Hier auch. Diesmal aber an die .eu-Domains
Prima, dann bleibe ich in dieser Runde verschont.
Posts by tab
-
-
Angeblich wurden die Emails direkt zugestellt auf Office365. Auf Google Workspace definitiv nicht, dort gingen sie in den Spam.
Lustig wäre es schon, wenn manchmal Emails von Netcup nicht zugestellt werden können an MS, aber der Phishingoperator schafft es
Ist doch kein Problem. Solange er aus einem Netz sendet, das nicht übermäßig viel Spam produziert und deshalb bei MS nicht geblockt ist. Google geht wahrscheinlich intelligenter vor, schaut sich Header und Inhalte an. Mit Problemen bei Mail an Google ist mir persönlich auch wesentlich weniger bekannt aus Kundenkreisen und persönlicher Erfahrung. Technisch war an der Mail auch einiges richtig, nur der gefakete Anzeigename und die Inhalte passten mit der Absenderadresse nicht zusammen. Und das rote H spammt halt wohl normalerweise im Schnitt nicht so viel wie netcup. Damit meine ich natürlich die jeweiligen Kunden, nicht die Firmen selbst.
-
Hmm, wie geht das rote H eigentlich konkret mit so etwas um? Belassen die es dabei, den Server (die IP) zu sperren, wie in der Antwortmail geschrieben, und den Kunden eventuell rauszuschmeissen? Oder gibt es da wenigstens eine Anzeige/Meldung an die zuständigen Stellen? Falls nicht, wäre das doch etwas billig.
-
Ja, ich habe da mal ein wenig rumprobiert. Mein angeblicher Postbank-Link geht auf eine Subdomain der Domain tayras.de. Gibt man im Browser als URL z.B. 12345678.tayras.de ein, also ohne das ganze Gedöns hintendran und auch eine andere Subdomain als bei meinem Link, dann passiert erst mal lange Zeit nichts. Irgendwann wird man weitergeleitet auf eine Subdomain von ata-group.de, vermutlich abhängig von der Subdomain von tayras.de, die man eingegeben hat. Dann passiert wieder lange Zeit nichts und irgendwann landest du dann auf einer gefaketen Login-Seite der Postbank. Wahrscheinlich zu einem Zeitpunkt x 1 zu 1 abgekupfert vom Original, auch wenn das mittlerweile schon wieder etwas anders aussieht, weil in der rechten Spalte bei der Postbank mittlerweile etwas anderes drinsteht. Aber wer weiss schon, was da jeweils rechts steht? Das ändert sich ja sehr häufig.
-
IPv4 sind ja rar, was passiert mit solchen gesperrten IP´s? Werden die irgendwann wieder freigegeben?
Kauft die geblacklisteten IP´s netcup dann günstig auf und verwendet sie für die Webhostings?
Mist, jetzt hatte ich gerade den ersten Satz gelesen und wollte schon antworten: "Die verkaufen sie an netcup". Aber nach dem zweiten Satz kann ich mir das ja sparen. Nee, Spass beiseite, das würde ja mit einzelnen IPs nicht so toll funktionieren. Hmm, das spricht dann eventuell wieder dafür.
Hatte die IP mal interessehalber vor meiner Abusemeldung bei mxtoolbox.com eingegeben und sie war (und ist immer noch) nur bei 2 von 82 Blacklists gelistet. So furchtbar viel bringen die Blacklists denn wohl auch nicht.
-
Die Damen und Herren Phisher sind ja schwer aktiv. Schon wieder eine Mail bekommen an die info-Adresse einer bei netcup registrierten Domain. Diesmal ist allerdings nicht netcup der angebliche Absender, sondern die "Postbank AG". Erkennbar von den selben Gestalten, die gestern mit dem Ablauf der Domain gedroht haben. IP vom roten H, Abusemeldung ist schon raus.
Und jetzt ist auch die IP 5.9.137.222 vom roten H gesperrt.
-
Ich würde jetzt nicht davon ausgehen, dass das ihre eigenen Server sind.
Sehe ich auch so... Sie benutzen aber nicht nur Server vom roten H, gestern kam meine Phishing Mail woanders her. Die Absenderdomain war aber recht ähnlich.
Gestern: fondation-sante-service.com
Heute: fondation-santeservice.biz
-
Die Damen und Herren Phisher sind ja schwer aktiv. Schon wieder eine Mail bekommen an die info-Adresse einer bei netcup registrierten Domain. Diesmal ist allerdings nicht netcup der angebliche Absender, sondern die "Postbank AG". Erkennbar von den selben Gestalten, die gestern mit dem Ablauf der Domain gedroht haben. IP vom roten H, Abusemeldung ist schon raus.
-
Ausfallsichere E-Mail? Gibt es sowas? Ich bastle gerade mit einem Testaccount bei P.Heinlein in Berlin rum. Ein Alias mit einer eigenen Domain, die ich erst zu Weohnachten wieder brauche
, funktioniert jetzt wohl mit DNSSEC, SPF, DKIM, DMARC, MTA-STS. Nur testen müsste man es halt können mit dem Testaccount 
. Man kann ja leider nichts nach außen senden. Muss ich erstmal Coins einwerfen, damit ich senden darf. Ich habe das erst mal so konfiguriert, dass ich auch weiterhin von meinem Mailserver senden kann.Die optimale Nutzung muss ich dann halt austesten, sobald man mich lässt
. Ideal wäre aus meiner Sicht, wenn alle ausgehenden und eingehenden Mails bei mir auf dem Server liegen (IMAP) und der dortige SMTP nur als Relay fungiert. Für beliebige Absender wird das nicht gehen, aber zumindest für die dort angelegten Aliase wäre es praktisch. Außerdem müsste ich dann an den Clients nichts machen. Und ich müsste mir keine Sorgen um knappen Mailspace machen. Ansonsten beschränke ich mich dort halt auf 3-4 wichtige Adressen.So, mittlerweile bin ich einen Schritt weiter (damals stand ich noch am Abgrund
). Ich habe ein paar Euro eingeworfen und somit mittlerweile einen funktionsfähigen Account. Meine Fragen sind weitestgehend geklärt, die Möglichkeiten ausprobiert - soweit es "normalen" Mailverkehr betrifft. Offenbar hat man mindestens zwei Möglichkeiten, beide habe ich vor zu nutzen, beide haben aus meiner Sicht, beim momentanen Stand meines (Un-)Wissens, Vor- und Nachteile.1. Nutzung der (leider nur einen) Mailbox wie als Standard vorgesehen.
Alle Aliase nutzen die einzig vorhandene Mailbox, durch Filter kann man Ordnung in die Sache bringen. Einiges an Konfigurationsaufwand bei den Clients und auf dem Smartphone wird es schnell unübersichtlich. Mailboxgröße 10 GB für bis zu 50 Adressen, lässt sich aber für mehr Geld vergrößern
2. Nur Nutzung der dortigen SMTP-Server in den Mail-Clients. Mailempfang und Speicherung, Zugriff per IMAP bleibt auf dem eigenen Server. minimaler Konfigurationsaufwand bei den Clients, lediglich der Postausgangsserver muss geändert werden.
Die erste Variante werde ich zumindest für meine Hauptdomain verwenden, aus welcher auch die bei netcup eingetragene Adresse stammt. Somit entfällt das Problem bei einer möglichen Sperrung oder wenn der entsprechende Server bei netcup aus anderen Gründen nicht mehr funkioniert. Die Adresse ist mittlerweile wieder komplett von netcup unabhängig.
Die zweite Variante verwende ich für alle Domains, die keine lebenswichtigen Mailadressen haben, aber trotzdem gelegentlich an MS-Adressen usw. senden müssen. Die belasten so den Speicher der Mailbox nicht und die Umstellung des Postausgangsservers ist schnell gemacht. Da ich den SPF-Eintrag der Domains eh so gesetzt habe, dass auch meine Server nach wie vor berechtigt sind, Mails für die Domains zu senden, kann ich das auch nur bei Bedarf umstellen. Zudem habe ich hier die Möglichkeit, auf dem Smartphone weiterhin nur die Adressen zu haben, die ich da auch wirklich brauche
Auch der Wechsel für eine Domain zwischen den Varianten ist kein großer Aufwand. Ich muss nur die MX-Einträge entsprechend ändern im DNS. Als Alias sind sie beim Berliner Postfach sowieso alle eingetragen, ebenso die ganzen Domainkeys (DKIM) im DNS, sonst würde der Versand über den Berliner SMTP-Server nicht funktionieren.
-
Zum Glück habe ich noch selten eine schlechter gemachte Phishing-Mail gesehen. Arg viel Mühe haben die sich nicht gegeben. Insofern doch relativ ungefährlich, wenn man ein klein wenig Ahnung hat. Sogar die Absender-Adresse wird mir angezeigt und ist definitiv nicht von netcup. Lediglich der Anzeigename ist eben "netcup Team". Dazu wird noch behauptet, eine Inkusivdomain läuft aus, die andere ist nicht mal bei netcup registriert, so dass eine Mail sicher nicht von netcup kommen würde, sollte die wirklich auslaufen.
Aber sicher wird es auch Fälle geben, wo der behauptete Sachverhalt eher möglich wäre und die Adressaten etwas naiver sind. Lohnen muss es sich wohl, sonst würden sie es nicht machen
-
Display More
Filtern diese Angreifer ihre Datensätze anhand der IP-Adressen eigentlich explizit nach Webhostings? Oder hat das auch schon mal jemand bekommen, der nur VPS/RS bei netcup hat? Ich habe in den letzten Jahren nämlich (leider!
) noch nie so eine E-Mail bekommen.Es gibt im Internet (gegen Geld) Listen von Domainnamen, oder man baut sich selbst einen Bot zum Durchsuchen des Webs, ähnlich einer Suchmaschine. Domainnamen sind ja auch nicht wirklich privat und z.B. auch durch Certificate Transparency Logs schnell bekannt.
Impressum, Datenschutzerklärungen, Kontaktseiten, … – irgendwo steht sicher eine.
Oder stumpfes ausprobieren von info@, support@, contact@, usw.
Ich hatte in den letzten Jahren auch nie solche Mails. Heute zwei Stück. Eine betrifft die Inklusivdomain eines netcup Webhostingpakets, die andere ist meine Hauptdomain und nicht bei netcup registriert. Ich hatte sie allerdings lange Zeit als externe Domain in einem netcup Webhosting und nutze sie derzeit auf einem netcup RS.
Offensichtlich haben sie also keine Ahnung, wo (netcup oder anderswo) und wie (Inklusiv, zusätzlich, ...) die Domains registriert wurden. Beide heute bei mir angeschriebenen E-Mail Adressen waren "info@...". Das könnte für das stumpfe ausprobieren sprechen. Die A und AAAA Records beider Domains verweisen auf netcup IPs.
Bliebe noch die Frage, wie sie auf die Domainnamen kommen. Ich tippe da auch auf Certificate Tranparency Logs. Censys und Cloudflare mischen da mit, Censys scannt häufig meine Server und weiss wahrscheinlich mehr über sie als ich.
Auch LE ist mit von der Partie, beide Domains haben ein LE-Zertifikat. -
Hab ich eben auch bekommen, war aber schon sehr gezielt und zeigte auch ganz gute einsicht, da die URL customercontrolpanel-netcup.eu ist, also schon sehr spezialisiert
Die URL ist eben nicht customercontrolpanel-netcup.eu, nur der Linktext. Der Link führt zu irgendwelchen unserer asiatischen Freunde. Bei mir betrifft es eine Inklusivdomain eines Webhostings, insofern mache ich mir keine allzu großen Hoffnungen, dass die in einigen Minuten ausläuft
. -
Ja, die Mail habe ich auch vor kurzer Zeit auf eine E-Mail Adresse einer meiner Inklusivdomains erhalten. Diesmal scheint sie nicht vom roten H abgeschickt worden zu sein. Der SMTP-Server ist wohl bei O-V-H gehostet
. Die verlinkte URL zur "Reaktivierung" des Domain-Namens hat auch mit dem Linktext nichts zu tun, sondern verweist auf eine Subdomain einer "orson-consulting.eu". Die IP der Subdomain gehört zu einem Anbieter aus Singapur, soweit ich das ersehen kann, während die Domain selbst wohl zu einer möglicherweise seriösen Firma aus Stuttgart gehört. Wie auch immer, ein weiterer Abzockversuch. -
Und ja bloss nicht die Eingaben ungeprüft übernehmen ... Jedenfalls dann nicht, wenn das Formular im Web steht und von irgend einem x-beliebigen Hacker ausgefüllt und abgeschickt werden kann.
Da gibt es auch in PHP recht hilfreiche Funktionen, siehe z.B. hier:https://www.php.net/manual/de/book.filter.php
-
Oder weil es der Jurist, der es formuliert hat, von einem anderen abgekupfert hat
. Mit Änderungen natürlich, genau soviele, dass es kein Problem mehr ist. Also die zwei gezeigten Versionen vom roten H und netcup unterscheiden sich m.E. relativ stark, das sollte völlig unproblematisch sein. -
Lustig, den verlinkten Thread nach so langer Zeit nochmal zu lesen. Spannend auch, das man das Verhalten von Google, gleich alles komplett zu sperren, teils auch noch richtig fand. Klarer Missbrauch der Marktmacht! Warum nicht gleich de. sperren?
-
Falls, rein hypothetisch, Google Chrome die UCEPROTECT Listen für IRGENDWAS nutzen würde, dann würde das auf der UCEPROTECT Website auf der Startseite sicher in großer (64px), roter Schrift stehen. Google hat sicher andere Methoden um Schadsoftware-Sites zu finden als die in die Schweiz geflüchtete Firma, die diese Listen betreibt, danach zu fragen.
Auf der Liste steht jedes Netcup Netzwerk zu mindestens 30% der Zeit. Bis auf die Mailzustellung an ein paar bayrischen Behörden und Banken gibt es damit keine Probleme. Eine halbwegs seriöse Firma setzt so eine Liste ganz sicher nicht ein. Außer sie wissen es halt nicht besser, wodurch sie automatisch unseriös sind. Oder sie sind besonders schlau und setzen die Liste zur Arbeitsvermeidung ein. Keine Post = weniger Arbeit
. -
Die Domain und DNS Problematik ist ja nun nicht neu. Wieso zieht man dann nicht einfach Konsequenzen und alle Domains von Netcup ab bzw. stellt den DNS Server um? Und evtl auch noch Mailserver ab?
Weil sich durch solches Verhalten noch nie irgendwas gebessert hat? Zumindest dann, wenn man einfach stillschweigend die Probleme umgeht und sie nicht mehr anspricht.
-
Display More
Bei Resolvern stimme ich dir zu, bei authoritativen DNS Servern ist das wesentlich komplizierter.
Bei DNSSEC gibt es zwei Betriebsarten: Online und Offline Signing.
Persönlich finde ich Online Signing besser, hierbei signiert der DNS Server bei Bedarf die vorliegenden DNS Records mit dem vorliegenden DNS Key.
Beim Offline Signing werden die DNS Records vorab in der Datenbank durch ein anderes Programm signiert.
In jenem Fall braucht man eine Datenbank für die DNSSEC Keys und die DNS Records. Die Keys müssen synchron gehalten werden mit der Registry - und da bei Netcup die Server asynchron arbeiten, müssen die Records auch noch an die DNS Server gemeldet werden und der Cache muss invalidiert werden.
Es ist also kompliziert, besonders beim Offline Signing und dann noch das ganze gepushe zu den Nameservern.
Ok, bei den DNS Servern wirst du wohl Recht haben, da habe ich auch keine eigenen laufen und somit keinerlei Erfahrung damit.
-
Ja, versenden könnten sie die Mail vielleicht, aber jeder vernünfig konfigurierte Mailserver würde die Mail abweisen wegen des SPF-Eintrags der Domain netcup.de, um das zu vermeiden, müssten sie auch von einer der dafür authorisierten IPs senden. Und da ist hoffentlich keine IP dabei, auf die Webhostings-Kunden Zugriff haben.
