Scam/Malware: IT HelpDesk: Password expired

Diese angeblich vom IT HelpDesk stammende Mail ist eine böswillige Scam/Phishing-Mail. In der Hoffnung, dass du auf den in der Mail angegebenen Link klickst, informiert dich diese gefälschte IT HelpDesk-Mail darüber, dass dein Passwort abgelaufen ist.

Mit Hilfe solcher Betrugs-Mails wird das Opfer nach einem Klick auf den in der Mail enthaltenen Link zu einer betrügerischen Seite geleitet. Ransomware und andere Malware-Infektionen werden häufig über dergestaltete Malspam-Kampagnen verbreitet.

Scam/Malware: IT HelpDesk: Password expired
Abb. 1: Ansicht der betrügerischen IT HelpDesk-Mail.

Der in der Mail enthaltene Link führt das Opfer zu: https://secure.prefection.rest/parsing.aspx?connection=<email-adresse-empfänger>

Beim Aufruf der Domain https://secure.prefection.rest oder des Quelltextes, blockiert Firefox die Website und meldet, dass es sich hierbei um eine betrügerische Site handelt. Das Opfer ist in diesem Fall gewarnt und sollte sich schnellstmöglich aus dem Staub machen.

Scam/Malware: IT HelpDesk: Password expired
Abb. 2: Ruft man den Link aus der böswilligen Mail auf, blockiert Firefox das Aufrufen der Website und warnt vor betrügerischen Inhalten.

Wer ist der Absender dieser Mail?

In der Mail wird dem Empfänger/Opfer mit Hilfe der Kopfzeilen vorgegauckelt, dass diese Mail von der eigenen E-Mail-Adresse versendet wurde. Ebenso wird die E-Mail-Adresse des Empfängers/Opfers auch als Return-Path angegeben. Das ist natürlich Blödsinn.

Die Absender- und Antwort-Adressen sind gefälscht. Versendet wurde diese betrügerische Mail von einem Mail-Server in den Niederlanden: fmostmcl.questairinc.com ([81.161.229.85])

Aktuell stammt der überwiegende Teil der eintreffenden Spam-, Scam- und Phishing-Mails aus den Niederlanden.

Wird die IP oder Domain des versendenden Mail-Servers direkt im Browser aufgerufen, erhält man folgendes Bild:

Scam/Malware: IT HelpDesk: Password expired
Abb. 3: Browser-Ansicht des versendenden Mail-Servers, der unter fmostmcl.questairinc.com erreichbar ist.

Wird die IP-Adresse oder die Domain angepingt, erhält man eine positive Antwort:

$ ping 81.161.229.85

Ping wird ausgeführt für 81.161.229.85 mit 32 Bytes Daten:
Antwort von 81.161.229.85: Bytes=32 Zeit=83ms TTL=57
Antwort von 81.161.229.85: Bytes=32 Zeit=49ms TTL=57
Antwort von 81.161.229.85: Bytes=32 Zeit=38ms TTL=57
Antwort von 81.161.229.85: Bytes=32 Zeit=40ms TTL=56

Ping-Statistik für 81.161.229.85:
    Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
    (0% Verlust),
Ca. Zeitangaben in Millisek.:
    Minimum = 38ms, Maximum = 83ms, Mittelwert = 52ms

Die positive Ping-Antwort spricht dafür, dass die böswillige Mail tatsächlich von fmostmcl.questairinc.com ([81.161.229.85]) versendet wurde.

Gefährdungsgrad: Hoch, wenn der Link aufgerufen wird.

Handlungsempfehlung: Klicke auf gar keinen Fall auf den in der Scam-/Phishing-Mail enthaltenen Anmelde-Link !! Lösche diese Mail umgehend !!

Hat dir dieser Beitrag gefallen?

Ja
Nein
Danke für dein Feedback!

Ähnliche Beiträge

teufelswerk - Spam und Phishing
Helpdesk-Phishing-Kampagne: Hacker fälschen Microsoft ADFS-Anmeldeseiten, um Anmeldeinformationen...
Eine aktuelle Helpdesk-Phishing-Kampagne zielt laut einem Bericht von bleepingcomputer auf...
>>>
IHK Fake Mail, Phishing
Vorsicht vor gefälschten IHK-E-Mails: "Wichtige Mitteilung: Überprüfung...
Vorsicht vor gefälschten IHK-E-Mails: In den letzten Tagen kursieren gefälschte...
>>>
teufelswerk - Spam und Phishing
Spam-Archiv
Früher habe ich anspruchvolle Literatur gelesen, heute lese ich Spam!...
>>>
Phishing-Mails: Mit diesen fiesen Tricks arbeiten Cyberkriminelle
Diese böswillige E-Mail steht exemplarisch für eine Reihe von Phishing-Mails,...
>>>

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert