Strato – Aussetzung von Domain …

Vorsicht vor vermeintlichen E-Mails von der Strato AG, die derzeit an Domain-Inhaber verschickt werden. Hier wird durch plausible Mailinhalte und einer gut gemachten Zielseite versucht, an Zugangsdaten beim Internetdienstanbieter Strato zu gelangen und Kreditkarten-Informationen abgefragt.

“Gar nicht so schlecht gemacht und doch irgendwo stümperhaft!” So mein erster Eindruck von den überraschenderweise auch bei Gmail nicht als Spam eingestufter E-Mails.

Achtung! Diese E-Mail ist nicht von der Strato AG. Es handelt sich um Phishing

📰 Inhalt der E-Mail

Sehr geehrte (r) ,

Wir möchten Sie darüber informieren, dass Ihre Domain -meine-url.de- gesperrt wurde. Ihre Website ist derzeit nicht verfügbar.

Grund für die Aussetzung :
Unser Abrechnungssystem hat festgestellt, dass Ihr Domain-Name abgelaufen ist und trotz unserer vorherigen Erhöhung nicht erneuert wurde.

Sie werden gebeten, ein Verlängerungsformular für Ihre Dienste auszufüllen Manuelles Ausfüllen gemäß den Anweisungen und Schritten unter folgendem Link :

https://www.strato.de/apps/CustomerService#/skl=meine-url.de

Wenn Sie Ihre Domain nicht innerhalb von 24 Stunden am Tag erneuern, werden Ihre Dienste dauerhaft gelöscht.

Mit freundlichen Grüßen
Ihr STRATO Team

—————————————————-
SТ؜؜؜RΑ؜؜؜Т؜؜؜О؜؜؜ Α؜؜؜G
Р؜؜؜а؜؜؜ѕ؜؜؜с؜؜؜а؜؜؜lѕ؜؜؜trа؜؜؜ßе؜؜؜ 10
10587 В؜؜؜е؜؜؜rlinSTRATO AG contact1@kirem.de über sendgrid.net

Aussetzung von Domain
Screenshot aus Gmail

Schaut man sich den Inhalt etwas genauer an, wird es irgendwo doch komisch.

So zum Beispiel bei dem Satz “… dass Ihr Domain-Name abgelaufen ist und trotz unserer vorherigen Erhöhung nicht erneuert wurde.”. Oder bei diesem “Wenn Sie Ihre Domain nicht innerhalb von 24 Stunden am Tag erneuern …”.

Mich brachte das ein wenig zum Schmunzeln. Aber wer liest das schon, wenn irgendwie die eigene Domain gesperrt wurde.

Der Link in der E-Mail sieht glaubwürdig aus “https://www.strato.de/apps/CustomerService#/skl=meine-url.de” führt aber in Wirklichkeit zu “https://marketingconnectionprojects.com.au/meine-url”.

Bereits wenn man mit der Maus über den Verweis fährt, fällt das auf. Aber auch das macht ja nun wirklich jede(r) und am Smartphone schon mal gar nicht.

Eine weitere Auffälligkeit ist der Absender: STRATO AG <contact1@kirem.de> über sendgrid.net

📩 Betreff: Аuѕ؜؜؜ѕ؜؜؜е؜؜؜tzunɡ؜؜؜ vо؜؜؜n dо؜؜؜mа؜؜؜in meine-url.de

Richtig Mühe hat man sich allerdings bei der Verschleierung des Betreffs gegeben. Hier wurden zusätzlich einige decodierte Zeichen im Text verbaut, sodass man auch nicht einfach via Copy & Paste nach dem Betreff bei Google suchen kann. Vermutlich hilft diese Taktik, um weniger als Spam bei den Mailanbietern erkannt zu werden.

Wer mag, kann sich ja mal hiermit näher befassen und vielleicht in den Kommentaren mehr dazu sagen: Аuѕ؜؜؜ѕ؜؜؜е؜؜؜tzunɡ؜؜؜ vо؜؜؜n dо؜؜؜mа؜؜؜in (die 3 Wörter einfach kopieren).

Erst unter Linux fiel mir das richtig auf. In Editoren unter Windows gab es dazu keine Auffälligkeiten. Ein paar dieser Zeichen scheinen aus dem skandinavischen Zeichensatz zu stammen.

Copy & Paste des Betreff-Textes aus der E-Mail in einen Linux Kommandozeilen-Editor

Wohin führt der Link in der E-Mail?

Nun erfolgt noch eine Weiterleitung auf “https://app-rechnung-strato.frect.org/wp-content/acces/”. Zumindest der Anfang der Internetadresse sieht irgendwo passend aus. Nicht aber die eigentliche Domain “frect.org”.

Unter dieser Adresse scheint eine spanische Stiftungs- oder Verbands-Website betrieben zu werden, die gehackt wurde. “Foro de Redes y Entidades de Custody del Territorio” nennt sich dieser Verein und dort ahnt man sicherlich nichts hiervon.

Wer mag und ein paar Spanischkenntnisse hat, kann denen gern diese Info zukommen lassen. Bei deutschsprachigen Websites informiere ich die Betreiber gern, wenn mir so etwas auffällt. Auch wenn dabei nie wirklich ein Dankeschön zurück kommt.

Egal! Morgen ist die Zielseite vielleicht schon eine andere WordPress-Seite, die aber ähnlich “gut” aussehen wird.

Die “Strato Login” Landingpage

Zielseite mit Strato-Login
Zielseite aus der Phishing-Mail mit Strato-Login

Links zu Impressum, Sitemap und so weiter führen wirklich zu Strato. Die oberen Bereiche haben keine Funktionalität.

Die Daten aus dem “Strato Login Formular” landen sicherlich direkt bei den Cyberkriminellen.

Naja, was soll’s! Ich habe dort mal ein paar Zufallszahlen eingeben und zu meiner Überraschung will man vielleicht gar nicht an die Zugangsdaten, sondern direkt an die Kreditkartendaten.

Abfrage der Kreditkartendaten (ich habe hier Test-Daten für Entwickler verwendet)
Hier ist leider mein Test zu Ende, da ich natürlich keinen SMS-TAN erhalte

An der Stelle haben die Jungs und Mädels vom Hacker-verein vermutlich schon alles was sie wollten. Nämlich die Daten “meiner” Kreditkarte.

Auffindbarkeit in Suchmaschinen

Für mich als SEO (Suchmaschinenoptimierer) ist zudem interessant, dass man sogar durch relevante Auszeichnungen im Quellcode versucht, sich in Suchmaschinen zu platzieren. Das wird heutzutage nicht mehr für Rankings auf den vorderen Plätzen reichen, aber Suchmaschinen reagieren zumindest kurzfristig manchmal durchaus auf solche Punkte.

So sind der Seitentitel

STRATO Kunden-Login · Schneller Zugang zu Ihren Produkten

und auch die Description

In Ihrem persönlichen STRATO Kunden-Login haben Sie Zugriff auf Ihre Kundendaten und verwalten Ihre Produkte. Hier einloggen!

sowie Überschriften durchaus für eine Optimierung ausgelegt.

Fazit

Wie fast immer bei E-Mails heißt es genau hinschauen und besser nie auf Links in einer E-Mail klicken. Wer vermutet, dass hier wirklich Strato (sicherlich betrifft das auch andere große Anbieter) dahinter stecken könnte, kann auch direkt www.strato.de im Browser aufrufen und dort sich einloggen.

Will der Domain- und Hosting-Anbieter wirklich irgendeine Bestätigung oder gab es sonst irgendwelche Probleme, wird das sicherlich auch hier aufgeführt sein.

Also: Aufpassen und immer misstrauisch sein!

5/5 (8)

Konnten wir mit diesem Beitrag weiterhelfen?

Empfehlungen der Redaktion:
Für alle Entdeckerinnen und Entdecker

WhatsApp - optimal nutzen

Buchtipp: Die neueste Version 2021 erklärt alles Funktionen des Messenger-Dienstes. Jetzt WhatsApp komplett ausreizen.

Google als Startseite

Die am häufigsten genutzte Suchmaschine als Startseite im Browser einrichten und schneller die gesuchten Inhalte finden.

Diese Woche neu bei Tchibo

Tolle neue Sachen in den Themenwelten des Tchibo Online-Shops entdecken und sich oder anderen eine Freude bereiten.

Angebote bei QVC

Der TV-Kanal Nummer 1 in Deutschland ist natürlich auch im World Wide Web. Produkte aus den TV-Shows jetzt online entdecken.

Werbeanzeigen

Daniel

Über den Autor

Daniel Weihmann - Betreiber und Redakteur verschiedener Online-Plattformen wie Browserdoktor.de. Von 2004 bis 2014 als Systemadministrator verantwortlich für mehrere Linux-Server und kommunale Online-Lösungen. Heute selbstständiger Webdesigner, SEO und Online-Marketer in Köthen (Anhalt).

Schreibe einen Kommentar