Paypal-Phising-Spam über DUS.NET-Kontaktdaten - Hat DUS.NET ein Sicherheitsproblem?

[rmh]

Beim versuch mich einzuloggen erhalte ich folgenden Hinweis:

Sehr geehrte Kundin, sehr geehrter Kunde.
Augrund einer Sicherheitslücke im Joomla Framework kam es heute zu einem Angriff auf die Zugangsdaten der Homepage. Diese sind abgetrennt von Ihren Stamm- und Adressdaten. Es ist den Angreifern gelungen von einigen wenigen Kunden an Name, Vorname und E-Mailadresse zu gelangen. Aus Gründen der Sicherheit ist Ihr altes Kennwort zurückgesetzt worden. Über den "Passwort vergessen" Link können Sie ein neues Kennwort anfordern. Dieses Kennwort wird an die bei uns hinterlegte E-Mailadresse gesendet. Die Sicherheitslücke wurde bereits geschlossen.

Diese vorsorgliche Maßnahme dient einzig zur Erhöhung der Sicherheit aller Kunden.

Werde vorsichtshalber den Einzugsauftrag widerrufen!

 

[RalfFriedl]

Da gebe ich Dir Recht. Wenn Unstimmigkeiten, bzw seltsame Kontobewegungen bei PayPal verzeichnet werden, so werden sie das Konto schließen und nicht einschränken. Imho kämen dann auch detaillierte Informationen in der Mail vor, was genau der Grund der Sperre sei.

Von PayPal kämen eher nicht detailliertere Informationen. Die haben schon auf konkrete Nachfragen zur Ursache von Sperrungen behauptet, dass sie wegen Datenschutz keine Auskunft geben dürften.

ist ja wirklich witzig - aber etwas plump gemacht.
Normalerweise bekomme ich paypal Emails ueber Rechner aus dem 173.0.84.x Netz

Natürlich kommen die Emails von einer anderen Adresse als die von PayPal. Deswegen würde ich es aber nicht plump nennen. Wer überprüft schon bei jeder Email, ob sie den gleichen Weg gegangen ist wie die vorherige? Die meisten Leute wüssten nicht einmal, wo sie nachschauen sollten.

 

[isenberg]

Was soll "von wenigen Kunden" bedeuten? Zwei E-Mailadressen extra für zwei DUS.net-Accounts erstellt wurden heute ebenfalls mit dieser Mail beglückt.

PS: Ich liebe Catch-All.

 

[sparkie]

Deswegen würde ich es aber nicht plump nennen.

also in der Originalen Email ist sichtbar diese URL:

h tt ps://www.paypacom/de/security/index.php

das ist an sich ja schon eine ungueltige Adresse. Dahinter verbirgt sich aber :

h tt p://9nl.com/43b1 [Edit Novize: Link unbrauchbar gemacht]

das aber sofort auf

h tt p://s421044436.online.de/verify.php [Edit Novize: Link unbrauchbar gemacht]

weiterleitet.

Hier und nicht mal ueber https - soll ich meine Zugangsdaten eingeben
kann ich wirklich nur plump nennen

- sparkie

 

[SnoopyDog]

Hm, von Joomla hat man doch schon oft gelesen, daß es Sicherheitsprobleme gibt... Vor einer Woche gab es wieder ein Update http://www.joomla.de/newsneuigkeite...la-255-veröffentlicht-sicherheitsrelease.html

Muß ich jetzt regelmäßig meine Kontoauszüge kontrollieren?

 

[RudatNet]

Muß ich jetzt regelmäßig meine Kontoauszüge kontrollieren?

Berechtigte Frage ... nicht nur hier in diesem Fall!
Da sollte man mal ernsthaft über ein 2tes Konto als nur Guthabenkonto mit beschränktem Guthaben nachdenken.

 

[matthiasftl]

Hallo,

bei wem klappt das auch noch nicht. Neues PW anfordern lassen, ist auch gekommen nur einloggen klappt nicht, da kommt man immer auf diese Meldung mit der Sicherheitslücke.

Grüße.

 

[matthiasftl]

Hallo,

so...Hosteurope ist informiert, da dort die eMail scheinbar verschickt worden sind: Received: from [80.237.132.93] (helo=wp086.webpack.hosteurope.de)

Ebenso 1&1 ist informiert, da der Webspace h tt p://s421044436.online.de/verify.php [Edit Novize: Link unbrauchbar gemacht] dort als hinführender Link genutzt wird.

Grüße.

 

[fva]

Habe eben folgende Mail von dus.net erhalten:

Montag, 25. Juni 2012
-------------
Angriff auf die Webseiten der dus.net GmbH
-----------------------------------------------
Sehr geehrte Kundinnen und Kunden!

Leider gab es in der vergangenen Nacht einen Hackerangriff auf unsere Homepage www.dus.net. Die Lücke wurde kurze Zeit später vollständig
geschlossen.

Bei dem Angriff wurden exakt die Daten: Vor- und Nachname, sowie die eMail Adresse einiger weniger Kunden ausgelesen. Diese Angaben sind in einer
komplett getrennten Datenbank gespeichert, die für die Webseite zur Anzeige erforderlich sind. Die Daten des Kundencenters wurden jedoch NICHT
ausgespäht. Die erlangten Angaben wurden sofort und in erster Linie für eine gefälschte eMail im Namen von "Paypal" verwendet. In dieser eMail
werden eventuell auch Sie aufgefordert über einen dort angegebenen Link Ihre Paypal Zugangsdaten anzugeben.

BITTE GEBEN SIE DORT KEINE DATEN BZW. KEIN PASSWORT IHRES PAYPALKONTOS EIN !!!

WICHTIG! Es wurden durch den Angriff KEINE Daten Ihres Kundencenters, wie z.B. Benutzername, Passwort, Bankdaten, Adressdaten, Rufnummern,
Verbindungsnachweise, Rechnungen etc. "entwendet". Diese Daten sind nach wie vor sicher!

Dennoch haben wir uns dazu entschlossen, sämtliche Kundenpasswörter des Kundenbereichs zurückzusetzen, um Ihnen größtmögliche Sicherheit zu
gewährleisten. Sie können das neue Passwort wie gewohnt über den "Passwort vergessen" Link anfragen und erhalten dieses dann an Ihre uns bekannte
eMail Adresse.
Wir bedauern ausdrücklich diesen Vorfall und entschuldigen uns in aller Form für die enstandenen Umstände.


Vielen Dank.

Ihr dus.net Team
-Geschäftsführung-

 

[SF1975]

hallo,

...es gab bei der dus.net GmbH weder einen "Datenklau" ...
...welches wir zum Schutz gegen unberechtigte Anmeldungen ...können versichern das die Sicherheit Ihrer persönlichen Daten ...

:gruebel: :-Ö irgendwie wäre der Inhalt der Mail als Erklärung IMHO besser gewesen.

Glückicher Weise habe ich keine Ortsnummer, bzw kein Guthaben noch hinterlegte Bankdaten .... und nun keinen Account mehr

 

[SnoopyDog]

Berechtigte Frage ... nicht nur hier in diesem Fall!

Hast Du Recht. Leider ist das Bankwesen teils nicht mehr so sicher, seitdem es den Zusatz "online" gibt. Mein Weinhänder meinte einmal zu mir, wenn er ein böser Mensch wäre, könnte er den Betrag, den ich per EC Karte zahle durchaus auch 2 oder dreimal abbuchen, nur weil er meine Kontonummer kennt.
Der oben zitierten letzten Stellungnahme von dus.net glaube ich erst einmal. Was dagegen die angebliche Geschäftsleitung von dus.net auf Seite "1" verbreitet hat, ist absolut unglaubwürdig und unqualifiziert - ist das überhaupt die Geschäftsleitung?

Daß man sein Paßwort nach einem Hackerangriff DRINGEND ändern soll, vor allem dann wenn man dasselbe Paßwort anderswo ebenfalls verwendet, steht für mich außer Diskussion und dies wurde hier im IPPF ebenfalls so kommuniziert, damals, als es hier ähnliche Probleme gab. Das Internet wird niemals "sicher" sein, es gibt immer Verrückte (positiv oder negativ). Manche von denen bräuchten entweder einen guten Psychiater oder eine verständnisvolle Freundin/Freund, andere sind einfach nur kriminell.

 

[fva]

Ich gehe davon aus, dass die "einigen wenigen Kunden", die betroffen sind, alle diejenigen sind, die sich seit der Umgestaltung der dus.net-Seite im März dort eingeloggt haben.
Seitdem gibt es diese seltsame Aufteilung der Seite in eine Webseite mit Benutzerprofil und das Kundencenter, deren Sinn sich mir bisher nicht wirklich erschlossen hat.

Aus dem dus.net-Newsletter vom 9. März:

Auch unsere Webseite ist in einer neuen Version online.
[...]
Sie können sich nun nicht nur im Kundencenter sondern auch auf der Webseite mit Ihren, Ihnen bekannten, Zugangsdaten anmelden (Abb.1-3).
Nach der Anmeldung haben Sie anstelle des Tarif-Hauptmenüs ein eigenes Kunden-Menü (Abb.3).
[...]
Das Kennwort können Sie im Kundencenter ändern. Dies wird auch für die Webseite verwendet. Die E-Mailadresse für Newsletter und den vollen Namen
können Sie im Benutzerprofil frei wählen.

Nach der Erstanmeldung auf der damals überarbeiteten Webseite wurden dann wohl Name und E-Mailadresse in die jetzt entwendete Datenbank kopiert. Wäre mal interessant zu wissen, ob jemand in diesem Benutzerprofil seine Daten geändert hat und dann diese in der Phishing-Mail erschienen sind. Momentan kann man diese Daten nicht ändern. Würde mich übrigens auch nicht wundern, wenn entgegen der Angaben von dus.net auch die Benutzernamen bekannt geworden sind, irgendwie muss ja die Zuordnung der Daten des Benutzerprofils zu den Bestandsdaten geschehen.

Den Umstand, dass dus.net seine Kunden erst 8,5 Stunden nach der Stellungnahme hier im Forum per E-Mail informiert, lasse ich jetzt einfach mal unkommentiert hier stehen...

 

[SF1975]

Hallo,

Ich gehe davon aus, dass die "einigen wenigen Kunden", die betroffen sind, alle diejenigen sind, die sich seit der Umgestaltung der dus.net-Seite im März dort eingeloggt haben.

Hier muss ich einmal in aller Ruhe widersprechen. Ich habe mich seit ca. 5-6 Monaten nicht mehr eingeloggt. Trotzdem bekam ich heute diese gloreiche Information :?

 

[SnoopyDog]

Diese Phishing-Mail habe ich nie bekommen. Die Mail von dus.net, in welcher ich über den Hackerangriff informiert werde, "erst" um 21:19. Trotzdem kann ich daran nichts negatives sehen, im Gegensatz zu manchen "immer-negativ-suchern", wie denen über mir. Im Gegenteil.

Daß ich z.B. seit ca. 2009 verstärkt Spam-Mail an einen gewissen Account bekomme, weil bei einem großen deutschen Computerhändler Hacker Daten gestohlen hatten, wurde erst ~2 Jahre später publik, seitdem kenne ich die Zusammenhänge.

ICH schreibe Mails zu derart komplexen Dingen erst dann, wenn ich zu 99% sicher sagen kann, was genau passiert ist. Schnellschüsse wie auf Seite 1 ohne genaue Kenntnis der Sachlage bewirken das Gegenteil.

 

[vöxchen]

Kann mich auch mit dem neuen Paßwort nicht einloggen - hat jemand das gleiche Problem? Lande immer wieder auf der "SIcherheitshinweisseite".
Danke für einen Hinweis...

Gruss vöxchen

 

[SF1975]

Hallo,
@SnoopyDog,
Ich suche hier nichts negatives.Nur finde ich es sehr auffällig, wenn ein Statement publiziert wird und dann später eine wesentlich andere Version per Mail an die Kunden kommuniziert wird.

Nichts ist sicher, das ist sicher Man hat es bei 1&1 gesehen, man liest es in den Zeitungen, ein Bekannter von mir arbeitet in der Finanzwelt und berichtet ab und ab davon, wie groß die Zahl derer ist, die auf diese Mails hereingefallen sind. Sogar "IT-Spezialisten" . Der nächste Schritt wird dann von den armen "Jobsuchenden", den "Heimarbeitern" übernommen. Die sind dann neben den Kontoinhabern die armen Schweine .

Alles, was mir wünschenswert erscheint, ist ein offener Umgang. Das Firmen, die weiterhin existieren wollen, werden alles Menschenmögliche unternehmen, diese Lücken zu stopfen.

IMHO sind diese schnell an die Öffentlichkeit gebrachten "Informationen" genau das Gegenteil. Nachdem dann die wirkliche Version bekannt gegeben wird, dann ist der Frust und das Misstrauen noch größer.

Ich gehe hier davon aus, dass DUS.net die Lücke schliessen wird und dann sollte Ruhe einkehren.

Was die Pishing-Mails betrifft: Es haben sich schon verschiedene Geldinstitute gemeldet, die meine Mitarbeit zur Wiederherstellung meiner Kontosicherheit erbeten habe. ... wenn ich doch nur Konten bei ihnen hätte :hehe:

Gruß,
Frank

 

[SnoopyDog]

Ich meinte nicht Dich Daß das Statement auf Seite 1 "Quatsch" ist (um es vorsichtig zu formulieren), steht außer Frage.

IMHO sind diese schnell an die Öffentlichkeit gebrachten "Informationen" genau das Gegenteil. Nachdem dann die wirkliche Version bekannt gegeben wird, dann ist der Frust und das Misstrauen noch größer.

Genau DAS meine ich ja! Bloß daß dann jemand sich darüber beschwert, daß "erst" 8 Stunden später eine offizielle Stellungnahme kommt, finde ich nicht so doll. Manche schaffen es erst 2 Jahre später und haben zuvor auf einen Mantel des Schweigens gehofft (den es niemals gibt/geben wird).

 

[woprr]

Daß man sein Paßwort nach einem Hackerangriff DRINGEND ändern soll, vor allem dann wenn man dasselbe Paßwort anderswo ebenfalls verwendet, steht für mich außer Diskussion

Sorry, aber die Sicherheit von Servern ist die Sache des Serverbetreibers und nicht die der Kunden. Dafür werden wir nicht bezahlt, ja?
Vor allem wenn die ganze Branche weiter an zeitgemäßen Zugangssystemen spart und lieber Anwälte bezahlt als mehr Fachpersonal.
Man stelle sich vor, Anonymous & Co kämen auf die Idee eine "Nullpasswort"-Aktionswoche auszurufen, da würde der ganze e-Commerce binnen Tagen zusammenbrechen wenn dem nur 10000 Leute folgen würden.

Die Mail von Heute sieht zwar authentisch aus, aber ohne >= Klasse 3 - S/MIME-Zertifikat und da es noch nicht übliche Praxis von Providern ist, Kunden solche Sicherheitsbrüche zu veröffentlichen, kann ich jetzt nicht wissen ob die Mail von dus.net oder von den Hackern ist, die ja die Server unter Kontrolle haben wollten, auf Heise ist auch nichts, hat jemand was Papierschriftliches bekommen?

Received: from bespin.dus.net (bespin.dus.net. [83.125.8.76])
        by mx.google.com with ESMTP id u49si17282145weh.73.2012.06.25.12.44.48;
        Mon, 25 Jun 2012 12:44:48 -0700 (PDT)

Montag, 25. Juni 2012
-------------
Angriff auf die Webseiten der dus.net GmbH
-----------------------------------------------
[...überflüssige Wiederholung...]

Ihr dus.net Team
-Geschäftsführung-

UPDATE: Neues Passwort kam per TLS- Mail, mein Geld ist noch da, also von meiner Seite aus alles OK.

Werde vorsichtshalber den Einzugsauftrag widerrufen!

Das ist nicht notwendig, kannst ja die Bankabbuchung immer noch bis min. 6 Wochen danach noch widerrufen.

Das switch- und billingsystem scheint nicht betroffen, die SIP-Passwörter gelten hier noch.

 

[SnoopyDog]

Sorry, aber die Sicherheit von Servern ist die Sache des Serverbetreibers und nicht die der Kunden. Dafür werden wir nicht bezahlt, ja?

Du hast nicht verstanden.

Weiterhin: Das Internet wird NIEMALS sicher sein! Wer das glaubt, der träumt.

 

[woprr]

Du hast nicht verstanden.

In Deinem Satz fehlt das Objekt des Nichtverstehens oder ein "s"?

Und von einem DECT- User und "Offline- Banker" brauchen wir sicher keine Lehren über TK-Sicherheit