Phishing Mails an Domaininhaber angeblich vom Webspace-Hoster - korrekte Zuordnung Domain zu Hosting - angebliche Überprüfung WHOIS contact data gemäss den ICANN Guidelines

04.03.2018 22:16:40, Jürgen Auer, 9 Kommentare

Phishing-Mails werden immer besser. Das läßt sich jedenfalls heute abend feststellen.

Vorhin erhielt ich eine Mail, die "verblüffend korrekt" ausgesehen hat:

---Beginn der Mail---


From: Strato AG <service@strato.de>
Subject: Check WHOIS Data of Your Domain(s), your response is required [Ticket AB326395929]


[Strato-Logo - dazu unten mehr]

Dear customer,

The domain sql-und-xml.de is registered on your behalf at Strato AG

 

According to the guidelines of ICANN (Internet Corporation for Assigned Names and Numbers), we ask that you check if your current contact data in the WHOIS database is correct.


If the problem does not resolved within 5 days, the domain has to be set on 'hold', which means it will not be usable regularly.

Note: If your data is correct, you will not have to do anything. If your contact data needs to be updated, you can change it in your Customer Service Area.

The purpose of the WHOIS database is to provide the contact details of domain registrants. These contact details are important if there are technical issues caused by a domain or its usage or if an infringement caused by the domain can be found.

Note: According to the current rules and regulations of ICANN which you confirmed with your registration, providing inaccurate contact details may cause the removal of your domain name.

Please read our General Terms and Conditions.

 


Thank you for your attention to this matter. We appreciate your cooperation and look forward continuing to improve the security of your account.

 

Kind regards,


STRATO AG | Hosting Security
________________________________________
E-Mail: service@strato.com
Website: http://www.strato.com
________________________________________
STRATO AG
Pascalstraße 10
10587 Berlin, Allemagne
________________________________________
Supervisory Board: Vicente Vento
Directory: Dr. Christian Böing (Presidency), Christoph Steffens,
René Wienholtz
Tribunal d'immatriculation : Berlin Charlottenburg HRB 79450

---Ende der Mail---

 

Sprich: Die Domain sql-und-xml.de sei von Strato für mich registriert. Es müsse überprüft werden, ob meine WHOIS-Daten korrekt seien. Wenn das nicht innerhalb von 5 Tagen passiert, wird die Domain auf "hold" gesetzt und kann nicht mehr regulär verwendet werden. Wenn die Daten korrekt seien, müsse ich nichts tun. Sind sie falsch, sollte ich sie ändern. Hier der Link zur "Customer Service Area".


Dazu zunächst die folgende technische Vorbemerkung: Die sql-und-xml.de ist meine Domain. Sie liegt zwar (wie man sich anhand der Nameserver-Einträge leicht herleiten kann) bei INWX. Der Webspace zeigt aber auf den bei Strato angemieteten dezidierten Webserver, auf dem meine Dienstleistung Server-Daten (und der hiesige Blog) läuft. Server-Daten und die sql-und-xml.de teilen sich denselben Server, damit auch dieselbe IP-Adresse. Wenn der Webspace für eine Domain bei Strato liegt, dann liegt in den allermeisten Fällen auch die Domain bei Strato.

Insofern dürften diverse Leute, die so eine Mail bekommen, zunächst denken, daß die Mail korrekt ist.

Das Logo oben und die Wörter "Customer Service Area" sind als Link unterlegt. Der Link geht auf

http://ican-and-support.com/?[es folgt eine lange Zufallszeichenfolge]

Das ist die eigentliche Phishing-Seite, die hier sogar unverschlüsselt ist. Mit einem Letsencrypt-Zertifikat wäre aber auch eine kostenlose Verschlüsselung möglich.

Die Mail kam laut Header von:

Received: from mpo.abchi.xyz (mpo.abchi.xyz [69.197.153.140])

Die IP ist in den USA beheimatet. Die Mail dürfte also mit Sicherheit nicht von Strato verschickt worden sein. Extrem interessant ist der Link, über den das Bild (ein korrektes, wenn auch womöglich veraltetes Strato-Logo) geladen wurde.

http://blogpirat.de/wp-content/uploads/2011/07/strato-logo.jpg

Entweder gibt es einen uralten Artikel vom Juli 2011, bei dem dieser "Blogpirat" etwas zu Strato geschrieben und das Logo dafür genutzt hat. Oder die Website ist gehackt worden und das Logo ist mit einem alten Datum zur Tarnung vom Versender der Phishing-Mails hochgeladen worden.

Eine Überprüfung des Blogs ergab, daß es dort tatsächlich einen Artikel vom Juli 2011 zu Strato gibt. Allerdings wird in diesem Artikel das Logo nicht genutzt.

Bei der Mail fällt auf, daß laut Impressum Vicente Vento nicht mehr Vorsitzender des Aufsichtsrats ist. Ferner gibt es einen merkwürdigen Mix zwischen englisch und französisch: Berlin, Allemagne, Tribunal d'immatriculation. Als ob die Phisher französischsprachig seien und mit dem Begriff "Registergericht" aus dem Strato-Impressum nicht so richtig klargekommen sind. Dann blieb es eben beim französischen Begriff.

Mit anderen Worten: Wer die Mail nur kurz überfliegt, der denkt, daß die Mail korrekt ist und daß er sich mal schnell einloggen sollte, um die Daten zu überprüfen. Und schon hat der Phisher Zugangsdaten.

Ansonsten: Ich habe seit langem verschiedene Domains. Solche Mails, daß man die WHOIS contact - Daten überprüfen möge, habe ich bislang noch nie erhalten oder bin diesen gefolgt. Allerdings gibt es natürlich immer mehr Leute, die Domains registrieren. Diesen fehlt das technische Wissen. Schon werden Zugangsdaten abgefischt.

Fazit: Die Mail ist eine Phishing-Mail. Bitte ignorieren. Allerdings ist das eine "verflixt gut gemachte Phishing-Mail". Da könnten einige drauf reinfallen.

05.03.2018 19:16:38, Charles
Hallo,

eine solche Fakemail ist heut bei mir eingetrudeld,
angeblich von Hetzner, hab auch erst gestaunt, aber ich früfe alle Links bevor ich wo draufklicke. ^^


Gruß
Charles

05.03.2018 19:54:42, Mike
Danke für deine ausführliche Darstellung dieser Phishing-Mail.

06.03.2018 09:46:53, Cassio
Hab auch eine von Hetzner bekommen, verblüffend echt. Danke für den Beitrag hier.

06.03.2018 10:55:26, Jürgen Auer
Vielen Dank für die Infos zu Hetzner.

Gibt es da auch ein eingebettetes Logo?

Man kann das sehen, wenn man sich den Mailtext "roh" ansieht.

15.04.2018 00:40:05, Reinhard
Ich habe genau so eine Phishing-Mail bekommen, die aber von 1and1 sein sollte, Absender war aber afr.daoudatra.xyz ([173.208.153.27]).

15.04.2018 16:16:58, sabine
Ich bekam gestern auch eine angeblich von 1&1 ltd. (!!) stammende Mail, ähnlich wie Reinhard. Sah täuschend echt aus. Die Überprüfung der IP-Adresse ergab als Sitz des Servers die Niederlande. Schätze, viele Leute sind betroffen. Also Obacht!

01.05.2018 09:16:50, steffen
Danke für Deine ausführliche Erläuterung zum Thema.
Bei mir war die Email auch im Email-Header von: Strato AG <service@strato.de>

Verdammt gut gemacht.
Der Link hinter "Customer Service Area" war http://ican-help-club.com/?Zufallszahlenfolge.

Was macht man damit? An Strato weiterleiten, daß die siech kümmern oder einfach ignorieren?

Viele Grüße
Steffen

01.05.2018 14:57:31, Jürgen Auer
Ich hatte meine Mail im März nicht weitergeleitet. Heute erhielt ich erneut eine - ebenfalls auf http://ican-help-club.com/

Per Mail habe ich grade Hetzner, Strato und 1&1 per abuse@ ... angeschrieben, ob sie die Mails haben möchten.

09.06.2018 12:33:38, Michael
Danke für diesen Post. Ich habe heute eine sehr ähnliche Mail mit folgenden (auszugsweisen) Headerdaten bekommen:

Return-Path: <no-reply@blackfriday.gedged.xyz>
Delivery-date: Sat, 09 Jun 2018 08:31:37 +0200
From: Amazon Web Services <aws.marketing-email-replies@amazon.com>
Subject: Check WHOIS Data of Your Domain(s)
Date: Sat, 09 Jun 2018 13:10:40 +0200
Message-Id: <e1ba64cdb1710b81300a2d0d35505def.1.D7EA961150935F77@amazon.com>

Der Phishing-Link zeigt auf: http://app.amazon.com.fbl.berlin/?<alphanum-string> – das ist eine Domain von irgendwelchen Basketballern in Berlin o_O

*
* (wird nicht angezeigt)
Die Erläuterungen zum Datenschutz habe ich gelesen und stimme diesen zu.