1&1 : Ein Berater Schicke dir eine wichtige Botschaft von Control Center ([email protected])
Am Donnerstag, den 08. Juni 2017 wurde durch unbekannte Dritte die folgende E-Mail versendet. Achtung: Die E-Mail stammt nicht von 1&1! Es handelt sich um eine betrügerische E-Mail!
Betreff: 1&1 : Ein Berater Schicke dir eine wichtige Botschaft
Absender: Control Center ([email protected])Guten Tag, (E-Mail-Adresse)
Ein Berater Schicke dir eine wichtige Botschaft
Sie können Ihre Nachricht angehängt konsultieren!Mit freundlichen Grüßen
Achtung: Es handelt sich um eine betrügerische E-Mail! Die E-Mail stammt nicht von 1&1! Das Unternehmen hat mit der E-Mail nichts zu tun! Klicken Sie deswegen nicht auf den Link und geben Sie keine Daten ein!
1&1 hat eine Hilfe-Seite zum Thema „Phishing“. Darin finden Sie auch einen Link (Customer Phishing Reports), mit dem Sie per E-Mail die betrügerischen Daten an 1&1 senden können.
Die E-Mail behauptet, in der Anlage wäre eine wichtige Botschaft des Beraters beigefügt. Als Anlage ist das Adobe Acrobat Reader – Dokument „1&1-A8005W.pdf“ beigefügt. Das Dokument sieht wie folgt aus:
1&1 Kundenservice
Hallo,
Sie haben (1) neue Nachricht von Ihrem Support.
sehen,
Gehen Sie auf die E-sicheren Bereich über den folgenden Link:
1&1 Control-Center
Vielen Dank.
* Diese Nachricht wurde automatisch gesendet. Bitte antworten Sie nicht.
Ihre
Denise Kleis
Leiterin Kundenkommunikation
Der Inhalt ist gefälscht! Der Inhalt stammt nicht von 1&1! Klicken Sie deswegen nicht auf den Link / Text! Die verlinkte Seite usaytjtgfj.webstarterz.com/redpo1/hghg gehört nicht zu 1&1! Eine betrügerische Seite würde zum 1&1-Kundenlogin auffordern. Geben Sie keine Daten ein! Alle Eingaben werden an unbekannte Dritte übermittelt und können daher missbraucht werden!
Die verlinkte Seite usaytjtgfj.webstarterz.com/redpo1/hghg würde zunächst auf usaytjtgfj.webstarterz.com/redpo1/index.php, von dort weiter auf tokyohjkfghjd.webstarterz.com/redpo10/eaf26f7ff29720251c4f63e47955e24f, dann auf tokyohjkfghjd.webstarterz.com/redpo10/index.php und weiter auf sgikjkjftfg.webstarterz.com/public/ecc38c03c562f6e51d3a0bb3fe7c4d67 leiten. Am Ende wird die Adresse sgikjkjftfg.webstarterz.com/public/index.html aufgerufen. Per Refresh wird ein Base64-verschlüsselter HTML-Code ausgeliefert, der später im Browser aber eine 1&1-URL vortäuschen soll:
<meta http-equiv=“refresh“ content=“0; url=data:text/html;https://www.1und1.de/IDwvaGVhZD4gPGJvZHkhp?e=FVCTElDICItL ;base64,PCFET0NUWVBFIGh0bWwgUFVCTElDICItLy9XM0MvL0RURCBYSFRNTCAxLjAgVHJhbnNpdGlvbmFsLy9FTiIgImh0dHA6Ly93d3cudzMub3JnL1RSL3hodG1sMS9EVEQveGh0bWwxLXRyYW5zaXRpb25hbC5kdGQiPg0KPGh0b[…]==“ />
Dieser Code würde folgende Seite anzeigen (sgikjkjftfg.webstarterz.com/masc/Ud1/). Geben Sie keine Daten ein! Alle Eingaben werden an unbekannte Dritte übermittelt und können daher missbraucht werden!
1&1 KUNDENLOGIN
Kunden-Login
Kunde
Kundennummer, Nutzername (E-Mail-Adresse) oder Domain-NamePasswort
Passwort vergessen?Login
Noch kein 1&1 Kunde?
Jetzt Kunde werden und von unseren Angeboten profitieren.
Nach Eingabe der Daten würde die betrügerische Seite alle Eingaben an sgikjkjftfg.webstarterz.com/masc/Ud1/send.php (UserLog = E-Mail-Adresse, PassLog = Passwort) senden und danach die echte 1&1 – Seite aufrufen:
