Ionos hat wie angekündigt begonnen, den unverschlüsselten Mailzugriff seiner Kunden abzuschalten und dabei auch die veralteten Verschlüsselungsprotokolle TLS 1.0 und TLS 1.1 entfernt. Für die Kunden kann es im Rahmen der Umstellung notwendig werden, die Verbindungseinstellungen seines Mailclients umzustellen, um wieder auf die Postfächer zugreifen zu können.

Wie das Sicherheitsunternehmen Heise berichtet, versuchen Hacker das Durcheinander, um per Phishingmails die Zugangsdaten von deutschen Ionos-Kunden abzufischen. Dazu machen sie per Fake-Mail Druck.

Die Mail hat laut Sicherheitsexperten folgenden Inhalt:

Betreff:Letzte Erinnerung: Passen Sie Ihren E-Mail-Zugriff auf aktuelle Sicherheitsstandards an

zum Schutz Ihrer E-Mail-Kommunikation werden wir sowohl den unverschlüsselten Zugriff auf unsere E-Mail-Server (IMAP, POP3und SMTP) als auch den Zugriff über die veralteten Verschlüsselungsprotokolle TLS 1.0 und TLS 1.1 deaktivieren. Wir nehmen diese Abschaltung zwischen dem 25.04.2023 und 16.05.2023vor.

Sie greifen noch auf folgende E-Mail-Postfächer unverschlüsselt zu: [E-Mail-Adresse des Empfängers]

Zur Aktivierung müssen Sie den Anhang herunterladen und den Anweisungen folgen.

Stellen Sie bitte bis zum 08.05.2023 sicher, dass in Ihren Geräten oder Programmen die Verschlüsselung (SSL/TLS) aktiviertest und diese TLS 1.2 oder höher unterstützen.

Vorsicht bei diesen Mails

Am Ende der Mail befindet sich der Anhang, den der Empfänger unbedingt anklicken soll. Die HTML Datei samt Quelltext wirkt professionell und auf den ersten Blick unverdächtig, CSS Dateien werden von den Ionos Domains nachgeladen ( mail.ionos.de und frontend-services.ionos.com). Doch der Fehler steckt im Detail, denn der Anhang enthält keine Anweisungen zur Konfiguration sondern ein Log-in-Formular, das angeblich zur Webmail Anwendung von Ionos gehört. Nach der Eingabe der Login-Daten wird der Nutzer zur realen Ionos Präsenz und den Informationen über die Deaktivierung des (unverschlüsselten) E-Mail-Kontos geleitet. Wo also ist der Fehler?

Falsche Weiterleitung der Login-Daten

Heise hat herausgefunden, dass der im Detail liegt und nur über die Entwicklertools des Browsers zu finden ist. Die Login-Daten werden als POST-Request an businessmail-ionos.net geschickt und von dort auf die Zielseite von Ionos, businessmail-ionos.net. Wie Heise herausfand, gehört diese Domain nicht zu Ionos gehört, sondern zu dem Offshore-Hoster Panamaserver. Unter der verwendeten IP Adresse sind auch noch die Phishingmails mail-ionos.info, email-ionosde.su, webmail-all-ink.info und all-ink.info registriert und aktiv.

Da ein Nutzer, der sich nicht mit Programmierungen, Quellcodes und Co auskennt, den Fehler nicht entdecken kann, ist die Gefahr groß, auf diese Phishingmails hereinzufallen. Heise rät deshalb, solche Mails mit Anhang ungelesen zu löschen. Informationen über die Abschaltung des unverschlüsselten Mailzugangs finden Kunden direkt auf der Domain von Ionos.