Phishing-Mail: Re: Synchronisierungsfehler – (6) Eingehend fehlgeschlagen

Frisch eingetroffen: Eine böswillige Phishing-Mail, in der eine „E-Mail-Quarantäne-Benachrichtigung“ vorgetäuscht wird. Ähnlich lautende Meldungen oder Benachrichtigungen werden oftmals von Cloud-Anwendungen, wie z. B. Office 365 (Security & Compliance Center), an Arbeitsplätze in Unternehmensumgebungen geschickt.

Der Benutzer bzw. Empfänger wird in der E-Mail dazu aufgefordert, die in der Warteschlange stehenden Nachrichten zu überprüfen und zu entscheiden, was nach der Überprüfung mit den E-Mails geschehen soll.

Böswillige E-Mail-Quarantäne-Benachrichtigung

Die „Von:“-Adresse im Header der E-Mail zeigt meine Domain als Namen an und lautet „<teufelswerk.net Noreply.Quota@storage.com>“. Die angeblich versendenden Domain „storage.com“ zeigt nach einem Aufruf im Browser den HTTP-Statuscode 403 an:

Die angeblich versendende Domain der Von-Adresse aus der Phishing-E-Mail zeigt beim Aufrufen der Domain den HTTP-Statuscode 403 an

Was bedeutet der Statuscode 403? HTTP 403 bedeutet, dass der Zugriff auf die angeforderte Ressource (z. B. Domain, URL oder IP) verboten ist. Der Server hat die Anfrage verstanden, wird sie aber nicht erfüllen.

Absendernamen oder -domänen können leicht gefälscht werden. In diesem Fall ist es gut anhand der Angabe meiner Domain als Name zu erkennen.

Die Kopfzeilen dieser Phishing-Mail sprechen dafür, dass die E-Mail nicht von der Domain storage.com gesendet wurde. Warum? Weil die „Von:“-Adresse nicht mit der untersten Kopfzeile „Received:“ übereinstimmt, denn diese lautet: mail0.mani.com (172.245.92.239).

Pinge ich diese IP an, erhalte ich eine positive Antwort:

ping 172.245.92.239

Ping wird ausgeführt für 172.245.92.239 mit 32 Bytes Daten:
Antwort von 172.245.92.239: Bytes=32 Zeit=180ms TTL=52
Antwort von 172.245.92.239: Bytes=32 Zeit=249ms TTL=52
Antwort von 172.245.92.239: Bytes=32 Zeit=237ms TTL=52
Antwort von 172.245.92.239: Bytes=32 Zeit=235ms TTL=52

Ping-Statistik für 172.245.92.239:
    Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
    (0% Verlust),
Ca. Zeitangaben in Millisek.:
    Minimum = 180ms, Maximum = 249ms, Mittelwert = 225ms

Pinge ich hingegen storage.com an, erhalte ich eine negative Antwort:

ping storage.com

Ping wird ausgeführt für storage.com [52.200.104.141] mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.

Ping-Statistik für 52.200.104.141:
    Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4
    (100% Verlust),

Die negative Antwort spricht dafür, dass die Domain storage.com derzeit nicht live geschaltet ist und somit auch keine Mails von oder mit Hilfe dieser Domain versendet werden.

Die Diskrepanz zwischen der E-Mail-„Von:“-Adresse und der Angabe in der untersten Kopfzeile unter „Received:“ ist ein Warnsignal. Es deutet darauf hin, dass es sich hier um Phishing- bzw. Spoofing handelt.

Der in der E-Mail angegebene Link führt zu einer Google-Cloud-Storage Seite, die entweder gekapert oder eigens für diesen Zweck angelegt wurde. Wird der Link in der Phishing-Mail aufgerufen, muss sich das Opfer zunächst in seinem Google-Account anmelden, anschließend wird es zu einer schadhaften Seite weitergeleitet, die einen Download bereithält.

Handlungsempfehlung: Klicke auf gar keinen Fall auf den in der Scam-/Phishing-Mail enthaltenen Anmelde-Link !! Lösche diese Mail umgehend !!