Een bekende stuurde mij een e-mail door met de vraag of hij daar iets mee moest doen. De e-mail had als onderwerp “Scheduled Mail Server Upgrade For Our Hosting Service And Email Users!”. In de e-mail werd uitgelegd dat er onderhoud nodig was voor de hosting en de e-mail. Om dit mogelijk te maken moest hij zijn account verifiëren.
In eerste opzicht was er niets mis met deze e-mail. Ik krijg dit soort e-mails ook van Antagonist waar ik de hosting van gebruik. Opvallend was dat de e-mail werd verstuurd vanaf een niet bestaand e-mailadres. In dit e-mailadres stond de domeinnaam van de persoon die de e-mail naar mij stuurde. Het leek er dus op dat hij zichzelf de e-mail had gestuurd. Als tweede viel me op dat de huisstijl niet overeen kwam met de huisstijl van One.com die de hosting levert.
Mijn interesse was dus getrokken om de volledige tekst door te lezen. Hieronder staat een stukje van de e-mail.
Why are We Performing this Upgrade?
Moving to newer infrastructure allows us greater flexibility to work with each clients’ unique mail requirements and will increase our ability to support and customize your needs. Features include improved spam filtration, anti-virus, anti-phishing, enhanced webmail services, upgraded calendar features, and superior reliability.
How will this Impact Your Services?
We do not anticipate any major interruptions to your services. Upgrade is automatic. There will be no loss of email messages.
When Will this Maintenance Period Occur?
Please be advised that the mail server will automatically upgrade after you have verified your email account.
How do I verify my email account?
Download the attached << domeinnaam verwijderd wegens privacy >> email account verification processor to verify your email account.
Note: Users who do not verify their email accounts will be tagged as inactive, and the company reserves the right to close all “inactive” email accounts.
In de e-mail werd verwezen naar een .html bestand in de bijlage. Als je dit opent krijg je een formulier te zien waar je het e-mailadres + wachtwoord in kon vullen. Volgens de e-mail moest je dit versturen om de verificatie af te ronden. Je zou verwachten dat je naar de website van One.com geleid zou worden.
Als je de broncode bekijkt zie je meteen dat blokken code escaped zijn om de werking van de code te verbergen. Ik vond de e-mail al verdacht worden toen er naar een bijlage werd verwezen. Met de escaped en obfuscated code vond ik de e-mail zeker verdacht.
Ik heb de blokken unescaped via een website en daaruit ontstonden blokken vreemde code die je niet zou verwachten. Het was zover ik kon zien geen code die virussen download. Het bleek een scam e-mail te zijn toen ik de regel code zag waar naartoe ingevulde formulieren werden verstuurd. Dit was een vreemde domeinnaam en had niets met One.com te maken. Op het domein werd een PHP bestand ingeladen dat verstopt was in de wp-admin map van een WordPress website.
Kort samengevat gaat het om een scam e-mail die probeert de inloggegevens van klanten van One.com te achterhalen. Ik heb persoon die mij mailde daarom geadviseerd de bijlage niet te openen en de scam e-mail te verwijderen.