\nIhr Zugang zu hosteurope Cm Service Gmbh ist derzeit gesperrt.\n<\/p><\/blockquote>\n
Diese E-Mail erreichte mich heute und im ersten Schreck denkt man dar\u00fcber nach, was der Grund sein k\u00f6nnte. Hat jemand Schindluder am Server betrieben, irgendwas gehackt?!<\/p>\n
Allerdings ist die Mail dann doch recht schnell als Spam\/Phishing zu erkennen. Der Absender ist eine .ru Adresse und Hosteurope macht auch einfach schickere E-Mails. <\/p>\n
![\"\"](\"\/wp-content\/uploads\/2022\/07\/phishing_1.png\")
<\/p>\n
Dennoch hat mich interessiert, was dahinter steckt. Also die Linux-VM gestartet. <\/p>\n
Im Gegensatz zur E-Mail haben sich die Phisher hier etwas mehr M\u00fche gegeben. Im Browser \u00f6ffnet sich vermeintlich die Hosteurope Webseite, dazu ein Popup mit dem Login zum Control-Panel. Hier hat man sich die M\u00fche gegeben eine falsche Adressleiste mit einzubauen, welche den Eindruck erwecken soll, dass wir uns auf der richtigen Webseite befinden. Das Popup ist kein eigenes Fenster, sondern ein HTML-Element, welches das Fenster imitiert. Im Hintergrund sehen wir die echte URL, lowhost.ru.<\/p>\n
![\"\"](\"\/wp-content\/uploads\/2022\/07\/phishing_2.jpg\")
<\/p>\n
Die Phisher haben sich sogar die M\u00fche geben das Betriebssystem zu erkennen, naja nicht ganz, Linux wird als Windows erkannt, aber \u00e4ndern wir in der URL „windows“ zu „mac“ \u00e4ndert sich das Design.<\/p>\n
![\"\"](\"\/wp-content\/uploads\/2022\/07\/phishing_3.jpg\")
<\/p>\n
Verarbeitet werden die Daten dann von einem PHP-Script. Das d\u00fcrfte dazu dienen, die Zugangsdaten einzusammeln. Was passiert, wenn wir hier die echten Zugangsdaten eingeben, wollen wir besser nicht herausfinden. Allerdings kann hier einiges an Schaden passieren, da die Phisher damit nicht nur Zugriff auf die Webseiten haben und dort Malware ausliefern k\u00f6nnen, sondern auch Zugriff auf Mail-Accounts.<\/p>\n
![\"\"](\"\/wp-content\/uploads\/2022\/07\/phishing_4.png\")
<\/p>","protected":false},"excerpt":{"rendered":"
Aktuell sind mal wieder Mails unterwegs, welche behaupten der Hosteurope Zugang seit gesperrt.<\/p>\n","protected":false},"author":1,"featured_media":63,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","_links_to":"","_links_to_target":""},"categories":[591],"tags":[],"class_list":["post-2798","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security"],"_links":{"self":[{"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/posts\/2798","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/comments?post=2798"}],"version-history":[{"count":0,"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/posts\/2798\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/media\/63"}],"wp:attachment":[{"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/media?parent=2798"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/categories?post=2798"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/tags?post=2798"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}