ACHTUNG Phishing Emails mit Betreff: Problem Paypal
Wieder sind Phishing-Emails im Umlauf, die auch unsere Viren- und Spam-Filter überwunden haben.
Selbst unser Intranator hat diese Emails “nur” mit einem Score von 4.1 bewertet:
X-Spam-Status: No, score=4.146 required=8 tests=[BAYES_00=-6, DKIM_ADSP_CUSTOM_MED=0.001, HASH_IX=3.5, HTML_MESSAGE=0.001, MIME_HEADER_CTYPE_ONLY=0.717, MIME_HTML_ONLY=0.723, NML_ADSP_CUSTOM_MED=0.9, NORMAL_HTTP_TO_IP=0.001, RCVD_IN_NIX_SPAM_FT=3.5, RDNS_NONE=0.793, T_FRT_CONTACT=0.01] autolearn=Intranator
Was bei mir zumindest noch nicht für eine eindeutig als Spam markierte Email reicht.
Mein Mozilla-Thunderbird zeigt zumindest folgende Warnung:
Die Emails kamen bei uns von:
Return-Path: <Paypal@yahoo.de>
Der Anfang der Phishing-Mail, die vom Spamfilter nicht erkannt wurde:
--------------------------------------------------- Anfang Phishing-Email-Auszug Sehr geehrter PayPal, Im Rahmen unserer Sicherheitsmaßnahmen prüfen wir regelmäßig alle Vorgänge im PayPal-System. Bei einer Überprüfung haben wir kürzlich ein Problem im Zusammenhang mit Ihrem Konto festgestellt. Bei einer kürzlichen Überprüfung Ihres Kontos haben wir festgestellt, dass wir zusätzliche Angaben von Ihnen benötigen, um Ihnen weiterhin sicheren Service bieten zu können. Bearbeitungsnummer: PP-430-707-222 Zu Ihrem Schutz haben wir den Zugriff auf Ihr Konto eingeschränkt, bis zusätzliche Sicherheitsmaßnahmen getroffen werden können. Wir bitten um Entschuldigung für eventuelle Unannehmlichkeiten. Loggen Sie sich in Ihr PayPal-Konto ein, um den Zugriff auf Ihr Konto innerhalb der nächsten 15 Tage vollständig wiederherzustellen. Wenn Sie innerhalb des genannten Zeitraums keine weiteren Informationen bereitstellen, müssen wir den Fall unter Umständen zu Ihrem Nachteil entscheiden. Beim Einloggen werden die Maßnahmen angegeben, mit deren Hilfe der reguläre Zustand Ihres Kontos wiederhergestellt werden kann. Wir arbeiten daran, die Sicherheit Ihres Kontos zu gewährleisten, und bedanken uns für Ihr Verständnis. Wie kann ich den Zugriff auf mein Konto wiederherstellen? Besuchen Sie die Seite Konfliktlösungen hier: --------------------------------------------------- Ende Phishing-Email-Auszug
Und dann kommt das Problem dieser Spam-Phishing-Attacke:
Der Link sieht so aus:
https://www.paypal.com/ws/cgi-bin/webscr?cmd=_login-run
Dahinter verbirgt sich aber folgende Phishing-Seite:
http://203.70.214.145/biso
Wer Glück hat und den Firefox benutzt, erhält folgende Warnung:
So sieht die originale PayPal Login sieht gerade so aus, aber wer das nicht weiß:
Wer mit dem Internet Explorer oder Safari (mit dem IPhone oder Mac) unterwegs ist sieht die gut gemachte Fälschung:
Und wer jetzt arglos seine Daten einträgt füllt folgendes Phishing-Formular aus:
und erhält als Antwort natürlich nachdem seine Daten vom PHP-Script gespeichert wurden folgende Fehlerseite:
Alle Links auf dieser Seite zeigen direkt zu paypal. Daher wird der nächste Versuch bei Paypal wahrscheinlich klappen und dann wird das arglose Opfer keinen Verdacht schöpfen, daß seine Daten inzwischen längst gespeichert wurden und womöglich die Kreditkarte bereits belastet.
ALSO ACHTUNG! Trotz Virenfilter und Spamfilter sind Sie vor solchen Emails nicht geschützt und es geht schneller als man denkt.
Der Rest der Email sieht wieder ganz normal aus:
--------------------------------------------------- Anfang Phishing-Email-Auszug Zur Überprüfung Ihres Kontos und einiger oder aller Daten, anhand derer PayPal entschieden hat, Ihren Kontozugriff einzuschränken, besuchen Sie bitte die Seite Konfliktlösungen. Wenn Sie nach Prüfung Ihrer Kontodaten weitere klärende Informationen zu Ihrem Kontozugriff benötigen, wenden Sie sich an PayPal, indem Sie das Hilfe-Center besuchen und dort auf "Kontakt" klicken. Wir bedanken uns für die rasche Erledigung dieser Angelegenheit. Haben Sie bitte Verständnis, dass dies eine Sicherheitsmaßnahme ist, die Sie und Ihr Konto schützen soll. Wir bedauern eventuelle Unannehmlichkeiten. Vielen Dank für Ihre Kooperation. Herzliche Grüße Ihr PayPal-Team - ---------------------------------------------------------------- Copyright © 1999-2010 PayPal. Alle Rechte vorbehalten. PayPal (Europe) S.à r.l. & Cie, S.C.A. Société en Commandite par Actions Eingetragener Firmensitz: 22-24 Boulevard Royal, L-2449 Luxembourg RCS Luxembourg B 118 349 PayPal-E-Mail-ID PP522 --------------------------------------------------- Ende Phishing-Email-Auszug
Sprechen Sie mit uns über Virenfilter und Spamfilter. Wir beraten Sie gerne. Unser Intranator hat die Email zwar im ersten Schritt nicht als gefährlich identifiziert, aber der eingebaute Proxy-Virenfilter hat einen Zugriff auf die Seite wirkungsvoll geblockt
Mit freundlichem Gruß aus Tübingen vom artif-orange IT-Team
Andreas Brus
Tags: firefox, Phishing, Spamfilter