![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Aktuell laufen wohl wieder Kampagnen mit SPAM-Mails, die dann auf auf Google-Seiten verlinkten. Ziel ist es, Reputation beim Opfer vorzugaukeln. Auf der Google-Seite werden dann aber Links auf Phishing-Seiten untergebracht. Stefan hatte mir die Tage eine solche Mail zukommen lassen. Ich bereite den Sachverhalt mal etwas im Detail auf.<\/p>\n
Stefan K. hatte mich am 22. November 2024 per Mail unter dem Betreff \"Netter (untauglicher) Versuch\" auf die SPAM-Kampagne hingewiesen. Die angeh\u00e4ngt Mail ist in folgendem Screenshot abgebildet.<\/p>\n
![\"Arcor-Phishing-Mail\"](\"https:\/\/i.postimg.cc\/FFdVx8WD\/image.png\")
<\/p>\n
Ich habe die im Feld An<\/em> im Klartext zu erkennenden Empf\u00e4nger verschleiert – die Nachricht geht ausschlie\u00dflich an arcor.de-Postf\u00e4cher. In der Mail erf\u00e4hrt der \"Lieber ARCOR-Nutzer\", dass ein \"KONTO-UPDATE 2024\" ansteht und der Betreff suggeriert ausstehend E-Mails von Arcor und dass es mit den \"Benachrichtigungseinstellungen\" zu tun habe.<\/p>\n Es sei das letzte Mal, dass man den Empf\u00e4nger informieren m\u00f6chte,\u00a0dass \"wir\", also ARCOR, die Verarbeitung eingehender E-Mails im Benutzer-Konto f\u00fcr die E-Mails eingestellt habe.<\/p>\n Dann kommt die vermeintliche Drohung: \"Da Sie sich geweigert haben, Ihr Konto auf unseren neuen Dienst zu aktualisieren, sind wir gezwungen, Ihr Konto zu sperren, wenn Sie diese Benachrichtigung ignorieren.\" Wer kann da als Empf\u00e4nger, der gerne sein Arcor-E-Mail-Postfach behalten m\u00f6chte, schon widerstehen? Ist schlie\u00dflich ein \"Angebot, was Du nicht ablehnen kannst\". Netter weise ist noch einen Link KONTO JETZT AKTUALISIEREN mit in der Mail enthalten, um den Vorgang schnell erledigen zu k\u00f6nnen.<\/p>\n Hier im Blog gibt es den aktuellen Kommentar<\/a> \"\u00dcber Google Groups l\u00e4uft aktuell auch eine SPAM-Kampagne seit drei Wochen. Google k\u00fcmmert sich leider, trotz Meldung vom SPAM, nicht darum. Hoffentlich landen die bald ebenfalls auf den RBLs.\", der auch in diese Richtung gehen k\u00f6nnte (ich kenne aber keine Details. In obiger Mail ist nun interessant, dass der Link KONTO JETZT AKTUALISIEREN beim Zeigen per Maus eine Google-Seite verweist.<\/p>\n Ich habe die Google-Seite mal im Tor-Browser aufgerufen. Diese zeigt einen Text zur ARCOR Epoxy Technologies – Datenschutzrichtlinie<\/em> an. Ok, ich bin auf der ARCOR-Webseite, die mir unverst\u00e4ndliches Zeugs um die Ohren hauen, aber immerhin, mir wird ein Link am Textanfang angeboten.<\/p>\n Und jetzt wird es interessant, so dass ich es ein wenig aufbereiten m\u00f6chte. Der Telekommunikationsanbieter ARCOR fungiert unter der Domain arcor.de, <\/em>was sich an den E-Mail-Adressen aus dem Screenshot mit der SPAM-Mail erkennen l\u00e4sst. Schaut man sich aber mal an, was hinter ARCOR Epoxy Technologies<\/em> steckt, st\u00f6\u00dft man auf einen kleinen Betrieb in den USA, der sich mit Epoxid-Harzen besch\u00e4ftigt. Die haben aber mit Sicherheit nichts mit den Datenschutzbedingungen von ARCOR-Deutschland zu schaffen.<\/p>\n Das Dokument, welches obiger Screenshot im Browser zeigt, liegt auf einer Google Cloud-Seite. So etwas stutzig macht den geneigten Beobachter, wenn er per Maus auf das blau unterlegte Banner \"Klicken Sie hier, um fortzufahren und die neuen aktualisierten Nutzungsbedingungen und Datenschutzrichtlinien von Arcor.<\/em>\" zeigt. Abgesehen davon, dass der Satz abgebrochen ist, verweist das Ziel auf eine ganz merkw\u00fcrdige URL, wie sich in der Fu\u00dfzeile des obigem Screenshots erkennen l\u00e4sst.<\/p>\n Das Zertifikat ist als Wildcard f\u00fcr *.google.com zum 21. Oktober 2024 ausgestellt, und l\u00e4uft im Januar 2024 ab. Schon wieder mysteri\u00f6s, das Ganze – wird aber einen normalen Nutzer nicht st\u00f6ren.<\/p>\n Wer aber mal die URL\u00a0sites.google.com<\/a> in einem Browser aufruft (das ist ja Teil der URL aus der obigen \"Arcor-Datenschutzseite\") bekommt nachfolgende Information gezeigt. Unter der URL k\u00f6nnen Fremde \"unkompliziert tolle Websites f\u00fcr Ihr Team, ein Projekt oder eine Veranstaltung\" erstellen. Du brauchst nur OK zu klicken und bist gl\u00fccklich.<\/p>\n Sprich: Auf der Seite kann jeder seinen Schmodder abladen. Kuckt mal, ich bin auch auf Google Sites, sogar unter\u00a0guenni<\/em> zu finden.<\/p>\n Das ging ja einfach, ich bin drin. \"A Schlaraffenl\u00e4nd\" f\u00fcr jeden Spammer, w\u00fcrde ich mal sagen.<\/p>\n Ich habe dann mal Virustotal mit der \"Arcor-Datenschutzseite\" gef\u00fcttert und bekam folgende Information<\/a>.<\/p>\n Da klingelt zumindest bei einem der 96 Security-Scanner was und der schreibt, dass die Seite sch\u00e4dlich (Malicious) sei. Ein zweiter Scanner meldet, dass die Seite verd\u00e4chtig (Suspicious) sei.<\/p>\n Ich habe dann doch mal die Ziel-URL, die auf der \"ARCOR-Datenschutzseite\" so verlinkt wurde, in einem Browser aufgerufen (sollte niemand nachmachen). Da bekam ich dann nachfolgende Seite angezeigt.<\/p>\n Gut, die Gestaltung der Formularseite hat den Anschein, als Vodafone einen Praktikanten von einer Umschulung der Bundesagentur f\u00fcr Arbeit dran gelassen, dann aber die Praktikumsverg\u00fctung nicht bezahlt hat.<\/p>\n Aber Hand auf's Herz, das sieht doch richtig seri\u00f6s aus. Was schreibt der Born f\u00fcr einen Stuss? Live Anbieter sind international aufgestellt und melden sich schon mal mit I am human, <\/em>drohen mit AI-Bots und Captchas und haben auch sonst so einiges an \"Nerv\" auf Lager. Aber der normale Mensch ist willig, loggt sich mit seinen Benutzerdaten ein und ist fortan gl\u00fccklich. Nie mehr \u00c4rger mit vergessenen Login-Daten, denn die sind ja weg, weg, weg.<\/p>\n Ok, falls wer doch noch Zweifel haben sollte: Das oben gezeigte ist eine arg schlecht gemachte Phishing-Seite, wie ich sie nicht schlechter hin bekommen h\u00e4tte. Also obacht, wo ihr eure Daten im Internet eingebt. Und gibt die obige Analyse ggf. auch an andere Nutzer, die auf so etwas hereinfallen k\u00f6nnten, weiter.<\/p>\n","protected":false},"excerpt":{"rendered":" Aktuell laufen wohl wieder Kampagnen mit SPAM-Mails, die dann auf auf Google-Seiten verlinkten. Ziel ist es, Reputation beim Opfer vorzugaukeln. Auf der Google-Seite werden dann aber Links auf Phishing-Seiten untergebracht. Stefan hatte mir die Tage eine solche Mail zukommen lassen. … Weiterlesen Spannende Verlinkungen<\/h2>\n
![\"Google](\"https:\/\/i.postimg.cc\/7ZSrpKBk\/image.png\")
<\/p>\nEin Epoyid-Harz Hersteller in den USA<\/h3>\n
Google Sites f\u00fcr tolle Phishing-Seiten<\/h3>\n
![\"Zertifikat](\"https:\/\/i.postimg.cc\/ZKHjMpmq\/image.png\")
<\/p>\n![\"Google](\"https:\/\/i.postimg.cc\/hvpxp8mW\/image.png\")
<\/p>\n![\"Borns](\"https:\/\/i.postimg.cc\/brhc3khT\/image.png\")
<\/p>\nWas meint Virustotal dazu?<\/h2>\n
![\"Warnung](\"https:\/\/i.postimg.cc\/wvFcGdKG\/image.png\")
<\/a><\/p>\nDie Phishing-Seite in voller Pracht<\/h2>\n
![\"Phishing-Seite](\"https:\/\/i.postimg.cc\/ydrvvSSG\/image.png\")
<\/p>\n