Vorsicht, Betrugsversuch mit gefälschtem https://customercontrolpanel.netcup.co.in/de

    Vorsicht!

    Ich und mehrere Bekannte haben in den letzten Stunden E-Mails erhalten, die vermeintlich von Netcup stammen.

    Die E-Mails sehen für einen Nicht-IT'ler auf den ersten Blick authentisch aus, Netcup GmbH ist als From-Display-Name angeführt, das original-Netcup-Logo befindet sich in der E-Mail. Eingeliefert wurden die Mails aber über yandex.net/


    Betreff ist stets: Domain xxxxxx.at mit auslaufendem E-Mail-Konto

    wobei der domain-Name, die verwendeten E-Mail-Adressen etc... "passend" zum Kunden sind.


    pasted-from-clipboard.png


    Man wird aufgefordert seine Domain zu verlängern. Dazu soll man auf einen Link klicken der diesen URL-Shortener benutzt: is.gd/nFpv3v (ich habe bei is.gd diesen Link bereits als Fraud gemeldet, bislang ist aber noch keine Sperre erfolgt).


    Man landet damit auf customercontrolpanel.netcup.co.in/de ... ein gefälschtes NetCup CustomerControlPanel.


    pasted-from-clipboard.png


    Dort kann man sich mit beliebiger Kundennummer und beliebigem Kennwort "erfolgreich" anmelden (also Phishing) und landet auf einer Kreditkarten-Eingabemaske:

    pasted-from-clipboard.png


    Moderatoren bitte um interne Beurteilung, man sollte denke ich versuchen diese über CloudFlare gehostete Domain down zu nehmen!

    Auch wenn es eigentlich kein Grund zur Freude ist: Endlich scheinen die Phisher mal DE bzw. die deutsche Sprache als gleichwertige Zielgruppe zu sehen. Die Mail ist deutlich besser gemacht als alle deutschen Phishing-Versuche, die ich bisher gesehen habe. Keine eindeutigen Grammatikfehler oder sonstige Auffälligkeiten. Da wird es dann so langsam echt gefährlich!


    PS: Gerade mal getestet: mein DNS-Filter von NextDNS schlägt weder mit seinen "Threat-Intelligence-Feeds" noch "KI-basierte Bedrohungserkennung" an. Schade.

    Naja, bei so einer Absenderadresse gehen sofort die Alarmsirenen los. Oder ist das Mailproblem jetzt schon soweit gediehen, dass netcup auf externe Mailserver zurückgreifen muss?

    Zitat von gunnarh

    Die E-Mails sehen für einen Nicht-IT'ler auf den ersten Blick authentisch aus, Netcup GmbH ist als From-Display-Name angeführt, das original-Netcup-Logo

    Eine Frage. Schaut sich ein Laie nicht die ganze "Von" Adresse an?


    Das Mailprogramm zeigt ja sogar die komplette Adresse an. Die Domain hat keinen Bezug zu Netcup. Der Rest (die Beschreibung) ist je eh nur Deko.

    2023-04-12_11-21-02.png

    Zitat von DaSch22

    Eine Frage. Schaut sich ein Laie nicht die ganze "Von" Adresse an?


    Das Mailprogramm zeigt ja sogar die komplette Adresse an. Die Domain hat keinen Bezug zu Netcup. Der Rest (die Beschreibung) ist je eh nur Deko.

    2023-04-12_11-21-02.png

    Im anderen Thema dazu sieht man das nicht, obwohl es auch Thunderbird ist:

    Achtung: Zielgerichtetes Phishing - netcup Kundenforum
    Guten Morgen, ich habe heute früh eine Phishing-Mail erhalten die anscheinend auf Netcup-Kunden zielgerichtet ist, und mich daher fast überzeugt hätte den…
    forum.netcup.de


    Vor allem in Outlook kann ich mir auch vorstellen, dass das nicht direkt mit angezeigt wird. Es muss genug Leute geben, die darauf reinfallen, sonst würde es ja nicht gemacht werden ^^

    Danke für die Warnung :thumbup:
    Bei mir schlägt aktuell weder der regelmäßig benutzte Firefox an ("Schutz vor betrügerischen Inhalten und gefährlicher Software" ist in den Einstellunge eingeschaltet) noch der sporadisch genutzte Chrome (Security ist auf "Standard Protection" eingestellt).
    Ich habe die Seite auch nochmal über Firefox als betrügerische Webseite gemeldet (landet bei Google Safebrowsing).

    Es gibt leider genug Mailprogramme, die, zumindest in den Standardeinstellungen, nur den display name anzeigen und nicht mehr die komplette Adresse mit dazu.
    So z.B. auch K-9 Mail für Android.
    Im deutschprachigen Wikipedia-Artikel zum Thema "E-Mail-Adresse" findet sich dazu auch folgendes:

    Zitat

    "Mail Clients stellen den Anzeigenamen der E-Mail-Adresse bei (z. B. "John Smith" (johnsmith@example.com)) oder zeigen, sofern er vorhanden ist, ausschließlich ihn an (z. B. Gmail Webclient, Outlook in der Listendarstellung)."

    Zitat von DaSch22

    Eine Frage. Schaut sich ein Laie nicht die ganze "Von" Adresse an?


    Der Screenshot stammt ja von mir, bei den Adressaten auf Smartphones ist die Adresse nicht so prominent dargestellt, wäre aber außerdem ohnehin auch einfach fälschbar gewesen. Vermutlich haben die Täter hier bewusst keine reply-fähige Netcup-Adresse eingesetzt, damit Netcup nicht gleich durch Antworten/Rückfragen auf diesen Angriff aufmerksam wird.



    Zitat von aRaphael

    Bei mir schlägt sofort Chrome an


    Hmm.. erfreulich wenn er das mittlerweile tut. Wobei ich nicht wüsste warum / basierend auf welchen Daten oder welcher Heuristik das so wäre.


    Denn soeben um 12:57 geprüft, keine Meldung vorliegend: https://transparencyreport.goo…olpanel.netcup.co.in%2Fde


    pasted-from-clipboard.png

    Danke für den Hinweis, bitte Domäne auch hier einmelden: https://tucowsdomains.com/compliance-form


    PS: URLs modifiziert (damit nicht versehentlich jemand draufklickt)

    Basierend auf den mir inzwischen vorliegenden E-Mails kann ich folgendes zur "Datenqualität" dieses Phishing-Angriffs sagen:

    • Die Adressaten sind jeweils nicht E-Mail-Adressen aus dem Whois, die mit der Domain "verknüpft" wären. Sondern es sind E-Mail-Adressen die ziemlich sicher von den entsprechenden Websites z.B. mittels Crawling "entnommen" wurden. Also E-Mail-Adressen, die auch teils gar nicht die gleiche Domain-Endung tragen. wie die Domain von der behauptet wird eine "Verlängerung" wäre nötig.
    • Die betroffenen Websites sind alle auf netcup vServern gehostet, da muss also jemand jeweils wirklich geprüft haben, dass der Webserver in einem Netcup-IP-Subnetz läuft. Die Domains selbst sind hingegen gar nicht bei Netcup sondern bei anderen Domain-Registraren registriert.
    • Der Link scheint jeweils einheitlich auf die gleiche oben bereits genannte URL-Shortener URL zu zeigen. Ist also nicht an den Adressaten individuell angepasst.
    • Der Angriff ist deshalb für die Empfänger besonders "irreführend", weil da eben nicht die Webmaster oder die Domain-kundigen Personen aus dem Whois mit diesem Phishing-Versuch gespammt werden (denen würde ja z.b. auffallen, dass die Domain gar nicht bei netcup registriert ist und wären auch fachkundig genug die gefälschte ControlPanel-Domain aus Indien zu erkennen), sondern irgendwelche Kontaktadressen die von den Websites gecrawlt wurden und daher potentiell bei nicht-IT-affinen Personen landen.

    Es geht weiter:


    Am Freitag erhielt ich eine Phishing-Mail wegen angeblich "suspendierter" Domain, und zwar über die korrekte E-Mailadresse, die ich für administrative Anfragen eingetragen habe und in einwandfreiem Deutsch. Lediglich die Grußformel "Ihr Netcup" ließe mich stutzen, und der angegebene Link führte auf eine Seite einer Subdomain von ferraoeferrao.pt. Die vorsichtige Vorschau (ohne Codeausführung) offenbarte ein gefälschtes Formular mit netcup-Logo, wo man seine KK-Daten eintragen sollte (einschl. Kartenprüfziffer, is ja klar).


    Gestern erreichte mich eine mit dem holperigen Titel "Verlängerung der domainname <domain> fehlgeschlagen", ebenfalls mit der Aufforderung zur Aktualisierung der Zahlungsinformationen und der in Rot gehaltenen Warnung, dass bei Nicht-Angabe binnen 5 Tagen die "Dienste dauerhaft gelöscht werden", wieder mit "Ihr Netcup" unterschrieben, wesentlich stümperhafter als die Erste und damit zuverlässig von Apple Mail in den Spam-Ordner sortiert.


    Als Reseller oder Administratoren im Auftrag solltet ihre eure Kunden entsprechend warnen, weil zur einsetzenden Reisezeit jetzt natürlich oft Stellvertreter E-Mails mit Inhalt bekommen, mit denen sie sonst nicht umgehen (müssen).


    Ansonsten wünsche ich allen eine sonnige Woche

    [ofi]