1.. .. !Netcup phishing November 2023 · 10 minute read Okay this one is not a "good" one, in terms of a good phishing email, because it is obviosly a phishing email since I do not have the mentioned product bought at mentioned company. But the fact that I get constantly emailed these made me finally post this to the website. I get them mostly in a pair of two, one to my main domain and one to a subdomain (which includes the term `noreply` as part of the domainname). ## The mail body {{< alert >}} Watch out for the link, as you might see, it gets rendered to a `netcup.de` domain as HTML, but the source code does look quite a bit different! {{< /alert >}} ```plain Sehr geehrte/r Wir möchten Sie heute freundlich daran erinnern, dass die Domain oe7drt.com Ihrer Firma, mit der dieses E-Mail-Konto verbunden ist, am 17.11.2023 abläuft. Als verantwortungsbewusster Anbieter ist es uns ein Anliegen, Ihnen rechtzeitig über diese bevorstehende Verlängerung zu informieren. über den sicheren Link erneuern https://renew.netcup.de Wir möchten sicherstellen, dass Ihre Online-Präsenz reibungslos läuft und Ihr geschäftlicher Erfolg nicht beeinträchtigt wird. Daher empfehlen wir Ihnen dringend, die Verlängerung Ihrer Domain vor dem Ablaufdatum zu beantragen. Indem Sie Ihre Domain verlängern, stellen Sie sicher, dass Ihre Webseite weiterhin erreichbar ist und Ihr E-Mail-Konto aktiv bleibt. Dein netcup team --------------------------------------------------------- netcup GmbH Managing Directors: - Oliver Werner - Alexander Windbichler Daimlerstr. 25 D-76185 Karlsruhe Phone: +49 721 / 7540755 - 0 Fax: +49 721 / 7540755 - 9 Commercial register: HRB 705547, Amtsgericht Mannheim --------------------------------------------------------- 2 Attachment(s) (0.9 KB) ?Download all attachments[SUBMIT] ?Show attachments[SUBMIT] ?[SUBMIT] ``` --- {{< alert >}} **Update on Nov 18 2023** {{< /alert >}} I'm sorry, this is either a very dumb person (or group) or it is a very funny coincidence. I got two new mails today in which the **shown URL** was changed to `www.customercontrolpanel.de`, the link still goes to the italian site (that you will find further down in this article). Following only the relevant part is shown. ```html {hl_lines=7}
über den sicheren Link erneuern https://www.customercontrolpanel.de/?login_language=DE
Wir möchten sicherstellen, dass Ihre Online-Präsenz… ``` --- {{< alert >}} **Update on Jan 10 2024** {{< /alert >}} Haha another two emails with yet another domainname: `netcupde.com`. Well, the link now looks like this: ```html {linenos=table}
Erneuern Sie über den sicheren Link: https://customerscontrolpanel. netcupde.com/de/
``` _I added some newlines into the html code, because the code is actually only two lines in the email but that would make this codeblock a bit harder to read (specially on mobile devices)._ These additions of `}} Note the highlighted line (18). There you have the real link that we mentioned above. {{< /alert >}} ```html {hl_lines=18} ``` ## The mail source ```plain Return-Path: