Phishing-E-Mails im Namen von Hetzner und Strato

Aktuell sind E-Mails im Umlauf, die vermeintlich von großen Internetdienstanbietern wie Hetzner und Strato kommen und sich an deren Kunden richten. In den Mails wird darauf hingewiesen, dass die gebuchten Systeme angeblich Verbindungsprobleme registrieren und diese als Sicherheitsbedrohung einstufen. Daher solle man sich in seinem Kundenkonto anmelden und dort alle nötigen Informationen aktualisieren. Nur so könne man seinen Kundenbereich und auch die gebuchten Dienstleistungen weiterhin uneingeschränkt nutzen.

Das klingt irgendwie dubios. Trotzdem wird man wird hellhörig, umso mehr, wenn man tatsächlich Kunde bei Hetzner oder Strato ist und ggf. kundenrelevante Systeme gebucht hat.

Optisch sind die Mails täuschend echt gemacht. Und die Absender-Adresse ist – zumindest im Fall von Hetzner – eine vermeintlich offizielle und gängige Support-Adresse, die jedem Kunden vertraut ist. Allein der eingebettete Link zum Kundenkonto ist in der Vorschau verdächtig und sollte nicht angeklickt werden.

Ist das doch passiert, sollte spätestens jetzt die Reißleine gezogen werden: denn hinter dem Link erscheint eine gefälschte Login-Seite von Hetzner bzw. Strato. Hier bitte KEINE Daten eingeben! Denn genau darauf zielen die Betrüger ab: die Zugangsdaten abzufangen, um im Kundenkonto z.B. Kreditkartendaten auszuspionieren.

Auch wenn die eigentliche Gefahr also darin besteht, seine Anmeldedaten in die gefälschte Seite einzugeben, muss man sich bewusst machen: Schon das Anklicken des Links in der E-Mail bedeutet in den meisten Fällen eine Rückkopplung zu den Betrügern. Denn der Klick wird getrackt und signalisiert den Betrügern, dass eine Aktion stattgefunden hat. Und dass der Empfänger womöglich tatsächlich Kunde bei Hetzner oder Strato ist. Eine Information, die man ja nicht unbedingt mit Dritten teilen möchte.

Denselben Effekt hat es, wenn man die verdächte URL nicht direkt in der erhaltenen Mail anklickt, sondern sie in die Adresszeile des Browsers kopiert und dann auslöst. Das Kopieren in den Browser kann helfen, die URL komplett sichtbar zu machen und die Gefahr ggf. besser einschätzen zu können. Denn nicht in allen E-Mail-Clients wird eine URL beim Darüberfahren mit dem Mauszeiger angezeigt. Auslösen sollte man den Link aber auch im Browser nicht.

Auch an dieser Stelle werden die Methoden der Betrüger immer ausgefeilter: oftmals ist es gar nicht möglich, die URL mit Rechtsklick in den Zwischenspeicher zu kopieren und in den Browser einzufügen. Dann bleibt noch, den Quelltext der Mail aufzurufen, dort nach der URL zu suchen und sie zu kopieren.

Doch wer betreibt im Normalfall diesen Aufwand, vorausgesetzt das entsprechende Know how ist vorhanden? Andererseits: dieses Wissen und der Aufwand der genauen Prüfung können Schaden verhindern – dann sind sie allemal gut investiert.

Aufklärung lohnt sich also, gepaart mit dem wiederholten Appell, immer wachsam zu bleiben und das Augenmerk vor allem auf verdächtige E-Mail-Adressen und Links zu richten. Im Zweifelsfall sollte man bei kleinsten Ungereimtheiten und Verdachtsmomenten die Finger buchstäblich still halten und ggf. Experten um Rat fragen. Sollten Sie unsicher sein, fragen Sie uns gern. Wir helfen gerne weiter!

Ansicht der gefälschten E-Mails von Hetzner und Strato:

Tipp:
Es gibt Tools, die dabei helfen, die Gefährlichkeit von Links besser einzuschätzen. Hier kann man verdächtige Links prüfen lassen:

Gut zu wissen:
Eine verdächtige URL beinhaltet z.B. scheinbar bekannte Elemente, etwa

www.strato-aktion.domain,

aber nur bei sehr genauem Hinsehen – fast nicht zu erkennen – fällt auf, dass z.B. das “a” aus dem kyrillischen UTF8-Zeichensatz stammt.

Auffälliger ist es, wenn die Domain gleich verdächtig aussieht, z.B.
lavoz.lavozinterior.domain

Dass beim Anklicken eine Rückmeldung an die Betrüger transportiert wird, kann sich wie in diesem Beispiel am letzten Teil des Links zu erkennen geben:

www.bekannte-adresse.domain/portal/index 
_back191985ssa623084449562ewew32308.html

Die Zeichenkette back191… bestätigt den Betrügern die angeschriebene E-Mail-Adresse und signalisiert zurück, dass Kontakt stattgefunden hat.

Phishing, Spam, Virus