Gezielter Spam - Domain läuft in wenigen Minuten ab

  • Ich habe eben folgende Spam-Mail erhalten:


    Betreff: netcup GmbH : Let‍‍‎‎‎zte Erin‍‍‎‎‎ne‍‍‎‎‎rung für die Domänenname [ entfernt.de ] is‪‪‪‫‫‫‫‫‫t a‪‪‪‫‫‫‫‫‫bg‍‍‎‎‎‪‪‪‫‫‫‫‫‫el‪‪‪‫‫‫‫‫‫aufen

    Die erwähnte Domain liegt tatsächlich bei Netcup und erstmal war ich schon kurz verunsichert. Deshalb hier als Warnung für andere.

  • benurb

    Changed the title of the thread from “Gezielter Spam” to “Gezielter Spam - Domain läuft in wenigen Minuten ab”.
  • Hallo benurb! Danke für deine Meldung hier. Ihr könnt uns über die E-Mail informieren, indem ihr uns die E-Mail inkl. Header an abuse@netcup.de weiterleitet. Bitte beachtet, dass wir ohne Header der E-Mail diese nicht verwerten können. Bitte sendet Sie uns die E-Mail ausschließlich inkl. Header. E-Mail-Programme bieten dazu in der Regel eine Option, den „Quelltext“ der Nachricht anzeigen zu lassen. Ihr könnt die E-Mail auch als .eml-Datei speichern und als Anhang mit kurzer Erläuterung an uns schicken. Dies ermöglicht es uns, die Nachricht zu untersuchen und Schutzmaßnahmen für unsere Kunden zu ergreifen.

  • Ja, die Mail habe ich auch vor kurzer Zeit auf eine E-Mail Adresse einer meiner Inklusivdomains erhalten. Diesmal scheint sie nicht vom roten H abgeschickt worden zu sein. Der SMTP-Server ist wohl bei O-V-H gehostet :rolleyes: . Die verlinkte URL zur "Reaktivierung" des Domain-Namens hat auch mit dem Linktext nichts zu tun, sondern verweist auf eine Subdomain einer "orson-consulting.eu". Die IP der Subdomain gehört zu einem Anbieter aus Singapur, soweit ich das ersehen kann, während die Domain selbst wohl zu einer möglicherweise seriösen Firma aus Stuttgart gehört. Wie auch immer, ein weiterer Abzockversuch.

  • wow hatte auch gerade so eine eMial.

    Hab erstmal einen schreck bekommen, aber in meiner eMail App wurden die Zeichen teilweise schon komisch angezeigt.


    Soll ich sowas an abuse@netcup.de weiterleiten oder hat das keinen wirklichen Sinn?

    wennts weiterleitets dann bitte als Anhang (sodass die Mailheader erhalten bleiben) Ob in dem konkreten Fall netcup noch weitere Quellen braucht, kann ich nicht beurteilen (der Betreffänderung nach, schaltens die Domäne ab - hoffentlich ist Quick Freeze bekannt) aber kann natürlich weitere Hinweise zu den Tätern liefern

  • Hab ich eben auch bekommen, war aber schon sehr gezielt und zeigte auch ganz gute einsicht, da die URL customercontrolpanel-netcup.eu ist, also schon sehr spezialisiert

    Die URL ist eben nicht customercontrolpanel-netcup.eu, nur der Linktext. Der Link führt zu irgendwelchen unserer asiatischen Freunde. Bei mir betrifft es eine Inklusivdomain eines Webhostings, insofern mache ich mir keine allzu großen Hoffnungen, dass die in einigen Minuten ausläuft :D .

  • Hab auch eins erhalten. Was mich interessieren würde: Wie sind sie:

    • an den Domain-Namen und
    • an die E-Mail-Adresse gelangt?

    Meine besagte Domain ist eine Schweizer Domain, da sind imho Whois-Abfragen nur begrenzt möglich.

    Ideen?

  • Filtern diese Angreifer ihre Datensätze anhand der IP-Adressen eigentlich explizit nach Webhostings? Oder hat das auch schon mal jemand bekommen, der nur VPS/RS bei netcup hat? Ich habe in den letzten Jahren nämlich (leider! :D) noch nie so eine E-Mail bekommen.


    an den Domain-Namen und

    Es gibt im Internet (gegen Geld) Listen von Domainnamen, oder man baut sich selbst einen Bot zum Durchsuchen des Webs, ähnlich einer Suchmaschine. Domainnamen sind ja auch nicht wirklich privat und z.B. auch durch Certificate Transparency Logs schnell bekannt.


    an die E-Mail-Adresse gelangt?

    Impressum, Datenschutzerklärungen, Kontaktseiten, … – irgendwo steht sicher eine.


    Oder stumpfes ausprobieren von info@, support@, contact@, usw. :?:


    EDIT: Oder z.B. auch gehackte Mailaccounts bei Personen, mit denen man Kontakt hat. Wenn die Domain der E-Mail-Adresse dann im DNS auf netcup zeigt…

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Edited once, last by KB19 ().

  • Ich hatte in den letzten Jahren auch nie solche Mails. Heute zwei Stück. Eine betrifft die Inklusivdomain eines netcup Webhostingpakets, die andere ist meine Hauptdomain und nicht bei netcup registriert. Ich hatte sie allerdings lange Zeit als externe Domain in einem netcup Webhosting und nutze sie derzeit auf einem netcup RS.


    Offensichtlich haben sie also keine Ahnung, wo (netcup oder anderswo) und wie (Inklusiv, zusätzlich, ...) die Domains registriert wurden. Beide heute bei mir angeschriebenen E-Mail Adressen waren "info@...". Das könnte für das stumpfe ausprobieren sprechen. Die A und AAAA Records beider Domains verweisen auf netcup IPs.


    Bliebe noch die Frage, wie sie auf die Domainnamen kommen. Ich tippe da auch auf Certificate Tranparency Logs. Censys und Cloudflare mischen da mit, Censys scannt häufig meine Server und weiss wahrscheinlich mehr über sie als ich. ;) Auch LE ist mit von der Partie, beide Domains haben ein LE-Zertifikat.

  • Zum Glück habe ich noch selten eine schlechter gemachte Phishing-Mail gesehen. Arg viel Mühe haben die sich nicht gegeben. Insofern doch relativ ungefährlich, wenn man ein klein wenig Ahnung hat. Sogar die Absender-Adresse wird mir angezeigt und ist definitiv nicht von netcup. Lediglich der Anzeigename ist eben "netcup Team". Dazu wird noch behauptet, eine Inkusivdomain läuft aus, die andere ist nicht mal bei netcup registriert, so dass eine Mail sicher nicht von netcup kommen würde, sollte die wirklich auslaufen.


    Aber sicher wird es auch Fälle geben, wo der behauptete Sachverhalt eher möglich wäre und die Adressaten etwas naiver sind. Lohnen muss es sich wohl, sonst würden sie es nicht machen

  • Ich habe folgendes bekommen:

    Quote

    Du erhältst diese E-Mail, da wir trotz mehreren Zahlungserinnerungen bisher keinen Zahlungseingang für die Rechnung -ne-zufällige-Nummer- feststellen konnten.

    Aus diesem Grund wurde der Domainname example.com deaktiviert. Alle mit diesem Domainnamen in Verbindung stehenden Dienstleistungen, beispielsweise ein Webhosting oder E-Mail-Adressen, sind damit nicht mehr erreichbar.

    Das ging an meine Kontakt-E-Mail, die nur auf der Webseite steht und für sonst nichts verwendet wird. Wäre die Domain wirklich gesperrt, hätte mich die Mail ja nicht mehr erreicht. Bei netcup hab ich eine andere Adresse hinterlegt, sowie Bankeinzug. Kann also nur Phishing sein. Zumal geht der Link auf eine .pt-Adresse.


    Nachtrag: Ach ja, weil ich gerade in einem anderen Faden gelesen habe das die Links nicht personalisiert sind. In meinem Fall ist der eigentliche Phishing-Link personalisiert (?id=example.com). Ebenso scheint die Absender E-Mail eine personalisierte Adresse zu sein, mit einer suppport-nummernfolge@.

  • Habe heute auch eine E--Mail bekommen bekommen mit dem Betreff.


    Dass das Phishing ist, habe ich am komischen d gesehen:


    pasted-from-clipboard.png


    Hier die Kopfzeilen der E-Mail:



    Edit: Habs an abuse@ weitergeleitet.

    Viele Grüße
    Nico


    www.einsatzprotokoll.com für Feuerwehren

    Edited 2 times, last by N.H. ().

  • Bei mir sind über den Tag verteilt Scam-Mails für fünf verschiedene Domains angekommen, die allesamt extern gehostet sind.

    Sieht für mich so aus, als würden die Mails gezielt an info@ Adressen von Domains gehen, deren A-Record auf netcup Server verweist.

  • Genau von denen habe ich heute auch eine Mail bekommen. War aber keine info@ sondern meine persönliche Adresse.
    Direkt weitergeleitet an netcup

  • Nun hat es eine meiner Inklusivdomains auch erwischt. Allerdings habe ich auf dieser nur mail@ am laufen und den Catchall. Also ohne den Catchall, wäre die info@ gar nicht durchgekommen...

    Habs an die abuse-Abteilung weitergeleitet.

    [RS] 2000 G11 | 2000 G9 | 500 G8 | 2x Cyber Quack

    [VPS] 2000 ARM G11 | 1000 G9 | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE