Böse Hacker am Werk

Bitte keine Links in unbekannten E-Mails anklicken - STRATO warnt vor Phishing-Mails - Google verweist auf gehackte Webseiten

Weltweit werden jedes Jahr Tausende von Webseiten gehackt, weil User unbekannte Links in E-Mails anklicken – Grafik: HypnoArt/pixabay CC0 Public Domain

Zurzeit kann man zahlreiche Hackerangriffe auf Webseiten beobachten. Google weist in Suchmaschine auf gehackte Domains hin. STRATO warnt vor Phishing-Mails. Jetzt bloß keine Links in unbekannten E-Mails anklicken!

Wir erhielten gestern eine E-Mail, die den Anschein erwecken soll, dass der Provider / Webseitenanbieter STRATO diese verschickt haben soll. Der Absender weist die bekannte Mailadresse „Strato AG <service@strato.de>“ aus. Auch ein STRATO-Logo wurde eingefügt. Doch diese E-Mail ist alles andere als harmlos, wie sich nach unserer Recherche herausstellte.

Erster Hinweis: Der Text wurde – für STRATO unüblich, wenn sie an Kunden in Deutschland schreiben – in englischer Sprache verfasst. Im Betreff findet sich der Hinweis „Check WHOIS Data of Your Domain(s), your response is required [Ticket AB326395929]“. Der Absender fordert also dazu auf, seine Domaindaten zu überprüfen. Dann folgt folgender E-Mail-Text:

Mit der vermeintlichen Warnung macht der Absender darauf aufmerksam, dass, sollte man nicht auf den Link „Customer Service Area“ klicken und seine Daten überprüfen, nach 5 Tagen die Domain auf „hold“ gesetzt würde, was bedeute, dass sie nicht mehr bzw. nicht regelmäßig nutzbar wäre.

Was im Widerspruch zu dem folgenden Satz steht: „If your data is correct, you will not have to do anything“ (Dt.: Sind Ihre Daten korrekt, brauchen Sie nichts zu tun). Der Absender will also Verwirrung stiften und Panik verbreiten, damit man ja auf den oben genannten Link klickt, denn die wertvollen Daten könnten ja bei STRATO nicht mehr aktuell sein, oder?!

Nichts da. Bloß nicht auf den Link in der E-Mail klicken! Es handelt sich um Spam bzw. Junk – also einen Link, der Schaden anrichtet.

Dass dem so ist, zeigte a) ein Blick auf die STRATO Login-Seite, wo gestern Abend wegen Wartungsarbeiten kein Login möglich war, und b) auf der Twitter-Seite von STRATO, wo aktuell vor Phishing-Mails gewarnt wird.

Wer dahinterstecken könnte, haben wir recherchiert:

Wir öffneten den Quelltext der E-Mail und fanden hinter der besagten STRATO-Service-Adresse die E-Mail-Adresse „info002@granangularfoto.com“. Die E-Mail kann also nicht vom Provider STRATO verschickt worden sein.

Sucht man bei Google nach der Domain „granangularfoto.com“, findet man – neben Angaben zur einer tatsächlich existierenden Firma aus Valencia, Spanien – unter anderem auch den Sucheintrag „(Firma) | Hacked By darkshadow-tn – (…) Cerezo“.

Wie der Sucheintrag schon sagt: Diese Webseite (Firma) wurde gehackt – und zwar von einem bzw. einer Unbekannten namens „darkshadow-tn“.

Der Zusatz „(…) Cerezo“ lässt zwar vermuten, dass der/die Gesuchte sich in einer Gemeinde in der spanischen Provinz Cáceres (Region Extremadura, an Portugal grenzend), aufhalten könnte. Doch das trifft wahrscheinlich nicht zu. Denn man findet zahlreiche Einträge bei Google mit dem Hinweis „Hacked By darkshadow-tn“ und einem Zusatz, der variiert und entweder auf einen realen Domaininhaber oder einen Ort hinweist.

Doch wer ist diese/r ominöse „darkshadow-tn“ und was macht der/die so den ganzen Tag lang?

Anscheinend gehört Webseiten hacken zu seinem/ihrem Hobby. Ob es sich um eine männliche oder weibliche Person oder gar einen Computer/Roboter handelt, wissen wir nicht. Auf jeden Fall findet man zahlreiche Google-Sucheinträge mit diesem Fantasienamen im Netz.

Zudem findet sich dieser Name im „Zone-h.org“-Verzeichnis wieder, wo Tausende Domains verzeichnet sind, die bereits gehackt wurden. Sage und staune sind allein von „darkshadow-tn“ zurzeit (22. Mai 2015, ca. 22 Uhr) bereits 13.873 Meldungen verzeichnet, davon 3457 Angriffe auf Einzel-IPs und 10.416 „Massenvernichtungen“ auf Webseiten weltweit.

Das ist ja schon mal eine Hausnummer. Aber weit entfernt von der Person oder Maschine, die wir suchen.

Deshalb haben wir noch mal in den Quelltext der E-Mail geschaut und Folgendes gefunden: „(spring.bandsfamily.com [173.208.154.68])“. Es sollte also eine Homepage namens „spring.bandsfamily.com“ existieren mit der zugehörigen IP-Adresse „173.208.154.68“. Tatsächlich findet die Website „ipinfo.io“ genau diese Homepage. Und die ist nicht etwa in Spanien angemeldet, sondern in „Kansas City, 64106, Missouri, United States“ beim Webseiten-Provider „WholeSale Internet, Inc.“, registriert von „arin“. Der Haken an der Sache: Diese Website liegt „brach“ und wurde am 28. Januar 2017 wohl von dem Provider mit Sitz in den USA übernommen. „arin“ wird wahrscheinlich ein/e Mitarbeiter/in dieses Providers sein.

Doch wir geben nicht auf. Über die Website „db-ip.com“ findet man unter der gleichen IP-Adresse und der gleichen Website zum Hinweis „Organization“ den Namen „Anatoly K.“ (Name gekürzt) – ein männlicher russischer Name, der ziemlich oft vorkommt. Hier die passende Person zu finden, die irgendetwas mit der Spam-Mail zu tun haben könnte, ist schwierig.

Wir haben zwar eine Person im Visier, bei der man aufgrund verschiedener Anzeichen (zum Beispiel Social Media Profil mit Maske vor dem Gesicht, gibt sich mit verschiedenen Namen im Internet aus) vermuten könnte, dass es sich um einen Hacker handelt, doch beweisen können wir es nicht. Beispielsweise könnte es sich bei Anatoly K. auch um den Vorbesitzer der Website „spring.bandsfamily.com“ handeln und/oder diese Website könnte ebenfalls gehackt worden sein, also nichts mit unserer Spam-Mail zu tun haben.

Das STRATO-Logo hat der/die Unbekannte sich jedenfalls von der Website Blogpirat.de geklaut, wie man dem Quelltext der E-Mail ebenfalls entnehmen kann.

Wichtig ist: Der Phishing-Link in der E-Mail namens „Customer Service Area“ soll über die STRATO-Login-Seite zu einer fremden Website umgeleitet werden mit einer Menge nackter Frauenbilder und fragwürdigem Textinhalt. Hier besteht vermutlich die Gefahr, dass bei Anklicken des Links in der E-Mail und Aufruf dieser Webseite unter Umständen eine Schadsoftware auf den Computer gespielt wird, die nichts Gutes im Sinn hat.

Tja, die Person oder Maschine hinter der Spam-Mail haben wir (noch) nicht ausfindig machen können, aber Ihnen, liebe Leserinnen und Leser, vielleicht den einen oder anderen Hinweis geben können, worauf man bei eingehenden E-Mails achten sollte, und darstellen können, wie komplex das Thema ist.

Wir können nur immer wieder betonen: Klicken Sie keine Links in E-Mails an, die Ihnen irgendwie merkwürdig vorkommen! Das könnte Ihren Rechner zum Absturz bringen oder noch schlimmer alle Ihre Daten kosten.

Denn seit einiger Zeit werden wieder vermehrt Hackerangriffe festgestellt, die zum Beispiel eine „Erpresser“-Schadsoftware auf den Computer spielen (wie in unserem Bericht von 2015 beschrieben). Wenn es ganz Dicke kommt, sind alle Ihre Daten verloren.

Wer vorsorgen will, dem empfehlen wir regelmäßige Updates des Betriebssystems sowie Backups von Webseiten und Daten Ihrer Rechner und Smartphones. Oder hören Sie einfach auf den E-Mail-Hacker: „If your data is correct, you will not have to do anything.“


Diesen Bericht teilen: