{"id":285801,"date":"2023-09-09T02:19:43","date_gmt":"2023-09-09T00:19:43","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=285801"},"modified":"2023-09-09T11:46:03","modified_gmt":"2023-09-09T09:46:03","slug":"warnung-phishing-mail-zu-nicht-zugestellten-mails-zielt-auf-11-kunden","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/09\/09\/warnung-phishing-mail-zu-nicht-zugestellten-mails-zielt-auf-11-kunden\/","title":{"rendered":"Warnung: Phishing-Mail zu "nicht zugestellten Mails" zielt auf 1&1-Kunden"},"content":{"rendered":"

\"SicherheitKurze Information und Warnung an Besitzer von E-Mail-Konten. Momentan scheint eine Kampagne zu laufen, die den Besitzern eines E-Mail-Kontos vorgaukelt, dass im Postfach einige nicht zugestellte Nachrichten befinden, die der Empf\u00e4nger \u00fcberpr\u00fcfen soll. Mir ist gerade eine solche Phishing-Mail an mein bei 1&1 existierendes E-Mail-Konto zugegangen. Ziel der Phisher ist es, an die Zugangsdaten f\u00fcr das E-Mail-Konto zu gelangen, um diese sowie das Konto zu missbrauchen.<\/p>\n

<\/p>\n

\"\"Ich stelle das Thema hier im Blog ein, weil ich vor Jahren mal in einer gestressten Phase, als das E-Mail-Konto wirklich Probleme machte, darauf reingefallen bin. Der Vorfall blieb folgenlos, weil ich es zeitnah gemerkt und die Zugangsdaten sofort umgesetzt habe. Weiterhin ist die Phishing-Mail ein Beispiel, wie die Phisher versuchen, die SPAM-Erkennung beim Provider zu unterlaufen. Nachfolgender Screenshot zeigt die Phishing-Mail, die folgenden Inhalt aufweist:<\/p>\n

\"1&1<\/p>\n

Erforderliche Ma\u00dfnahme: Bitte antworten<\/strong><\/p>\n

In Ihrem Postfach befinden sich 5 nicht zugestellte E-Mails.<\/p>\n

Entschuldigung f\u00fcr die Dienstunterbrechung, Ihr Postfach hat aufgrund eines
\ntechnischen Dienstfehlers versehentlich die Zustellung von 5 neuen E-Mails
\nan Ihr Postfach (g*** @ ***.de) verhindert.<\/p>\n

Bitte \u00fcberpr\u00fcfen Sie den nicht zugestellten E-Mail-Bericht und geben Sie
\nihn frei.<\/p><\/blockquote>\n

Es wird also vorgegaukelt, dass im Postfach (wohl auf dem E-Mail-Server) nicht zugestellte E-Mail liegen, weil es auf Grund eines Dienstfehlers eine Dienstunterbrechung gab, die die Zustellung verhinderte. Begleitet wird die Mail mit der Bitte um \u00dcberpr\u00fcfung des nicht zugestellten E-Mail-Berichts. Der Phishing-Mail ist einen HTML-Datei als Anhang beigef\u00fcgt. Auff\u00e4llig ist in obigem Screenshot, dass die E-Mail im Von-Feld einen Absender in Japan meldet.<\/p>\n

\"Virustotal-Analyse<\/p>\n

Ich habe dann den Anhang in Form der HTML-Datei zu virustotal.com hochgeladen. Die Antworten der Virenpr\u00fcfung findet sich in obigem Screenshot – 18 von 59 Virenscannern erkennen den Anhang als Phishing bzw. Trojaner Trojan.W32.cryxos.7229. <\/em><\/p>\n

Die Cryxos-Trojaner zeigen eine Meldung auf dem Bildschirm an, die besagt, dass der Computer oder der Webbrowser des Benutzers aufgrund einer Virusinfektion \"blockiert\" wurde und dass seine pers\u00f6nlichen Daten \"gestohlen\" werden. Der Benutzer wird dann aufgefordert, eine Telefonnummer anzurufen, um Hilfe beim Entfernen zu erhalten. Hierbei handelt es sich um eine Variante des \"Call-Support\"-Betrugs.<\/p>\n

\"Phishing-Seite<\/p>\n

Anschlie\u00dfend habe ich die angeh\u00e4ngt HTML-Datei noch auf der Seite CheckPhish \u00fcberpr\u00fcfen lassen – dort wird das Ganze online in einer Sandbox gerendert. Es wird die obige Formularseite angezeigt. Das Formular ist in englisch gehalten, enth\u00e4lt die 1&1- sowie IONOS-Logos und fordert den Nutzer zur Anmeldung auf. Dort wird also zumindest versucht, das Passwort f\u00fcr den E-Mail-Zugang abzufischen.<\/p>\n

An dieser Stelle habe ich abgebrochen und die Mail gel\u00f6scht. Inzwischen erkennt 1&1 diese Mails, denn ich habe weitere Kopien im SPAM-Ordner des E-Mail-Servers gesehen.<\/p>\n

F\u00fcr die Leserschaft: Man sollte die HTML-Datei aus dem Anhang keinesfalls im Browser \u00f6ffnen, da nie bekannt ist, ob eine Malware zur Ausf\u00fchrung kommt.<\/p>\n

Erg\u00e4nzung:<\/strong> Inzwischen hat mir auch der Microsoft Defender unter Windows 10 gemeldet, dass er in der HTML-Datei einen Trojan:Win32\/Phonzy.B!ml<\/em> <\/a>mit schwerwiegender Warnstufe gefunden und in die Quarant\u00e4ne verschoben habe.<\/p>\n","protected":false},"excerpt":{"rendered":"

Kurze Information und Warnung an Besitzer von E-Mail-Konten. Momentan scheint eine Kampagne zu laufen, die den Besitzern eines E-Mail-Kontos vorgaukelt, dass im Postfach einige nicht zugestellte Nachrichten befinden, die der Empf\u00e4nger \u00fcberpr\u00fcfen soll. Mir ist gerade eine solche Phishing-Mail an … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2039,426],"tags":[4353,4328],"class_list":["post-285801","post","type-post","status-publish","format-standard","hentry","category-mail","category-sicherheit","tag-mail","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/285801","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=285801"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/285801\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=285801"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=285801"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=285801"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}