Phish am Morgen
Derzeit gehen Phishingmails herum, die Daten zu DHL-Accounts abfragen und auf den ersten Blick erstmal täuschen könnten.
- Ansprache mit Vor- und Nachnamen
- Flüssiges Deutsch, ähnliche Formulierungen kennt man aus legitimen Mails
- Angabe einer Kontaktnummer für Nachfragen
Für einen kurzen Moment habe ich wirklich überlegt, ob ich mich schon mit meinem alten Namen für den Packstation-Service angemeldet habe.
Genaueres Hinsehen lässt den Phishingversuch dann aber auffliegen.
Erste Indizien:
- Veraltete Daten (in meinem Fall)
- Ziemlich kaputte Formatierung (im Beispiel unten nicht mehr zu erkennen, ist auch eher ein Indiz)
- Fehler in der vollständigen Firmenbezeichnung (es fehlt ein &)
- Fehlerhafte Firmenadresse. DHL sitzt in Bonn, nicht in Berlin.
Und ganz eindeutig:
- Die angegebene Adresse.
- Schon die Toplevel-Domain (das nach dem Punkt) sollte misstrauisch stimmen
- Maskierung im Domainnamen (das O ist gar kein O, sondern eine 0 (Null))
-
Und last but not least der Hinweis der DHL, der legitimen Mails angestellt ist:
Vorsicht vor gefälschten E-Mails! Beachten Sie, DHL wird Sie niemals auffordern, Ihre PostPIN im Internet einzugeben!
Kurz drüber amüsieren. Eventuell DHL informieren. Löschen.
—
Sehr geehrte(r) Vorname Nachname.
Da wir in den letzten Wochen unser Serversystem auf den neusten Stand gebracht haben, bitten wir Sie, aktiv bei unserem umfassenden Systemcheck mitzuwirken.
Dieser dient dazu, eventuelle Fehler zu beseitigen. Wir bitten Sie daher darum, sich auf der DHL-Seite einzuloggen um Ihre PACKSTATION-Daten zu überprüfen.
http://PACKSTATI0N.6x.to/index.php?id=540158c88d9ff6c
Schlägt der Loginversuch fehl, bitten wir Sie, sich unter folgender Nummer zu melden:
0800 343 435 36 (0 ct/Min*)
Viel Spaß weiterhin mit Ihrer PACKSTATION wünscht Ihnen
Ihr PACKSTATION Team
*) Aus dem deutschen Festnetz
———————————————————–
DHL Vertriebs GmbH Co. OHG
Rathausplatz 1
10234 Berlin
January 18th, 2010 at 11:36 am
Habe ich heute morgen auch bekommen, die Mail kam von nem 1und1-Server. Habe den Admin des Servers ermittelt und eben mit ihm telefoniert. Das Security-Team von 1und1 hat auch ne Mail bekommen. Da hat wohl jemand den Mail-Server gekapert, schlechte Admin-Arbeit, sag ich nur ^^
January 18th, 2010 at 12:36 pm
Woher haben die denn die Datensätze (Vollständiger Name + email)?!
January 18th, 2010 at 1:40 pm
Das Interessiert mich auch. Hat jemand die Werbung an eine Adresse bekommen, wo er zuordnen kann, wo er sie angegeben hat?
January 18th, 2010 at 2:18 pm
Ich tippe auch auf Adresshandel, kann es aber leider nicht zuordnen. Die Daten sind aber mind. 2 1/2 Jahre alt.
January 18th, 2010 at 5:12 pm
Na klar Adresshandel, woher sollen die sonst die Daten haben? Was mich noch interessieren würde: Woher habt ihr die Mail bekommen? Bei mir kam die von s15348457.onlinehome-server.info
January 18th, 2010 at 11:08 pm
Same here.
PS: Crawler (z.B. über Impressum) wären auch noch eine Variante.
January 21st, 2010 at 8:36 pm
Ich habe keine Homepage und meine Daten sind nirgendwo im Netz abrufbar. Über nen Crawler können die also nicht an meine Daten gekommen sein.
Problem ist btw beseitigt, der Server Admin hat den Mail Daemon gekillt und die 6x.to Subdomain ist auch offline.
Komisch, dass das BSI das nicht auf die Reihe kriegt. Geben irgendwelche Warnungen raus, aber auf die Idee, den Server Admin zu kontaktieren, kommt niemand. Unfähiger Haufen
February 5th, 2010 at 4:44 pm
Sehr geehrte Anwender,
unser SecurityLab hat die von Ihnen beschriebenen Spams analysiert und folgendes herausgefunden:
- Die Daten stammen mit großer Wahrscheinlichkeit aus Datendiebstählen in Online-Shops.
- Die Täter haben eine Sicherheitslücke in dem eingesetzten Shopsystem ausgenutzt und waren so in der Lage die E-Mail-Adressen und die echten Namen in Relation zu setzten und entsprechend
die Anschreiben zu personalisieren.
Detaillierte Infos finden Sie auf unserer Webseite: http://www.gdata.de
Herzliche Grüße aus Bochum
G Data Software AG