D&T Mailorder

[C4rter]

Es wirkt fast so, als wäre das eine Aktion eines verfeindeten Konkurrenten oder eines ehemaligen Partners/Kunden. So zielgerichtet in so einem kleinen Marktsegment, in dem nur relativ überschaubare Zahlen von zahlenden Kunden sich tummeln.

Das liest sich tatsächlich genauso. Das ist kein gewöhlicher Spam.

Bei einer Webseite für die ich mal gearbeitet habe, gab es sowas ähnliches auch. Versendet im Namen des CEO gab es da "Sonderangebote" weit unter Marktwert, die man bestellen konnte, indem man eine Email hinschickte.
Das war aber auch kein Konkurrent, einfach nur jemand der Kasse machen wollte. Er wurde später anhand einem simplen IP Adressen Trick mittels einer Email überführt.

 

[berlin69er]

Die Mails dürften mit Sicherheit aus Osteuropa oder Asien kommen. Der Text ist nur so annähernd perfekt, weil sie es vermutlich durch ein gutes Übersetzungsprogramm haben laufen lassen.
Da es auf meinen Mailaccount immer noch massenhaft Anmeldeversuche gibt und auch sonst relativ viel Spam kommt, gehe ich davon aus, dass die Daten einfach abgesaugt wurden.

 

[Skyx]

@C4rter : Wie siehst Du es ? Hat sich der Sicherheit seither irgendwas nachvollziehbar getan?
@eddiefan : Dein Geld nehmen auch gerne Andere. Im Forum wird weiterhin dort bestellt..Wenn einem Datenschutz ziemlich latte ist, muss ja Jeder selbst wissen.

 

[Mr.Blonde16]

Ich bestelle dort seit dem Beginn dieses Blödsinns tatsächlich nichts mehr und ich war ewig zufriedener Kunde.

 

[C4rter]

@C4rter : Wie siehst Du es ? Hat sich der Sicherheit seither irgendwas nachvollziehbar getan?

Generell oder bei DTM/D&T?

 

[Skyx]

Bei DTM.at nach dem Hack.

 

[Bigfoot]

Die Mails dürften mit Sicherheit aus Osteuropa oder Asien kommen. Der Text ist nur so annähernd perfekt, weil sie es vermutlich durch ein gutes Übersetzungsprogramm haben laufen lassen.
Da es auf meinen Mailaccount immer noch massenhaft Anmeldeversuche gibt und auch sonst relativ viel Spam kommt, gehe ich davon aus, dass die Daten einfach abgesaugt wurden.

Ich habe jeden Tag mindestens 80 fehlgeschlagene Anmeldeversuche und bekomme immer geile E-Mails wie diese hier:

Hallo, mein perverser Freund,

Ich komme gleich zur Sache.

Wir kennen uns eigentlich schon eine Weile, zumindest kenne ich dich.
Du kannst mich Big Brother oder das alles sehende Auge nennen.
Ich bin ein Hacker, der sich vor ein paar Monaten Zugang zu deinem Gerät, einschließlich deines Browserverlaufs und deiner Webcam verschafft hat.
Ich habe einige Videos aufgenommen, die dich beim Wichsen zu höchst umstrittenen "Erwachsenen"-Videos zeigen.
Ich bezweifle, dass du möchtest, dass deine Familie, deine Kollegen und deine gesamte E-Mail-Kontaktliste unter (...................) Aufnahmen von dir sehen, vor allem, wenn man bedenkt, wie pervers dein Lieblings-"Genre" ist.
Ich werde diese Videos auch auf Pornoseiten veröffentlichen, sie werden viral gehen und es wird physisch unmöglich sein, sie aus dem Internet zu entfernen.

Wie habe ich das gemacht?
Weil du die Sicherheit im Internet so vernachlässigst, ist es mir leicht gefallen, einen Trojaner auf deiner Festplatte zu installieren.
Dadurch konnte ich auf alle Daten auf deinem Gerät zugreifen und es aus der Ferne steuern.
Indem ich ein Gerät infiziert habe, konnte ich mir Zugang zu allen anderen Geräten verschaffen.

Meine Spyware ist in die Treiber eingebettet und aktualisiert ihre Signatur alle paar Stunden, so dass sie von keinem Antivirusprogramm oder einer Firewall entdeckt werden kann.
Jetzt möchte ich dir einen Deal anbieten: einen kleinen Geldbetrag im Austausch für dein früheres sorgenfreies Leben.

Überweise 1200 EUR auf meine Bitcoin-Wallet: ........................

Sobald ich die Bestätigung der Zahlung erhalte, werde ich alle Videos löschen, die dich gefährden,
den Virus von all deinen Geräten entfernen und du wirst nie wieder etwas von mir hören.
Das ist ein sehr geringer Preis dafür, dass ich deinen Ruf bei den Anderen nicht zerstöre, die dich laut deinen Gesprächen mit Ihnen für einen anständigen Menschen halten.
Du kannst mich als eine Art Lebensberater betrachten, der dich dazu bringen will, wert zu schätzen, was du hast.

Du hast 48 Stunden Zeit. Sobald du diese E-Mail öffnest, erhalte ich eine Benachrichtigung, und von diesem Moment an beginnt der Countdown.
Wenn du noch nie mit Kryptowährungen zu tun hattest, ist es ganz einfach. Gib einfach "cryptocurrency exchange" in eine Suchmaschine ein, und schon kann es losgehen.

Hier ist, was du nicht tun solltest:
- Antworte nicht auf meine E-Mail. Sie wurde von einem temporären E-Mail-Konto gesendet.
- Rufe nicht die Polizei an.
Vergiss nicht, dass ich Zugang zu all deinen Geräten habe und sobald ich solche Aktivitäten bemerke, wird das automatisch zur Veröffentlichung aller Videos führen.
- Versuche nicht, dein System neu zu installieren oder dein Gerät zurückzusetzen. Erstens habe ich die Videos bereits, und zweitens habe ich, wie gesagt, Fernzugriff auf alle deine Geräte, und sobald ich einen solchen Versuch bemerke, weißt du, was passiert.

Vergiss nicht, dass Kryptoadressen anonym sind, also wirst du nicht in der Lage sein, meine virtuelle Geldbörse aufzuspüren.

Um es kurz zu machen, lass uns diese Situation mit einem Vorteil für dich und mich lösen.
Ich halte immer mein Wort, es sei denn, jemand versucht, mich auszutricksen.

Zum Schluss noch ein kleiner Rat für die Zukunft. Nimm deine Online-Sicherheit ernster.
Ändere deine Passwörter regelmäßig und richte für alle deine Konten eine Multi-Faktor-Authentifizierung ein.

Herzliche Grüße.

 

[berlin69er]

Ne, meine sind da harmloser. Aber ich habe ja auch keine Kamera online…

 

[Bigfoot]

Ne, meine sind da harmloser. Aber ich habe ja auch keine Kamera online…

Ich habe einen Monitor ohne Kamera.

 

[C4rter]

Bei DTM.at nach dem Hack.

Also sichtbare Verbesserungen sehe ich nicht.
Cloudflare, was ich nach einem Hack, bei so einer (nach außen hin) uralten Codebase (scheinbar aus Anfang der 2000er laut Source Code?!) ohne Aussicht auf Ablösung innerhalb der nächsten 12-24 Monate (aus Erfahrung) immer anraten würde, benutzen die nicht.
Ob die jetzt den/die Einstiegspunkte gefunden und abgesichert haben, kann ich nicht verifizieren ohne das ich selbst ein Hacking-Script anwerfen würde.
Aber selbst wenn man den einen Punkte findet der genutzt wurde, ist das in der Regel nicht der einzige sondern nur einer von vielen.

Nur mal als Beispiel. Wenn man sich die URLs dort ansieht, sehen die z.B. so aus:

https://shop.dtm.at/index.php?cPath=632
https://shop.dtm.at/product_info.php?cPath=632&products_id=73000
https://shop.dtm.at/login.php?my_account_f=1
https://shop.dtm.at/login.php?action=process

Und die meisten Hacking Scripte machen nichts anderes als, die komplette Webseite abzulaufen und an jeder dieser URLs wird versucht statt der ID (oder dem String) hinter dem = eine SQL-Injection einzuspielen.
Das wird dann in der Form gemacht, dass man verifizieren kann ob die Injection Erfolg hat, z.B. indem man Daten ausgibt (schwieriger) oder erst mal Timeouts provoziert (einfacher).
Also man versucht ein "WAITFOR DELAY" auf der Datenbank ausführen zu lassen von z.B. 5 Sekunden und prüft ob der Aufruf auch so lange braucht.
Sobald das Script das irgendwo positiv verifiziert, werden dann immer weitere Stufen gezündet bis man die User-Daten irgendwann hat. Alles automatisiert ohne das es jemand manuell probiert.
Ist echt faszinierend was diese Scripte automatisiert schaffen. Wenn man das im Nachhinein über das Access Log des Servers nachvollzieht um den Einstiegspunkt eines Hacks zu finden sieht man das recht gut.

Das funktioniert ähnlich diesem "sqlmap" Tool/Script:

GitHub - sqlmapproject/sqlmap: Automatic SQL injection and database takeover tool

Automatic SQL injection and database takeover tool - sqlmapproject/sqlmap

github.com

Hier sieht man ein Beispiel:

Sample sqlmap run

asciinema.org

Würde mich schon mal interessieren, was das Script bei DTM so alles meldet/findet. Aber ist mir zu riskant, das selbst zu versuchen.

Es ist nahezu ausgeschlossen solch eine alte Codebase gegen alle Angriffe abzusichern, da es viel zu viele Einstiegspunkte gibt bei diesen alten Webseiten.
Und keine MVC-Struktur im Quellcode.
Cloudflare (gibt bestimmt noch ähnliche Anbieter aber das ist schon der Marktführer) ist da das beste Mittel um Zeit zu gewinnen am Nachfolger zu arbeiten und weiteren Schaden zu verhindern.
Weil die Angriffe erkennen bevor sie auf die Seite treffen und diese blockieren. Dann kann man sich verzweifelte Versuche der Absicherung größtenteils sparen und am Nachfolger arbeiten.

Die Mails dürften mit Sicherheit aus Osteuropa oder Asien kommen. Der Text ist nur so annähernd perfekt, weil sie es vermutlich durch ein gutes Übersetzungsprogramm haben laufen lassen.
Da es auf meinen Mailaccount immer noch massenhaft Anmeldeversuche gibt und auch sonst relativ viel Spam kommt, gehe ich davon aus, dass die Daten einfach abgesaugt wurden.

Ich habe jeden Tag mindestens 80 fehlgeschlagene Anmeldeversuche und bekomme immer geile E-Mails wie diese hier:

Hallo, mein perverser Freund,

Ich komme gleich zur Sache.

Wir kennen uns eigentlich schon eine Weile, zumindest kenne ich dich.
Du kannst mich Big Brother oder das alles sehende Auge nennen.
Ich bin ein Hacker, der sich vor ein paar Monaten Zugang zu deinem Gerät, einschließlich deines Browserverlaufs und deiner Webcam verschafft hat.
Ich habe einige Videos aufgenommen, die dich beim Wichsen zu höchst umstrittenen "Erwachsenen"-Videos zeigen.
Ich bezweifle, dass du möchtest, dass deine Familie, deine Kollegen und deine gesamte E-Mail-Kontaktliste unter (...................) Aufnahmen von dir sehen, vor allem, wenn man bedenkt, wie pervers dein Lieblings-"Genre" ist.
Ich werde diese Videos auch auf Pornoseiten veröffentlichen, sie werden viral gehen und es wird physisch unmöglich sein, sie aus dem Internet zu entfernen.

Wie habe ich das gemacht?
Weil du die Sicherheit im Internet so vernachlässigst, ist es mir leicht gefallen, einen Trojaner auf deiner Festplatte zu installieren.
Dadurch konnte ich auf alle Daten auf deinem Gerät zugreifen und es aus der Ferne steuern.
Indem ich ein Gerät infiziert habe, konnte ich mir Zugang zu allen anderen Geräten verschaffen.

Meine Spyware ist in die Treiber eingebettet und aktualisiert ihre Signatur alle paar Stunden, so dass sie von keinem Antivirusprogramm oder einer Firewall entdeckt werden kann.
Jetzt möchte ich dir einen Deal anbieten: einen kleinen Geldbetrag im Austausch für dein früheres sorgenfreies Leben.

Überweise 1200 EUR auf meine Bitcoin-Wallet: ........................

Sobald ich die Bestätigung der Zahlung erhalte, werde ich alle Videos löschen, die dich gefährden,
den Virus von all deinen Geräten entfernen und du wirst nie wieder etwas von mir hören.
Das ist ein sehr geringer Preis dafür, dass ich deinen Ruf bei den Anderen nicht zerstöre, die dich laut deinen Gesprächen mit Ihnen für einen anständigen Menschen halten.
Du kannst mich als eine Art Lebensberater betrachten, der dich dazu bringen will, wert zu schätzen, was du hast.

Du hast 48 Stunden Zeit. Sobald du diese E-Mail öffnest, erhalte ich eine Benachrichtigung, und von diesem Moment an beginnt der Countdown.
Wenn du noch nie mit Kryptowährungen zu tun hattest, ist es ganz einfach. Gib einfach "cryptocurrency exchange" in eine Suchmaschine ein, und schon kann es losgehen.

Hier ist, was du nicht tun solltest:
- Antworte nicht auf meine E-Mail. Sie wurde von einem temporären E-Mail-Konto gesendet.
- Rufe nicht die Polizei an.
Vergiss nicht, dass ich Zugang zu all deinen Geräten habe und sobald ich solche Aktivitäten bemerke, wird das automatisch zur Veröffentlichung aller Videos führen.
- Versuche nicht, dein System neu zu installieren oder dein Gerät zurückzusetzen. Erstens habe ich die Videos bereits, und zweitens habe ich, wie gesagt, Fernzugriff auf alle deine Geräte, und sobald ich einen solchen Versuch bemerke, weißt du, was passiert.

Vergiss nicht, dass Kryptoadressen anonym sind, also wirst du nicht in der Lage sein, meine virtuelle Geldbörse aufzuspüren.

Um es kurz zu machen, lass uns diese Situation mit einem Vorteil für dich und mich lösen.
Ich halte immer mein Wort, es sei denn, jemand versucht, mich auszutricksen.

Zum Schluss noch ein kleiner Rat für die Zukunft. Nimm deine Online-Sicherheit ernster.
Ändere deine Passwörter regelmäßig und richte für alle deine Konten eine Multi-Faktor-Authentifizierung ein.

Herzliche Grüße.

So eine Mail habe ich auch schon dutzende Male bekommen in den letzten Jahren.

 

[Dschallogucker]

Ne, meine sind da harmloser. Aber ich habe ja auch keine Kamera online…

Ich habe einen Monitor ohne Kamera.

Hast du diesen zitierten Text auf deutsch bekommen oder war der ursprünglich englisch?

Ich hab sowas bisher 2x auf englisch bekommen. Hab aber nicht zu Ende gelesen, das wäre zu mühsam gewesen. Gleich gelöscht

 

[HansSchnell]

Ne, meine sind da harmloser. Aber ich habe ja auch keine Kamera online…

Ich habe einen Monitor ohne Kamera.

Also sind die zusätzlich noch bei Dir eingebrochen und haben heimlich ne versteckte Kamera installiert, mit der sie Dich dann beim "Herumspielen" vorm PC gefilmt haben...die werden auch immer dreister!

 

[berlin69er]

Und nebenbei tun sie so, als wenn sie Filme verkaufen würden…

 

[Bigfoot]

Ne, meine sind da harmloser. Aber ich habe ja auch keine Kamera online…

Ich habe einen Monitor ohne Kamera.

Hast du diesen zitierten Text auf deutsch bekommen oder war der ursprünglich englisch?

Ich hab sowas bisher 2x auf englisch bekommen. Hab aber nicht zu Ende gelesen, das wäre zu mühsam gewesen. Gleich gelöscht

Insgesamt 5x habe ich so eine E-Mail bekommen, 1x auf englisch und 4x auf deutsch.

 

[Film Boy]

Es gibt seit heute bei mir wieder Störung. Komme nicht auf die Seite.

 

[Film Boy]

Es gibt seit heute bei mir wieder Störung. Komme nicht auf die Seite.

Was ist da so lustig Herr @Sinthoras_96

 

[Terciopelo]

Es gibt seit heute bei mir wieder Störung. Komme nicht auf die Seite.

Was ist da so lustig Herr @Sinthoras_96

Hi, ich komme auch seit Samstag abend nicht auf die Seite. Bei einem Kollegen mit Premium-Abo klappt's aber. Solche Mails wie oben vorhin beschrieben hatte ich jedoch nie.
Geh davon aus, dass das Problem morgen behoben ist.

 

[Film Boy]

Es gibt seit heute bei mir wieder Störung. Komme nicht auf die Seite.

Was ist da so lustig Herr @Sinthoras_96

Hi, ich komme auch seit Samstag abend nicht auf die Seite. Bei einem Kollegen mit Premium-Abo klappt's aber. Solche Mails wie oben vorhin beschrieben hatte ich jedoch nie.
Geh davon aus, dass das Problem morgen behoben ist.

Ja Danke für die Info. Ich dachte schon, vielleicht ist das Zertifikat wieder abgelaufen, oder ein Hackerangriff mit tausenden von Gutscheinen. 😃

 

[C4rter]

Es gibt seit heute bei mir wieder Störung. Komme nicht auf die Seite.

Was ist da so lustig Herr @Sinthoras_96

Hi, ich komme auch seit Samstag abend nicht auf die Seite. Bei einem Kollegen mit Premium-Abo klappt's aber

Die werden auch über diese Emails verkauft?

 

[Terciopelo]

Es gibt seit heute bei mir wieder Störung. Komme nicht auf die Seite.

Was ist da so lustig Herr @Sinthoras_96

Hi, ich komme auch seit Samstag abend nicht auf die Seite. Bei einem Kollegen mit Premium-Abo klappt's aber

Die werden auch über diese Emails verkauft?

Keine Ahnung; der Kollege wohnt in Deutschland, er hat heute nur im DTM-Forum geschrieben dass bei ihm die Seite funktioniert. Habe heute Nachmittag auch im Shop-Thread des DTM-Forums nachgehakt, aber bislang kam keine Reaktion. Na gut, heute ist ja Feiertag.
Was die Mails betrifft kamen ab und zu welche was DTM-Gutscheine betrifft. Bestellungen etc. sind davon nicht betroffen.

In der Vergangenheit kamen aber auch ab und an mal Fakemails von diversen (vermeintlichen) Versanddiensten wie Fedex, "Tpd"(!) usw. worin vorgegeben wurde, ich solle das Paket abholen oder dies und das machen.
Leider mehren sich solche Betrugsfälle generell.
Ich bestelle nach wie vor zu mehr als 90% bei DTM und hatte da nie gravierende Vorfälle. Bis Ende Juli kommen noch 63 Titel. Ärgerlich ist halt immer, wenn VÖ-Termine plötzlich verschoben werden.