Sehr merkwürdige / professionelle Phishing-Mail

Falc410

Vice Admiral
Registriert
Juni 2006
Beiträge
6.580
Ich habe angeblich Microsoft 365 Business Premium für 700$ heute bestellt. Was mich etwas irritiert, ist wie gut die Mail gemacht ist. Ich kann nichts entdecken was auf Phishing hindeutet. E-Mailheader sieht clean aus, alle Links werden allerdings mit Hilfe von CSS über nam.safelink.emails.azure.net geleitet und dann redirect - auch zu offiziellen Microsoft Seiten.

Was mich etwas irritiert ist, dass wenn man versucht bei admin.microsoft.com anzumelden, ich gar kein Passwort eingeben muss, sondern direkt nach Eingabe der E-Mail, mir eine Push Nachricht zum Authenticator geschickt wird. Ich habe die Domain auch einmal manuell aufgerufen und bin auch über Google direkt zum M365 Admin Center gewechselt, dort kommt dann aber sofort bei einem Loginversuch, dass er meine Domain nicht kennt (also wirklich nur meine Domain nicht die komplette E-Mail). Die E-Mail an die die Mail geschickt worden ist, hat auch einen MS Account.

Also ich bin mir ziemlich sicher, dass es Phishing ist, aber wieso finde ich dann keine Hinweise darauf? Und wieso wird tatsächlich an MS verlinkt. Wobei in dem redirect auch Variablen / Tokens enthalten sind, aber nichts was wie Javascript aussieht. Vielleicht hat ja noch jemand eine Idee. Meine E-Mailadresse habe ich im Header entfernt und durch xxx@mail.com ersetzt.

Kann jemand etwas entdecken was auf Phishing hindeutet? Mal davon abgesehen, dass keine Anrede etc. vorhanden ist.

Screenshot 2024-10-30 at 19.58.49.png


Weil der HTML Code zu lang ist für das Forum, habe ich es bei Pastebin abgelegt: https://pastebin.com/xzPS9Gja
 
müsste die Mail nicht von microsoft.com kommen?
 
Ist doch ganz einfach, wenn ich's richtig verstehe. Da steht doch du kannst deine Subskription in deinen MS Admin Center verwalten.
Ohne jetzt zu wissen wie es aussieht, geh doch mal in deinen echten MS Account und Guck da mal was du alles "bestellt" hast.
Wenn da was mit deinem Account verbunden ist musst du dass irgendwo sehen können.

Wenn da nichts steht sollte es def Span sein .
 
  • Gefällt mir
Reaktionen: Brati23 und JumpingCat
  • Gefällt mir
Reaktionen: gman32 und lazsniper
Log doch einfach dein Microsoft Account ein und schau die Kaufverlauf an, ist es was nichts merkwürdiges zu sehen, dann deutet es auf einem Pishing Mail an. Und dein Bankkonto immer überprüfen :)

Wichtig: manuell einloggen, niemals vom Link wie Email anklicken!!
 
  • Gefällt mir
Reaktionen: kado001 und K3ks
Falc410 schrieb:
Was mich etwas irritiert, ist wie gut die Mail gemacht ist. Ich kann nichts entdecken was auf Phishing hindeutet.
1730315672127.png

Das sieht für dich nicht verdächtig aus?
Ob die Nummer plausibel sein kann müsstest du auch mal nachschauen.

Außderdem ist der Preis für M365 Business Premium viiiiiiiiiiiiel zu teuer.

Falc410 schrieb:
E-Mailheader sieht clean aus
SPF und DKIM durchgefallen ist für dich clean?
[Edit: Bin mir nicht 100% sicher, das ist ziemlich undurchsichtig -_- ]

Außerdem ist gefühlt 20-tausend Hops durch die Azure Architektur an sich schon verdächtig weil ungewöhnlich

CollinsandObrienLLC.onmicrosoft.com als returnpath passt auch überhaupt nicht zu 'ner offiziellen Rechnung
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: gman32, coxon, Androos und 2 andere
Egal wie professionell sie sind, es geht nur um den Klick den du für diese Leute hoffentlich auf den blauen Kasten machst ;)

Und viele mit weniger Ahnung wie wir hier, klicken aus Panik oft schon drauf.

Ich kann die hunderte davon am Tag schicken. Egal ob von MS, Bitdefender, Kaspersky, Google oder oder. Die Dinger werden immer besser. Deswegen tu ich mich heute auch echt schwer noch Leuten die so kaum Ahnung von PCs und so haben zu sagen das sie selbst schuld sind.

Es ist eigentlich echt traurig das seit Jahren nichts dagegen getan wird, eher im Gegenteil. Der kleine Mann/die kleine Frau muss sich mit jeglichem Datenschutz rumärgern, und kriminelle machen einfach was sie wollen.
 
  • Gefällt mir
Reaktionen: gman32, bossbeelze, BeBur und 2 andere
Ich kenne mich bei Microsoft gar nicht aus leider. Bei Paypal etc kann ich mich einfach einloggen aber bei Microsoft ist mir nicht bekannt dass es da eine zentrale Übersicht gibt weil die gefühlt 20 verschiedene Portale haben. Alleine bis ich meine Gamepass Subscription finde dauert. Office hatte ich noch nie, daher auch keine Ahnung ob es noch andere Portale gibt außer das von mir genannte. Und dort komme ich ja nicht rein.

Aber der Hinweis mit onmicrosoft ist gut. Das kam mir auch spanisch vor, ebenso die bounce Adresse. Aber laut virustotal alles harmlos
 
Falc410 schrieb:
Ich kenne mich bei Microsoft gar nicht aus leider. Bei Paypal etc kann ich mich einfach einloggen aber bei Microsoft ist mir nicht bekannt dass es da eine zentrale Übersicht gibt weil die gefühlt 20 verschiedene Portale haben.
Kann sein, aber du siehst ALLES was du von MS hast in deinem Microsoft com Konto wenn du dich einloggst. Alle Abos etc.. Egal ob XBox, Office, etc.
 
TigerNationDE schrieb:
Egal wie professionell sie sind, es geht nur um den Klick den du für diese Leute hoffentlich auf den blaien Kasten macchs
Ja und den hab ich mir eben auch genauer angeschaut. Auch dort ist nichts verdächtiges zu finden. Er redirected tatsächlich auf das MS Portal. Die Parameter sind zwar merkwürdig aber sieht nicht so aus als ob hier ein iframe oder JavaScript eingebettet wird. Die Domain ist ebenfalls valide und leitet an den Microsoft Login weiter. Also alles legitim. Das wundert mich ja so
 
Falc410 schrieb:
Ja und den hab ich mir eben auch genauer angeschaut. Auch dort ist nichts verdächtiges zu finden. Er redirected tatsächlich auf das MS Portal.
Können sie ja sogar, sie müssen ja nur nen Keylogger zwischenschalten.
 
Wenn dein Paypal oder dein Bank nicht abgebucht wurde, sind doch alles in Ordnung. Was ich auch verdächtig finde sind die US Dollar. Du wohnst ja nicht in USA. Wenn ich etwas von Microsoft bestelle, wird nur KR angezeigt, da ich Norwegen wohne :)

Für mich sind da 100% Pishing Mail
 
Rickmer schrieb:
SPF und DKIM durchgefallen ist für dich clean?
Außerdem ist gefühlt 20-tausend Hops durch die Azure Architektur an sich schon verdächtig weil ungewöhnlich
Der erste Teil stimme ich dir zu aber das MS selbst durch Azure geht, finde ich jetzt nicht ungewöhnlich. Die bounce / return Adresse aber eindeutig. Hatte ich ja auch geschrieben.

Aber wie gesagt, wenn es phishing ist, ist mir halt nicht klar wie die etwas abgreifen wollen wenn die wirklich auf Microsoft verweisen. Siehe link in der Mail, bzw. Zum css Code gehen. Die Klassen sind auch merkwürdig aber ok.
 
Fatal3ty schrieb:
Was ich auch verdächtig finde sind die US Dollar. Du wohnst ja nicht in USA :)
Das mag für dich und einige andere ungewöhnlich sein, aber ich z.B. mache viele Transaktionen auch in USD. Von daher würde mir das aufgrund dessen nun auch nicht direkt auffallen ^^
 
  • Gefällt mir
Reaktionen: Fatal3ty
Falls für jemanden relevant / interessant, hier ein Beispielheader einer legitimen Microsoft Mail:

HTML:
Received: from AS1P251MB0703.EURP251.PROD.OUTLOOK.COM (2603:10a6:20b:4a3::13)
 by DU0P251MB1010.EURP251.PROD.OUTLOOK.COM with HTTPS; Mon, 16 Sep 2024
 14:13:32 +0000
Received: from SJ0PR03CA0080.namprd03.prod.outlook.com (2603:10b6:a03:331::25)
 by AS1P251MB0703.EURP251.PROD.OUTLOOK.COM (2603:10a6:20b:4a3::13) with
 Microsoft SMTP Server (version=TLS1_2,
 cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.7962.23; Mon, 16 Sep
 2024 14:13:29 +0000
Received: from SJ1PEPF000023D9.namprd21.prod.outlook.com
 (2603:10b6:a03:331:cafe::5a) by SJ0PR03CA0080.outlook.office365.com
 (2603:10b6:a03:331::25) with Microsoft SMTP Server (version=TLS1_2,
 cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.7939.30 via Frontend
 Transport; Mon, 16 Sep 2024 14:13:29 +0000
Authentication-Results: spf=pass (sender IP is 20.118.139.209)
 smtp.mailfrom=microsoft.com; dkim=pass (signature was verified)
 header.d=microsoft.com;dmarc=pass action=none
 header.from=microsoft.com;compauth=pass reason=100
Received-SPF: Pass (protection.outlook.com: domain of microsoft.com designates
 20.118.139.209 as permitted sender) receiver=protection.outlook.com;
 client-ip=20.118.139.209; helo=mail-nam-cu05-usw3.westus3.cloudapp.azure.com;
 pr=C
Received: from mail-nam-cu05-usw3.westus3.cloudapp.azure.com (20.118.139.209)
 by SJ1PEPF000023D9.mail.protection.outlook.com (10.167.244.74) with Microsoft
 SMTP Server (version=TLS1_3, cipher=TLS_AES_256_GCM_SHA384) id 15.20.8005.1
 via Frontend Transport; Mon, 16 Sep 2024 14:13:29 +0000
X-IncomingTopHeaderMarker:
 OriginalChecksum:7188D952675A73C71F0448902A55D64B4AC7A579B522F3E5D5BAEABEEC9E05EB;UpperCasedChecksum:37E7E854A79DC217660DD2B29BB21470EF7A6568AF4D2AAFDACAA173007CBF4C;SizeAsReceived:902;Count:8
DKIM-Signature: v=1; a=rsa-sha256; d=microsoft.com; s=s1024-meo;
    c=relaxed/relaxed; i=microsoft-noreply@microsoft.com; t=1726496009;
    h=from:subject:date:message-id:to:mime-version:content-type;
    bh=dtLdg0hSMZxUth/RoG67ykPMIiuFow2BJ5hX5GVyDdk=;
    b=LJg1AiMQ9N0Z9wLf6SlF9vff+2WLUHfRkhddxhdtwQc3InFdkwqZx2ApnXhI2Hfmw7bVDVphamq
    gG38QzHed39Jr6CP1ZB4HFnIos71J2wQ/xzL6tK0GtswkLeb6NjG4phG5motayIUIWDtTfxYuM2dw
    X84CwKuDO4Gt1AL7qVA=
From: Microsoft <microsoft-noreply@microsoft.com>
Date: Mon, 16 Sep 2024 14:13:29 +0000
Subject: Herzlichen =?utf-8?q?Gl=C3=BCckwunsch!?= Sie haben Ihre Microsoft 365
 Certified: Teams Administrator Associate-Zertifizierung erfolgreich
 =?utf-8?b?dmVybMOkbmdlcnQ=?=
Message-Id: <76b3df65-8b40-4bd2-aaa7-ead8ef146c2d@az.westus3.microsoft.com>
To: someone@live.com
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="=-LumkAgmiQIFhJ4piQFTtig=="
X-IncomingHeaderCount: 8
Return-Path: azure-noreply@microsoft.com
X-MS-Exchange-Organization-ExpirationStartTime: 16 Sep 2024 14:13:29.4547
 (UTC)
X-MS-Exchange-Organization-ExpirationStartTimeReason: OriginalSubmit
X-MS-Exchange-Organization-ExpirationInterval: 1:00:00:00.0000000
X-MS-Exchange-Organization-ExpirationIntervalReason: OriginalSubmit
X-MS-Exchange-Organization-Network-Message-Id:
 09b4fa86-6323-4e7b-adbc-08dcd659bd34
X-EOPAttributedMessage: 0
X-EOPTenantAttributedMessage: 84df9e7f-e9f6-40af-b435-aaaaaaaaaaaa:0
X-MS-Exchange-Organization-MessageDirectionality: Incoming
X-MS-PublicTrafficType: Email
X-MS-TrafficTypeDiagnostic:
 SJ1PEPF000023D9:EE_|AS1P251MB0703:EE_|DU0P251MB1010:EE_
X-MS-Exchange-Organization-AuthSource:
 SJ1PEPF000023D9.namprd21.prod.outlook.com
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-UserLastLogonTime: 9/16/2024 1:29:24 PM
X-MS-Office365-Filtering-Correlation-Id: 09b4fa86-6323-4e7b-adbc-08dcd659bd34
X-MS-Exchange-EOPDirect: true
X-Sender-IP: 20.118.139.209
X-SID-PRA: MICROSOFT-NOREPLY@MICROSOFT.COM
X-SID-Result: PASS
X-MS-Exchange-Organization-SCL: 1
X-Microsoft-Antispam:
 BCL:3;ARA:1444111002|461199028|1680799051|68400799013|9000799047|10300799029|9400799024|56899033|1360799030|1370799030|1380799030|1290799027|4302099013|3412199025|440099028|1602099012;
X-MS-Exchange-CrossTenant-OriginalArrivalTime: 16 Sep 2024 14:13:29.3453
 (UTC)
X-MS-Exchange-CrossTenant-Network-Message-Id: 09b4fa86-6323-4e7b-adbc-08dcd659bd34
X-MS-Exchange-CrossTenant-Id: 84df9e7f-e9f6-40af-b435-aaaaaaaaaaaa
X-MS-Exchange-CrossTenant-AuthSource:
 SJ1PEPF000023D9.namprd21.prod.outlook.com
X-MS-Exchange-CrossTenant-AuthAs: Anonymous
X-MS-Exchange-CrossTenant-FromEntityHeader: Internet
X-MS-Exchange-CrossTenant-RMS-PersistedConsumerOrg:
 00000000-0000-0000-0000-000000000000
X-MS-Exchange-Transport-CrossTenantHeadersStamped: AS1P251MB0703
X-MS-Exchange-Transport-EndToEndLatency: 00:00:02.9448668
X-MS-Exchange-Processed-By-BccFoldering: 15.20.7962.017
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MTtHRD0xO1NDTD0z
X-Microsoft-Antispam-Mailbox-Delivery:
    ucf:0;jmr:0;ex:0;auth:1;dest:I;ENG:(5062000308)(920221119095)(90000117)(920221120095)(90012020)(91020020)(91040095)(9050020)(9100341)(944500132)(4810010)(4910033)(9575002)(10195002)(9320005)(120001);
X-Microsoft-Antispam-Message-Info:
    =?us-ascii?Q?/B8vUHABoh5r3LJsa/WjYz4EsjagRoZO9yTOAVFWbvASC7Jb550z2/Sqr7+r?=
 =?us-ascii?Q?nk3vcXU+nC/28umDS6N4P45Ef1Pn9kd+5q49SNjAz39eH57JXnrDfDFp+odR?=
 =?us-ascii?Q?llDlJ437+2derLk4XXTg7QDkZnd8bLLHXOu3/RuY6X7FlEreW05j92M6e0nO?=
 =?us-ascii?Q?SPYEpv9bUqSU5bQSoLw4Z9ztGGCZ/rak0CT8EVLCyWqMjR+AIjd121tTvdNM?=
 =?us-ascii?Q?ABX1le/8mtcUaLEDXNNk8sP+1eWwyyjrhO2bjiswzBlUklTdCTGmI7UFFR3E?=
 =?us-ascii?Q?0YI2gmIk2tTLJzLyO6RxLRcSMDUMiMDVLxBdmtBCyV6a+GOOiDiYo/2+JLZZ?=
 =?us-ascii?Q?Y716xkW2WNujHlspvadz5XqTXgu3IkTUfVkw4N20n+jCJl9gBhkHB4zBCajw?=
 =?us-ascii?Q?7RhTRHRd+HzBT0FHyvIlsYFwqFrrPtHpPxVXo6HH02JU+dgeSg1g9GpeHJUN?=
 =?us-ascii?Q?z0n3pAA40qOGdiPtFcT/rVByHcsdoAre09KWTJEekJk32Nk1LpUEr0f4LxVw?=
 =?us-ascii?Q?MmNT1VFHiryQ1EMl59yx3A0lOswcEEwfK4q/WtHgzUuZMBXFehjISbl+UZPt?=
 =?us-ascii?Q?W8X2rwg76V4bdjBvwSJQFW/JnjKyQ9xp9rLlOv1sfM3RiwrCaTd4jHthPyru?=
 =?us-ascii?Q?jtj4i70EtesQ7it0b+e0n/FylaN4qmEZyJ2zjAc4/KnInNeZB5xrKsloTGhP?=
 =?us-ascii?Q?mTbscdWkWn8cQFdVw1B/VeDH8yIdenKSr3M70YCmWfXLQVe33UnFw7R+1sau?=
 =?us-ascii?Q?Y0a1F43YFuNTUF+GfVTs1mR7NkRHKESXWMEDnbe+0hclVGLQylmIzVNg5hZF?=
 =?us-ascii?Q?XqG6gVF9WoLR8LKWZjJ3AgT2brla3dyGUp7OFHHUzzUvTM4IJfJGdDI3y+Du?=
 =?us-ascii?Q?pPdiFZ7f3oX/StAQqMmTRXwCsHJ5EDYZJ5sf6qU5bI7w4lPW8/IZsWQhH1fU?=
 =?us-ascii?Q?mNWphE+/v8+JsPszJN/PmcOyFgPhkl83wplU9rHPQbpr8bkA9rBsUojDjDnM?=
 =?us-ascii?Q?PUs4a88nJZWMcO4AGLQvtg/GmT76e3TuAuK+vGovkpAPu4AxXPgu47EufO4v?=
 =?us-ascii?Q?whSwsuJ5qFdT1CR2s/SJxUy7FowrlJitVBPUJWc4IMKyGGQx9aam8tpVi+Ho?=
 =?us-ascii?Q?vOpcN0Xp5h00v1YbUX4E9H+diJ4zrALFk67AFWw1a7yhpQS++ZKaUbWIMmvu?=
 =?us-ascii?Q?3LxHMfisW3GhU39ID7f0H++HCnEk9cTGTBXxbh/8pJYpcywKEUV86O37WnKa?=
 =?us-ascii?Q?f9EeSZxsqT5knd9BeFEJbveOOztOoOTa6zY4/hTeVt6ND0WY61AcVCppBwSj?=
 =?us-ascii?Q?Bz5n5Pn2ndUCSJARc94k3shcJk8OalGgZ9TdgKy3wLukJcrFJ0+sIjtpvNBB?=
 =?us-ascii?Q?qBmbk3MwtKWmcxTh3BW77AYP+cy7JdHWMNPb14rpnUkZPAEMpvY0R3eOVX6m?=
 =?us-ascii?Q?h/Dyg974ULzZN7QpElZ31B7SdGRZIxcEFbdg8yJvfAlbx54QA0sDKaibpRRl?=
 =?us-ascii?Q?tX/I6/ZpYR+p7caaKVYrG+VGVLnhfcJfd5oAoc9fI7eU8035Spn9qytuS1DO?=
 =?us-ascii?Q?qWvqoiXRBy4eYWIBY8sT1hpuTjGWG8XoV+gp1eJ85cqFEsNIsivEweJbrXJE?=
 =?us-ascii?Q?6athxZXfDZBbJX3tP/IomuJBAhrlxUUihtH8BKRWGAzLV7tiiDQvqqy2umVJ?=
 =?us-ascii?Q?Vt05g5E09LF8GrgTpFDdaq2T/9KTZJT9LGLu7yp7yNaDMq62wzXM41usMP66?=
 =?us-ascii?Q?osEc7JW9sw/1Jc/NuFFCZHQ5vfjtB5uiR4GYaDGpvm3YZ+G74qf24I0yat4E?=
 =?us-ascii?Q?XcPpUiGpma4eBecXcgpVn0xDvi49T0di2po=3D?=
Ich habe meine private Mail verschleiert, aber ansonsten ist das von der letzten Zertifikatsverlängerung die ich gemacht hatte.

Alexander2 schrieb:
Eine onmicrosoft Subdomain bekommt jeder, der bei Microsoft einen Tenant erstellt, das ist erstmal ziemlich einfach...
 
  • Gefällt mir
Reaktionen: Androos, Ja_Ge, Nero_XY und 2 andere
Wenns doof läuft könnte es sogar ganz offiziell ne microsoft mail sein, und ne microsoft seite und ... trotzdem greifen es über deren servrer Fremde ab, die haben durchaus auch mal probleme gehackt zu werden in der Vergangenheit gabs da doch so news?

Am ende wäre es einfacher auf dem weg nen passwort abzugreifen nehme ich an anstatt entwas entschlüsseln zu müssen ohne den schlüssel zu haben.

Aber das ist auch nur ne Vermutung, das es möglich wäre, so gut weiß ich am ende nicht darüber bescheid. und warum sich jemand so die mühe machen sollte..
Allerdings wenn es etwas lohnendes gibt hat sich schon oft genug gezeigt, das sehr hohe aufwände getrieben werden. mehr als man erstmal so vermuten würde.
 
Zurück
Oben