Idag dök detta e-postmeddelande upp i ett av våra e-postkonton vi har för att fånga upp nya försök till phishing/virus/malware.

Meddelandet ser ut att vara ifrån Netflix som låter dig meddela att dom idag har sagt avslutat ditt konto precis som önskat, med en fråga om du vill fortsätta att använda dig av Netflix ska du klicka på en länk.

När man analyserar e-postmeddelandet kan man konstatera följande.

Brevet är skickat från ett användarkonto (li294-201.members.linode.com) på hostingföretaget lindome.com som är lokaliserat i USA. Nedan kan ni se en del av flödet av e-postmeddelandet. Man utger mig sig för att skicka e-post från ”Netflix kontakt” med e-postadressen ”kund.logonsWe1@flixfilmer.se”. Redan här är det lätt att se att det inte kommer från netflix då avsändare och svarsadressen pekar på flixfilmer.se samt det faktum att netflix aldrig skulle skicka ett meddelande som detta.

Received: from li294-201.members.linode.com (li294-201.members.linode.com [66.228.52.201])
by smtp.partman.se (8.14.3/8.14.3) with ESMTP id sA5NcVve049274
for ; Thu, 6 Nov 2014 00:38:47 +0100 (CET)
(envelope-from apache@li294-201.members.linode.com)
Received: from li294-201.members.linode.com (localhost.localdomain [127.0.0.1])
by li294-201.members.linode.com (8.14.4/8.14.4) with ESMTP id sA5NcUXU017138
for ; Wed, 5 Nov 2014 18:38:30 -0500
Received: (from apache@localhost)
by li294-201.members.linode.com (8.14.4/8.14.4/Submit) id sA5NcUaG017133;
Wed, 5 Nov 2014 18:38:30 -0500
Date: Wed, 5 Nov 2014 18:38:30 -0500
Message-ID: <201411052338.sA5NcUaG017133@li294-201.members.linode.com>
To: Subject: Upps?gning av ditt konto
X-PHP-Originating-Script: 48:eb.php
From: Netflix Kontakt
Reply-To:

Nedan kan ni se e-postmeddelandet i sin helhet.
Observera att texten med dess felstavningar samt grammatiska fel är återgivna exakt enligt texten i e-postmeddelandet.

——- KLIPP ——-
Vi tycker det år sorgligt att säga adjö …

Hej,
Vi avslutar ditt medlemskap precis som du ville , från och med idag den 05/11/2014.Du kan fortsätta att titta på filmer och tv serier fram till detta datum.

Om du har ändrat dig och vill forsätta använda tjänsten klickär har för att titta på tv-serier och filmer utan avbrott.
——- KLIPP ——-

Destinationen på den klickbara länkadressen pekar till ”http://4adm.de/sandbox/MAT/upload/.a/” (KLICKA INTE PÅ LÄNKEN!)
Vid ytterligare kontroll får man fram informationen att sidan är en nätfiskesida som finns lokaliserad på ett tyskt hosting företag (1and1.com / oneandone.net).

URL Scanner Result
CLEAN MX Phishing site
Trustwave Malicious site

Domain: 4adm.de
Nserver: ns43.1und1.de
Nserver: ns44.1und1.de
Status: connect
Changed: 2007-05-31T02:18:00+02:00

[Tech-C]
Type: ROLE
Name: Hostmaster EINSUNDEINS
Organisation: 1&1 Internet AG
Address: Brauerstr. 48
PostalCode: 76135
City: Karlsruhe
CountryCode: DE
Phone: +49.721913747660
Fax: +49.72191374246
Email: hostmaster@1und1.de
Changed: 2008-09-23T15:53:37+02:00

[Zone-C]
Type: ROLE
Name: Hostmaster EINSUNDEINS
Organisation: 1&1 Internet AG
Address: Brauerstr. 48
PostalCode: 76135
City: Karlsruhe
CountryCode: DE
Phone: +49.721913747660
Fax: +49.72191374246
Email: hostmaster@1und1.de
Changed: 2008-09-23T15:53:37+02:00

Till sist vill jag bara tillägga följande.
Har du en tjänst som gör att ett e-postmeddelande som detta får dig att känna dig träffad. Stanna upp, läst texten igen, och igen, och igen. E-postmeddelande som dessa är i princip alltid grammatiskt och stavningsmässigt felaktiga.

Vi har skickat denna info vidare till Netflix.