Vorsicht vor Phishing-Attacke auf Ionos-Kunden

Inhaltsverzeichnis

Mit perfiden Phishing-Mails versuchen Cyberganoven aktuell, Kunden des deutschen Hosters Ionos zu ködern. Die uns vorliegende Mail gibt vor, der Empfänger müsse umgehend die Verbindungseinstellungen seines Mailclients umstellen, um weiterhin auf sein Postfach zugreifen zu können.

Das kann tatsächlich nötig sein, weil das Unternehmen gerade den unverschlüsselten Mailzugriff abschaltet und die veralteten Verschlüsselungsprotokolle TLS 1.0 und TLS 1.1 ausmustert. Die Angreifer nutzen die Verunsicherung, um Zugangsdaten der Ionos-Kunden abzuphishen.

Die Mail ist wie folgt aufgebaut:

Betreff: Letzte Erinnerung: Passen Sie Ihren E-Mail-Zugriff auf aktuelle Sicherheitsstandards an

zum Schutz Ihrer E-Mail-Kommunikation werden wir sowohl den unverschlüsselten Zugriff auf unsere E-Mail-Server (IMAP, POP3 und SMTP) als auch den Zugriff über die veralteten Verschlüsselungsprotokolle TLS 1.0 und TLS 1.1 deaktivieren. Wir nehmen diese Abschaltung zwischen dem 25.04.2023 und 16.05.2023 vor.

Sie greifen noch auf folgende E-Mail-Postfächer unverschlüsselt zu: [E-Mail-Adresse des Empfängers]

Zur Aktivierung müssen Sie den Anhang herunterladen und den Anweisungen folgen.

Stellen Sie bitte bis zum 08.05.2023 sicher, dass in Ihren Geräten oder Programmen die Verschlüsselung (SSL/TLS) aktiviert ist und diese TLS 1.2 oder höher unterstützen

HTML-Datei im Anhang

Die Mail zielt darauf ab, dass der Empfänger den Anhang öffnet, in dem sich vermeintlich die Anweisungen zur Konfiguration des Mailclients befinden. Es handelt sich dabei um eine HTML-Datei, die auf den ersten Blick einen seriösen Eindruck macht. Auch der Quelltext wirkt erst einmal unverdächtig, eingebettete CSS-Dateien werden direkt von Ionos-Domains wie mail.ionos.de und frontend-services.ionos.com nachgeladen.

Verdächtig ist jedoch, dass die Datei nicht die versprochenen Konfigurationsanweisungen enthält, sondern ein Log-in-Formular, das zur Webmail-Anwendung des Unternehmens gehören soll. Tippt man hier seine Zugangsdaten ein und schickt das Formular ab, landet man auf einer echten Ionos-Seite, die tatsächlich Informationen über die Deaktivierung des unverschlüsselten E-Mail-Zugangs bereithält.

Domains aus Panama

Was dabei wirklich passiert, zeigt ein Blick in die Entwicklertools des Browsers: Die eingetippten Zugangsdaten werden zunächst über einen POST-Request an businessmail-ionos.net geschickt, von dort erfolgt die Weiterleitung auf die Zielseite bei Ionos. Eine Recherche von heise Security zeigte allerdings, dass die Domain businessmail-ionos.net gar nicht zu Ionos gehört.

Unter businessmail-ionos.net antwortet die IP-Adresse 190.123.44.203, die zu dem Offshore-Hoster Panamaserver gehört. Unter derselben IP sind offenbar auch noch die Phishing-Domains mail-ionos.info, email-ionosde.su, webmail-all-ink.info und all-ink.info aktiv.

Ein erneuter Blick in den HTML-Quellcode des Anhangs bestätigte den Verdacht, dass hier etwas faul ist: Der Quellcode ist zwar gut lesbar, aber ausgerechnet der Part mit dem Eingabeformular ist stark verschleiert. Aus diesem Grund findet sich auch die oben genannte Domain, an die das Formular die eingegebenen Zugangsdaten schickt, nicht im Klartext in der Datei.

Ungesehen löschen

Wer eine solche Mail mit Anhang erhalten hat, sollte sie am besten ungesehen löschen. Wer bereits darauf reingefallen ist, sollte umgehend seine Zugangsdaten bei Ionos ändern. Ungefährliche Informationen über die Abschaltung des unverschlüsselten Mailzugriffs finden Sie direkt bei Ionos. Wie Sie Phishing-Mails erfolgreich als solche erkennen und abwehren, erfahren Sie in diesem c't-Artikel.

(rei)