Fw: Purchase Order von Hewlett Packard Customer Service ([email protected])

Am Dienstag, den 25. April 2017 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet.

Betreff: Fw: Purchase Order
Absender: Hewlett Packard Customer Service ([email protected])

confirm receipt of purchase order.

Regards

Tim

Achtung: Es handelt sich um eine gefälschte E-Mail! Die E-Mail stammt nicht von Hewlett Packard! Die E-Mail bringt eine Anlage „PURCHASE-ORDER.pdf“ mit. Öffnen Sie nicht die Anlage!

Die Anlage würde wie folgt aussehen:

Die Absender haben das Bild absichtlich verfremdet, damit es nicht gelesen werden kann. Hinter dem Link „View“ bzw. dem PDF-Symbol über dem unscharfen Bild versteckt sich ein Link auf die Adresse www.bit.do/dpvKC, die auf coolitwindowtint.com/wp-content/tuff/mass/update.HTML weiterleitet. Achtung: Hinter der Adresse verbirgt sich eine Phishing-Seite!

 

Die Browser warnen bereits vor dem Aufruf der Seite:

Betrügerische Website!

Die Webseite auf coolitwindowtint.com wurde als betrügerische Website gemeldet und auf Grund Ihrer Sicherheitseinstellungen blockiert.

Betrügerische Websites versuchen Sie dazu zu bringen, etwas Gefährliches zu machen, z.B. Software zu installieren oder private Informationen wie Passwörter, Telefonnummern oder Kreditkartendaten Preis zugeben.

Falls Sie auf dieser Seite irgendwelche Daten eingeben, müssen Sie mit Identitätsdiebstahl oder sonstigem Betrug rechnen.

Die betrügerische Adresse wird durch den HTML-Code versteckt. Der HTML-Code liefert einen „Refresh“ (also eigentlich eine Weiterleitung/Aktualisierung), die bereits nach 0 Sekunden (also sofort) durchgeführt werden soll. Als Weiterleitungsziel ist allerdings keine URL, sondern ein Base64-verschlüsselter HTML-Code zu finden. Daher verbirgt der Browser die URL:

&nbsp;<html>

<meta http-equiv=“refresh“ content=“0; url= data:text/html;base64,PCFkb2N0eXBlIGh0bWw+DQogICAgPCEtLVtpZiBJRSA4XT4gPGh0bWwgZGF0YS1wbGFjZWhvbGRlci1mb2N1cz0iZmFsc2UiIGNsYXNzPSJsdC1pZTkgaWU4IHVzIGVuIGhhcy1kb2ItZXhwbGFuYXRpb24iIGRh

Die betrügerische Seite würde wie folgt aussehen:

Adobe ID

Sign in with your E-mail account and password

Receiver Email address
Password
[ ] Stay signed in Stay signed in This PDF is protected

VIEW FILE

Sign in with your E-mail account and Password.

Geben Sie keine Daten ein! Senden Sie das Formular nicht ab! Die eingetragenen Daten würden an coolitwindowtint.com/wp-content/tuff/adob/receiver.php gesendet. Anschließend leitet die Seite ebenfalls per „Refresh“ an die Adresse drive.google.com/open?id=0BxKSeHpNweSsQk91bk1oaUNVVzg weiter:

<meta http-equiv=“refresh“ content=“0;url=https://drive.google.com/open?id=0BxKSeHpNweSsQk91bk1oaUNVVzg“ &>

Unter dieser Adresse (drive.google.com/file/d/0BxKSeHpNweSsQk91bk1oaUNVVzg/view) würde ein echtes PDF-Dokument erscheinen, eine Rechnung der FRANCO-ASIAN ENTERPRISES SINGAPORE PTE LTD über 38.344,40 USD:

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.