Mahlzeit,

1. Nein
2. Nein
3. Ja, ich hatte vor 2 oder 3 Wochen Kontakt zu meinem Ansprechpartner, denen ist das bekannt. Ich wurde auf status.df.eu verwiesen, dort ist die Problematik auch beschrieben

Gruße aus Dortmund nach Dortmund, der geilsten Stadt der Welt

Hallo Markus, danke für den Hinweis auf die Statusseite. Da gucke ich normalerweise nur drauf, wenn irgendwas streikt. Außerdem habe ich in diesen Mails noch nie einen Text gesehen, der irgedwas von Kontosperrung hätte behaupten können. Da ist immer nur dieses Bild, das der Thunderbird richtigerweise nicht anzeigt.

Grüße zurück -- ich mag Dortmund sehr, aber als "geilst" habe ich die Stadt noch nicht wahrgenommen

Thomas

Nein, auch wir bekommen das oft sehr schnell mit und tun dann direkt alles, um dagegen vorzugehen. Die Statusmeldung ist keinesfalls ein Platzhalter. Es gab gerade gestern beginnend kurz vor diesem Post eine interne erneute Diskussion/Information dazu.

Oft geht es um Phishing, in "besseren" Fällen um SPAM. Aber Details sind nicht bekannt.


Wir tun wie gesagt viel um Seiten schnellstmöglich markieren zu lassen von den unterschiedlichen Systemen der Browserhersteller und Virenscanner mit entsprechender Funktionalität. Selbst an die Urheber ranzukommen ist eher schwierig, die setzen eher nicht hier in der Nähe sozusagen. Wenn jemand gezielte Infos hat, dann natürlich immer her damit!

Mit freundlichen Grüßen

Nils Dornblut

Leider kann ich das Phising bestätigen und es ist auch gut gemacht. Ein Kunde von mir (Direktkunde df) hatte aus dem affekt heraus auf den Link in einer der E-Mails geklickt und sein Kundenmenü PW eingegeben. Dann wurde es echt spannend. Der Kriminelle Phishing Absender hat folgendes gemacht:

• neue E-Mail Adresse [email protected] eingerichtet
• einen Mailfilter erstellt, der alles, was von df kommt (auch aus dem Ticketsystem) an die [email protected] Adresse weiterleitet
• die Daten des technischen Ansprechpartners geändert (email = [email protected], Telefon eine Mobilnummer)
• die Telefonnummer für Kündigungen etc. geändert - das fiel auf, da der Kunde eine SMS bekam
• das EKM Passwort geändert
• neue Pakete bestellt im Rahmen des Echtzeitlimits

Das führte dazu, dass ein Login ins KM nicht mehr möglich war und auch keine Ticket IDs mehr zurückkamen und der dF Support (ausser "meine" PVIs) nur sagten: haben wir doch per Ticket geschrieben.
Insbesondere der E-Mail Filter war tricky, fiel dem Siupport erst nicht auf. Als das klar war, hat df direkt das Paket gesperrt (war sehr gut so!) und die Bestellungen abgewickelt.
Am Ende musste per Fax mit Personalausweiskopie wenn ich das richtig erinnere die Stammdaten E-Mail Adresse geändert werden, dann die PW vergessen Funktion genutzt werden und dann war der Zugang wieder da und ich konnte die Filter etc. deaktiveren. Die E-Mails im neuen [email protected] Postfach hatte ich mal im Roundcube nach PW Änderung angesehen, sie waren alle als ungelesen markiert.

Ich habe eventuell noch die vom Kriminellen im EKM eingetragene Mobilnummer. Aber ob das was hilft?

Nachtrag:
In diesem Fall hätte ggf. 2fa geholfen. Da alles an dem EKM PW hing, hatten wir zwei Wochen mit dem Thema zu tun. Ohne Login ins EKM konnte ich mich auch nicht via Support-PIN legitimieren. Tickets gingen immer an die hinterlegte Adresse im EKM (eigentlich auch sinnvoll), aber da gab es die Umleitung. Ich bin dankbar für "meine" PVIs, die in dem Fall ausnahmesweise geholfen haben und sowohl mich als auch den Endkunden (wurde von mir zu dF übertragen) in gewisser Weise kannten.

Hallo Benutzername,

danke für den ausführlichen Bericht! Ganz schön viele Schritte hat sich da der Betrüger dort ausgeführt!
Nein, hier bekommt man leider auch viel zu einfach relativ anonyme Anschlüsse/Karten.

Ich gebe Ihre Hinweise bzw. die Zusammenfassung aber intern mal weiter.

Mit freundlichen Grüßen

Nils Dornblut

Aus Neugier: Die Problematik und die Mails sind DF ja bekannt. Warum kommen die dann trotzdem durch den Mailfilter von DF? Mir ist der komplexe Aufbau solcher Spammails bewusst, aber im Endeffekt kann man doch relativ zügig, sobald eine dieser Mails bekannt wird den folgenden Schwung blocken, oder?

Das sehe ich auch so. Ich habe den Eindruck dass da Wissen über die dF Architektur hintersteckt. Es ist also gezielter als ein allgemeiner "ich will Passwörter" Phishing Versuch. Und da das KM nicht fernsteuerbar ist, muss da ja auch echter Mensch hinter stecken.
Durchaus spannend, das Vorgehen zu sehen. Mit Einblicken in das Protokoll (wenn es so was wie im RP2 auch gibt) kann ja sogar die Reihenfolge der Schritte nachvollzogen werden.

Danke dafür.

Das Problem ist in der Architektur der SPAM-Filter zu suchen. Es müssen erst die SPAM-E-Mails eingelernt werden, bevor der Filter die erkennen kann. Je nach Art der Absetzung kann man da schon einige vorher durchbekommen. Es sollte bekannt sein, dass das natürlich auch entsprechende Versender wissen. Die E-Mails sind insoweit ja erst einmal harmlos, bevor nicht die URL "verbrannt" wurde, also aktiv für Phishing genutzt wird. Es hat dann meist mehr Effekt die URL zu melden, was durch uns sehr schnell geschieht, da dann für viele Browser entsprechende Anzeigen erfolgen und man so auch nach dem Versand einiges gerettet werden kann, weil ein Klick eine entsprechende Meldung provoziert.

Mit freundlichen Grüßen

Nils Dornblut

Klar, aber man kann dieses Wissen selbst durchaus mit übersichtlichem Aufwand (leider) aufbauen und den Stundenlohn dann quasi betriebswirtschaftlich gegenrechnen. Mit entsprechender Übersetzung oder Sprachkenntnisse durchaus auch Offshore sozusagen. Mit entsprechend niedriger Hemmschwelle, fehlendem Unrechtsbewusstsein halt ein Geschäftsmodell, aber natürlich eine Straftat.

BTW seit gestern wieder:



Mit freundlichen Grüßen

Nils Dornblut