Wie soll man mit Mails umgehen, die von einem selbsternannten Inkasso kommen und folgende Begriffe beinhalten: Betrugsverdacht, Danke, dass Sie sich bei PayPal angemeldet haben, Paypal Konto verifiieren? Richtig gelesen "verifiieren".
Nach jeder Email von einem angeblichen "Inkasso" oder einer Rechnugnsstelle, zuckt man für gewöhnlich ersteinmal zusammen. So auch heute wieder.
Folgende Email landete in meinem Postfach:
To: meine-wenigkeit-hoechst-persoenlich@gmx-email-nirvana.de
From: Inkasso
Subject: Betrugsverdacht 0935-0921-1824-8043
.
Aktivieren Sie Ihr PayPal-Konto!
Guten Tag,
Danke, dass Sie sich bei PayPal angemeldet haben.
Um Ihr neues PayPal-Konto freizuschalten, bestätigen Sie jetzt bitte
einmalig Ihre E-Mail-Adresse. Danach können Sie sofort alle Funktionen
Ihres PayPal-Kontos nutzen, wie beispielsweise Zahlungen senden
oder empfangen.
So bestätigen Sie Ihre E-Mail-Adresse:
Klicken Sie auf den nachfolgenden Link: Paypal Konto verifiieren
Geben Sie auf dieser Seite dann Ihr PayPal-Passwort ein.
Bestätigen Sie jetzt Ihre E-Mail-Adresse, damit Sie beim nächsten
Einkauf mit PayPal bezahlen können.
PayPal. Überall schnell und sicher bezahlen.
- Einfach: Sie bezahlen mit zwei Klicks.
- Schnell: PayPal-Zahlungen treffen schnell beim Verkäufer ein.
- Sicher: Ihre Bankdaten sind nur bei PayPal hinterlegt.
Schützen Sie Ihr Konto
Halten Sie Ihr PayPal-Passwort geheim. Teilen Sie es niemandem mit.
Wenn Sie Fragen haben, rufen Sie uns einfach unter 0800 723 4500 an
(Mo.-Fr. 8.00 bis 21.30 Uhr und Sa.-So. 9.00 bis 19.30 Uhr. Kostenlos
aus allen deutschen Mobilfunk- und Festnetzen. Falls Sie aus dem
Ausland anrufen, wählen Sie bitte +353 1 436 9003 – entsprechende
Auslandskosten können anfallen.).
Herzliche Grüße
PayPal
Bitte antworten Sie nicht auf diese E-Mail.
Dieses Postfach wird nicht überwacht, deshalb werden Sie keine
Antwort erhalten. enn Sie Hilfe benötigen, loggen Sie sich in Ihr
PayPal-Konto ein, und klicken Sie oben rechts auf einer beliebigen
PayPal-Seite auf den Link "Hilfe".
Wenn Sie E-Mail-Benachrichtigungen im Nur-Text- anstatt im HTML-Format
erhalten möchten, aktualisieren Sie Ihre Einstellungen.
Copyright © 1999-2014 PayPal. Alle Rechte vorbehalten.
PayPal (Europe) S.à r.l. & Cie, S.C.A.
Société en Commandite par Actions
Sitz: 22-24 Boulevard Royal, L-2449 Luxemburg
RCS Luxemburg B 118 349
PayPal E-Mail-ID PP181 - 7168AB7188
Erster Eindruck
Sieht OK aus, macht den Eindruck es stamme von PayPal. Allerdings passt der Absender nicht mit dem Inhalt überein, was mich wieder auf meine normalen 70 Herzschläge pro Minute bringt.
Was ist zu fraglich?
- "Inkasso", "Betrugsverdacht" und "Aktivieren sie ihr Konto" passen nicht zusammen.
- Vorneweg ist ein "." PayPal würde sich nicht die Blöße geben, derart grobe Satzzeichenfehler zu versenden.
- "Aktivieren Sie Ihr PayPal-Konto!" Als Einleitung steht nicht etwa Hallo oder so, sondern eine Aufforderung - sehr professionell (nicht).
- "Guten Tag," Danke für den netten Empfang, ich armer Namenloser.
- "Paypal Konto verifiieren" ist nicht dein Ernst, oder? Also, wenn schon dann richtig "verifizieren" Ausserdem schreibt sich PayPal mit beiden großen P...
Ansonsten ist die Email sehr ausführlich mit Informationen des Unternehmens gespickt, das Impressum im unteren Teil scheint komplett zu sein mit Adresse, Handelsregister etc. Ein Blick in mein Archiv von PayPal Emails offenbarte, dass zumindest eine valide Email die selbe Signatur hatte (bis auf die ID selbstredend). Die Qualität des Footers ist hier also kein guter Hinweis auf einen Betrugsversuch.
Internet-Check
Öfter mal was Neues... Versucht man im Web nach den Textschnippseln "Klicken Sie auf den nachfolgenden Link" und "Paypal Konto verifiieren" (samt Tippfehler) zu suchen, erhält man Null Treffer.... OK, wir sind also auf uns allein gestellt.
Email-Details
Graben wir mal den Email Quelltext um:
Return-Path: Wagner.b@online.de
Was hat bloß, Wagner B. über online.de mit meinem PayPal Konto zu tun?
Sehr fragwürdiger Hinweis-Empfänger bei fehlgeschlagener Zustellung.
Received: from mout.kundenserver.de ([212.227.17.13]) by mx-ha.gmx.net
(mxgmx106) with ESMTPS (Nemesis) ...
Received: from mydomain.com (ns419060.ip-37-187-146.eu [37.187.146.94])
by mrelayeu.kundenserver.de (node=mreue105) with ESMTP (Nemesis)
...
Als Quelle interpretiere ich mydomain.com. Und diese hat mit Sicherheit keinen
Bezug zu PayPal.
From: =?UTF-8?B?77u/SW5rYXNzbw==?= <info@lilapayment.com>
Im From-Schlüssel des Email-Headers (Email-Kopf) stehen kryptische Zeichen und eine lesbare Emailadresse.
=?UTF-8?B?77u/SW5rYXNzbw==?=
Das Encoding-Format wird weiter unten in der Email behandelt.
Content-Type: text/html; charset="UTF-8"
Content-Transfer-Encoding: 8bit
Was steht denn noch beim Email-Absender?
<info@lilapayment.com>
Interessant im Header ist aber, dass die Emailadresse von "Inkasso"
info@lilapayment.com lautet. Sucht man nach dieser Domäne erhält man nichts.
> whois lilapayment.com
...
No match for "LILAPAYMENT.COM".
>>> Last update of whois database: Sun, 15 Jun 2014 08:22:19 UTC <<<
Die Betreffzeile ist genauso wie der From-Schlüssel UTF-8 kodiert, also nur im Programm lesbar:
Subject: =?UTF-8?B?QmV0cnVnc3ZlcmRhY2h0IDA5MzUtMDkyMS0xODI0LTgwNDM=?=
Der Versender der Email ist ein sehr aussageloses PHP-Script, das eine Zuordnung absolut unöglich macht:
X-Mailer: 5cee5f441427ce6e1f4db5a434abf222.php
Wie sieht es denn mit dem Quelltext des Email-Bodies (Textkörper) aus?
<html><body><img src="httq://logo.de.6.04.secure-everycheck.com/logo.php">.</head><body>
Es wird ein Logo über ein Script generiert. Dies erlaubt dem Versender unter Umständen eine Protokollierung des Email-Versands. Siehe Wikipedia:Webbug. Deshalb ist es ratsam immer auf das automatische laden der Bilder in Emails zu verzichten.
Who the f*** ist secure-everycheck.com?
> whois secure-everycheck.com
Domain Name: SECURE-EVERYCHECK.COM
Registry Domain ID:
Registrar WHOIS Server: whois.publicdomainregistry.com
Registrar URL: www.publicdomainregistry.com
Updated Date: 14-Jun-2014
Creation Date: 14-Jun-2014
...
Registrant Name: Tovias Rannetsberger
Registrant Street: Woishub 38
Registrant City: Tacherting
Registrant Postal Code: 83342
Registrant Country: DE
Registrant Email: info@alfan-gmbh.com
Wie viele verschiedene Domänen spielen bei dieser Email noch eine Rolle? Zum Schießen!
Etwas genauer hingeschaut sieht man auch, dass das HTML Format der Email verkorkst ist:
html-start, body-start, bild, head-ENDE, body-START!
Was für ein Müll!
Die Email wird in einer Tabellen-Struktur fortgesetzt, die aber keinen Inhalt hat. Sie bläht einfach nur das Postfach auf. Ich vermute dort lag einmal das Original Bild einer Standard-Email von PayPal.
<table align="center" border="0" cellpadding="0" cellspacing="0" width="100%"><tbody><tr><td></td></tr></tbody></table>
Inmitten weiterer Tabellen, die zur Strukturierung der Email dienen, finden wir weiteren unnützen HTML-Code in Form eines leeren Bildes. Vermutlich haben sich die Phisher die Arbeit gespart, die Bilder komplett zu klauen.
<img alt="" src="" border="0" height="5" width="1">
Das interessante an der Email ist aber der Link, dessen Quelle aber auch rein gar nichts mit PayPal zu tun hat:
Klicken Sie auf den nachfolgenden Link:
<a href="httq://6.04.secure-everycheck.com/" target="_blank">Paypal Konto verifiieren</a>
Schauen wir uns den Link noch mal genauer an, also eher den Registrar der Domäne.
Angemeldet wurde diese Domäne von einem Tovias Rannetsberger. Dieser wird bei Google
aber in Zusammenhang eines weiteren Phishing-Versuchs mit Amazon gemeldet.
Spätestens jetzt, sollten die Alarmglocken schrillen.
Doch wir suchen mehr:
Um die Glaubwürdigkeit der Email weiter zu steigern, haben die Phisher andere Links auf PayPal übrig gelassen. Hier z.B. für das offizielle Login:
<a href="httqs://www.paypal.com/de/cgi-bin/?cmd=_login-run">...
Den Abschluss bilden sogar zwei der schon oben angekündigten Webbugs. Sie haben in der Regel genügend eindeutiger Informationen, um ein Email-Opfer eindeutig wieder zu erkennen.
<img src="httqs://102.112.2O7.net/b/ss/paypalglobal/1/G.4--NS/123456?pageName=system_email_PP785"
alt="" border="0" height="1" width="1">
<img src="httqs://t.paypal.com/ts?ppid=&cnac=DE&rsta=de_DE&e=op&mchn=em&s=ci&mail=sys&page=main:email::::::"
alt="" border="0" height="1" width="1">
Während beim ersten Webbug noch eine vierte dubiose Adresse 102.112.2O7.net
involviert ist, kommt
der letzte Webbug - man siehe und staune - von PayPal selbst. Dieser ist allerdings um
einige Informationen, wie der PPID (PayPal-ID) leichter und somit unbrauchbar.
Hier ist eindeutig manuell eingegriffen worden. Zwar kriegt PayPal mit, dass eine ein Email mit einer Referenz auf ihren Webbug geöffnet wurde, aber die Administratoren wundern sich sicherlich, dass es keine Daten zum Aufruf gibt... naja, vielleicht wundern sie sich auch nicht, denn es ist ja nicht das erste Mal, bei dem PayPal Kundschaft abgephisht wird.
Kleines Spiel gefällig?
Wer kann in der Adresse 102.112.2O7.net den Fehler
erkennen? Na? Wer ganz genau hinschaut sieht, dass die Null von 102 und die Null von
2O7 sich unterscheiden! 207 ist nämlich nicht 207, sondern 2o7 mit groß
geschriebenen O, wie Oh-Weia.
> whois 2o7.net
...
Domain Name: 2o7.net
Registrar URL: www.cscprotectsbrands.com
Updated Date: 2014-03-27 20:47:00 -0400
Creation Date: 2000-09-29 11:08:07 -0400
Registrar Registration Expiration Date: 2014-09-29 11:08:06 -0400
Registrar: CSC CORPORATE DOMAINS, INC.
...
Registrant Name: Domain Administrator
Registrant Organization: Adobe Systems Incorporated
Registrant Street: 345 Park Avenue
Registrant City: San Jose
Registrant Country: US
...
Tech Name: Domain Tech
Tech Organization: Adobe Systems Incorporated
Tech Street: 3900 Adobe Way
Tech City: Lehi
Tech State/Province: UT
Tech Country: US
Hm... seltsam, dass nun auch noch Adobe mitspielt bei unserem Inkasso-Betrugsversuch-PayPal-Aktivierungs-Dingsda ist.
Fazit
Sehr vielschichtige Phishing-Email, die eindeutig in den Mülleimer gehört.