines angeblichen Passwortwechsel.<\/p>\n

Vorab nur als Screenshot (Original leite ich auf Wunsch weiter)<\/p><\/blockquote>\n

Nat\u00fcrlich war die Mail nicht von Microsoft, sondern ein Phishing-Versuch – der aber auf dem Exchange-System der Empf\u00e4nger-Firma ausgesiebt wurde. Der Screenshot sah in der Tat verbl\u00fcffend aus – Ralph hat die betreffenden Kenndaten in nachfolgendem Screenshot hervorgehoben – die Zieladresse habe ich geschw\u00e4rzt.<\/p>\n

\"Phishing<\/a>
\nZum Vergr\u00f6\u00dfern klicken<\/a><\/p>\n

Die Phisher haben die Nachrichten-ID gekapert – wodurch die Nachricht schon sehr \"echt\" aussieht. In obigem Screenshot ist aber zu sehen, dass der Link account more secure <\/em>auf eine Adresse in Korea verweist (wodurch man als aufmerksamer Administrator stutzig werden sollte). Mir liegt die Kopie der Mail vor – alle Links im Text verweisen wohl auf einen gekaperten Server in Korea. Auf meine Nachfrage antwortete der Leser:<\/p>\n

die Email-Adresse liegt auf unserem On-Prem Exchange. Es kann sein, das mal vor gef\u00fchlt 100 Jahren die Adresse f\u00fcr die Live-ID \/ MS-Konto verwendet wurde. (Also bei MS \"bekannt\")<\/p>\n

Die Email kommt ja auch nicht von MS, aber die Nachrichten-ID wurde gekapert. Daher sieht sie extrem echt aus.<\/p><\/blockquote>\n

Ich habe dann die Ziellinks mal auf Virustotal pr\u00fcfen lassen<\/a> und bekam sofort einen Christbaum an Warnungen vor einer Phishing-URL – bereits 18 der Anbieter erkennen die Ziel-URL als Phishing-Seite.<\/p>\n

\"Virustotal-Phishing-Warnung\"<\/a>
\nZum Vergr\u00f6\u00dfern klicken<\/a><\/p>\n

Inzwischen schl\u00e4gt wohl auch der Spam-Schutz beim Leser wegen der Links an, wie er mir in einer Nachtrags-Mail mitgeteilt hat. Es ist aber erneut ein Beispiel, dass man eigentlich keiner Mail mehr trauen kann – obwohl ich am Wochenende einen Fall skizziert habe, wo ein Finanzdienstleister seine Best\u00e4tigung auf genau dieser Weise verschickt hat (siehe Fail von Finanzdienstleister und Ing-Empfehlung Scalable Capital (Robo-Advisor)<\/a>).<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Warnung bez\u00fcglich einer neuen Phishing-Kampagne, auf die mich ein Blog-Leser heute (17. Oktober 2022) per E-Mail hingewiesen hat. Die Mail kommt scheinbar von Microsoft und behauptet, dass das Passwort f\u00fcr das E-Mail-Konto ge\u00e4ndert worden sei. Wenn man das gewesen sei, … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2039,426],"tags":[4353,4328],"class_list":["post-274037","post","type-post","status-publish","format-standard","hentry","category-mail","category-sicherheit","tag-mail","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/274037","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=274037"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/274037\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=274037"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=274037"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=274037"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}