Virinum Und was hätte 2FA in diesem konkreten Fall gebracht?
Wenn der Angreifer den Login direkt im Hintergrund ausprobiert, fragt er diesen Code halt auch noch ab. Die gültige CCP-Session nutzt er dann einfach in den nächsten Minuten (automatisiert) aus und ändert z.B. Zugangsdaten von Direktlogins ohne 2FA ab. (Plesk, FTP, Mailaccounts, …)
Naja, wie oft Google mir jetzt schon meinen PC als neues Gerät gemeldet hat. Da könnte ich gerne drauf verzichten. Zumal in meinem Google Account nicht viel zu holen ist. Außer vielleicht ein paar Domains in der Google Search Console.
Virinum Und was hätte 2FA in diesem konkreten Fall gebracht?
Wenn der Angreifer den Login direkt im Hintergrund ausprobiert, fragt er diesen Code halt auch noch ab. Die gültige CCP-Session nutzt er dann einfach in den nächsten Minuten (automatisiert) aus und ändert z.B. Zugangsdaten von Direktlogins ohne 2FA ab. (Plesk, FTP, Mailaccounts, …)
2FA hätte den Prozess jedoch deutlich komplizierter gemacht. Der Angreifer kann die Login-Daten dann nicht einfach speichern und später ausprobieren, sondern muss diese direkt nutzen. Das ist zusätzlicher Aufwand, um ein solches System zu entwickeln. Eventuell könnte netcup dann auch verdächtige IP-Adressen erkennen (wer meldet sich schon innerhalb kurzer Zeit mit mehreren unterschiedlichen Accounts an?) und sperren. Phishing könnte dadurch zwar nicht vollständig unterbunden, aber deutlich erschwert werden.
Auf lange Sicht hin fände ich einen verpflichtenden zweiter Faktor nicht schlecht. Entwerder ein Code an die hinterlegte E-Mail-Adresse oder alternativ das jetzt schon verfügbare OTP.
Auch wäre eine Benachrichtungsmail nicht schlecht, wenn sich eine neue IP-Adresse im CCP eingeloggt hat.Diesen Weg kennt man ja von diversen Anbietern.
Das Problem bei 2FA an die hinterlegte E-Mail-Adresse ist, dass wenn ein Dritter Zugriff auf diese erlangt hat, sowohl das Passwort als auch den 2FA umgehen kann.
Aus diesem Grund bin ich kein Freund davon.
Wobei 2 FA auch nichts bringt, wenn die Session geklaut wird. Siehe die letzten großen YouTube Account übernahmen.
Gegen Phishing hilft meines Erachtens am besten Aufklärung. Oder ein Blauer Haken für E-Mails bei Providern wie Google, Microsoft und co. um dies zu Validieren. (natürlich nicht wie Twitter).
Ihr habt natürlich Recht, dass 2FA keine perfekte Lösung wäre. Aber es würde zumindest den Aufwand erhöhen und somit vielleicht dazu beitragen, dass die Betrüger keine Lust mehr haben.
Eine Webseite nachbauen und Zugangsdaten aus einem Formular abspeichern ist einfach. Sessiontokens handeln ist da schon etwas komplizierter.
Übrigens kam eben eine Info via Newsletter. Da wären wir dann beim Thema Aufklärung. 
Auch wenn das eine legit Netcup Email ist, sollte man sich vielleicht überlegen von @netcup.de zu senden. Für alles eine andere TLD ist halt schon befremdlich
Auch wenn das eine legit Netcup Email ist, sollte man sich vielleicht überlegen von @netcup.de zu senden. Für alles eine andere TLD ist halt schon befremdlich
allen Menschen recht getan, ist eine Kunst, die niemand kann - zumindest habens reagiert, wenngleich ich die im Newsletter hinterlegte Domäne ohne . am Ende und Direktlink (kein mautic.netcup.news/r/...) schreiben würde. In diesem Sinne: beim nächsten Mal vielleicht früher ausschicken und aufs Tracking verzichten 
Ich mag die Ironie direkt nach dem Link darauf hinzuweisen nicht auf Links zu klicken. Und dieser Link führt dann auch noch auf mautic.netcup.news, entgegen dem Linktext, der zum Customer Control Panel führt. Wie soll man denn da noch Leuten beibringen was eine Phishing-Mail ist und was nicht? Wenn schon verlinkt dann doch bitte direkt, oder müsst ihr in dieser Warnung auch noch die Reichweite messen?
So macht ihr, Netcup, es den Spammern auch einfacher sich zu tarnen. Woher soll denn ein Nutzer wissen, dass netcup.news auch Netcup gehört? Warum ist es hier in Ordnung, dass der Linktext und das Linkziel auf verschiedene Domains zeigt? Das wird in vielen Phishing-Trainings in den Firmen sogar explizit als Hinweis auf Phising genannt!
Ich habe das Gefühl, dass hier auch wieder keine 5 Minuten über das Problem "authentische Mail / Phishing" nachgedacht wurde.
Ein Beispiel: Die Domain netcup.shop ist noch frei. Wenn sich diese jemand registriert und diese Mail gut imitiert, dann habe ich praktisch keine Chance den Phishingversuch zuverlässig zu erkennen. Schließlich gibt es ja netcup.news, netcup.de, netcup.net, netcup.com, netcup.eu und netcup-sonderangebote.de.
EDIT: netcup.news leitet auch nicht zur netcup-Hauptseite weiter, man erhält nur eine "Forbidden" Seite. Das ist gar nicht gut..
Ein Beispiel: Die Domain netcup.shop ist noch frei. Wenn sich diese jemand registriert und diese Mail gut imitiert, dann habe ich praktisch keine Chance den Phishingversuch zuverlässig zu erkennen. Schließlich gibt es ja netcup.news, netcup.de, netcup.net, netcup.com, netcup.eu und netcup-sonderangebote.de.
Aus dem Grund steht ja im Anzeigetext "netcup GmbH". Damit jeder gleich weiss, wo die Mail herkommt.
Aus dem Grund steht ja im Anzeigetext "netcup GmbH". Damit jeder gleich weiss, wo die Mail herkommt.
Das ist kein Argument, der Anzeigetext kann jederzeit geändert werden. Ist frei wählbar. Kannst in deinem E-Mail-Client anpassen und dich als Netcup GmbH ausgeben.
Ein reicht bei der Diskussion scheinbar nicht mehr. 
Eine Weiterleitung auf eine einheitliche Domäne wäre nett; die Anpassung/Aufführung einer Liste der verwendeten Domänennamen in den Hinweistexten ist allerdings überfällig. Da hat wohl die Sicherheits-Abteilung das Memo der Marketing-Abteilung nicht bekommen/durchdacht.
An dieser Stelle muss ich einmal die hiesige Postbank lobend erwähnen, welche (Werbe-)E-Mails mit einem S/MIME-Zertifikat signiert.
Ich kenne mich solchen Zertifikaten leider noch nicht aus, aber kann es sein das netcup da im allgemeinen hinterherhängt?
Wenn man nur mal bedenkt das jedes Webhosting bei netcup eine Roundcube-Instanz unter http://webmail.domain.tld bekommt, die man - selbst wenn man es möchte - nicht mit einem SSL-Zertifikat versehen kann...
Hallo,
ich habe diesen Mist ebenfalls erhalten, heute sogar zum zweiten Mal.
Die oben abgebildete netcup Warn-E-Mail habe ich hingegen nicht bekommen, sollte diese nicht an alle Kunde herausgegangen sein?
Die oben abgebildete netcup Warn-E-Mail habe ich hingegen nicht bekommen, sollte diese nicht an alle Kunde herausgegangen sein?
Offenbar nur an Abonnenten des Newsletters:
Offenbar nur an Abonnenten des Newsletters:
Danke, dann schlage ich vor, dass sicherheitsrelevante Hinweise ohne Opt-in an alle Kunden verschickt werden – so ist das m. E. nicht optimal gelöst.
bei mir waren es bisher 4 Mails, die letzte gestern;
da die Domain nicht bei netcup liegt und im März erneuert wurde, der Link irgendwohin zeigt, etc, war es eh klar, dass diese nicht stimmen kann
dennoch, eine Warnung von netcup habe ich nicht bekommen und ich finde es auch sinnvoll, alle Kunden zu informieren.
finde es auch sinnvoll, alle Kunden zu informieren
Dem kann ich nur zustimmen. Da hatte ich anfangs nicht darüber nachgedacht, da ich selbst im Forum recht aktiv unterwegs bin und man solche Sachen dann recht zügig mitbekommt, aber andere Kunden werden so ja gar nicht gewarnt, und sollten dementsprechend informiert werden.
Zwar ist im CCP mittlerweile eine Warnung, aber selbst die übersehe ich wenn ich mich im CCP auskenne und nach dem Login schon fast automatisch durch den richtigen klick im Menü von der Willkommens-Seite weg bin. Da war die Meldung bezüglich des AV-Vertrages wesentlich eindeutiger. Und nervender. So etwas hätte ich mir für eine Phishing-Warnung auch gewünscht.
Oh je, das rote H hat schon wieder ein Problem. Langsam würde ich mir mal Gedanken machen, ob es nicht doch vielleicht ein klein wenig zu einfach ist, mit meinen Produkten ein erfolgloses kleines Phishing-Unternehmen aufzubauen.
