Ransomware/Cryptolocker-Mail im Namen der A1 Telekom Austria

Bis Dato konnte man an Hand des Mailsabsenders auch als Leihe einigermaßen einfach erkennen, ob ein Mail unseriös war oder nicht. Aber heute Nacht haben wir eines mit Absender der A1 Telekom Austria erhalten, bei dem es schon wieder ein Wenig schwieriger geworden ist...

Wie man hier im Bildbeispiel erkennen kann, stimmt sowohl die Bezeichnung "A1 Telekom Austria" als auch die Mailadresse "no_reply@a1.net" absolut zusammen. Somit muss man bei diesem Beispiel schon genauer hinschauen und logisch mitdenken. Warum ist dieses Mail definitiv auch wieder gefährlich:

  1. Die Zeilenabstände sind viel zu groß: Die A1 Newsabteilung würde niemals so ein schlecht gemachtes Mail verschicken.
  2. Fährt man mit dem Cursor vorsichtig über den Textlink "Weiter zum Update" wird das Ziel angezeigt: "http://www.a1.net.appsecure57694.cc/XX-mXbXlfXnk/" (wir haben dies sicherheitshalber ganz leicht verändert) sieht auf die schnelle auch sehr nach A1 aus. Aber das Entscheidende ist nicht der erste Teil der URL, sondern der hintere "appsecure57694.cc". Diese URL hat definitiv nichts mit der A1 zu tun.
  3. Es gibt keine rechtsgültige Mailsignatur oder kein Mailimpressum. Die A1 Newsabteilung (als auch die meisten anderen professionell agierenden Firmen) verschicken ihre Mails immer gesetzeskonform, und fehlt diese Information, kann etwas nicht stimmen.
  4. Wer noch tiefer graben möchte, öffnet das Mail mit Outlook und klickt dann auf "Datei - Eigenschaften" und findet im nächsten Fenster dann den Mailheader oder auf Deutsch die "Internetkopfzeilen" vor. Betrachtet man diesen genauer, findet man "Received: from localhost (unknown [46.101.228.245]) (Authenticated sender: pagew001@hawaiiantel.net) by omf01.b.hostedemail.com (Postfix) with ESMTPA", und der Absender "pagew001@hawaiiantel.net" ist definitiv nicht die A1.

Also man muss noch genauer schauen und sich mehr Gedanken machen bevor man etwas öffnet - oder einfach den IT-Betreuer fragen ob man den Link öffnen sollte oder nicht...

Übrigens CryptoLocker-Stand: 25 Verschlüsselte Kundensysteme seit Beginn Mitte Oktober 2015 :-/

Zurück