Eine neue Phishingwelle geht um, diesmal an Stratoserver-Webadmins gerichtet:
Heute um 5 Uhr morgens bekam ich eine E-Mail angeblich vom "Stratoserver Support", die mich aufforderte über einen gegebenen Link meine Kontodaten zu bestätigen. Meine Phischingdetektoren schlugen sofort alarm, und ich guckte auf die URL des Links der laut Anzeigetext zu strato.de ging: der ging tatsächlich zu cur.at. Außerdem ist die Adresse von der aus die E-Mail kam services.konto@curatedmail.co, was überhaupt nicht zu Strato passt. Mal ganz von zu schweigen dass ich solche Mails nicht bekommen sollte, da ich nicht direkt bei Strato bin, sondern lediglich Adminzugang zu einem einzigen VPS habe, den mein Patenonkel über seinen Strato-Zugang eingerichtet hat.
Die Nachricht sieht auch mehr aus wie eine "Neuer Blogeintrag"-Benachrichtigung als eine echte Sicherheitsmeldung, da sie nämlich eine Mailinglist-Plattform missbraucht für die Phishing-Attacke.
Der Tippfehler in dem agezeigten GET-Parameter sessioID hat es auch nicht gerade vertrauenswürdiger gemacht.
Übrigens, die Seite auf die einen der Link leitet sieht glaubwürdig aus, wenn man nicht die URL ganz oben beachtet…
(UPDATE: Noch am selben Abend wurde das Nutzerkonto über das die gefälschte Loginseite bereitgestellt wurde von Mailcloud gebannt, aber die Curated-seite von der aus die Nachricht kam besteht weiterhin unverändert)
Wenn man dort Benutzerdaten eingibt (ich habe einfach als Benutzernamen gatesbill und als Passwort Microsoft is not slop! angegeben), wird man auf die echte Loginseite weitergeleitet, die einen kleinen aber wichtigen Unterschied aufweist:
Erstens fehlte die Cookieeinblendung auf der gefälschten Loginseite, und zweitens das Captcha.
Die "Dringend site" die in der Mail ganz unten erwähnt wird sieht auch nicht gerade vertrauenswürdig aus:
Diesen warnenden Eintrag in meinem eigenen Blog schreibe ich, da ich mir sicher bin dass ich nicht der Einzige sein werde, der so eine Nachricht bekommen hat.