Unternehmens-Accounts und Domains für Phishing missbraucht: Vorsicht bei der Verwendung des IONOS Homepage Baukastens MyWebsite!

Bei uns sind in den vergangenen Tagen Phishing Mails eingetroffen, die einen Link zu gefälschten Strato-Login-Formularseiten enthalten. Die Phishing-Mails werden über kompromittierte Domains/E-Mail-Accounts von Unternehmen versendet. Die gefälschten Login-Formulare werden über gehackte IONOS MyWebsites von Unternehmen bereitgestellt.

Inhaltsverzeichnis

Fallbeispiel: Gefälschte Strato-Mails und Phishing-Formulare, die auf gehackten IONOS MyWebsites bereitgestellt werden

Die nachfolgend dargestellte gefälschte Strato-Mail ist ein typisches Beispiel für eine betrügerische Nachricht, die zum Beispiel mit Hilfe einer kompromittierten Domain bzw. eines kompromittierten E-Mail-Accounts eines Unternehmens versendet wurde. Die Phishing-Mail zielt darauf ab, die Empfänger dazu zu bringen, auf einen schädlichen Link zu klicken und sensible Informationen preiszugeben. Klicken die Opfer auf den Link, werden sie zu einer gefälschten Strato-Loginseite weitergeleitet. Auf der betrügerischen Login-Formularseite werden die Anmeldeinformationen gestohlen.

Abb. 1: Gefälschte Strato-Mail, die einen Link zu einer gefälschten Strato-Loginseite (Phishing-Formular) enthält. Die dargestellte gefälschte Strato-Mail ist ein typisches Beispiel für eine betrügerische Nachricht, die zum Beispiel mit Hilfe einer kompromittierten Domain bzw. eines kompromittierten E-Mail-Accounts eines Unternehmens versendet wurde. Die Phishing-Mail zielt darauf ab, die Empfänger dazu zu bringen, auf einen schädlichen Link zu klicken und sensible Informationen preiszugeben. Klicken die Opfer auf den Link, werden sie zu einer gefälschten Strato-Loginseite weitergeleitet. Auf der betrügerischen Login-Formularseite werden die Anmeldeinformationen gestohlen.
Abb. 1: Gefälschte Strato-Mail, die einen Link zu einer gefälschten Strato-Loginseite (Phishing-Formular) enthält.

Die Phishing-Mail wurde über eine kompromittierte Domain bzw. dem damit verbundenem E-Mail-Account eines Unternehmens versendet.

Der Betreff: “Achtung: Ihre Domain wird gesperrt” – Dieser Betreff erzeugt Dringlichkeit und Angst, eine häufige verwendete Taktik, die für Phishing-E-Mails sehr typisch ist.

Der Absender: “Support AG support@cadini.eu” – Bei der Absenderadresse handelt es sich nicht um eine offizielle Strato-E-Mail-Adresse. Die Domain der Absenderadresse “cadini.eu” ist keine Domain von Strato. Sie wurde bei der PDR LTD. (publicdomainregistry.com) registriert. Inhaber der nicht https-gesicherten Domain ist ein italienisches Unternehmen, dass den Mißbrauch inzwischen wohl bemerkt hat, die Site bzw. Domain ist “off”.

Abb. 2: Die für den Phishingversand mißbrauchte Domain ist nicht https-gesichert.
Abb. 2: Die für den Phishingversand mißbrauchte Domain ist nicht https-gesichert.
Abb. 3: Startseite (Ubuntu Apache 2 Server) der nicht https-gesicherten Domain, die für den Phishingversand mißbraucht wurde.
Abb. 3: Startseite (Ubuntu Apache 2 Server) der nicht https-gesicherten Domain, die für den Phishingversand mißbraucht wurde.

Der Link-Button: Der Link-Button verweist auf eine kompromittierte Domain, hier einer Subdomain eines Unternehmens, das mit dem IONOS-Homepage-Baukasten MyWebsite arbeitet. Die Subdomain wurde mit einer Weiterleitung zu einer externen, ebenfalls kompromittierten Domain eines weiteren Unternehmens belegt. Auch dieses Unternehmen arbeitet mit dem IONOS-Homepage-Baukasten MyWebsite:

Abb. 4: Gefälschtes Strato-Login. Bereitgestellt über einen gehackten Unternehmens-Account (IONOS MyWebsite).
Abb. 4: Gefälschtes Strato-Login. Bereitgestellt über einen gehackten Unternehmens-Account (IONOS MyWebsite).

Auffällig ist, dass in dieser Phishing-Mail schlecht gesicherte und/oder konfigurierte IONOS MyWebsite Accounts von Cyberkriminellen missbraucht wurden. Innerhalb der vergangenen 10 Tage sind bei uns weitere Phishing-Mails eingetroffen, die exakt dem gleichen Muster folgen und offensichtlich Teil einer umfangreichen Phishing-Kampagne sind.

Handlungsempfehlungen für Unternehmen

Für Unternehmen, die den IONOS Homepage Baukasten MyWebsite nutzen, ist höchste Vorsicht geboten. Sie sollten ihren IONOS-Account, ihre Domain-, E-Mail- bzw. DNS-Einstellungen und MyWebsite-Konfiguration überprüfen und gegen Hackerangriffe absichern.

Unabhängig vom Hoster sollten Unternehmen, die im Besitz von Domains und anhängigen E-Mail-Accounts sind, ist ebenfalls vorsichtig und wachsam sein. Sie sollten ihre Domain-, E-Mail- bzw. DNS-Einstellungen sowie die Datenbanken, Server- und Website-Konfiguration überprüfen und gegen Hackerangriffe absichern.

Wenn du Unterstützung beim Absichern deiner Website- und E-Mail-Accounts, Domains und/oder Server brauchst, melde dich gerne bei mir: hallo@teufelswerk.net+49 4762 3639555.

Wie du als Nutzer Phishing vermeiden kannst

  • Nicht auf Links klicken: Keine Links in solchen E-Mails anklicken oder persönliche Informationen preisgeben.
  • Absender überprüfen: Die Absenderadresse und Domain auf Glaubwürdigkeit prüfen.
  • Offizielle Kanäle nutzen: Direkt die offizielle Website des vermeintlichen Absenders besuchen und deren Support kontaktieren.
  • E-Mail melden: Verdächtige E-Mails an den IT-Support oder den E-Mail-Anbieter weiterleiten und als Phishing melden.
  • Aktualisierungen und Updates: Halte deine Geräte, Systeme, Apps und Software immer auf dem neuesten Stand. Verwende einen Viren- und Malwarescanner. Halte auch diese immer auf dem neuesten Stand.