Gefährliche IONOS Phishing-Mail im Umlauf – So erkennst du den Betrug: Phishing-Mails werden immer raffinierter und können auf den ersten Blick seriös wirken. Ein aktuelles Beispiel ist eine betrügerische Nachricht, die angeblich von IONOS stammt und eine gefälschte Rechnung als Anhang enthält. In diesem Artikel analysieren wir den Text der E-Mail und erklären, woran man solche Betrugsversuche erkennt. Abschließend geben wir Tipps, wie man sich davor schützen kann.
Die betrügerische E-Mail erreicht ihre Empfänger als reine Textnachricht mit dem Betreff: Ihre IONOS Rechnung 100160732196 vom 18.03.2025 ist da. Dem Anhang ist eine HTML-Datei mit der Bezeichnung Anhang_100160732196_PDF.html beigefügt:
Von: IONOS <support@kaigo-hope.com> (5. Falsche, unstimmige Von-Adresse)
Datum: 18.03.2025, 01:00
Betreff: Ihre IONOS Rechnung 100160732196
Return-Path: <support@kaigo-hope.com>Guten Tag, (1. Unpersönliche Anrede)
anbei erhalten Sie im Anhang Ihre aktuelle Rechnung 100160732196 vom 18.03.2025 als PDF-Datei.
Rechnungsnummer: 100160732196 (2. Gefälsche Rechnungsdaten)
Vertragsnummer: 5512526 (2. Gefälsche Rechnungsdaten)
Rechnungsbetrag: 178,00 € (2. Gefälsche Rechnungsdaten)
Tarif: IONOS Webhosting Premium
Domain: teufelswerk.net (3. Domain als Lockmittel)
Die Zahlung des ausstehenden Betrags erfolgt zum Fälligkeitstermin über die von Ihnen hinterlegte Zahlungsmethode. (4. Zahlungsdruck und Aufforderung zur Interaktion)
Beste Grüße
IONOS SE (5. Echte Unternehmensangaben als Tarnung)
Elgendorfer Straße 57
56410 Montabaur
Hauptsitz Montabaur, Amtsgericht Montabaur, HRB 24498
Umsatzsteuer-IdentNummer: IONOS SE: DE815563912Woran erkennt man die Phishing-Mail?
1. Unpersönliche Anrede
Die Nachricht beginnt mit einem allgemeinen „Guten Tag“. Seriose Unternehmen wie IONOS sprechen Kunden in der Regel mit ihrem Namen an. Eine unpersönliche Anrede ist ein erstes Warnsignal, dass es sich bei dieser Mail um eine Phishing-Nachricht handelt.
2. Gefälschte Rechnungsdaten
Die E-Mail enthält eine Rechnungsnummer, Vertragsnummer und einen Betrag (178,00 €). Doch diese Daten sind zufällig generiert und haben keinen Bezug zu einem echten IONOS-Konto, geschweige denn zu deinem Konto. Solltest du kein IONOS-Konto besitzen, handelt es sich bei einer solchen E-Mail eindeutig um Betrug, Fake und Phishing.
3. Domain als Lockmittel
Sofern du überhaupt im Besitz einer Domain bist, soll die Erwähnung deiner Domain „deinedomain.com“ Authentizität vortäuschen. Meist wird dabei die Domain der E-Mail-Adresse des Empfängers verwendet, ganz gleich, ob sie bei IONOS oder irgendeinem anderen Anbieter gehostet wird.
4. Zahlungsdruck und Aufforderung zur Interaktion
Phishing-Mails setzen häufig auf Dringlichkeit. Hier wird der Empfänger informiert, dass die Zahlung über seine „hinterlegte Zahlungsmethode“ erfolgt. Das kann Panik auslösen und dazu verleiten, die „Rechnung“ zu prüfen – also den schädlichen Anhang zu öffnen.
5. Echte Unternehmensangaben als Tarnung und falsche, unstimmige Von-Adresse
Am Ende der Mail stehen tatsächlich korrekte Daten zur IONOS SE, inklusive Adresse und Umsatzsteuer-ID. Dies ist eine häufige Phishing-Taktik, um Seriosität vorzutäuschen. Doch die wahre Absenderadresse der E-Mail (support@kaigo-hope.com) verrät den Betrug.
Der Anhang
Die Phishing-E-Mail enthält einen Anhang mit der Bezeichnung Anhang_100160732196_PDF.html. Der möglicherweise nicht techisch versierte Nutzer geht davon aus, dass es sich bei der angehängten Datei aufgrund der Bezeichnung um ein PDF handelt, und nicht etwa um eine HTML-Datei. Deshalb könnte der Empfänger dazu geneigt sein, diese Datei, ohne jegliches Misstrauen, zu öffnen.
Dieser HTML-Code ist allerdings bösartig und sollte nicht geöffnet oder ausgeführt werden. Die nachfolgende Analyse der angehängten HTML-Datei verdeutlicht die Bösartigkeit. Es folgt zunächst der vollständige HTML-Code der Datei:
<!DOCTYPE html>
<html lang="en">
<head>
<script id="_waukeo">var _wau = _wau || []; _wau.push(["small", "inst01", "keo"]);
(function() {var s=document.createElement("script"); s.async=true;
s.src="https://widgets.amung.us/small.js";
document.getElementsByTagName("head")[0].appendChild(s);
})();</script>
</div>
</body>
</html>
<!DOCTYPE HTML>
<html lang="en-US">
<head>
<meta charset="UTF-8">
<meta http-equiv="refresh" content="0; url=https://bulut125.pito.web.tr//wp-content/javascript/?rechnung=100160732196.pdf">
<script type="text/javascript">
window.location.href = "https://bulut125.pito.web.tr//wp-content/javascript/?rechnung=100160732196.pdf"
</script>
</body>
</html>1. Versteckter Tracking-Code
Der erste Teil enthält dieses Skript:
<script id="_waukeo">var _wau = _wau || []; _wau.push(["small", "inst01", "keo"]);<br>
(function() {var s=document.createElement("script"); s.async=true;<br>
s.src="https://widgets.amung.us/small.js";<br>
document.getElementsByTagName("head")[0].appendChild(s);<br> })();</script>- Die Funktion
function()lädt ein externes JavaScript vonwidgets.amung.us. - Mögliches Ziel: Diese Art von Code wird oft verwendet, um Besucher zu tracken oder IP-Adressen zu protokollieren.
2. Automatische Weiterleitung auf eine externe URL
Der zweite Teil enthält diesen Code:
<meta http-equiv="refresh" content="0;
url=https://bulut125.pito.web.tr//wp-content/javascript/?rechnung=100160732196.pdf"><br>
<script type="text/javascript"><br>window.location.href = "https://bulut125.pito.web.tr//
wp-content/javascript/?rechnung=100160732196.pdf"<br></script>- Das Meta-Tag sorgt für eine sofortige Weiterleitung.
- Das JavaScript
window.location.href = ...dient als zusätzliche Absicherung, falls das Meta-Tag blockiert wird. - Die URL enthält
/wp-content/javascript/, was darauf hindeutet, dass eine kompromittierte WordPress-Website „als Versteck“ für Schadsoftware genutzt wird. ?rechnung=100160732196.pdfsuggeriert, dass der Nutzer eine gefälschte Rechnung herunterladen soll, die wahrscheinlich Malware enthält (z. B. Trojaner oder Phishing-Versuch).
Der bösartige HTML-Code zeigt, dass es sehr gefährlich sein kann, wenn Dateianhänge ohne eine eingehende, vorherige Prüfung geöffnet werden! Deshalb gilt:
- Nicht die HTML-Datei öffnen.
- Nicht die verlinkte Datei herunterladen.
- Die E-Mail als Phishing oder Betrug melden.
- Falls der Anhang bereits geöffnet worden sein sollte: System auf Malware scannen.
So schützt du dich vor solchen Phishing-Angriffen
- Sei skeptisch bei unerwarteten Rechnungen! Falls du kein IONOS-Kunde bist oder die genannte Vertragsnummer nicht kennst, ignoriere die Nachricht.
- Prüfe die Absenderadresse! Echte Rechnungen von IONOS kommen nur von offiziellen Domains wie „@ionos.de“ oder „@ionos.com“.
- Öffne keine HTML-Anhänge! In diesem Fall enthält der HTML-Code der angehängten HTML-Datei eine Weiterleitung auf eine gefährliche Website, die Schadsoftware enthalten kann.
- Melde Phishing-Mails! Weiterleiten an „abuse@ionos.de“ oder an deinen E-Mail-Provider hilft, solche Betrüger zu stoppen.
- Halte dein System, dein Gerät immer auf dem neuesten Stand, aktualisiere es umgehend, wenn Updates anstehen.
- Verwende einen Viren- bzw. Malwarescanner und eine Firewall. Halte auch diese immer aktuell.
- Richte dein E-Mail-Postfach so ein, dass der Spam-Filter einen hohen Schutz aufweist.
Diese Phishing-Mail zeigt, wie Betrüger versuchen, Nutzer mit gefälschten Rechnungen zu täuschen. Ein aufmerksames Prüfen des Absenders und der Inhalte hilft, nicht in die Falle zu tappen. Wer unsicher ist, sollte sich direkt beim angeblichen Absender vergewissern, anstatt auf Links oder Anhänge zu klicken.
Cyber-News
Abonniere jetzt unsere Cyber-News! Erhalte wertvolle Informationen, Tipps und Ratschläge zur Cybersicherheit, Cyberbedrohungen, den neuesten Betrugsmaschen, Phishing-Methoden und Social-Engineering. Ganz gleich ob du Anfänger oder Fortgeschrittener bist, werde Teil unserer Community und erhalte alle 4 Wochen wertvolle Insights, um deine IT-Sicherheit zu verbessern!
Hat dir dieser Beitrag gefallen?
Ähnliche Beiträge
