Docuware warnt vor geplanter Phishing-Aktion
Moin,
Docuware informiert gerade seine Kunden über eine geplante Phishing-Aktion.
Docuware nutzt diese URL für die Anmeldung von Benutzern.
start [dot] docuware [dot] com
Nun hat Jemand bei GoDaddy am 05.06.24 diese Domäne gebucht.
startdocuware [dot] com
Die Absicht scheint klar zu sein, dass Personen bei einem Vertipper der URL ihre Zugangsdaten dort eingeben könnten.
Aktuell enthält die Webseite nur Werbung und kein gültiges SSL Zertifikat. Aber das kann sich schnell ändern.
Das Docuware hier "nur" ein einfaches Google-Zertifikat und kein EV-Zertifikat verwendet macht es nicht einfacher die richtige Seite zu erkennen.
Anbei die Mail von Docuware.
Docuware informiert gerade seine Kunden über eine geplante Phishing-Aktion.
Docuware nutzt diese URL für die Anmeldung von Benutzern.
start [dot] docuware [dot] com
Nun hat Jemand bei GoDaddy am 05.06.24 diese Domäne gebucht.
startdocuware [dot] com
Die Absicht scheint klar zu sein, dass Personen bei einem Vertipper der URL ihre Zugangsdaten dort eingeben könnten.
Aktuell enthält die Webseite nur Werbung und kein gültiges SSL Zertifikat. Aber das kann sich schnell ändern.
Das Docuware hier "nur" ein einfaches Google-Zertifikat und kein EV-Zertifikat verwendet macht es nicht einfacher die richtige Seite zu erkennen.
Anbei die Mail von Docuware.
Sehr geehrter Kunde, DocuWare möchte Sie über ein Phishing-Problem informieren. Die nachfolgenden Anweisungen sind auf Englisch verfasst. Wir empfehlen Ihnen deshalb, sofort ein englischsprachiges Mitglied Ihres Teams einzubeziehen, damit Sie die notwendigen Sicherheitsmaßnahmen ergreifen können.
DocuWare has been made aware that a serious phishing attempt may be being planned. Today we discovered that a malicious domain (startdocuware.com) was registered that is very similar to our legitimate domain start.docuware.com.
Please make sure that you enter the DocuWare URL address correctly in your browser. There is a dot between the words “start” and “docuware.com” in our official website name, please ensure you type in https://start.docuware.com/.
We also encourage you to immediately alert your employees, customers?and internal IT security teams to be extra vigilant about using the right URL and checking the domain name from which emails are received. Always remember to check the spelling to be sure the email is from?a trusted DocuWare domain.
The potentially malicious domain is: (DO NOT CLICK OR SURF IT)
http : / / startdocuware [dot] com
DocuWare has been made aware that a serious phishing attempt may be being planned. Today we discovered that a malicious domain (startdocuware.com) was registered that is very similar to our legitimate domain start.docuware.com.
Please make sure that you enter the DocuWare URL address correctly in your browser. There is a dot between the words “start” and “docuware.com” in our official website name, please ensure you type in https://start.docuware.com/.
We also encourage you to immediately alert your employees, customers?and internal IT security teams to be extra vigilant about using the right URL and checking the domain name from which emails are received. Always remember to check the spelling to be sure the email is from?a trusted DocuWare domain.
The potentially malicious domain is: (DO NOT CLICK OR SURF IT)
http : / / startdocuware [dot] com
Please also mark the comments that contributed to the solution of the article
Content-ID: 14094077393
Url: https://administrator.de/contentid/14094077393
Printed on: October 6, 2024 at 17:10 o'clock
5 Comments
Latest comment
Zitat von @StefanKittel:
Moin,
hat Jemand eine schlaue universelle Möglichkeit so etwas zu blocken oder auch nur die Mitarbeiter zu schulen das zu erkennen?
Moin,
hat Jemand eine schlaue universelle Möglichkeit so etwas zu blocken oder auch nur die Mitarbeiter zu schulen das zu erkennen?
Solange man das nicht per whitelist regelt, dürfte das sehr schwirieg sein, sich vor solchen Phishig-Domains wirklch vollumfänglich zu schützen. Insbesondere seit es üblich geworden ist, per puny-Code Domains anzumelden, die ähnliche Glyphen wie das lateinische Alphabet.
Das einzige was ich mir vorstellen könnte, das etwas abzumildern, istn den Mitarbeitern Linklisten zur Verfügung zu stellen, z.B. per Favoriten oder internem Webserver und diese anzuweisen, nur über die Liste die URLs aufzurufen.
lks
Moin,
schützen kann man sich davor nicht.
Spannend wird es sogar, wenn in der URL Buchstaben anderer Zeichensätze zum Einsatz kommen, die unseren lateinischen optisch ähneln, aber doch anders sind.
Für Portale, die wir unseren MAs zur Verfügung stellen (PZE, Office, ....) legen wir immer einen ALIAS an, sodass dann aus pze.hersteller.de diese URL zusätzlich über pze.eigenedomain.biz erreichbar ist.
das federt das Risiko etwas ab, bedeutet aber nicht, dass es verschwunden ist. Verteilen die bösen Burschen gute aussehende Status-Mails, in denen z. B. startdocuware[dot]com anstatt start[dot]docuware[dot]com enthalten ist, fällt obiges auf die Nase. Da hilft dann eh nur "schulen, schulen, schulen...". Erwähnte ich, dass schulen hier wichtig ist?
schützen kann man sich davor nicht.
Spannend wird es sogar, wenn in der URL Buchstaben anderer Zeichensätze zum Einsatz kommen, die unseren lateinischen optisch ähneln, aber doch anders sind.
Für Portale, die wir unseren MAs zur Verfügung stellen (PZE, Office, ....) legen wir immer einen ALIAS an, sodass dann aus pze.hersteller.de diese URL zusätzlich über pze.eigenedomain.biz erreichbar ist.
das federt das Risiko etwas ab, bedeutet aber nicht, dass es verschwunden ist. Verteilen die bösen Burschen gute aussehende Status-Mails, in denen z. B. startdocuware[dot]com anstatt start[dot]docuware[dot]com enthalten ist, fällt obiges auf die Nase. Da hilft dann eh nur "schulen, schulen, schulen...". Erwähnte ich, dass schulen hier wichtig ist?