Hallo Zusammen
Neulich hat meine Partnerin wieder eine Phishing E-Mail bekommen dass eine ihrer Swisscom Rechnungen noch zahlen muss.
Nebst den üblichen roten Flaggen (Ohne Betreffende Handy Nummer, Anrede, etc.), fand ich etwas sehr spannend.
Normalerweise kann man Spam ziemlich schnell unterscheiden indem man schaut ob die Absender Domäne mit der Offiziellen Swisscom Domäne übereinstimmt.
In diesem fall war das so, sprich der Absender war “enterprise.customers@bill.swisscom.com”, Natürlich ist das wort “enterprise” bei einem Privatkunden soderso fehl am Platz.
Jedenfalls habe ich ein bisschen nach gegraben.
Gemäss dem Nachrichten Quelltext hat die Nachricht beim SPF (Sender Policy Framework, prüft ob die Absender IP Nachrichten von der @Bill.swisscom.com Domäne senden darf) einen “Pass” bekommen. Sprich Auf irgendeine dubiose weise wurde die Sender IP entweder kompromitiert oder gefälscht da gemäss Quelltext die Nachricht von einer von der Swisscom verifizierten IP gekommen ist.
Wie das genau möglich ist kann man via Google ziemlich schnell herausfinden (mit dem nötigen IT Wissen).
Was die Analyse aber zusätzlich verrät ist der DNS Hostname eines Registrars welcher in der Message ID mitgeschickt wird:
Message-ID <cxt.f8425430-8dbb-1de8-8bb1-efc87e695454..6b1980ab.21291.1562606528890.etsTech
@ss004491>
Speziell der Host “etsTech”.
Normalerweise wird dies in der Message ID enthalten, wenn sie offiziell ist.
Message-ID 1387665360.179435.1562663027604@ss002890.tauri.ch
Nun, liebe Swisscom, könnt ihr dagegen was unternehmen?
Oder sind Ihr hier ausgeliefert?
Gruss
DSGA
