Warnung: T-Online Phishing E-Mail unterwegs

Hallo zusammen,
dass es Phishing-Versuche gibt, ist ja nichts Neues.
Für mich ist es aber neu, dass Betrüger E-Mails an t-online.de Nutzer schicken und die Phishing-Seite auf dem t-online.de Server gehostet ist.

Der Link zum Anmelden führt also nicht wie gewohnt zu „t-online.konto-verifizieren. 1893nds9qa . com“ - was ja deutlich NICHT die richtige Domain wäre - sondern zu
https:// wfgg0y34d. homepage . t-online. de /ken/auf/pas/Ihre/hke/nzu/ehe/and/[email protected]

3 Like

Die Ströer-Gruppe hat diese Seite jetzt vom Netz genommen.

1 Like

Aber warum sollte der Tonnleinserver irgendwie sicherer sein als irgendein anderer Server? Da würde ich ja niemals nie drauf vertrauen.

Als T-Online-Kunde würdest du, wenn man dich zum „Aktualisieren von Daten“ auffordert, einen Link zu „phishingwebsite.xxx“ suspekt finden. Wenn dich der Link aber zu einer Seite auf „t-online.de“ führt, dann fehlt dieses sichere Merkmal zum Erkennen von Webfälschungen.
Ich sage den Leuten ja immer „Schau dir an, was das für ein Link ist, fahre mit der Maus über den Link und schau dir das echte Ziel an. Wenn das nicht auf eine URL des Mailanbieters führt, dann kann das nicht richtig sein.“
(Der erste Hinweis ist natürlich der, dass man E-Mails mit radebrechendem Deutsch und einer Anrede „sehr geehrter Nutzer“ gar nicht erst ernst nehmen darf.)

Jetzt bekam aber Max Mustermann auf max-mustermann @ t-online.de eine E-Mail mit der Anrede „Sehr geehrter Herr Max Mustermann“ (nicht schwer zu erraten, vermutlich wirst du solche Namen/E-Mail-Adress Kombinationen auch irgendwie beschaffen können) und dem Hinweis auf möglichen Missbrauch, der Link führte zu (…).t-online.de/(…).

Dass ein E-Mail-Anbieter die Phishing-Webseite unter seiner eigenen Domain verfügbar macht war mir neu.

1 Like

Es gibt auch Sicherheitsmechanismen, die prüfen, ob z.B. die URL im angezeigten Text auch zu der URL in dem Link dahinter passt. Auch die werden durch sowas in die Irre geführt.

Allgemein darf man sich fragen, wie viele Leute da wirklich drauf klicken. Das sind ja nur Leute, die schon geködert wurden. Demnach fällt die Webseite auch kaum durch hohen traffic auf, bzw. wenn sie irgendwann mal gemeldet und geschlossen wird, hat sie ihren Zweck bereits erfüllt.

Interessant ist, ob die Mails auch vom t-online-Server kommen, denn wenn von so einem Account tausende Mails verschickt werden, fällt das schon schnell auf.

Das möchte ich unterstreichen, aber womöglich wissen viele Menschen nicht, was damit gemeint ist.

Ich kann ja einen beliebigen Text als Link definieren, auch eine URL (Web-Adresse) kann Text sein, z.B. https://t-online.de

In den nächsten Tagen wird man sehen, wieviele Leute im Telekom-Forum „Ich wurde gehackt!“ schreiben.

Jaaaa, dass die Leute alle Nase lang schreien, dass sie gehackt wurden, ist klar.

Ich meine damit, dass die Betrüger 100 Millionen Mails raus schicken. Da das nicht über diesen Account geht, fällt das der Telekom nicht auf. Und wenn nur 100 Leute da drauf klicken, von denen 30 den Braten riechen, haben die Betrüger dennoch direkt 70 brauchbare Datensätze, mit denen normalerweise innerhalb von Sekunden irgendwas lukratives gemacht wird.

Da so ein Account dann ganz schnell neu auf gemacht werden kann, geht das Spiel von vorne los.

Jetzt ist die Frage, wie lang es dauert, bis die Seite dicht gemacht wird, und damit, wie lange man Daten abgreifen kann. Was automatisches gibt es vermutlich nicht, es braucht erst irgendwen, der sich beschwert. Im Ernst, ich habe besseres zu tun, als jedes mal was zu unternehmen, wenn ich ne Phishing-Mail bekomme. Vermutlich wird er erste, der sich betrogen fühlt, sich irgendwo melden, und dann wird die Seite dicht gemacht. Wie lange dauert das? Ich mein, ein paar Tage reichen den Betrügern ja.

Wenige Stunden nach der ersten Meldung - was natürlich viel zu spät ist.

Hast du eventuell Thunderbird als E-Mail-Client?
Dann reicht ein Rechtsklick auf den bösen Link, anschließend „Betrugsversuch melden“ anklicken.
Du kommst auf
https://safebrowsing.google.com/safebrowsing/report_phish/
Da ist dann schon die URL ausgefüllt.
Ein Klick auf „ich bin kein Roboter“, ein zweiter auf „Bericht übermitteln“.
Es dauert dann insgesamt vier Klicks zur Meldung.

Firefox bedient sich der Google-Liste und zeigt dir beim Versuch des Aufrufs eine fette, rote Warnmeldung an.

Wie schnell Google diese Links in die Liste aufnimmt, weiß ich nicht. Prüft da noch ein Mensch oder wird bei genügend Meldenden automatisch reagiert?

Bei Google Diensten prüft eher niemand irgendwas nach. Das geht sicher über irgendwelche Schwellen wie Meldungen/h