Bitches bitch'n'

Suspiciously-crafted email

I received the following message, with the subject Letzte Warnung vor der endgültigen Schließung Ihres Domänennamens, from a sender pretending to be my web host provider. It may surprise you to know that their payment system had detected a problem with my payment card, and they advised me to use the link that they had thoughtfully provided. How kind is that? Some people are just too good for this world.

Liebe Kundin, lieber Kunde Wir möchten Sie darüber informieren, dass Ihr Bereich neotechsystem.ch nicht erneuert werden konnte, da unser Zahlungssystem ein Problem auf Ihrer Zahlkarte entdeckt hat. Wir bitten Sie, Ihr Anwesen ein andermal zu erneuern, damit wir Ihre Transaktion tätigen können. Weitere Informationen finden Sie unter folgendem Link: һttрѕ://[webhost].сһ/сһ/renew.cgi?xtor=CS3-25-5Brenew5D Sollte die Zahlung scheitern, werden wir Ihr Konto gemäss Ihren Konditionen und Bedingungen leider schließen. Seien Sie versichert, dass alle Informationen, die Sie uns geben, streng vertraulich behandelt werden. Für weitere Informationen steht Ihnen unser Support gerne zur Verfügung. Vielen Dank für Ihr Verständnis. Herzlich Ihr [Webhost] Hilfe erhalten Sie in unserem Hilfezentrum: https://help.[webhost].ch

A few things raised my suspicion. The obvious ones being that the sender email address was not that of my host, in fact it wasn't a proper email address at all (moc.gamatrams@puorg-xemara), and I have no knowledge of the domain mentioned. Also, my host sends all general communications in German, French, Italian, and English. The help centre URL was coloured as a clickable link, but was non-functional. Hovering my cursor over the renewal link showed a different URL to the one on screen. And, finally, I pay hosting fees by bank transfer, never with a card.

These are all fairly obvious things to check for.

Slightly less obvious is the fact that some of the letters—h, p, s, and c—in the renewal link have been swapped for Cyrillic lookalikes—һ, р, ѕ, and с. The difference isn't obvious with this typeface, so let's try another:

Normal—h p s c
Cyrillic—һ р ѕ с

Although I've heard of letter swaps, I thought that they're usually used to register scam domains; аррӏе.com to resemble apple.com, for example. The changes to the displayed URL seem pointless and unnecessary. While .ch is a valid TLD, .сһ doesn't appear on IANA's root zone database, so that URL couldn't work anyway. Besides, the real link is different. But this was a clue that there might be something more insidious about the message. Confirmation came when I ran it through an automated translator. Everything translated fine, with the exception of the final line:

Hilfe erhalten Sie in unserem Hilfezentrum: https://help.[webhost].ch

Which was mangled to:

hc.tnioptsoh.pleh//:sptth :murtnezefliH meresnu ni eiS netlahre efliH

It was indented. I couldn't insert the cursor where I wanted it in the text, and trying to delete parts of the text resulted in unexpected changes to the remainder, as if it included hidden characters or encoding. Copy/pasting the subject line and sender address also resulted in similarly unexpected behaviours. So, I opened the message in Outlook's View Source mode (the full message with headers is in the footnote):

Liebe Kundin, lieber Kunde

Wir m=C3=B6chten Sie dar=C3=BCber informieren, dass Ihr Bereich neotechsyst=
em.ch nicht
erneuert werden konnte, da unser Zahlungssystem ein Problem auf Ihrer Zahlk=
arte
entdeckt hat.

Wir bitten Sie, Ihr Anwesen ein andermal zu erneuern, damit wir Ihre Transa=
ktion
t=C3=A4tigen k=C3=B6nnen.

Weitere Informationen finden Sie unter folgendem Link:
=D2=BBtt=D1=80=D1=95://[webhost].=D1=81=D2=BB/=D1=81=D2=BB/renew.cgi?xtor=
=3DCS3-25-5Brenew5D
<http://97835900.houthandeldrenthe.nl/97835900>

Sollte die Zahlung scheitern, werden wir Ihr Konto gem=C3=A4ss Ihren Kondit=
ionen und
Bedingungen leider schlie=C3=9Fen.

Seien Sie versichert, dass alle Informationen, die Sie uns geben, streng
vertraulich behandelt werden.

F=C3=BCr weitere Informationen steht Ihnen unser Support gerne zur Verf=C3=
=BCgung.

Vielen Dank f=C3=BCr Ihr Verst=C3=A4ndnis.


Herzlich

Ihr [Webhost]
=E2=80=AA=E2=80=AA=E2=80=AA=E2=80=AE=E2=80=AEhc.tnioptsoh.pleh//:sptth :mur=
tnezefliH meresnu ni eiS netlahre
efliH

I can't pretend to know what it all means. Some of it represents extended characters and line breaks, that much I do know. But I take the general view that anyone who goes to such lengths to obfuscate an email is up to no good.

There are some not nice people on the interwebz. Stay safe out there, kids.


Here's the full source, should anyone be interested. I've only obfuscated the recipient email address, domain, and host and replaced the tag delimiters with HTML entities.

Return-Path: <aramex-group@smartamag.com>
Delivered-To: xx@xx.ch
Received: from mail-lb1.adm.[webhost].ch ([10.4.2.216])
	by popimap006.mail.[webhost].ch with LMTP
	id QCopJpjjQWFPVAAAlZmdGA
	(envelope-from <aramex-group@smartamag.com>)
	for <xx@xx.ch>; Wed, 15 Sep 2021 14:14:16 +0200
Received: from mxin016.mail.[webhost].ch ([10.4.2.216])
	by mail-lb1.adm.[webhost].ch with LMTP
	id ICSgJZjjQWHxZwAA9BAvQA
	(envelope-from <aramex-group@smartamag.com>)
	for <xx@xx.ch>; Wed, 15 Sep 2021 14:14:16 +0200
Received: from mailnull by mxin016.mail.[webhost].ch with local_accounts_spamscanned (Exim 4.94.2 (FreeBSD))
	(envelope-from <aramex-group@smartamag.com>)
	id 1mQTnp-000ICe-Vy
	for xx@xx.ch; Wed, 15 Sep 2021 14:14:16 +0200
X-Spam-Checker-Version: SpamAssassin 3.4.5 (2021-03-20) on
	mxin016.mail.[webhost].ch
X-Spam-Level: *
X-Spam-Status: No, score=1.1 required=4.0 tests=BAYES_00,DCC_CHECK,
	DCC_REPUT_95_98,DKIM_INVALID,DKIM_SIGNED,FSL_BULK_SIG,HP_VS_LEGIT,
	HTML_MESSAGE,SPF_HELO_FAIL,SPF_NONE,URI_HEX autolearn=no
	autolearn_force=no version=3.4.5
Received: from [104.166.135.135] (helo=mondaning.com)
	by mxin016.mail.[webhost].ch with esmtps  (TLS1.3) tls TLS_AES_256_GCM_SHA384
	(Exim 4.94.2 (FreeBSD))
	(envelope-from <aramex-group@smartamag.com>)
	id 1mQTnp-000ICK-So
	for xx@xx.ch; Wed, 15 Sep 2021 14:14:13 +0200
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; s=mail1; d=mondaning.com;
 h=Content-Type:MIME-Version:Date:Subject:From:Reply-To:Message-ID:To;
 bh=R211fALy7EmMkixsuq3g+52jjvUWCksJdhLgTfsPIOw=;
 b=W0VWOfzS5hGY+3KUs7GiqA+cNvbGcuwyb6ySHjghlhDpGoQGTXkRJAeoFqIhK8kz/AvyMB+jcJeI
   lAnUQi3TcGzG2CF7O3B8LSIpEKGiQDddvn1Tucyok7MOBtHuLWs0wvRbina5efqwDaTB9a9LNUHL
   bAdOih8fvU4M13ZMsIchNU0c3sPUal+muGtLrdBXw0ptrQnSFwcvvuV1shxI8clMSQ2l6lflwFQx
   C8QmjY5BivySkt2mdT9DQsUKvHYcTviuIbQ+ce3dZPi4Il4R5JvWw6wa5ZO30e9d+eiZlnOqLApy
   4Y9UjmNlhxymRKJW3vPJAJ+k8uTqAN6N9Iedig==
Content-Type: multipart/alternative; boundary="------------070607010904070005000908"
MIME-Version: 1.0
Date: Wed, 15 Sep 2021 20:14:13 +0800
Subject: =?utf-8?B?TGV0etic2JzYnNic2JzYnHRlIFdhcm51?=
 =?utf-8?B?bmcgdm9yIGRlciBlbmRn2JzYnNic?=
 =?utf-8?B?2JzYnNicw7xsdGlnZW4gU2PYnNic2JzYnNic?=
 =?utf-8?B?2JxobGllw591bmcgSWhyZXMgRG8=?=
 =?utf-8?B?bdic2JzYnNic2JzYnMOkbtic2JzYnNic2JzYnGVu2Jw=?=
 =?utf-8?B?2JzYnNic2JzYnG5h2JzYnNic2JzYnNicbWXYnNic2Jw=?=
 =?utf-8?B?2JzYnNicbnMgIHVicnMuY2g=?=
From: =?utf-8?Q?=E2=80=AA=E2=80=AA=E2=80=AA=E2=80=AE=E2=80=AEhc.tnioptsoH?=
 <aramex-group@smartamag.com>
Reply-To: "=?utf-8?Q?=E2=80=AA=E2=80=AA=E2=80=AA=E2=80=AE=E2=80=AEhc.tnioptsoH?=" <aramex-group@smartamag.com>
X-FBL: 1_12_130_0_696E666F40756272732E6368
Message-ID: <MZG0MJI0.NTAYMJMYMG.130073091520142021131947754078@smartamag.com>
To: "97835900 xx.ch" <xx@xx.ch>
X-Vs-State: LEGIT
X-Forwarded-Original-Recipient: xx@xx.ch 
X-Original-To: xx@xx.ch
X-[Webhost]-Spambox:  YES 

--------------070607010904070005000908
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain; charset=utf-8; format=flowed

Liebe Kundin, lieber Kunde

Wir m=C3=B6chten Sie dar=C3=BCber informieren, dass Ihr Bereich neotechsyst=
em.ch nicht
erneuert werden konnte, da unser Zahlungssystem ein Problem auf Ihrer Zahlk=
arte
entdeckt hat.

Wir bitten Sie, Ihr Anwesen ein andermal zu erneuern, damit wir Ihre Transa=
ktion
t=C3=A4tigen k=C3=B6nnen.

Weitere Informationen finden Sie unter folgendem Link:
=D2=BBtt=D1=80=D1=95://[webhost].=D1=81=D2=BB/=D1=81=D2=BB/renew.cgi?xtor=
=3DCS3-25-5Brenew5D
<http://97835900.houthandeldrenthe.nl/97835900>

Sollte die Zahlung scheitern, werden wir Ihr Konto gem=C3=A4ss Ihren Kondit=
ionen und
Bedingungen leider schlie=C3=9Fen.

Seien Sie versichert, dass alle Informationen, die Sie uns geben, streng
vertraulich behandelt werden.

F=C3=BCr weitere Informationen steht Ihnen unser Support gerne zur Verf=C3=
=BCgung.

Vielen Dank f=C3=BCr Ihr Verst=C3=A4ndnis.


Herzlich

Ihr [Webhost]
=E2=80=AA=E2=80=AA=E2=80=AA=E2=80=AE=E2=80=AEhc.tnioptsoh.pleh//:sptth :mur=
tnezefliH meresnu ni eiS netlahre
efliH


--------------070607010904070005000908
Content-Type: text/html; charset=utf-8
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> =0A<html> =
=0A<head> =0A<title>Letz=D8=9C=D8=9C=D8=9C=D8=9C=D8=9C=D8=9Cte Warnung vor =
der endg=D8=9C=D8=9C=D8=9C=D8=9C=D8=9C=D8=9C=C3=BCltigen Sc=D8=9C=D8=9C=D8=
=9C=D8=9C=D8=9C=D8=9Chlie=C3=9Fung Ihres Dom=D8=9C=D8=9C=D8=9C=D8=9C=D8=9C=
=D8=9C=C3=A4n=D8=9C=D8=9C=D8=9C=D8=9C=D8=9C=D8=9Cen=D8=9C=D8=9C=D8=9C=D8=9C=
=D8=9C=D8=9Cna=D8=9C=D8=9C=D8=9C=D8=9C=D8=9C=D8=9Cme=D8=9C=D8=9C=D8=9C=D8=
=9C=D8=9C=D8=9Cns  xx.ch</title> =0A<meta http-equiv=3D"Content-Type" con=
tent=3D"text/html; charset=3Dutf-8"> =0A</head> =0A<body> =0A<p>Liebe Kundi=
n, lieber Kunde</p> =0A<p>Wir m=C3=B6chten Sie dar=C3=BCber informieren, da=
ss Ihr Bereich neotechsystem.ch nicht erneuert werden konnte, da unser Zahl=
ungssystem ein Problem auf Ihrer =0AZahlkarte entdeckt hat.<br></p> =0A<p>W=
ir bitten Sie, Ihr Anwesen ein andermal zu erneuern, damit wir Ihre Transak=
tion t=C3=A4tigen k=C3=B6nnen.</p> =0A<p>Weitere Informationen finden Sie u=
nter folgendem Link: <a href=3D"http://97835900.houthandeldrenthe.nl/978359=
00">=D2=BBtt=D1=80=D1=95://[webhost].=D1=81=D2=BB/=D1=81=D2=BB/renew.cgi?xt=
or=3DCS3-25-5Brenew5D</a></p> =0A<p>Sollte die Zahlung scheitern, werden wi=
r Ihr Konto gem=C3=A4ss Ihren Konditionen und Bedingungen leider schlie=C3=
=9Fen.</p> =0A<p>Seien Sie versichert, dass alle Informationen, die Sie uns=
 geben, streng vertraulich behandelt werden.</p> =0A<p>F=C3=BCr weitere Inf=
ormationen steht Ihnen unser Support gerne zur Verf=C3=BCgung.</p> =0A<p>Vi=
elen Dank f=C3=BCr Ihr Verst=C3=A4ndnis.</p> =0A<p><br> =0AHerzlich</p> =0A=
<p>Ihr [Webhost]<br> =0A<font color=3D"#0000FF">=E2=80=AA=E2=80=AA=E2=80=AA=
=E2=80=AE=E2=80=AEhc.tnioptsoh.pleh//:sptth</font> :murtnezefliH meresnu ni=
 eiS netlahre efliH</p> =0A</body> =0A</html>
--------------070607010904070005000908--