Damian Thater

Phishing Alarm! PayPal, Kontoeröffnung mit Phishing-Umleitung

15.06.2014

Phishing Alarm! PayPal, Kontoeröffnung mit Phishing-Umleitung

Wie soll man mit Mails umgehen, die von einem selbsternannten Inkasso kommen und folgende Begriffe beinhalten: Betrugsverdacht, Danke, dass Sie sich bei PayPal angemeldet haben, Paypal Konto verifiieren? Richtig gelesen “verifiieren”.

Einige der hier genannten Seiten wurden von mir als Betrugsversuch identifiziert. Um das Risiko zu mindern, dass die Links versehentlich ausgeführt werden und die Phisher trotz Warnung Erfolg haben, wurden die Links absichtlich verfälscht. Dennoch gilt: Jegliche Nutzung ausschließlich auf eigene Gefahr!

Nach jeder Email von einem angeblichen “Inkasso” oder einer Rechnugnsstelle, zuckt man für gewöhnlich ersteinmal zusammen. So auch heute wieder.

Folgende Email landete in meinem Postfach:

To: meine-wenigkeit-hoechst-persoenlich@gmx-email-nirvana.de
From: Inkasso
Subject: Betrugsverdacht 0935-0921-1824-8043

.
Aktivieren Sie Ihr PayPal-Konto!

Guten Tag, 

Danke, dass Sie sich bei PayPal angemeldet haben.

Um Ihr neues PayPal-Konto freizuschalten, bestätigen Sie jetzt bitte 
einmalig Ihre E-Mail-Adresse. Danach können Sie sofort alle Funktionen 
Ihres PayPal-Kontos nutzen, wie beispielsweise Zahlungen senden 
oder empfangen.

So bestätigen Sie Ihre E-Mail-Adresse:

Klicken Sie auf den nachfolgenden Link: Paypal Konto verifiieren
Geben Sie auf dieser Seite dann Ihr PayPal-Passwort ein.
Bestätigen Sie jetzt Ihre E-Mail-Adresse, damit Sie beim nächsten 
Einkauf mit PayPal bezahlen können.

	PayPal. Überall schnell und sicher bezahlen.
	- Einfach: Sie bezahlen mit zwei Klicks.
	- Schnell: PayPal-Zahlungen treffen schnell beim Verkäufer ein.
	- Sicher: Ihre Bankdaten sind nur bei PayPal hinterlegt.
	
	Schützen Sie Ihr Konto
	Halten Sie Ihr PayPal-Passwort geheim. Teilen Sie es niemandem mit.

Wenn Sie Fragen haben, rufen Sie uns einfach unter 0800 723 4500 an 
(Mo.-Fr. 8.00 bis 21.30 Uhr und Sa.-So. 9.00 bis 19.30 Uhr. Kostenlos 
aus allen deutschen Mobilfunk- und Festnetzen. Falls Sie aus dem 
Ausland anrufen, wählen Sie bitte +353 1 436 9003 – entsprechende 
Auslandskosten können anfallen.).

Herzliche Grüße 
PayPal

Bitte antworten Sie nicht auf diese E-Mail. 
Dieses Postfach wird nicht überwacht, deshalb werden Sie keine 
Antwort erhalten. enn Sie Hilfe benötigen, loggen Sie sich in Ihr 
PayPal-Konto ein, und klicken Sie oben rechts auf einer beliebigen 
PayPal-Seite auf den Link "Hilfe". 

Wenn Sie E-Mail-Benachrichtigungen im Nur-Text- anstatt im HTML-Format 
erhalten möchten, aktualisieren Sie Ihre Einstellungen.


Copyright © 1999-2014 PayPal. Alle Rechte vorbehalten.

PayPal (Europe) S.à r.l. & Cie, S.C.A.
Société en Commandite par Actions
Sitz: 22-24 Boulevard Royal, L-2449 Luxemburg
RCS Luxemburg B 118 349

PayPal E-Mail-ID PP181 - 7168AB7188

Erster Eindruck

Sieht OK aus, macht den Eindruck es stamme von PayPal. Allerdings passt der Absender nicht mit dem Inhalt überein, was mich wieder auf meine normalen 70 Herzschläge pro Minute bringt.

Ich habe grundsätzlich alle Bilder und Stylesheets in Emails deaktivert. Darum kann ich zwar kein Urteil über das Aussehen der Email fällen, aber dafür bleiben mir Aufrufe zu Bildgeneratoren mit evtl. getrackten IDs, sogenannten Webbugs, fern.

Was ist zu fraglich?

  • “Inkasso”, “Betrugsverdacht” und “Aktivieren sie ihr Konto” passen nicht zusammen.
  • Vorneweg ist ein ”.” PayPal würde sich nicht die Blöße geben, derart grobe Satzzeichenfehler zu versenden.
  • “Aktivieren Sie Ihr PayPal-Konto!” Als Einleitung steht nicht etwa Hallo oder so, sondern eine Aufforderung - sehr professionell (nicht).
  • “Guten Tag,” Danke für den netten Empfang, ich armer Namenloser.
  • “Paypal Konto verifiieren” ist nicht dein Ernst, oder? Also, wenn schon dann richtig “verifizieren” Ausserdem schreibt sich PayPal mit beiden großen P…

Ansonsten ist die Email sehr ausführlich mit Informationen des Unternehmens gespickt, das Impressum im unteren Teil scheint komplett zu sein mit Adresse, Handelsregister etc. Ein Blick in mein Archiv von PayPal Emails offenbarte, dass zumindest eine valide Email die selbe Signatur hatte (bis auf die ID selbstredend). Die Qualität des Footers ist hier also kein guter Hinweis auf einen Betrugsversuch.

Internet-Check

Öfter mal was Neues… Versucht man im Web nach den Textschnippseln “Klicken Sie auf den nachfolgenden Link” und “Paypal Konto verifiieren” (samt Tippfehler) zu suchen, erhält man Null Treffer…. OK, wir sind also auf uns allein gestellt.

Email-Details

Graben wir mal den Email Quelltext um:

Return-Path: Wagner.b@online.de

Was hat bloß, Wagner B. über online.de mit meinem PayPal Konto zu tun? Sehr fragwürdiger Hinweis-Empfänger bei fehlgeschlagener Zustellung.

Received: from mout.kundenserver.de ([212.227.17.13]) by mx-ha.gmx.net
	 (mxgmx106) with ESMTPS (Nemesis) ...
Received: from mydomain.com (ns419060.ip-37-187-146.eu [37.187.146.94])
	by mrelayeu.kundenserver.de (node=mreue105) with ESMTP (Nemesis)
	...

Als Quelle interpretiere ich mydomain.com. Und diese hat mit Sicherheit keinen Bezug zu PayPal.

From: =?UTF-8?B?77u/SW5rYXNzbw==?= <info@lilapayment.com>

Im From-Schlüssel des Email-Headers (Email-Kopf) stehen kryptische Zeichen und eine lesbare Emailadresse.

=?UTF-8?B?77u/SW5rYXNzbw==?=
Zuerst handelt es sich bei den Zeichen einen für Email kodierten UTF-8 Datenstrom. Dies ist notwendig, weil das Email-Format mit komplexen Zeichen, wie z.B. den chinesischen oder kyrillischen, nichts anfangen kann. Sie müssen kodiert werden damit sie transportiert werden können. Email-Programme dekodieren diesen Datenstrom wieder und im Posteingang steht dann das richtige lesbare Zeug. In meinem Fall steht da lediglich "Inkasso".

Das Encoding-Format wird weiter unten in der Email behandelt.

Content-Type: text/html; charset="UTF-8"
Content-Transfer-Encoding: 8bit

Was steht denn noch beim Email-Absender?

<info@lilapayment.com>

Interessant im Header ist aber, dass die Emailadresse von “Inkasso” info@lilapayment.com lautet. Sucht man nach dieser Domäne erhält man nichts.

> whois lilapayment.com
...
No match for "LILAPAYMENT.COM".
>>> Last update of whois database: Sun, 15 Jun 2014 08:22:19 UTC <<<

Die Betreffzeile ist genauso wie der From-Schlüssel UTF-8 kodiert, also nur im Programm lesbar:

Subject: =?UTF-8?B?QmV0cnVnc3ZlcmRhY2h0IDA5MzUtMDkyMS0xODI0LTgwNDM=?=

Der Versender der Email ist ein sehr aussageloses PHP-Script, das eine Zuordnung absolut unöglich macht:

X-Mailer: 5cee5f441427ce6e1f4db5a434abf222.php

Wie sieht es denn mit dem Quelltext des Email-Bodies (Textkörper) aus?

<html><body><img src="httq://logo.de.6.04.secure-everycheck.com/logo.php">.</head><body>

Es wird ein Logo über ein Script generiert. Dies erlaubt dem Versender unter Umständen eine Protokollierung des Email-Versands. Siehe Wikipedia:Webbug. Deshalb ist es ratsam immer auf das automatische laden der Bilder in Emails zu verzichten.

Who the f*** ist secure-everycheck.com?

> whois secure-everycheck.com

Domain Name: SECURE-EVERYCHECK.COM
Registry Domain ID:
Registrar WHOIS Server: whois.publicdomainregistry.com
Registrar URL: www.publicdomainregistry.com
Updated Date: 14-Jun-2014
Creation Date: 14-Jun-2014
...
Registrant Name: Tovias Rannetsberger
Registrant Street: Woishub 38
Registrant City: Tacherting
Registrant Postal Code: 83342
Registrant Country: DE
Registrant Email: info@alfan-gmbh.com

Wie viele verschiedene Domänen spielen bei dieser Email noch eine Rolle? Zum Schießen!

Etwas genauer hingeschaut sieht man auch, dass das HTML Format der Email verkorkst ist:

html-start, body-start, bild, head-ENDE, body-START!

Was für ein Müll!

Die Email wird in einer Tabellen-Struktur fortgesetzt, die aber keinen Inhalt hat. Sie bläht einfach nur das Postfach auf. Ich vermute dort lag einmal das Original Bild einer Standard-Email von PayPal.

<table align="center" border="0" cellpadding="0" cellspacing="0" width="100%"><tbody><tr><td></td></tr></tbody></table>

Inmitten weiterer Tabellen, die zur Strukturierung der Email dienen, finden wir weiteren unnützen HTML-Code in Form eines leeren Bildes. Vermutlich haben sich die Phisher die Arbeit gespart, die Bilder komplett zu klauen.

<img alt="" src="" border="0" height="5" width="1">

Das interessante an der Email ist aber der Link, dessen Quelle aber auch rein gar nichts mit PayPal zu tun hat:

Klicken Sie auf den nachfolgenden Link: 
<a href="httq://6.04.secure-everycheck.com/" target="_blank">Paypal Konto verifiieren</a>
Achtung! Wer den Rat befolgt und den Link klickt, der sollte gut wissen was er macht... Wir behandeln hier eine Phishing-Mail!

Schauen wir uns den Link noch mal genauer an, also eher den Registrar der Domäne. Angemeldet wurde diese Domäne von einem Tovias Rannetsberger. Dieser wird bei Google aber in Zusammenhang eines weiteren Phishing-Versuchs mit Amazon gemeldet.

Spätestens jetzt, sollten die Alarmglocken schrillen.

Doch wir suchen mehr:

Um die Glaubwürdigkeit der Email weiter zu steigern, haben die Phisher andere Links auf PayPal übrig gelassen. Hier z.B. für das offizielle Login:

<a href="httqs://www.paypal.com/de/cgi-bin/?cmd=_login-run">...

Den Abschluss bilden sogar zwei der schon oben angekündigten Webbugs. Sie haben in der Regel genügend eindeutiger Informationen, um ein Email-Opfer eindeutig wieder zu erkennen.

<img src="httqs://102.112.2O7.net/b/ss/paypalglobal/1/G.4--NS/123456?pageName=system_email_PP785" 
	alt="" border="0" height="1" width="1">

<img src="httqs://t.paypal.com/ts?ppid=&cnac=DE&rsta=de_DE&e=op&mchn=em&s=ci&mail=sys&page=main:email::::::" 
	alt="" border="0" height="1" width="1">

Während beim ersten Webbug noch eine vierte dubiose Adresse 102.112.2O7.net involviert ist, kommt der letzte Webbug - man siehe und staune - von PayPal selbst. Dieser ist allerdings um einige Informationen, wie der PPID (PayPal-ID) leichter und somit unbrauchbar.

Hier ist eindeutig manuell eingegriffen worden. Zwar kriegt PayPal mit, dass eine ein Email mit einer Referenz auf ihren Webbug geöffnet wurde, aber die Administratoren wundern sich sicherlich, dass es keine Daten zum Aufruf gibt… naja, vielleicht wundern sie sich auch nicht, denn es ist ja nicht das erste Mal, bei dem PayPal Kundschaft abgephisht wird.

Kleines Spiel gefällig?

Wer kann in der Adresse 102.112.2O7.net den Fehler erkennen? Na? Wer ganz genau hinschaut sieht, dass die Null von 102 und die Null von 2O7 sich unterscheiden! 207 ist nämlich nicht 207, sondern 2o7 mit groß geschriebenen O, wie Oh-Weia.

> whois 2o7.net
...
Domain Name: 2o7.net
Registrar URL: www.cscprotectsbrands.com
Updated Date: 2014-03-27 20:47:00 -0400
Creation Date: 2000-09-29 11:08:07 -0400
Registrar Registration Expiration Date: 2014-09-29 11:08:06 -0400
Registrar: CSC CORPORATE DOMAINS, INC.
...
Registrant Name: Domain Administrator
Registrant Organization: Adobe Systems Incorporated
Registrant Street: 345 Park Avenue
Registrant City: San Jose
Registrant Country: US
...
Tech Name: Domain Tech
Tech Organization: Adobe Systems Incorporated
Tech Street: 3900 Adobe Way
Tech City: Lehi
Tech State/Province: UT
Tech Country: US

Hm… seltsam, dass nun auch noch Adobe mitspielt bei unserem Inkasso-Betrugsversuch-PayPal-Aktivierungs-Dingsda ist.

Fazit

Sehr vielschichtige Phishing-Email, die eindeutig in den Mülleimer gehört.

Löschen! Mail -> Mülleimer -> Mülleimer leeren

15.06.2014

comments powered by Disqus

Copyright © Damian Thater, 2009-2016  -  Impressum