Damian Thater

Phishing Alarm! Unitymedia, täuschend echte Phishing-Mail

05.09.2014

Phishing Alarm! Unitymedia, täuschend echte Phishing-Mail

Fast wäre ich auf die aktuelle Unitymedia-Email reingefallen, und hätte den Phishing-Link geklickt…

Einige der hier genannten Seiten wurden von mir als Betrugsversuch identifiziert. Um das Risiko zu mindern, dass die Links versehentlich ausgeführt werden und die Phisher trotz Warnung Erfolg haben, wurden die Links absichtlich verfälscht. Dennoch gilt: Jegliche Nutzung ausschließlich auf eigene Gefahr!

Es ist “Daily Business” die Emails abzurufen. Verschiedene Anbieter buhlen hierbei darum, dass Kundschaft ihre Platformen besuchen und so evtl. Angebote wahrnehmen. Manchmal findet man auch eine Erinnerungsmail eines Dienstleisters seine Rechnung zu bezahlen. Inzwischen ist diese Aufforderung stilvoll designed nur ein Hinweis der zum vertrauten Handeln einlädt. Folgt man diesem Hinweis unmittelbar, navigiert man sich in Teufels Küche.

Folgende Email landete in meinem Postfach:

To: vermeintlicher-unitymedia-kunde@mailserver-meines-vertrauens.dx
From: "Unitymedia - Rechnung" <online-rechnung@kundencenter.unitymedia.de>
Subject: Damian Thater: Ihre Online-Rechnung von Unitymedia

Damit diese Nachricht zuverlässig in Ihrem Posteingang ankommt, 
fügen Sie den Absender online-rechnung@kundencenter.unitymedia.de 
Ihrem Adressbuch hinzu.

Online-Version

Ihre aktuelle Rechnung ist abrufbar.

Sehr geehrter Herr Thater,

Ihre aktuelle Rechnung steht für Sie ab sofort online im Kundencenter 
zur Verfügung. Dort finden Sie auch die Rechnungen der vergangenen 12 Monate. 
Bei erteiltem SEPA-Lastschriftmandat erfolgt die Abbuchung wie vereinbart.

Jetzt einloggen und Rechnung abrufen > 

Sie haben sich noch nicht für das Online-Kundencenter registriert?

Hier geht's zur Registrierung > 

Sie haben Fragen zu Ihrer Rechnung?

Hier finden Sie alles Wissenswerte rund um Ihre Rechnung > 

Wir wünschen Ihnen weiterhin viel Spaß mit unseren Produkten.

Mit freundlichen Grüßen

Ihr Unitymedia Team


Unitymedia verwendet Ihre E-Mail-Adresse zur Benachrichtigung über die 
Bereitstellung Ihrer Online-Rechnung. Bitte antworten Sie nicht auf 
diese automatisch erstellte Benachrichtigungs-E-Mail und nutzen Sie 
zur Kontaktaufnahme einfach unser Online-Formular. 

Sie können uns wie folgt erreichen: 

Direkt Online

Ihr Kontakt zu Unitymedia > 

Service-Hotline

Bei Fragen erreichen Sie uns Mo-Fr von 8-22 Uhr und Sa von 8-20 Uhr.
Für Kunden aus dem Unitymedia-Netz kostenlos unter 0800 / 700 11 77.
Alle anderen Kunden erreichen den Kundenservice unter 0221 / 466 191 00.	

Kennen Sie bereits Nina?

Nina ist unsere virtuelle Online-Beraterin - Zum Hilfe- & Servicebereich >

Service rund um die Uhr

Kennen Sie das Entertainmentportal mit Infos zu Stars, Games & mehr?

Zum Portal	 >

Unitymedia Newsletter

Immer auf dem Laufenden bleiben mit dem kostenlosen Unitymedia Newsletter.

Zum Newsletter	 >

Freunde werben

Kunden werben und Prämien sichern - jetzt Unitymedia empfehlen.

Freunde werben	 >

// und so weiter…

Erster Eindruck

Ich habe grundsätzlich alle Bilder und Stylesheets in Emails deaktivert. Darum kann ich zwar kein Urteil über das Aussehen der Email fällen, aber dafür bleiben mir Aufrufe zu Bildgeneratoren mit evtl. getrackten IDs, sogenannten Webbugs, fern.

Die Email macht (trotz der fehlenden Bilder) einen sehr vollständigen Eindruck. Wenn ich mich recht an die letzten Emails von Unitymedia erinnere, sahen die genauso wie diese aus. Der erste Eindruck war also: Ach ja, wieder der Hinweis zur Rechnung…

Aber ein kleines Detail machte mich doch schon misstrauisch: Ich bin seit Monaten nicht mehr Kunde bei Unitymedia.

  • Datenbank-Fehler? Ist ihre Datenbank evtl. mit falschen Emails gefüttert worden?
  • Datenschutz-Problem? Warum wurden meine Kontaktdaten nach meiner Kündigung nicht fristgerecht aus dem System genommen?
  • Phishing-Mail? So professionell?

Ohne einen Blick in die Innereien der Email werd ich kaum schlauer…

Email-Details

Im Email-header sind wenige Details versteckt, die auf Missbrauch andeuten.

Wieso wird eine Email von Unitymedia im Zusammenhang mit Emarsys genannt… hm. Vielleicht versenden Sie Emails für Unitymedia… Ich kenne so etwas aus dem Marketingbereich - aber bei Rechnungen?

Return-Path: wwwrun@emarsys.bet

Scheinbar wurde die Email direkt von Emarsys zum Gmx-Server gesendet. Auch die
Signatur macht mich jetzt nicht stutzig.

Received: from pmta400xx.emarsys.bet ([91.211.240.12]) by mx-ha.gmx.net ...
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=key2; d=kundencenter.unitymedia.de;
 h=To:Subject:From:MIME-Version:List-Id:List-Unsubscribe:Content-Type:Message-ID:Date; 
 	i=online-rechnung@kundencenter.unitymedia.de; ...
Received: from (10.200.201.35) by pmta400xx.emarsys.bet 
	id h14ih816nd8a for ... (envelope-from <wwwrun@emarsys.bet>)

Bei der Angabe des Absenders erkennt man, dass die Antworten dieser Email an Unitymedia gehen sollen. Wenn Emails zwischen Absender- und Return-Path-Adressen unterscheiden, werde ich hellhörig…

From: "Unitymedia - Rechnung" <online-rechnung@kundencenter.unitymedia.de>

Doch nun folgt die erste Info auf einen falschen Server: umkbw-info.de

List-Unsubscribe: <httq://www.umkbw-info.de/u/lu.php?lu=*SOME_FANCY_TRACKING_ID*>

Who-is-Who

Wie sooft bei Phishing-Mails, werden die Emails von teils dubiosen Accounts, von teils seriösen Servern geschickt und verlinken zu geheimen, aber vertraulich klingenden Servern. Also wer steckt hinter welcher Adresse?

Die erste MailAdresse in der Phishingmail zeigt auf wwwrun@emarsys.net. Wer ist also emarsys.net?

> whois emarsys.net

Whois Server Version 2.0
...
Domain Name: emarsys.net
Registry Domain ID: 74939746_DOMAIN_NET-VRSN
Registrar WHOIS Server: whois.antagus.de
Registrar URL: http://www.vautron.de
Updated Date: 2014-07-14 05:29:25
Creation Date: 2001-07-12 15:04:40
Registrar Registration Expiration Date: 2015-07-12 00:00:00
Registrar: Vautron Rechenzentrum AG
...
Tech Organization: emarsys eMarketing Systems AG
Tech City: Wien
Tech Country: AT

Laut DNS handelt es sich also um eine eMarketing-Firma aus Wien, Österreich. Von deren Servern ging die Email also los und durchlief gmx.net bis zu meinem Account.

Als nächstes findet man unitymedia.de. Deren DNS Auszug liest sich wie folgt:

> whois unitymedia.de

% Copyright (c) 2010 by DENIC
...
Domain: unitymedia.de
Nserver: ns1.ish.de
Nserver: ns2.ish.de
Dnskey: 257 3 8 AwEAAbzbqPe5f5toTiWH+A3Nh5XsNLV/mnMDEm4Z9X7qBoQFvGzDXHnn8ShQWgcB8I8q0e+q3wDnNZahaqI2sJnFABXQx88yBDXmxWh+9rK3mWni0/PaK4O+nfZrDvhGbqtgV0plZSU0Z9XTsS+gtbBOc13CBW2ABHvxqKryf6I035dFsH0P4GFFatpC6Utd9quhDST0tx32ETR3dqwNEX9kNUBtSOacAAhE5JFIr/JmVvHR0iIV2ztnGm5i713JVOF52l6xmgcCOigmpb76dKq64isKoMDblqbtJ/VCsJkBmHhziESAPLvS8YLg7JY+XviAZDmzW1dpLnVZJN0JvUdJON1dJoDyZx5J9MelAK80Xf/H2U25GV1Z+/rUI/5PsBttENLgqYO2wyAvMvqMJroMQqCxdt7mR6pZdLWc6/HRhqDj
Status: connect
Changed: 2014-07-28T13:38:59+02:00

[Tech-C]
...
Organisation: Unitymedia NRW GmbH
CountryCode: DE
...

OK, Die Adresse gehört und wird betreut von Unitymedia selbst, sitzend in Deutschland.

Der Server, der von den Links angesteuert werden sollen, ist aber umkbw-info.de. Soll das Kürzel etwa, Unity-Media-Kabel-Badem-Württemberg heißen? Mal sehen…

> whois umkbw-info.de

% Copyright (c) 2010 by DENIC
...
Domain: umkbw-info.de
Nserver: ns.namespace4you.de
Nserver: ns2.namespace4you.de
Status: connect
Changed: 2014-07-24T07:18:40+02:00

[Tech-C]
...
Address: Domainfactory GmbH
CountryCode: DE
...

Oh, nicht doch: Hinter der Adresse verbirgt sich ein privater Service, der recht frisch ist, und keinen Hinweis auf den Namen gibt, ausser dass der Server vom recht bekannten Hoster Domainfactory GmbH aus Deutschland kommen.

Was steckt drin

Versucht man nun den Server httq://www.umkbw-info.de vom Phisher aufzurufen, was ich jedem abraten kann, bekommt man folgende Antwort:

Forbidden
You don't have permission to access / on this server.
Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.
Apache/2.2.22 Server at umkbw-info.de Port 80

Man sollte glauben, dass eine seriöse Firma den Aufruf auf ihre Domäne zumindest auf eine Info-Seite umleitet. Das Scheint denen also nicht so wichtig zu sein. Punktabzug.

Ruft man nun das Phishing-Script mit fingierter ID auf, kommt nur ein kurzer Text zum Vorschein:

httq://www.umkbw-info.de/u/gm.php?prm=23

Kein mailing abrufbar!<br/>

Na Toll. Ganz sparsam, fast schon wie eine Ausgabe einer Logging-Konsole. Punktabzug.

Fazit

Professionelle Phishing-Email, aber leider nur für die virtuelle Rundablage geeignet.

Löschen! Mail -> Mülleimer -> Mülleimer leeren

05.09.2014

comments powered by Disqus

Copyright © Damian Thater, 2009-2016  -  Impressum