Mal ganz was neues:

[Header]

You should check in from 24 hours and up to 60 minutes before your flight (2 hours if you’re flying abroad). Then, all you need to do is print your boarding pass and go to the gate.

Confirmation code: 756368

Check-in online:Online reservation details

 

Flight             Departure city and time

4120                Washington, DC (DCA) 10:00PM

                        Depart date: 3/20/2012                               [Miles&More-Card]

 

[Footer]

We are committed to protecting your privacy. Your information is kept private and confidential. For information about our privacy policy visitusairways.com.

US Airways, 111 W. Rio Salado Pkwy, Tempe, AZ 85281 | Copyright US Airways | All rights reserved.

 

[Header] und [Footer] sowie [Miles&More-Card] waren Grafiken, die hätten mir aber das Layout gesprengt.

So denn, schreiten wir zur Analyse ;) Was fällt mir zuerst ins Auge? Nun, gleich in Mail das erste Anzeichen, dass es ein Gruppenflug von Gmail-Usern zu sein scheint:

Außerdem hat der Versender eine seltsame Mailadresse, und nichtmal eine offizielle. Auch seltsam. In vielen der Empfängern taucht übrigens der String “ipod” auf.

Nächstes: Eine Grafik fehlt, die habe ich oben  mal nicht gekennzeichnet.

Drittens: Der Link “Online Reservation details” führt auf ip/showthread.php?threadid. IP liegt in den USA, in Galloway, einem VPS-Hoster. Das seltsame ist, dass bei Aufruf der Seite ein 403-Fehler auftaucht – vermutlich haben die den Server vom Netz genommen oder sowas.

Auf jeden Fall sieht man selten so schlecht gemachtes Phisching, ich gehe jedenfalls davon aus, dass es das sein soll.