Sehr merkwürdige / professionelle Phishing-Mail

[Falc410]

Ich habe angeblich Microsoft 365 Business Premium für 700$ heute bestellt. Was mich etwas irritiert, ist wie gut die Mail gemacht ist. Ich kann nichts entdecken was auf Phishing hindeutet. E-Mailheader sieht clean aus, alle Links werden allerdings mit Hilfe von CSS über nam.safelink.emails.azure.net geleitet und dann redirect - auch zu offiziellen Microsoft Seiten.

Was mich etwas irritiert ist, dass wenn man versucht bei admin.microsoft.com anzumelden, ich gar kein Passwort eingeben muss, sondern direkt nach Eingabe der E-Mail, mir eine Push Nachricht zum Authenticator geschickt wird. Ich habe die Domain auch einmal manuell aufgerufen und bin auch über Google direkt zum M365 Admin Center gewechselt, dort kommt dann aber sofort bei einem Loginversuch, dass er meine Domain nicht kennt (also wirklich nur meine Domain nicht die komplette E-Mail). Die E-Mail an die die Mail geschickt worden ist, hat auch einen MS Account.

Also ich bin mir ziemlich sicher, dass es Phishing ist, aber wieso finde ich dann keine Hinweise darauf? Und wieso wird tatsächlich an MS verlinkt. Wobei in dem redirect auch Variablen / Tokens enthalten sind, aber nichts was wie Javascript aussieht. Vielleicht hat ja noch jemand eine Idee. Meine E-Mailadresse habe ich im Header entfernt und durch xxx@mail.com ersetzt.

Kann jemand etwas entdecken was auf Phishing hindeutet? Mal davon abgesehen, dass keine Anrede etc. vorhanden ist.

Weil der HTML Code zu lang ist für das Forum, habe ich es bei Pastebin abgelegt: https://pastebin.com/xzPS9Gja

 

[wern001]

müsste die Mail nicht von microsoft.com kommen?

 

[Restart001]

Kann jemand etwas entdecken was auf Phishing hindeutet?

Ich sehe so da nichts..kontrolliere in den nächsten Tagen deine Zahlungskontos, Einzug einfach rückgängig machen, sollte doch möglich sein.

 

[Firefly1981]

Ist doch ganz einfach, wenn ich's richtig verstehe. Da steht doch du kannst deine Subskription in deinen MS Admin Center verwalten.
Ohne jetzt zu wissen wie es aussieht, geh doch mal in deinen echten MS Account und Guck da mal was du alles "bestellt" hast.
Wenn da was mit deinem Account verbunden ist musst du dass irgendwo sehen können.

Wenn da nichts steht sollte es def Span sein .

 

[K3ks]

Question's ?

Das ist kein richtiges Englisch...

1-(801) 584-5504

Ist das eine MS-Nummer? Ich denke nicht. 🤷 ^^

E: Was ich machen würde: Nichts, solange kein Geld abfließt würde ich die Sache ignorieren. 🤷

 

[Fatal3ty]

Log doch einfach dein Microsoft Account ein und schau die Kaufverlauf an, ist es was nichts merkwürdiges zu sehen, dann deutet es auf einem Pishing Mail an. Und dein Bankkonto immer überprüfen

Wichtig: manuell einloggen, niemals vom Link wie Email anklicken!!

 

[K3ks]

Wichtig: manuell einloggen, niemals vom Link wie Email anklicken!!

tl;dr: Dies!

 

[4nanai]

Wüsst nicht, dass Microsoft Mails von onmicrosoft.com Domains kommen. Das sind User-Accounts, wenn man sich mal bei Microsoft 365 angemeldet hat.

 

[Rickmer]

Was mich etwas irritiert, ist wie gut die Mail gemacht ist. Ich kann nichts entdecken was auf Phishing hindeutet.

Das sieht für dich nicht verdächtig aus?
Ob die Nummer plausibel sein kann müsstest du auch mal nachschauen.

Außderdem ist der Preis für M365 Business Premium viiiiiiiiiiiiel zu teuer.

E-Mailheader sieht clean aus

SPF und DKIM durchgefallen ist für dich clean?
[Edit: Bin mir nicht 100% sicher, das ist ziemlich undurchsichtig -_- ]

Außerdem ist gefühlt 20-tausend Hops durch die Azure Architektur an sich schon verdächtig weil ungewöhnlich

CollinsandObrienLLC.onmicrosoft.com als returnpath passt auch überhaupt nicht zu 'ner offiziellen Rechnung

 

[Alexander2]

dis da?
onmicrosoft.com
eine verfälschung des Servernamen? den gibts doch so möglicherweise nicht von microsoft?

edit:
demnach ist das wohl nen Microsoft Server
https://www.whois.com/whois/onmicrosoft.com

 

[TigerNationDE]

Egal wie professionell sie sind, es geht nur um den Klick den du für diese Leute hoffentlich auf den blauen Kasten machst

Und viele mit weniger Ahnung wie wir hier, klicken aus Panik oft schon drauf.

Ich kann die hunderte davon am Tag schicken. Egal ob von MS, Bitdefender, Kaspersky, Google oder oder. Die Dinger werden immer besser. Deswegen tu ich mich heute auch echt schwer noch Leuten die so kaum Ahnung von PCs und so haben zu sagen das sie selbst schuld sind.

Es ist eigentlich echt traurig das seit Jahren nichts dagegen getan wird, eher im Gegenteil. Der kleine Mann/die kleine Frau muss sich mit jeglichem Datenschutz rumärgern, und kriminelle machen einfach was sie wollen.

 

[Falc410]

Ich kenne mich bei Microsoft gar nicht aus leider. Bei Paypal etc kann ich mich einfach einloggen aber bei Microsoft ist mir nicht bekannt dass es da eine zentrale Übersicht gibt weil die gefühlt 20 verschiedene Portale haben. Alleine bis ich meine Gamepass Subscription finde dauert. Office hatte ich noch nie, daher auch keine Ahnung ob es noch andere Portale gibt außer das von mir genannte. Und dort komme ich ja nicht rein.

Aber der Hinweis mit onmicrosoft ist gut. Das kam mir auch spanisch vor, ebenso die bounce Adresse. Aber laut virustotal alles harmlos

 

[TigerNationDE]

Ich kenne mich bei Microsoft gar nicht aus leider. Bei Paypal etc kann ich mich einfach einloggen aber bei Microsoft ist mir nicht bekannt dass es da eine zentrale Übersicht gibt weil die gefühlt 20 verschiedene Portale haben.

Kann sein, aber du siehst ALLES was du von MS hast in deinem Microsoft com Konto wenn du dich einloggst. Alle Abos etc.. Egal ob XBox, Office, etc.

 

[Falc410]

Egal wie professionell sie sind, es geht nur um den Klick den du für diese Leute hoffentlich auf den blaien Kasten macchs

Ja und den hab ich mir eben auch genauer angeschaut. Auch dort ist nichts verdächtiges zu finden. Er redirected tatsächlich auf das MS Portal. Die Parameter sind zwar merkwürdig aber sieht nicht so aus als ob hier ein iframe oder JavaScript eingebettet wird. Die Domain ist ebenfalls valide und leitet an den Microsoft Login weiter. Also alles legitim. Das wundert mich ja so

 

[TigerNationDE]

Ja und den hab ich mir eben auch genauer angeschaut. Auch dort ist nichts verdächtiges zu finden. Er redirected tatsächlich auf das MS Portal.

Können sie ja sogar, sie müssen ja nur nen Keylogger zwischenschalten.

 

[Fatal3ty]

Wenn dein Paypal oder dein Bank nicht abgebucht wurde, sind doch alles in Ordnung. Was ich auch verdächtig finde sind die US Dollar. Du wohnst ja nicht in USA. Wenn ich etwas von Microsoft bestelle, wird nur KR angezeigt, da ich Norwegen wohne

Für mich sind da 100% Pishing Mail

 

[Falc410]

SPF und DKIM durchgefallen ist für dich clean?
Außerdem ist gefühlt 20-tausend Hops durch die Azure Architektur an sich schon verdächtig weil ungewöhnlich

Der erste Teil stimme ich dir zu aber das MS selbst durch Azure geht, finde ich jetzt nicht ungewöhnlich. Die bounce / return Adresse aber eindeutig. Hatte ich ja auch geschrieben.

Aber wie gesagt, wenn es phishing ist, ist mir halt nicht klar wie die etwas abgreifen wollen wenn die wirklich auf Microsoft verweisen. Siehe link in der Mail, bzw. Zum css Code gehen. Die Klassen sind auch merkwürdig aber ok.

 

[TigerNationDE]

Was ich auch verdächtig finde sind die US Dollar. Du wohnst ja nicht in USA

Das mag für dich und einige andere ungewöhnlich sein, aber ich z.B. mache viele Transaktionen auch in USD. Von daher würde mir das aufgrund dessen nun auch nicht direkt auffallen ^^

 

[Rickmer]

Falls für jemanden relevant / interessant, hier ein Beispielheader einer legitimen Microsoft Mail:

Received: from AS1P251MB0703.EURP251.PROD.OUTLOOK.COM (2603:10a6:20b:4a3::13)
 by DU0P251MB1010.EURP251.PROD.OUTLOOK.COM with HTTPS; Mon, 16 Sep 2024
 14:13:32 +0000
Received: from SJ0PR03CA0080.namprd03.prod.outlook.com (2603:10b6:a03:331::25)
 by AS1P251MB0703.EURP251.PROD.OUTLOOK.COM (2603:10a6:20b:4a3::13) with
 Microsoft SMTP Server (version=TLS1_2,
 cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.7962.23; Mon, 16 Sep
 2024 14:13:29 +0000
Received: from SJ1PEPF000023D9.namprd21.prod.outlook.com
 (2603:10b6:a03:331:cafe::5a) by SJ0PR03CA0080.outlook.office365.com
 (2603:10b6:a03:331::25) with Microsoft SMTP Server (version=TLS1_2,
 cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.7939.30 via Frontend
 Transport; Mon, 16 Sep 2024 14:13:29 +0000
Authentication-Results: spf=pass (sender IP is 20.118.139.209)
 smtp.mailfrom=microsoft.com; dkim=pass (signature was verified)
 header.d=microsoft.com;dmarc=pass action=none
 header.from=microsoft.com;compauth=pass reason=100
Received-SPF: Pass (protection.outlook.com: domain of microsoft.com designates
 20.118.139.209 as permitted sender) receiver=protection.outlook.com;
 client-ip=20.118.139.209; helo=mail-nam-cu05-usw3.westus3.cloudapp.azure.com;
 pr=C
Received: from mail-nam-cu05-usw3.westus3.cloudapp.azure.com (20.118.139.209)
 by SJ1PEPF000023D9.mail.protection.outlook.com (10.167.244.74) with Microsoft
 SMTP Server (version=TLS1_3, cipher=TLS_AES_256_GCM_SHA384) id 15.20.8005.1
 via Frontend Transport; Mon, 16 Sep 2024 14:13:29 +0000
X-IncomingTopHeaderMarker:
 OriginalChecksum:7188D952675A73C71F0448902A55D64B4AC7A579B522F3E5D5BAEABEEC9E05EB;UpperCasedChecksum:37E7E854A79DC217660DD2B29BB21470EF7A6568AF4D2AAFDACAA173007CBF4C;SizeAsReceived:902;Count:8
DKIM-Signature: v=1; a=rsa-sha256; d=microsoft.com; s=s1024-meo;
    c=relaxed/relaxed; i=microsoft-noreply@microsoft.com; t=1726496009;
    h=from:subject:date:message-id:to:mime-version:content-type;
    bh=dtLdg0hSMZxUth/RoG67ykPMIiuFow2BJ5hX5GVyDdk=;
    b=LJg1AiMQ9N0Z9wLf6SlF9vff+2WLUHfRkhddxhdtwQc3InFdkwqZx2ApnXhI2Hfmw7bVDVphamq
    gG38QzHed39Jr6CP1ZB4HFnIos71J2wQ/xzL6tK0GtswkLeb6NjG4phG5motayIUIWDtTfxYuM2dw
    X84CwKuDO4Gt1AL7qVA=
From: Microsoft <microsoft-noreply@microsoft.com>
Date: Mon, 16 Sep 2024 14:13:29 +0000
Subject: Herzlichen =?utf-8?q?Gl=C3=BCckwunsch!?= Sie haben Ihre Microsoft 365
 Certified: Teams Administrator Associate-Zertifizierung erfolgreich
 =?utf-8?b?dmVybMOkbmdlcnQ=?=
Message-Id: <76b3df65-8b40-4bd2-aaa7-ead8ef146c2d@az.westus3.microsoft.com>
To: someone@live.com
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="=-LumkAgmiQIFhJ4piQFTtig=="
X-IncomingHeaderCount: 8
Return-Path: azure-noreply@microsoft.com
X-MS-Exchange-Organization-ExpirationStartTime: 16 Sep 2024 14:13:29.4547
 (UTC)
X-MS-Exchange-Organization-ExpirationStartTimeReason: OriginalSubmit
X-MS-Exchange-Organization-ExpirationInterval: 1:00:00:00.0000000
X-MS-Exchange-Organization-ExpirationIntervalReason: OriginalSubmit
X-MS-Exchange-Organization-Network-Message-Id:
 09b4fa86-6323-4e7b-adbc-08dcd659bd34
X-EOPAttributedMessage: 0
X-EOPTenantAttributedMessage: 84df9e7f-e9f6-40af-b435-aaaaaaaaaaaa:0
X-MS-Exchange-Organization-MessageDirectionality: Incoming
X-MS-PublicTrafficType: Email
X-MS-TrafficTypeDiagnostic:
 SJ1PEPF000023D9:EE_|AS1P251MB0703:EE_|DU0P251MB1010:EE_
X-MS-Exchange-Organization-AuthSource:
 SJ1PEPF000023D9.namprd21.prod.outlook.com
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-UserLastLogonTime: 9/16/2024 1:29:24 PM
X-MS-Office365-Filtering-Correlation-Id: 09b4fa86-6323-4e7b-adbc-08dcd659bd34
X-MS-Exchange-EOPDirect: true
X-Sender-IP: 20.118.139.209
X-SID-PRA: MICROSOFT-NOREPLY@MICROSOFT.COM
X-SID-Result: PASS
X-MS-Exchange-Organization-SCL: 1
X-Microsoft-Antispam:
 BCL:3;ARA:1444111002|461199028|1680799051|68400799013|9000799047|10300799029|9400799024|56899033|1360799030|1370799030|1380799030|1290799027|4302099013|3412199025|440099028|1602099012;
X-MS-Exchange-CrossTenant-OriginalArrivalTime: 16 Sep 2024 14:13:29.3453
 (UTC)
X-MS-Exchange-CrossTenant-Network-Message-Id: 09b4fa86-6323-4e7b-adbc-08dcd659bd34
X-MS-Exchange-CrossTenant-Id: 84df9e7f-e9f6-40af-b435-aaaaaaaaaaaa
X-MS-Exchange-CrossTenant-AuthSource:
 SJ1PEPF000023D9.namprd21.prod.outlook.com
X-MS-Exchange-CrossTenant-AuthAs: Anonymous
X-MS-Exchange-CrossTenant-FromEntityHeader: Internet
X-MS-Exchange-CrossTenant-RMS-PersistedConsumerOrg:
 00000000-0000-0000-0000-000000000000
X-MS-Exchange-Transport-CrossTenantHeadersStamped: AS1P251MB0703
X-MS-Exchange-Transport-EndToEndLatency: 00:00:02.9448668
X-MS-Exchange-Processed-By-BccFoldering: 15.20.7962.017
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MTtHRD0xO1NDTD0z
X-Microsoft-Antispam-Mailbox-Delivery:
    ucf:0;jmr:0;ex:0;auth:1;dest:I;ENG:(5062000308)(920221119095)(90000117)(920221120095)(90012020)(91020020)(91040095)(9050020)(9100341)(944500132)(4810010)(4910033)(9575002)(10195002)(9320005)(120001);
X-Microsoft-Antispam-Message-Info:
    =?us-ascii?Q?/B8vUHABoh5r3LJsa/WjYz4EsjagRoZO9yTOAVFWbvASC7Jb550z2/Sqr7+r?=
 =?us-ascii?Q?nk3vcXU+nC/28umDS6N4P45Ef1Pn9kd+5q49SNjAz39eH57JXnrDfDFp+odR?=
 =?us-ascii?Q?llDlJ437+2derLk4XXTg7QDkZnd8bLLHXOu3/RuY6X7FlEreW05j92M6e0nO?=
 =?us-ascii?Q?SPYEpv9bUqSU5bQSoLw4Z9ztGGCZ/rak0CT8EVLCyWqMjR+AIjd121tTvdNM?=
 =?us-ascii?Q?ABX1le/8mtcUaLEDXNNk8sP+1eWwyyjrhO2bjiswzBlUklTdCTGmI7UFFR3E?=
 =?us-ascii?Q?0YI2gmIk2tTLJzLyO6RxLRcSMDUMiMDVLxBdmtBCyV6a+GOOiDiYo/2+JLZZ?=
 =?us-ascii?Q?Y716xkW2WNujHlspvadz5XqTXgu3IkTUfVkw4N20n+jCJl9gBhkHB4zBCajw?=
 =?us-ascii?Q?7RhTRHRd+HzBT0FHyvIlsYFwqFrrPtHpPxVXo6HH02JU+dgeSg1g9GpeHJUN?=
 =?us-ascii?Q?z0n3pAA40qOGdiPtFcT/rVByHcsdoAre09KWTJEekJk32Nk1LpUEr0f4LxVw?=
 =?us-ascii?Q?MmNT1VFHiryQ1EMl59yx3A0lOswcEEwfK4q/WtHgzUuZMBXFehjISbl+UZPt?=
 =?us-ascii?Q?W8X2rwg76V4bdjBvwSJQFW/JnjKyQ9xp9rLlOv1sfM3RiwrCaTd4jHthPyru?=
 =?us-ascii?Q?jtj4i70EtesQ7it0b+e0n/FylaN4qmEZyJ2zjAc4/KnInNeZB5xrKsloTGhP?=
 =?us-ascii?Q?mTbscdWkWn8cQFdVw1B/VeDH8yIdenKSr3M70YCmWfXLQVe33UnFw7R+1sau?=
 =?us-ascii?Q?Y0a1F43YFuNTUF+GfVTs1mR7NkRHKESXWMEDnbe+0hclVGLQylmIzVNg5hZF?=
 =?us-ascii?Q?XqG6gVF9WoLR8LKWZjJ3AgT2brla3dyGUp7OFHHUzzUvTM4IJfJGdDI3y+Du?=
 =?us-ascii?Q?pPdiFZ7f3oX/StAQqMmTRXwCsHJ5EDYZJ5sf6qU5bI7w4lPW8/IZsWQhH1fU?=
 =?us-ascii?Q?mNWphE+/v8+JsPszJN/PmcOyFgPhkl83wplU9rHPQbpr8bkA9rBsUojDjDnM?=
 =?us-ascii?Q?PUs4a88nJZWMcO4AGLQvtg/GmT76e3TuAuK+vGovkpAPu4AxXPgu47EufO4v?=
 =?us-ascii?Q?whSwsuJ5qFdT1CR2s/SJxUy7FowrlJitVBPUJWc4IMKyGGQx9aam8tpVi+Ho?=
 =?us-ascii?Q?vOpcN0Xp5h00v1YbUX4E9H+diJ4zrALFk67AFWw1a7yhpQS++ZKaUbWIMmvu?=
 =?us-ascii?Q?3LxHMfisW3GhU39ID7f0H++HCnEk9cTGTBXxbh/8pJYpcywKEUV86O37WnKa?=
 =?us-ascii?Q?f9EeSZxsqT5knd9BeFEJbveOOztOoOTa6zY4/hTeVt6ND0WY61AcVCppBwSj?=
 =?us-ascii?Q?Bz5n5Pn2ndUCSJARc94k3shcJk8OalGgZ9TdgKy3wLukJcrFJ0+sIjtpvNBB?=
 =?us-ascii?Q?qBmbk3MwtKWmcxTh3BW77AYP+cy7JdHWMNPb14rpnUkZPAEMpvY0R3eOVX6m?=
 =?us-ascii?Q?h/Dyg974ULzZN7QpElZ31B7SdGRZIxcEFbdg8yJvfAlbx54QA0sDKaibpRRl?=
 =?us-ascii?Q?tX/I6/ZpYR+p7caaKVYrG+VGVLnhfcJfd5oAoc9fI7eU8035Spn9qytuS1DO?=
 =?us-ascii?Q?qWvqoiXRBy4eYWIBY8sT1hpuTjGWG8XoV+gp1eJ85cqFEsNIsivEweJbrXJE?=
 =?us-ascii?Q?6athxZXfDZBbJX3tP/IomuJBAhrlxUUihtH8BKRWGAzLV7tiiDQvqqy2umVJ?=
 =?us-ascii?Q?Vt05g5E09LF8GrgTpFDdaq2T/9KTZJT9LGLu7yp7yNaDMq62wzXM41usMP66?=
 =?us-ascii?Q?osEc7JW9sw/1Jc/NuFFCZHQ5vfjtB5uiR4GYaDGpvm3YZ+G74qf24I0yat4E?=
 =?us-ascii?Q?XcPpUiGpma4eBecXcgpVn0xDvi49T0di2po=3D?=

Ich habe meine private Mail verschleiert, aber ansonsten ist das von der letzten Zertifikatsverlängerung die ich gemacht hatte.

demnach ist das wohl nen Microsoft Server
https://www.whois.com/whois/onmicrosoft.com

Eine onmicrosoft Subdomain bekommt jeder, der bei Microsoft einen Tenant erstellt, das ist erstmal ziemlich einfach...

 

[Alexander2]

Wenns doof läuft könnte es sogar ganz offiziell ne microsoft mail sein, und ne microsoft seite und ... trotzdem greifen es über deren servrer Fremde ab, die haben durchaus auch mal probleme gehackt zu werden in der Vergangenheit gabs da doch so news?

Am ende wäre es einfacher auf dem weg nen passwort abzugreifen nehme ich an anstatt entwas entschlüsseln zu müssen ohne den schlüssel zu haben.

Aber das ist auch nur ne Vermutung, das es möglich wäre, so gut weiß ich am ende nicht darüber bescheid. und warum sich jemand so die mühe machen sollte..
Allerdings wenn es etwas lohnendes gibt hat sich schon oft genug gezeigt, das sehr hohe aufwände getrieben werden. mehr als man erstmal so vermuten würde.