Artikelarchiv für das Schlagwort "Phishing"
[Spam] NO:zu47712 Important information–Warning on illegal trade(*******@gmail.com)
Hach, diesmal hätten sie mich fast gekriegt :D
Hello! hjwdfzahxrywcfq81794123339934976172
2005119255685867721362986o9sljo2acf6ac1o
spcoshpvxrdvvsg941231938757783mczyfdaqyv
We have the evidence to prove that your account involved in the controversial game currency transaction. If your account is found violating Terms of Use, it can, and will be suspended.
bzasnpjh0a415182013487036x1odkte5vr
cniivhkgzshviibjosyc229288899148647
So we have reviewed our logs of your account, and we were able to determine the following:
264530593501161nlvtkyfk2wqdyvvcgd9mbjr5npcmhycfytjkpwry
*Battle.Net Account Name: *******@gmail.com wdzuu
fjdydbwyxl3673965176599210214051805wiqdyvcx95huaq10qizr
*Battle.Net Account Action: 36 Hour Suspension
jyy80wpzuj881446360262353mi6kphkptfzx892
697334363852019nya3tbllyavoaemcjwkf
We now provide a secure website for you to verify whether you have taken the appropriate steps to secure the account, your computer, and your email address. Please follow this site to restore the access to your account :https://www.battle.net/login/*******/login.xmlref=https2Fus.battle.net%2Faccount%%b21amoromeozjfoumeyw
atbmleujsirnvtdkdzds4fylf9574888627
290569796905798utqytrlzmk3688005075
While we will attempt to address all concerns as promptly as possible, it may be several days before we are able to respond depending on the total inquiries we receive. Please be aware that if unauthorized access to this account, it may lead to further action against the account.
dozhu0atbeuljlisummt653085529617218
0054215186269662244043405uyhsvsykm2
Game MasterBlizzard Entertainment
Nur: Die Mail hatte als Absender meine Mailadresse genutzt – nicht das klügste ;) Die Reply-Adresse ist auf ***@battle.com gesetzt – und die Domain hat nichts mit dem battle.net zu tun. Wenn man im Übrigen dem Link folgt, landet man auf einer sehr langen, kryptischen URL unter batt3d.info, bei der es sich um einen 1:1-Nachbau von battle.net handelt. Was ich übrigens interessant finde, sind die unsichtbaren Zeichen im Artikel, kann mir wer erklären, wozu die gut sind?
Fazit: Phishing, Finger weg!
[Spam] Ihr PayPal-Konto ist eingeschraenkt � Ihre Mithilfe ist gefragt
Auch ein schönes Thema, solche Phishing-Mails ;) Gestern habe ich wieder mal eine angeblich von PayPal stammende bekommen, vor der ich an dieser Stelle warnen möchte.
Betreff: Ihr PayPal-Konto ist eingeschraenkt � Ihre Mithilfe ist gefragt
———————————————————————-
Ihr PayPal-Konto braucht Ihre Hilfe
———————————————————————-
Guten Tag!
Bitte helfen Sie uns dabei, Ihr PayPal-Konto wieder in Ordnung zu bringen.
Bis dahin haben wir den Zugang zu Ihrem PayPal-Konto vorübergehend
eingeschränkt.
Wo liegt das Problem?
Wir möchten überprüfen, dass sich niemand ohne Ihre Erlaubnis bei Ihrem
Konto angemeldet hat.
Nehmen Sie sich einen Moment Zeit, und ändern Sie Ihr Passwort und
erstellen Sie neue Sicherheitsfragen. Außerdem sollten Sie Ihre
Kontoinformationen und letzten Transaktionen durchschauen. Vergewissern Sie
sich, dass sich Ihre Kontoinformationen (Adresse, Telefonnummer, usw.)
nicht geändert haben und dass Sie alle letzten Transaktionen erkennen.
Wenn Sie eine Zahlung sehen, an die Sie sich nicht erinnern, informieren
Sie uns bitte über “Konfliktlösungen”. Klicken Sie auf
“Transaktionskonflikt”, um einen unberechtigten Zugriff auf ein
PayPal-Konto zu melden.
Bearbeitungsnummer: PP-002-001-208-845
Was mache ich jetzt?
Loggen Sie sich hier ein und führen Sie die Bestätigung Ihrer Daten durch, um zu gewährleisten, dass Sie der Eigentuemer des Benutzerkontos sind.
Unter der angegebenen Adresse sehen sie, welche Informationen wir genau von Ihnen
brauchen – und können sie gleich einreichen. Und Sie sehen auf einen Blick,
welche Funktionen Ihres PayPal-Kontos Sie noch nutzen können.
Kofliktlösungen
Viele Grüße,
Ihr Paypal-Sicherheitsteam
Besonders gefährlich dürfte an dieser Mail sein, dass sie keine grammatikalischen Fehler oder Rechtschreibfehler enthält.
Die Links führen zu einer Domain, die der PayPal Webseite scheinbar zu 100% gleichen und – anders als viele Phishing-Websites – Wirklich nur ein Login-Formular bereitstellt. Es scheint sich also um das normale Login zu handeln, was ein gefährlicher Falscheindruck ist. Registriert ist die Domain übrigens auf einen Deutschen, sodass man im Zweifelsfall weiss, wen man verklagen kann, wenn man doch die Zugangsdaten eingegeben hat und dann Geld fehlt.
Ich habe übrigens mal ein Experiment gemacht: Ich habe mich mit einer Mailadresse, die eh zum Spamfang gedacht ist und somit nicht meine PayPal-Mail ist und einem erfundenen Passwort da eingeloggt. Nach einem malmend des üblichen PayPal-Kreisels (dieses Teil zum Anzeigen des Arbeitens der Server), war ich tatsächlich “eingeloggt”. Hier verlangt die Seite schließlich Persönliche Daten (Name, Anschrift, Geburtstag). Soweit, so normal. An dieser Stelle scheinen die Besitzer zu glauben, das Vertrauen der Opfer erweckt zu haben, denn es folgt die Frage nach Kreditkartendaten. Das ist der Punkt, an dem ich mangels falscher Kreditkartendaten nicht mehr weiter gemacht habe.
Wie immer gilt also: FINGER WEG!
[Spam] Achtung – Betrug bei PayPal
Phishing-Mail
Ich halte es für meine Pflicht, euch zu warnen. Ich habe gerade die dreisteste Phishing-Mail überhaupt ausgegraben, die aufgrund ihrer scheinbaren Echtheit eine echte Gefahr darstellen dürfte:
Lieber PayPal-Kunde,
in den letzten Jahren ist die Zahl von Betrugsfällen
auch bei PayPal nicht unbemerkt geblieben.
Seit dem 01.09.2012 setzt PayPal daher auf das sehr moderne
und eigens für PayPal entwickelte PPS Sicherheitsverfahren.
Dieses Verfahren ermöglicht es uns, die Daten unserer Kunden
noch besser gegen Onlinebetrug zu schützen.
Damit die Umrüstung auf das neue PPS Sicherheitsverfahren
problemlos durchführt werden kann, benötigen wir die Hilfe unserer Kunden.
Bitte ergänzen Sie daher ihre Daten um weiterhin sicher und wie gewohnt
über PayPal zahlen zu können.
Der gesamte Prozess dauert nur wenige Minuten und ist mit keinerlei Kosten
für Sie als Kunde verbunden.
Achtung:
Leider sind wir auf Grund der Sicherheit gezwungen,
Ihren PayPal-Zugang bis auf weiteres zu sperren, falls keine
persönliche Verifizierung bis zum 09.09.2012 stattgefunden hat.
In diesem Fall muss das Konto von Ihnen persönlich bei der PayPal-Hotline
verifiziert und anschliessend von einem Mitarbeiter freigeschaltet werden.
Zum Formular (über den Sicherheitsserver)
Mit freundlichen Grüßen
Kundenservice Paypal.de
http://paypal.de
09.09.2012 23:55
Reference-Number: 028089044
Es handelt sich hierbei nicht um eine offizielle Mail von PayPal, was schon daraus ersichtlich wird, dass der “Sicherheitsserver” nichtmal als PayPal.com angegeben wird, der Link aus der Mail führt direkt auf eine *.biz-Webseite, die mir irgendwoher bekannt vorkommt, möglicherweise aus vorherigen Phishing-Mails. Wie immer gilt: FINGER WEG VOM LINK!
Wer diesen Link klickt und seine Daten eingibt, sollte sich nicht wundern, wenn sich das Guthaben auf seinem PayPal-Konto demnächst lichtet. Das problematische an dieser Mail ist, dass sie wirklich furchtbar echt aussieht und im Gegensatz zu vielen anderen Phishing-Mails in einem sehr guten Deutsch daherkommt. Die Vermutung liegt demzufolge nahe, dass sie von Deutschen verfasst wurde.
Grundsätzlich kann man nie oft genug sagen, dass Mails, in denen man zur Verifikation oder überhaupt Angabe irgendwelcher Zugangsdaten zu irgendeinem Zweck aufgefordert wird, erst als Spam markiert und dann gelöscht gehören. Am besten auch, ohne vorher die Links anzuklicken oder ähnliches. Im Zweifel auch auf Verdacht.
[Spam] Wichtiger Sicherheitshinweis
Sehr geehrter Kunde,
aufgrund der mehrfachen Falscheingabe Ihres Passworts, muessen wir leider davon ausgehen, dass ein Unbefugter versucht hat, Zugriff auf Ihr Amazonkonto zu erhalten.
Wir bitten Sie daher, Ihre Daten zu verifizieren, um sicherzustellen, dass keine Dritte Person Zugang zu Ihrem Amazonkonto hat.
Folgen Sie dazu bitte dem nachstehenden Link und verifizieren Sie Ihre Angaben.
http://phishingadresse.in/amazon.de/ssh.htm *
Sollten Sie sich nicht innerhalb von 72 Stunden verifzieren, muessen wir Ihren Zugang leider dauerhaft sperren.
Mit freundlichen Gruessen
Ihr Amazon.de Team
Haha :D
Mal ganz abgesehen, dass ich keins meiner Passwörter besser kenne als das von Amazon und zuletzt Deponia bestellt habe (ist schon ein paar Tage da, Rezension folgt), ist doch auffällig, dass die Mail, anders als von Amazon gewohnt, nur Text ist, kein HTML und zwar von einer @amazon.de-Adresse stammt (kann man ja fälschen): Die nach Indien gehende URL ist doch interessant…
Die Seite ist natürlich 1:1 nachgebaut, wie man das kennt:
Der “Verifizieren sie ihren Account”-Link oben führt übrigens auf die Standart-Login-Seite von Amazon.de
Was die alles zur “Verifizierung” an Daten “benötigen” sollte allerdings jeden stutzig machen:
Ich frage mich nur, wem jetzt schon wieder meine Adresse abhanden gekommen ist… Naja, wie auch immer, hier die übliche Empfehlung: Ignorieren, wegschmeißen, auf keinen Fall Daten eingeben.
(*) den Link habe ich unkenntlich gemacht
[Spam] Please confirm your US Airways online registration
Mal ganz was neues:
[Header]
You should check in from 24 hours and up to 60 minutes before your flight (2 hours if you’re flying abroad). Then, all you need to do is print your boarding pass and go to the gate.
Confirmation code: 756368
Check-in online:Online reservation details
Flight Departure city and time
4120 Washington, DC (DCA) 10:00PM
Depart date: 3/20/2012 [Miles&More-Card]
[Footer]
We are committed to protecting your privacy. Your information is kept private and confidential. For information about our privacy policy visitusairways.com.
US Airways, 111 W. Rio Salado Pkwy, Tempe, AZ 85281 | Copyright US Airways | All rights reserved.
[Header] und [Footer] sowie [Miles&More-Card] waren Grafiken, die hätten mir aber das Layout gesprengt.
So denn, schreiten wir zur Analyse ;) Was fällt mir zuerst ins Auge? Nun, gleich in Mail das erste Anzeichen, dass es ein Gruppenflug von Gmail-Usern zu sein scheint:
Außerdem hat der Versender eine seltsame Mailadresse, und nichtmal eine offizielle. Auch seltsam. In vielen der Empfängern taucht übrigens der String “ipod” auf.
Nächstes: Eine Grafik fehlt, die habe ich oben mal nicht gekennzeichnet.
Drittens: Der Link “Online Reservation details” führt auf ip/showthread.php?threadid. IP liegt in den USA, in Galloway, einem VPS-Hoster. Das seltsame ist, dass bei Aufruf der Seite ein 403-Fehler auftaucht – vermutlich haben die den Server vom Netz genommen oder sowas.
Auf jeden Fall sieht man selten so schlecht gemachtes Phisching, ich gehe jedenfalls davon aus, dass es das sein soll.
