Am 21.10.2014 brachten Kriminelle eine Phishing-Mail mit dem Betreff “Sipgate Account information” in Umlauf, die vorgab, von sipgate zu stammen. Diese Mail ging an mehrere Hunderttausend willkürliche Empfänger – darunter waren aber wohl auch zufällig einige sipgate-Kunden. Ziel der Phishing-Mails war es, die Empfänger auf eine speziell präparierte Webseite zu locken und die sipgate-Zugangsdaten abzugreifen.
[Update 14.15 Uhr]
Der Absender dieser Mail gibt vor von sipgate zu stammen. Die Mail stammt nicht von uns.
In dieser Mail wird der Empfänger aufgefordert, sich in seinen sipgate Account einzuloggen, da ansonsten 6,99 € zum Deaktivieren des Kontos fällig werden.
Diese Mail wurde NICHT von uns verschickt! Bitte ignorieren Sie die Mail und klicken Sie NICHT auf den Link in der E-Mail, da er dazu dient, Ihre Daten zu stehlen.
Was können Sie jetzt tun?
Sollten Sie bereits auf den Link geklickt haben, löschen Sie bitte zunächst alle Daten aus dem Browserverlauf (Cache und Cookies). Danach loggen Sie sich bitte wie gewohnt in Ihren Account ein. Ändern Sie anschließend das Webpasswort sowie Ihr SIP-Passwort.
Falls Sie nicht auf den Link geklickt haben, müssen Sie nichts tun.
Wir werden Sie hier in unserem Blog und auf twitter auf dem Laufenden halten.
[Update Dennis]
Inzwischen haben wir den Phishing-Angriff näher analysiert:
Wir vermuten, dass das Ziel der Attacke grundsätzlich darin bestand, Passwörter zu sammeln. Durch die Kombination aus den bekannten E-Mail-Adressen und den gesammelten Passwörtern lassen sich dann auch Konten von anderen Diensten wie eBay, Amazon etc. missbrauchen.
Wichtig: Falls Sie dem Link gefolgt sind und Ihre Daten eingegebenen haben, ändern Sie bitte sicherheitshalber auch bei anderen Webdiensten mit den gleichen Zugangsdaten Ihr Passwort.
Was ist passiert?
Unsere sipgate basic/plus Login-Seite wurde mit dem Tool HTTrack Website Copier kopiert und auf der Domain http://ssl-sipgate.tk gehostet, welche nicht zu sipgate gehört. Die Empfänger der E-Mail bekamen so beim Klick auf den Link optisch die sipgate basic / plus Login-Seite zu sehen. Wir gehen davon aus, dass die dann eingegebene Daten per Javascript entwendet wurden und anschließend auf die eigentliche sipgate-Seite weitergeleitet wurde.
Um uns die Analyse so schwer wie möglich zu machen, wurde schon morgens das Abgreifen der Passwörter deaktiviert und direkt auf unsere Login-Seite umgeleitet. Nach Bekanntwerden haben wir umgehend eine Weiterleitung von Besuchern der Phishing-Seite auf diesen Blog-Artikel eingerichtet.
Den Missbrauch haben wir heute morgen beim Registrar gemeldet. Dieser hat uns soeben die Abschaltung der Domain bestätigt:
“We have researched the case you reported to us, of ABUSE by a user of one or more domain names. The user is in fact a Free Domain user, and is acting in violation of our policies. Because of this, we have removed the domain name(s) you notified us of.” (Freenom Anti-Abuse Department)
16 Kommentare
Andreas:
Danke für die Info. In diesem Zusammenhang möchte ich nochmal anregen, bei der automatischen Aufladung einen maximalen Betrag oder eine maximale Anzahl an Aufladungen innerhalb eines bestimmten Zeitraums vorzusehen, um das Risiko eines Missbrauchs zu begrenzen.
Anna:
Hallo Andreas, vielen Dank für Ihren Kommentar. Keine Sorge: Wir haben bereits verschiedene Schutzmechanismen abhängig der Größe des Accounts aktiv, um Missbrauch frühzeitig zu erkennen und dann zu unterbinden. Beste Grüße!
Barbara:
Was mich wundert, ist die Tatsache, daß man mit seinem richtigen Namen in der Email angesprochen wird.
Anna:
Hallo Barbara, wir denken, dass den Bösewichten bereits eine Liste mit Namen und E-Mail-Adressen vorlag. Da auch viele Nicht-sipgate-Kunden betroffen waren, wurden die Daten nicht bei uns entwendet. Viele Grüße!
Jörg:
das Internet ist ja wie der Wilde Westen… oder wie bei „Walking Dead“… wer keine starken Freunde oder keine Waffen hat, der ist tot…
Hubert:
Danke für die informative Aufklärung und auch den technischen Hintergrund. Top!
Joachim:
Hallo , ich habe heute sigate über das Thema geschrieben und gleich die schnelle Info erhalten. Als weiter Punkt ist das auslesen über Javascript.
Auf meinem Rechner habe ich zur gleichen Zeit mehrere Virenprogramme darüberlafen lassen. Angezeigt wurde mehrer Trojaner mit der Bezeichnung:
Exploit Javascript, und wurden in quarantäne gesetzt.
Thomas:
Hallo Sipgate Leute – lebt noch einer bei euch? Wir können seit Stunden nicht telefonieren – wenn man uns anruft kommt: kein Anschluss unter dieser Nummer – und wenn ich mobil Sipgate in Düsseldorf anrufe kommt dasselbe! Volle Katastrophe! unter Status.sipgate.de steht nur „alle Systeme arbeiten normal“! Wenn das normal ist; dann gute Nacht!
Thomas Hertz:
Ja, hier das gleiche..
http://www.sipgate.de scheint ja auch nicht zu funktionieren.
gibt’s grad grössere Probleme.
Muss aber dazu sagen, dass ich sipgate seit mehreren Jahren nutze und ich bislang sehr zufrieden bin. Kaum Ausfälle. Heute allerdings geht nichts..
Wäre nett, wenn sich jemand melden kann vom Team..
thomas
Monsieur iptables:
Seit 23.10.14/17h ist die Sipgate-Webseite und das Geschäftskundenprodukt „Team“ nicht erreichbar. Laut Sipgate Status hat hier wieder die DDOS-Mafia zugeschlagen.
Daß dies auch die Geschäfskundenprodukte betrifft und somit Firmen telefonisch lahmlegt, ist höchst ungünstig. Ich möchte anregen, passende Gegenmaßnahmen einzureihen.
Auch wenn es lediglich ein Teil der Lösung wäre, aber:
Ich hätte z.B. kein Problem mit getrennten Zugangspunkten für Geschäftskunden, die eine scharfe Whitelist mitbringen.
Andreas Feike:
Auch hier in Hamburg „kein Anschluss unter dieser Nummer – mein Geschäft steht still. Erbitte Vorschläge der GF von sipgate, wie wir das zukünftig vermieden werden kann und welche Entschädigungsleistung angeboten wird.
Sorry, aber das muss sein
Andreas Feike
Andrew:
Hi, you should be using your blog to explain why your sip services and website are currently unavailable!
Regards,
A very frustrated IT Manager
Alex. O.:
Ha, endlich ist mal was passiert. Ich habe diese Mail auch erhalten und bin deshalb auf dieser Seite gelandet.
Das interessante daran ist, in der Mail wurde der Name meiner Mutter verwendet die wirklich keine Ahnung von Internet hat und auch meine Mailadresse gar nicht kennt und sicherliche nichtmal weiss was Sipgate sein soll.
Ich hab allerdings vor knapp einem Jahr etwas in einem Onlineshop für Sie bestellt, daher bin ich mir sehr sicher das die Mailadresse und die Anrede von diesem Shop entwendet wurde.
Aber die Info ist ja eigentlich nix neues, die ganzen lumpigen 0815 Shops haben offensichtlich alle ihre Server nicht unter Kontrolle.
Thomas H.:
Ich glaube es wäre hilfreich, wenn Alex. O. den Namen des Onlineshops verraten würde in dem er gekauft hat. Vielleicht haben andere Leute, wie zum Beispiel ich, in dem selben Shop gekauft und man bekommt Anhaltspunkte, wo die ganze Sache herkommt.
rt:
Bei Sipgate Basic kann ich mich immer noch nicht einloggen …..