12
Interessanter Phishing-Versuch(?)
Hallo Zusammen,
wir hatten heute eine bemerkenswerte "Phishing"-Mail. Bedenklich weil:
Die E-Mail war nur Text und lief über einen Server p02eh.mail.s-web.de [195.140.96.5], vermutlich nicht das web.de . Damit sehr unverdächtig.
Größtes Manko: Es gibt keinen Rückkanal und keine Schadsoftware. Angeblich wurde unsere E-Mail Adresse (bei der Bank) geändert, aber wenn ich den Scammer dann nicht kontaktieren kann kriegt er ja auch keine Daten von mir - seltsam.
wir hatten heute eine bemerkenswerte "Phishing"-Mail. Bedenklich weil:
- Der vermeintliche Absender (noreply@) eine lokale Bank ist, konkret eine Sparkasse in direkter Nachbarschaft. Die Absendedomain war zwar sparkasse.de und nicht die eigentliche Sparkasse, aber das ist schon gut gemacht.
- Die Empfänger waren ALLE Geschäftsführer. Auch hier ein Schönheitsfehler: Ein GF wurde unter alter und neuer E-Mail Adresse angesprochen aber das bedeutet das hier Domain übergreifend eine gute Empfängerliste erstellt wurde.
Die E-Mail war nur Text und lief über einen Server p02eh.mail.s-web.de [195.140.96.5], vermutlich nicht das web.de . Damit sehr unverdächtig.
Größtes Manko: Es gibt keinen Rückkanal und keine Schadsoftware. Angeblich wurde unsere E-Mail Adresse (bei der Bank) geändert, aber wenn ich den Scammer dann nicht kontaktieren kann kriegt er ja auch keine Daten von mir - seltsam.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1318360276
Url: https://administrator.de/contentid/1318360276
Printed on: April 19, 2024 at 22:04 o'clock
12 Comments
Latest comment
Ja das "vermutlich" war eigentlich nur Füllwort 
Aber immerhin die Domain eines Deutschen Unternehmens, macht eine Abuse Meldung vielleicht sogar Sinn. Aber der Sache wollte der Admin der Bank schon nachgehen.
Aber immerhin die Domain eines Deutschen Unternehmens, macht eine Abuse Meldung vielleicht sogar Sinn. Aber der Sache wollte der Admin der Bank schon nachgehen.
Zitat von @aqui:
"s-"web.de Kleiner aber feiner Unterschied
https://www.ip-tracker.org/lookup.php?ip=195.140.96.5
"s-"web.de Kleiner aber feiner Unterschied
https://www.ip-tracker.org/lookup.php?ip=195.140.96.5
...das kommt wohl aus deren eigenem Netz
Finanz Informatik ist der Dienstleister der Sparkassen
Dann also doch wohl ein peinlicher Irrtum was Phishing ist und was nicht und du hast der freundlichen Sparkasse von Nebenan böses Unrecht angetan !!
Der Admin hat mir bestätigt es würde sich um keine echte Sparkassen-Mail handeln. Mal sehen ob er das revidiert.
Die haben natürlich ein Gateway in einem ihrer RZ, das hatte ich auch erst in Verdacht. Nur das kennt diese Mail-Adressen (aber eigentlich ja auch noch mehr), vielleicht läuft das ja doch Amok.
Die haben natürlich ein Gateway in einem ihrer RZ, das hatte ich auch erst in Verdacht. Nur das kennt diese Mail-Adressen (aber eigentlich ja auch noch mehr), vielleicht läuft das ja doch Amok.
ganz ehrlich - die kommen doch mitttlerweile täglich, mal sparkasse, mal xyz-bank,.... üblicherweise mit "Neues Sicherheitsverfahren" was aktiviert werden muss... Verdächtig (und gut gemacht) wäre es aber erst wenn da nich als Anrede "Sehr geehrte Kunden:innen" o.ä. drin steht sondern der eigene Name UND die korrekte Konto-Nummer... bei allem anderem: Wer da noch drauf klickt dem kann man nich helfen - und wer dann noch seine Daten eingibt dem noch viel weniger...
Wenn euer Mailserver diese E-Mail von der oben genannten IP empfangen hat, dann kommt sie auch aus dem Netz der Sparkasse.
Hat die Mail eine DKIM-Signatur, die unter "s-web.de" liegt? Dann wären alle Zweifel ausgeräumt, dass die Mail wirklich von der Sparkasse resp. deren Dienstleister kommt.
Hat die Mail eine DKIM-Signatur, die unter "s-web.de" liegt? Dann wären alle Zweifel ausgeräumt, dass die Mail wirklich von der Sparkasse resp. deren Dienstleister kommt.
Nein DKIM-Signatur is nich.
Nennt sich Spear Fisching, auf die Zielperson exakt zugeschnittene Mail um was abzugreifen.
Zufallstreffer gibts zwar immer mal, Amazon, VR-Bank, "Die Sparkasse", Postbank, man fühlt sich beim ersten Eindruck erstmal irgendwie angesprochen weil man da zufällig ein Konto hat, oder die Typen die sich als vermeintliche Vodaphone Vertriebler in unserem Firmenkunden-Nummernkontingent abtelefonieren, obwohl wir als Konzernkunde eine eigene Kundenbetreuung haben... dienstliche Vodaphone Nummer, aber Anruf von Leuten die offenbar Privatkunden was aufschwatzen wollen incl gefakter deutscher Absenderrufnummer (Cold Calls bei Privatpersonen sind seit 2 Jahren 100% illegal in Deutschland), da klingelt sofort was, das kann nicht echt sein.
Aber Informationen über Geschäftsführer kann man z.B. übers Handelsregister ermitteln, Zeitungen, unverfängliche Telefonate, und den Rest wohlmöglich im Darknet irgendwie besorgen. Und Zusch, 10 Bitcoins für die "Sparkasse" gekauft und überwiesen und weg. Man sollte die Einschläge näher kommen hören, und die Mitarbeiter verpflichtend 2x im Jahr an Cybersecurity-Schulungen teilnehmen lassen.
Zufallstreffer gibts zwar immer mal, Amazon, VR-Bank, "Die Sparkasse", Postbank, man fühlt sich beim ersten Eindruck erstmal irgendwie angesprochen weil man da zufällig ein Konto hat, oder die Typen die sich als vermeintliche Vodaphone Vertriebler in unserem Firmenkunden-Nummernkontingent abtelefonieren, obwohl wir als Konzernkunde eine eigene Kundenbetreuung haben... dienstliche Vodaphone Nummer, aber Anruf von Leuten die offenbar Privatkunden was aufschwatzen wollen incl gefakter deutscher Absenderrufnummer (Cold Calls bei Privatpersonen sind seit 2 Jahren 100% illegal in Deutschland), da klingelt sofort was, das kann nicht echt sein.
Aber Informationen über Geschäftsführer kann man z.B. übers Handelsregister ermitteln, Zeitungen, unverfängliche Telefonate, und den Rest wohlmöglich im Darknet irgendwie besorgen. Und Zusch, 10 Bitcoins für die "Sparkasse" gekauft und überwiesen und weg. Man sollte die Einschläge näher kommen hören, und die Mitarbeiter verpflichtend 2x im Jahr an Cybersecurity-Schulungen teilnehmen lassen.
Für mich sprechen zwei Gründe gegen Spear Phishing:
- Die E-Mail ist zu harmlos, der betroffene konnte ja gar Schadsoftware ausführen, abrufen oder Daten preis geben. Einer echten Person als Angreifer wäre das sicherlich aufgefallen. Wenn das automatisch passiert ist war dem Angreifer vielleicht gar nicht bewusst das er grade E-Mails ohne Link raus haut.
- Wie gesagt einer der Empfänger war doppelt. Die alte E-Mail Adresse gibt es seit ~10 Jahren nicht mehr. Die ist aber auf besonders vielen Spam-Listen immer noch unterwegs.
Keine Sorge meine Anwender sind ziemlich sensibel was solche Fälle angeht. Aufgrund des Absende-Servers würde ich aber in diesem Fall auch eher Richtung Sparkasse gucken, da hat vielleicht auch einer Blödsinn gemacht.
- Die E-Mail ist zu harmlos, der betroffene konnte ja gar Schadsoftware ausführen, abrufen oder Daten preis geben. Einer echten Person als Angreifer wäre das sicherlich aufgefallen. Wenn das automatisch passiert ist war dem Angreifer vielleicht gar nicht bewusst das er grade E-Mails ohne Link raus haut.
- Wie gesagt einer der Empfänger war doppelt. Die alte E-Mail Adresse gibt es seit ~10 Jahren nicht mehr. Die ist aber auf besonders vielen Spam-Listen immer noch unterwegs.
Keine Sorge meine Anwender sind ziemlich sensibel was solche Fälle angeht. Aufgrund des Absende-Servers würde ich aber in diesem Fall auch eher Richtung Sparkasse gucken, da hat vielleicht auch einer Blödsinn gemacht.
Das Einfachste wäre ja mal bei die Sparkasse anrufen und nachfragen...bzw. denen mal einen Screenshot schicken.
Zitat von @aqui:
Das Einfachste wäre ja mal bei die Sparkasse anrufen und nachfragen...bzw. denen mal einen Screenshot schicken.
Das Einfachste wäre ja mal bei die Sparkasse anrufen und nachfragen...bzw. denen mal einen Screenshot schicken.
Zitat von @ukulele-7:
Der Admin hat mir bestätigt es würde sich um keine echte Sparkassen-Mail handeln. Mal sehen ob er das revidiert.
Aber ich vermute der Admin hat nicht Recht, die E-Mail kommt wirklich aus dem System der SPK. Am selben Tag gab es auch eine E-Mail-Adresse die dort von einem Berater geändert wurde.Der Admin hat mir bestätigt es würde sich um keine echte Sparkassen-Mail handeln. Mal sehen ob er das revidiert.
