Vorsicht vor vermeintlichen E-Mails von der Strato AG, die derzeit an Domain-Inhaber verschickt werden. Hier wird durch plausible Mailinhalte und einer gut gemachten Zielseite versucht, an Zugangsdaten beim Internetdienstanbieter Strato zu gelangen und Kreditkarten-Informationen abgefragt.
„Gar nicht so schlecht gemacht und doch irgendwo stümperhaft!“ So mein erster Eindruck von den überraschenderweise auch bei Gmail nicht als Spam eingestufter E-Mails.
Achtung! Diese E-Mail ist nicht von der Strato AG. Es handelt sich um Phishing
📰 Inhalt der E-Mail
Wir möchten Sie darüber informieren, dass Ihre Domain -meine-url.de- gesperrt wurde. Ihre Website ist derzeit nicht verfügbar.
Grund für die Aussetzung :
Unser Abrechnungssystem hat festgestellt, dass Ihr Domain-Name abgelaufen ist und trotz unserer vorherigen Erhöhung nicht erneuert wurde.
Sie werden gebeten, ein Verlängerungsformular für Ihre Dienste auszufüllen Manuelles Ausfüllen gemäß den Anweisungen und Schritten unter folgendem Link :
https://www.strato.de/apps/CustomerService#/skl=meine-url.de
Wenn Sie Ihre Domain nicht innerhalb von 24 Stunden am Tag erneuern, werden Ihre Dienste dauerhaft gelöscht.
Mit freundlichen Grüßen
Ihr STRATO Team
—————————————————-
SТRΑТО ΑG
Раѕсаlѕtrаßе 10
10587 ВеrlinSTRATO AG contact1@kirem.de über sendgrid.net
Schaut man sich den Inhalt etwas genauer an, wird es irgendwo doch komisch.
So zum Beispiel bei dem Satz „… dass Ihr Domain-Name abgelaufen ist und trotz unserer vorherigen Erhöhung nicht erneuert wurde.“. Oder bei diesem „Wenn Sie Ihre Domain nicht innerhalb von 24 Stunden am Tag erneuern …“.
Mich brachte das ein wenig zum Schmunzeln. Aber wer liest das schon, wenn irgendwie die eigene Domain gesperrt wurde.
Der Link in der E-Mail sieht glaubwürdig aus „https://www.strato.de/apps/CustomerService#/skl=meine-url.de“ führt aber in Wirklichkeit zu „https://marketingconnectionprojects.com.au/meine-url“.
Bereits wenn man mit der Maus über den Verweis fährt, fällt das auf. Aber auch das macht ja nun wirklich jede(r) und am Smartphone schon mal gar nicht.
Eine weitere Auffälligkeit ist der Absender: STRATO AG <contact1@kirem.de> über sendgrid.net
📩 Betreff: Аuѕѕеtzunɡ vоn dоmаin meine-url.de
Richtig Mühe hat man sich allerdings bei der Verschleierung des Betreffs gegeben. Hier wurden zusätzlich einige decodierte Zeichen im Text verbaut, sodass man auch nicht einfach via Copy & Paste nach dem Betreff bei Google suchen kann. Vermutlich hilft diese Taktik, um weniger als Spam bei den Mailanbietern erkannt zu werden.
Wer mag, kann sich ja mal hiermit näher befassen und vielleicht in den Kommentaren mehr dazu sagen: Аuѕѕеtzunɡ vоn dоmаin (die 3 Wörter einfach kopieren).
Erst unter Linux fiel mir das richtig auf. In Editoren unter Windows gab es dazu keine Auffälligkeiten. Ein paar dieser Zeichen scheinen aus dem skandinavischen Zeichensatz zu stammen.
Wohin führt der Link in der E-Mail?
Nun erfolgt noch eine Weiterleitung auf „https://app-rechnung-strato.frect.org/wp-content/acces/“. Zumindest der Anfang der Internetadresse sieht irgendwo passend aus. Nicht aber die eigentliche Domain „frect.org“.
Unter dieser Adresse scheint eine spanische Stiftungs- oder Verbands-Website betrieben zu werden, die gehackt wurde. „Foro de Redes y Entidades de Custody del Territorio“ nennt sich dieser Verein und dort ahnt man sicherlich nichts hiervon.
Wer mag und ein paar Spanischkenntnisse hat, kann denen gern diese Info zukommen lassen. Bei deutschsprachigen Websites informiere ich die Betreiber gern, wenn mir so etwas auffällt. Auch wenn dabei nie wirklich ein Dankeschön zurück kommt.
Egal! Morgen ist die Zielseite vielleicht schon eine andere WordPress-Seite, die aber ähnlich „gut“ aussehen wird.
Die „Strato Login“ Landingpage
Links zu Impressum, Sitemap und so weiter führen wirklich zu Strato. Die oberen Bereiche haben keine Funktionalität.
Die Daten aus dem „Strato Login Formular“ landen sicherlich direkt bei den Cyberkriminellen.
Naja, was soll’s! Ich habe dort mal ein paar Zufallszahlen eingeben und zu meiner Überraschung will man vielleicht gar nicht an die Zugangsdaten, sondern direkt an die Kreditkartendaten.
An der Stelle haben die Jungs und Mädels vom Hacker-verein vermutlich schon alles was sie wollten. Nämlich die Daten „meiner“ Kreditkarte.
Auffindbarkeit in Suchmaschinen
Für mich als SEO (Suchmaschinenoptimierer) ist zudem interessant, dass man sogar durch relevante Auszeichnungen im Quellcode versucht, sich in Suchmaschinen zu platzieren. Das wird heutzutage nicht mehr für Rankings auf den vorderen Plätzen reichen, aber Suchmaschinen reagieren zumindest kurzfristig manchmal durchaus auf solche Punkte.
So sind der Seitentitel
STRATO Kunden-Login · Schneller Zugang zu Ihren Produkten
und auch die Description
In Ihrem persönlichen STRATO Kunden-Login haben Sie Zugriff auf Ihre Kundendaten und verwalten Ihre Produkte. Hier einloggen!
sowie Überschriften durchaus für eine Optimierung ausgelegt.
Fazit
Wie fast immer bei E-Mails heißt es genau hinschauen und besser nie auf Links in einer E-Mail klicken. Wer vermutet, dass hier wirklich Strato (sicherlich betrifft das auch andere große Anbieter) dahinter stecken könnte, kann auch direkt www.strato.de im Browser aufrufen und dort sich einloggen.
Will der Domain- und Hosting-Anbieter wirklich irgendeine Bestätigung oder gab es sonst irgendwelche Probleme, wird das sicherlich auch hier aufgeführt sein.
Also: Aufpassen und immer misstrauisch sein!
