Gezielter Spam - Domain läuft in wenigen Minuten ab

  • Die Domain die bei mir den Spam angekommen hat hat noch die alten A Records von Netcup drinnen, von einem alten Netcup Server den ich nicht mehr besitze... Sollte ich wohl Mal löschen

    VPS Secret • VPS 200 G8 • 4x VPS piko G11s • 2x RS 1000 G9.5 SE NUE • RS Cyber Quack • VPS 1000 ARM G11 VIE

    c@compi.moe

  • Ich habe gestern Abend 2 IP's gemeldet.

    Ergebnis:

    IP A: "die IP wurde gesperrt"

    2 Minuten später kam eine Mail "Bitte ignorieren Sie die vorausgegangene E-mail." und der verantwortliche Kunde wurde informiert.


    IP B: "die IP wurde gesperrt" -> die wurde auch tatsächlich gesperrt.

    Komisch dass nur eine davon gesperrt wurde.


    Jedenfalls habe ich seit gestern Abend auch ruhe, nach meiner Meldung sind keine neuen Mails mehr gekommen.

  • Ich habe in den letzten Jahren nämlich (leider! :D) noch nie so eine E-Mail bekommen.

    Korrektur: Ich hatte bereits am 12.04. eine erhalten, was zu diesen Berichten nebenan passt. Die landete aber in einem speziellen Junk-Ordner, den ich nur alle paar Wochen mal ansehe. :saint:


    Kam über einen Yandex-Mailserver rein und wurde an eine Mailadresse verschickt, die ausschließlich bei meiner Mastodon-Instanz als Kontakt-Adresse angegeben ist. (Die Instanz läuft auf einem netcup VPS.)

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Einmal editiert, zuletzt von KB19 ()

  • Die Spinnen die Finnen...

    Man bekommt aber bei H auch ohne große Umwege Produkte. Ich bin mir jetzt nicht sicher, aber im Gegensatz zu netcup musste ich mich dort glaube ich nie verifizieren...

    Also einfach eine Spam-Mail angeben und ein SEPA Mandat fälschen. Einfacher geht es ja nicht...

    Oder sind das alles gekaperte IP´s?!

    [RS] 2000 G9 | Cyber Quack

    [VPS] 1000 G9 | 200 G8 | Secret | A | mikro G11s | 4x nano G11s
    [WH] 2x 8000 SE | 4000 SE | 2000 SE

  • Ich bin mir jetzt nicht sicher, aber im Gegensatz zu netcup musste ich mich dort glaube ich nie verifizieren...

    Das rote H wollte vor Freischaltung des Accounts eine Ausweiskopie von mir haben. Ist aber auch schon einige Jahre her.


    Oder sind das alles gekaperte IP´s?!

    Im Zweifel würde ich immer davon ausgehen.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Einmal editiert, zuletzt von KB19 ()

  • Man bekommt aber bei H auch ohne große Umwege Produkte.

    Naja, auf Reddit liest man zuhauf von leiten bei denen deren Account abgelehnt wurde. Die passen schon auf

    VPS Secret • VPS 200 G8 • 4x VPS piko G11s • 2x RS 1000 G9.5 SE NUE • RS Cyber Quack • VPS 1000 ARM G11 VIE

    c@compi.moe

  • Und die nächste erste Mail an eine info-Adresse (Catchall): Domain liegt bei der Konkurrenz, A/AAAA Records zeigen auf einen RS bei netcup.


    Lustigerweise taucht der Phishinglink in meinem Ticketsystem (osTicket) gar nicht auf, nur die nicht existierende Domain customercontrolpanel-netcup.eu. ^^


    EDIT: Kein Wunder, die versenden den Phishinglink ausschließlich in der HTML-Variante. In der Textversion ist er gar nicht enthalten…


    Bei mir wollten die bei Bestellung von einer Storage-Box nichts haben...

    Bei mir war's glaube ich ein Account für die Cloud. Wirklich kostenpflichtig bestellt habe ich erst zwei Jahre später, nämlich eine Storage Box.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Einmal editiert, zuletzt von KB19 ()

  • Hier kam auch so ein Ding rein. Es macht manchmal Sinn, Mail nur auf ASCII-Fonts zu lesen. Oder vorher durch /usr/bin/strings zu schieben, um den Müll zu entgiften.

    Schwund is immer.

    Adressdaten sind kaum noch geheimhaltbar, wenn mensch mit google, mail.de, hotmail etc Usern Kontakt hat.
    2023. Deal with it.

    *Filter justier*

  • Geht weiter.

    Nun von:

    santeservicefondation.eu

    65.21.141.111

    same here just 30 minutes ago, from domain santeservicefondation.eu


    Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=65.21.141.111; helo=santeservicefondation.eu; envelope-from=contact-XXXXXXX@santeservicefondation.eu; receiver=<UNKNOWN>

    Received: from santeservicefondation.eu (static.111.141.21.65.clients.your-server.de [65.21.141.111])



    It seems they try to exploit one token session if we enter in:

    ‍‍‎‎‎‬‬‬https://www.customercontrolpanel-netcup.NOCLICK.....php?token=XX6d15d5-XXXX-XXXX-XXXXfc-XXX8b1b0e535


    at least in my case the token is the same for different messages. Probably there is somebody keeping the property of that session, to stole information from a potential access using that token.

  • Hallo zusammen,


    auch heute kam es zu einer erneuten Phishing-Welle mit ähnlichen Nachrichten, wie bereits am Freitag. Es ist uns wichtig zu unterstreichen, dass es kein Datenleck bei netcup gegeben hat.


    Unseren Analysen zufolge prüfen Versender der Phishing-E-Mails zuvor, ob die Domain auf eine IP-Adresse von netcup zeigt. Dies macht Ihren Angriff deutlich effizienter, da diese damit nur netcup-Kunden kontaktieren. Diese Information ist natürlich öffentlich verfügbar: Computer, die auf eine Domain zugreifen, müssen im Domain Name System (DNS) prüfen können, wo der dahinter stehende Server im Internet liegt. Genauso gehen die Versender der Nachrichten vor: Sie prüfen für eine Domain, ob diese auf netcup verweist. Ist dies der Fall, wird die Phishing-E-Mail versendet.


    Bleibt noch die Frage offen, woher die Spammer an die Domains und die E-Mail-Adressen gelangen:

    Domains sind in diversen Quellen öffentlich einsehbar: Zum Beispiel über Suchmaschinen, über rDNS-/PTR-Einträge von IP-Adressen und für jede Domain, für die ein SSL-Zertifikat beantragt wurde, was heutzutage einem Großteil der Domains entsprechen dürfte, in sogenannten Certificate Transparency Logs. Auch mit Malware verseuchte Systeme, die bereits eine Nachricht an eine betroffene E-Mail-Adresse in der Vergangenheit geschrieben haben, können eine Quelle für entsprechende Domains bzw. Adressen sein.


    Bezüglich der verwendeten E-Mail-Adresse scheinen bei der aktuellen Phishing-Welle die E-Mails schlicht an info@[DOMAIN] versendet worden zu sein. Diese Adresse existiert natürlich oft, alternativ haben viele Nutzer eine Weiterleitung oder Catch-All-Adresse eingerichtet. In der Vergangenheit wurden Domains aber auch gezielt nach Kontakt-E-Mail-Adressen abgesucht.


    Wir haben auch diverse Berichte von Kunden erhalten, die mit ihrer Domain nicht Kunde bei netcup sind, sondern diese lediglich via DNS auf ein Produkt von netcup verweisen lassen.


    Ferner beinhalten die E-Mails keine persönliche Anrede.


    All dies unterstreicht, dass es zu keinem Datenleck bei netcup gekommen ist.


    Gerne verweise ich erneut auf unseren Wiki-Artikel zu dem Thema: https://www.netcup-wiki.de/wiki/Schutz_vor_Phishing


    Vielen Dank für euer Verständnis für diese Situation. Wir können den Versand solcher E-Mails leider nicht verhindern und sofort unterbinden, sondern sind selbst Opfer dieser Betrüger und bei der Prävention bzw. Lösung z.B. auf die Zusammenarbeit mit den versendenden Providern angewiesen. Wir raten daher stets zu hoher Wachsamkeit, um sich vor solchen Betrugsversuchen zu schützen.


    Ihr könnt uns Nachrichten dieser Art melden, allerdings bitte stets mit Headern (idealerweise als .eml-Datei im Anhang). Die reine Weiterleitung einer E-Mail hilft uns nicht, da diese den wahren Versender nicht offenbart. Die Meldung kann dann mit diesen Informationen an abuse@netcup.de erfolgen.

  • 3 von meinen Kunden des Reseller Hostings haben heute auch für insgesamt 7 Domains diese Nachricht bekommen. Alles at Domains.


    Diese sind aber nicht bei Netcup registriert sondern werden nur mittels A-Record weitergeleitet.


    Scheinbar wirklich die DNS ausgelesen. Schaut wie ein geplantes Vorgehen gegen Netcup aus :/

    Man müsste aber auch nur 7,50 Euro zahlen um die Sperrung entgegen zu wirken :D günstig für eine at Domain :D

  • Auf lange Sicht hin fände ich einen verpflichtenden zweiter Faktor nicht schlecht. Entwerder ein Code an die hinterlegte E-Mail-Adresse oder alternativ das jetzt schon verfügbare OTP.
    Auch wäre eine Benachrichtungsmail nicht schlecht, wenn sich eine neue IP-Adresse im CCP eingeloggt hat.

    Diesen Weg kennt man ja von diversen Anbietern.

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | Webhosting EiWoMiSau


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*