Gezielter Spam - Domain läuft in wenigen Minuten ab

Selbe E-Mail bei mir auch, wenn ich noch ein wenig mehr im Stress gewesen wäre, dann wäre ich fast drauf reingefallen.

Frage nur woher haben die die Domain Namen mit den Email Adressen? Gab es da ein Lag bei Netcup?

mfg

WiKrIe

Hallo zusammen,

danke für eure zahlreichen Meldungen.

Wir sind hier nicht untätig und melden unter anderem die sendenden IP-Adressen sowie die IP-Adresse der gehosteten Seite bei den entsprechenden Providern, damit das schnellstmöglich unterbunden wird.

Unseren Beobachtungen zufolge werden die E-Mails einfach an info@[DOMAIN] gesendet, diese E-Mail-Adresse existiert natürlich häufig, sei es nun eine Catch-All-Adresse, oder auch tatsächlich existent. Gleichzeitig prüfen die Angreifer offenbar zuvor, ob die IP-Adresse, auf die die Domain verweist, tatsächlich bei netcup gehostet wird. In der Vergangenheit wurden die E-Mail-Adressen auch von der Domain gescraped, falls dort veröffentlicht.

Die Daten für die Domains können aus verschiedensten Quellen stammen, z.B. Certificate Transparency Logs, wie hier schon korrekt angemerkt, oder natürlich Suchmaschinen, rDNS-Einträgen, mit Malware verseuchten Systemen, die bereits eine E-Mail an diese in der Vergangenheit geschrieben haben, usw.

Wir beobachten Vorgänge dieser Art zunehmend und ich denke es ist daher wichtig, die Legitimität solcher E-Mails grundsätzlich in Frage zu stellen. Bei größeren Phishing-Wellen, wie in diesem Fall, versuchen wir unsere Kunden bestmöglich darauf hinzuweisen, z.B. mit einem Banner auf netcup.de und einer aktuellen Meldung auf netcup-status.de. Das ist auch nun bereits wieder erfolgt. Jedoch ist auch außerhalb größerer Wellen immer damit zu rechnen, dass bösartige Betrüger versuchen, netcup-Kunden durch Phishing zu betrügen.

Wir haben daher auch einen umfangreichen Artikel in unserem Wiki veröffentlicht, der die Erkennung von Phishing-E-Mails erleichtern soll. Es treffen auch einige Merkmale auf die aktuelle E-Mail zu:

Schutz vor Phishing – netcup Wiki

Bleibt also vorsichtig und wachsam und habt ein schönes Wochenende

Zitat von wikrie

Frage nur woher haben die die Domain Namen mit den Email Adressen? Gab es da ein Lag bei Netcup?

Die Domain-Namen sind öffentlich (z.B. Certificate Transparency Log, Suchmaschinen, etc.) und die E-Mail-Adressen sind in diesem Fall immer info@DOMAIN.de. Wahrscheinlich wurde vorher geprüft, ob die jeweilige Domain einen A-Record zu einer netcup-IP hat. In meinem Fall ist die Domain NICHT bei netcup registriert, aber der Server ist von netcup (A/AAAA-Record der Domain verweist auf diesen). Denn die E-Mail-Adresse hat in meinem Fall nicht einmal existiert (Mail kam nur wegen Catch-All).

Zitat von wikrie

Frage nur woher haben die die Domain Namen mit den Email Adressen? Gab es da ein Lag bei Netcup?

Ich zitiere mich einmal selbst…

Zitat von KB19

Es gibt im Internet (gegen Geld) Listen von Domainnamen, oder man baut sich selbst einen Bot zum Durchsuchen des Webs, ähnlich einer Suchmaschine. Domainnamen sind ja auch nicht wirklich privat und z.B. auch durch Certificate Transparency Logs schnell bekannt.

Impressum, Datenschutzerklärungen, Kontaktseiten, … – irgendwo steht sicher eine.

Oder stumpfes ausprobieren von info@, support@, contact@, usw.

EDIT: Oder z.B. auch gehackte Mailaccounts bei Personen, mit denen man Kontakt hat. Wenn die Domain der E-Mail-Adresse dann im DNS auf netcup zeigt…

Alles anzeigen

Ergänzend, das was nexus schreibt:

Zitat von nexus

Wahrscheinlich wurde vorher geprüft, ob die jeweilige Domain einen A-Record zu einer netcup-IP hat.

Zitat von [netcup] Lars S.

hinzuweisen, z.B. mit einem Banner auf netcup.de und einer aktuellen Meldung auf netcup-status.de.

Vielleicht schickt ihr vorsichtshalber eine E-Mail an alle Kunden raus um davor zu warnen. Ich gehe nicht davon aus, dass sich sofort jeder die Netcup Website ansieht oder hier im Forum vorbei schaut - sondern aus Stress blind auf den Link klickt.

mich hats heute auch erwischt und ebenfalls auf eine info@domain.de im WH

Hallo,

habe auch an verschiedene Domains diese Mail bekommen. Gingen alle an die jeweilige info@

Ein Blick auf die Absender-Mailadresse und der Hinweis "ԁo‍‍‎‎‎‬‬‬mänen‍‍‎‎‎‬‬‬name so‍‍‎‎‎m‍‍‎‎‎i‍‍‎‎‎t in w‍‍‎‎‎en‍‍‎‎‎ig‍‍‎‎‎en Mi‍‍‎‎‎nu‍‍‎‎‎t‍‍‎‎‎en g‌‌‌e‍‍‎‎‎spe‌‌‌rrt" lässt einen doch nur schmunzeln. Wenn ihr euch dann auch noch die Adresse des Links etwas genauer anseht, dann ist doch alles klar. Da brau ich doch noch nicht mal einen Blick auf den Header.

Ist bei mir übrigens schon die zweite Welle.

Zitat von nexus

pasted-from-clipboard.png

Mail ist an eine info@-Adresse gegangen (diesmal andere Domain als die bisherigen Spam-Mails).

Die E-Mail-Adresse existiert jedoch nicht und ging nur wegen dem Catch-All in meinen Posteingang.

Absender-IP war 5.9.137.222 und ist jetzt auch beim roten H gemeldet.

pasted-from-clipboard.png

Alles anzeigen

Auch hier hat das rote H jetzt nach der Abuse-Meldung die IP gesperrt.

IMG_20230422_234758.jpg

Nur zur Info. Die ziehen den Scam sogar noch weiter durch. Gleiches Schema:
- info@ Adresse
- netcup Domain

- gleiche E-Mail Sender Domain

Dieses mal aber mit einem Banking-Phishing-Attempt:

Interessant wäre ob die betroffenen auch wirklich bei der PostBank sind, oder ob das einfach ein wilder guess ist.

Zitat von Bud

Interessant wäre ob die betroffenen auch wirklich bei der PostBank sind, oder ob das einfach ein wilder guess ist.

Für mich kann ich sagen, dass ich nicht bei der Postbank bin. Also ein Schuß ins Blaue (bzw. in den Ofen).

Bei mir waren es 4x netcup, 2x ING Diba, 1x Postbank, 1x DKB, 1x DHL Express, 1x rotes H Cloud. Hat am 31. März angefangen.

Netcup konnte wahrscheinlich über die Domain ermittelt werden.

Beim roten H habe ich tatsächlich auch einen Server, aber dort ist die einzige Verknüpfung der E-Mail-Adresse zum Server die gleiche Domain bei der E-Mail-Adresse wie bei den Nameservern einer Domain, die auf den Server verweist (zu 99% bin ich mir sicher, dass das nicht überprüft wurde).

Bei den anderen bin ich nicht Kunde, also "wilder guess".

Bei mir heute 4x vom "Netcup Team" und 4x "Postbank AG", jeweils an info@meinedomain.de (Adresse existiert nicht, kam über catch-all rein). Absenderadressen waren immer nach dem Schema contact-xxxxxxxx@fondation-santeservice.biz, DKIM valid. Zur Postbank unterhalte ich keine Geschäftsbeziehung.

Davor war bei mir bisher eigentlich nie was derartiges.

Tja, leider auch bei mir mit netcup und Pastbank (obwohl kein Kunde).

Ich sehe dass, pro Tag ca. 27 (Hack-) Versuche pro domain bei mir stattfinden. Die /sitemap.xml und /robots.txt sind schon als kein Hackversuch gewertet worden.

Gerne wird Wordpress aus Einstieg versucht: .... /p-login.php oder ähnlich

Auch völliger Schwachsinn, in der Hoffnung der Apache ist schlecht konfiguriert.

Sicherheit sollte absolut hoch im Kurz stehen.

Hallo,

gestern Abend spät heimgekommen und ebenfalls eine "Letzte Erinnerung für die Domainname" Mail erhalten.

Erstmal einen Schock bekommen und (weil ich eine aus Faulheit noch 2 Wochen alte Rechnung offen hatte) in der Müdigkeit noch auf den Link geklickt.

Zum Glück bemerkte ich noch, dass ich im Browser auf eine ominöse "consult" URL geschickt wurde, anstatt auf eine offizielle netcup Domain und dankenswerterweise bin ich mit vollen Skriptblockern unterwegs, so dass nur eine weiße, leere Seite geladen wurde.

Im Hinterkopf jetzt natürlich doch bissl Bammel, dass ich mir nun durch den Linkbesuch irgendwas eingefangen habe. Hat da irgendjemand welche Erfahrungen was da wirklich passiert wenn man mal draufgeklickt hat?

Zitat von [netcup] Lars S.

Bei größeren Phishing-Wellen, wie in diesem Fall, versuchen wir unsere Kunden bestmöglich darauf hinzuweisen, z.B. mit einem Banner auf netcup.de und einer aktuellen Meldung auf netcup-status.de. Das ist auch nun bereits wieder erfolgt.

In diesem Fall hätte ich mich tatsächlich über eine Warnung per E-Mail gefreut, da das Forum und die Netcup Hauptseite jetzt doch Seiten sind, welche ich nur unregelmässig besuche.

Zitat von tps

Im Hinterkopf jetzt natürlich doch bissl Bammel, dass ich mir nun durch den Linkbesuch irgendwas eingefangen habe. Hat da irgendjemand welche Erfahrungen was da wirklich passiert wenn man mal draufgeklickt hat?

Wenn der Browser (sowie das Betriebssystem) aktuell sind und (so lese ich das heraus) sogar JavaScript bei unbekannten Domains blockiert wird, dürfte das Risiko eher gegen Null tendieren. Im Normalfall wollen die unbemerkt Zugangsdaten mit dem Formular abgreifen und nicht schon vorher alle Virenscanner Alarm schlagen lassen.

Alle Angaben ohne Gewähr, ein Restrisiko lässt sich nie ganz ausschließen. Aber das gilt dann für jede geöffnete Seite im Browser.

Zitat von tps

Im Hinterkopf jetzt natürlich doch bissl Bammel, dass ich mir nun durch den Linkbesuch irgendwas eingefangen habe. Hat da irgendjemand welche Erfahrungen was da wirklich passiert wenn man mal draufgeklickt hat?

Ich würde mir eher darüber Sorgen machen, dass die Spammer jetzt wissen, dass jemand mit der E-Mail-Adresse die E-Mails auch bekommt und liest (im Link ist bei allen E-Mails eine vermutlich einzigartige ID gewesen). Das heißt: Auf mehr Spam einstellen und aufpassen

Zitat von tps

Im Hinterkopf jetzt natürlich doch bissl Bammel, dass ich mir nun durch den Linkbesuch irgendwas eingefangen habe. Hat da irgendjemand welche Erfahrungen was da wirklich passiert wenn man mal draufgeklickt hat?

Im Regelfall ist die Phishingseite nur dazu da, Accountdaten (Nutzername und Passwort) abzugreifen und enthält keine Schadsoftware. Im Regelfall bietet ein aktueller Browser auf einem aktuellen Betriebssystem ausreichend Schutz selbst bei Schadsoftware, insbesondere wenn man mit Skriptblocker und Adblocker unterwegs ist. Die Mehrheit der Leute mit Schadsoftware auf dem Rechner hat eine Datei runtergeladen und ausgeführt. Der Klassiker ist die letzte_mahnung.docx mit Markos.

Letztlich gibt es keinen hundertprozentigen Schutz. Selbst seriöse Seiten fallen ganz vereinzelt dadurch auf, dass die eingeblendete externe Werbung Schadsoftware verbreiten will. Insofern hilft nur das System aktuell und sicher zu halten, und möglichst aufmerksam zu bleiben (z.B. bei Mails den Header kontrollieren). Ich kann das Gefühl aber gut nachvollziehen. Meine "Paranoia", also die Sorge vor Datenverlust und einer Menge Ärger, ist etwas besser geworden, seit ich meine Backupstrategie verbessert habe.

Ja, ich habe da mal ein wenig rumprobiert. Mein angeblicher Postbank-Link geht auf eine Subdomain der Domain tayras.de. Gibt man im Browser als URL z.B. 12345678.tayras.de ein, also ohne das ganze Gedöns hintendran und auch eine andere Subdomain als bei meinem Link, dann passiert erst mal lange Zeit nichts. Irgendwann wird man weitergeleitet auf eine Subdomain von ata-group.de, vermutlich abhängig von der Subdomain von tayras.de, die man eingegeben hat. Dann passiert wieder lange Zeit nichts und irgendwann landest du dann auf einer gefaketen Login-Seite der Postbank. Wahrscheinlich zu einem Zeitpunkt x 1 zu 1 abgekupfert vom Original, auch wenn das mittlerweile schon wieder etwas anders aussieht, weil in der rechten Spalte bei der Postbank mittlerweile etwas anderes drinsteht. Aber wer weiss schon, was da jeweils rechts steht? Das ändert sich ja sehr häufig.

Hmm, wie geht das rote H eigentlich konkret mit so etwas um? Belassen die es dabei, den Server (die IP) zu sperren, wie in der Antwortmail geschrieben, und den Kunden eventuell rauszuschmeissen? Oder gibt es da wenigstens eine Anzeige/Meldung an die zuständigen Stellen? Falls nicht, wäre das doch etwas billig.