Gezielter Spam - Domain läuft in wenigen Minuten ab

  • Selbe E-Mail bei mir auch, wenn ich noch ein wenig mehr im Stress gewesen wäre, dann wäre ich fast drauf reingefallen.

    Frage nur woher haben die die Domain Namen mit den Email Adressen? Gab es da ein Lag bei Netcup?


    mfg

    WiKrIe

  • Hallo zusammen,


    danke für eure zahlreichen Meldungen.


    Wir sind hier nicht untätig und melden unter anderem die sendenden IP-Adressen sowie die IP-Adresse der gehosteten Seite bei den entsprechenden Providern, damit das schnellstmöglich unterbunden wird.


    Unseren Beobachtungen zufolge werden die E-Mails einfach an info@[DOMAIN] gesendet, diese E-Mail-Adresse existiert natürlich häufig, sei es nun eine Catch-All-Adresse, oder auch tatsächlich existent. Gleichzeitig prüfen die Angreifer offenbar zuvor, ob die IP-Adresse, auf die die Domain verweist, tatsächlich bei netcup gehostet wird. In der Vergangenheit wurden die E-Mail-Adressen auch von der Domain gescraped, falls dort veröffentlicht.


    Die Daten für die Domains können aus verschiedensten Quellen stammen, z.B. Certificate Transparency Logs, wie hier schon korrekt angemerkt, oder natürlich Suchmaschinen, rDNS-Einträgen, mit Malware verseuchten Systemen, die bereits eine E-Mail an diese in der Vergangenheit geschrieben haben, usw.


    Wir beobachten Vorgänge dieser Art zunehmend und ich denke es ist daher wichtig, die Legitimität solcher E-Mails grundsätzlich in Frage zu stellen. Bei größeren Phishing-Wellen, wie in diesem Fall, versuchen wir unsere Kunden bestmöglich darauf hinzuweisen, z.B. mit einem Banner auf netcup.de und einer aktuellen Meldung auf netcup-status.de. Das ist auch nun bereits wieder erfolgt. Jedoch ist auch außerhalb größerer Wellen immer damit zu rechnen, dass bösartige Betrüger versuchen, netcup-Kunden durch Phishing zu betrügen.


    Wir haben daher auch einen umfangreichen Artikel in unserem Wiki veröffentlicht, der die Erkennung von Phishing-E-Mails erleichtern soll. Es treffen auch einige Merkmale auf die aktuelle E-Mail zu:

    Schutz vor Phishing – netcup Wiki


    Bleibt also vorsichtig und wachsam und habt ein schönes Wochenende :)

  • Frage nur woher haben die die Domain Namen mit den Email Adressen? Gab es da ein Lag bei Netcup?

    Die Domain-Namen sind öffentlich (z.B. Certificate Transparency Log, Suchmaschinen, etc.) und die E-Mail-Adressen sind in diesem Fall immer info@DOMAIN.de. Wahrscheinlich wurde vorher geprüft, ob die jeweilige Domain einen A-Record zu einer netcup-IP hat. In meinem Fall ist die Domain NICHT bei netcup registriert, aber der Server ist von netcup (A/AAAA-Record der Domain verweist auf diesen). Denn die E-Mail-Adresse hat in meinem Fall nicht einmal existiert (Mail kam nur wegen Catch-All).

  • Frage nur woher haben die die Domain Namen mit den Email Adressen? Gab es da ein Lag bei Netcup?

    Ich zitiere mich einmal selbst…

    Ergänzend, das was nexus schreibt:

    Wahrscheinlich wurde vorher geprüft, ob die jeweilige Domain einen A-Record zu einer netcup-IP hat.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Edited once, last by KB19 ().

  • hinzuweisen, z.B. mit einem Banner auf netcup.de und einer aktuellen Meldung auf netcup-status.de.

    Vielleicht schickt ihr vorsichtshalber eine E-Mail an alle Kunden raus um davor zu warnen. Ich gehe nicht davon aus, dass sich sofort jeder die Netcup Website ansieht oder hier im Forum vorbei schaut - sondern aus Stress blind auf den Link klickt.

    Viele Grüße
    Nico


    www.einsatzprotokoll.com für Feuerwehren

  • Hallo,


    habe auch an verschiedene Domains diese Mail bekommen. Gingen alle an die jeweilige info@


    Ein Blick auf die Absender-Mailadresse und der Hinweis "ԁo‍‍‎‎‎‬‬‬mänen‍‍‎‎‎‬‬‬name so‍‍‎‎‎m‍‍‎‎‎i‍‍‎‎‎t in w‍‍‎‎‎en‍‍‎‎‎ig‍‍‎‎‎en Mi‍‍‎‎‎nu‍‍‎‎‎t‍‍‎‎‎en g‌‌‌e‍‍‎‎‎spe‌‌‌rrt" lässt einen doch nur schmunzeln. Wenn ihr euch dann auch noch die Adresse des Links etwas genauer anseht, dann ist doch alles klar. Da brau ich doch noch nicht mal einen Blick auf den Header.


    Ist bei mir übrigens schon die zweite Welle.

  • Auch hier hat das rote H jetzt nach der Abuse-Meldung die IP gesperrt.

    IMG_20230422_234758.jpg

  • Interessant wäre ob die betroffenen auch wirklich bei der PostBank sind, oder ob das einfach ein wilder guess ist.

    [RS] 2000 G9 | 500 G8 | Cyber Quack

    [VPS] 2000 ARM G11 | 1000 G9 | 200 G8 | Secret | A | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

  • Bei mir waren es 4x netcup, 2x ING Diba, 1x Postbank, 1x DKB, 1x DHL Express, 1x rotes H Cloud. Hat am 31. März angefangen.

    Netcup konnte wahrscheinlich über die Domain ermittelt werden.

    Beim roten H habe ich tatsächlich auch einen Server, aber dort ist die einzige Verknüpfung der E-Mail-Adresse zum Server die gleiche Domain bei der E-Mail-Adresse wie bei den Nameservern einer Domain, die auf den Server verweist (zu 99% bin ich mir sicher, dass das nicht überprüft wurde).

    Bei den anderen bin ich nicht Kunde, also "wilder guess".

  • Tja, leider auch bei mir mit netcup und Pastbank (obwohl kein Kunde).

    Ich sehe dass, pro Tag ca. 27 (Hack-) Versuche pro domain bei mir stattfinden. Die /sitemap.xml und /robots.txt sind schon als kein Hackversuch gewertet worden.

    Gerne wird Wordpress aus Einstieg versucht: .... /p-login.php oder ähnlich

    Auch völliger Schwachsinn, in der Hoffnung der Apache ist schlecht konfiguriert.


    Sicherheit sollte absolut hoch im Kurz stehen.

  • Hallo,


    gestern Abend spät heimgekommen und ebenfalls eine "Letzte Erinnerung für die Domainname" Mail erhalten.

    Erstmal einen Schock bekommen und (weil ich eine aus Faulheit noch 2 Wochen alte Rechnung offen hatte) in der Müdigkeit noch auf den Link geklickt.

    Zum Glück bemerkte ich noch, dass ich im Browser auf eine ominöse "consult" URL geschickt wurde, anstatt auf eine offizielle netcup Domain und dankenswerterweise bin ich mit vollen Skriptblockern unterwegs, so dass nur eine weiße, leere Seite geladen wurde.


    Im Hinterkopf jetzt natürlich doch bissl Bammel, dass ich mir nun durch den Linkbesuch irgendwas eingefangen habe. Hat da irgendjemand welche Erfahrungen was da wirklich passiert wenn man mal draufgeklickt hat? ?(


    Bei größeren Phishing-Wellen, wie in diesem Fall, versuchen wir unsere Kunden bestmöglich darauf hinzuweisen, z.B. mit einem Banner auf netcup.de und einer aktuellen Meldung auf netcup-status.de. Das ist auch nun bereits wieder erfolgt.

    In diesem Fall hätte ich mich tatsächlich über eine Warnung per E-Mail gefreut, da das Forum und die Netcup Hauptseite jetzt doch Seiten sind, welche ich nur unregelmässig besuche.

  • Im Hinterkopf jetzt natürlich doch bissl Bammel, dass ich mir nun durch den Linkbesuch irgendwas eingefangen habe. Hat da irgendjemand welche Erfahrungen was da wirklich passiert wenn man mal draufgeklickt hat? ?(

    Wenn der Browser (sowie das Betriebssystem) aktuell sind und (so lese ich das heraus) sogar JavaScript bei unbekannten Domains blockiert wird, dürfte das Risiko eher gegen Null tendieren. Im Normalfall wollen die unbemerkt Zugangsdaten mit dem Formular abgreifen und nicht schon vorher alle Virenscanner Alarm schlagen lassen.


    Alle Angaben ohne Gewähr, ein Restrisiko lässt sich nie ganz ausschließen. Aber das gilt dann für jede geöffnete Seite im Browser.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Im Hinterkopf jetzt natürlich doch bissl Bammel, dass ich mir nun durch den Linkbesuch irgendwas eingefangen habe. Hat da irgendjemand welche Erfahrungen was da wirklich passiert wenn man mal draufgeklickt hat? ?(

    Ich würde mir eher darüber Sorgen machen, dass die Spammer jetzt wissen, dass jemand mit der E-Mail-Adresse die E-Mails auch bekommt und liest (im Link ist bei allen E-Mails eine vermutlich einzigartige ID gewesen). Das heißt: Auf mehr Spam einstellen und aufpassen ;)

  • Im Hinterkopf jetzt natürlich doch bissl Bammel, dass ich mir nun durch den Linkbesuch irgendwas eingefangen habe. Hat da irgendjemand welche Erfahrungen was da wirklich passiert wenn man mal draufgeklickt hat? ?(

    Im Regelfall ist die Phishingseite nur dazu da, Accountdaten (Nutzername und Passwort) abzugreifen und enthält keine Schadsoftware. Im Regelfall bietet ein aktueller Browser auf einem aktuellen Betriebssystem ausreichend Schutz selbst bei Schadsoftware, insbesondere wenn man mit Skriptblocker und Adblocker unterwegs ist. Die Mehrheit der Leute mit Schadsoftware auf dem Rechner hat eine Datei runtergeladen und ausgeführt. Der Klassiker ist die letzte_mahnung.docx mit Markos.


    Letztlich gibt es keinen hundertprozentigen Schutz. Selbst seriöse Seiten fallen ganz vereinzelt dadurch auf, dass die eingeblendete externe Werbung Schadsoftware verbreiten will. Insofern hilft nur das System aktuell und sicher zu halten, und möglichst aufmerksam zu bleiben (z.B. bei Mails den Header kontrollieren). Ich kann das Gefühl aber gut nachvollziehen. Meine "Paranoia", also die Sorge vor Datenverlust und einer Menge Ärger, ist etwas besser geworden, seit ich meine Backupstrategie verbessert habe.

  • Ja, ich habe da mal ein wenig rumprobiert. Mein angeblicher Postbank-Link geht auf eine Subdomain der Domain tayras.de. Gibt man im Browser als URL z.B. 12345678.tayras.de ein, also ohne das ganze Gedöns hintendran und auch eine andere Subdomain als bei meinem Link, dann passiert erst mal lange Zeit nichts. Irgendwann wird man weitergeleitet auf eine Subdomain von ata-group.de, vermutlich abhängig von der Subdomain von tayras.de, die man eingegeben hat. Dann passiert wieder lange Zeit nichts und irgendwann landest du dann auf einer gefaketen Login-Seite der Postbank. Wahrscheinlich zu einem Zeitpunkt x 1 zu 1 abgekupfert vom Original, auch wenn das mittlerweile schon wieder etwas anders aussieht, weil in der rechten Spalte bei der Postbank mittlerweile etwas anderes drinsteht. Aber wer weiss schon, was da jeweils rechts steht? Das ändert sich ja sehr häufig.

  • Hmm, wie geht das rote H eigentlich konkret mit so etwas um? Belassen die es dabei, den Server (die IP) zu sperren, wie in der Antwortmail geschrieben, und den Kunden eventuell rauszuschmeissen? Oder gibt es da wenigstens eine Anzeige/Meldung an die zuständigen Stellen? Falls nicht, wäre das doch etwas billig.