Phishing! EMail-Absender ist nicht DENIC

Eine EMail, die mich heute erreichte, hat den Betreff „Umgehende Verifizierung erfoderlich | DENIC eG“ und den gefälschten Absender „DENIC <>“ – also keine Mailadresse. Hier der Inhalt:

Sehr geehrte Damen und Herren,

Gemäß Art. 82 Abs. 1 der neuen Datenschutzverordnung müssen alle in der EU registrierten Domains reverifiziert werden.Die Verifizierung kann ganz einfach von Ihnen Online vorgenommen werden. Bitte folgen Sie dem untenstehenden Link und geben Sie Ihren Domainnamen ein um die Verifizierung durchzuführen.

http://www.dsgvo-verifizierung.com

Bitte beachten Sie, dass die Verifizierung innerhalb der nächsten 14 Tage durchgeführt werden muss. Die DENIC ist eine eingetragene Genossenschaft mit Sitz in Frankfurt am Main (daher sagt man auch „die DENIC“ und nicht etwa „das DENIC“). Bevor die Internet-Registrierungsstelle für .de im Jahr 1996 gegründet wurde, hat zuerst die Universität Dortmund, später die Universität Karlsruhe die .de-Endung verwaltet. Anders als viele andere Vergabestellen von Top-Level-Domains (.com, .org und viele mehr) ist die DENIC ein Non-Profit-Unternehmen, das als gemeinnützige Organisation anerkannt ist.

united-domains AG Gautinger Straße 10 82319 Starnberg Deutschland

Den eingefügten Link habe ich hier entschärft. Ich habe ihn im sicheren Tor-Browser unter Linux aufgerufen, es kam keine Verbindung zustande. Ich vermute, dass hier ganz plump Benutzerdaten abgegriffen werden sollten. Die sichere Markierung als Spam ist nicht ganz leicht, da es ja keine Mailadresse gibt, was technisch nur von Hackern bewerkstelligt wird. Die EMail ist nicht von der DENIC (hier ist heute seit dem 5.11.2018 auch eine entsprechende Warnung zu sehen!), sondern gehört in den Müll!

Verhindern des Auslesens von Usernamen bei WordPress

Durch das Anhängen von /?author=1, /?autor=2 etc oder auch /?blabla&author=1 etc bekommt ein Angreifer den/die aktiven Benutzernamen in der URL zu sehen – das ist schon die halbe Information für einen Hacker-Angriff. Wie das leicht über die .htaccess-Datei verhindert werden kann, steht hier beschrieben:

RewriteCond %{QUERY_STRING} author=\d
RewriteRule ^ /? [L,R=301]

Can I prevent enumeration of usernames on my wordpress site? I can see users at the moment using the WPScan tool.

Quelle:
Can I Prevent Enumeration of Usernames?