MSXFAQ MeetNow aktiv: Komm doch einfach dazu.

Autoland Phishing

Im Sommer haben sich Spammer und Phisher eine neue Masche einfallen lassen, um Opfer zu finden. Diesmal versuchen Sie aber die Identität von bekannten Unternehmen zu nutzen, um einen Vertrauensvorschuss zu erhaschen. Leider kann das bestoffene Unternehmen dagegen kaum etwas unternehmen und dürfte sogar durch Rückfragen erboster Kunden sogar belastet sein. Ich analysiere ihr eine solche Mail einmal.

Die Firma "Autoland.de" ist nicht der Versender der Mail und nicht Täter sondern indirekt Geschädigter, weil sicher der ein oder andere Empfänger sich bei der Firma beschwert

Die hier beschriebene Phishing-Mail ist nur eine von vielen Mails. Auch andere bekannte Firmen wie Telekom, BMW, Audi u.a. werden im August 2025 von solchen Mails durch ähnlich klingende Domains geschädigt. Beispiele sind:

audi-digitalvertrieb.de
volkswagen-digital.de
mein-vw-konzern.de
bmw-premium.de
verkauf-bmw.de
mercedesbenz-sued.de
mercedesgroup.de
porsche-wqerksfahrzeuge.de
sixtcarsales.de
starcar.de
jungesterne.de
verkaufsixt.de
jungstern.de

Die Domains sind teilweise auch nur sehr kurz aktiv. Das Ziel der realen Absender ist wohl, dass der Empfänger per Mail oder Telefon Kontakt aufnimmt, um ihn dann über diesen Weg zu betrügen.

Die Mail

Am Dienstag, den 26. August 2025 landet folgende Mail einem meiner Postfächer, die nicht durch NoSpamProxy geschützt wurden:

Im weiteren Verlauf der fehlerfrei formulierten Mail sehen wir einen Link zu einer PDF-Datei, die auf ein Google Drive verlinkt.

Das 21-seitige PDF ist eine perfekte Kopie der Angebote von echten "Autoland AG". Die Mailadresse passt du dem Absender der Mail und die Rufnummer ist sogar in Berlin.

Die richtige Rufnummer der Autoland AG ist aber eine auf der Webseite prominent sichtbare 0800er Nummer. Warum sollte eine Firma dann eine Berliner Nummer angeben, die nicht kostenfrei ist? So eine Unstimmigkeit wird einem normaler Anwender aber nicht auffallen. Die PDF-Datei hat auch keine sichtbare Malware o.ä. und ein Google-Drive-Link kommt auch in regulären Mails schon vor. Basierend auf so einen Link kann ein Spamfilter die Mails noch nicht als Werbung klassifizieren. Ich könnte ja zum Schein mal darauf eingehen und die Mail als "legitim" ansehen und dass der Absender mich halt durch Zukauf von Adressen in seine Datenbank aufgenommen hat.

Analyse der Domain

Also schauen wir uns die Domain genauer an. Das sieht alles schon sehr gut aus.

  • DMARC-Record
    Die Domain hat tatsächlich einen DMARC-Eintrag, um eine Policy (p=quarantäne) und einen RUA-Eintrag zu veröffentlichen 
PS C:\> nslookup -q=TXT _dmarc.autoland-gebrauchtfahrzeuge.de

Nicht autorisierende Antwort:
_dmarc.autoland-gebrauchtfahrzeuge.de   text =
        "v=DMARC1; 
         p=quarantine; 
         rua=mailto:kontakt@autoland-gebrauchtfahrzeuge.de; 
         aspf=s; 
         adkim=s; 
         fo=1"
  • SPF-Eintrag
    Auch die Liste der erlaubten Mailserver sind hinterlegt. Neben "Titan.email" wurden auch einige IP-Adressen explizit erlaubt aber mit dem "~all" zumindest keine andere Adressen verboten-
PS C:\> nslookup -q=TXT autoland-gebrauchtfahrzeuge.de

autoland-gebrauchtfahrzeuge.de  text =
        "v=spf1 
         include:spf.titan.email 
         ip4:45.131.109.103 ip4:45.131.109.230 ip4:45.131.109.251 ip4:45.145.224.165 ip4:190.2.145.36 ip4:190.2.145.95 ip4:190.2.145.104 ip4:190.2.145.125 ip4:190.2.145.126 
         ~all"
  • Die DNS-Zone wird von Cloudflare bereitgestellt 
PS C:\> nslookup -q=ns autoland-gebrauchtfahrzeuge.de

autoland-gebrauchtfahrzeuge.de  nameserver = val.ns.cloudflare.com
autoland-gebrauchtfahrzeuge.de  nameserver = byron.ns.cloudflare.com
  • Der MX-Record verweist auf Titan.email
PS C:\> nslookup -q=MX autoland-gebrauchtfahrzeuge.de

autoland-gebrauchtfahrzeuge.de  MX preference = 20, mail exchanger = mx2.titan.email
autoland-gebrauchtfahrzeuge.de  MX preference = 10, mail exchanger = mx1.titan.email

Der reine SPF-Eintrag mit einem "~all" sollten Sie als Firma natürlich nicht machen, denn nicht jeder Empfänger wertet auch den DMARC-Record aus, in dem die Policy "p=quarantine" steht. Für einen bösartigen Sender ist das aber natürlich gerade die optimale Einstellung, damit Server vielleicht die Existenz von SPF/DMARC honorieren und die Mail zumindest in den Ordner Junk-E-Mail zustellen.

Im Grunde ist die Domain im DNS-System korrekt eingerichtet und erst einmal unverdächtig.

Nur wenige Anwender werden die Absenderdomain in einem Browser eingeben. Ein entsprechend anklickbarer Link ist in der Mail nicht vorhanden. Wenn ich es aber dennoch tue, dann lande ich direkt auf einem "301 Redirect" auf die Webseite der Firma Autoland AG".

Invoke-WebRequest https://autoland-gebrauchtfahrzeuge.de -MaximumRedirection 0

Auch das wird einen normalen Anwender eher darin bestätigen die Authentizität der Mail als gegeben anzusehen. Es ist nicht ungewöhnlich, dass Firmen mehrere Domains besitzen, die alle auf die eigene primäre Domain umleiten- Der normale Anwender landet also direkt auf der Webseite von Autoland AG und wenn er dort wirklich Interesse zeigt, dann kann er mit der richtigen Firma auch in Kontakt treten. Im Risiko sind also all die Empfänger der Mail, die sich über die Rufnummer der PDF-Datei, welche als Onedrive-Link verlinkt ist, mit dem Absender in Verbindung setzen. 

Analyse der Mail

Der nächste Blick galt natürlich dem SMTP-Header der Mail. Der Header ist sehr überschaubar, so dass ich hier gar keinen Message Header Analyzer bemühen muss. Die Mail wurde von einem Server eines Providers in den USA über den MX-Record bei mir eingeliefert, der seinerseits die Mail anscheinend von einem Server in Deutschland erhalten hat. Die letzte Aussage kann aber schon wieder gefälscht sein. Die Mail enthält sogar eine DKIM-Signatur, die anhand der Prüfung von IONOS sogar gültig ist.

Return-Path: kontakt@autoland-gebrauchtfahrzeuge.de
Authentication-Results:  kundenserver.de; dkim=pass header.i=@autoland-gebrauchtfahrzeuge.de
Received: from 79663-27270.pph-server.de ([45.131.109.230]) by
mx.kundenserver.de (mxeue103 [217.72.192.67]) with ESMTPS (Nemesis) id
1MLSYX-1v8eVh0I43-00Mds9 for frank@carius.de; Tue, 26 Aug 2025 02:47:58
+0200
Received: from [185.219.221.206] (unknown [185.219.221.206])
               by 25125-61096.pph-server.de (Postfix) with ESMTPSA id 769BD41DE4
               for frank@carius.de; Tue, 26 Aug 2025 02:47:52 +0200 (CEST)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple;
               d=autoland-gebrauchtfahrzeuge.de; s=mail; t=1756169277;
               bh=Gz3wDdwuVV3Rcl0YemMpcp+yEfDeL6s7wkw+8JHTWkY=;
               h=From:To:Subject:Date;
b=EkvJqByaNWTQ1UnY4Cm+g38XFwxgmLaqOEk2F9wg2G/xI9SFzjsuKm7HssHfGjJQE
               YElwAouBk7beWkHm6TYiRiczZCG6X8C4ZXOxRVUJl1oEEw1w1sPhLxJ/Dv+p03vy01
               Tsyj3pVD5yZ4wNXudpWP8C7vU3fsGC8nSidnqiDJIjEyll0UOVSRQvQxQrPErlugUH
               Y/ifqMQUR3NN2BK6yyo3vOth0ChhWOdmTJyC7ynEvh1l/V9L27Ae5ovF4oMO14YNfM
               645TQgsaO/O9BX9f6wgZVYQy+NxyUHv38QjxHRVZ7dq4V82xH+I7+YRdkhfl/2Zm85
               n6CYQ21OYMUtA==
Message-Id: Z7RLIGTH-X8HR-OQ7J-B7CR-4XDYBXN0HVAE@autoland-gebrauchtfahrzeuge.de
Mime-Version: 1.0
From: Autoland AG kontakt@autoland-gebrauchtfahrzeuge.de
To: frank@carius.de
Subject: =?utf-8?Q?Exklusive_Auswahl_f=C3=BCr_Sie?=
Envelope-To: frank@carius.de
  • Absender war nicht autoland.de sondern „kontakt@autoland-gebrauchtfahrzeuge.de
  • Laut Header meines Providers (IONOS) kam die Mail von „79663-27270.pph-server.de ([45.131.109.230])
    Die IP-Adresse gehört zu 45.131.193.0/24 IP Range - IPinfo.io AS262287 Latitude.sh LTDA (Florida USA)

    https://ipinfo.io/ips/45.131.193.0/24
  • Dieser Server ist im SPF-Eintrag zur Domain „autoland-gebrauchtfahrzeuge.de“ aufgeführt.
    Jeder Spamfilter der Welt wird also annehmen, dass diese Mail von einem legitimen Absenderserver kommt.
  • Wenn der Header des Mailservers „79663-27270.pph-server.de“ korrekt ist, dann hat dieser die Mail von 185.219.221.206 erhalten
    Die Adresse gehört zu einem deutschen Provider 185.219.221.0/24

    https://ipinfo.io/ips/185.219.221.0/24  (AS39378 servinga GmbH)
  • Gültige DKIM-Signatur
    Der Header „Authentication-Results: kundenserver.de; dkim=pass header.i=@autoland-gebrauchtfahrzeuge.de“ zeigt an, dass er empfangende Server die eingehende Mail anhand der DKIM-Signatur geprüft und als „PASS“ klassifiziert hat.

Der Absender hat also alle Vorgaben erfüllt, die klassische Spamfilter nutzen, um Phishing mit fremden Domains zu vermeiden. Das Problem ist hier nur, dass die Domain autoland-gebrauchtfahrzeuge.de gar nicht der Firma Autoland AG gehört. Wer der reale Besitzer ist, kann "dank Datenschutz" heute gar nicht mehr ermittelt werden. Das DENIC liefert keine Inhaberdaten mehr ohne "berechtigtes Interesse" aus und selbst dann werden die kriminellen Absender sicher nicht ihre richtigen Daten dort hinterlegen, sondern einen Verschleierungsservice nutzen.

Anruf  +49 30 21928244

Die Berliner Rufnummer 030 21928244 ist also, abgesehen von der Mailadresse die einzige Möglichkeit den Absender zu erreichen. Ein Versuch diese Nummer am folgenden Tag anzurufen liefert aber nur die Ansage "This number is no longer available". Das dürfte dann wohl ein VoIP-Anbieter gewesen sein, über die die Täter dann die Opfer betrügen wollten.

Es gibt meines Wissens keinen öffentlichen Service, über den ich den Provider zu einer Festnetznummer ermitteln kann. Bei Mobilfunknummern ist dies über die Kurzwahl

Mail an "kontakt@autoland-gebrauchtfahrzeuge.de"

Die Rufnummer war abgeschaltet aber ich habe einfach mit einer web.de-Adresse eine Frage nach der richtigen Rufnummer an die Mailadresse gesendet. Eine Reaktion ist aber bislang nicht erfolgt.

Wie kann ich mich schützen?

Als betroffenes Unternehmen, dessen Marke derart missbraucht wird, haben Sie fast keine Möglichkeit, diese zu verhindern. Schauen wir uns die verschiedenen Hebel an:

  • SPF/DKIM/DMARC
    Der Spammer hat als Besitzer von autoland-gebrauchtwagen.de alles getan, um seine Phishing-Mails zu versenden. Er hat grade nicht auf autoland.de verwiesen sondern nur seine eigene Domain genutzt und dafür einen strengen SPF-Eintrag, eine gültige DKIM-Signatur und eine DMARC-Policy. Bei der richtigen "autoland.de"-Domain waren diese Einträge im August 2025 perfekt konfiguriert. DMARC p=reject und spf=-all unterbinden den Missbrauch von autoland.de aber das hilft nichts, wenn die Angreifer einfach eine ähnlich klingende Domain nutzen.
  • DENIX und DNS-Registrar
    Der Angreifer musste natürlich die Domain "autoland-gebrauchtfahrzeuge.de" registrieren. Hier muss sich Cloudflare natürlich fragen lassen, wie zuverlässig sie ihre Kunden legitimieren. Denn kostenfrei ist so eine Domain nicht. Beim DENIC scheint man auch keine Software oder KI einzusetzen, um solche Ähnlichkeiten zu erkennen und zumindest eine Rückfrage zu stellen.
  • Server-Betreiber
    Man könnte nun auch den Hoster des einliefernden Servers in den USA um die Kundendaten bitten. Ob er dieser Aufforderung nachkommt oder der Server auch nur ein Opfer eines gehackten Accounts war, werde ich nicht weiter ermitteln können. Sollte der Header stimmen, dann könnten wir auch mal bei der "servinga GmbH" nachfragen, wie sie es denn mit der Verifizierung ihrer Kunden hält. Da aber auch geklaute Kreditkarten oder Finanzagenten gerne ihre IBAN bereitstellen, wird auch dies im Sande verlaufen.
  • Mailbox-Hoster "titan.email"
    Wer nicht gerne anruft, könnte ja eine Mail an "kontakt@autoland-gebrauchtfahrzeuge.de" senden. Hier stellt sich dann die Frage, wie "Titan.email" seine Kunden prüft oder ob ein Spamfilter nicht einfach diesen Provider eher negativ bewertet. Insbesondere wenn man die Kundenmeinungen liest wie.

    Vielleicht möchte man solche Mails einfach gar nicht mehr haben.
  • Spamfilter/Mailserver beim Empfänger
    So, wie die Mail zugestellt wurde, kann ein Spamfilter nicht viel daraus erkennen. Sicherlich könnte man fragen, ob ein Server in der USA eine Mail für eine DE-Domain zuständig ist und zwei Hops erscheint auch wieder wenig, Aber es gibt viele Firmen, die so arbeiten und deren ausgehende Relays die internen Header aus Datenschutzgründen entfernen. Mit einem SPF=PASS und DKIM=PASS erfüllt die Mail auch alle Vorgaben nicht als Fälschung erkannt zu werden. Erst verteilte Erkennungen, z.B.: das dass die gleiche Anlage an sehr viele Empfänger geht, könnte nach einiger Zeit einen Filtereffekt ermöglichen. Zumindest am Anfang einer Welle werden die wenigsten Spamfilter diese Mails blockieren. Der Mensch ist dann der Filter, welche solche Mails hoffentlich löscht ohne sich allzu lange damit zu beschäftigen.
  • Webserver von Autoland AG
    Zur Analyse habe ich ja die Adresse von autoland-gebrauchtfahrzeuge.de in einem Browser eingegeben und einen 301 bekommen. Der Webhoster von autoland.de könnte über den vom Browser mitgesendeten Referer natürlich erkennen, dass hier ein Zugriff von einer anderen Domain kommt, die ähnlich klingt aber nicht der Firma selbst gehört. Ich prüfe ja sowas auch bei der MSXFAQ, um z.B. die Einbindung meiner Bilder in fremde Webseiten zu unterbinden. (Siehe auch Hotlinking von Bildern). Allerdings bringt das nur etwas, wenn Anwender wirklich per Browser auf die Webseite der Phishing-Domain gehen würden.

Es stellt sich schon die Frage der Haftung von "Störern" oder "Unterstützung von Straftaten" weiterhin sich auf ein "Provider-Privileg" berufen können. In der kommerziellen Welt gibt es ja z.B. mit BIMI einen Ansatz, wie ich als Versender mein Firmenlogo bei Empfänger prominent einblenden lassen kann. Davon halte ich erst einmal nichts, aber einen Ansatz einer "verified Domain" kann ich schon etwas abgewinnen, d.h. einen Service, welcher zu jeder Domain auch eine verantwortliche Person liefern kann. Aber vielleicht kommen wir irgendwann einmal zu einem Domain Reputation Service, so dass solche kurzlebigen Domains gar keinen Ansatz mehr bieten.

Allerdings wird es dann weiterhin andere Angriffsszenarien geben, z.B. gekaperte Benutzerkonten, geklaute Server, Lücken und Fehlkonfigurationen in Systemen u..a. Letztlich bleibt es beim Anwender jede Mail richtig einzuschätzen und vor allem nicht den falschen Absender zu beschimpfen. Autoland.de kann nämlich gar nicht dagegen unternehmen und ob eine gestellte Strafanzeige auch mit einem Ermittlungserfolg gekrönt wird, ist eher unwahrscheinlich. Für Strafverfolgungen wird es aufgrund der Internationalität und kurzen Zeit solcher Angriffe schwer einen Täter zu ermitteln. Den Schaden haben die darauf hereingefallenen Menschen und die Firma, deren Name derart missbraucht wurde. Es müsste auch den Providern etwas mehr wehtun, wenn ihre Infrastruktur missbraucht wird.

Letztlich steht man wieder beim Thema "Domain Reputation" und leider ist es keine Nischen-Provider sondern Cloudflare hat seine Prozesse nicht im Griff, solchen Missbrauch durch qualifizierte Verifikation der Käufer zu verhindern.

Weitere Links