In letzter Zeit landen bei mir immer wieder vermeintliche DHL-Mails in meinem „Unbekannt“-Ordner – und immer stammen die von DHL-Suzy! Das aber ist ein Phishing-Versuch, der mit DHL nun ganz und gar nichts zu tun hat. Daher meine dringende Warnung: Fallt nicht auf diesen Humbug rein! Löscht den Mist einfach! Die Vorschau der Mail sieht ungefähr so aus:

Manchmal wird auch noch ein längerer Text oder/und das Bild eines zermatschten Paketes mitgeliefert. Klickt man in der Mail auf „Weiter“, dann wird man zu einer I-Net-Abzocker-Seite geleitet. Abgezockt werden die Zugangsdaten unbedarfter DHL-Kunden, so dass damit Pakete umgeleitet werden können: Der Kunde erhält dann die Rechnung, aber keine Ware. Die Masche gibt’s schon lange. Logisch, dass DHL dabei nur als Lockvogel missbraucht wird.

Nun juckt es mich bei derartigen Phishing-Mails ja jedesmal in den Fingern um zu erfahren, woher die eigentlich wirklich kommen. Ich meine, wenn die Mail von DHL stammen würde, dann stünde da im erweiterten Mail-Header irgendwas von „@dhl.de“. Stand es aber selbstverständlich nicht. Stattdessen tauchte da „From: D*H*L fm9qk@nbts.serbia.de“ auf: Interessant!

Über DNS-Watch lässt sich der URL „NBtS.serbia.de“ die IP-Adresse „85.13.151.165“ zuordnen und für die ermittelt RIPE ein gänzlich anderes Unternehmen als DHL. Klickt man aus Neugier auf den „Weiter“-Button in der Mail, dann wird man – wie schon gesagt – zur Abzockerseite weitergeleitet.

Ich mache mir so einen Spaß ja ganz gerne mal, lade die Seite dann runter und analysiere anschließend deren Code. Im vorliegenden Falle kommt nach viel unnützem Bla-Bla:
– Damit wir Ihnen Ihr Paket zusenden können, brauchen wir Ihre Daten, da wir bis jetzt nur Ihre E-Mail-Adresse haben. Der Rest des Adressetiketts ist unleserlich.
– Ich werde Sie zu einem Formular weiterleiten, in das Sie Ihre Lieferdaten eingeben können.
– Da auch die Angaben des Absenders auf dem Etikett unleserlich sind, müssen wir Ihnen die manuelle Bearbeitung des Pakets in Rechnung stellen, denn einem unbekannten Absender können wir diese Kosten nicht berechnen.

Mit anderen Worten: DHL-Suzy zockt nicht nur eure Zugangsdaten und Waren ab und schickt euch Rechnungen für nicht erhaltene Waren, sondern will obendrein auch noch gleich-sofort-auf-der-Stelle Bares von euch abkassieren! Ganz schön dreist … Ergo: Fallt nicht darauf rein!

[Nachtrag]
Später habe ich die Analyse noch weiter getrieben. Im Zuge der Kostenforderung wird auch die Bankverbindung abgezockt. Daneben passiert aber noch etwas anderes. Es kann gut sein, dass euer Virenscanner beim nächsten Start plötzlich „Trojan:HTML/Phish.BOV!MTB“ detektiert. Das an sich ist noch kein Beinbruch und bezieht sich meist auf eine noch im Browser-Cache liegende Kopie der Abzock-Seite: Der Virenscanner entfernt das und ein sich anschließender Komplettscan sorgt für Sicherheit. Wie funktioniert der Trojaner und warum der Komplettscan? Die Abzock-Seite verteilt möglicherweise klammheimlich runtergeladene Malware im Windows-Systemordner, eine Kopie des Trojaners selbst sowie einen Registry-Eintrag mit eingeschlossen. Letzterer sorgt beim nächsten Booten für einen Autostart der Malware. Damit ist dann alles möglich: Abzocken von Passwörtern, Ausspionieren des PCs, komplette Fernsteuerung, Ransomware etc. Muss nicht sein, kann aber. Eine Variante davon nutzt übrigens PDFs anstelle von HTML-Seiten.