Vorsicht vor diesen Fakes! Phishing-Mails die angeblich von Strato stammen sind ein Dauer-Brenner in der Phishing-Welt. Es gibt sie mittlerweile massiv in vielfältigen Formen. Dummerweise finden diese betrügerischen Mails in den Empfängern immer wieder Opfer, die bereitwillig auf den enthaltenen Link klicken und auf den gefälschten Loginseiten ihre Zugangsdaten sowie Zahlungs- und Kreditkartendaten eingeben. Die preisgegebenen Daten werden von den Phishing-Akteuren gespeichert, für weiterführende Betrugsmaschen missbraucht oder an andere Cyberkriminelle weiterverkauft.
Seit einigen Wochen werden wieder vermehrt gefälschte Strato-Mails an potentielle Opfer versendet. Für Strato-Kunden ist deshalb Vorsicht geboten! Hier ein Beispiel einer Phishing-Mail der vergangenen Tage mit dem Betreff „Wichtige Mitteilung: Domain-Erneuerung erforderlich“:
Die nachfolgenden Angaben im E-Mail-Header dieser Fake-Mail weisen darauf hin, dass die E-Mail nicht legitim ist und nicht von der Strato AG stammt.
Betreff: Wichtige Mitteilung: Domain-Erneuerung erforderlich:
Von: Strato AG <noreply@estrato.de>
Datum: 13.12.2024, 03:47
Return-Path: <noreply@estrato.de>
ARC-Seal:i=1; a=rsa-sha256; t=1734054498; cv=none; d=strato.com; s=strato-dkim-0002; b=pYGajARB...
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; t=1734054498; s=strato-dkim-0002; d=strato.com; h=Subject:From:Message-ID:Date:Cc:Date:From:Subject:Sender; bh=pgq...
ARC-Authentication-Results: i=1; strato.com; dmarc=none header.from="estrato.de"; arc=none smtp.remote-ip=35.204.218.143; dkim=none; dkim-adsp=none; spf=fail smtp.mailfrom="noreply@estrato.de"
Authentication-Results: strato.com; dmarc=none header.from="estrato.de"; arc=none smtp.remote-ip=35.204.218.143; dkim=none; dkim-adsp=none; spf=fail smtp.mailfrom="noreply@estrato.de"
Received-SPF: fail (strato.com: domain estrato.de does not designate 35.204.218.143 as permitted sender) client-ip=35.204.218.143; helo="[10.88.0.4]"; envelope-from="noreply@estrato.de"; receiver=smtpin.rzone.de; identity=mailfrom;
Received: from [10.88.0.4] (143.218.204.35.bc.googleusercontent.com [35.204.218.143]) by smtpin.rzone.de (RZmta 51.2.11 OK) with ESMTPS id 95fe8b0BD1lpI2d (using TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256 bits)) (Client did not present a certificate); ...
Analyse des E-Mail-Headers:
- Von:
- Das „Von“-Feld zeigt Strato AG noreply@estrato.de. Bei estrato.de handelt es sich nicht um eine legitime Domain der Strato AG (strato.de).
- Return-Path:
- Der Return-Path lautet noreply@estrato.de und stimmt mit der „Von“-Adresse überein.
- Authentifizierungs-Ergebnisse:
- SPF Fehlgeschlagen: Der SPF-Check ist fehlgeschlagen, da die IP-Adresse 35.204.218.143 nicht von der Domain estrato.de autorisiert wurde, E-Mails zu senden. Diese Tatsache deutet darauf hin, dass die E-Mail gefälscht sein könnte.
- DKIM: Es gibt keinen DKIM (DomainKeys Identified Mail)-Signatur für diese E-Mail. Dieser Umstand wirft weitere Zweifel an ihrer Authentizität auf.
- DMARC: Die DMARC-Überprüfung ist auf „none“ gesetzt, was bedeutet, dass keine spezielle Richtlinie für die Domain durchgesetzt wird.
- Received-SPF Fehlgeschlagen:
- Der SPF-Fehler bedeutet, dass die E-Mail nicht von einem autorisierten Server für die Domain estrato.de gesendet wurde. Dies deutet häufig auf einen Phishing-Versuch hin.
- IP-Adresse und Host:
- Die E-Mail kam von der IP-Adresse 35.204.218.143, einer Google Cloud-IP, versuchte jedoch, estrato.de zu imitieren. Die Anwesenheit von googleusercontent.com in der Relay-Kette der E-Mail deutet darauf hin, dass diese E-Mail möglicherweise über Google Cloud-Server gesendet wurde, was von Angreifern genutzt werden kann, um grundlegende Prüfungen zu umgehen.
Die Analyse zeigt, dass die E-Mail nicht von Strato stammt. Das SPF-Fehlversagen und andere Authentifizierungsprobleme deuten darauf hin, dass diese E-Mail nicht legitim ist und es sich um einen versuchten Betrug handelt. Die E-Mail verwendet die Domain estrato.de die leicht mit der legitimen Strato-Domain strato.de zu verwechseln ist. Ausserdem stammt die E-Mail von einem nicht autorisierten Server.
Der wichtigste Tipp im Kampf gegen Phishing:
Logge dich bei Strato oder anderen Anbietern, bei denen du Kunde bist, immer direkt über die offizielle, legitime Website des jeweiligen Anbieters in deinen Kunden-Account ein!
- Klicke nicht auf Links in Benachrichtigungen, SMS oder E-Mails, die dich dazu auffordern, möglichst schnell zu reagieren, auf einen Link zu klicken und persönliche, sensible Daten preiszugeben.
- Wichtige Benachrichtigungen eines Anbieters, in diesem Fall bei Strato, kannst du immer in deinem offiziellen Kunden-Konto einsehen. Hier der offizielle Link zum Login in das Strato-Kunden-Konto: https://www.strato.de/apps/CustomerService#/skl
- Das offizielle Webmail-Login von Strato erreichst du über den nachfolgenden Link: https://webmail.strato.com/appsuite/signin
- Es ist nicht erforderlich, dass du auf dringlich erscheinende, druckerzeugende Benachrichtigungen jedweder Art per Klick auf einen Link reagierst. Never ever!
Du möchtest regelmäßig mit Tipps und Neuigkeiten zur IT- und Cybersicherheit versorgt werden? Abonniere jetzt unseren Newsletter, damit du im Kampf gegen Cybercrime, Spam, Scam, Phishing & Co. gut gerüstet bist: