Sehr merkwürdige / professionelle Phishing-Mail

Wird jetzt jeden Tag eine Spam Mail hier ausgewertet?
Wenn was ist, direkt da Einloggen wo etwas sein sollte und prüfen, ob es stimmt!
Fertig und kurzer Prozess ;)
 
Falc410 schrieb:
Die Domain ist ebenfalls valide
Nope:
HTML:
<a href=3D"https://nam.safelink.emails.azure=
.net/redirect/?destination=3Dhttps%3A%2F%2Fadmin.microsoft.com%2Fadminporta=
l%2Fhome%3F%23%2Fsubscriptions&amp;p=3DbT1kMmU1NmExYi1mYWI1LTQyMzYtYjdkOS04=
NWIxMmE4YTU1OGQmcz0wMDAwMDAwMC0wMDAwLTAwMDAtMDAwMC0wMDAwMDAwMDAwMDAmdT1hZW8=
mbD1ob21l" style=3D"text-underline: none;mso-text-underline: none;font-size=
: 16px;color: #ffffff;text-decoration: none;text-align: left;display: inlin=
e-block;padding: 12px 16px 12px 16px;border: 0 solid #0078d4;border-radius:=
 2px;line-height: 1;mso-border-alt: 8px solid #0078d4;mso-padding-alt: 0;fo=
nt-family: Segoe UI Semibold, SegoeUISemibold, Segoe UI, SegoeUI, Roboto, &=
quot;Helvetica Neue&quot;, Arial, sans-serif;font-weight: 600">Go to Micros=
oft 365 admin center &gt;
Wobei, wer weiß. emails.azure als Domain könnte theoretisch auch legit sein. Konzerne machen so viel schrägen Kram heutzutage...
 
  • Gefällt mir
Reaktionen: Falc410
Rickmer schrieb:
Edit: Bin mir nicht 100% sicher, das ist ziemlich undurchsichtig -_- ]
Wollte gerade sagen, hatte es vorher angeschaut und jetzt nochmal, aber da steht überall pass.
Ergänzung ()

BeBur schrieb:
Wobei, wer weiß. emails.azure als Domain könnte theoretisch auch legit sein. Konzerne machen so viel schrägen Kram heutzutage...
Ah ich glaube du hast es gefunden. Erst jetzt sehe ich dass ein = vor dem .net ist! Ich hatte es als azure.net gelesen. Das ist der springende Punkt 😃
duAffentier schrieb:
Wird jetzt jeden Tag eine Spam Mail hier ausgewertet?
ich habe damit beruflich leider immer wieder zu tun und in der Regel sieht man sehr schnell was nicht stimmt. Aber hier stand ich auf dem Schlauch. Und mal eben einloggen geht halt nicht für jeden Fall.

Ich die Domain mal nochmal bei virustotal rein
Mhm
 

Anhänge

  • IMG_6185.png
    IMG_6185.png
    543,2 KB · Aufrufe: 92
@Falc410 ein wenig gesuche - andere bekommen auch solche Mails:

https://answers.microsoft.com/en-us...icrosoft/95e26ddc-9b31-461f-8bab-ddfdee639523
https://infosec.yorku.ca/2024/09/sc...n-emails-abusing-an-official-microsoft-email/

100% Scam

Anscheinend wollen die nur, dass du bei der Nummer in der Mail anrufst:
The objective of this scam is to get recipients to call the scammers' phone number in the email in an attempt to understand why they received the email or to get a refund. The scammers will purport to be Microsoft representatives and attempt to obtain sensitive information from the caller such as credit card details. Alternatively, the scammers may claim that the fraudulent order is a result of the caller's computer being hacked, and will request remote access to "remediate" the situation. If allowed access, the scammers will attempt to drain bank accounts, steal sensitive files, and/or deploy malware onto victims' computers.

BeBur schrieb:
Wobei, wer weiß. emails.azure als Domain könnte theoretisch auch legit sein. Konzerne machen so viel schrägen Kram heutzutage...
nam.safelink.emails.azure.net sieht erstmal legit aus
 
  • Gefällt mir
Reaktionen: SoDaTierchen, gman32 und Falc410
Falc410 schrieb:
ich habe damit beruflich leider immer wieder zu tun und in der Regel sieht man sehr schnell was nicht stimmt. Aber hier stand ich auf dem Schlauch. Und mal eben einloggen geht halt nicht für jeden Fall.
Und die erste Lösung, da schauen wo das "Problem" sein sollte bzw der Vorfall? Dann ergibt es sich ja ;)
 
Falc410 schrieb:
Wollte gerade sagen, hatte es vorher angeschaut und jetzt nochmal, aber da steht überall pass.
Das mit der Domain kannst du wie von anderen gesagt ignorieren. "onmicrosoft"-E-Mail-Adressen hat jeder Microsoft 365 Tenant, die sind nichts offizielles und von denen kommen KEINE Rechnung irgendeiner Art. Jemals.

Was genau die Masche hinter der E-Mail ist erschließt sich mir auch nicht sofort. Eventuell wollen sie, dass du anrufst, weil du keine Rechnung irgendwo finden kannst. Am Telefon bringen sie dich dann dazu, irgendwas zu überweisen, zu installieren oder halt deine Daten rauszugeben. Einfach nur Passwörter abgreifen ist heute dank MFA ja recht witzlos geworden in vielen Fällen. Am Telefon lassen sich viele Leute aber zu allerlei Zeug verleiten.

Die Mail ist jedenfalls definitiv fake und du hast garantiert keine Abbuchung auf deinem Konto.
 
  • Gefällt mir
Reaktionen: BeBur
Wow, das TL;DR scheint das hier zu sein:
I did not order anything. When I called the number and spoke with Jonathan, he told me he couldn't cancel it over the phone. He wanted to remote into my computer to assist me and I refused.
Alle Links sind legit, aber nicht die Telefonnummer.

Conqi schrieb:
Einfach nur Passwörter abgreifen ist heute dank MFA ja recht witzlos geworden in vielen Fällen. Am Telefon lassen sich viele Leute aber zu allerlei Zeug verleiten.
Guter Punkt und du scheinst eine gute Intuition gehabt zu haben. Das ist wohl genau worum es geht.
 
  • Gefällt mir
Reaktionen: Conqi
BeBur schrieb:
Ist nicht azure.net. TLD ist email.azure.
Genau das!

Danke für die Mithilfe. Manchmal sieht man so einen kleinen Fehler nicht obwohl ich sicher 30 Minuten da rum gesucht habe.
 
BeBur schrieb:
Ist nicht azure.net. TLD ist email.azure.
Ich bin ziemlich sicher, dass das ein Artefakt der Formattierung ist und in diesem Fall das = als Zeilenumbruch fungiert
 
  • Gefällt mir
Reaktionen: Falc410 und BeBur
Conqi schrieb:
Einfach nur Passwörter abgreifen ist heute dank MFA ja recht witzlos geworden in vielen Fällen.
Das stimmt so leider nicht. Hatte heute erst wieder ein kompromittiertes M365 Konto von einem Mitarbeiter trotz MFA. Gibt genug Mittel und Wege das zu stehlen - du zeigst dem Benutzer den Login Dialog und bringst ihn den 2. Faktor einzugeben und greifst dann die entsprechende Session ab. Ich hatte bei dieser Mail eben an etwas ähnliches gedacht aber konnte auf deren Fake Login Seite nichts finden. Aber nun hat es sich ja geklärt. Ist eher unter die Telefon scam Masche einzustufen.
 
Rickmer schrieb:
Ich bin ziemlich sicher, dass das ein Artefakt der Formattierung ist und in diesem Fall das = als Zeilenumbruch fungiert
An anderen Stellen im Code ist korrekt geschrieben. Kann ein = in einer URL wirklich ein zeilenumbruch sein? In einer URL leite ich damit doch den Wert für einen Parameter ein. Wie es interpretiert wird wenn vorher kein Name für den Parameter vergeben worden ist, weiß ich aber nicht. Das ist alles noch im Domainnamen hier. Mhm. Da muss ich echt passen gerade
 
Falc410 schrieb:
Kann ein = in einer URL wirklich ein zeilenumbruch sein? In einer URL leite ich damit doch den Wert für einen Parameter ein.
Naja, wenn's nicht ist, dann ist nach https://nam.safelink.emails.azure Schluss mit der URL und der Rest vom Text ist nonsens. Das macht ja auch keinen Sinn.

Außerdem ist zum Ende z.B. das direkt im Text vom Knopf mit drin:
Go to Micros=<br>oft 365 admin center <span title=">">&amp;gt;</span>
Das = Zeichen siehst du da ja auch nicht im Screenshot.
 
Nur als Idee, die SPAM-Mail von einer regulären Microsoft/Outlook.com Email -Adresse versenden, auf meinen regulären Webspace bei Microsoft verweisen und dort ein kleines Redirect (ggf. im Frame um das Hauptfenster / den Header „Microsoftig“ zu lassen) machen. Die Email selber dürfte sehr legitim aussehen.
 
Am einfachsten sieht man das über Sein Original MS Konto.
Da sieht man dann was Bestellt wurde, und wo es abgebucht wird.

Und auf keinen Fall über die Adresse der eMail die Seite besuchen.

Bei mir ist es : https://account.microsoft.com/

Da sieht man dann alle Bestellung / Abbos und co.
 
Zuletzt bearbeitet:
Ich sehe da direkt so fette Schreibfehler wie z. B.
Question's ? / Help Desk : / Id / md
... also Deppenapostroph, Leerzeichen vor dem Satzzeichen, Akronyme falsch und dann so ungewöhnliche Umgangssprache, die MS in diesem Kontext eher nicht verwenden würde ("Thanks for ...", "Let's talk" ...). Schnelle Websuche zum Thema Potomac, Maryland + Microsoft lässt auch nicht vermuten, dass die da sitzen. Das mal alleine zur Form.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: K3ks, gman32, Ja_Ge und eine weitere Person
Zurück
Oben