{"id":285792,"date":"2023-09-10T00:25:00","date_gmt":"2023-09-09T22:25:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=285792"},"modified":"2023-09-09T01:27:43","modified_gmt":"2023-09-08T23:27:43","slug":"strato-phishing-angebliche-verlngerung-ssl-zertifikat","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/09\/10\/strato-phishing-angebliche-verlngerung-ssl-zertifikat\/","title":{"rendered":"Strato-Phishing: Angebliche Verlängerung SSL-Zertifikat"},"content":{"rendered":"

\"SicherheitKleiner Hinweis f\u00fcr Administratoren von Webauftritten, die auch f\u00fcr die Server oder Hosting-Pakete zust\u00e4ndig sind. Ein Blog-Leser hat mich informiert, dass aktuell wohl eine Phishing-Kampagne l\u00e4uft, die auf Kunden des Hosters Strato abzielt (k\u00f6nnte auch andere Hosting-Kunden treffen). In einer Phishing-Mail wird dem Empf\u00e4nger vorgegaukelt, dass sein SSL-Zertifikat beim Hoster abl\u00e4uft und er sich \u00fcber ein Formular um die Erneuerung k\u00fcmmern muss. Ist nat\u00fcrlich Betrug und dienst dazu, die Zugangsdaten abzugreifen.<\/p>\n

<\/p>\n

\"\"Die Cyberkriminellen feilen st\u00e4ndig daran, wie sie ihre Opfer \u00fcber den Tisch ziehen und an deren Zugangsdaten f\u00fcr Online-Konten gelangen k\u00f6nnen. Spezielle Leute, die f\u00fcr das Hosting von Webseiten zust\u00e4ndig sind, haben einen besonderen Wert. Gelingt es den Cyberkriminellen Zugang zum Webhosting-Paket zu erhalten, k\u00f6nnte dort Malware installiert werden. Ein Blog-Leser hat mich bereits im August 2023 kontaktiert, weil er eine ihm neue Phishing-Mail erhalten hatte. Dazu schrieb er mir:<\/p>\n

Hallo G\u00fcnter,<\/p>\n

vielleicht interessiert es ja, heute morgen eine Phishing-Mail zu einer Strato-Domain im Posteingang gehabt. Und mal was anderes als das schon regelm\u00e4\u00dfige \"Verweigerung der Verl\u00e4ngerung ihres Domainnamens\".<\/p><\/blockquote>\n

Ich gestehe, eine Phishing-Mail mit Hinweis auf die Verweigerung der Verl\u00e4ngerung der Domain-Registrierung habe ich pers\u00f6nlich bisher noch nicht bekommen. Der Leser schrieb dann noch etwas zum Inhalt der Mail:<\/p>\n

Ich m\u00fcsste mein SSL-Zertifikat verl\u00e4ngern. Erster Gedanke vor genauem Draufschauen \"kann doch nicht sein dass die das nicht automatisch hinbekommen\", ist ja ein von Strato generiertes Zertifikat, keines das ich selbst hochgeladen habe wo ich tats\u00e4chlich aktiv h\u00e4tte werden m\u00fcssen.<\/p>\n

Meine Webseite aufgerufen f\u00fcr die das angeblich schon gestern abgelaufen sein soll, Seite l\u00e4dt normal mit gr\u00fcnem Schl\u00fcsselsymbol. Eigenschaften des Zertifikats sagen g\u00fcltig bis April 2024.<\/p><\/blockquote>\n

Mit dieser schnellen \u00dcberpr\u00fcfung hat der Leser bereits die Spreu vom Weizen getrennt – denn es gilt bei solchen Themen sich immer am \u00fcblichen Webportal anmelden, wobei die URL f\u00fcr das Portal einzutippen ist (keine Links oder URL-Vorgaben aus Mails benutzen).<\/p>\n

Die zweite Pr\u00fcfm\u00f6glichkeit w\u00e4re, die URL des eigenen Webauftritts im Seiten zur Pr\u00fcfung des SSL-Zertifikats eingeben. Das k\u00f6nnte beispielsweise auf der Seite ssl-trust.com<\/a> oder ssllabs.com<\/a> sein. Die Webseiten melden nach einer Analyse, wann das registrierte SSL-Zertifikat abl\u00e4uft.<\/p>\n

\"Phishing-Mail\"
\nZum Vergr\u00f6\u00dfern klicken<\/a><\/p>\n

Dem Leser war also schnell klar, dass dies ein Phishing-Versuch war. Er hat mir dazu noch obigen Screenshot mit der Phishing-Nachricht geschickt. Lustig fand der Leser die Fake-URL in der Mail, die aus einem Kunden (customer) einen Kost\u00fcmverleiher (costumer) macht. Und die URL ist auch \"kost\u00fcmiert\", w\u00fcrde ganz woanders hin f\u00fchren wie man am Popup im Screenshot sieht.<\/p>\n

Strato hat eine Seite um Mails auf Phishing zu pr\u00fcfen, da hab ich diese komplett (als *.msg aus Outlook gespeichert) hochgeladen damit die ggf.
\n(hoffentlich) weitere Schritte unternehmen k\u00f6nnen wie zumindest die Zielseite stilllegen lassen (ich habe erst gar nicht versucht die
\naufzurufen). Denn wahrscheinlich werden viele Strato-Domainkunden solch eine Mail bekommen. Und Kunden anderer Hoster ggf. das gleiche optisch angepasst.<\/p>\n

Laut Header ging die Mail an die Adresse webmaster@<meinedomain> die ich nirgends verwende. Au\u00dferdem kam die Mail aus Frankreich \u00fcber den Provider
\nGandi SAS, wegen SPF mit einer anderen Envelope-Absenderadresse als der Strato-\u00e4hnlichen die man beim \u00d6ffnen der Mail als \"From\" sieht:<\/p>\n


\nReceived-SPF: pass
\n(strato.com: domain mjcs****.org designates 217.70.190.214 as permitted sender)
\nmechanism=ip4;
\nclient-ip=217.70.190.214;
\nhelo=\"mail2.mjcs***y.org\";
\nenvelope-from=\"info@mjcsavigny.org\";
\nreceiver=smtpin.rzone.de;
\nidentity=mailfrom;
\nReceived: from mail2.mjcs***.org ([217.70.190.214])
\nby smtpin.rzone.de (RZmta 49.6.6 OK)
\nwith ESMTPS id xxxxxxxxxxxxxxx
\n(using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256 bits))
\n(Client did not present a certificate)
\nfor webmaster@xxxxxxxxxxxxxxx.de;
\n…<\/p><\/blockquote>\n

Ich gehe mal davon aus, dass der die angegebene E-Mail-Adresse von einem gehackten Konto stammt. Der Blog-Leser hat mir im Nachgang mitgeteilt, dass er inzwischen insgesamt drei weitgehend gleiche Mails zur angeblichen Strato-SSL-Verl\u00e4ngerung an verschiedene Mailadressen bekommen hat, wobei deren Fake-Link jeweils auf unterschiedliche Adressen verlinkt. Alle Mails hat er bei Strato \u00fcber die Phishing-Check-Seite hochgeladen. Es ist davon auszugehen, dass er nicht alleine ist. Das passiert sicher\u00a0 automatisiert und massenweise.\u00a0Also immer sch\u00f6n vorsichtig bei Mails sein, die zu irgend einer Online-Aktivit\u00e4t auffordern – es k\u00f6nnte Phishing sein.<\/p>\n","protected":false},"excerpt":{"rendered":"

Kleiner Hinweis f\u00fcr Administratoren von Webauftritten, die auch f\u00fcr die Server oder Hosting-Pakete zust\u00e4ndig sind. Ein Blog-Leser hat mich informiert, dass aktuell wohl eine Phishing-Kampagne l\u00e4uft, die auf Kunden des Hosters Strato abzielt (k\u00f6nnte auch andere Hosting-Kunden treffen). In einer … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-285792","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/285792","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=285792"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/285792\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=285792"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=285792"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=285792"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}