Ankündigung

Einklappen
Keine Ankündigung bisher.

Spam/Betrugsversuche im Namen von d)f?

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    Spam/Betrugsversuche im Namen von d)f?

    Moin!

    Seit einiger Zeit werden meine Role-Accounts ([email protected], [email protected] und so weiter) geradezu bombardiert von E-Mails, die angeblich von "Df.eu Kundenservice" kommen. Im Betreff ist die Rede von "Wichtige Aktualisierung - [5-stellige Nummer]". Der From-Header sagt (das wechselt): "Df.eu Kundenservice <[email protected]>". Diese E-Mail-Domain gehört zu einer Rheinland-Pfälzischen Behörde und ist sicherlich geklaut. Manchmal ist es auch die Domain eines Pflegedienstes hier in Dortmund. Die E-Mails enthalten ein Bild mit einem Link dahinter. Das Bild wird von Thunderbird nicht angezeigt. In einer der neuesten Mails führt der Link hinter dem Bild zu einer Seite namens theconfession.co.uk. Angeklickt habe ich den Link nicht. Mache ich vielleicht, wenn mein Linux-Computer mal wieder an ist. Es gibt eine Webseite mit einer ganz ähnlichen Adresse, die gehört offenbar zu einer Rockband. Ist aber eben nur ähnlich und soll möglicherweise dazu führen, dass Rockmusik-Fans den Link bedenkenlos öffnen.

    Fragen:
    1. Bin ich der Einzige, der mit diesem Quatsch bombardiert wird?
    2. Weiß jemand, was dahinter steckt? Sind das Betrüger oder einfach nur Spammer? Seit heute kommt der Inhalt auch mit einem anderen Absender-Text, in dem es um irgendwelche Abnehm-Pilllen geht.
    3. Weiß d)f um die Problematik? Kann man etwas dagegen tun? Mit genug Ahnung und Manpower müsste es doch möglich sein, derart penetrante Rufschädiger mit einem Trupp Anwälte zu bedrohen und zum Einstellen ihrer Tätigkeit zu bewegen, oder?

    Besten Dank und viele Grüße

    Thomas
    https://www.roessing.org

    #2

    Mahlzeit,

    1. Nein
    2. Nein
    3. Ja, ich hatte vor 2 oder 3 Wochen Kontakt zu meinem Ansprechpartner, denen ist das bekannt. Ich wurde auf status.df.eu verwiesen, dort ist die Problematik auch beschrieben

    Gruße aus Dortmund nach Dortmund, der geilsten Stadt der Welt
    Markus
    ---
    https://www.facebook.com/markus.weber.180410

    Kommentar


      #3
      Hallo Markus, danke für den Hinweis auf die Statusseite. Da gucke ich normalerweise nur drauf, wenn irgendwas streikt. Außerdem habe ich in diesen Mails noch nie einen Text gesehen, der irgedwas von Kontosperrung hätte behaupten können. Da ist immer nur dieses Bild, das der Thunderbird richtigerweise nicht anzeigt.

      Grüße zurück -- ich mag Dortmund sehr, aber als "geilst" habe ich die Stadt noch nicht wahrgenommen

      Thomas
      https://www.roessing.org

      Kommentar


        #4
        Zitat von Thomas Roessing Beitrag anzeigen

        Fragen:
        1. Bin ich der Einzige, der mit diesem Quatsch bombardiert wird?
        Nein, auch wir bekommen das oft sehr schnell mit und tun dann direkt alles, um dagegen vorzugehen. Die Statusmeldung ist keinesfalls ein Platzhalter. Es gab gerade gestern beginnend kurz vor diesem Post eine interne erneute Diskussion/Information dazu.

        Zitat von Thomas Roessing Beitrag anzeigen
        2. Weiß jemand, was dahinter steckt? Sind das Betrüger oder einfach nur Spammer? Seit heute kommt der Inhalt auch mit einem anderen Absender-Text, in dem es um irgendwelche Abnehm-Pilllen geht.
        Oft geht es um Phishing, in "besseren" Fällen um SPAM. Aber Details sind nicht bekannt.


        Zitat von Thomas Roessing Beitrag anzeigen
        3. Weiß d)f um die Problematik? Kann man etwas dagegen tun? Mit genug Ahnung und Manpower müsste es doch möglich sein, derart penetrante Rufschädiger mit einem Trupp Anwälte zu bedrohen und zum Einstellen ihrer Tätigkeit zu bewegen, oder?
        Wir tun wie gesagt viel um Seiten schnellstmöglich markieren zu lassen von den unterschiedlichen Systemen der Browserhersteller und Virenscanner mit entsprechender Funktionalität. Selbst an die Urheber ranzukommen ist eher schwierig, die setzen eher nicht hier in der Nähe sozusagen. Wenn jemand gezielte Infos hat, dann natürlich immer her damit!

        Mit freundlichen Grüßen

        Nils Dornblut
        Blog - Facebook - Twitter
        Communitybetreiber: domainfactory GmbH
        Impressum / Pflichtangaben

        Kommentar


          #5
          Zitat von Nils Dornblut Beitrag anzeigen
          Oft geht es um Phishing, in "besseren" Fällen um SPAM. Aber Details sind nicht bekannt.
          Leider kann ich das Phising bestätigen und es ist auch gut gemacht. Ein Kunde von mir (Direktkunde df) hatte aus dem affekt heraus auf den Link in einer der E-Mails geklickt und sein Kundenmenü PW eingegeben. Dann wurde es echt spannend. Der Kriminelle Phishing Absender hat folgendes gemacht:
          • neue E-Mail Adresse [email protected] eingerichtet
          • einen Mailfilter erstellt, der alles, was von df kommt (auch aus dem Ticketsystem) an die [email protected] Adresse weiterleitet
          • die Daten des technischen Ansprechpartners geändert (email = [email protected], Telefon eine Mobilnummer)
          • die Telefonnummer für Kündigungen etc. geändert - das fiel auf, da der Kunde eine SMS bekam
          • das EKM Passwort geändert
          • neue Pakete bestellt im Rahmen des Echtzeitlimits

          Das führte dazu, dass ein Login ins KM nicht mehr möglich war und auch keine Ticket IDs mehr zurückkamen und der dF Support (ausser "meine" PVIs) nur sagten: haben wir doch per Ticket geschrieben.
          Insbesondere der E-Mail Filter war tricky, fiel dem Siupport erst nicht auf. Als das klar war, hat df direkt das Paket gesperrt (war sehr gut so!) und die Bestellungen abgewickelt.
          Am Ende musste per Fax mit Personalausweiskopie wenn ich das richtig erinnere die Stammdaten E-Mail Adresse geändert werden, dann die PW vergessen Funktion genutzt werden und dann war der Zugang wieder da und ich konnte die Filter etc. deaktiveren. Die E-Mails im neuen [email protected] Postfach hatte ich mal im Roundcube nach PW Änderung angesehen, sie waren alle als ungelesen markiert.

          Zitat von Nils Dornblut Beitrag anzeigen
          Wir tun wie gesagt viel um Seiten schnellstmöglich markieren zu lassen von den unterschiedlichen Systemen der Browserhersteller und Virenscanner mit entsprechender Funktionalität. Selbst an die Urheber ranzukommen ist eher schwierig, die setzen eher nicht hier in der Nähe sozusagen. Wenn jemand gezielte Infos hat, dann natürlich immer her damit!
          Ich habe eventuell noch die vom Kriminellen im EKM eingetragene Mobilnummer. Aber ob das was hilft?

          Nachtrag:
          In diesem Fall hätte ggf. 2fa geholfen. Da alles an dem EKM PW hing, hatten wir zwei Wochen mit dem Thema zu tun. Ohne Login ins EKM konnte ich mich auch nicht via Support-PIN legitimieren. Tickets gingen immer an die hinterlegte Adresse im EKM (eigentlich auch sinnvoll), aber da gab es die Umleitung. Ich bin dankbar für "meine" PVIs, die in dem Fall ausnahmesweise geholfen haben und sowohl mich als auch den Endkunden (wurde von mir zu dF übertragen) in gewisser Weise kannten.
          Zuletzt geändert von Benutzername; 30.06.2022, 22:50.
          Es grüßt freundlich
          Ihr Benutzername

          Kommentar


            #6
            Hallo Benutzername,

            danke für den ausführlichen Bericht! Ganz schön viele Schritte hat sich da der Betrüger dort ausgeführt!
            Zitat von Benutzername Beitrag anzeigen
            Ich habe eventuell noch die vom Kriminellen im EKM eingetragene Mobilnummer. Aber ob das was hilft?
            Nein, hier bekommt man leider auch viel zu einfach relativ anonyme Anschlüsse/Karten.

            Ich gebe Ihre Hinweise bzw. die Zusammenfassung aber intern mal weiter.

            Mit freundlichen Grüßen

            Nils Dornblut

            Blog - Facebook - Twitter
            Communitybetreiber: domainfactory GmbH
            Impressum / Pflichtangaben

            Kommentar


              #7
              Zitat von Nils Dornblut Beitrag anzeigen
              Wir tun wie gesagt viel um Seiten schnellstmöglich markieren zu lassen von den unterschiedlichen Systemen der Browserhersteller und Virenscanner mit entsprechender Funktionalität. Selbst an die Urheber ranzukommen ist eher schwierig, die setzen eher nicht hier in der Nähe sozusagen. Wenn jemand gezielte Infos hat, dann natürlich immer her damit!
              Aus Neugier: Die Problematik und die Mails sind DF ja bekannt. Warum kommen die dann trotzdem durch den Mailfilter von DF? Mir ist der komplexe Aufbau solcher Spammails bewusst, aber im Endeffekt kann man doch relativ zügig, sobald eine dieser Mails bekannt wird den folgenden Schwung blocken, oder?
              Markus
              ---
              https://www.facebook.com/markus.weber.180410

              Kommentar


                #8
                Zitat von Nils Dornblut Beitrag anzeigen
                Hallo Benutzername,
                danke für den ausführlichen Bericht! Ganz schön viele Schritte hat sich da der Betrüger dort ausgeführt!
                Das sehe ich auch so. Ich habe den Eindruck dass da Wissen über die dF Architektur hintersteckt. Es ist also gezielter als ein allgemeiner "ich will Passwörter" Phishing Versuch. Und da das KM nicht fernsteuerbar ist, muss da ja auch echter Mensch hinter stecken.
                Durchaus spannend, das Vorgehen zu sehen. Mit Einblicken in das Protokoll (wenn es so was wie im RP2 auch gibt) kann ja sogar die Reihenfolge der Schritte nachvollzogen werden.

                Zitat von Nils Dornblut Beitrag anzeigen
                Hallo Benutzername,
                Ich gebe Ihre Hinweise bzw. die Zusammenfassung aber intern mal weiter.
                Danke dafür.
                Es grüßt freundlich
                Ihr Benutzername

                Kommentar


                  #9
                  Zitat von wecotec Beitrag anzeigen

                  Aus Neugier: Die Problematik und die Mails sind DF ja bekannt. Warum kommen die dann trotzdem durch den Mailfilter von DF? Mir ist der komplexe Aufbau solcher Spammails bewusst, aber im Endeffekt kann man doch relativ zügig, sobald eine dieser Mails bekannt wird den folgenden Schwung blocken, oder?
                  Das Problem ist in der Architektur der SPAM-Filter zu suchen. Es müssen erst die SPAM-E-Mails eingelernt werden, bevor der Filter die erkennen kann. Je nach Art der Absetzung kann man da schon einige vorher durchbekommen. Es sollte bekannt sein, dass das natürlich auch entsprechende Versender wissen. Die E-Mails sind insoweit ja erst einmal harmlos, bevor nicht die URL "verbrannt" wurde, also aktiv für Phishing genutzt wird. Es hat dann meist mehr Effekt die URL zu melden, was durch uns sehr schnell geschieht, da dann für viele Browser entsprechende Anzeigen erfolgen und man so auch nach dem Versand einiges gerettet werden kann, weil ein Klick eine entsprechende Meldung provoziert.

                  Mit freundlichen Grüßen

                  Nils Dornblut
                  Blog - Facebook - Twitter
                  Communitybetreiber: domainfactory GmbH
                  Impressum / Pflichtangaben

                  Kommentar


                    #10
                    Zitat von Benutzername Beitrag anzeigen
                    Das sehe ich auch so. Ich habe den Eindruck dass da Wissen über die dF Architektur hintersteckt. Es ist also gezielter als ein allgemeiner "ich will Passwörter" Phishing Versuch. Und da das KM nicht fernsteuerbar ist, muss da ja auch echter Mensch hinter stecken.
                    Durchaus spannend, das Vorgehen zu sehen. Mit Einblicken in das Protokoll (wenn es so was wie im RP2 auch gibt) kann ja sogar die Reihenfolge der Schritte nachvollzogen werden.


                    Danke dafür.
                    Klar, aber man kann dieses Wissen selbst durchaus mit übersichtlichem Aufwand (leider) aufbauen und den Stundenlohn dann quasi betriebswirtschaftlich gegenrechnen. Mit entsprechender Übersetzung oder Sprachkenntnisse durchaus auch Offshore sozusagen. Mit entsprechend niedriger Hemmschwelle, fehlendem Unrechtsbewusstsein halt ein Geschäftsmodell, aber natürlich eine Straftat.

                    BTW seit gestern wieder:

                    Klicken Sie bitte auf die Grafik für eine vergrößerte Ansicht  Name: 2022-07-28_22h20_26.png Ansichten: 0 Größe: 35,8 KB ID: 12020

                    Mit freundlichen Grüßen

                    Nils Dornblut
                    Blog - Facebook - Twitter
                    Communitybetreiber: domainfactory GmbH
                    Impressum / Pflichtangaben

                    Kommentar

                    Lädt...
                    X