Gefälschte Rechnungsmails im Umlauf.
Heute Morgen flatterten 3 Mails von All-Inkl rein, oder sagen wir besser vermeintlich von All-Inkl. Da wir selbst bei dem Hoster sind, schaut man mal genauer hin.
Die E-Mail
Die E-Mail ist so mittelgut gemacht, immerhin vernünftiges Deutsch, vermutlich KI generiert, wenn man die vielen Emojis betrachtet.
Rechnung bereit – Zahlung überfällig ⚠️
Zeitraum: 20 OCT – 20 NOV 2025
Betrag: 14,52 EUR
Referenz: 770679-84Hallo,
Ihre Rechnung für den oben genannten Zeitraum von All-Inkl.com ist überfällig ⏳.
Bitte überprüfen Sie die Zahlung innerhalb der nächsten 24 Stunden, um eine mögliche Unterbrechung Ihres Dienstes zu vermeiden 🚫.
Die Rechnung finden Sie im angehängten PDF-Dokument 📄.
Bitte öffnen Sie die Datei, um die vollständigen Details einzusehen.
Wenn Sie bereits bezahlt haben, können Sie diese Nachricht ignorieren ✅.
Bei Fragen oder Unklarheiten wenden Sie sich bitte an den offiziellen Kundensupport von All-Inkl.com 💬.
Dies ist eine automatisierte Nachricht. Bitte antworten Sie nicht direkt auf diese E-Mail.
In der Mail gibt es keinen Link, sondern eine HTML-Datei ist angehängt. Öffnen wir diese mit dem Browser, bekommen wir ein Login-Formular angezeigt. Hier sollen wir nun ein Passwort eingeben.
Die Zugangsdaten werden dann an einen Server übermittelt. Damit hätten die Angreifer Zugriff auf den Account. Neben dem Webspace würde das auch eine Kompromittierung der E-Mail-Adressen möglich machen. Also höchstgradig gefährlich.
Ein Blick in den Quelltext der HTML-Seite, offenbart noch etwas seltsamen Text am Ende, dieser ist in der normalen Ansicht nicht sichtbar.
Ansonsten die E-Mail am besten sofort löschen. Hat man doch die Daten eingegeben, sollten die Zugangsdaten schnell geändert werden, sowohl vom Webspace, als auch von allen E-Mail-Adresse, FTP, SSH und Datenbanken.