Phishing-Warnung: Webmail-E-Mail von ALL-INKL ist nicht echt

Warnung vor All-Inkl-Phishing-Mail

Es ist schon eine ganze Weile her, seitdem ich die letzte Warnung zu einer Phishing-Mail herausgegeben habe. Das an sich ist ja ein gutes Zeichen, denn die Hoster sind immer mehr bestrebt, diese Mails vom Server zu filtern, bevor sie überhaupt an den Leser zugestellt werden.

Hier eine Übersicht der letzten Phishing-Versuche bei mir:

Update 20.2.2023: neue Version der Mail

Heute sind bei mir alleine drei Mails eingetrudelt, die eine Rechnung von billing@all-inkl.com übermitteln wollen. Manchmal kommen auch Rechnungen von dieser Mail an Kunden von „Neue Medien Münnich“, aber die haben ein PDF als Rechnung angehängt.

Die Phishing-Mail, die aktuell rumgeht, hat angeblich eine Rechnung als HTML angehängt. Öffnet man diese Datei, wird man zu einer Webseite umgeleitet, die grob aussieht, wie das Login von All-Inkl.com, es aber nicht ist. Hier bitte auf keinen Fall die Zugangsdaten eingeben, denn damit gehen die Betrüger dann in euren echten Account bei All-Inkl.com und stellen dann irgendwelchen Unsinn an.

Stutzig werden sollte man auch, wenn der Passwortmanager oder Browser plötzlich das Loginfeld nicht mehr selbst ausfüllt, wie er es sonst tut. Das liegt daran, dass man auf einer neuen Domain (nämlich der Domain der Betrüger) gelandet ist und die Zugangsdaten immer domainbasiert gespeichert sind. Euer Passwortmanager kennt diese neue Domain noch nicht und füllt daher nichts aus. Macht ihr es bitte auch nicht!

Hier noch die neue Phishing-Mail, die aktuell kursiert, als Screenshot.

Verdächtig ist schon, dass hier eine Rechnung im HTML-Format angehängt sein soll. Normalerweise kommen von All-Inkl nur PDFs als Rechnungen.
Verdächtig ist schon, dass hier eine Rechnung im HTML-Format angehängt sein soll. Normalerweise kommen von All-Inkl nur PDFs als Rechnungen.

Betrüger-E-Mails kommen nicht von All-Inkl.com!

Trotzdem kommen immer mal wieder ein paar diese böswilligen E-Mail-Exemplare durch und schlagen bei mir im Postfach auf. Aktuell eine Mail, die angeblich vom Hosting-Anbieter All-Inkl.com kommen soll.

Natürlich verschickt All-Inkl.com solche E-Mails nicht. In den vielen Jahren, in denen ich dort schon Kunde bin, ist nicht einmal eine Mail in Bezug auf den Webmail-Service gekommen.

Und wenn Mails kamen, die von dem Anbieter stammten, dann hatten sie nie diesen roten Header.

Statt "Jetzt reaktivieren" sollte dort unten lieber "Jetzt betrogen werden" stehen, denn die vermeintlich von All-Inkl stammende Mail ist garnicht von diesem Anbieter.
Statt „Jetzt reaktivieren“ sollte dort unten lieber „Jetzt betrogen werden“ stehen, denn die vermeintlich von All-Inkl stammende Mail ist gar nicht von diesem Anbieter.

So erkennst du die „böse E-Mail“

Es gibt ein paar untrügliche Zeichen, die auf die Bösartigkeit der Mail hindeuten. Diese möchte ich euch kurz darstellen, damit ihr in Zukunft gewappnet seid und solche Betrüger-E-Mails auch selbst erkennen könnt:

Das Erste, was ich prüfe, ist die URL, die hinter den entsprechenden Links steckt. Dazu geht ihr am Mac mit dem Mauszeiger über den Link und wartet kurz. Nach ein bis zwei Sekunden zeigt euch Apple Mail nun die URL an, die besucht werden würde, wenn ihr auf den Link klickt.

In diesem Fall sieht man, dass dort nicht all-inkl.com als Domain steht (der Teil vor dem ersten Slash in der URL), sondern „afoialexiou.gr“. Die Betrüger haben sich zwar Unterdomains angelegt, damit „all-inkl.com“ und auch „kasserver“ in der URL vorkommt, aber die richtige Domain ist eben die „afoialexiou.gr“ und die Top-Level-Domain „.gr“ steht für Griechenland.

Kurz und knackig: Die Domain gehört NICHT zu „all-inkl.com“, stattdessen wird die Webseite der Betrüger (vermutlich über diverse Weiterleitungen) aufgerufen.

Hält man die Maus über den Link, wird die echte URL angezeigt, die verlinkt ist. In diesem Fall kommt zwar "all-inkl.com" darin vor, aber die Top-Level-Domain vor dem Slash lautet "afoialexiou.gr", also irgend eine griechische Domain und garantiert nicht all-inkl.com.
Hält man die Maus über den Link, wird die echte URL angezeigt, die verlinkt ist. In diesem Fall kommt zwar „all-inkl.com“ darin vor, aber die Domain vor dem Slash lautet „afoialexiou.gr“, also irgend eine griechische Domain und garantiert nicht all-inkl.com.

2. Keine persönliche Ansprache, keine Kundennummer

In allen Mails, die ich bin All-Inkl.com erhalten habe, ist mein Name und meine Kundennummer enthalten. In diesem Fall steht dort nur meine E-Mail-Adresse, aber selbst diese nutze ich nicht für All-inkl.com. Ich kann mir also relativ sicher sein, dass die Mail nicht von dem Anbieter stammt, sondern von jemanden, der nur öffentliche Daten auf meiner Webseite durchforstet hat.

3. E-Mail-Adresse des Absenders ohne @all-inkl.com

Wenn euch All-inkl tatsächlich mal eine Mail schreiben sollte, dann ist die Domain, auf der die Absenderadresse registriert ist, mit ziemlicher Sicherheit „all-inkl.com“. Zum Beispiel support@all-inkl.com, aber nicht der Quatsch, der in der Mail als Absender und Reply-to-Adresse genannt ist.

Mit der rechten Maustaste auf die Mail-Adresse klickt, erhält man die Angabe, welche Mail-Adresse hinter dem Namen des Absenders steckt.
Mit der rechten Maustaste auf die Mail-Adresse klickt, erhält man die Angabe, welche Mail-Adresse hinter dem Namen des Absenders steckt.

Was sind Phishing Mails?

In diesem Beitrag wurde schon mal etwas detaillierter erklärt, was diese Mails sind, warum sie „Phishing-Mails“ heißen und wie man sie erkennen kann.

Trotzdem an dieser Stelle die kurze Info, was die Macher dieser Mails bezwecken möchten: Im Grund geht es darum, eure Zugangsdaten zu einem Portal oder einem Service zu ergaunern.

Dabei geben sich die Betrüger mit gefälschten Mails und Webseiten als eine Firma aus, die euch bekannt ist und verlangen dann auf der Webseite von euch, dass ihr eure Zugangsdaten eingebt. Diese werden dann natürlich gespeichert und später können die Betrüger selbst sich mit den Daten in euren Account einloggen und weiteren Unsinn anstellen.

Am Ende der Aktion steht in der Regel, dass die Betrüger an Geld kommen. Ob sie dies über In-App-Käufe ergaunern oder direkt von eurem Paypal-Konto zu sich überweisen, ist zweitrangig.

Meine Tipps & Tricks rund um Technik & Apple

Hat dir der Artikel gefallen und helfen dir die Anleitungen im Blog? Dann würde ich mich freuen, wenn du das Blog über eine Steady-Mitgliedschaft unterstützen würdest.

8 Kommentare zu „Phishing-Warnung: Webmail-E-Mail von ALL-INKL ist nicht echt“

  1. Hallo, ich habe die beschriebene html mit einem MAC geöffnet. Es scheint so, als würde der MAC die html nur lokal öffnen. Ist Ihnen das Phänomen bekannt?
    Grüße!

    1. Ich habe auch einen Mac und bei mir wurde mein Firefox direkt umgeleitet zu einer Webseite (online, nicht lokal). Hängt vielleicht vom Browser ab?

  2. Hallo,

    super vielen Dank für diesen Beitrag, habe auch solch eine Mail erhalten.
    Bin immer sehr vorsichtig bei mails und überprüfe diese immer vorerst, jedoch ist diese wirklich sehr gut gelungen.

    Wie schaffe die das, dass bei der Absenderadresse die domain von all-inkl steht?
    also z.B. xxxx@all-inkl.com – mir leuchtet das nicht ein!

    Woher wissen die, bei welcher Bank all-inkl meine Abbuchung macht? Wurde all-inkl zwischenzeitlich gehackt? Das sind Informationen die eigentlich nur all-inkl wissen kann oder doch nur Zufall?

    Über eine Antwort würde ich mich freuen.

    MFG
    Serdar

  3. Vielen Dank für diesen Beitrag. Leider habe ich den Link angeklickt.

    Wissen Sie, ob es sich „nur“ um eine Phishing Seite handelt oder hier ggf. auch Malware durch das Öffnen der Seite heruntergeladen wird?

    2 Virenscanner zeigen bei mir zumindest nichts an.

    Über eine kurze Info würde ich mich sehr freuen.

    1. Hallo Steffen! Wissen tue ich es nicht, aber wenn kein Virenscanner anspringt, dann sieht es schon mal gut aus. Außerdem würde es dem Ziel der Phishing-Betrüger im Weg stehen, wenn sie auch Malware dort unterbringen würden.

      1. Stimmt, das würde eigentlich keinen Sinn machen. :-)

        Wir haben jetzt mehrere Male Trend Micro und Microsoft Defender laufen lassen.

        Bisher keine Meldung.

  4. Ich bin bei all-inkl Kunde und habe die gefakete Mail auch bekommen. Die sieht täuschend echt aus, verfluchtes Pack! Ich bin erst beim abspeichern der Rechnung über das Format *.html.txt stutzig geworden und habe die Bremse gezogen.

    Zur Frage bzgl. Malware…
    Mein Eset ist angesprungen und hat folgendes gemeldet:
    Rechnung_2220652578.html – JS/Kryptik.CIP Trojaner – gelöscht
    Version der Erkennungsroutine: 26779 (20230220)

    Hab ich nur nicht gleich gesehen, weil ich Mails nur im kleinen Vorschaufenster betrachte.

    1. Hi Jan! Danke für die Info. Laut Google ist der Kryptik ein Windows Trojaner. Als Mac-Nutzer hab ich mal wieder Glück gehabt… 😊 Aber die Einschläge kommen auf jeden Fall näher…

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Im Sir Apfelot Blog findest du Ratgeber, Anleitungen und Testberichte zu Apple Produkten wie iPhone, iPad, Apple Watch, AirPods, iMac, Mac Pro, Mac Mini und Mac Studio.

Specials
Shopping
  •  
  •  

Meine Tipps & Tricks rund um Technik & Apple