Phishing-Mails an sehr interessante E-Mail-Adressen
Am Wochenende habe ich drei sehr interessante Paypal-Phishing-Mails bekommen. Interessant deshalb, weil sie an ganz bestimmte Adressen gingen. Adressen, bei denen ich mich frage, ob es da ein Datenleck gibt oder ob jemand meine Daten verkauft hat.
Eine individuelle Adresse
Die erste Mail mit dem Subject "[Support] Kartenverifizierung"
ging an eine individuelle Adresse, die ich vor einigen Jahren für
Bestellungen bei einem Webshop in Deutschland verwendet habe. Diese
Adresse wurde definitiv nirgendwo anders eingegeben. Der Plaintext-Inhalt
der Mail (der HTML-Teil ist damit identisch):
Version Paypal Life
Sehr geehrte Kunden,
Aufgrund von sicherheitstechnischen Mängeln in diversen
größeren Onlineshops in Deutschland und Österreich sind wir
gezwungen, unsere Kunden einer Kartenverifizierung zu unterziehen.Wir
empfehlen Ihnen, diese Kartenverifizierung sofort durchzuführen um
eine allfällige Kartensperrung zu verhindern. Wenn Sie Ihre Karte
nicht verifizieren, sehen wir uns gezwungen, diese binnen 2 Tagen zu Ihrem
Schutz zu sperren.
Herzlichen Dank für Ihr Verständnis
Hier geht es für Sie weiter:
http://paypal-hilfe.info/abgleich/
________________________________________
Manuela Leitner,
Sicherheitsteam Deutschland
Paypal Support
Auffallen ist, das bei dieser Mail Plaintext und HTML-Text identisch sind, beide zeigen die angegebene URL. Was im Plaintext nicht anders möglich ist. Im HTML-Teil kann man aber durchaus auch andere Texte als Linktext verwenden.
Die Mail kam von einem Webserver und ging über den Mailserver der gleichen Domain direkt an meinen Mailserver.
http://paypal-hilfe.info/abgleich/
ergibt bei Virustotal zur
Zeit ein
unschönes Ergebnis:
Nur drei von 51 Scannern erkennen die Website als gefährlich. BitDefender
meldet eine "Malware site", Fortinet und Google Safebrowsing eine
"Phishing site".
Schadsoftware
erkennt nur einer von 51 Scannern, AntiVir hat "JS/Agent.pbj" gefunden.
Vermutlich JavaScript fürs Phishing, denn es ist eine ganz
"handelsübliche" Phishing-Seite:
Paypal-Phishingseite auf http://paypal-hilfe.info/abgleich/
(Klick für großes Bild)
Zwei Freemail-Adressen mit Real-Namen trotz Pseudonymer Nutzung
Die anderen zwei Phishing-Mails gingen an zwei Mailadressen bei einem Freemailer, die ich für Mailinglisten verwende. Das besondere in diesem Fall: Auf diesen Mailinglisten agiere ich unter Pseudonym, bei der einen Adresse lese ich sogar nur. Und es gibt keinerlei Verbindung zwischen meiner echten Identität und dem Pseudonym auf diesen Listen. Es gibt also keine Möglichkeit, dass irgendwo auf Seiten der Mailinglisten-Betreiber oder -Mitleser mein Real-Name bekannt ist. Und trotzdem steht er in Subject und Body der Mails.
Beide E-Mails wurden von den Phishern direkt an den Freemailer geschickt.
Die Header enthalten nur die Received-Zeilen des Freemailers. Beide
E-Mails wurden von Webservern gesendet. Auf einem läuft cPanel, auf
dem anderen Apache/2.2.26 (Unix) mod_ssl/2.2.26 OpenSSL/1.0.1e
PHP/5.2.17 Server
, eine Index-Seite gibt es nicht.
Kommen wir zu den Mails. Mail Nummer 2 hat das Subject "Carsten
Eilers, Es wird ein Security-Update Ihres gesperrten PayPal Accounts zur
weiteren Nutzung erfordert"
und den HTML-Inhalt (Plaintext gibt es
nicht)
"Identifikation : [eine Zahl]
Guten Tag Carsten Eilers,
wir möchten Sie über den derzeitigen Status Ihres
PayPal-Benutzeraccounts informieren.
Am 29. März 2014 wurden die allgemeinen Sicherheitsstandarts für
alle Kunden unserer Services aktualisiert.
Im Zuge dessen muss jeder Kunde den PayPal Account erneuern, um eine
eindeutige Identifikation sicherzustellen.
Aus diesem Grund wurde Ihr Konto zeitlich eingefroren, solange das Update
Ihres Accounts nicht abgeschlossen ist.
Während die Erneuerung Ihres Kontos ausbleibt, bleibt Ihr Account
gesperrt, um das Risiko für Sie zu verringern.
Sie werden aufgefordert eine Bestätigung Ihrer Identität
abzuschließen, um Ihren Account freizuschalten.
Im Folgenden ist ein Link zu Ihrer individuellen Session aufgeführt,
durch welche Sie nach dem Login in Ihren Account vom System geführt
werden.
http://www.prospekt.ee/templates/system/[Code]/[Code]/ verlinkt als "Zur
Sitzung"
Sobald Sie den Sicherheitsprozess beendet haben, wird der Account aktiviert
und ist wieder wie gewohnt für den Zahlungsverkehr nutzbar.
Mit freundlichen Grüßen,
Security Department PayPal
ssl-signatur:[eine andere Zahl]"
Da der Link in diesem Fall individualisiert ist und ich meine Adresse
eigentlich ungern bei den Phishern bestätigen möchte, habe ich
Virustotal zuerst nur http://www.prospekt.ee/
prüfen
lassen. Das
Ergebnis:
Kein Scanner erkennt etwas Gefährliches. Auch
http://www.prospekt.ee/templates/system/
liefert
kein besseres Ergebnis.
Das ist äußerst unschön. Also habe ich es doch mit der
vollständigen URL versucht. Mit minimal besserem
Ergebnis:
Google Safebrowsing meldet eine "Phishing site".
Nachdem die Phisher nun wissen, dass ihre Mail gelesen wurde, werde ich
diese Adresse wohl bei Gelegenheit mal ersetzen müssen.
Mail Nummer 3 hat das Subject "Reaktivieren Sie Ihren gesperrten
PayPal Account, Carsten Eilers"
und den HTML-Inhalt (auch hier gibt
es keinen Plaintext-Teil)
"Identifikation : [eine Zahl]
Guten Tag Carsten Eilers,
wir möchten Sie über den derzeitigen Stand Ihres PayPal-Kontos
informieren.
Am 29. März 2014 wurden die allgemeinen Sicherheitsstandarts für
alle Kunden unserer Services aktualisiert.
Im Zuge dessen muss jeder User den PayPal Account aktualisieren, um eine
eindeutige Zuweisung durch das System sicherzustellen.
Aus diesem Grund wurde Ihr Benutzeraccount temporär eingefroren,
solange das Update Ihres Accounts nicht beendet ist.
Während das Update Ihres Benutzeraccounts ausbleibt, bleibt Ihr
Account gesperrt, um das Risiko für unsere Kunden zu verringern.
Sie werden aufgefordert eine Bestätigung Ihrer Identität
abzuschließen, um eine Freischaltung Ihres Accounts zu erreichen.
Weiter unten ist ein Link zu Ihrer individuellen Sitzung aufgeführt,
durch welche Sie nach dem Login in Ihren Account vom System geleitet
werden.
http://dreamzdesign.com/templates/system/[Code]/[Code]/ verlinkt als "Zum
Login"
Sobald Sie den Sicherheitsprozess beendet haben, wird der Account
freigeschaltet und ist wieder wie gewohnt für den Zahlungsverkehr
nutzbar.
Mit freundlichen Grüßen,
Customer Security PayPal
ssl-signatur:[eine andere Zahl]"
Die Ergebnisse für http://dreamzdesign.com/
und
http://dreamzdesign.com/templates/system/
fallen wie erwartet
aus:
Nichts gefunden
und
wieder nichts gefunden.
Diese Adresse habe ich den Phishern aber nicht durch eine Prüfung des
vollständigen Links bestätigt, ich gehe davon aus, dass das
Ergebnis ähnlich mager wie bei den anderen beiden Mails ausfallen
wird.
Was sonst noch auffällt
Mail 1 und Mail 2/3 unterscheiden sich deutlich:
In der ersten Mail gibt es Plaintext und HTML-Teil, die Formatierung wird dem Mailclient überlassen. Es wird ein allgemeiner Link verwendet, der auch vollständig zu sehen ist. Und in der Mail gibt es keinerlei individuelle Kennzeichen, auch keinen Namen.
Immerhin wurde die Mail vom Spam-Filter als Phishing-Mail erkannt:
1.0 ZMIfish_BANKMAIL1 postbank SPAM or PHISHING, they want your money1
Stimmt genau.
In der zweiten und dritten Mail gibt es nur einen HTML-Teil, die Zeilen sind durch feste Zeilenumbrüche (<br>-Tags) abgeschlossen. Der individualisierte Link wird durch einen Link-Text getarnt (er ist auch deutlich verräterischer als der Link in der ersten Mail), und die Mails enthalten zwei weitere vermutlich individuelle Kennziffern. Vom Real-Namen ganz zu schweigen.
Laufen also zwei parallele Paypal-Phishingwellen, die mir beide zufällig aus dem gleichen Grund aufgefallen sind? Oder verwenden die Phisher zwei Arten von Mails? Eigentlich würde ich erwarten, dass die alle irgend eine "Phisher-Rundum-Sorglos"-Software verwenden und sich die Mails dementsprechend innerhalb einer Kampagne stark ähneln.
Auf jeden Fall gilt: Seien Sie vorsichtig, da laufen einige recht gut gemachte Paypal-Phishingmails und -Websites frei im Internet rum.
Woher haben die Phisher die Daten?
Theoretisch könnten die E-Mail-Adressen von Spyware auf meinem Rechner ausgespäht worden sein. Praktisch ist das nicht möglich, denn mein Rechner ist Schädlingsfrei.
Ebenso theoretisch könnten die Adressen aus dem Adressbuch eines anderen Benutzers stammen. Im Fall der ersten Mail müsste dass dann ein Rechner beim Shopbetreiber sein. Im zweiten Fall ist das nicht möglich, da die Mailadressen außer beim Freemailer nirgends mit meinem Realnamen verbunden sind.
Eigentlich gibt es für diese Phishing-Mail nur eine Erklärung: Die Daten wurden verkauft oder "gestohlen".
Außer diesem einen Shop kann niemand die erste Adresse kennen. Jedenfalls habe ich sie nur dort verwendet, und der Shop-Name kommt im Local-Part vor.
Und bei den beiden anderen Adressen kann die Verknüpfung zwischen E-Mail-Adresse und Real-Namen eigentlich nur aus einer einzigen Quelle stammen: Den Datenbanken des Freemailers, bei dem ich mich mit meinen echten Daten angemeldet habe. Nirgends sonst ist diese Kombination bekannt. Ich habe weder bei den Anmeldungen zu den Mailinglisten noch auf dem Listen selbst jemals meinen Realnamen verwendet.
Wie geht es weiter?
Ich wüsste wirklich gerne, woher die Phisher die Adressen und bei den Freemail-Adressen vor allem meinen Real-Namen haben. Aber nach meinem bisherigen Erfahrungen mit dem Freemailer-Support habe ich rein gar keine Lust, da irgend etwas an zu stoßen. Das Problem verstehen die Support-Mitarbeiter nie, die antworten mit Satzbausteinen und sind unfähig oder unwillig, Probleme nach oben weiter zu leiten. Ich diskutiere einfach ungern mit Wänden. Dafür ist mir meine Zeit zu kostbar.
Das gleiche gilt sinngemäß für den Webshop. Der "Support" dort dürfte auf die Abwicklung von Garantiefällen trainiert sein, und ich möchte die E-Mail-Adresse oder Phishing-Mail ja nicht umtauschen. Das ist eine Adresse, die ich für genau diesen Shop eingerichtet habe, da werde ich wohl kaum noch mal was kaufen (der letzte Kauf war 2010) - also werde ich die Adresse löschen und die Sache ist erledigt. Dafür verwende ich solche Adressen ja.
Außerdem: Wenn ich mich an die die Unternehmen wende, müsste ich konsequenterweise auch die zuständigen Datenschutzaufsichtsbehörden informieren, falls die Unternehmen keine brauchbare Reaktion zeigen. Das würde bedeuten, dass ich erst mal rausfinden muss, wo die Unternehmen ihren Sitz haben und welcher Datenschutzbeauftragte zuständig ist. Danach muss ich dessen E-Mail-Adresse raus suchen oder womöglich ein Kontaktformular verwenden. Und natürlich muss das alles "Beamten-tauglich" formuliert werden.
Nicht zu vergessen, dass ich dann vielleicht Pseudonym und Real-Namen verknüpfen müsste, was ich nur äußerst ungern tun würde. Nicht, weil das peinlich währe und es niemand wissen darf (mein Privatleben geht aber niemanden etwas an, wer ein Profil von mir bilden soll, muss schon im realen Müll wühlen und nicht im Internet), sondern weil ich dann die aktiv genutzten Listen nicht mehr wie bisher nutzen könnte. Auf Fragen wie "Du macht doch irgend was mit dem Web, was sagt Du zu dieser Seite?" oder "Was sagst Du aus Sicherheitssicht zu [nicht IT-relevantes Problem im Listen-Kontext]?" und ähnliches habe ich rein gar keine Lust.
Das alles für ein paar Wegwerf-E-Mail-Adressen? Nö, das ist den Aufwand nicht wert. Es sei denn, ich erfahre, dass es viele ähnlich gelagerte Fälle gibt. Wenn einem Freemailer die Datenbank "abhanden gekommen" sein sollte, müsste das ja der Fall sein. Andererseits: Wie viele Freemail-Benutzer würden das überhaupt bemerken? Spam ist normal, Phishing ist normal, auffällig ist das hier ja nur, weil die Absender den Real-Namen nicht kennen können. Was bei den meisten "normalen" Freemail-Benutzern aber völlig anders ist, da sie die Adressen ständig in Verbindung mit ihrem richtigen Namen verwenden.
Dieser Text dient im Grunde nur der Dokumentation und Bekanntmachung der merkwürdigen Mail. Falls Sie ähnliche Beobachtungen gemacht haben, nutzen Sie die Kommentarfunktion oder schicken Sie mir eine Mail. Wenn es wirklich ein größeres Datenleck gibt, sollte man vielleicht was tun. Ansonsten habe ich genug andere und vor allem wichtigere Dinge zu tun.
Trackbacks