Neues Jahr, neues Phishing. Heute hat mich eine Mail erreicht, die insbesondere aufgrund der gelungenen Personalisierung auffällig ist. Die Mail bringt meine geschäftliche E-Mail-Adresse korrekt mit der tatsächlichen Firmierung meines Unternehmens in Verbindung. Es wird behauptet, mein Werbekonto bei Meta würde wegen Verstößen meiner Website gegen irgendwelche Richtlinien gesperrt. Die Mail kommt jedoch von Servern in Vietnam und ist nicht wirklich von Meta.
Die Mail an sich wirkt optisch gar nicht schlecht:
Die korrekte Firmierung des Einzelunternehmens, die im Betreff verwendet wird, ist aus dem Impressum klar ersichtlich, ebenso die Mailadresse. Es ist also weniger ein Wunder, dass diese Informationen in Zusammenhang gebracht wurden, als dass die Phisher sich diese unübliche Mühe gemacht haben. Ich vermute, dass gezielt Impressums-Informationen hierfür abgegrast werden. Das dürfte leicht zu automatisieren sein. Alternativ können die Informationen auch von der FB-Seite meines Unternehmens entnommen werden.
Allerdings nutze ich diese Mailadresse nicht im Zusammenhang mit Meta / Facebook und werbe auch gar nicht auf Facebook, insofern kann das nur Unsinn sein.
Die Domäne der Mailadresse sieht mit „auth-meta.com“ wenigstens ein bisschen glaubwürdig aus. Allerdings besteht die Mail eine DKIM-Prüfung nicht. Die Mail kommt von einem Server in Vietnam, die Domäne und der zugehörige Mailserver gehören zu einem ganz anderen Nummernkreis in China oder Singapur. Es ist bei entsprechenden Sicherheitseinstellungen also gut möglich, dass diese Mails als Spam markiert oder gleich ganz verworfen werden.
Der Link zum Support in der Mail ist ein zur Verschleierung gekürzter Link des Dienstes m.me, der zum Messenger von Meta gehört. Ich schätze, man wird hier auf eine Messenger-Unterhaltung weitergeleitet, in der der Pseudosupport dann seine Betrugsmasche abspult. Da ich dies aber in eingeloggtem Zustand nicht ausprobieren werde, endet die Untersuchung an einem echten Messenger-Login.