retace
Goto Top

E-Mail Phising Link ohne Punkt

Hallo zusammen

Mal eine Frage bzw. kennt jemand von Euch dieses Verhalten?

Wir bekommen teilweise (selten) E-Mails z.B. mit einem Youtube, Autodesk, Google etc.-Link welcher z.B.
WWWyoutube lautet. Oder: businessgoogle anstatt business.google. Also ohne (PUNKT).

Beispiel 1: aus ESET (blockiert das Mail korrekterweise)
link3
Beim Link oben fehlt nach WWW der Punkt und führt somit auf eine Spam-Seite.
Die E-Mail kommen von legitimen Partnern. Teilweise ist der Link mit (Punkt) und teilweise eben ohne und dann landen sie im Spam-Filter.

Beispiel 2: Jetzt wird es speziell. Dies sind E-Mails von Google. Also Google Rezessionen.
Im selben E-Mail von Google ist der Link 1 * KORREKT und 1 * FALSCH. Das kann doch nicht sein...
link2
Es gibt Monate da passt der Link und Monate da passt er nicht.

Hatte das jemand von Euch auch schon? Gibt es dazu eine Erklärung?

Content-Key: 4483042359

Url: https://administrator.de/contentid/4483042359

Printed on: May 28, 2024 at 06:05 o'clock

Member: Doskias
Doskias Nov 02, 2022 at 11:17:24 (UTC)
Goto Top
Moin,

ich fang mal bei deiner Nachricht an und versuche das ganz langsam aufzudröseln, wo dein Problem ist:

Zitat von @Retace:
Mal eine Frage bzw. kennt jemand von Euch dieses Verhalten?
Du beschreibst hier leider kein wirkliches Verhalten, sondern einen Spam/Phishing-Versuch

Wir bekommen teilweise (selten) E-Mails z.B. mit einem Youtube, Autodesk, Google etc.-Link welcher z.B.
WWWyoutube lautet. Oder: businessgoogle anstatt business.google. Also ohne (PUNKT).

Beispiel 1: aus ESET (blockiert das Mail korrekterweise)
Beim Link oben fehlt nach WWW der Punkt und führt somit auf eine Spam-Seite.
Korrekt. wwwyoutube.com ist nicht www.youtube.com. geh einfach mal auf www.mxtoolbox.com und führe einen Whois Lookup durch. So wie ich es sehe gibt es die Domain seit 2005, 2022 zuletzt geupdated. Also "vermutlich" eine lange nicht genutzte Domain, die kürzlich den Anbieter gewechselt hat.

Die E-Mail kommen von legitimen Partnern. Teilweise ist der Link mit (Punkt) und teilweise eben ohne und dann landen sie im Spam-Filter.
Wie prüfst du legitimer Partner? Nur ein Stichwort: SPF-Check? Nur weil die Absende-Adresse legitim ist, ist es der absendende Server noch lang nicht. Wir haben zum Beispiel die Situation, dass DHL in unserem Namen Auftragsbestätigungen verschickt. Allerdings ist der DHL-Server nicht als Mailserver hinterlegt. Für unsere Kunden, die einen SPF-Check durchführen, wird die E-Mail blockiert. Für Kunden die es nicht machen, sieht es aus, als würde die Mail von uns kommen. Tut sie aber nicht, sie kommt von DHL.

Beispiel 2: Jetzt wird es speziell. Dies sind E-Mails von Google. Also Google Rezessionen.
Im selben E-Mail von Google ist der Link 1 * KORREKT und 1 * FALSCH. Das kann doch nicht sein...
Aha.. wieso kann das nicht sein? Ist doch recht "schlau" zu echten Rezessionen zu verlinken. Die gibt es und braucht man nicht fälschen. Und die stimmen auch überein, wenn du sie manuell öffnest und nicht über den Link. Wenn du von 15 Links, 14 echte hast und nur 1 Phishing-Link dazwischen ist, dann verlierst du ggf. an Vorsicht je weiter du die Mail liest und die Chance, dass du auf den bösen Link klickst steigt. Also nochmal: Wieso sollten in einer Mail nicht echte und gefälschte Links kombiniert werden?

Es gibt Monate da passt der Link und Monate da passt er nicht.
Sind es den Mails vom gleichen Absender oder bekommt ihr manchmal echte und manchmal gefälschte Links?

Hatte das jemand von Euch auch schon? Gibt es dazu eine Erklärung?
Es gibt für alles eine Erklärung. Ob wir dir diese allerdings liefern können, ist an der Stelle ungewiss. Ich würde einfach mal die Mail-Header und Mail-Logs von den Mails prüfen, bei denen alles passt und bei denen wo ihr gewarnt werdet.

Gruß
Doskias
Member: Retace
Retace Nov 02, 2022 updated at 12:57:08 (UTC)
Goto Top
Vielen Dank für deine ausführliche Rückmeldung.

Ich verstehe die Bedenken.
Mit legitimer Partner meine ich, dass das Mail effektiv von diesem Kunde kam da eine telefonische Rücksprache erfolgte.

Vielleicht ein anderes Beispiel.
Links: Das Mail mit dem falschen Link in der Signatur.
2 Wochen später erhalten wir vom selben MA eine E-Mail mit dem korrekten Link in der Signatur.
Beide Mails waren in der Hinsicht legitim, dass eine telefonische Rücksprache erfolgte.

Somit muss beim Absender, in der Mitte oder bei uns als Empfänger der Punkt nach WWW verschwunden sein? : )
link4

Info: Die URL ist auch im Teil der Unschärfe identisch. Einzig der Punkt nach WWW ist abweichend.

Hmm... ich verstehe es nicht. Vor allem taucht das Problem bei den unterschiedlichsten Stellen auf. Wie gesagt; Google Rezessionen (das Mail ist von Google). Dann bei einer Registrierung bei der Firma Autodesk vor ca. 2 Monaten und jetzt bei einem Kunden.

Habe es lange als Einzelfall taxiert. Es ist auch nicht soooo schlimm. Es interessiert mich einfach ungemein woher dieses Verhalten kommt. : )

Danke für den Tipp bezüglich mxtoobox.
Member: J-N-S.K-N-R
J-N-S.K-N-R Nov 02, 2022 at 13:35:15 (UTC)
Goto Top
Zitat von @Retace:

Info: Die URL ist auch im Teil der Unschärfe identisch. Einzig der Punkt nach WWW ist abweichend.

Doof gefragt, sind das zwei unterschiedliche User, die dir schreiben?
Nicht da die Signaturen per Hand verwaltet werden und ein User beim Abtippen (machen manche anstelle Copy&Paste) sich geirrt hat?
Member: Retace
Retace Nov 02, 2022 updated at 15:06:27 (UTC)
Goto Top
Es gibt keine doofen Fragen. : )
Nein die Signatur wird beim Kunden per Signaturmanager gesteuert. Laut seiner ICT passte da der Link innerhalb der Signatur.

Nochmals ein Beispiel von Google:
Mail auf der linken Seite: 1 Link innerhalb der E-Mail ist FALSCH. Also ohne Punkt.
- die URL sollte lauten: business.google.com und nichtbusinessgoogle.com
- Alle anderen URL sind korrekt.
Mail auf der rechten Seite: Alle URL sind korrekt.

Ich habe von diesen Google Mails dutzende welche jeweils eine falsche URL enthalten und dutzende welche alle korrekt sind.

So wie ich den Header verstehe kommen die Mails beide von Google. Hmm...

link6
Member: manuel-r
manuel-r Nov 03, 2022 at 08:58:52 (UTC)
Goto Top
Nein die Signatur wird beim Kunden per Signaturmanager gesteuert. Laut seiner ICT passte da der Link innerhalb der Signatur.

Nur so eine Idee:
Wir nutzen hier ExchangeRules von CodeTwo. Und da wir mehrere Exchange haben muss das Regelwerk dafür auf jedem Exchange erstellt werden. Ansonsten werden u.U. zwar gleiche Regeln aber mit unterschiedlichen Aktionen ausgeführt. Sprich: Hat derjenige der die Signaturregel erstellt hat auf einem Server den Punkt in der Domain drin und auf einem zweiten nicht, dann kämen unterschiedliche Signaturen je nachdem welcher Server die Regel verarbeitet hat.
Ich hoffe das war jetzt verständlich face-wink

Manuel
Member: Retace
Retace Nov 03, 2022 at 14:19:24 (UTC)
Goto Top
Hallo Manuel

Interessanter Ansatz! Danke. face-smile
Ich frage mal beim Kunden nach, mal sehen ob ich eine Antwort erhalte.

Somit müsste aber im Umkehrschluss auch Google so arbeiten? ;)
Heute haben wir wieder 2 Rezensionen erhalten bei welchem jeweils der mittlere Link bei: Rezension antworten auf:
businessgoogle lautet anstatt business.google.

Schon sehr eigenartig.