Scam/Malware: IT HelpDesk: Password expired

by teufelswerk in Phishing

Diese angeblich vom IT HelpDesk stammende Mail ist eine böswillige Scam/Phishing-Mail. In der Hoffnung, dass du auf den in der Mail angegebenen Link klickst, informiert dich diese gefälschte IT HelpDesk-Mail darüber, dass dein Passwort abgelaufen ist.

Mit Hilfe solcher Betrugs-Mails wird das Opfer nach einem Klick auf den in der Mail enthaltenen Link zu einer betrügerischen Seite geleitet. Ransomware und andere Malware-Infektionen werden häufig über dergestaltete Malspam-Kampagnen verbreitet.

Scam/Malware: IT HelpDesk: Password expired
Abb. 1: Ansicht der betrügerischen IT HelpDesk-Mail.

Der in der Mail enthaltene Link führt das Opfer zu: https://secure.prefection.rest/parsing.aspx?connection=<email-adresse-empfänger>

Beim Aufruf der Domain https://secure.prefection.rest oder des Quelltextes, blockiert Firefox die Website und meldet, dass es sich hierbei um eine betrügerische Site handelt. Das Opfer ist in diesem Fall gewarnt und sollte sich schnellstmöglich aus dem Staub machen.

Scam/Malware: IT HelpDesk: Password expired
Abb. 2: Ruft man den Link aus der böswilligen Mail auf, blockiert Firefox das Aufrufen der Website und warnt vor betrügerischen Inhalten.

Wer ist der Absender dieser Mail?

In der Mail wird dem Empfänger/Opfer mit Hilfe der Kopfzeilen vorgegauckelt, dass diese Mail von der eigenen E-Mail-Adresse versendet wurde. Ebenso wird die E-Mail-Adresse des Empfängers/Opfers auch als Return-Path angegeben. Das ist natürlich Blödsinn.

Die Absender- und Antwort-Adressen sind gefälscht. Versendet wurde diese betrügerische Mail von einem Mail-Server in den Niederlanden: fmostmcl.questairinc.com ([81.161.229.85])

Aktuell stammt der überwiegende Teil der eintreffenden Spam-, Scam- und Phishing-Mails aus den Niederlanden.

Wird die IP oder Domain des versendenden Mail-Servers direkt im Browser aufgerufen, erhält man folgendes Bild:

Scam/Malware: IT HelpDesk: Password expired
Abb. 3: Browser-Ansicht des versendenden Mail-Servers, der unter fmostmcl.questairinc.com erreichbar ist.

Wird die IP-Adresse oder die Domain angepingt, erhält man eine positive Antwort:

$ ping 81.161.229.85

Ping wird ausgeführt für 81.161.229.85 mit 32 Bytes Daten:
Antwort von 81.161.229.85: Bytes=32 Zeit=83ms TTL=57
Antwort von 81.161.229.85: Bytes=32 Zeit=49ms TTL=57
Antwort von 81.161.229.85: Bytes=32 Zeit=38ms TTL=57
Antwort von 81.161.229.85: Bytes=32 Zeit=40ms TTL=56

Ping-Statistik für 81.161.229.85:
    Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
    (0% Verlust),
Ca. Zeitangaben in Millisek.:
    Minimum = 38ms, Maximum = 83ms, Mittelwert = 52ms

Die positive Ping-Antwort spricht dafür, dass die böswillige Mail tatsächlich von fmostmcl.questairinc.com ([81.161.229.85]) versendet wurde.

Gefährdungsgrad: Hoch, wenn der Link aufgerufen wird.

Handlungsempfehlung: Klicke auf gar keinen Fall auf den in der Scam-/Phishing-Mail enthaltenen Anmelde-Link !! Lösche diese Mail umgehend !!

Hat dir dieser Beitrag gefallen?

Ja
Nein
Danke für dein Feedback!

Ähnliche Beiträge

Commerzbank Fake Mail, mit folgendem Textinhalt: Sehr geehrte Kundin, sehr geehrter Kunde, Aus Sicherheitsgründen bitten wir Sie, Ihr Konto umgehend zu verifizieren. Da die Verifizierung bisher nicht abgeschlossen wurde, nicht bestätigten Konten vorübergehend sperren. Über den folgenden Link können Sie den Verifizierungsprozess starten, um eine Sperrung Ihres Benutzerkontos zu vermeiden: Jetzt aktualisieren Sollte die Aktualisierung nicht zeitnah erfolgen, wird der digitale Zugang zu Ihrem Konto aus Sicherheitsgründen vorübergehend gesperrt. Ihre Commerzbank - Commerzbank: Die Bank für Privat- und Unternehmerkunden.Commerzbank Fake Mail, mit folgendem Textinhalt: Sehr geehrte Kundin, sehr geehrter Kunde, Aus Sicherheitsgründen bitten wir Sie, Ihr Konto umgehend zu verifizieren. Da die Verifizierung bisher nicht abgeschlossen wurde, nicht bestätigten Konten vorübergehend sperren. Über den folgenden Link können Sie den Verifizierungsprozess starten, um eine Sperrung Ihres Benutzerkontos zu vermeiden: Jetzt aktualisieren Sollte die Aktualisierung nicht zeitnah erfolgen, wird der digitale Zugang zu Ihrem Konto aus Sicherheitsgründen vorübergehend gesperrt. Ihre Commerzbank - Commerzbank: Die Bank für Privat- und Unternehmerkunden.
Commerzbank-Fake-Mail: Wie Phishing-Mails Wikipedia nutzen, um glaubwürdiger...
Phishing-Mails sind längst nicht mehr plump oder schlecht formuliert –...
>>>
Phishing-Warnung: Gefälschte PayPal-E-Mails mit dem Betreff „Ungewöhnliche Aktivitäten auf Ihrem Konto“Phishing-Warnung: Gefälschte PayPal-E-Mails mit dem Betreff „Ungewöhnliche Aktivitäten auf Ihrem Konto“
Phishing-Warnung: Gefälschte PayPal-E-Mails mit dem Betreff „Ungewöhnliche...
Im Juni 2025 wurden E-Mails mit dem Betreff „Ungewöhnliche Aktivitäten...
>>>
Vorsicht Phishing! Gefälschte ELSTER-Mail zur Steuererstattung im Umlauf, 28.05.2025Vorsicht Phishing! Gefälschte ELSTER-Mail zur Steuererstattung im Umlauf, 28.05.2025
Vorsicht, Phishing! Gefälschte ELSTER-Mail zur Steuererstattung im...
Seit Anfang Juni 2025 ist eine betrügerische E-Mail im Umlauf,...
>>>
Tagged with: , , , , , , , , , , ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert