Aus dem Alltag eines IT'lers

Packstation-Phishing at it's best !

Security Die Tage kursierten bereits Meldungen bezüglich Phishing-Mails, die Packstationkunden dazu veranlassen sollen, ihre Daten in ein Formular einzutragen, damit ihr Account nicht gesperrt wird. Wie üblich waren die Nachrichten in schlechtem Deutsch verfasst und auch die Website wies Fehler auf.
Heute jedoch erhielt ich eine perfekte E-Mail, die so manch einen glauben lassen würde, dass hier wirklich DHL schreibt:

QUOTE:
Sehr geehrter PACKSTATION-Kunde, sehr geehrte PACKSTATION-Kundin,

aufgrund der großen Nachfrage des PACKSTATION-Systems sind wir gezwungen dauerhaft inaktive Accounts für neue Kunden freizugeben.

Selbstverständlich können Sie auf Wunsch weiterhin Ihre PACKSTATION nutzen. Hierfür ist lediglich ein Login unter

http://kundeninfo-dhl.de/

nötig, um Ihren Account automatisch dauerhaft zu registrieren.

Sollten Sie künftig auf Ihre PACKSTATION verzichten können, so ist kein weiteres Agieren Ihrerseits nötig.
Ihr Account wird dann innerhalb 7 Tagen an Neukunden vergeben.

Wir bitten um Ihr Verständnis und bedanken uns für Ihr Vertrauen.

Mit freundlichen Grüßen,

DHL-Kundenservice
Ursula Schmidt

DHL Vertriebs GmbH & Co. OHG

Charles-de-Gaulle-Straße 20
PLZ/Ort: 53113 Bonn



Erstmal komisch, dass die E-Mail an einen meiner Accounts ging, den ich gar nicht in meinem Packstation-Konto hinterlegt habe. Hmmm....

Also klicke ich doch mal auf den Link und schaue mir die Seite mal an. Und ich muss zugeben: sehr gut gemacht ! Hier findet ein Frame Verwendung, der in das Gerüst der Packstationseite eingebunden ist.
Was jedoch DHL mit "http://linkparadijs.nl/tmp/" zu tun hat, weiß ich nicht. ;-) Das wird jedoch deutlich, wenn man sich mal den Quelltext anschaut.

Und vor allem nochmals: DHL, wie auch Amazon, wie auch eBay, wie auch Banken, etc. werden niemals nach PIN und Kennwort fragen - sofern es sich nicht um eine reguläre Anmeldung handelt.

Ein wenig bedenklich finde ich, dass Opera beim Aufruf von "http://kundeninfo-dhl.de/" keinerlei Warnhinweis brachte und mir die Website präsentierte, während der IE in knallrot leuchtet und die Meldung
QUOTE:
Diese Website wurde als unsichere Website gemeldet.
kundeninfo-dhl.de

Es wird empfohlen, dass Sie nicht zu dieser Website wechseln.
bringt.

Auch Firefox warnt mit rotem Hintergrund:
QUOTE:
Als Betrugsversuch gemeldete Website!

Die Website auf kundeninfo-dhl.de wurde als Betrugsversuch gemeldet und gemäß Ihrer Sicherheitseinstellungen blockiert

Mit Betrugsseiten versuchen Kriminelle Sie dazu zu bringen, persönliche oder finanzielle Daten preiszugeben. Dabei ahmen sie in betrügerischer Absicht Webseiten oder E-Mails nach, denen Sie eventuell vertrauen.

Falls Sie hier persönliche Daten eingeben, müssen Sie mit Identitätsdiebstahl oder sonstigem Betrug rechnen.


Ruft man die Seite trotz des Warnhinweises auf und hat die Cookieabfrage aktiviert, sollte man spätestens dann stutzig werden, weil die oben genannte Seite "http://linkparadijs.nl/tmp/" ein Cookie setzen will.
Zudem blendet FF im oberen Seitenbereich ein knallrotes Warnbanner ein.




Sind die Phishing-Versuche sonst in der Regel gut zu erkennen, ist dieser recht gelungen.
Ob der Domain-Inhaber von "http://kundeninfo-dhl.de/" aus Aerzen in Deutschland weiß, was er da bei 1&1 hosten lässt ?


*** EDIT ***

Die Domain http://kundeninfo-dhl.de ist inzwischen nicht mehr erreichbar. 1&1 hatte hier reagiert und die Site vom Netz genommen.

No comments

Add Comment

E-Mail addresses will not be displayed and will only be used for E-Mail notifications.
To leave a comment you must approve it via e-mail, which will be sent to your address after submission.
Enclosing asterisks marks text as bold (*word*), underscore are made via _word_.
Standard emoticons like :-) and ;-) are converted to images.
BBCode format allowed
Was ergibt 17+4 ?

Submitted comments will be subject to moderation before being displayed.