Verlängerung der domainname fehlgeschlagen


Hetzner email scam reconocible por su asunto, redactado en alemán:
Verlängerung der Domainname fehlgeschlagen:

La renovación del nombre de dominio falló.

Otro caso de intento de phishing masivo mediante suplantación de identidad de esta conocida empresa de alojamiento web, siguiendo los pasos que otro caso reciente.

Con el pretexto de reiniciar el supuesto fallo de renovación de un nombre de dominio, que literalmente forma parte del asunto (y sirve de gancho del scam) este mensaje intenta que un usuario poco atento inicie (supuestamente de nuevo) el proceso de renovación de dominio mediante pago online, al ser una web maliciosa que imita a la legitima página de la empresa de hosting web Hetzner Online GmbH lo que haremos será regalar nuestros datos bancarios a los ciberestafadores.

El remite del mensaje es pista más que suficiente para ver que no se trata de un mensaje auténtico, además una observación detenida del enlace a la supuesta pasarela de pago revela su auténtica naturaleza (editado XXX por seguridad):
http://b7766635.amazing-journey.net/?id=XXX.com

Hetzner scam - Web peligrosa detectada
Hetzner scam – Web peligrosa detectada

La IP del dominio que utilizan los impostores es del proveedor de hosting One.com (Dinamarca) y como se observa en el dominio principal (resaltado) han explotado una vulnerabilidad FTP en el alojamiento web legitima Amazing Journey Band en Dinamarca, que les ha permitido insertar al menos un subdominio que aloja la web trampa imitando la pasarela de pago de Hetzner.

Amazing Journey - Dominio vulnerable utilizado para la web trampa de este email scam Hetzner
Amazing Journey – Dominio vulnerable utilizado para la web trampa de este email scam Hetzner
Amazing Journey - Dominio vulnerable utilizado para la web trampa de este email scam Hetzner
Amazing Journey – Dominio vulnerable utilizado para la web trampa de este email scam Hetzner
Datos IP y AS de Amazing Journey - Dominio vulnerable utilizado para la web trampa de este email scam Hetzner
Datos IP y AS de Amazing Journey – Dominio vulnerable utilizado para la web trampa de este email scam Hetzner
Datos IP y AS de Amazing Journey - Dominio vulnerable utilizado para la web trampa de este email scam Hetzner
Datos IP y AS de Amazing Journey – Dominio vulnerable utilizado para la web trampa de este email scam Hetzner

El scam email Verlängerung der Domainname y su traducción

Sehr geehrter Kunde,
Aktualisieren Sie Ihre Zahlungsinformationen, um Ihren Domainnamen zu erneuern XXX
Wir haben heute versucht, Ihren Domainnamen zu erneuern, aber der Vorgang ist fehlgeschlagen, weil die 
Zahlungsinformationen nicht aktualisiert wurden.
Um eine Sperrung Ihres Domainnamens zu vermeiden, versuchen Sie bitte, Ihre Informationen zu Ihrer 
Zahlungsmethode zu aktualisieren.
Erneuern Sie Ihren Domainnamen
WICHTIG: Ohne Zahlung von Ihnen innerhalb von fünf (5) Tagen nach Erhalt dieser E-Mail werden Ihre 
Dienste dauerhaft gelöscht.
Für weitere Informationen stehen wir Ihnen gerne zur Verfügung.
Mit freundlichen Grüßen
Ihr Hetzner Online Team
Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Germany
CEO: Martin Hetzner, Stephan Konvickova, Günther Müller
Register Court: Registergericht Ansbach, HRB 6089, VAT Reg. No.: DE812871812
Terms and Conditions • Legal Notice • Data Privacy • System Policies
Estimado cliente,
Actualice su información de pago para renovar su nombre de dominio XXX
Intentamos renovar su nombre de dominio hoy, pero el proceso falló porque la
información de pago no ha sido actualizada.
Para evitar el bloqueo de su nombre de dominio, intente agregar su información a su
actualizar método de pago.
Renueva tu nombre de dominio
IMPORTANTE: Sin pago por su parte dentro de los cinco (5) días posteriores a la recepción de este correo electrónico, sus Servicios eliminados permanentemente.
Para más información estamos a su disposición.
Atentamente
Su equipo en línea de Hetzner
Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Alemania
Directores generales: Martin Hetzner, Stephan Konvickova, Günther Mueller
Tribunal de registro: Tribunal de registro de Ansbach, HRB 6089, n.º de registro de IVA: DE812871812
Términos y Condiciones • Aviso Legal • Privacidad de Datos • Políticas del Sistema

    Agradecemos al blog de Ribes&Casals la colaboración con el Proyecto SafeTIC permitiendo mantener el sitio activo y analizar las amenazas activas para informar y concienciar a la comunidad online.