Entries tagged as phishing

Amazon Phishingmail

PayPal Phishingmails oder Nachrichten über eine angebliche Packstationsperrung sind mir nichts neues. Die heutige Mail, die angeblich von Amazon kam, kannte ich hingegen noch nicht:

"Sehr geehrter Amazonkunde,

Wir müssen Ihnen mitteilen, dass unser Anti-Fraudsystem einen unbefugten Zugriff auf Ihren Account festgestellt hat.
Fremde IP-Adresse lautet 153.110.61.223

Um eine Kontosperrung zu vermeiden, bitte wir Sie eine Verifikation vorzunehmen.
Überprüfen Sie Ihr Konto, indem Sie auf den Link klicken.
Wir bitten um Ihr Verständnis und danke für Ihre Mithilfe

Mit freundlichen Grüßen. Ihr Amazon-Team."


Sieht man mal von ein paar kleinen grammatikalischen Fehlern ab, wirkt die Nachricht doch recht authentisch. Es sind sogar Kommata vor dem erweiterten Infinitiv (um zu) sowie vor dem korrekt geschriebenen "dass" gesetzt.
Dennoch: in K9 für Android einfach mal den Finger auf den Link gehalten und schon sieht man was sich dahinter verbirgt und "http://httpss.tk/int/ger/welcome" klingt mir doch so gar nicht nach Amazon. ;-)

Mein PayPal-Konto braucht meine Hilfe

Ich erhielt eben eine E-Mail, die an die Kontaktadresse dieses Blogs gerichte wurde. Betreff: "Ihr PayPal-Konto ist eingeschränkt. Ihr Mithilfe ist gefragt"
Im Text dann: "im Rahmen unseer Sicherheitsmaßnahmen prüfen wir regelmäßig alle Vorgänge im PayPal-System. Bei einer Überprüfung haben wir kürzlich ein Problem im Zusammenhang mit Ihrem Konto festgestellt. [...]"
Nun, der Text und alles sieht authentisch aus und natürlich darf auch der obligatorische Verifikationslink nicht fehlen.
Unbedarfte Benutzer dürften direkt reinfallen. Mir fällt jedoch auf, dass die E-Mail an eine Mailadresse ging, die ich nicht bei PayPal hinterlegt habe. Das zum einen. Zum anderen zeigt mir ein längerer Druck auf den Link in K9 unter Android die URL http://www.paypal.de.pp04044076264.hayashiprint... an. Ob mich das nicht zusätzlich stutzig machen sollte ?

...

Ach was ! Wird schon alles seine Richtigkeit haben. Ich klick' mal drauf und verifiziere sicherheitshalber mal ! ;-)

DHL-Phishing - mal wieder

DHL Phishing scheint's mir angetan zu haben. Zumindest bin ich zunehmend begeistert von den immer besser aufgemachten E-Mails !
Dieses Mal soll der Empfänger eine neue Goldcard bekommen.
Die Anforderung dieser ist auch ganz simpel:

QUOTE:

Und so einfach geht's:

* Notieren Sie sich die PostNummer, Online-Passwort sowie Ihre PIN: Die PostNummer finden Sie auf Ihrer momentanen Goldcard
* Dann bestellen Sie sich gleich hier Ihre neue Goldcard:
* Tragen Sie Ihre PostNummer, das Online-Passwort und die PIN Ihrer PACKSTATION auf der obenstehenden Seite ein


Hehehe......klar, klickt man bei "...Sie sich gleich hier..." auf den Link, gelangt man aber nicht auf eine DHL-Seite, sondern auf "http://telecom.internetdesk.nl/goldcard". wer hätte das gedacht ? :-)
Zumindest waren die Niederländer schnell und haben die Seite vom Netz genommen, bevor noch jemand seine vermeintliche Karte durch Eingabe aller erdenklichen Zugangsdaten angefordert hätte. ;-)

Packstation-Phishing at it's best !

Die Tage kursierten bereits Meldungen bezüglich Phishing-Mails, die Packstationkunden dazu veranlassen sollen, ihre Daten in ein Formular einzutragen, damit ihr Account nicht gesperrt wird. Wie üblich waren die Nachrichten in schlechtem Deutsch verfasst und auch die Website wies Fehler auf.
Heute jedoch erhielt ich eine perfekte E-Mail, die so manch einen glauben lassen würde, dass hier wirklich DHL schreibt:

QUOTE:
Sehr geehrter PACKSTATION-Kunde, sehr geehrte PACKSTATION-Kundin,

aufgrund der großen Nachfrage des PACKSTATION-Systems sind wir gezwungen dauerhaft inaktive Accounts für neue Kunden freizugeben.

Selbstverständlich können Sie auf Wunsch weiterhin Ihre PACKSTATION nutzen. Hierfür ist lediglich ein Login unter

http://kundeninfo-dhl.de/

nötig, um Ihren Account automatisch dauerhaft zu registrieren.

Sollten Sie künftig auf Ihre PACKSTATION verzichten können, so ist kein weiteres Agieren Ihrerseits nötig.
Ihr Account wird dann innerhalb 7 Tagen an Neukunden vergeben.

Wir bitten um Ihr Verständnis und bedanken uns für Ihr Vertrauen.

Mit freundlichen Grüßen,

DHL-Kundenservice
Ursula Schmidt

DHL Vertriebs GmbH & Co. OHG

Charles-de-Gaulle-Straße 20
PLZ/Ort: 53113 Bonn



Erstmal komisch, dass die E-Mail an einen meiner Accounts ging, den ich gar nicht in meinem Packstation-Konto hinterlegt habe. Hmmm....

Also klicke ich doch mal auf den Link und schaue mir die Seite mal an. Und ich muss zugeben: sehr gut gemacht ! Hier findet ein Frame Verwendung, der in das Gerüst der Packstationseite eingebunden ist.
Was jedoch DHL mit "http://linkparadijs.nl/tmp/" zu tun hat, weiß ich nicht. ;-) Das wird jedoch deutlich, wenn man sich mal den Quelltext anschaut.

Und vor allem nochmals: DHL, wie auch Amazon, wie auch eBay, wie auch Banken, etc. werden niemals nach PIN und Kennwort fragen - sofern es sich nicht um eine reguläre Anmeldung handelt.

Ein wenig bedenklich finde ich, dass Opera beim Aufruf von "http://kundeninfo-dhl.de/" keinerlei Warnhinweis brachte und mir die Website präsentierte, während der IE in knallrot leuchtet und die Meldung
QUOTE:
Diese Website wurde als unsichere Website gemeldet.
kundeninfo-dhl.de

Es wird empfohlen, dass Sie nicht zu dieser Website wechseln.
bringt.

Auch Firefox warnt mit rotem Hintergrund:
QUOTE:
Als Betrugsversuch gemeldete Website!

Die Website auf kundeninfo-dhl.de wurde als Betrugsversuch gemeldet und gemäß Ihrer Sicherheitseinstellungen blockiert

Mit Betrugsseiten versuchen Kriminelle Sie dazu zu bringen, persönliche oder finanzielle Daten preiszugeben. Dabei ahmen sie in betrügerischer Absicht Webseiten oder E-Mails nach, denen Sie eventuell vertrauen.

Falls Sie hier persönliche Daten eingeben, müssen Sie mit Identitätsdiebstahl oder sonstigem Betrug rechnen.


Ruft man die Seite trotz des Warnhinweises auf und hat die Cookieabfrage aktiviert, sollte man spätestens dann stutzig werden, weil die oben genannte Seite "http://linkparadijs.nl/tmp/" ein Cookie setzen will.
Zudem blendet FF im oberen Seitenbereich ein knallrotes Warnbanner ein.




Sind die Phishing-Versuche sonst in der Regel gut zu erkennen, ist dieser recht gelungen.
Ob der Domain-Inhaber von "http://kundeninfo-dhl.de/" aus Aerzen in Deutschland weiß, was er da bei 1&1 hosten lässt ?


*** EDIT ***

Die Domain http://kundeninfo-dhl.de ist inzwischen nicht mehr erreichbar. 1&1 hatte hier reagiert und die Site vom Netz genommen.

Page 1 of 1, totaling 4 entries