Scam/Malware: IT HelpDesk: Password expired

Diese angeblich vom IT HelpDesk stammende Mail ist eine böswillige Scam/Phishing-Mail. In der Hoffnung, dass du auf den in der Mail angegebenen Link klickst, informiert dich diese gefälschte IT HelpDesk-Mail darüber, dass dein Passwort abgelaufen ist.

Mit Hilfe solcher Betrugs-Mails wird das Opfer nach einem Klick auf den in der Mail enthaltenen Link zu einer betrügerischen Seite geleitet. Ransomware und andere Malware-Infektionen werden häufig über dergestaltete Malspam-Kampagnen verbreitet.

Abb. 1: Ansicht der betrügerischen IT HelpDesk-Mail.

Der in der Mail enthaltene Link führt das Opfer zu: https://secure.prefection.rest/parsing.aspx?connection=<email-adresse-empfänger>

Beim Aufruf der Domain https://secure.prefection.rest oder des Quelltextes, blockiert Firefox die Website und meldet, dass es sich hierbei um eine betrügerische Site handelt. Das Opfer ist in diesem Fall gewarnt und sollte sich schnellstmöglich aus dem Staub machen.

Abb. 2: Ruft man den Link aus der böswilligen Mail auf, blockiert Firefox das Aufrufen der Website und warnt vor betrügerischen Inhalten.

Wer ist der Absender dieser Mail?

In der Mail wird dem Empfänger/Opfer mit Hilfe der Kopfzeilen vorgegauckelt, dass diese Mail von der eigenen E-Mail-Adresse versendet wurde. Ebenso wird die E-Mail-Adresse des Empfängers/Opfers auch als Return-Path angegeben. Das ist natürlich Blödsinn.

Die Absender- und Antwort-Adressen sind gefälscht. Versendet wurde diese betrügerische Mail von einem Mail-Server in den Niederlanden: fmostmcl.questairinc.com ([81.161.229.85])

Aktuell stammt der überwiegende Teil der eintreffenden Spam-, Scam- und Phishing-Mails aus den Niederlanden.

Wird die IP oder Domain des versendenden Mail-Servers direkt im Browser aufgerufen, erhält man folgendes Bild:

Abb. 3: Browser-Ansicht des versendenden Mail-Servers, der unter fmostmcl.questairinc.com erreichbar ist.

Wird die IP-Adresse oder die Domain angepingt, erhält man eine positive Antwort:

$ ping 81.161.229.85

Ping wird ausgeführt für 81.161.229.85 mit 32 Bytes Daten:
Antwort von 81.161.229.85: Bytes=32 Zeit=83ms TTL=57
Antwort von 81.161.229.85: Bytes=32 Zeit=49ms TTL=57
Antwort von 81.161.229.85: Bytes=32 Zeit=38ms TTL=57
Antwort von 81.161.229.85: Bytes=32 Zeit=40ms TTL=56

Ping-Statistik für 81.161.229.85:
    Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
    (0% Verlust),
Ca. Zeitangaben in Millisek.:
    Minimum = 38ms, Maximum = 83ms, Mittelwert = 52ms

Die positive Ping-Antwort spricht dafür, dass die böswillige Mail tatsächlich von fmostmcl.questairinc.com ([81.161.229.85]) versendet wurde.

Gefährdungsgrad: Hoch, wenn der Link aufgerufen wird.

Handlungsempfehlung: Klicke auf gar keinen Fall auf den in der Scam-/Phishing-Mail enthaltenen Anmelde-Link !! Lösche diese Mail umgehend !!