Phishing mit Strato: Vorsicht und kühlen Kopf bewahren!

6 Juli 2019 Kein Kommentar Autor: Jürgen (jdo)

Mich hat jemand angeschrieben, der angeblich eine Rechnung bei Strato nicht beglichen hätte. Allerdings benutzt die Person ein Bankeinzugsverfahren und deswegen riecht das irgendwie. Also haben wir uns die Sache genauer angesehen, weil wir Phishing vermutet haben.

Generell muss man wissen: Phishing-Mails zielen darauf ab, den Anwender zu schockieren, damit er etwas Unüberlegtes macht. Bei solchen Sachen musst Du deswegen die Ruhe bewahren, weil ob eine vermeintliche Rechnung 10 Minuten früher oder später bezahlt wird, ist völlig egal. Aber 10 wohlüberlegte Minuten bewahren Dich auch, Unfug zu treiben und auf Phishing hereinzufallen. Hole im Notfall eine zweite Meinung ein oder kontaktiere den Anbieter direkt über die bekannten Wege und nicht über einen Link in einer E-Mail.

Die angebliche Mail von Strato: Ganz klar Phishing

Also es handle sich um die Rechnung mit Nummer XYZ und die seit nicht beglichen. Man müsste sich nur bei Strato anmelden und schon könne man binnen 2 Minuten die Situation bereinigen. Hier klicken und anmelden stand da noch und dahinter befand sich dieser Link (ich verlinke absichtlich nicht direkt darauf)

https://cts.indeed.com/v0?tk=bf1501v10-950101d50-81f00545-15501515-ca1008&r=https%3A%2F%2Fwww.google.com%2Furl%3Fsa%3Dt%26rct%3Dj%26q%3D%26esrc%3Ds%26source%3Dweb%26cd%3D3%26cad%3Drja%26uact%3D8%26ved%3D2ahUKEwiPxOWwz57jAhWQmeAKHQWHAtIQFjACegQIBRAB%26url%3Dhttp%253A%252F%252Ffotograf-konstanz.net%252Fblog%252F%26usg%3DAOvVaw3jj_A1CoyrsvyfWgSEpl4y

Der Link stinkt! -> Phishing!

In einer virtuellen Maschine bin ich dem Link gefolgt und bei der Adresse https://lapak777.info/cels/apps/apps/CustomerService.php#/skl gelandet.

Untersuchst Du den Link, dann merkst Du, dass www.fotograf-konstanz.net/blog/ im Endeffekt auf lapak777.info verweist. Tut es auch, habe ich überprüft. Die Fotografen-Website sieht wie ein legitimes Business aus, ist aber nur mit Dummy-Texten befüllt.

Die Website gleicht der von Strato, ist sie aber nicht, wie Du ganz klar in der URL siehst. Klickst Du auf Webmail, HiDrive und so weiter, dann ändert sich die Seite auch nicht. Der einzige zweck der Seite ist es, Deine Login-Daten zu phishen.

Das ist nicht Strato! Das ist Phishing!

Das ist nicht Strato! Das ist Phishing!

Interessant ist, dass es ein gültiges Zertifikat für die Domain gibt.

Es ist eine sichere Verbindung und trotzdem Phishing!

Es ist eine sichere Verbindung und trotzdem Phishing!

Website einfach kopiert!

Witzig ist auch, wenn Du Dir den Quell-Code der Phishing-Seite anguckst. Da wurde sich nicht einmal die Mühe gemacht, zu verbergen, wie sie entstanden ist. Die Phisher haben sie einfach mit HTTrack Website Copier dupliziert, also auf den Rechner geladen und woanders wieder hochgeladen.

Website wurde einfach kopiert!

Website wurde einfach kopiert!

Ich habe die Website als Phishing gemeldet

Eine whois-Abfrage hat zwar nicht verraten, wem die Domain gehört, aber zumindest, wer der Registrar ist.

whois-Abfrage verrät so einiges ...

whois-Abfrage verrät so einiges …

Ich habe mir auch erlaubt, die Phishing-Website zu melden. Angeblich bekomme ich ein E-Mail, sobald der Vorfall untersucht ist. Sobald eine Nachricht eingetroffen ist, werde ich das hier nachtragen.

Phishing gemeldet

Phishing gemeldet

Nachtrag: Der Anbieter hat relativ schnell reagiert und die Domain erst einmal auf den Status ClientHold gesetzt, was auch immer das heißen mag. Funktionieren tut sie noch und die Phishing-Seite ist ebenfalls noch aktiv.

Domain wurde auf ClientHold gesetzt

Domain wurde auf ClientHold gesetzt

Ich finde auf jeden Fall, dass ich meinen Teil getan habe, werde es vielleicht morgen nochmals prüfen, wenn ich dran denke.

Was können wir daraus lernen?

  • Ganz klar einen kühlen Kopf bewahren. Keine Panik, sondern zurücklehnen, vielleicht vom Rechner weggehen und nachdenken. Ein zweiter Blick lohnt sich immer.
  • Ein gültiges SSL-Zertifikat heißt nicht, dass es keine Phishing-Website ist!
  • Wenn Du Untersuchungen anstellen möchtest, dann nimm eine virtuelle Maschine dafür. In diesem Fall wäre es nicht notwendig gewesen, da die Seite an sich harmlos aussieht, aber sicher ist sicher.
  • Phishing ist immer noch in Mode

Was ich derzeit für VPNs benutze?

Mein kleiner Favorit ist derzeit NordVPN *, aber auch AirVPN * finde ich Klasse. Manchmal nutze ich einfach meinen eigenen Server. NordVPN hat mir freundlicherweise einen Testzugang zur WireGuard-Implementierung des Unternehmens und das funktioniert schon sehr gut. Da freue ich mich schon, wenn es im großen Stil implementiert wird. Interessiert Dich, was NordVPN alles kann? Ich habe es für Dich übersichtlich zusammengefasst.

Für WireGuard habe ich allerdings an Mullvad einen kleinen Narren gefressen!

PIA (Private Internet Access) * hat übrigens ein sehr schönes GUI für Linux. Der Client ist wirklich Klasse und vor allen Dingen ist die Oberfläche auf Deutsch verfügbar.

Kostenlose VPNs benutze ich eigentlich nicht mehr. Das habe ich früher gemacht, aber ich zahle lieber für einen Service, weil das einfach erschwinglich ist. Es gibt ein Sprichwort und das heißt: Wenn es nichts kostet, bist Du das Produkt!

Dich interessieren Kryptowährungen? Ich handle via Binance*.

Am schnellsten kaufst Du Kryptowährungen / Bitcoin über Coinbase*.

Du kannst gerne Deinen Senf zu diesem Beitrag geben: Hier geht es zu den Kommentaren




Schreiben macht durstig! Eine kleine Erfrischung kann daher nie schaden. Wem dieser freie Artikel gefallen hat, der darf mir gerne einen frisch gezapften Hopfen-Tee ausgeben (Paypal - der Spenden-Knopf
)
oder

Bitcoin-Adresse: 17F1hqc9LgsAC19DPv5PaRbqsEhuE8AmAA

Ethereum-Adresse: 0x9cc684575721dc07b629ad5d81b43ab4b992e76e

Verge-Adresse: DJaJtZeW494xhnRJJt19Lnt2R5pz7zRp5A

Ich freue mich über jede noch so kleine Spende. Vielen Dank und Prost!

 
NordVPN - günstig und ideal für Anfänger
 Alle Kommentare als Feed abonnieren

Antworten

Air VPN - The air to breathe the real Internet