Phisingmail von "Netcup"

  • Das nicht, aber offenbar wird der „Beruf“ Phisher demnächst von KI ersetzt:

    https://www.heise.de/news/Text…ls-erstellen-9217865.html

    Also wenn diese "netcup"-Phishing-Mails von einer KI verfasst wurden, dann waren das bisher alles eher bedauerliche Versuche. Das sollte die KI noch ein wenig üben. Aber ja, auch auf sowas fallen Leute rein. Nicht ausschliesslich weil sie zu blöd wären, das anhand des Texts und der Links zu erkennen, sondern weil viele Leute ihre Mails offenbar gar nicht lesen, sondern bestenfalls nu überfliegen - und stattdessen einfach auf den nächstbesten enthaltenen Link klicken und die geforderten Angaben machen. Was freilich wiederum auch ziemlich blöd ist. Da wird "keine Zeit" dann ganz schnell mal zum echten Problem.

  • Hi H6G,


    unsere Rechnungsnummern sind fortlaufend, wie vom Gesetzgeber gefordert, daher gibt es darin keine Prüfzimmer. Deine Anregung gebe ich an die zuständige Abteilung zur Prüfung weiter.

  • Hi H6G,


    unsere Rechnungsnummern sind fortlaufend, wie vom Gesetzgeber gefordert, daher gibt es darin keine Prüfzimmer. Deine Anregung gebe ich an die zuständige Abteilung zur Prüfung weiter.

    Fürchterlich wären Rechnungsnummern wie bei Amazon (Marketplace) und anderen. Wenn eine Rechnungsnummer nur irgendwo innen drinnen fortlaufend ist und mit Präfix, Postfix und sonstigen Teilen mit Bindestrichen daherkommt, ist das äußerst undurchsichtig.


    Und ganz schlecht wäre das im Partnerprogramm, wo die Rechnungsnummern, aber kein Datum ersichtlich ist.

  • Als technische Lösungsfindung ohne durch Schulungen gegen social Engineering, wie auch Phishing davor repetetiv schützen zu müssen folgendes:

    Im Email-Header ist ja viel fälschbar. Immer wieder toll sich zu fragen, wer im Internet eigentlich wen zertifiziert und mit wem man durch eine IP in einem Topf landet.


    Hat Netcup nicht die Möglichkeit, von einer explizieten statischen IP/(Adresse) für "verwaltungszewcke" zu senden, was dazu (when anhand der IP nicht sauber gefiltert wird), mit einer digitalen Signierung beim Email Client oder bereits bei bereitgestellten Servern unterschieden werden kann?.


    Vielleicht auch für mehr Kompatibillität übers Control-panel als weitere Filteroption/Anhang in Emails von netcup aktivierbar?. Ist bei Vergleich von Domain, IP und Publickey sowas nicht in relation zum (Pflege)Aufwand aus der Welt zu schaffen? Anschließen verweist man dann auf den Publikkey, der aktivierbaren signaturfunktion und generelle Anleitung rund ums Phishing, womit deutlich mehr gefiltert werden sollte. Auch internes monitoring, automatisches ticket erstellen und melden an Verantwortliche&eigene Kunden für domains könnte dabei auch intern weniger Aufwändig werden. Mal sehen, ob das mit Thunderbird sich per addon automatisiern lässt. Auf den Debian Wiki-pages unter SecureApt erst kürlich nochmal deren System zur Signierung von z.B. Packages über GNU Privacy Guard Nachgeschlagen (Finde darin Links zu vielen genutzten Basics gut umgesetzt). Lasse ich da grob etwas ausser Acht?

  • layd : Die Bereitstellung eines Add-ons – zumal nicht nur für Thunderbird, sondern auch für Outlook – dürfte etwas zu viel Aufwand bedeuten.

    Die Möglichkeit, SPF/DKIM/DMARC zu verwenden sowie zumindest eigene (E-Mails mit angehängten) Rechnungen zu signieren ist sicherlich gegeben und einige Dienstleister machen hiervon auch Gebrauch. (Ob diejenigen Nutzer, welche bislang auf Phishing-E-Mails hereingefallen sind, von diesen zusätzlichen Regeln profitieren würden, lasse ich einmal dahingestellt – ein Blick ins CCP zeigt doch den maßgeblichen Stand der laufenden Verträge an, wenn dieser sonst nirgendwo hinterlegt ist. Und diese zwei Minuten sollte man immer investieren.)


    Andererseits ist es auch von Kundenseite her recht einfach, von Anfang an eine E-Mail-Adresse zu hinterlegen, welche ausschließlich in Verbindung mit Netcup-Verträgen/-Rechnungen zum Einsatz kommt. Bislang ist hier noch keine einzige Spam-/Phishing-E-Mail eingetrudelt, welche diese verwendet. Und alles, was nicht im korrekten Ordner (dank E-Mail-Adressen-Filterregeln) landet, wird einfach ignoriert, Punkt.

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

    Edited once, last by m_ueberall ().

    Like 2
  • layd : Die Bereitstellung eines Add-ons – zumal nicht nur für Thunderbird, sondern auch für Outlook – dürfte etwas zu viel Aufwand bedeuten.

    Die Möglichkeit, SPF/DKIM/DMARC zu verwenden sowie zumindest eigene (E-Mails mit angehängten) Rechnungen zu signieren ist sicherlich gegeben und einige Dienstleister machen hiervon auch Gebrauch. (Ob diejenigen Nutzer, welche bislang auf Phishing-E-Mails hereingefallen sind, von diesen zusätzlichen Regeln profitieren würden, lasse ich einmal dahingestellt – ein Blick ins CCP zeigt doch den maßgeblichen Stand der laufenden Verträge an, wenn dieser sonst nirgendwo hinterlegt ist. Und diese zwei Minuten sollte man immer investieren.)


    Andererseits ist es auch von Kundenseite her recht einfach, von Anfang an eine E-Mail-Adresse zu hinterlegen, welche ausschließlich in Verbindung mit Netcup-Verträgen/-Rechnungen zum Einsatz kommt. Bislang ist hier noch keine einzige Spam-/Phishing-E-Mail eingetrudelt, welche diese verwendet. Und alles, was nicht im korrekten Ordner (dank E-Mail-Adressen-Filterregeln) landet, wird einfach ignoriert, Punkt.

    In diesem Zusammenhang sei auf die Möglichkeit von Delimitern hingewiesen:


    https://www.postfix.org/postconf.5.html#recipient_delimiter


    Z.B.: ich+netcup-meinekundennummer@meinedomain.com

    Landet im selben Postfach wie ich@meinedomain.com, ist kein Wildcard, muss nicht extra angelegt werden, und ist doch eine eigene (Sub-) E-Mailadresse.

  • Die derzeitigen Phishing-Mails sind auch eigentlich sehr dilettantisch gemacht. Außer dem Anzeigenamen und dem schlecht kopierten Text/Logo kommt netcup darin gar nicht vor. Die Absenderadesse ist offen ersichtlich und nicht von netcup. Rechnungen von netcup kommen - zumindest bei mir - immer von mail@netcup.de und gehen an die von mir im CCP eingegebene Adresse und nicht an info@meine-angeblich-zu-bezahlende-domain.tld. Mehrmals an die "Mahnungen" angehängte Rechungen mit der selben Rechnungsnummer sollten auch nicht von Mahnung zu Mahnung ein anderes Rechnungsdatum haben. Auch würde man doch erwarten, dass die Links zur Bezahlungs-(Phishing-)Seite zumindest irgendeinen Bezug zu netcup haben und nicht auf irgendeine wildfremde (Sub-)Domain verweisen.


    Es passt einfach nur gar nichts. Offenbar muss es aber doch immer ein paar Opfer geben, sonst würden die Täter ja mit dem Mist aufhören - oder gar nicht erst damit anfangen, weil es sich nicht rentiert.

  • LOL, gerade ist ein verschollenes U-Boot aufgetaucht. Die Inklusivdomain meines Webhosting Bestprice Classic, deren Mailkonto nur noch auf dem Smartphone empfangen wurde. Da ist jetzt gerade tatsächlich die mittlerweile siebte Phishing-Mail seit Mitte April aufgeschlagen. Das war damals die "Letzte Erinnerung für die Domänenname ...". Eigentlich hätte sie einige Minuten später gesperrt werden sollen, so wie es eben passiert, wenn man eine Inklusivdomain nicht jährlich bezahlt und verlängert ^^;) .


    Bisher konnte ja leider nur die Domain nicht verlängert werden, aber jetzt ist auch noch das Konto :?::?:?( abgelaufen =O .

  • zuerst mal echt nice für die zeitnahen passenden Nachrichten dazu.

    Die angezeigten Vertragsdaten im ccp sind eindeutig und die oberste Instanz (wenn jemand auf der Ebene Einfluss nehmen könnte, gibts wahrscheinlich ganz andere grobe Probleme). Selber ist man mit gesundem Menschenverstand eigentlich immer raus.

    Auch die delimiter Möglichkeiten sind echt hilfreich (auf Kuketz blog las ich mal eine für mich gute Nutzung darüber). Beim Wunsch Providerunabhängig zu bleiben, schwebt mir aber selber eine Lösung mit einer Catchall Variante für meine eigenen Adressen Vor, bei der man ohne auf netcup viel hinzufügen muss für jeden Account eine eigene Email-adresse nur im Passwortmanager generiert. Das delimiter und Zufällige Zahlen bei Interpretierung von Email-adressen erkannt und auch gerne mal geblockt werden ist kein geheimnis. Ob das so funktionieren wird und bei vorhandenen Informationen, wie dem Datenschutzhinweis Identifizierbar Rechtens ist, weiss ich noch nicht (Da man bei demCatchalllPostfach ja den Absender ändern muss in den Metadaten).

    Bei den z.B. Kunden (auch DAUs in IT) mit Ihrer Vielfältigkeit im Email-Alltag gehts mir aber darum, das Unsicherheit und Handlungsdruck gar nicht erst aufkommt und andere Themen dran sind. Sprich unaufwändig mit wenig Einflussnahme in der Arbeitsweise bei Kunden als Person und Geräte/Softwareunabhängig bei Bedarf Anwendbar

    Kopfdaten, wie IP und Absenderdomain sollten bei Hinzunahme von zertifkaten einfach reichen müssen (Was auch im Datenschutz für die Mailserverfunktionen zu einer angefügten Signierung eh schon erlaubt sein muss). Der Entwicklungs- und vor allem Pflegeaufwand bei Addons wäre klar zu hoch, da stimme ich voll zu. Es geht mir da eher um nen Imap Client auf z.B. einer Virtuellen Maschnine (wenn der Exchange das nicht kann), welche für alle anderen Clients im Postfach durch bereits existieren addons "aufräumt". Ich finde es gibt einfach zu viele Kunden, die Selber mit Filterregeln arbeiten und da ständig zu prüfen oder auch vorgeben zu müssen, dürfte nicht lückenlos (und ohne Frust) funktionieren. (zumal bei der Vielzahl an Email-Client Software). Wer zusätzlichen Aufwand will macht sich auch gerne welchen. vermutlich wirds das Einfachste sein, externe Email-Postfächer für Netcup-Nachrichten vorzugeben und bei den anderen Postfächern alles "als" netcup zb im absender zu Markieren/verschieben/ausser reichweite zu schaffen. Vielleicht sollte Netcup einen Hinweis im ccp hinterlegen, wenn man bei Netcup gehostete Adressen dafür hinterlegen möchte (Zugriff auf Nachrichten zur Lösung bekommen, wenn Zugriffe das eigentliche Problem sind? (Gibt sicherlich noch nach Themen suchende für belohnung von geschriebenen Anleitungen)). Wirklich dünner wird es von der eingesetzten technik(und Aufwand) dabei definitv nicht (keep it simpel and Clean??), aber die 8. OSI-Layer schicht fällt dann noch etwas weniger ins gewicht XD. Wurde ein Lösungsvorschlag gennant, bei dem ich wohl etwas ausser acht lies und mir genauer nochmal anschauen sollte?

  • layd hilft alles nichts. Es wird immer Nachrichten geben, die durchkommen oder für die als Patient Zero gelten werden.


    Würde ein Brief nicht 80 Cent kosten, hättest (und hast) du sowas auch im Briefkasten - bestes Beispiel sind "Rechnungen" für Handeslregistereinträge an eine ausländische IBAN: https://www.ihk.de/osnabrueck/…s/fake-rechnungen-5565360


    Da hilft nur Aufmerksamkeit, Schulungen und die ein oder andere Test Fake-Kampagne im eigenen Unternehmen.

    Als Privatperson kann man sich auch testen lassen bei einigen Anbietern, die dann nach einer zufälligen Zeit dir Fake Fakes zustellen.


    Errare humanum est <- darauf zielen die Angriffe, und die wird es auch in Zukunft geben.

  • ...

    vermutlich wirds das Einfachste sein, externe Email-Postfächer für Netcup-Nachrichten vorzugeben und bei den anderen Postfächern alles "als" netcup zb im absender zu Markieren/verschieben/ausser reichweite zu schaffen. Vielleicht sollte Netcup einen Hinweis im ccp hinterlegen, wenn man bei Netcup gehostete Adressen dafür hinterlegen möchte (Zugriff auf Nachrichten zur Lösung bekommen, wenn Zugriffe das eigentliche Problem sind? (Gibt sicherlich noch nach Themen suchende für belohnung von geschriebenen Anleitungen)).

    Dass bei netcup gehostete Postfächer als Kontaktadresse (E-Mail-Adresse Vertragspartner) nicht taugen ist klar. Das haben schon so manche Kunden erfahren, als ihnen netcup aus diversen Gründen (Abuse, Speicherlimit überschritten, ...) z.B. ihr Webhosting gesperrt hat und sie es nicht sofort mitbekommen haben, weil sie ja die entsprechende Benachrichtigung nicht bekommen haben, da auch die Postfächer gesperrt werden. Das ist also auch unabhängig von Phishing sehr sinnvoll.


    Da wäre ein direkter Hinweis von netcup im CCP bei den entsprechenden Feldern in den Stammdaten sicher sehr sinnvoll. Es steht da zwar, wofür diese Adresse genutzt wird (also praktisch alles außer Tiernahrung ähhh Rechnungszustellung), aber nicht jeder denkt daran, was das dann im Falle einer Störung oder Sperrung bedeutet.

  • Ich bekomme jetzt inzwischen so massiv viele Spam Mails auf sämtliche Domains und auf sehr viel unterschiedliche Mail Adressen, dass es richtig ungut ist weil auch einige Mitarbeiter inzwischen endlos Mails bekommen (an info@, kontakt / contact @, service/support etc.)

    Ich kannte das in dieser Form nicht und bin sehr stark am überlegen alles umzuziehen. Es betrifft jetzt auch domains die als extern bei Netcup hinterlegt sind. Großes Kino.

  • Ich bekomme jetzt inzwischen so massiv viele Spam Mails auf sämtliche Domains und auf sehr viel unterschiedliche Mail Adressen, dass es richtig ungut ist weil auch einige Mitarbeiter inzwischen endlos Mails bekommen (an info@, kontakt / contact @, service/support etc.)

    Ich kannte das in dieser Form nicht und bin sehr stark am überlegen alles umzuziehen. Es betrifft jetzt auch domains die als extern bei Netcup hinterlegt sind. Großes Kino.

    Ob das was hilft? Ich hatte das Zeug auch schon in Mailboxen die nicht bei netcup liegen.

  • Ob das was hilft? Ich hatte das Zeug auch schon in Mailboxen die nicht bei netcup liegen.

    Lagen die Domains in der Vergangenheit bei netcup? Oder hast du auf Webseiten welche du bei netcup hostest Mail-Adressen dieser Domain stehen?

    [RS] 2000 G11 | 2000 G9 | 500 G8 | 2x Cyber Quack

    [VPS] 2000 ARM G11 | 1000 G9 | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

  • Wird jetzt nichts mehr helfen, aber vielleicht in Zukunft. War auch eher eine trotz Reaktion ehrlich gesagt.

    Habe Privat noch wo anders ne Domain, hier auch ein cache all Postfach und hatte dort, sowie auch jemals zuvor (also vor dem Umzug zu Netcup) nie irgendwelche Spam Probleme.

    Mein Problem ist es halt, dass ich die Mails nicht selbst bekomme sondern eben verschiedene Mitarbeiter, ich am Anfang tägliche Anrufe bekommen habe wegen "unbezahlten Rechnungen" (Die Mails sind dann an die Buchhaltung weitergeleitet worden und ich bin selbst oft dann nicht im Betrieb) und letzlich steigt für mich somit das Risiko dass irgendwann mal was in die Hose gehen wird an meinen Firmen PCs.

    Ich werd dann individuelle Filter einstellen müssen und habe im Grunde keine Zeit dazu.


    Lange Rede kurzer Sinn - irgendwie sollte Netcup schauen, dass etwas unternommen wird.

  • Lange Rede kurzer Sinn - irgendwie sollte Netcup schauen, dass etwas unternommen wird.

    Ich glaube nicht, dass netcup hier sehr viel machen kann, außer zu informieren und es beständig dem Provider mitzuteilen, von dessen Servern aus diese emails verschickt werden. Der muss das zeitnah eindämmen.

  • Ich glaube nicht, dass netcup hier sehr viel machen kann, außer zu informieren und es beständig dem Provider mitzuteilen, von dessen Servern aus diese emails verschickt werden. Der muss das zeitnah eindämmen.

    So ist es und das muss halt schnell passieren - insbesondere wenn netcup als solches solchen Angriffen ausgesetzt ist. Mein Gefühl sagt mir, dass seitens Netcup einfach so gut wie nichts passiert oO

  • Was sollen sie denn unternehmen? Sie haben ja keinerlei Aktien da drin. Die Absenderdomains sind nicht von netcup, weder offiziell noch dort registriert, zuständig ist meist entweder das rote H oder das H mit dem "OV" davor. Über die Mails haben sie also schon mal keinerlei Kontrolle, es sind auch alle paar Tage andere. Somit können sie darüber schon mal nichts filtern. Der Betreff ist auch immer wieder anders, ebenso der Anzeigename. Bestenfalls können sie eine Anzeige gegen Unbekannt erstatten.


    Da muss die Buchhaltung eben eine Schnellbleiche im Lesen von From-Headern und Überprüfen von Links erhalten. Wenn der From-Header vielleicht in Outlook nicht angezeigt wird sondern nur der Anzeigename, muss man denen das eben umstellen, so dass sie sehen wer ihnen da schreibt. Sonst ist ja jedem Spammer sowieso Tür und Tor geöffnet. Echte Rechnungen kommen von mail@netcup.de. Und im Zweifelsfall, der bei den Phishing-Mails, die ich bekommen habe, eigentlich nicht auftreten sollte, eben nirgends draufklicken und dir vorlegen/weiterleiten.


    Deine Domains und E-Mail-Adressen, an die erfolgreich die Phishing-Mail verschickt werden konnte, stehen mittlerweile sowieso auf irgendeiner Liste, die automatisiert abgearbeitet wird. Da dürfte den Tätern mittlerweile egal sein, wo die Postfächer liegen. Vom Aufwand eines Umzugs oder gar Änderung der Domain mal ganz abgesehen.

  • ....Wo ein wille, da ein weg, unaufmerksamkeit kann immer wieder teuer zu stehen kommen, stimmt.

    Zu Ignoranten, bis es dann zum knall kam: Kein Backup, kein Mitleid.... Entscheidet ja jeder für sich.

    a) Wer bleibt weiterhin grob fahrlässig "Putzkraft-Admin" und wies als Fachkraft Nachwievor nicht mal auf unzureichende Umsetzungen von Mitarbeiterschulungen hin? ...Man würde es hier nicht erwähnen, wenn nichts dran wäre.

    b) Wie weit willst du gehen? Der sicherste Rechner ist, der der aus ist (Kumpel mal dazu: Die Spannung der Cmos-Batterie bei nem Mainboard bei ihm reichte für ein überschreiben der Firmware/des UEFI)


    Wahrscheinlich sehendeutlich mehr einen Hinweis im ccp zur Email-Adressenangabe vom "Vertragspartner" als sinnvoll.

    Wie andere ist es bei netcup aber ja auch ein Problem mit Phising und Betrug.


    moment,

    Die für DNS-Bots Abrufbare Email-Adresse für abuse Hinweise bei Domain ist die gleiche für alle sensiblen und wichtigen Nachrichten von netcup?

    Die mögliche Trennung von Adresse des Vertragspartner und Adresse im Bezug auf die Domain hätte ganz neue verbesserungen:

    1. Wichtiges von Netcup an eine verwendungszweckmäßg nicht erratbare, isolierte(Auf Gerätebezogen) und expliziete Email zb bei mailbox dürfte "keine" Betrugsnachrichten bekommen (und wenn doch, so selten, das anderen Dingen/Probleme durch Admins auf die Spur gekommen werden sollte.) 1:1 Unterhaltung

    2. Hat man selber nichts weiter rechlich relevantes zusätzliches, kann man im besten Fall alles ankommende ausser bei der für die Domain angegebenen Adresse direkt Filtern und diese Nachrichten direkt Voreingenommen betrachten. Wenns rechtlich ok wäre, würde ich glaube ich sogar als autoantwort auf zb abuse...2149@.... für seriöse antworten, evtl. neben anderen Kontaktmöglichkeiten und Lösungsvorschlöge verweisen, womit wieder detlich mehr "machenschaften" ins leere verlaufen sollten. Also was dann durchkommt, wäre evtl einen blick auf intelligente Umsetzung wert, wo man aber auch gannz klar erkennen sollte, dass es da um andere anliegend gehen sollte.

    3. Ich glaube der Aufwand durch fragende Anwender düfte damit im Vergleich nach Einrichtung deutlich sinken. Ein mimimi, von Kunden ist dann find ich eindeutlig ohne einfluss auf Ruf etc abwendbar, wenn sie weiter sparen wollen, Ihre Geräte Datenkraken sind und Sie evtl schlecht mit daten umgehen, kann man eh nicht viel machen.


    Damit man mitunter nicht exessiv das eine Postfach abrufen muss, individeller (auch bequehmer) handeln kann, fänd ich folgendes Hilfreich:

    Immer wenn netcup eine Email Versendet, eine SMS/oder anderes erhalten. Die grundlegende Infrastruktur sollte durch die 2FA schon gegeben sein. Mit Hinweis, das mögliche rechtliche Pflichten nie von SMS/etc ersetzt werden, und eine SMS KEIN eindeutiger Hinweis einer echten Nachricht ist, kann man selber den email Abruf ja weiter Handhaben wie man will, nachdem man die Hinweise bestätigt hat. Akzeptabel wäre dann für manche auch, keinen email-Client mit dieser Adresse mobil auf dem standartsmartphone 24/7 mitschleppen zu müssen.


    Mögliche Rechtlich-Wichtige, zeitnah zu bearbeitende Nachrichten halten einen momentan davon auch ab, z.B. Spamfilterung zu hart einzustellen oder als anwender unbedenklich schnell und sicher zu kategorisieren. Vieles mehr "von netcup" ist mit oben beschriebenen rechtlich unbedennklichen groß bei den nicht dafür vorgsehenen Postfächern Filterbar, richtig? Für rechtliches zwischen netcup ist zb. die externe mailbox da. Selbst bei der Mailadresse, die für die eigene Domain angegeben werden muss, ist alles im bezug auf "nach von netcup selber", direkt so für anwender meist besser differenzierbar. Technisch dürfte es kein katz und mausspiel geben, da es für Anwender Organisatorisch separiert wird und in dem sinne nicht wie herkömmlich bearbeitet/gefiltert/unterschieden wird(kein ständiges kleines optimieren von Spamfilter). Bei intuitiver Einrichtung in Netcup düften diese Probleme so deulich besser zu regeln sein und mitunter gar nicht erst entstehen.

    Ich glaube das dies neben allen anderen Wichtigen dingen in relation zum aufwand eine gute langfristigere Möglichkeit sein kann

    hmm? Rückmeldungen dazu?