Phishing Mails–Nachverfolgung immer schwerer

Ziel ist es an diverse Zugangsdaten zu gelangen

Eine kurze Analyse einer Phishing E-Mailnachricht zeigt wie raffiniert u.a. auch verfügbare Internetdienste zur Tarnung verwendet werden.

Hier zum Beispiel eine E-Mailnachricht zur Aufforderung zur Eingabe von Zugangsdaten:

Was in dem Fall auffällig erscheint, ist die untenstehende Internetadresse die nicht zu dem vermeintlichen Absender passt. Das sollte und in diesem Fall gleich misstrauisch stimmen.

Wir wollen uns aber die hier enthaltene Internetadresse einmal genauer anschauen.

Eine Analyse der Domain zeigt uns folgende Daten die bei der Registrierung angegeben wurden.

Hier erkennen wir einen Inhaber und Verantwortlichen aus Deutschland. Was wir nicht genau wissen, ob es sich dabei um einen echten Namen oder um eine gestohlene Identität handelt.

IP Adresse

Jetzt suchen wir uns die IP Adresse der Internetadresse - also der Adresse die auf den Domainnamen verweist - heraus.

Das Ergebnis zeigt uns eine Adresse von einem Anbieter für spezielle Internetservices.

Wenn wir in dem Fall die Internetadresse in unserem Webbrowser aufrufen, werden wir zu dieser IP Adresse geleitet (geroutet).Von hier aus werden wir dann wahrscheinlich weiter zu der eigentlichen Webseite geroutet, die sich hinter diesem Service verstecken könnte (Proxy). Nach "Außen" wäre immer nur die IP Adresse des Internetservices sichtbar.

Fazit:

Auf den ersten Blick sieht es optisch nach einer normalen registrierten Domain von einem deutschen Inhaber aus.

Beim Aufruf der Internetadresse scheint es so zu sein, dass sich die eigentliche Webseite (Webserver) mit Hilfe eines Internetservices tarnt. Damit wäre eine direkte Nachverfolgung nicht mehr ohne weiteres möglich. Der eigentliche Webserver könnte irgendwo auf der Welt stehen und wir wüssten nicht wo wir unsere Daten wirklich eingegeben hätten.