Mittlerweile habe ich bereits mehrfach eine zunächst kurz glaubwürdig erscheinende Rechnungs-E-Mail von IONOS erhalten. Diese Mail scheint zunächst tatsächlich von IONOS zu kommen, obwohl beim Durchlesen ungewöhnliche sprachliche Fehler auffallen. Die Mail folgt in ihrem Aufbau den IONOS-Phishing-Mails, die ich schon letztes Jahr beschrieben habe. Damals ging es um Allgemeine Geschäftsbedingungen, jetzt geht es aber um Rechnungen, auf die man gerne besonders unüberlegt reagiert. Grund genug, noch einmal auf diese Mails hinzuweisen.
Zunächst ein Bildschirmfoto der aktuellen Mail:
Anders als sonst oft üblich, gehört die vermeintliche Mailadresse wenigstens zum Konzern, es wird behauptet, die Mail sei von email hidden; JavaScript is required. Ich habe auch bereits Varianten gesehen, bei denen die im Text angegebene Mailadresse von Daniel Glawe als Absender angegeben wurde. Sie soll auch gelegentlich email hidden; JavaScript is required als Absendeadresse angeben. Die Mails passieren jedoch Spamprüfungen, obwohl zu den Prüfungen auch gehört, ob der absendende Mailserver tatsächlich berechtigt ist, im Namen des Absenders Mails zu senden. Wie auch schon im letzten Jahr gehört die IP-Adresse zu einem australischen Server.
Wie hier beschrieben, scheint IONOS / 1und1 ebenso wie manch andere Massenhoster nicht in der Lage zu sein, zu verhindern, dass augenscheinlich zu deren Mailservern gehörende Adressen als Absender angegeben werden, obwohl die Server dazu nicht berechtigt sein dürften. Die Mail wird deshalb nicht als Spam eingestuft.
Natürlich gibt es andere Warnzeichen: keine korrekte Anrede, die Vertragsnummern aus Betreff und Inhalt passen nicht zusammen, das Datum ist der 1.12.2023 (!), dem dritten Satz fehlt ein Verb… Insgesamt also zum Glück wieder mal wenig glaubwürdig. Auch diese Mail setzt darauf, dass man den Anhang öffnet, der wiederum eine HTML-Seite ist, die einen gefälschten Login anbietet. Gibt man hier seine Daten ein, ist das Konto geknackt.
Immerhin bietet IONOS die Möglichkeit an, eine Mail, die vorgibt, von IONOS zu stammen, auf Echtheit zu prüfen. Dazu muss die Mail im Format eml (nicht html!) gespeichert werden und dann auf diese Website hochgeladen werden. Dann folgt umgehend eine Bestätigung oder Warnung, sofern es sich um eine gefälschte Mail handelt.
Warum es so einfach ist, Mails im Namen von 1und1 und IONOS zu versenden, bleibt mir ein Rätsel.
Hallo, ist mir gerade passiert. Habe 4 mal versucht den Anhang zu öffnen. Wurde weitergeleitet zum Login. Habe dummerweise meine Zugangsdaten eingegeben. Irgendwann habe ich es dann geschnallt. Habe mein Passwort sofort geändert. Ich hoffe, das reicht????