Sehr merkwürdige / professionelle Phishing-Mail

[SoDaTierchen]

Uiuiui. Also technisch ist die extrem gut. Inhaltlich ... nunja, da darf man stutzig werden. In jedem Fall zeigt diese Diskussion aber, dass die Fälschung schon sehr gut ist, viele finden falsche Fehler und übersehen das Offensichtliche.

müsste die Mail nicht von microsoft.com kommen?

Und stellvertretend für ähnliche Fragen / Anmerkungen von @Alexander2 und @Falc410 :
Microsoft hat zahlreiche Domains. Man bekommt Mails nicht nur von @microsoft.com, sondern von verschiedenen Domanis. Beispiele: microsoft.com, outlook.com, azure.net, windows.com, windowsupdate.com, home.azure. Nicht jede der Domains hat einen MX, aber Microsoft hat so viele Domains, da kann man sich gar nicht richtig drauf verlassen.

Außerdem: Die Domain "onmicrosoft.com" wird für M365-Tenants verwendet. Jeder Business-Kunde kann so eine Domain bekommen. Microsoft selbst verwendet diese Mails meines Wissens nicht, aber es ist denkbar, dass ein Vertriebspartner die verwendet und daher sogar legitim in so einer Rechnung landet.

Wichtig: manuell einloggen, niemals vom Link wie Email anklicken!!

Das kann man sich grundsätzlich merken, selbst wenn man gar keine Zweifel hat. Logins grundsätzlich nie über E-Mails tätigen, Links aus Emails grundsätzlich nicht anklicken. Wer das beachtet fährt ein gutes Stück sicherer. Das sollte überhaupt die Erkenntnis dieses ganzen Threads sein!

Erst jetzt sehe ich dass ein = vor dem .net ist! Ich hatte es als azure.net gelesen. Das ist der springende Punkt 😃

Das ist ein Formatierungsding. In rohen Emails stehen Zeichen manchmal an sehr merkwürdigen Stellen, die haben dann eine technische Bedeutung. Ich meine = steht für einen Zeilenumbruch, wen es an einer bestimmten Stelle in einer Zeile steht, bin mir aber nicht ganz sicher bezüglich der Spezifikation. Das ist also unproblematisch, auch wenn es auf den ersten Blick komisch aussieht.

Wie man die Mail als Phishing erkennt hat @Rickmer ja schon schön ausführlich dargelegt. Es reicht leider 2024 nicht mehr technischen Unfug zu erkennen, man muss auch auf die Inhalte schauen. Solange du nichts angerufen hast, solltest du hier aber auf der sicheren Seite sein

 

[SPB]

Die Telefonnummer ist aus Utah.
https://www.searchyellowdirectory.com/reverse-phone/18015845504/

Zahlendreher, Michigan.
https://www.searchyellowdirectory.com/reverse-phone/18105845504/
Gibt da mehrere Einträge in Port Huron, MI.

 

[Falc410]

Mir ging es halt gerade um "technische" Hinweise die auf Phishing hindeuten könnten. Ich war mir ja ziemlich sicher, dass die Mail nicht echt ist, aber wie trainiere ich jetzt meinen SPAM Filter wenn die Mail legitim ist und sogar Safelinks enthält nur die Telefonnummer problematisch ist. Diese Art von Phishing ist mir bis dato auch noch nicht untergekommen.
Passend dazu gab es Anfang der Woche das hier: https://www.bleepingcomputer.com/ne...s-api-abused-to-send-realistic-fake-invoices/
Auch hier, technisch gesehen alles einwandfrei. Das macht es halt deutlich schwerer so etwas automatisiert zu blocken.