Dokument nicht öffnen, Link nicht klicken!- Phishing / Virus!
Betreff:
TNT Express Invoice – von eInvoicing
Von: eInvoicing – tntsupport.admin@tnt.com
Anlage: eInvoicing_PDF
Dear Customer:
We attached the original invoice issued today, and the link from which you can access the eInvoicing web application where you will find detailed information about your bill.
https://express.tnt.com/einvoicing/LOGIN.ASPX
If you have any questions related to the concepts of the bill, please contact your usual billing manager or number on the top left of your bill.
For any questions about the Web application, contact eInvoicing.es
This service is legally valid electronic invoicing, replacing paper invoices and is the preferred method of billing TNT, also for his involvement with environmental improvement.
A cordial greeting,
TNT Express.
Der Link führt auf eine Phishing-Seite, diese der TNT-Seite ähnelt. Wenn Sie Ihre Daten eingeben und bestätigen, gehen diese direkt zu den Cyber-Kriminellen.
Auch das Dokument nicht versuchen zu öffnen. Es will sich ein Programm im Hintergrund herunter laden und kann sich um einen Virus / Malware handeln bzw. es ist auf jeden Fall schädliche Software.
Wie kommst du darauf, dass der Link https://express.tnt.com/einvoicing/LOGIN.ASPX auf eine Phishing-Seite führt?
In dem Fall müssten die Phisher Zugriff auf die DNS-Einstellungen von tnt.com haben, denn es handelt sich bei express.tnt.com um eine Subdomain, die nicht jeder xbeliebige gekaperte Webserver mal eben simulieren kann.
Auch das TLS-Zertifikat wurde von DigiCert auf FedEx Express International B.V. ausgestellt – und das wird bei diesem Zertifikatstyp bei Beantragung geprüft (anders als bei eurem Zertifikat von Let’s Encrypt, die prüfen lediglich ob du Zugriff auf die Domain hast).
Last but not least wird Akamai als Basis verwendet, auch das wäre sehr untypisch für einen Phishing-Webserver, auch werden .NET-basierte Webanwendungen auf Windows-Basis eher sehr selten zum Phishing eingesetzt.
Diese Mail kommt nicht von der TNT. Die korrekte URL ist https://www.tnt.com/express/de_de/site/home.html und das Kunden-Login https://mytnt.tnt.com/?locale=de_DE#/sign-in und die Seite um Rechnungen herunterzuladen ist https://www.invoicefetcher.com/de/economic-branches/transport-and-logistics/tnt-expressinvoice. Das Design ist ziemlich abweichend.
Der Anhang dieser Spammail wurde von unserem Schutzprogramm sofort, komplett geblockt. In der Regel sind die verlinkten Webseiten solcher Mails zu 100% Phishing-Seiten. Wie auch immer… persönliche Daten sollten auf keinen Fall angegeben werden.