Ankündigung

Einklappen
Keine Ankündigung bisher.

Scam-Mails von @df.eu Adresse

Einklappen
X
Einklappen
 
  • Seite von 2
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige 1 2 template Weiter
    #1

    Scam-Mails von @df.eu Adresse

    Hallo,

    ich habe soeben folgende Mail erhalten, die ich relativ sicher als Scam einstufe. Was mich sehr verwundert ist jedoch, dass sie von einer (wenn auch merkwüridgen) @df.eu Adresse zu kommen scheint und SPF in Ordnung ist. Das würde ich bei einer gespooften Adresse nicht erwarten.

    Delivery-date: Sun, 30 Oct 2022 15:12:43 +0100
    Received: from [80.67.18.6] (helo=mx06.ispgateway.de)
    by mailcluster1-7.ispgateway.de with esmtps (TLS1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
    (Exim 4.94.2)
    (envelope-from <[email protected]>)
    id 1op93L-0007v7-OY; Sun, 30 Oct 2022 15:12:43 +0100
    Return-path: <[email protected]>
    X-Envelope-to: [REDACTED]
    Received: from [80.67.18.13] (helo=smtprelay01.ispgateway.de)
    by mx06.ispgateway.de with esmtps (TLS1.2) tls TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    (Exim 4.94.2)
    (envelope-from <[email protected]>)
    id 1op93K-0005OG-OF
    for [REDACTED]; Sun, 30 Oct 2022 15:12:43 +0100
    Received: from [89.207.131.203] (helo=mail.freelens.com)
    by smtprelay01.ispgateway.de with esmtpsa (TLS1) tls TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
    (Exim 4.94.2)
    (envelope-from <[email protected]>)
    id 1op93k-000187-1k
    for [REDACTED]; Sun, 30 Oct 2022 15:13:08 +0100
    Subject: Wichtiger Hinweis zu ihrem Domainnamen | DE-2022-11-6565.
    From: ""domainFACTORY Service<[email protected]>
    To: [REDACTED]
    Cc: [REDACTED]
    Message-ID:
    Content-Type: text/html; charset="windows-1252"
    Content-Transfer-Encoding: binary
    MIME-Version: 1.0
    Date: Sun, 30 Oct 2022 15:13:08 +0100
    X-Df-Sender: YXphbXAxNTQycW9ha0B3ZHgtc2VydmljZXMuZGU=
    X-Received-SPF: pass ( mx06.ispgateway.de: domain of df.eu designates 80.67.18.13 as permitted sender )
    X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on
    spamfilter31.ispgateway.de
    X-Spam-Level:
    X-Spam-Status: No, hits=0.0 required=9999.0 tests=BAYES_50 autolearn=disabled
    version=3.4.0
    X-Spam-CMAETAG: v=2.2 cv=NqyhS4VJ c=1 sm=1 tr=0
    a=8RLhrrCYdOpGJ9T1RGhNbw==:17 a=N659UExz7-8A:10 a=Qawa6l4ZSaYA:10
    a=EHacYmf9AAAA:8 a=A3KXznALrj7rkRKYV8UA:9 a=wapxMZp_TcdRy_KN:21
    a=_W_S_7VecoQA:10 a=pILNOxqGKmIA:10 a=m0IRFSufg9YA:10
    a=QftYyrtXM7AtN6pQTu31:22
    X-Spam-CMAECATEGORY:
    X-Spam-CMAESUBCATEGORY:
    X-Spam-CMAESCORE:

    <HTML><BODY>
    <TABLE cellSpacing=0 cellPadding=0 bgColor=#ffffff border=0>
    <TBODY>
    <TR>
    <TD height=8 bgcolor="#005C41"><b><font color="#FFFFFF">
    <span style="background-color: #005C41"><font size="7" face="Verdana">Domain</font></span></font><font size="7" face="Verdana">
    </font></b></TD>
    <TD height=8 bgcolor="#C5D22E"><b><font color="#005C41" face="Verdana">
    <span style="background-color: #C5D22E"><font size="7">Factory</font></span></font></b></TD></TR>
    </TBODY></TABLE>
    <p>&nbsp;</p>
    <DIV>
    <DIV>Achtung Domain Factory-Kunde,</DIV>
    <DIV>&nbsp;</DIV>
    <DIV>Es ist eine ungew&#246;hnliche Aktivit&#228;t in Ihrem df.eu-Paket</DIV>
    <DIV>und es betrifft unseren Server, wir senden Ihnen diese E-Mail
    <DIV>Um Ihr Konto zu aktualisieren,</DIV></DIV>
    <DIV>&nbsp;</DIV>
    <DIV>&nbsp;<A href="http://gmx.de.s3.us-east-1.amazonaws.com/offers-gmx.de.html?offers=[REDACTED]" rel=noopener target=_blank>KLICKEN SIE HIER</A></DIV>
    <DIV>&nbsp;</DIV>
    <DIV>Es wird empfohlen, dass Sie auf die Anmeldeschaltfl&#228;che klicken, </DIV>
    <DIV>um Ihr Konto zu aktualisieren, oder Ihr Konto wird vorübergehend gesperrt.</DIV>
    <DIV>&nbsp;</DIV>
    <DIV><STRONG></STRONG><STRONG></STRONG>Vielen Dank<BR>&nbsp;</DIV></DIV>

    </BODY></HTML>​
    Stichworte: -
    #2
    Kann ich bestätigen - habe die gleiche E-Mail um die selbe Zeit erhalten und umgehend gelöscht. Will nicht wissen wie viele drauf reinfallen.

    Kommentar

      #3
      Habe ich auch bekommen
      Ich würde es gut finden wenn man solche Phishing-Mails bei DF melden könnte. Damit so etwas von DF sofort bei anderen Usern gelöscht/ gesperrt werden könnte.

      Kommentar

        #4
        Ich ebenfalls, wobei die IP bei mir eine andere war -> Received: from [77.95.229.131] (helo=mail.freelens.com)
        by smtprelay04.ispgateway.de with esmtpsa (TLS1) tls TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
        (Exim 4.94.2)
        (envelope-from <su[email protected]>)
        id 1opAZw-0007iB-NM​

        Ich habe das ganze dreimal erhalten, je einmal an [email protected], [email protected] und [email protected], wobei die im Betreff angegebenen Nummern die wohl irgendwelche Paketnummern darstellen sollten witzigerweise nicht übereinstimmten sondern jeweils unterschiedlich waren.

        Wäre schön wenn man erfahren könnte wie es zu so etwas kommen kann, denn es lag den Scammern ja offenbar eine Liste vor welche Domains bei DomainFactory gehosted werden...ist so etwas irgendwo öffentlich ausfindig zu machen oder gab es bei irgendeiner Stelle mal wieder ein Datenleck?

        Kommentar

          #5
          Hallo Zusammen,

          bei mir gingen heute auch 3 dieser E-Mails ein. Eine E-Mail ist gleich an 29 “To”-Empfänger gegangen. Alle angegeben Domains sind bei GoDaddy registriert. Wie kann das passieren?

          Grüße,
          Ronny

          Kommentar

            #6
            Ich kann das ebenfalls bestätigen. Mehrere dieser Mails in Postfächern unterschiedlicher Domains.

            Kommentar

              #7
              Hatte als Betroffener die email an den df-Support gesandt.
              Ich hoffe, es verstößt nicht gegen die Forum-Regeln, wenn ich den Inhalt der Support-Antwort hier einstelle:
              Guten Tag Herr xxx,
              vielen Dank für Ihre Nachricht.

              Bei der fraglichen Mail handelt es sich um eine Phishing-E-Mail, die nicht von domainFactory verschickt wurde, sondern in betrügerischer Absicht von einem Dritten.

              Bitte löschen Sie die Mail und folgen Sie keinen Links in dieser Mail.

              Leider werden solche Mails immer wieder verschickt, da technisch bedingt grundsätzlich öffentlich ersichtlich ist, über welchen Dienstleister Domains aktiv geschaltet sind.
              Kriminelle nutzen diese Informationen regelmäßig, um ihre Mails "authentischer" aussehen zu lassen.
              Es besteht jedoch kein Zusammenhang zu Ihrem Kundenkonto oder kürzlich erfolgten Änderungen.

              Natürlich versuchen wir diese Mails so gut es geht auszufiltern, da jedoch die Texte und Absenderadressen teilweise mehrmals täglich geändert werden ist uns dies nicht immer vollständig möglich. Wir bitten Sie diesbezüglich um Verständnis.

              Informationen zu aktuellen Phishingwellen finden Sie auch auf unserer Statusseite unter https://status.df.eu .

              Übrigens: Sie helfen uns dabei, unseren Spamfilter besser zu trainieren, wenn Sie Spam und Phishing vollständig und unkommentiert an die Adresse [email protected] weiterleiten - vielen Dank für Ihre Mithilfe!

              Mit freundlichen Grüßen
              Auf der Status-Seite wird mittlerweile berichtet, die email-Adresse war mir nicht geläufig, sollte aber für Alle eine hilfreiche Info sein.

              Kommentar

                #8
                habe gestern auch schon die dritte derartige Mail innerhalb weniger Wochen bekommen. Dank der Info aus obigem Beitrag habe ich die aktuelle Mail nun an [email protected] weitergeleitet. Danke an rsfd22 für das Zitieren der Support-Antwort!
                Viele Grüße
                Günther (GBCOMSOFT)
                Freundliche Grüße
                GBComsoft

                Kommentar

                  #9
                  Tja, DKIM könnte hier helfen.

                  Kommentar

                    #10
                    Zitat von Lukas M. Beitrag anzeigen
                    Tja, DKIM könnte hier helfen.
                    Warum sollte DF das machen was woanders Standard ist? ;-)
                    Markus
                    ---
                    https://www.facebook.com/markus.weber.180410

                    Kommentar

                      #11
                      Zitat von Lukas M. Beitrag anzeigen
                      Tja, DKIM könnte hier helfen.
                      Ich fürchte nicht. Die Situation ist schlimmer, als ihr denkt - ich beiß mir aber gerade ziemlich auf die Zunge, um die technischen Details dazu nicht hier in der Öffentlichkeit breittreten.

                      Kommentar

                        #12
                        leposjk: Also neugirieg machen ist fies!
                        Ich vermute ja eher irgend ein Datenpännchen, denn diese sehr gezielten E-Mails häufen sich. Und ja, ich habe auch bei anderen Hostern noch Pakete, da bekomme ich solche E-Mails nicht. Und die sind teilweise deutlich größer als dF. Wenn also alle Informationen wer wo hostet im Netz öffentlich sind, dann sollte es sich da für die Spammer und Phisher deutlich mehr lohnen.

                        Kommentar

                          #13
                          Hallo zusammen,

                          wir nehmen auf jedem Weg hinweise zu solchen betrügerischen Absichten an und sorgen für eine schnelle Sperrung der verlinkten URLs. Wichtig ist immer genau zu schauen, wohin solche Links führen.

                          Wenn wir kompromittierte E-Mail-Accounts finden, sorgen wir für eine direkte Sperrung und informieren den Kunden.

                          Alle in den Anschreiben genutzten Informationen sind direkt "öffentlich" verfügbar. Ich bekomme beispielweise diese Art von E-Mails selbst von unterschiedlichen Providern und Banken immer wieder, auch wenn ich dort kein Kunde bin oder war. Wo welche Domains liegen, lässt sich halt zusätzlich recht einfach ermitteln, da braucht es keine internen Informationen. Hier irgendwelche Sicherheitslücken zu vermuten, ist nicht begründbar.

                          Mit freundlichen Grüßen

                          Nils Dornblut
                          Blog - Facebook - Twitter
                          Communitybetreiber: domainfactory GmbH
                          Impressum / Pflichtangaben

                          Kommentar

                            #14
                            Im Nachgang noch eine generelle Frage zu dem Thema. Heute kam von den selben Scammern eine neue Mail (diesmal war die angeblich von der Postbank).
                            Die Betreffzeile endete wie alle vorherigen mit einem Zusatz im Format " | DE-2022-11-xyxy" wobei x und y unterschiedliche Ziffernwaren also z.B. 8383, 2525 oder 3636.
                            Ich habe meine Domain jetzt seit sicher 10 Jahren und habe noch nie Mails mit "[email protected]", "[email protected]" oder "[email protected]" versandt oder erhalten. Die Domain ist auch ausschliesslich privat für Mails genutzt und tritt im Web nicht einmal mit einer Website in Erscheinung.
                            Spricht irgendetwas dagegen für alle drei dieser Adressen eine Spamregel zu erstellen die jegliche dorthin gerichteten Mails einfach verwirft?
                            Zuletzt geändert von DFMoon; 05.11.2022, 00:51.

                            Kommentar

                              #15
                              Zitat von DFMoon Beitrag anzeigen
                              Spricht irgendetwas dagegen für alle drei dieser Adressen eine Spamregel zu erstellen die jegliche dorthin gerichteten Mails einfach verwirft?
                              Nein, ich wüsste keinen offiziellen Zweck für die Adressen, wenn Sie sie nicht selbst nutzen. Da viele sie nutzen, wird es einfach hierüber versucht auf gut Glück.

                              Mit freundlichen Grüßen

                              Nils Dornblut
                              Blog - Facebook - Twitter
                              Communitybetreiber: domainfactory GmbH
                              Impressum / Pflichtangaben

                              Kommentar

                              Vorherige 1 2 template Weiter
                              Lädt...
                              X