Phishing meiner cPanel-Daten

Heute erreichten mich um 17.40 Uhr und um 17.43 Uhr automatische Mails von meinem cPanel meines Webhosters. Die Information war erschreckend, denn es sollten nunmehr über 98 % meiner Plattenkapazität benutzt sein. Ich wusste aber sofort, dass das nicht sein konnte, denn ich kontrolliere jeden Tag die Speicherausnutzung. Sie liegt derzeit von ca. 69 %.

Der Schrecken in der ersten Sekunde wurde dann von sekundenlangem Lachen gefolgt, denn die beiden Mails kamen an eine meiner allgemeinen Jagdmailadressen und der Zeitstempel in den Kopfdaten der Mails, die mein Mailclient anzeigt, lautete auf +0300. Jo, scheinbar ist Island im Zuge des Klimawandels in die Zeitzone von Russland abgedriftet.

Die beiden Mails sind einfach nur Kappes und der Versuch, in dieser Form an meine Zugangsdaten für das cPanel zu gelangen. Anscheinend möchte man die Kontrolle über meinen Webspace erlangen. Ein netter Versuch, aber Vladimir mit seinen besoffenen Aushilfstrotteln muss schon etwas früher aufstehen.

Eine der Mails sieht so aus:

Versuch meine cPanel-Daten zu stehen

Die beiden Links sind gleich und führen mit nichten zu dem Login-Screen meines Webspaces:

https://cosplayksa.com/wp-includes/cpanel.php?token=aHR0cHM6Ly9kamFuZ28taHVydGlnLm9yZy5kamFuZ28taHVydGlnLmNvbToyMDgzLw%3d%3d

Diesen Link habe ich in einer virtuellen Maschine sowie mit VPN aufgerufen und landete auf einem Login-Screen für einen cPanel-Zugang. Mir ist nicht ganz klar, ob das Phishing auch funktioniert, wenn ich falsche Daten eingebe. Ich habe nämlich versucht, mich mit dem Usernamen Arschl*ch einzuloggen. Vielleicht kann Vladimir oder ein Hilfsbubi dies sehen. Also von mir einen schönen Gruß. :-)

Login-Screen für das cPanel

Die Auswertung des Mailheaders ergab dann auch eine eindeutige russische Herkunft:

Herkunftsland der Mail ist Russland

IP Details For: 217.76.40.52
Decimal: 3645646900
Hostname: cron.pilot-gps.ru
ASN: 16143
ISP: OOO NIIR-RadioNet
Organization: OOO NIIR-RadioNet
Services: None detected
Type: Broadband
Assignment: Likely Static IP
Continent: Europe
Country: Russia
State/Region: Moscow Oblast
City: Podolsk

Der Mailheader ist recht klein und übersichtlich. Die eher sensiblen Daten habe ich ausge-xt.

Return-Path: <apache@cron.pilot-gps.ru>
Delivered-To: xxx@django-hurtig.com
Received: from esja.orangewebsite.com
        by esja.orangewebsite.com with LMTP
        id eLtuHKjbcmGEIjYApuHJtg
        (envelope-from <apache@cron.pilot-gps.ru>)
        for <xxx@django-hurtig.com>; Fri, 22 Oct 2021 15:41:28 +0000
Return-path: <apache@cron.pilot-gps.ru>
Envelope-to: xxx@django-hurtig.com
Delivery-date: Fri, 22 Oct 2021 15:41:28 +0000
Received: from cron.pilot-gps.ru ([217.76.40.52]:46380) by
 esja.orangewebsite.com with esmtps  (TLS1.2) tls
 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (Exim 4.94.2) (envelope-from
 <apache@cron.pilot-gps.ru>) id 1mdwfg-00ExqQ-ND for
 xxx@django-hurtig.com; Fri, 22 Oct 2021 15:41:28 +0000
Received: from cron.pilot-gps.ru (localhost [127.0.0.1])
        by cron.pilot-gps.ru (8.14.4/8.14.4) with ESMTP id 19MFhF55005338
        for <xxx@django-hurtig.com>; Fri, 22 Oct 2021 18:43:15 +0300
Received: (from apache@localhost)
        by cron.pilot-gps.ru (8.14.4/8.14.4/Submit) id 19MFhEtd005337;
        Fri, 22 Oct 2021 18:43:14 +0300
Date: Fri, 22 Oct 2021 18:43:14 +0300
Message-Id: <202110221543.19MFhEtd005337@cron.pilot-gps.ru>
To: xxx@django-hurtig.com
Subject: [ django-hurtig.org.django-hurtig.com ] WARNING The domain
 "django-hurtig.org.django-hurtig.com" has reached their disk quota.
X-PHP-Originating-Script: 48:security.php(16) : eval()'d code
MIME-Version: 1.0
Content-Type: multipart/alternative;boundary=f36f4406f9cd04b1678f68e65e8755e8
From: "cPanel on django-hurtig.org.django-hurtig.com" <cPanelondjango-hurtig.org.django-hurtig.com@www.octys.ru>
Reply-To: cPanelondjango-hurtig.org.django-hurtig.com@www.octys.ru
X-From-Rewrite: unmodified, no actual sender determined from check mail
 permissions
X-Evolution-Source: 7d82ea371f0ee9a65e1305c64bff7d9daa570a4d

Der Zeitstempel alleine deutet schon auf eine Herkunft der Mail aus Russland hin. Die Mail hat mich, der die Zeitzone +0200 hat, um 17:43 Uhr erreicht. In Russland wurde das Ding um 18:43 Uhr auf die Reise geschickt. Passt also.

Die vorletzte Information/Zeile im Mailheader deutet eindringlich darauf hin, dass der Absender nicht eindeutig zu ermitteln ist. Dieser wurde manipuliert, um den echten Absender nicht offensichtlich zu machen. So wollte man mich davon überzeugen, dass der Automatismus meines cPanels mir eine wichtige Mail gesendet hatte. Tja, wenn doch nur nicht der Zeitstempel gewesen wäre. Außerdem, und das ist wichtig und sollten andere User auch befolgen, öffne ich nie einen Link aus einer Mail heraus. NIE!

Entweder kopiere ich den Link und teste ihn in der virtuellen Maschine. Oder ich logge mich über meine eigenen Links meiner Linkliste in meinen Account ein und prüfen dann irgendetwas. Die meisten Menschen sind zu faul und klicken einfach auf den Link. Ist doch easy. Und schon sind die Daten abgephisht.

Vladimir! Du bist und bleibst ein Vollidiot! :-)