Scam/Malware: IT HelpDesk: Password expired

by Heike Vollmers in Phishing

Diese angeblich vom IT HelpDesk stammende Mail ist eine böswillige Scam/Phishing-Mail. In der Hoffnung, dass du auf den in der Mail angegebenen Link klickst, informiert dich diese gefälschte IT HelpDesk-Mail darüber, dass dein Passwort abgelaufen ist.

Mit Hilfe solcher Betrugs-Mails wird das Opfer nach einem Klick auf den in der Mail enthaltenen Link zu einer betrügerischen Seite geleitet. Ransomware und andere Malware-Infektionen werden häufig über dergestaltete Malspam-Kampagnen verbreitet.

Scam/Malware: IT HelpDesk: Password expired
Abb. 1: Ansicht der betrügerischen IT HelpDesk-Mail.

Der in der Mail enthaltene Link führt das Opfer zu: https://secure.prefection.rest/parsing.aspx?connection=<email-adresse-empfänger>

Beim Aufruf der Domain https://secure.prefection.rest oder des Quelltextes, blockiert Firefox die Website und meldet, dass es sich hierbei um eine betrügerische Site handelt. Das Opfer ist in diesem Fall gewarnt und sollte sich schnellstmöglich aus dem Staub machen.

Scam/Malware: IT HelpDesk: Password expired
Abb. 2: Ruft man den Link aus der böswilligen Mail auf, blockiert Firefox das Aufrufen der Website und warnt vor betrügerischen Inhalten.

Wer ist der Absender dieser Mail?

In der Mail wird dem Empfänger/Opfer mit Hilfe der Kopfzeilen vorgegauckelt, dass diese Mail von der eigenen E-Mail-Adresse versendet wurde. Ebenso wird die E-Mail-Adresse des Empfängers/Opfers auch als Return-Path angegeben. Das ist natürlich Blödsinn.

Die Absender- und Antwort-Adressen sind gefälscht. Versendet wurde diese betrügerische Mail von einem Mail-Server in den Niederlanden: fmostmcl.questairinc.com ([81.161.229.85])

Aktuell stammt der überwiegende Teil der eintreffenden Spam-, Scam- und Phishing-Mails aus den Niederlanden.

Wird die IP oder Domain des versendenden Mail-Servers direkt im Browser aufgerufen, erhält man folgendes Bild:

Scam/Malware: IT HelpDesk: Password expired
Abb. 3: Browser-Ansicht des versendenden Mail-Servers, der unter fmostmcl.questairinc.com erreichbar ist.

Wird die IP-Adresse oder die Domain angepingt, erhält man eine positive Antwort:

$ ping 81.161.229.85

Ping wird ausgeführt für 81.161.229.85 mit 32 Bytes Daten:
Antwort von 81.161.229.85: Bytes=32 Zeit=83ms TTL=57
Antwort von 81.161.229.85: Bytes=32 Zeit=49ms TTL=57
Antwort von 81.161.229.85: Bytes=32 Zeit=38ms TTL=57
Antwort von 81.161.229.85: Bytes=32 Zeit=40ms TTL=56

Ping-Statistik für 81.161.229.85:
    Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
    (0% Verlust),
Ca. Zeitangaben in Millisek.:
    Minimum = 38ms, Maximum = 83ms, Mittelwert = 52ms

Die positive Ping-Antwort spricht dafür, dass die böswillige Mail tatsächlich von fmostmcl.questairinc.com ([81.161.229.85]) versendet wurde.

Gefährdungsgrad: Hoch, wenn der Link aufgerufen wird.

Handlungsempfehlung: Klicke auf gar keinen Fall auf den in der Scam-/Phishing-Mail enthaltenen Anmelde-Link !! Lösche diese Mail umgehend !!

Ähnliche Beiträge

Phishing SpecialPhishing Special
Warum echte Unternehmensmails wie Phishing wirken und...
Wenn in deutschen Mailboxen eine Nachricht eines großen Energieversorgers und...
>>>
PhishingPhishing
LinkedIn-Phishing wird zur wachsenden Gefahr für Unternehmen
Phishing gilt nach wie vor als eine der effektivsten Angriffsmethoden...
>>>
WhatsAppWhatsApp
HackOnChat: WhatsApp-Hijacking erobert die Welt – Betrüger...
HackOnChat ist eine globale Hijacking-Kampagne, die WhatsApp-Konten übernimmt und sich...
>>>
Tagged with: , , , , , , , , , , ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert