IT Sicherheit

Aktuell sehe ich gehäuft Meldungen, die anscheinend von IONOS kommen und auch an IONOS-Kunden gesendet werden. Es wird darin behauptet, das IONOS-Postfach würde gelöscht. Natürlich ist das wieder einmal Phishing mit dem Ziel, Zugangsdaten für das IONOS-Konto zu stehlen.

Ihr IONOS-Postfach wird bald gelöscht: Macht IONOS sowas?

Am 5. Februar erreichte mich eine Mail von einer Mailadresse „email hidden; JavaScript is required“, also von meiner eigenen Domäne. Nanu, was ist da los? Diese Mailadresse existiert natürlich nicht.

Die Mail wurde empfangen von einem Mailserver mit einer Domäne mail.bizcloud-nac.online, die im Januar bei Namecheap registriert wurde. Die IP-Adresse des Servers gehört zum Hoster „Hostinger“, der in Litauen beheimatet ist.

Die Mail sieht sehr professionell aus:

Wie Sie vielleicht wissen, werden unsere Dienste gewartet, da wir gerade dabei sind, unsere Server an einen neuen und besseren Standort zu verlegen. Mit dieser neuen Entwicklung geht die Notwendigkeit einer aktiven Benutzerverifizierung einher. Bitte bestätigen Sie, dass Ihr Postfach noch aktiv ist und verwendet wird. Andernfalls besteht die Gefahr einer Kontodeaktivierung. Inaktive Postfächer werden nicht migriert und innerhalb von 48 Stunden gelöscht As you may know our services have been under maintenance as we are in the process of moving our servers to a new and better location. With this new development comes the need for active user verification. Please confirm that your mailbox is still active and in use or risk account deactivation. Inactive mailboxes will not be migrated and will be deleted in 48hours
Ihr IONOS-Postfach wird bald gelöscht! Phishing wieder mal auf die Paniktour.

Sprachlich deutlich glaubwürdiger als sonst häufig zu sehen, aber natürlich dennoch völliger Unsinn. Schaut man auf den Link, den man öffnen würde, wenn man den Button klicken würde, führt dieser zu einer Website ipfs.io in einem Unterverzeichnis mit zufällig generiertem Namen. Zu dem Zeitpunkt, als ich diesen Link in einem sicheren Browser ausprobieren wollte, war sein Ziel schon nicht mehr erreichbar, aber diese Phisher sind ja flexibel. Neuere Mails zeigen durchaus auf noch funktionierende Ziele.

Heute kam dann eine „letzte Warnung“ zu diesem Vorgang (bzw. zu einer Domain-Kündigung), dieses Mal aber von „email hidden; JavaScript is required“:

Ihre IONOS-Webmail-Entfernung von unserem Server wurde mit sofortiger Wirkung eingeleitet, Da Sie frühere Verifizierungswarnungen weiterhin nicht kennen, Die Entfernung erfolgt in genau 24 Stunden Wir empfehlen Ihnen, den folgenden Link zu verwenden und die Entfernung Ihres Postfachs sofort abzubrechen, um eine Schließung Ihres Kontos zu vermeiden
Letzte Warnung, soso.

Es fehlt die typische Formatierung, die Sprache ist deutlich schlechter. Der Fuß der Mail ist ziemlich kaputt und der darin enthaltene Link zum Austragen, der dort sein sollte, fehlt. Die Mail kam von dem gleichen Server wie die letzte. Der Link führt jetzt jedoch auf cloudflare-ipfs.com. Dieser Link funktionierte auch noch zum Zeitpunkt der Erstellung dieses Beitrags. Er führt auf eine Loginseite, die wie IONOS aussieht:

Wie man an dem dunklen Teil der URL im Adressfeld sieht: wir sind hier nicht bei IONOS

Ich probiere natürlich nicht aus, was passiert, wenn man dort sein richtiges Passwort eingibt, aber mit einem falschen gibt es direkt eine Fehlermeldung. Womöglich wird das tatsächlich direkt im Hintergrund ausprobiert. Vielleicht landet man sogar wirklich in seinem Webmailer, wer weiß? Aber dann ist man dort nicht mehr allein. Man verliert sein Mailkonto oder öffnet es zumindest für den Missbrauch.

Und weil es ja sein kann, dass ich kein Deutsch spreche, habe ich dann um 13 Uhr heute gleich die erste Mail noch mal bekommen, diesmal aber auf Englisch. Gleiches Design, gleiche Zieldomäne wie die letzte Warnung, gleiches Loginfenster von IONOS, das dort lauert. Auch diese Mail kam von dem eingangs genannten Server. Ich melde das im Anschluss an die Veröffentlichung dieses Beitrags an Hostinger, die möchten das vielleicht unterbinden.

Diese Warnung, Ihr IONOS-Postfach würde gelöscht, ist also gegenstandslos. Sie sollten sie ignorieren und löschen. Keinesfalls sollten Sie dem Link folgen und sich dort anmelden.

Verwandte Beiträge:

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert