stefankittel
Goto Top

Docuware warnt vor geplanter Phishing-Aktion

Moin,

Docuware informiert gerade seine Kunden über eine geplante Phishing-Aktion.

Docuware nutzt diese URL für die Anmeldung von Benutzern.
start [dot] docuware [dot] com

Nun hat Jemand bei GoDaddy am 05.06.24 diese Domäne gebucht.
startdocuware [dot] com

Die Absicht scheint klar zu sein, dass Personen bei einem Vertipper der URL ihre Zugangsdaten dort eingeben könnten.
Aktuell enthält die Webseite nur Werbung und kein gültiges SSL Zertifikat. Aber das kann sich schnell ändern.

Das Docuware hier "nur" ein einfaches Google-Zertifikat und kein EV-Zertifikat verwendet macht es nicht einfacher die richtige Seite zu erkennen.

Anbei die Mail von Docuware.
Sehr geehrter Kunde, DocuWare möchte Sie über ein Phishing-Problem informieren. Die nachfolgenden Anweisungen sind auf Englisch verfasst. Wir empfehlen Ihnen deshalb, sofort ein englischsprachiges Mitglied Ihres Teams einzubeziehen, damit Sie die notwendigen Sicherheitsmaßnahmen ergreifen können.

DocuWare has been made aware that a serious phishing attempt may be being planned. Today we discovered that a malicious domain (startdocuware.com) was registered that is very similar to our legitimate domain start.docuware.com.

Please make sure that you enter the DocuWare URL address correctly in your browser. There is a dot between the words “start” and “docuware.com” in our official website name, please ensure you type in https://start.docuware.com/.

We also encourage you to immediately alert your employees, customers?and internal IT security teams to be extra vigilant about using the right URL and checking the domain name from which emails are received. Always remember to check the spelling to be sure the email is from?a trusted DocuWare domain.

The potentially malicious domain is: (DO NOT CLICK OR SURF IT)
http : / / startdocuware [dot] com

Content-Key: 14094077393

Url: https://administrator.de/contentid/14094077393

Printed on: June 23, 2024 at 09:06 o'clock

Member: StefanKittel
StefanKittel Jun 10, 2024 at 07:39:47 (UTC)
Goto Top
Moin,

hat Jemand eine schlaue universelle Möglichkeit so etwas zu blocken oder auch nur die Mitarbeiter zu schulen das zu erkennen?

Ich bin jetzt mal böse und registriere bei 1und1 start [minus] docuware [punkt] com.
Dafür kaufe ich bei 1und1 gleich noch ein DV-SSL Zertifikat von z.B: Geo-Trust.
Dann kopiere ich die 1. Seite der Homepage mit einem Anmeldeformular.
Nach der Anmeldung speichere ich die Zugangsdaten, zeige eine Fehlermeldung und leite auf die richtige Seite weiter.

Wie soll ein normaler Benutzer so etwas erkennen können?
Gar nicht.

SSL: gültig
Inhalt: 1:1 wie das Original
IP in DE

Solange man nicht im White-List-Modus unterwegs ist, nur erlaubte Domänen darf man aufrufen, kann man auch nicht jede mögliche Variante sperren. Und besonders bei KMUs ist die freie Nutzung des Internets meist notwendig.

Stefan
Member: Lochkartenstanzer
Lochkartenstanzer Jun 10, 2024 at 08:06:01 (UTC)
Goto Top
Zitat von @StefanKittel:

Moin,

hat Jemand eine schlaue universelle Möglichkeit so etwas zu blocken oder auch nur die Mitarbeiter zu schulen das zu erkennen?


Solange man das nicht per whitelist regelt, dürfte das sehr schwirieg sein, sich vor solchen Phishig-Domains wirklch vollumfänglich zu schützen. Insbesondere seit es üblich geworden ist, per puny-Code Domains anzumelden, die ähnliche Glyphen wie das lateinische Alphabet.

Das einzige was ich mir vorstellen könnte, das etwas abzumildern, istn den Mitarbeitern Linklisten zur Verfügung zu stellen, z.B. per Favoriten oder internem Webserver und diese anzuweisen, nur über die Liste die URLs aufzurufen.

lks
Member: em-pie
em-pie Jun 10, 2024 at 08:59:56 (UTC)
Goto Top
Moin,

schützen kann man sich davor nicht.
Spannend wird es sogar, wenn in der URL Buchstaben anderer Zeichensätze zum Einsatz kommen, die unseren lateinischen optisch ähneln, aber doch anders sind.

Für Portale, die wir unseren MAs zur Verfügung stellen (PZE, Office, ....) legen wir immer einen ALIAS an, sodass dann aus pze.hersteller.de diese URL zusätzlich über pze.eigenedomain.biz erreichbar ist.
das federt das Risiko etwas ab, bedeutet aber nicht, dass es verschwunden ist. Verteilen die bösen Burschen gute aussehende Status-Mails, in denen z. B. startdocuware[dot]com anstatt start[dot]docuware[dot]com enthalten ist, fällt obiges auf die Nase. Da hilft dann eh nur "schulen, schulen, schulen...". Erwähnte ich, dass schulen hier wichtig ist? face-smile
Member: StefanKittel
StefanKittel Jun 10, 2024 at 09:12:47 (UTC)
Goto Top
Zitat von @em-pie:
Erwähnte ich, dass schulen hier wichtig ist? face-smile
Ich bin mir nicht mal sicher ob ich so eine Seite erkennen könnte.
Gehen wir mal von folgenden Dinge aus:
- Perfekte Kopie der eigentlichen Webseite (inkl. Impressum, etc)
- Deutsche IP
- Gültiges SSL Zertifikat was kein LE-Zertifikat ist

Das alles kann ich in 2 Stunden realisieren.
Mit mehr Routine brauchen die Unfreundlichen weniger Zeit...

Wenn die unfreundlichen Leute es jetzt noch hinbekommen mit Werbung über dem eigentlichen Hersteller angezeigt zu werden ist endgültig Schluss...

Und hier sprechen wir nichtmal von KI gestützen Angriffen...
Das hier ist Turnschu-Hacking...

Stefan
Member: Mystery-at-min
Mystery-at-min Jun 10, 2024 at 09:17:16 (UTC)
Goto Top
Einfache Geschichte:
a) Schulung
b) Weg mit dem Hey.Joe Prinzip. Je mehr Leute "nebenbei" herumkochen, desto eher kommt ein Fishing Versuch durch.
c) als Hersteller: Vorsorge/ähnliche Domains eben ins Portfolio nehmen. (Witz ist dasselbe schon bei fritz.box - dass das möglich war spricht Bände.)