{"id":945,"date":"2019-04-10T12:36:01","date_gmt":"2019-04-10T10:36:01","guid":{"rendered":"https:\/\/www.krombusch.de\/?p=945"},"modified":"2021-11-01T12:36:21","modified_gmt":"2021-11-01T11:36:21","slug":"pishing-mails-wann-dem-provider-melden","status":"publish","type":"post","link":"https:\/\/www.krombusch.de\/?p=945","title":{"rendered":"Phishing-Mails: Wann dem Provider melden?"},"content":{"rendered":"

Oder: Wo kommen eigentlich die ganzen Benutzernamen\/Passw\u00f6rter-Datens\u00e4tze her, die in letzter Zeit \u00fcberall auftauchen?<\/p>\n

Kollege konnte keine E-Mails mehr empfangen. Kurz zuvor erreichte ihn eine Nachricht vom Provider, dass „ungw\u00f6hnliche Aktivit\u00e4ten“ in seinem Postfach vorgekommen sein. Nat\u00fcrlich mit den \u00fcblichen „Handlungsaufforderungen“ (Passwort \u00e4ndern). Zwei Ereignisse zu einem psychologisch ung\u00fcnstigen Zeitpunkt. Folge ist oft der kurze Schluss (Passwort ins Formluar eingeben). Damit begann der Spa\u00df erst…<\/p>\n

<\/p>\n

Nochmal zusammengefasst:
\n1.) Postfach war schlicht voll. Gab vom Provider aber keine Warnmail.
\n2.) Kurz zuvor hatte „Provider“ „irgendwas mit Postfach“ geschrieben. Die Mail sah so aus.<\/p>\n

\"\"<\/a><\/p>\n

Scheint folgerichtig zu sein: Unzul\u00e4ssige Aktivit\u00e4ten im Postfach erkannt: Also Keine E-Mails mehr.
\nDer Text ist grammatisch gut, selbst die Umlaute sind drin. Lediglich die das geklammerte „(Netcologne-Benutzersicherheitshandbuch)“ wirkt etwas nach Textbaustein.<\/p>\n

Das beigef\u00fcgten Dokument \u00f6ffnet sogar eine SSL-Seite mit einem Wildcard-Zertifikat von Commodo. (Da hat jemand investiert). Muster sowas wie „https:\/\/go.to\/tot\/Netcologe.htm“.
\nWeil dort das CSS von Netcologne geladen wird, sieht das Layout dann auch nicht schlecht aus. Die Zieladresse im Passwort-Formular aber schon:<\/p>\n

\"\"<\/a><\/p>\n

Normalerweise w\u00e4ren die meisten Benutzer vielleicht irgendwann stutzig geworden, aber in diesem Fall hat der Kollege wie oben erw\u00e4hnt einfach den falschen Schluss gezogen. Um ehrlich zu sein: W\u00e4re mir in der Situation wahrscheinlich auch passiert.<\/p>\n

Das f\u00fchrte uns nat\u00fcrlich dazu, sofort das Passwort zu \u00e4ndern und ALLE Stellen (Logins, PPPOE, wasWei\u00dfich…) anzupassen. Hat mich so ge\u00e4rgert, dass ich etwas nachgeforscht habe, wo die E-Mail herkam.<\/p>\n

\u00dcblicherweise kommt im Header die IP des einliefernden Mailclients vor. Ist hier aber nicht so. Stattdessen sind nur die IPv6\/IPv4-Informationen vom Provider selbst erkennbar. Bis auf eine:<\/p>\n

\"\"<\/a><\/p>\n

Das ist keine Adresse aus dem Providernetz. Registriert im Ausland:
\nmbp:~ bjoern$ whois 185.72.246.203<\/em>
\n% IANA WHOIS server<\/em>
\n% for more information on IANA, visit http:\/\/www.iana.org<\/em>
\n% This query returned 1 object
\n<\/em>refer: whois.ripe.net
\ninetnum: 185.0.0.0 – 185.255.255.255<\/em>
\norganisation: RIPE NCC<\/em>
\nstatus: ALLOCATED
\nwhois: whois.ripe.net
\n<\/em>changed: 2011-02<\/em>
\nsource: IANA
\n<\/em>% This is the RIPE Database query service.<\/em>
\n% The objects are in RPSL format.<\/em>
\n%<\/em>
\n% The RIPE Database is subject to Terms and Conditions.<\/em>
\n% See http:\/\/www.ripe.net\/db\/support\/db-terms-conditions.pdf
\n<\/em>% Note: this output has been filtered.<\/em>
\n% To receive output for a database update, use the „-B“ flag.
\n<\/em>% Information related to ‚185.72.246.0 – 185.72.247.255‘<\/em><\/p>\n

% Abuse contact for ‚185.72.246.0 – 185.72.247.255‘ is ‚m**@doip.cz‘
\n<\/em>inetnum: 185.72.246.0 – 185.72.247.255<\/em>
\nnetname: CZ-DOIP-20180302<\/em>
\ncountry: DE<\/em>
\nadmin-c: YL781-RIPE<\/em>
\ntech-c: YL781-RIPE<\/em>
\nstatus: ASSIGNED PA<\/em>
\nmnt-by: MNT-DOIP<\/em>
\ncreated: 2018-03-02T09:29:32Z<\/em>
\nlast-modified: 2018-03-02T09:29:32Z<\/em>
\nsource: RIPE
\n<\/em>person: T*** J***<\/em>
\naddress: U dalnice 815\/6 Prague Czech Republic<\/em>
\nphone: +4****<\/em>
\nnic-hdl: YL781-RIPE<\/em>
\nmnt-by: MNT-DOIP<\/em>
\ncreated: 2014-10-08T10:01:07Z<\/em>
\nlast-modified: 2014-11-24T17:29:23Z<\/em>
\nsource: RIPE # Filtered<\/em><\/p>\n

% Information related to ‚185.72.244.0\/22AS47447‘
\n<\/em>route: 185.72.244.0\/22<\/em>
\ndescr: 23Media Route<\/em>
\norigin: AS47447<\/em>
\nmnt-by: MNT-23MEDIA<\/em>
\ncreated: 2014-11-03T11:02:49Z<\/em>
\nlast-modified: 2014-11-03T11:02:49Z<\/em>
\nsource: RIPE
\n<\/em>% This query was served by the RIPE Database Query Service version 1.93.2 (BLAARKOP)<\/em><\/p>\n

Man sollte bei solchen Anfragen etwas vorsichtig sein, wenn man Webdienste mit Geolocation fragt.\u00a0 (Frankfurt, Do“Lorem Ipsum“). Naja.<\/p>\n

\"\"<\/a><\/p>\n

Da die komische IP aber nicht als Mailclient („Received from“), sondern vom Webmailer selbst in den Header eingef\u00fcgt wurde, muss sich\u00a0 jemand mit g\u00fcltigen Netcologne-Account \u00fcber comcenter.netcologne.de eingeloggt haben. Ob aus einem tschechischen oder einem hessischen Netz, ist mir mittlerweile egal.<\/p>\n

Nebenbei: Der unpers\u00f6nliche Mailtext passt zur Headerangabe „multiple-recipients“. Also wenn schon Phishing, dann gleich mal an ganz viele Leute.<\/em><\/p>\n

Schadet man jetzt irgendwem unberechtigterweise, wenn man das meldet? W\u00fcrde ich normalerweise nicht tun, aber irgendwie hat mich die ganze Aufr\u00e4umarbeit sauer gemacht. Der Provider kann ja pr\u00fcfen, ob der Benutzer, dessen From-Adresse verwendet wurde, zum obigen Zeitpunkt im Webmailer eingeloggt war. Oder bei geh\u00e4uftem Autreten solcher Mails: Ob das ganze Webmail-System vielleicht einen Patch braucht.
\nSchluss f\u00fcr heute. War letztlich wesentlich mehr Arbeit, als jeder Spammer verdient.<\/p>\n","protected":false},"excerpt":{"rendered":"

Oder: Wo kommen eigentlich die ganzen Benutzernamen\/Passw\u00f6rter-Datens\u00e4tze her, die in letzter Zeit \u00fcberall auftauchen? Kollege konnte keine E-Mails mehr empfangen. […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-945","post","type-post","status-publish","format-standard","hentry","category-allgemein"],"_links":{"self":[{"href":"https:\/\/www.krombusch.de\/index.php?rest_route=\/wp\/v2\/posts\/945","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.krombusch.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.krombusch.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.krombusch.de\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.krombusch.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=945"}],"version-history":[{"count":5,"href":"https:\/\/www.krombusch.de\/index.php?rest_route=\/wp\/v2\/posts\/945\/revisions"}],"predecessor-version":[{"id":955,"href":"https:\/\/www.krombusch.de\/index.php?rest_route=\/wp\/v2\/posts\/945\/revisions\/955"}],"wp:attachment":[{"href":"https:\/\/www.krombusch.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=945"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.krombusch.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=945"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.krombusch.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=945"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}