Hallo zusammen,
auch heute kam es zu einer erneuten Phishing-Welle mit ähnlichen Nachrichten, wie bereits am Freitag. Es ist uns wichtig zu unterstreichen, dass es kein Datenleck bei netcup gegeben hat.
Unseren Analysen zufolge prüfen Versender der Phishing-E-Mails zuvor, ob die Domain auf eine IP-Adresse von netcup zeigt. Dies macht Ihren Angriff deutlich effizienter, da diese damit nur netcup-Kunden kontaktieren. Diese Information ist natürlich öffentlich verfügbar: Computer, die auf eine Domain zugreifen, müssen im Domain Name System (DNS) prüfen können, wo der dahinter stehende Server im Internet liegt. Genauso gehen die Versender der Nachrichten vor: Sie prüfen für eine Domain, ob diese auf netcup verweist. Ist dies der Fall, wird die Phishing-E-Mail versendet.
Bleibt noch die Frage offen, woher die Spammer an die Domains und die E-Mail-Adressen gelangen:
Domains sind in diversen Quellen öffentlich einsehbar: Zum Beispiel über Suchmaschinen, über rDNS-/PTR-Einträge von IP-Adressen und für jede Domain, für die ein SSL-Zertifikat beantragt wurde, was heutzutage einem Großteil der Domains entsprechen dürfte, in sogenannten Certificate Transparency Logs. Auch mit Malware verseuchte Systeme, die bereits eine Nachricht an eine betroffene E-Mail-Adresse in der Vergangenheit geschrieben haben, können eine Quelle für entsprechende Domains bzw. Adressen sein.
Bezüglich der verwendeten E-Mail-Adresse scheinen bei der aktuellen Phishing-Welle die E-Mails schlicht an info@[DOMAIN] versendet worden zu sein. Diese Adresse existiert natürlich oft, alternativ haben viele Nutzer eine Weiterleitung oder Catch-All-Adresse eingerichtet. In der Vergangenheit wurden Domains aber auch gezielt nach Kontakt-E-Mail-Adressen abgesucht.
Wir haben auch diverse Berichte von Kunden erhalten, die mit ihrer Domain nicht Kunde bei netcup sind, sondern diese lediglich via DNS auf ein Produkt von netcup verweisen lassen.
Ferner beinhalten die E-Mails keine persönliche Anrede.
All dies unterstreicht, dass es zu keinem Datenleck bei netcup gekommen ist.
Gerne verweise ich erneut auf unseren Wiki-Artikel zu dem Thema: https://www.netcup-wiki.de/wiki/Schutz_vor_Phishing
Vielen Dank für euer Verständnis für diese Situation. Wir können den Versand solcher E-Mails leider nicht verhindern und sofort unterbinden, sondern sind selbst Opfer dieser Betrüger und bei der Prävention bzw. Lösung z.B. auf die Zusammenarbeit mit den versendenden Providern angewiesen. Wir raten daher stets zu hoher Wachsamkeit, um sich vor solchen Betrugsversuchen zu schützen.
Ihr könnt uns Nachrichten dieser Art melden, allerdings bitte stets mit Headern (idealerweise als .eml-Datei im Anhang). Die reine Weiterleitung einer E-Mail hilft uns nicht, da diese den wahren Versender nicht offenbart. Die Meldung kann dann mit diesen Informationen an abuse@netcup.de erfolgen.