Phishing mit Strato: Vorsicht und kühlen Kopf bewahren!

Kein Kommentar Autor: Jürgen (jdo)

Mich hat jemand angeschrieben, der angeblich eine Rechnung bei Strato nicht beglichen hätte. Allerdings benutzt die Person ein Bankeinzugsverfahren und deswegen riecht das irgendwie. Also haben wir uns die Sache genauer angesehen, weil wir Phishing vermutet haben.

Generell muss man wissen: Phishing-Mails zielen darauf ab, den Anwender zu schockieren, damit er etwas Unüberlegtes macht. Bei solchen Sachen musst Du deswegen die Ruhe bewahren, weil ob eine vermeintliche Rechnung 10 Minuten früher oder später bezahlt wird, ist völlig egal. Aber 10 wohlüberlegte Minuten bewahren Dich auch, Unfug zu treiben und auf Phishing hereinzufallen. Hole im Notfall eine zweite Meinung ein oder kontaktiere den Anbieter direkt über die bekannten Wege und nicht über einen Link in einer E-Mail.

Die angebliche Mail von Strato: Ganz klar Phishing

Also es handle sich um die Rechnung mit Nummer XYZ und die seit nicht beglichen. Man müsste sich nur bei Strato anmelden und schon könne man binnen 2 Minuten die Situation bereinigen. Hier klicken und anmelden stand da noch und dahinter befand sich dieser Link (ich verlinke absichtlich nicht direkt darauf)

https://cts.indeed.com/v0?tk=bf1501v10-950101d50-81f00545-15501515-ca1008&r=https%3A%2F%2Fwww.google.com%2Furl%3Fsa%3Dt%26rct%3Dj%26q%3D%26esrc%3Ds%26source%3Dweb%26cd%3D3%26cad%3Drja%26uact%3D8%26ved%3D2ahUKEwiPxOWwz57jAhWQmeAKHQWHAtIQFjACegQIBRAB%26url%3Dhttp%253A%252F%252Ffotograf-konstanz.net%252Fblog%252F%26usg%3DAOvVaw3jj_A1CoyrsvyfWgSEpl4y

Der Link stinkt! -> Phishing!

In einer virtuellen Maschine bin ich dem Link gefolgt und bei der Adresse https://lapak777.info/cels/apps/apps/CustomerService.php#/skl gelandet.

Untersuchst Du den Link, dann merkst Du, dass www.fotograf-konstanz.net/blog/ im Endeffekt auf lapak777.info verweist. Tut es auch, habe ich überprüft. Die Fotografen-Website sieht wie ein legitimes Business aus, ist aber nur mit Dummy-Texten befüllt.

Die Website gleicht der von Strato, ist sie aber nicht, wie Du ganz klar in der URL siehst. Klickst Du auf Webmail, HiDrive und so weiter, dann ändert sich die Seite auch nicht. Der einzige zweck der Seite ist es, Deine Login-Daten zu phishen.

Das ist nicht Strato! Das ist Phishing!

Das ist nicht Strato! Das ist Phishing!

Interessant ist, dass es ein gültiges Zertifikat für die Domain gibt.

Es ist eine sichere Verbindung und trotzdem Phishing!

Es ist eine sichere Verbindung und trotzdem Phishing!

Website einfach kopiert!

Witzig ist auch, wenn Du Dir den Quell-Code der Phishing-Seite anguckst. Da wurde sich nicht einmal die Mühe gemacht, zu verbergen, wie sie entstanden ist. Die Phisher haben sie einfach mit HTTrack Website Copier dupliziert, also auf den Rechner geladen und woanders wieder hochgeladen.

Website wurde einfach kopiert!

Website wurde einfach kopiert!

Ich habe die Website als Phishing gemeldet

Eine whois-Abfrage hat zwar nicht verraten, wem die Domain gehört, aber zumindest, wer der Registrar ist.

whois-Abfrage verrät so einiges ...

whois-Abfrage verrät so einiges …

Ich habe mir auch erlaubt, die Phishing-Website zu melden. Angeblich bekomme ich ein E-Mail, sobald der Vorfall untersucht ist. Sobald eine Nachricht eingetroffen ist, werde ich das hier nachtragen.

Phishing gemeldet

Phishing gemeldet

Nachtrag: Der Anbieter hat relativ schnell reagiert und die Domain erst einmal auf den Status ClientHold gesetzt, was auch immer das heißen mag. Funktionieren tut sie noch und die Phishing-Seite ist ebenfalls noch aktiv.

Domain wurde auf ClientHold gesetzt

Domain wurde auf ClientHold gesetzt

Ich finde auf jeden Fall, dass ich meinen Teil getan habe, werde es vielleicht morgen nochmals prüfen, wenn ich dran denke.

Was können wir daraus lernen?

  • Ganz klar einen kühlen Kopf bewahren. Keine Panik, sondern zurücklehnen, vielleicht vom Rechner weggehen und nachdenken. Ein zweiter Blick lohnt sich immer.
  • Ein gültiges SSL-Zertifikat heißt nicht, dass es keine Phishing-Website ist!
  • Wenn Du Untersuchungen anstellen möchtest, dann nimm eine virtuelle Maschine dafür. In diesem Fall wäre es nicht notwendig gewesen, da die Seite an sich harmlos aussieht, aber sicher ist sicher.
  • Phishing ist immer noch in Mode

Schnäppchen!

Du suchst ein günstiges VPN? Dauerhaft günstige Angebote. Bei manchen Anbietern bekommst Du bis zu 83 % Rabatt plus 3 Monate kostenlos.

Auf der Schnäppchen-Seite findest Du auch Deals für Spiele, E-Books und so weiter.




 Alle Kommentare als Feed abonnieren

Kommentare sind geschlossen.