Fast wäre ich auf die aktuelle Unitymedia-Email reingefallen, und hätte den Phishing-Link geklickt...
Es ist "Daily Business" die Emails abzurufen. Verschiedene Anbieter buhlen hierbei darum, dass Kundschaft ihre Platformen besuchen und so evtl. Angebote wahrnehmen. Manchmal findet man auch eine Erinnerungsmail eines Dienstleisters seine Rechnung zu bezahlen. Inzwischen ist diese Aufforderung stilvoll designed nur ein Hinweis der zum vertrauten Handeln einlädt. Folgt man diesem Hinweis unmittelbar, navigiert man sich in Teufels Küche.
Folgende Email landete in meinem Postfach:
To: vermeintlicher-unitymedia-kunde@mailserver-meines-vertrauens.dx
From: "Unitymedia - Rechnung" <online-rechnung@kundencenter.unitymedia.de>
Subject: Damian Thater: Ihre Online-Rechnung von Unitymedia
Damit diese Nachricht zuverlässig in Ihrem Posteingang ankommt,
fügen Sie den Absender online-rechnung@kundencenter.unitymedia.de
Ihrem Adressbuch hinzu.
Online-Version
Ihre aktuelle Rechnung ist abrufbar.
Sehr geehrter Herr Thater,
Ihre aktuelle Rechnung steht für Sie ab sofort online im Kundencenter
zur Verfügung. Dort finden Sie auch die Rechnungen der vergangenen 12 Monate.
Bei erteiltem SEPA-Lastschriftmandat erfolgt die Abbuchung wie vereinbart.
Jetzt einloggen und Rechnung abrufen >
Sie haben sich noch nicht für das Online-Kundencenter registriert?
Hier geht's zur Registrierung >
Sie haben Fragen zu Ihrer Rechnung?
Hier finden Sie alles Wissenswerte rund um Ihre Rechnung >
Wir wünschen Ihnen weiterhin viel Spaß mit unseren Produkten.
Mit freundlichen Grüßen
Ihr Unitymedia Team
Unitymedia verwendet Ihre E-Mail-Adresse zur Benachrichtigung über die
Bereitstellung Ihrer Online-Rechnung. Bitte antworten Sie nicht auf
diese automatisch erstellte Benachrichtigungs-E-Mail und nutzen Sie
zur Kontaktaufnahme einfach unser Online-Formular.
Sie können uns wie folgt erreichen:
Direkt Online
Ihr Kontakt zu Unitymedia >
Service-Hotline
Bei Fragen erreichen Sie uns Mo-Fr von 8-22 Uhr und Sa von 8-20 Uhr.
Für Kunden aus dem Unitymedia-Netz kostenlos unter 0800 / 700 11 77.
Alle anderen Kunden erreichen den Kundenservice unter 0221 / 466 191 00.
Kennen Sie bereits Nina?
Nina ist unsere virtuelle Online-Beraterin - Zum Hilfe- & Servicebereich >
Service rund um die Uhr
Kennen Sie das Entertainmentportal mit Infos zu Stars, Games & mehr?
Zum Portal >
Unitymedia Newsletter
Immer auf dem Laufenden bleiben mit dem kostenlosen Unitymedia Newsletter.
Zum Newsletter >
Freunde werben
Kunden werben und Prämien sichern - jetzt Unitymedia empfehlen.
Freunde werben >
// und so weiter…
Erster Eindruck
Die Email macht (trotz der fehlenden Bilder) einen sehr vollständigen Eindruck. Wenn ich mich recht an die letzten Emails von Unitymedia erinnere, sahen die genauso wie diese aus. Der erste Eindruck war also: Ach ja, wieder der Hinweis zur Rechnung...
Aber ein kleines Detail machte mich doch schon misstrauisch: Ich bin seit Monaten nicht mehr Kunde bei Unitymedia.
- Datenbank-Fehler? Ist ihre Datenbank evtl. mit falschen Emails gefüttert worden?
- Datenschutz-Problem? Warum wurden meine Kontaktdaten nach meiner Kündigung nicht fristgerecht aus dem System genommen?
- Phishing-Mail? So professionell?
Ohne einen Blick in die Innereien der Email werd ich kaum schlauer...
Email-Details
Im Email-header sind wenige Details versteckt, die auf Missbrauch andeuten.
Wieso wird eine Email von Unitymedia im Zusammenhang mit Emarsys genannt... hm. Vielleicht versenden Sie Emails für Unitymedia... Ich kenne so etwas aus dem Marketingbereich - aber bei Rechnungen?
Return-Path: wwwrun@emarsys.bet
Scheinbar wurde die Email direkt von Emarsys zum Gmx-Server gesendet. Auch die
Signatur macht mich jetzt nicht stutzig.
Received: from pmta400xx.emarsys.bet ([91.211.240.12]) by mx-ha.gmx.net ...
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=key2; d=kundencenter.unitymedia.de;
h=To:Subject:From:MIME-Version:List-Id:List-Unsubscribe:Content-Type:Message-ID:Date;
i=online-rechnung@kundencenter.unitymedia.de; ...
Received: from (10.200.201.35) by pmta400xx.emarsys.bet
id h14ih816nd8a for ... (envelope-from <wwwrun@emarsys.bet>)
Bei der Angabe des Absenders erkennt man, dass die Antworten dieser Email an Unitymedia gehen sollen. Wenn Emails zwischen Absender- und Return-Path-Adressen unterscheiden, werde ich hellhörig...
From: "Unitymedia - Rechnung" <online-rechnung@kundencenter.unitymedia.de>
Doch nun folgt die erste Info auf einen falschen Server: umkbw-info.de
List-Unsubscribe: <httq://www.umkbw-info.de/u/lu.php?lu=*SOME_FANCY_TRACKING_ID*>
Who-is-Who
Wie sooft bei Phishing-Mails, werden die Emails von teils dubiosen Accounts, von teils seriösen Servern geschickt und verlinken zu geheimen, aber vertraulich klingenden Servern. Also wer steckt hinter welcher Adresse?
Die erste MailAdresse in der Phishingmail zeigt auf wwwrun@emarsys.net. Wer ist also
emarsys.net?
> whois emarsys.net
Whois Server Version 2.0
...
Domain Name: emarsys.net
Registry Domain ID: 74939746_DOMAIN_NET-VRSN
Registrar WHOIS Server: whois.antagus.de
Registrar URL: http://www.vautron.de
Updated Date: 2014-07-14 05:29:25
Creation Date: 2001-07-12 15:04:40
Registrar Registration Expiration Date: 2015-07-12 00:00:00
Registrar: Vautron Rechenzentrum AG
...
Tech Organization: emarsys eMarketing Systems AG
Tech City: Wien
Tech Country: AT
Laut DNS handelt es sich also um eine eMarketing-Firma aus Wien, Österreich. Von
deren Servern ging die Email also los und durchlief gmx.net bis zu meinem Account.
Als nächstes findet man unitymedia.de. Deren DNS Auszug liest sich wie folgt:
> whois unitymedia.de
% Copyright (c) 2010 by DENIC
...
Domain: unitymedia.de
Nserver: ns1.ish.de
Nserver: ns2.ish.de
Dnskey: 257 3 8 AwEAAbzbqPe5f5toTiWH+A3Nh5XsNLV/mnMDEm4Z9X7qBoQFvGzDXHnn8ShQWgcB8I8q0e+q3wDnNZahaqI2sJnFABXQx88yBDXmxWh+9rK3mWni0/PaK4O+nfZrDvhGbqtgV0plZSU0Z9XTsS+gtbBOc13CBW2ABHvxqKryf6I035dFsH0P4GFFatpC6Utd9quhDST0tx32ETR3dqwNEX9kNUBtSOacAAhE5JFIr/JmVvHR0iIV2ztnGm5i713JVOF52l6xmgcCOigmpb76dKq64isKoMDblqbtJ/VCsJkBmHhziESAPLvS8YLg7JY+XviAZDmzW1dpLnVZJN0JvUdJON1dJoDyZx5J9MelAK80Xf/H2U25GV1Z+/rUI/5PsBttENLgqYO2wyAvMvqMJroMQqCxdt7mR6pZdLWc6/HRhqDj
Status: connect
Changed: 2014-07-28T13:38:59+02:00
[Tech-C]
...
Organisation: Unitymedia NRW GmbH
CountryCode: DE
...
OK, Die Adresse gehört und wird betreut von Unitymedia selbst, sitzend in Deutschland.
Der Server, der von den Links angesteuert werden sollen, ist aber umkbw-info.de.
Soll das Kürzel etwa, Unity-Media-Kabel-Badem-Württemberg heißen? Mal sehen...
> whois umkbw-info.de
% Copyright (c) 2010 by DENIC
...
Domain: umkbw-info.de
Nserver: ns.namespace4you.de
Nserver: ns2.namespace4you.de
Status: connect
Changed: 2014-07-24T07:18:40+02:00
[Tech-C]
...
Address: Domainfactory GmbH
CountryCode: DE
...
Oh, nicht doch: Hinter der Adresse verbirgt sich ein privater Service, der recht frisch ist, und keinen Hinweis auf den Namen gibt, ausser dass der Server vom recht bekannten Hoster Domainfactory GmbH aus Deutschland kommen.
Was steckt drin
Versucht man nun den Server httq://www.umkbw-info.de vom Phisher aufzurufen,
was ich jedem abraten kann, bekommt man folgende Antwort:
Forbidden
You don't have permission to access / on this server.
Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.
Apache/2.2.22 Server at umkbw-info.de Port 80
Man sollte glauben, dass eine seriöse Firma den Aufruf auf ihre Domäne zumindest auf eine Info-Seite umleitet. Das Scheint denen also nicht so wichtig zu sein. Punktabzug.
Ruft man nun das Phishing-Script mit fingierter ID auf, kommt nur ein kurzer Text zum Vorschein:
httq://www.umkbw-info.de/u/gm.php?prm=23
Kein mailing abrufbar!<br/>
Na Toll. Ganz sparsam, fast schon wie eine Ausgabe einer Logging-Konsole. Punktabzug.
Fazit
Professionelle Phishing-Email, aber leider nur für die virtuelle Rundablage geeignet.