Das längste Thema

  • Kam gerade eben bei mir als Mail rein. Allerdings an meine "falsche" Adresse. Der Link selber führt dann auf ne Seite die 1:1 wie das CCP aussueht und nach Eingabe von "irgendwelchen" Daten kommt man dann auch tatsächlich zum CCP....

    Das wäre doch einmal eine gute Gelegenheit, das CCP analog zum SCP durch DNSSEC abzusichern (Bonuspunkte für passende TLSA/DANE-Einträge im DNS):


    ccp_no_dnssec.png


    scp_dnssec.png


    (CC [netcup] Felix P. / [netcup] Lars S.)


    … und auf der Client-Seite empfiehlt sich die strikte Nutzung eines Passwort-Agenten für alle Webbrowser, welcher sich zu Recht sträuben wird, auf fremden Seiten das korrekte Passwort in irgendwelche Felder einzufügen!

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

  • Hallo,


    natürlich bin ich in die Phishing-Falle getappt, als ich nebenbei die Nachricht, die ich anscheinend erhalten habe, auf dem Handy lesen wollte. Glücklicherweise konnte ich noch rechtzeitig eine Sitzung öffnen, bevor der Angreifer das E-Mail und Passwort ändern konnte. Dies geschah dann während meiner Sitzung. Da ich die E-Mail wiederum ändern und mir ein neues Passwort zuschicken lassen konnte, konnte ich den Angreifer so hoffentlich erstmal aussperren.


    Ich habe direkt den Support angeschrieben. Alle meine Hosting-Angebote habe ich deaktiviert, jedes Passwort (E-Mail, Datenbanken, FTP-Zugänge, SSH-Keys) neu vergeben bzw gelöscht. Hat noch jemand Tipps, was ich kurzfristig tun kann? Was kann ich noch tun, um zu sehen, ob der Angreifer Schäden verursacht hat ob eventuell Daten abgeführt wurden?


    Auf keinen Fall möchte ich meine Schuld hier bestreiten. Beim Phishing ist (fast) immer der Nutzer selbst schuld. Aber ein paar Sachen seitens Netcup bringen mich schon ins Grübeln. Warum erhalte ich keine Benachrichtigung per Mail, wenn der Angreifer E-Mail, Passwort und Telefonnummer (vermute ich) ändert? Wenn das Problem seit gestern bekannt ist, warum informiert Netcup die Nutzer nicht per Mail? Ich erhalte ja auch regelmäßig das Betteln bei der Wahl zum Hoster des Jahres, da hätte ich mir doch den Warnhinweis lieber gewünscht. Wenn http://www.netcup-status.de wenigstens einen RSS-Feed zur Verfügung stellen würde, wäre ich drauf aufmerksam geworden. Oder man kommuniziert das Problem in den sozialen Medien. Warum wird der Spamfilter nicht vorsorglich konfiguriert, dass genau diese Mails abgefangen werden (ich bin jetzt einfach mal so naiv und behaupte, das geht so einfach). Und warum ist in der Meldung nicht direkt eine Notfallnummer gelistet, bei der man sich im Fall der Fälle melden kann, um zumindest alles sperren lassen zu können, wenn man nicht so ein Glück hatte, wie ich?

  • Kennt jemand eine Möglichkeit das aktuelle Tageshoroskop für ein Sternzeichen per curl/sonst wie über die CLI zu bekommen? Ich bastel an einem Raspberry-Projekt und habe keine Lust irgendwelches HTML von Online-Portalen zu parsen :D

    Meine Minecraft-Plugins auf SpigotMC (Open Source): www.spigotmc.org/members/mfnalex.175238/#resources

    Discord: discord.jeff-media.com

  • Sorry, aber selbst meine Eltern (Beide jenseits der 60 bzw. Anfang 70) wissen, dass man solche hoch seriöslichen Dinge weder öffnet noch irgendwelche Links darin anklickt. Das hast du selbst verbockt. netcup hier irgendwelche "Schuld" zu zu schieben dass du nicht informiert wurdest ist absurd.

  • Sorry, aber selbst meine Eltern (Beide jenseits der 60 bzw. Anfang 70) wissen, dass man solche hoch seriöslichen Dinge weder öffnet noch irgendwelche Links darin anklickt. Das hast du selbst verbockt. netcup hier irgendwelche "Schuld" zu zu schieben dass du nicht informiert wurdest ist absurd.

    Antworten wie diese sind der Grund, weshalb ich IT-Foren seit Jahren meide. Pseudo-Elitäres Geschwafel, dass jemand ja soooo dumm ist und selbst die Eltern da nicht drauf reingefallen wären. Du Held.


    Ich habe ja wohl geschrieben, dass ich meine Schuld nicht bestreiten will. Man ist im Arbeitsleben nun Mal darauf konditioniert, die zig Mails, die man erhält, nicht aufmerksam zu lesen, sondern nur schnell abarbeiten zu wollen. Erst Recht nebenbei auf dem Handy.


    Mein letzter Absatz enthält lediglich Maßnahmen, die in meinen Augen mit wenig Aufwand auf die Situation hinweisen können. Da ist keine Schuldzuweisung enthalten.


    Und nun troll dich.

  • mem89 Notfallsupport (kostenpflichtig)


    Man kann an dieser Stelle wirklich nur empfehlen, niemals auf Links in E-Mails zu klicken und danach Zugangsdaten einzugeben. Immer die bekannten Adressen händisch eintippen oder Lesezeichen verwenden.


    Einen Passwortmanager (und wenn es nur der eingebaute im Browser ist) und 2FA zu verwenden ist durchaus eine weitere Maßnahme, die einem in solchen Situationen retten kann.


    Was in Deinem Fall konkret nach Eingabe der Daten passiert ist, wird nur netcup mit Sicherheit sagen können, wenn Logs u.ä. analysiert werden. Sofern Du noch keine Reaktion vom Support erhalten hast, würde ich in Erwägung ziehen den Notfallsupport zu kontaktieren und den erfolgreichen Phishing-Angriff zu schildern. Mit dem Ändern aller CCP/WCP/SCP/SSH/FTP/Mail Passwörter sollte das Schlimmste zwar abgewendet worden sein, aber wer weiß was da automatisch im Hintergrund passiert ist…

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Wie gesagt, Unaufmerksamkeit. Hinterher ist man immer schlauer.


    Einen Passwort-Manager verwende ich. Daher kann das Passwort zumindest nicht woanders missbraucht werden. 2FA ist ein Thema, was ich die letzten Jahre immer vor mir hergeschoben habe. Nun habe ich wohl keine Ausrede mehr.


    Der Support hat insofern reagiert, dass alle Hosting-Produkte deaktiviert sind. Das habe ich zwar bereits getan, nun kann ich sie allerdings auch nicht mehr aktivieren. Ein entsprechender Hinweis wird außerdem angezeigt.


    Dass nur eine kostenpflichtige Nummer verfügbar ist, ist schade, aber wahrscheinlich gerechtfertigt. Da der Support offensichtlich Bescheid weiß und ich das Produkt rein aus privaten Gründen nutze, kann ich damit leben, wenn es morgen erst wieder nutzbar ist.


    Danke soweit!

  • Der Support hat insofern reagiert, dass alle Hosting-Produkte deaktiviert sind. Das habe ich zwar bereits getan, nun kann ich sie allerdings auch nicht mehr aktivieren. Ein entsprechender Hinweis wird außerdem angezeigt.


    Dass nur eine kostenpflichtige Nummer verfügbar ist, ist schade, aber wahrscheinlich gerechtfertigt. Da der Support offensichtlich Bescheid weiß und ich das Produkt rein aus privaten Gründen nutze, kann ich damit leben, wenn es morgen erst wieder nutzbar ist.

    Ok, dann sollte für den Moment ja einmal alles gut sein. Ich drücke Dir die Daumen, dass kein größerer Schaden entstanden ist!


    Was Du noch prüfen könntest: War Dein System (Betriebssystem & Browser) soweit am aktuellen Stand? Nicht, dass Du Dir da noch eine kleine Zusatzsoftware beim Besuchen der Phishingseite eingefangen hast ;)

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Einen Passwort-Manager verwende ich. Daher kann das Passwort zumindest nicht woanders missbraucht werden.

    Ich kenne das so, bei dem Passwort-Manager, den ich nutze (1Password), dass die Domain, unter der das Passwort im Browser direkt "auswählbar" ist, in dem Eintrag konfiguriert werden kann. Ich kriege also nur die Option, ein Passwort einzutragen, wenn ich unter der richtigen, vormals hinterlegten, Domain bin.


    Solltest du das aktuell manuell kopieren, würde ich dir empfehlen, zu prüfen, ob ein entsprechendes Plugin für deinen Browser + die Funktionalität für deinen Passwort-Manager verfügbar ist. Wenn du natürlich das Passwort einfach kopierst, kann dich der Passwort-Manager da nicht zusätzlich schützen.


    Siehe auch: https://twitter.com/glenmaddern/status/1278252319646367744 (das erklärt es besser)

  • Ich kenne das so, bei dem Passwort-Manager, den ich nutze (1Password), dass die Domain, unter der das Passwort im Browser direkt "auswählbar" ist, in dem Eintrag konfiguriert werden kann. Ich kriege also nur die Option, ein Passwort einzutragen, wenn ich unter der richtigen, vormals hinterlegten, Domain bin.


    Solltest du das aktuell manuell kopieren, würde ich dir empfehlen, zu prüfen, ob ein entsprechendes Plugin für deinen Browser + die Funktionalität für deinen Passwort-Manager verfügbar ist. Wenn du natürlich das Passwort einfach kopierst, kann dich der Passwort-Manager da nicht zusätzlich schützen.


    Siehe auch: https://twitter.com/glenmaddern/status/1278252319646367744 (das erklärt es besser)

    Das funktioniert in der Praxis manchmal nicht (komfortabel). Das einige Anbieter leiten für die Registrierung auf andere Domains (register.example.org), daher kann man sich nicht unbedingt auf die automatisch gespeicherten URLs verlassen. Ab und an gibt es für ein und denselben Dienst auch mehrere URLs. Das customercontrolpanel.de ist auch unter *.webhosting.systems verfügbar. Und zu guter letzt war es, als ich mit Keepass angefangen habe, unter Android gar nicht anders möglich, als den Eintrag manuell zu suchen und zu kopieren. Das Verhalten hat sich dann festgesetzt. Hier muss ich wohl nochmal ran.


    Den Google Authenticator habe ich mir auf jeden Fall gleich mal eingerichtet. Mal schauen, wie ich damit klar komme.

  • mem89 “Modernere“ Passwortmanager wie 1Password oder Bitwarden können problemlos mit mehreren und auch Teil-URLs (*.domain.de) umgehen. Ich fülle auf Webseiten zu 99% Zugangsdaten per Tastenkombination aus und auch auf dem Smartphone geht das mittlerweile sehr komfortabel. Kann ich nur jedem empfehlen!

  • Den Google Authenticator habe ich mir auf jeden Fall gleich mal eingerichtet. Mal schauen, wie ich damit klar komme.

    Tipp: Vergiss nur nicht, dass Du Dir ein Backup oder Ausdruck vom Einrichtungscode (z.B. die QR-Grafik) an einem sicheren Ort aufhebst. Sonst kommst Du nicht mehr ins CCP rein, wenn Dein aktuelles Handy defekt ist! ;)


    (Gegen Phishing schützt 2FA natürlich nicht direkt, weil ein Angreifer den eingegebenen Pin in Echtzeit missbrauchen könnte. Aber eventuell sind die Phisher dafür zu doof oder man denkt selbst nochmals kurz nach, während man das Handy sucht. Schaden tut eine weitere Absicherung für den Account jedenfalls nicht.)

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)