So richtig angefangen hat alles Anfang Juli. Da wurde unser sehr wachsames Security-Team hellhörig. Im Fokus: unsere Loginseite login.sipgate.com. Auf die richten wir seit jeher einen besonders fürsorglichen Blick – eben weil sie ein Einfallstor für Betrugsmaschen aller Art sein kann. So auch am 6. Juli. Da prasselten plötzlich zehn- bis hundertmal so viele Logins wie üblich auf unsere damit ziemlich überforderten Login-Server ein. Schnell war klar, dass hier Angriffe von einem Netzwerk gefahren werden.
Begehrte Ziele: die Accounts
Das Prinzip dahinter: Menschen mit nicht so furchtbar hehren Absichten probieren automatisiert Listen mit bekannten Benutzernamen- und Passwort-Kombinationen auf Anmeldeseiten durch. Da gar nicht so wenige Leute Benutzernamen und Passwort mehrfach verwenden, ist die Chance groß, mit Hilfe dieser Listen unbefugten Zutritt zu ein paar Konten und Accounts zu bekommen. Und gerade nach erbeuteten Accounts lecken sich viele Betrüger die Finger. In unserem Fall bietet sich so ein gekidnapptes Profil für eine bunte Vielzahl an dann folgenden Telefonie-Betrugsmaschen an, auf die wir hier gar nicht detaillierter eingehen möchten.
Komplexe Angriffsstrategie
Im Falle des Angriffs auf unsere Loginseite realisierte unser Security-Trupp, dass diese ziemlich komplex gefahren wurden und es sich als schwierig herausstellte, berechtigte Login-Versuche von automatisierten Bot-Attacken zu unterscheiden. Es gab zahlreiche fehlgeschlagene Logins zu vielen verschiedenen Accounts. Es ließ sich also herzlich wenig am Account-Namen selber festmachen. Dazu wurden etliche verschiedene IP-Adressen eingesetzt – kein Einzelfall in Zeiten von günstigen Cloud-Services und professionell mietbaren Botnetzen. Klassische Methoden, etwa das Sperren von einzelnen IP-Adressen, hätte hier also gar nichts bewirkt.
reCAPTCHA: bewährt und kampferprobt
Um unsere Kund:innen vor den Angriffen zu schützen, musste eine schnelle, breit gefächerte und sichere Lösung her. Und so fiel die Wahl des für das im Moment geeignetste Mittel auf reCAPTCHA. Bei dem von Google gehosteten Dienst müssen Kund:innen bei uns vereinzelt (in den meisten Fällen läuft das Ganze unsichtbar im Hintergrund) vor dem Login einen Text eingeben oder eine Art Bilderrätsel lösen. Für uns war klar, dass es für den Moment und angesichts der hohen Intensität der Angriffe das geeignetste Tool ist, um die Accounts unserer Kund:innen zu schützen. Eben weil die Server von Google stabil sind und nicht ohne Weiteres in die Knie gehen. Und weil die Modelle stetig und ausgiebig mit Daten gefüttert werden (Fluch und Segen einer Datenkrake) und entsprechend wasserdicht sind. Unterm Strich: reCAPTCHA hat sich schon mehrfach bewährt und ist kampferprobt.
Vergebliche Login-Versuche
Einige unsere Nutzer:innen wollen gar nicht, dass Google weiß, dass sie sipgate Kund:innen sind – was wir sehr gut nachvollziehen können. Und: In manchen Ländern, wie zum Beispiel in China, werden Google-Dienste blockiert. Das alles ist uns bewusst. Und natürlich haben wir das auf dem Schirm, wenn es um die große, nachhaltige Lösung des Problems geht.
Kund:innen zeigen sich zudem durch die unsichtbar im Hintergrund laufende Prüfung manchmal vollkommen zurecht leicht verwundert, wenn ein Login-Versuch nicht von Erfolg gekrönt ist. Aber die Alternative – eben dass jede Kundin und jeder Kunde vor dem Login erstmal Dinge ausfüllen oder lösen muss – war und ist für uns auch keine. Im Zuge der Nachbesserungen ist es nun zum Beispiel möglich, ein manuelles Captcha zu lösen, falls man geblockt wurde.
Für den Moment Luft verschafft
Wir wissen, dass wir es mit einer Truppe Angreifer, die sich offensichtlich professionell dem so genannten „credential stuffing“ widmen, zu tun haben. Nachdem wir übergangsweise eine eigene Lösung, ganz unabhängig von Google, eingesetzt haben, wurden die Attacke-Skripts zackig umgeschrieben. Also mussten wir schnell wieder zu reCaptcha switchen, um nicht nackt dazustehen. Der Punkt ist: Wir haben uns für den Moment Luft verschafft, wollen mittelfristig aber eine andere Lösung. Zumal die Gegenseite nicht schläft und weiter ihre virtuellen Messer wetzt. Gerade jetzt stecken kluge und Technik affine sipgate Mitarbeiter:innen ihre Köpfe zusammen, probieren Alternativen und entwickeln eine Google unabhängige langfristige Lösung.
Wie geht es euch denn mit der aktuellen Situation? Habt ihr schlechte/gute Erfahrung mit unserem Login-Prozess gemacht? Oder: Ihr habt gute Vorschläge, ReCAPTCHA-Alternativen, Erfahrungswerte? Dann immer gerne her damit – zum Beispiel als Kommentar unter diesen Blogbeitrag …
Zur aktuellen Situation
Die Angriffe auf unsere Accounts haben nicht nachgelassen. Im Gegenteil: Wir haben das Gefühl, dass sie noch intensiviert wurden. Und dass gleich mehrere Gruppen parallel Jagd machen. Nachdem wir ein paar alternative Lösungen ausprobiert und die Angreifer-Netzwerke ihre Strategien jedes Mal zackig angepasst haben, werden wir nun dauerhaft auf die reCAPTCHA-Karte setzen. Denn, wie oben beschrieben, sie bietet uns und euch aktuell den verlässlichsten Schutz. Für alle, die bei reCAPTCHA Bauchschmerzen bekommen, haben wir uns eine schnelle, unkomplizierte Lösung ausgedacht. Ihr möchtet von der reCAPTCHA-Regel ausgenommen werden? Dann meldet euch einfach beim Team unserer Kundenbetreuer:innen, die euch dann sofort auf eine allow list setzen und freischalten lassen können. Hier geht es zum entsprechenden Formular.
29 Kommentare
Sascha Nos:
Ziemlich cool, wie offen ihr darüber redet. Aus meiner Sicht eine absolut nachvollziehbare Entscheidung. Vielleicht könnt ihr hieraus ja sogar ein Produkt entwickeln, das in Zukunft anderen (ähnlich geplagten) Betreibern von Web-Software eine Lösung mit mehr Datenschutz bietet :). Grüße aus Köln! Sascha
steffen:
Schön, dass du das auch so siehst, Sascha. Grüße aus Düsseldorf nach Kölle!
Steffen
A. H.:
Ich nutze mal die Gelegenheit: Nachdem ich am 8. und 9. Juli telefonischen Kontakt mit dem Support hatte, wollte ich sowieso noch ein paar Dinge dazu loswerden. Ich versuche mal, der meinerseits sehr geschätzen Transparenz mit unaufgeregter Kritik zu begegnen.
Ich gehöre zu den Kund:innen, die Probleme mit dem Login hatten, weil ich grundsätzlich erstmal alles Googelige im Browser gesperrt habe.
Schade war, dass mir der Support da einfach überhaupt nicht weiterhelfen konnte – Ich habe dann in Eigeninitiative herausgefunden, dass sich da (aus meiner Sicht plötzlich) ein „Klick-Affen-Test“ eingeschlichen hatte.
Kleiner Exkurs: Ich finde den Trend, Webseiten/Webshops/etc. von extern geladenen Ressourcen abhängig zu machen, extrem unerfreulich, aber die kann man ja im Browser sperren. Bei Fonts entstehen dabei meist keine direkten Nachteile, dann siehts halt nicht so toll aus, egal. Dass das pushen von Updates der Anrufliste so nicht funktioniert, belastet mich jetzt auch nicht wirklich. Wenn ich mich allerdings ohne Google-Kram überhaupt nicht einloggen kann und dabei auch nichtmal eine hilfreiche Fehlermeldung erscheint, hört der Spaß dann echt auf (Die Fehlermeldung klingt vielmehr so, als hätte mich ein Sipgate-System als Bot erkannt).
Nachdem der Telefonsupport mir am Tag darauf auf Nachfrage versicherte, dass sich beim Login nix geändert hätte, als ich meine Unzufriedenheit zum Google-Datensammel-Problem zum Ausruck brachte, hatte das im nachhinein den (ich unterstelle mal, unbeabsichtigen) Effekt von Gaslighting (Das Opfer wird dazu gebracht, an der wahrgenommenen Realität zu zweifeln): Ich war einerseits sicher, dass ich vorher zum Login noch nie reCaptcha laden musste, hatte aber auch erstmal keinen Ansatzpunkt, an den Aussagen des Supports zu zweifeln. Hätte ja auch ein Browser- oder Extension-Update oder sowas sein können.
Schade war auch, dass ich mich mit dem Google-Datensammel-Problem nicht ernstgenommen fühlte, was ja nach diesem Blogeintrag offensichtlich ein Thema ist, für das es doch zumindest ein Problembewusstsein gibt. Da die Frustration aus so einer Situation immer ein schlechter Ausgangspunkt für eine konstruktive Auseinandersetzung ist, habe ich danach entschieden, mir erstmal in Ruhe zu überlegen, was ich dazu zu sagen habe bzw. wie ich damit umgehen will (Was ich hiermit zumindest in Teilen getan habe).
Nur um das mal einzuordnen: Mein Frustrationslevel war schon in einem Bereich, dass ich wahrscheinlich gekündigt hätte, wenn es denn einen Anbieter mit vergleichbaren Funktionalitäten gäbe (Dass ich mit Sipgate Team jetzt mit meinen Nummern im Geschäftskundenvertrag gefangen bin und das Paket für mich als Einzelperson eigentlich viel zu groß ist, ist zwar nochmal ein anderes Thema, trägt aber dazu bei, dass ich für eine Alternative offen wäre).
steffen:
Da scheint leider etwas in unserer Kommunikation schief gelaufen zu sein. Das tut uns leid. Wäre schön, wenn wir das in einem persönlichen Gespräch nochmal ausführlich besprechen könnten.
A. H.:
Klar, ich bin gerne bereit, mich mit euch konstruktiv zu unterhalten – Telefonnummer(n) sollte(n) ja bekannt sein, E-Mail funktioniert auch (Die angegebene E-Mail-Adresse passt zu meinem Account). Feel free to call any time, oder so.
Thomas:
2-Faktor wäre vielleicht auch eine Lösung.
PS: Wann kommt denn endlich Eure iOS App raus? ich hätte so gerne alle meine Telefonnummern in einer ähnlichen App zu Satellite.
steffen:
Hallo Thomas,
vielen Dank für deine Idee. Wir wissen, dass der Wunsch nach der iOS-App groß ist. Wir prüfen gerade, wann wir mit der Umsetzung starten. Übrigens: Unter https://feedback.sipgate.de/forums/916930-sipgate-team können alle unsere Kund:innen immer Wünsche und Verbesserungsvorschläge platzieren.
Martin Z.-H.:
Erst mal, danke, dass sipgate dies so offen kommuniziert, allerdings möchte ich hier auch etwas Kritik üben.
Ist ja nicht so, dass es nicht schon seit einem Jahr ein Feedback-Ticket (https://feedback.sipgate.de/forums/916930-feedback-feature-requests/suggestions/38289313-zwei-faktor-authentisierung) bei sipgate gibt (welches angeblich in Arbeit ist), in welchem es um Zwei-Faktor Authentisierung geht. TOTP sollte jetzt nicht so schwierig sein zu implementieren.
Auf Fragen zum aktuellen Stand der Dinge in den Kommentaren gibt es leider kein Feedback.
steffen:
Es ist dann jetzt endlich vollbracht: https://www.sipgate.de/blog/zwei-faktor-authentifizierung-doppelt-haelt-besser
steffen:
https://www.sipgate.de/blog/zwei-faktor-authentifizierung-doppelt-haelt-besser
Werner:
Ich habe auch gerade an eine 2 Faktor Lösung gedacht. Mit Authentifikations Apps. Authy, von Buhl Data, Google, Microsoft usw. Keine Authentifizierung mit SMS, das fände ich nicht sicher genug. Ir könnt auch gerne eine eigene Authentifikations App entwickeln, die dazu verwendet werden kann.
Wenn etwas gegen die Lösung von Authentifizierungs Apps sprechen sollte, würde ich mich freuen, wenn ihr dies hier erläutert, danke im Voraus.
Ein Sipgate eigene App für Simquadrat oder Sipgate Basic, Sipgate Teams zur Administration fände ich klasse. Es gibt zwar zwei mir bekannte Externe Apps dafür, aber ich frage mich, warum Sipgate diese nicht selbst entwickelt, vielleicht könnt ihr dazu Stellung nehmen. Danke im Voraus.
Ich bin kein Experte von Sipgate Teams, kenne mich damit nicht aus. Muss ich auch nicht als Privatperson.
A. H.: es würde mich interessieren, aus welchen Gründen du als Einzelperson, Sipgate Teams , meines Wissens ein Geschäftskunden Produkt, nutzt? Sicher ist es auch für Privatpersonen buchbar, aber für was benötigst Du dies als Privatperson, wenn ich Fragen darf?
Ich bin nur interessierter Sipgate Basic (Faxversand) Simquadrat und Sipgate Satellite App mit Plus Version 4,99 Euro im Monat. auf drei Android Smartphones Nutzer.
steffen:
Hallo Werner, wie im Blogpost beschrieben: Wir prüfen gerade Alternativen und überlegen uns, wie wir uns da für die Zukunft aufstellen können. Können da aktuell noch keine Wasserstandsmeldung abgeben. Sobald es da etwas zu vermelden gibt, hörst du natürlich sofort von uns! Beste Grüße. Steffen
A. H.:
@Werner: Ich benutze Sipgate Teams durchaus beruflich, für einen „Einzelkämpfer-Einzelunternehmer“ sind aber 2 der 3 Benutzer eigentlich überflüssig. Viele Funktionen von Teams sind toll, am Ende würde mir aber auch fast sowas wie Simquadrat reichen (Dazwischen gibts halt nix). Ein Wechsel von einem gewerblichen zu einem privaten Tarif ist aber wohl nicht vorgesehen, insofern ist das sowieso nur Theorie.
steffen:
2FA ist live: https://www.sipgate.de/blog/zwei-faktor-authentifizierung-doppelt-haelt-besser
autor:
Als Alternative: hCaptcha
Bestes drop in replacement für reCaptcha
Galaktor:
Hallo Steffen,
wie immer grosse Anerkennung was eure Transparenz angeht!
Leider zeigt es auch, dass Reaktivitaet vor Proaktivitaet steht:
– jetzt ist es so, dass wer per VPN rein kommt, oftmals als vermeintlich Unauthorisiert gelabelt wird, und das bevor ueberhaupt etwas eingetragen wurde oder gar gesendet, alleine aufgrund der IP, das ist ein NoGo
– die zu loesenden Aufgaben sind nervig, teilweise mehre hintereinander, nebenbei sei bemerkt, das dieses Captchas in asiatischer Heimarbeit erstellt werden, beides ist ein NoGo
– Sich von Google und den damit weiter gesammelten Daten abhaengig zu machen, vollkommen unakzeptabel, Stichwort Google Voice, noch nicht in De, aber vielleicht bald, auch dadurch das Google nun unsere Benutzerprofile erlernt und ggf. fuers eigene Produkt verwendet, Google Voice, aktuell nur in US.
– das das Geschaeftsmodell von Google mit VPN kolidiert sei hier nur der Vollstaendigkeit halber angemerkt.
Es mag aus der Situation heraus nachvollziehbar sein, Google zu etablieren, ist aus meiner Sicht in Summe so nicht akzeptabel.
– von mir betreute nicht IT affine Kunden werden verunsichert, ja sogar ueberfordert und wollen nur noch weg.
Wie weiter oben bereits komentiert, die angezeigte Meldung ist fuer Admin User vielleicht noch einzuordnen, jedoch nicht klar in ihrer Aussage.
Auch aus meiner Sicht waere Authy hier eine Loesung.
Beste Gruesse und Dank fuer eure Arbeit!!
steffen:
Gibt ’n Update: https://www.sipgate.de/blog/zwei-faktor-authentifizierung-doppelt-haelt-besser
Frank Petter:
Hallo Steffen,
eine kleine Anmerkung für die Suche nach einer reCaptcha-Alternative, beachtet dabei bitte die Barrierefreiheit. Für Menschen mit Sehbeeinträchtigungen ist reCaptcha eine Katastrophe.
Viel Erfolg weiterhin, Frank
steffen:
Hallo Frank, ja, da hast du vollkommen recht. Schau mal in das update zum blogpost (letzter Absatz). Stand jetzt bleiben wir trotz einiger Nachteile bei reCAPTCHA. Aber alle haben nun die Möglichkeit, sich ganz zackig auf die allow list setzen und sich von allen reCAPTCHA-Barrieren befreien zu lassen.
steffen:
Unsere 2FA sollte barrierefrei sein: https://www.sipgate.de/blog/zwei-faktor-authentifizierung-doppelt-haelt-besser
Jonas Fitz:
Ich fände es sehr begrüßenswert, wenn zeitnah eine 2-Faktor-Authentifizierung implementiert würde. Mindestens TOTP sollte dabei sein, als Schmankerl wäre FIDO2/webauthn sehr sehr fein:
https://fidoalliance.org/fido2/fido2-web-authentication-webauthn/
Eigentlich ein no-go, dass ihr noch immer keine 2FA habt. Immerhin hat man nach dem Login in die Weboberfläche Zugang zu kritischen Daten wie SMS (welche wiederum noch gelegentlich von Banken/Brokern/Versicherungen als zweiter Faktor verwendet werden).
Also, bitte mal Rückmeldung geben, wie der konkrete Fahr- bzw. Zeitplan aussieht.
steffen:
Implementierung 2FA ist erledigt: https://www.sipgate.de/blog/zwei-faktor-authentifizierung-doppelt-haelt-besser
Ingolf:
Hallo,
auch ich sehe zunehmenden Einbindung von Google und anderen „Diensten“ großer Internetkonzerne *sehr* kritisch (und habe übrigens auch regelmäßig wegen reCaptcha Probleme beim Einloggen). Neben dem 2FA (was zugegebenerweise tatsächlich etwas Implementierungsarbeit bedeutet) wurde bereits hCaptcha https://www.hcaptcha.com/ erwähnt. Das ist eine API-kompatible Alternative zu reCaptcha, sollte also nicht *so* kompliziert sein. Bitte prüft, ob das nicht statt dem Platzhirsch genauso den Zweck erfüllt.
Ingolf
steffen:
Update in Sachen 2FA bei sipgate: https://www.sipgate.de/blog/zwei-faktor-authentifizierung-doppelt-haelt-besser
MAtthias:
friendly captcha finde ich besser als google. Und natürlich nervt’s, d. ich jetzte nicht reinkomme – zumal die Identitätidentifikation gestern auch nicht funktioniert hat (ewiges Warten – da finde ich PostIdent simpler). Ich würde mir ansonsten eine bessere Erklärung in Sachen SIM/Handy-Nr wünschen (muss ich mich überhaupt über den Startcode hinaus identifizieren, um schon mal eine SMS empfangen zu können/brauche ich dafür eine SIM?)
By Attacker :):
I think you should try akamai, the sensor data hashes in the headers and the duration of this hash is between 2-5 minutes. I don’t think the attackers can get past that.
https://api.sipgate.net/my/billing/balance/?version=2.37.0&complexity=full
Authorization: basic
User-Agent: Dalvik/2.1.0 (Linux; U; Android 5.1.1; galaxy s6 edge Build/NRD90M)
Host: api.sipgate.net
Connection: Keep-Alive
Accept-Encoding: gzip, deflate
:)
Jan:
Ich würde eine Authentifizierung via TOTP bzw YubiCloud empfehlen.
Demnach würde ich es dem Benutzer frei stellen, dieses zu aktivieren.
User, die Passwörter wie 123456 nutzen ist ohnehin nicht mehr zu helfen und die sollen sich nicht wundern, wenn ihre Accounts gekapert werden. Manchmal muss es eben weh tun, damit Leute lernen.
anonym:
Hallo,
cloudflare ist schonmal eine gute sache um bösen traffic zu filtern.
anonym:
Schaut euch doch mal an wie Paypal das ohne Google gelöst hat.
Oder baut einfach ein für Menschen unsichtbares Eingabefeld ein, sobald das Feld anders als blank ist war es ein Bot.