Paypal-Phising-Spam über DUS.NET-Kontaktdaten - Hat DUS.NET ein Sicherheitsproblem?

Anti-T

Mitglied
Mitglied seit
2 Okt 2005
Beiträge
294
Punkte für Reaktionen
0
Punkte
0
Eben schlägt bei mir Spam auf, Betreff: "Ihr PayPal-Konto ist eingeschränkt - Ihre Mithilfe ist gefragt" Ich habe einen Paypal-Account? Davon weiß ich ja gar nichts! Sehr geehrte/r MeinVorname MeinNachname, Bitte helfen Sie uns dabei, Ihr PayPal-Konto wieder in Ordnung zu bringen. Bis dahin haben wir den Zugang zu Ihrem PayPal-Konto vorübergehend eingeschränkt. Wo liegt das Problem? Bei Ihrer letzten Kreditkartenzahlung sind uns ungewöhnliche Aktivitäten aufgefallen. Dass ich dann auf einen scheinbaren Paypal-Link klicken soll, der dann aber zu einer Domain namens 9nl.com verlinkt, zeigt dann erst recht, dass hier jemand Zugangsdaten phisen will. Die Lösung steht gleich oben drüber: Gesendet an meineDUS.NET-E-Mail-Adresse. Ach! Ich nutze einen Catch-All-Account mit einer eigenen Domain und nutze für jeden Kontakt eine eigene E-Mail-Adresse, so erkenne ich gleich auf den ersten Blick, woher die Phisher meine E-Mail-Adresse und, das ist die größere Frechheit, meinen Vornamen und Nachnamen haben. Für mich hat DUS.NET ein ganz massives Sicherheitsproblem, offensichtlich tummeln sich in deren Buchhaltung ein paar Trojaner. Ob sie es schon bemerkt haben? Da staunt man ja nicht schlecht. Seit etwa 7 Jahren nutze ich DUS.NET und habe, weil ich damit weitgehend zufrieden bin, meine Festnetznummern dorthin portiert. Meine bessere Hälfte nutzt auch DUS.NET mit einem eigenen Account, sie hat aber keinen Spam bekommen (es könnte aber auch sein, dass das der E-Mail-Provider abgelehnt hat). Das ist jetzt aber schon ein herber Vertrauensverlust. Für Interessierte: Meine letzte Guthabenaufladung habe ich über den Paypal-Account meiner besseren Hälfte (wieder eine andere E-Mail-Adresse) vorgenommen. Es scheint also so zu sein, dass nur die bespamt werden, die bei DUS.NET igendwann einmal mit Paypal gezahlt haben. Das sollte ich nur mal so am Rande erwähnen, falls andere auch Spam bekommen haben und sie nicht wissen, woher die die Daten haben.
 
Ich kann das bestätigen. Ich habe die gleiche Mail erhalten: Personalisiert mit meinem Realnamen und an die speziell für dus.net eingerichtet Kontakt-Adresse. Bis zum Beweis des Gegenteils gehe davon aus, daß sich Kriminelle die komplette Kundendatenbank verschafft haben. Möglicherweise auch inklusive Zahlungsdaten.

Wegen der Realdaten in der Mail und dem einwandfreien Deutsch werden da vermutlich viele drauf reinfallen. Ich denke die Bundesnetzagentur und der Landesdatenschutzbeauftragte NRW sollte über den Vorfall schnellstmöglich informiert werden.
 
Zuletzt bearbeitet:
ich habe ebenfalls die gleiche Mail erhalten...
 
Oh mein Gott, wenn die sich schon die Kundendatenbank hacken lassen, was ist dann mit den Verbindungsdaten?! Der Laden gehört vorsichtshalber vorläufig offline genommen!

Könnte bitte jemand hier die entsprechenden Kontaktadressen der Aufsichtsbehörden posten?

paypalphishing.png
 
Update des Angriffs.

Leider hat unsere Technik zu früh falsche Schlüsse der Ursache für den erfolgten Angriff gezogen. Unter Druck entstehen eben nicht nur Diamanten sondern auch Fehler. Da wir offen mit der Thematik umgehen haben wir unsere Kunden umgehend nach der Analyse informiert. Leider ist das vielen manchmal nicht schnell genug.

Hier nochmals der Auszug aus unserer E-Mail die authentisch ist.
"Leider gab es in der vergangenen Nacht einen Hackerangriff auf unsere Homepage www.dus.net. Die Lücke wurde kurze Zeit später vollständig geschlossen.

Bei dem Angriff wurden exakt die Daten: Vor- und Nachname, sowie die eMail Adresse einiger weniger Kunden ausgelesen. Diese Angaben sind in einer komplett getrennten Datenbank gespeichert, die für die Webseite zur Anzeige erforderlich sind. Die Daten des Kundencenters wurden jedoch NICHT ausgespäht. Diese Angaben wurden sofort und in erster Linie für eine gefälschte eMail im Namen von "Paypal" verwendet. In dieser eMail werden eventuell auch Sie aufgefordert über einen dort angegebenen Link Ihre Paypal Zugangsdaten anzugeben.

BITTE GEBEN SIE DORT KEINE DATEN BZW. KEIN PASSWORT IHRES PAYPALKONTOS EIN !!!

WICHTIG! Es wurden durch den Angriff KEINE Daten Ihres Kundencenters, wie z.B. Benutzername, Passwort, Bankdaten, Adressdaten, Rufnummern, Verbindungsnachweise, Rechnungen etc. "entwendet". Diese Daten sind nach wie vor sicher!

Dennoch haben wir uns dazu entschlossen, sämtliche Kundenpasswörter des Kundencenters zurückzusetzen, um Ihnen größtmögliche Sicherheit zu gewährleisten. Sie können das neue Passwort wie gewohnt über den "Passwort vergessen" Link anfragen und erhalten dieses dann an Ihre uns bekannte eMail Adresse.
Wir bedauern ausdrücklich diesen Vorfall und entschuldigen uns in aller Form für die enstandenen Umstände."

Wir bedauern den Vorfall wie bereits geschrieben weisen aber Vorwürfe von Lügen oder Desinformation weit von uns.

Vielen Dank für Ihr Verständnis.

Udo Ries

dus.net GmbH
-Geschäftsführung-
 
Zuletzt bearbeitet:
Lieber dus.net-Support,

ein Prüfskript zum Schutz gegen unberechtigte Anmeldungen(!) generiert eine professionell aussehende paypal Phishing-Mail und versendet diese?
Diese Erklärung ist für mich als Betroffener nicht nachvollziehbar, also bitte etwas präziser!
 
Sehe ich genauso.

Die Aussage von dus.net lautet sinngemäß: "Bei uns klaut keiner Daten, wir geben sie freiwillig raus".

Ein Prüfscript für E-Mailadressen zum Schutz gegen unberechtigte Anmeldungen gibt also Vorname, Nachname und E-Mailadresse der vorhandenen Kunden aus? Was für Debug-Informationen soll man sich davon versprechen, die irgend einen Zusammenhang mit unberechtigte Anmeldungen haben? Und dann werden die Informationen auch nur für die Kunden ausgegeben, die schon mal über PayPal bezahlt haben? Das halte ich für wenig plausibel.

Für weitaus plausibler halte ich folgende Möglichkeiten:
- dus.net verkauft die Daten zu Werbezwecken, der Absender der Emails hat diese direkt oder indirekt bekommen.
- Jemand bei dus.net hat diese Ausgabe der Daten tatsächlich in ein Skript eingebaut, um auf diesem Weg die Daten nach Außen zu schicken. Und wenn es nachher auffällt, dann war es ein "Versehen".
 
Komische Antwort von Dus.net.
 
vielleicht ist der Benutzername "dus.net-Support" nicht authentisch.
oder die Fisher haben den Account auch schon gekapert :D
 
Ich habe heute Nachmittag die gleiche Mail erhalten, ebenfalls an eine nur dus.net bekannte E-Mail-Adresse. Die Erklärung von dus.net hier im Forum finde ich äußerst dürftig und alles andere als zufriedenstellend. Auf der Seite von dus.net selbst ist keine Stellungnahme zu finden. Habe versucht, dort anzurufen, aber die Nummer, die im Impressum angegeben ist, ist nicht erreichbar ("nicht vergeben")...
Bin langjähriger eigentlich zufriedener Kunde, aber das Verhalten in diesem Fall finde ich ziemlich unprofessionell.
 
Hallo,
Ich habe gerade die o.g. Mail ebenfalls erhalten. Die Daten (Name/Mailadresse) stimmen überein. Es wurde die Bearbeitungsnummer genannt, wie sie im Screenshot gezeigt wird.
Ob diese von DUS.net kommt, kann ich nicht mit Sicherheit sagen.
Der einzige Unterschied ist, dass der Link in "meiner" Mail "https://www.paypacom ...... lautet. Nicht paypal. Die URL hinter dem Link ist diese: h tt p://9nl.com/43b1 [Edit Novize: Link unbrauchbar gemacht], wohin er auch immer führen mag ...

Der Text der Mail sollte den User allerdings aufmerksam werden lassen. Die Formulierung "Bitte helfen Sie uns dabei, Ihr PayPal-Konto wieder in Ordnung zu bringen." spricht nicht für eine geschäftliche Mail.

Grüße,
Frank

[EDIT]
Es scheint also so zu sein, dass nur die bespamt werden, die bei DUS.NET igendwann einmal mit Paypal gezahlt haben.
Hier muss ich ergänzen, dass ich bei DUS.net noch nie eine Aufladung getätigt habe.
 
Zuletzt bearbeitet von einem Moderator:
Der Text der Mail sollte den User allerdings aufmerksam werden lassen. Die Formulierung "Bitte helfen Sie uns dabei, Ihr PayPal-Konto wieder in Ordnung zu bringen." spricht nicht für eine geschäftliche Mail.
Stimmt auch wieder. Dass PayPal von sich etwas tun würde, um ein Konto wieder zu aktivieren, ist ein deutlicher Hinweis, dass mit der Email etwas nicht stimmt.
 
Ich habe ebenfalls einen Versuch in den Logdateien meines Mailservers eine entsprechende Phishing-Mail zuzustellen:

2012-06-25 15:17:58 SMTP connection from [2a01:488:42::50ed:845d] with tcp mss 1428 (TCP/IP connection count = 1)
2012-06-25 15:18:11 H=wp086.webpack.hosteurope.de [2a01:488:42::50ed:845d] F=<[email protected]> temporarily rejected RCPT <bla@bla>: Please try again later.
2012-06-25 15:18:11 SMTP connection from wp086.webpack.hosteurope.de [2a01:488:42::50ed:845d] closed by QUIT
2012-06-25 15:18:11 SMTP connection from [80.237.132.93] with tcp mss 1448 (TCP/IP connection count = 1)
2012-06-25 15:18:24 H=wp086.webpack.hosteurope.de [80.237.132.93] F=<[email protected]> rejected RCPT <bla@bla>: ...
2012-06-25 15:18:24 SMTP connection from wp086.webpack.hosteurope.de [80.237.132.93] closed by QUIT

Nunja, Guthaben verbrauchen und weg. Die Ortsnetznummer hatte ich wegen der Probleme in der Vergangenheit bereits gekündigt.

Wolfram
 
Hallo,
@RalfFriedl
Da gebe ich Dir Recht. Wenn Unstimmigkeiten, bzw seltsame Kontobewegungen bei PayPal verzeichnet werden, so werden sie das Konto schließen und nicht einschränken. Imho kämen dann auch detaillierte Informationen in der Mail vor, was genau der Grund der Sperre sei.

Wenn unsere Kunden Ihr Konto überziehen, dann werden sie gesperrt und müssen schon selber aktiv werden, um wieder handeln zu können. Bzw wir schauen, dass wir unser Geld bekommen =>> RA oder Inkasso-Team.
 
ist ja wirklich witzig - aber etwas plump gemacht.

Normalerweise bekomme ich paypal Emails ueber Rechner aus dem 173.0.84.x Netz:
Code:
/var/log/exim4/mainlog.2:2012-06-12 06:17:14 xxxxXa-000438-9o <= [email protected] H=mx3.slc.paypal.com (mx2.slc.paypal.com) [173.0.84.228] P=esmtp S=3600 [email protected]

dass paypal jetzt schon ueber hosteurope sendet ist mir neu :lach:

soeben bekommen:
Code:
/var/log/exim4/mainlog:2012-06-25 18:10:33 xxxxx1-0007f5-yy <= [email protected] H=wp086.webpack.hosteurope.de [80.237.132.93] P=esmtp S=13914 [email protected]

ich denke der v-server bei hosteurope duerfte sich schnell amortisiert haben :)

- sparkie
 
Zuletzt bearbeitet:
noch besser ist, dass ich mich jetzt auf http://my.dus.net gar nicht mehr einloggen kann. Obwohl das vorgestern noch funktioniert hat.

Selbst wenn ich jetzt anschliessend mir den Benutzernamen, den ich nie geaendert habe per Email zusenden lasse (was sogar noch funzt) behauptet er anschliessend beim Login, dass er den Benutzernamen gar nicht kenne
 
Soeben an den Support von Dus.net:

Sehr geehrte Damen und Herren,

auch wir erhielten heute eine Paypal Phising Mail mit gleichen Inhalt wie viele andere Kunden von Dus.net mit dem Beitrag: http://www.ip-phone-forum.de/showthread.php?t=249753

Diesmal sehr täuschend echt mit Anrede von Vorname und Nachname.

Ein Blick in den Paypal Account (natürlich nicht über den Link eingelogg) ergab keine Probleme bei unserem Paypal Account.

Wie von Ihnen im Thread beschrieben, ein Prüfskript zum Schutz gegen unberechtigte Anmeldungen(!) generiert eine professionell aussehende paypal Phishing-Mail und versendet diese?
Diese Erklärung ist für mich als Betroffener nicht nachvollziehbar, zumal hier Kundendaten direkt mit in der Paypal Phising Mail verwendet wurden und lt. Header der eMail ein HostEurope Server: wp086.webpack.hosteurope.de sowie ein Niederländischer eMail Account: 5355d785.cm-6-6d.dynamic.ziggo.nl eine rolle spielt.

Wir fordern Sie umgehend auf Stellung zu diesem Fall zu nehmen. Desweiteren werden wir den zuständigen Datenschutzbeauftragten hier über den Fall informieren, sowie HostEurope über deren Server wahrscheinlich der eMail Verkehr gegangen ist.


Für Fragen stehen wir Ihnen weiterhin gern zur Verfügung.

Mit freundlichen Grüßen

---------------------------------------

Hier wird mehr dahinter stecken als Dus.net mit Ihren Debug Mail Script versucht zu verschleiern.
 
Ahja,

also doch eine Sicherheitslücke und kein Debug Mail Script. Also diese Lügen dieser Firma hab ich langsam satt.

Sehr geehrte Kundin, sehr geehrter Kunde.
Augrund einer Sicherheitslücke im Joomla Framework kam es heute zu einem Angriff auf die Zugangsdaten der Homepage. Diese sind abgetrennt von Ihren Stamm- und Adressdaten. Es ist den Angreifern gelungen von einigen wenigen Kunden an Name, Vorname und E-Mailadresse zu gelangen. Aus Gründen der Sicherheit ist Ihr altes Kennwort zurückgesetzt worden. Über den "Passwort vergessen" Link können Sie ein neues Kennwort anfordern. Dieses Kennwort wird an die bei uns hinterlegte E-Mailadresse gesendet. Die Sicherheitslücke wurde bereits geschlossen.

Diese vorsorgliche Maßnahme dient einzig zur Erhöhung der Sicherheit aller Kunden.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.