Phishingversuch bei domainfactory Kunden [Update]

Derzeit läuft ein Phishingversuch der darauf abzielt, Logindaten für das Kundenmenü von domainfactory-Kunden zu erhalten. Hierzu versenden die Angreifer eine E-Mail, die  angeblich von uns stammen soll und den Kunden zum Login in sein Kundenmenü auffordert. Der zugehörige Link führt jedoch natürlich nicht zu der echten Kundenmenü-Loginseite sondern zu einer gefälschten Webseite, auf der die von unbedarften Anwender angegebenen Zugangsdaten abgefangen werden sollen.

Siehe dazu auch:

Um unsere Kunden zu warnen, haben wir auf der Startseite www.df.eu bereits ein Informationsfenster eingebaut, welches den regulären Seiteninhalt überlagert und haben auch unsere Statusseite entsprechend aktualisiert. Darüber hinaus versenden wir zur Stunde bereits eine Infomail an alle Kunden.

Hier der Inhalt unserer Rundmail:

Sehr geehrte Kundin, Sehr geehrter Kunde,

derzeit werden im Namen von domainFACTORY E-Mails versendet mit der Aufforderung, die Zugangsdaten zu Ihrem Kundenmenü zu ändern. Bitte beachten Sie, dass es sich hierbei um einen so genannten Phishing- Versuch handelt, mit welchen von unberechtigten Dritten versucht wird, Ihre Zugangsdaten zu erhalten!

ACHTUNG – WICHTIG: Klicken Sie bitte nicht auf den in der E-Mail enthaltenen Link und geben Sie dort nicht Ihre Zugangsdaten ein!

Diese Aufforderung wird von unberechtigten Dritten versendet und versucht lediglich den Eindruck zu erwecken, von domainFACTORY versendet worden zu sein. Ein Beispiel für den Wortlaut dieser Nachricht finden Sie ganz unten in dieser E-Mail.

Sofern Sie eine solche E-Mail erhalten haben sollten und Ihre Zugangsdaten aufgrund dieser Nachricht geändert haben, loggen Sie sich bitte umgehend in Ihr richtiges Kundenmenü bei domainFACTORY ein und ändern dort Ihr Passwort, um Ihren Account vor unberechtigten Zugriffen zu schützen. Sie erhalten mit dieser E-Mail bewusst keinen Link zum Kundenmenü-Login, vielmehr bitten wir Sie, die Ihnen bereits bekannte Adresse zu nutzen oder bei Bedarf einfach unsere Webseite zu besuchen und von dort auf die Anmeldeseite des Kundenmenüs weiterzugehen.

Diese Phishing-Nachrichten werden von den Urhebern derzeit übrigens ziellos an viele E-Mail-Adressen versendet, in vielen uns bekannten Fällen haben auch Adressaten diese Nachricht erhalten, die nicht bei domainFACTORY Kunde sind. Es hat somit kein unberechtigter Zugriff auf Ihre bei uns hinterlegten persönlichen Daten stattgefunden.

Bei Rückfragen stehen wir Ihnen selbstverständlich jederzeit gerne zur Verfügung.

Beispiel-Wortlaut der Phishing-Nachricht:

—————————————-
Achtung Domain Factory-Kunde,

Es ist eine ungewöhnliche Tätigkeit in Ihrem df.eu Package und es beeinfluss unsere Server. Wir sind das Senden dieser E-Mail an Sie Um Sie über Reinigung Ihres Kontos,

Es wird empfohlen, den Login-Button klicken, um Ihr Konto reinigen oder Ihr Konto wird Gesperrt Vorübergehend.
—————————————-

Grundsätzlich ist es ratsam, selbst bei glaubhaften E-Mails die zu einer Aktualisierung, einem Login oder einer sonstigen Option auffordern, die zugehörige und selbst bekannte Adresse händisch in den Browser einzugeben. Keinesfalls sollte jedenfalls auf irgendwelche Links in solchen Nachrichten geklickt werden. Und im Zweifelsfall ist ein Anruf beim Kundenservice unter Nutzung der gewohnten Rufnummer ratsam, um die Echtheit der Mitteilung zu verifizieren.

Abschließend möchten wir, wie bereits im obigen Newsletter bereits erwähnt, nochmals darauf hinweisen, dass die Phishingnachrichten derzeit anscheinend wahllos verteilt werden und z.B. auch an Personen gesendet werden, die überhaupt kein Kunde bei uns sind. Grundsätzlich ist es jedoch auch denkbar, dass ein Angreifer z.B. gezielt und automatisiert Webseiten nach E-Mailadressen „abgrast“ und danach versucht, die zugehörigen Domainnamen einem Provider zuzuordnen, um die Phishingmails entsprechend „personalisieren“ zu können. Darüber hinaus gibt es teilweise auch in öffentlichen Whoisdatenbanken frei einsehbare Informationen, die für solche individuell angepassten Nachrichten verwendet werden könnten. Es ist daher wichtig, auch bei glaubwürdig erscheinenden E-Mails nicht „blind“ auf die Richtigkeit des Inhalts zu vertrauen.

Übrigens: Browser wie Googles Chrome erkennen die Seite in der Phishingnachricht beworbene Seite bereits als unseriös und blenden eine Warnmeldung an.

[Nachtrag 16:15 Uhr] Da die Betrugsseite Inhalte von unserer Domain einblendet, haben wir bereits gegen 15:20 Uhr den abgerufenen JavaScript Code so geändert, dass bei Aufruf der Phishingseite mit aktiviertem JavaScript nur noch eine „Achtung: Betrugsseite!“-Warnung erscheint. Dies nur noch der Vollständigkeit halber als Hinweis an dieser Stelle. Achtung: Darauf verlassen sollte man sich natürlich nicht, immerhin können die Täter die von uns ergriffene Maßnahme leicht umgehen oder auch einfach eine andere Internetadresse in die Phishingmails einbauen.

 

End of article

Sara Marburg

Über den Autor

Sara Marburg

Geschäftsführung (bis 11/13)

19 Kommentare

Die von Ihnen hier erhobenen Daten werden von der domainfactory GmbH zur Veröffentlichung Ihres Beitrags in diesem Blog verarbeitet. Weitere Informationen entnehmen Sie bitte folgendem Link: www.df.eu/datenschutz


  • MissVip
    MissVip - 23. Dezember 2011 um 15:58 Uhr

    Sorry, aber so blöd kann man doch nicht sein, in diesem Mail irgendwo drauf zu klicken. Dieses zusammengeschusterte Deutsch kann unmöglich mit der gepflegten Ausdrucksweise von dF verwechselt werden. 😉

  • Yannik
    Yannik - 23. Dezember 2011 um 16:12 Uhr

    Ist schon sehr schlecht formuliert, allein das Strato am Ende…
    Wie wäre es die in der E-Mail bzw. Fake-Website durch Links zu euch benutzten Bilder (wie im letzten Screenshot zu sehen) durch Bilder mit Warnungen auszutauschen und auf eurer Seite einfach zu ändern?

  • John
    John - 23. Dezember 2011 um 16:29 Uhr

    Sorry, aber wer ist so daemlich, auf einen derart unprofessionellen Phishingversuch zu reagieren.

  • John
    John - 23. Dezember 2011 um 16:30 Uhr

    Trotzdem ganz grosses Lob mal wieder an DF wie umfangreich hier reagiert wird.

  • Sara
    Sara - 23. Dezember 2011 um 16:31 Uhr

    Ansich sollte man meinen, dass niemand darauf reinfällt. Passieren kann das aber leider schon (Gedanke „oh mein Mailprogamm stellt die Mail ganz kaputt da“ oder etwas in dieser Art), gerade bei wenig erfahrenen Nutzern.

    Darüber hinaus kann die nächste Phishingwelle schon viel besser gemacht und absolut glaubhaft sein. Wir wollten daher durch die umfangreiche Warnung (Homepage, Statusseite, Blog, Forum,Twitter, Facebook und Rundmail) lieber sicher gehen, damit unsere Kunden sensibilisiert sind.

  • Sara
    Sara - 23. Dezember 2011 um 16:32 Uhr

    @John: Danke für das Lob 🙂

  • ad1601com
    ad1601com - 23. Dezember 2011 um 17:04 Uhr

    Auch von mir ein Lob für die vorbildliche Reaktion im Weihnachtsstress!

    Auch ich halte die Gefahr für höher als sonst, wenn der sonst für die DF-Korrespondenz zuständige MA beim Kunden bereits im Weihnachtsurlaub ist.

    Grüße
    Andreas

  • Sepp
    Sepp - 23. Dezember 2011 um 17:08 Uhr

    Super reagiert! Hoffen wir, dass bisher noch niemand auf die Phishing-Mail hereingefallen ist.

  • Joe
    Joe - 23. Dezember 2011 um 17:44 Uhr

    Einfach klasse und professionell die Reaktion von df. Auch wenn vermutlich nur ganz wenige einfach klicken.
    Gruß
    Joe

  • Reseller4711
    Reseller4711 - 23. Dezember 2011 um 18:32 Uhr

    Das Beste zum Schluss: Dank, Strato

    Spätestens da sollten trotz aller guten gemeinten „Deutschkenntnisse“ die Alarmglocken läuten.

  • olaf
    olaf - 23. Dezember 2011 um 20:52 Uhr

    Perfekte Reaktion von DF. Einfach klasse.

    Es ist schon ein starkes Stück DF Kunden anzusprechen und unten drunter mit dem Namen der Mitbewerber zu grüßen.

    Zum Thema es wird keiner so dumm sein, es wird bestimmt Leute geben die etwas weniger auf Sicherheit und richtiges Wortbild achten…..

  • Daniela
    Daniela - 24. Dezember 2011 um 10:36 Uhr

    Auch wenn ich bislang von diesem Phishing-Müll verschont geblieben bin, so möchte ich mich für die Warnung und alle ergriffenen Gegenmaßnahmen bedanken. Ihr seid einfach klasse!

    Wie frech kann man sein, für eine Fishing-Seite das Javascript direkt von domainFACTORY zu laden? Über manche Zeitgenossen kann man echt nur den Kopf schütteln.

    Hoffentlich fällt niemand auf die Fishing-Mail herein.

  • Thaddeus
    Thaddeus - 24. Dezember 2011 um 11:00 Uhr

    Darf ich fragen, woher die Angreifer die E-Mail-Adressen der Domainfactory-Kunden haben?

  • Antwort
    Antwort - 24. Dezember 2011 um 11:14 Uhr

    Haben sie nicht 🙂

    Zitat:

    Abschließend möchten wir, wie bereits im obigen Newsletter bereits erwähnt, nochmals darauf hinweisen, dass die Phishingnachrichten derzeit anscheinend wahllos verteilt werden und z.B. auch an Personen gesendet werden, die überhaupt kein Kunde bei uns sind. Grundsätzlich ist es jedoch auch denkbar, dass ein Angreifer z.B. gezielt und automatisiert Webseiten nach E-Mailadressen “abgrast” und danach versucht, die zugehörigen Domainnamen einem Provider zuzuordnen, um die Phishingmails entsprechend “personalisieren” zu können. Darüber hinaus gibt es teilweise auch in öffentlichen Whoisdatenbanken frei einsehbare Informationen, die für solche individuell angepassten Nachrichten verwendet werden könnten. Es ist daher wichtig, auch bei glaubwürdig erscheinenden E-Mails nicht “blind” auf die Richtigkeit des Inhalts zu vertrauen.

  • Gerald
    Gerald - 24. Dezember 2011 um 11:58 Uhr

    Dabei habe ich euch doch etwas völlig anderes gewünscht….sniff 🙁

  • Claus
    Claus - 24. Dezember 2011 um 14:43 Uhr

    Nichts für ungut aber wenn ich mir den Mail Header einer Phishingmail ansehe, dann wundere ich mich schon über die Aussagen von df. Ich habe dieses Mail direkt von den df mailrelays bekommen und wieso kann dort überhaupt jemand Mails mit der Adresse support@df.eu einliefern ?

    Da auch ich eine Mail Domain bei df habe, hoffe ich doch, dass nicht irgendein anderer df Kunde dort über das Relay Mails mit meiner Domain als Absender einliefern kann…u.a. lässt anderes vermuten.


    -----------------
    Delivered-To: GMX delivery to info@.org
    Received: (qmail invoked by alias); 23 Dec 2011 13:11:39 -0000
    Received: from smtprelay02.ispgateway.de (EHLO smtprelay02.ispgateway.de)
    [80.67.31.29]
    ...
    Received: from [46.166.129.117] (helo=User)
    by smtprelay02.ispgateway.de with esmtpa (Exim 4.68)
    From: "domainFACTORY Support"
    Subject: Aktualisieren Sie Ihren df.eu Paket
    Date: Fri, 23 Dec 2011 13:12:04 -0000
    ...

    [Zitierten Header als „Code“ formatiert und der Übersichtlichkeit halber gekürzt, Sara, 2011-12-24 15:22 Uhr]

  • Gerald
    Gerald - 24. Dezember 2011 um 15:17 Uhr

    @claus
    Der Text ihres Blogbeitrages geht über die „Form“ hinaus und ist deshalb nicht vollständig lesbar. Paste und Copy funktioniert in diesem Fall nicht. Der Text muß vorher für das Textfeld hier formatiert werden.

  • Sara
    Sara - 24. Dezember 2011 um 15:18 Uhr

    @Claus:

    >Ich habe dieses Mail direkt von den df mailrelays bekommen

    Die Täter haben einen bei uns gehosteten Account für den Versand der Spammails genutzt. Daher erfolgte die Zustellung, sofern auch das Empfängerpostfach bei uns gehostet worden ist, innerhalb unserer internen E-Mailinfrastruktur. Weshalb die Angreifer diesen Weg gegangen sind, d.h. ob sie sich bewusst Vorteile von diesem Vorgehen versprochen haben, ist offen, da die einerseits planvoll scheinende Vorgehensweise dem andererseits offensichtlich (und zum Glück) nicht gut gemachten Text der Phishingnachricht widerspricht. Möglicherweise handelt es sich auch einfach nur um Zufall bzw. gibt es eben einfach keinen bestimmten Grund dafür.

    >und wieso kann dort überhaupt jemand Mails mit der Adresse
    >support@df.eu einliefern ?

    Die Authentifizierung für den Versand von E-Mails über unsere Mailserver erfolgt anhand gültiger Zugangsdaten. Die E-Mailadresse wird hierfür nicht zwingend benötigt, d.h. es kann die Postfachnummer zusammen mit dem zugehörigen Passwort an dem SMTP-Server angegeben werden. Ungeachtet dessen ist es aber grundsätzlich und nicht nur bei uns möglich, die Absenderangabe bei E-Mails frei zu wählen. Dies dürfte bei allen Anbietern gleich sein (sprich: Sie können irgendetwas@domain.tld in Ihrem E-Mailprogramm als Absender angeben und der Mailserver wird versendete E-Mail bei gültiger Authentifizierung annehmen, so können Sie z.B. als „Donald Duck“ Ihre E-Mails versenden). Eine feste Bindung „Absenderadresse muss konfiguriertem Postfach entsprechen“ würde viele unserer Kunden bei der legitimen Nutzung der Angebote einschränken. Denn nicht wenige Kunden richten z.B. ein Postfach sammelpostfach@meine-domain.tld ein aber versenden z.B. E-Mails als service@meine-domain.tld und info@meine-domain.tld. In diesen Fällen ermöglicht entweder eine Catchall-Einstellung oder die exakte Angabe von E-Mailaliasen die Zustellung dieser E-Mailantworten in das richtige Postfach, obwohl verschiedene E-Mailadressen verwendet werden.

    Selbst wenn wir aber hart E-Mails mit dem Absender „support@df.eu“ auf unseren SMTP-Servern blockieren würden, wäre damit keine nennenswerte Schutzwirkung zu gewinnen. Denn die Täter könnten dann eine andere gefälschte Absenderadresse wie z.B. „info@df.eu“ verwenden oder, wenn wir *@df.eu sperren würden, auf einen anderen Versandweg ausweichen. Es ist anzunehmen, dass annähernd 100% der potentiellen Opfer einer Phishing-Welle nicht im Mailheader nachsehen würden, über welche E-Mailserver denn nun genau der Versand erfolgt ist.

    In letzter Konsequenz müssten wir also grundsätzlich auf unseren E-Mailservern dafür sorgen, dass keine E-Mails an Kunden ausgeliefert werden, die eine Absender *@df.eu tragen. Und dann würden die Täter halt „domainfactory Kundenservice “ oder ähnliches als Absender verwenden. Selbst bei einer noch weitergehenden Filterung („erlaube keine E-Mails mit Absender *@df.eu und *@*domainfactory*“) bleiben unzählige weitere Möglichkeiten offen, um dennoch zuverlässig Phishingnachrichten auch an bei domainfactory gehostete E-Mailadressen zu senden.

    Lange Rede, kurzer Sinn: Wirksam verhindern lassen sich – zumindest bei der heute etablierten und verbreiten E-Mailinfrastruktur – Phishingnachrichten nicht. Der beste Schutz stellt daher eine Kombination aus dem gesunden Menschenverstand und einigen allgemeinen Verhaltensregeln dar. Das wirkt dann nicht nur für Hoster betreffende Phishingversuche, sondern auch allgemein vor anderen Versuchen, persönliche Daten zu erhalten.

    Sofern ich etwas falsch interpretiert haben und damit in eine andere Richtung als von Ihnen gemeint beantwortet haben sollte, lassen Sie es mich bitte gerne wissen, wobei die Antwortdauer weihnachtsbedingt möglicherweise etwas länger brauchen könnte.

    An dieser Stelle Ihnen ein frohes Fest und schöne Feiertage!

  • Holger
    Holger - 30. Dezember 2011 um 10:51 Uhr

    @Sara
    Super ausführliche Antwort!!!!

    Einen guten Rutsch an alle!!!