Vorsicht: Gut gemachte Phishing Mails - Zwei IONOS Beispiele

Nach Header und Footer kommt diese E-Mail vom IONOS Support. Die Bilder der Datei werden direkt von den IONOS Servern nachgeladen, das Layout ist nahezu fehlerfrei und die meisten Links in der Mail führen auch zu IONOS. Die in der Mail genannte Domain gehört tatsächlich uns und liegt bei IONOS. Im Text gibt es zwar noch ein paar grammatikalische Probleme, die man aber schnell überliest.

Formulierungen wie "leider ist es uns nicht gelungen, Ihre Domain aufgrund eines Zahlungsproblems zu verlängern" oder "Falls innerhalb von 24 Stunden keine Maßnahmen ergriffen werden, erfolgt die Einstellung der Dienste" schüren Ängste und erwecken den Eindruck, als müsse sofort gehandelt werden.

Praktisch, dass es da einen Button gibt, mit dem man das Problem schnell und einfach lösen kann. Doch genau dieser Button führt zur Phishing-Seite, auf der IONOS Kunden die eigenen Kundendaten preisgeben. 

Beispiel 2: Zahlungserinnerung

Der Inhalt der reinen Text-E-Mail lautet:

Hallo,

wir bedauern, Ihnen mitteilen zu müssen, dass wir den ausstehenden Rechnungsbetrag in Höhe von 18,31 EUR für Ihren Vertrag 33241066 nicht begleichen konnten.

Bitte laden Sie die Rechnung für weitere Informationen herunter und melden Sie sich in Ihrem IONOS-Konto an.

Sollte die Rechnung überfällig sein, behalten wir uns gemäß unseren AGB vor, unsere Leistungen einzuschränken oder zu verweigern und ggf. den kompletten Vertrag auch ohne vorherige Sperre fristlos zu kündigen. Sie verlieren dann alle damit verbundenen Leistungen, inklusive Domains und E-Mail-Postfächer.

Bitte ignorieren Sie diese Nachricht, sollte sich die Zahlungserinnerung mit Ihrer Zahlung überschnitten haben.


Wenn Sie Fragen haben, sind wir gerne für Sie da. Rufen Sie uns einfach an unter 0721 170 5522.

Mit freundlichen Grüßen
IONOS Kundenservice

Angehängt an die E-Mail ist eine Datei mit dem Namen "Mahnung_2023-09-05_74860596.html". Als Empfänger möchte man diese Datei erstmal öffnen und genauer nachlesen, worauf sich die Mahnung bezieht und was nun zu tun ist.

Auch hier werden wieder die Angst (Kündigung mit Verlust aller Daten) und die Dringlichkeit (fritslose Kündigung ohne vorherige Sperre) angesprochen und der Empfänger dazu verleitet, aus dem aktuellen Impuls die angehängte Datei zu öffnen.

Wie erkennt man Phishing Mails?

Es gibt noch immer ein paar Merkmale, an denen man Phishing-Mails zuverlässig erkennen kann.

1. Anrede

Die Absender von solchen Phishing Mails haben keinen Zugriff auf die Account-Informationen, bevor man die eigenen Daten preisgibt. Daher fehlt in der Anrede nahezu immer die persönliche Ansprache. In den Mails aus den Beispielen steht nur "Hallo!", IONOS schreibt aber immer "Guten Tag {Vorname} {Nachname}".

2. Mail-Absender

E-Mails von IONOS kommen von noreply@ionos.de, als Absendername kann "Rechnungsstelle IONOS" oder "Kundenservice IONOS" vorkommen. In der E-Mail aus dem Beispiel ist der Absendername zwar "Kundenservice IONOS", die Absenderadresse aber "mail@parkingsuvio.it" - ein klares Indiz für eine Phishing-Mail. 

Aber Achtung: In Beispiel 2 wirkt es, als käme die Mail wirklich von "hostmaster@1and1.de", was erstmal korrekt aussieht. Denn die Absender-Adresse einer E-Mail kann leicht verändert werden.

3. Verlinkungen in der Mail

Oft stimmen die allgemeinen Linkziele in Phising-Mails mit den Originalen überein. In Beispiel 1 sind z.B. die Links zu den IONOS Apps korrekt, auch die Social Media Links stimmen. Aber der entscheidende Button, um den es in der Mail geht, stimmt nicht, sondern führt zu einer Phishing-Seite:
ionos-de.mbn.it/ionos 

Besonders perfide ist dabei, dass der Link durch das Vorkommen von "IONOS" verschleiert, wohin er eigentlich führt - bei einer oberflächlichen Betrachtung könnte man zum Schluss kommen, das alles passt. Wichtig ist hier ein grundlegendes Verständnis von Domains: Relevant sind der Domainname und die Top-Level-Domain, in diesem Fall "mbn" und "it". Die Domain mbn.it hat aber nichts mit IONOS zu tun.

4. Anhänge

IONOS verschickt Rechnungen und Mahnungen immer als PDF, niemals als HTML-Dokument. Man sollte also, bevor man den Anhang einer E-Mail öffnet, immer zuerst den Datei-Typ prüfen. HTML Anhänge nur dann öffnen, wenn man den Absender definitiv kennt und ihm absolut vertrauen kann! Denn über HTML-Dateien lassen sich verschiedene Angriffs-Szenarios realisieren.

5. Fehlerhafte Details

In Beispiel 2 wird ein Rechnungsbetrag und einer Vertragsnummer genannt. Einen Vertrag mit dieser Vertragsnummer haben wir nicht, auch keine Rechnungsbeträge über diese Summe. In der Regel kennt man die eigenen Vertragsdaten selbst nicht gut genug, dass man so etwas sofort sieht - wenn man aber Verdacht geschöpft hat, kann man zuerst diese Details mit den eigenen Vertragsdaten abgleichen.

6. Logik

Das beste Mittel, um Phishing Mails auch in Zukunft zu erkennen, ist Logik: Kann das überhaupt sein? Beim ersten Beispiel wird der Eindruck vermittelt, dass wegen der ausstehenden Zahlung von 5,- EUR die Domain abgeschaltet wird. Aber ist das realistisch? Schaltet IONOS eine Domain ab, weil eine einzige Monatsrechnung offen ist? Und würde IONOS dazu keine Mahnungen schicken, sondern erst 24 Stunden vor der Abschaltung eine E-Mail? 

Fazit

Es gibt ein paar Grundregeln, um sich vor Phishing zu schützen:

• Misstrauisch sein!
• Keine HTML-Anhänge öffnen
• Auf Details achten, Anrede kontrollieren
• Nicht auf Links in E-Mails klicken, wenn ein Verdacht besteht
• Sich nicht hetzen lassen

Wenn man sich unsicher ist, ob z.B. eine Mahnung echt oder nur Phishing ist, sollte man nicht in der Mail auf den Link klicken oder den Anhang öffnen. Besser ist es, unabhängig von der E-Mail den Browser zu öffnen und sich im Account einzuloggen - gäbe es tatsächlich ein Problem, müsste das hier ebenfalls angesprochen werden. So kann man schnell prüfen, ob Handlungsbedarf steht oder die Mail in Ablage P landen kann.