PayPal-Mail Phishing Attacke

[Harro]

Moin moin
janz frisch aus dem Mailfach:

"Guten Tag werter Kunde!
Bei der auszugsweisen Überprüfung Ihres Accounts sind uns außergewöhnliche Transaktionen aufgefallen. Bitte, überprüfen Sie Ihre angegebenen Daten, damit Sie Ihr Account weiter in vollem Umfang benutzen dürfen.
Wünschen Sie der Aufforderung zur Aktivierung nicht verwirklichen , sind wir leider gezwungen, Ihr Account entweder limitieren beziehungsweise zu ausschalten .
Wo liegt die Frage?
Bei Ihrer letzten Überweisung sind uns Missbrauch aufgefallen.
Bearbeitungsnummer: MS1T5 – 14V5 – S3G – 996
--------------------------------------
Was soll ich tun?
Bitte, überprüfen Sie sich über folgender Link, durch eine Bekräftigung Ihrer Personaldaten , als ständiger Kunde . Als Folge können Sie Ihr Account uneingeschränkt benutzen.
Hier klicken!
Wenn Sie Fragen haben, rufen Sie uns einfach unter 0800 723 4500 an (Mo.-Fr. 8.00 bis 21.30 Uhr und Sa.-So. 9.00 bis 19.30 Uhr. Falls Sie aus dem Ausland anrufen, wählen Sie bitte +353 1 436 9003 – entsprechende Auslandskosten können anfallen.).
Herzliche Grüße Ihr PayPal-Team

Sicherheits-Center
Bitte antworten Sie nicht auf diese E-Mail. Dieses Postfach wird nicht überwacht, deshalb werden Sie keine Antwort erhalten. Wenn Sie Hilfe benötigen, loggen Sie sich in Ihr PayPal-Konto ein, und klicken Sie oben rechts auf einer beliebigen PayPal-Seite auf den Link "Hilfe".
Wenn Sie E-Mail-Benachrichtigungen im Nur-Text- anstatt im HTML-Format erhalten möchten, aktualisieren Sie Ihre Einstellungen .
Copyright © 1999-2015 PayPal. Alle Rechte vorbehalten.
PayPal (Europe) S.à r.l. & Cie, S.C.A. Société en Commandite par Actions Sitz: 22-24 Boulevard Royal, L-2449 Luxemburg RCS Luxemburg B 118 349

PayPal E-Mail-ID PP102 – xn1160r15cc8 "

Alle Links die man anklicken kann führen dahin: "wwumis.com/wp-content/plugins/wp-db-backup-made/opeeno.php"
die Mail kommt aus:
web26.pochta.ru Position und mehr:
Hostname der IP-Adresse: web26.pochta.ru[Whois] [Reverse IP]
Hostname [?]: 185.79.118.206 [Whois] [Reverse IP]
Ländercode der IP: RU
Land der IP: ip address flag Russian Federation
Region der IP: Arkhangel'sk
Stadt der IP: Birzha
Breitengrad der IP: 62.8792
Lägengrad der IP: 40.6757
ISP dieser IP [?]: Telecom-Birzha, LLC
Organisation: Telecom-Birzha, LLC
Ortszeit in Russian Federation: 2015-05-09 14:05


und so wie ich das sehe, wenn man die Links anklickt fängt man sich einen Verschlüsselungs-Trojaner ein der die/das Festplatte/System verschlüsselt
und den/die kann man dann gegen eine kleine Summe :P wieder freischalten :B

Wie immer, die Mail sofort an PayPal weiterleiten und danach löschen, Harro :winke

[paul42]

Hallo Harro

Seit dem Internet will jeder immer nur das Beste für den User. ???

Löschen ist ja selbstverständlich.

Kennst du vielleicht auch eine seriöse und sichere Adresse wie man solche Mails an PayPal dann weiterleitet?

viele Grüße :winke
paul42

[Jürgen73]

Moin Harro,

habe mein Paypal Konto gelöscht weil ich mit den neuen Geschäftsbedingungen nicht einverstanden bin.

[Harro]

Moin moin Paul,
Wenn Sie eine Phishing-E-Mail erhalten haben:
Leiten Sie die E-Mail weiter an spoof@paypal.com
Löschen Sie die E-Mail

Grüßle v. Harro :winke

[paul42]

Hallo Harro

Danke für die schnelle Antwort und für die Adresse.

Ich habe schon öfters solche Mails erhalten, da ich aber kein PayPal mache und kein Kunde bin, war es bisher auch kein wirkliches Thema für mich.

Bisher habe ich solche Mails immer nur gelöscht, mittlerweile geht mir es so auf den Geist, dass ich es für sinnvoll erachte auch solche Versuche an die entsprechenden Stellen weiter zu leiten.

Ich finde es klasse, dass du permanent engagiert bist, um solche "krummen Dinger" immer wieder erneut detailiert zu erklären.

Dickes Dankeschön an dieser Stelle

Top Job :ap

viele Grüße
paul42

[Harro]

Moin moin zusammen,
sie werden immer raffinierter und sie arbeiten mittlerweile mit den korrekten Personendaten :hair

Siehe Screenshot (bearbeitet :P )


Zu erkennen nur an der IP Adresse des Absenders "Received: from ecrm123.com.br
IP-Adresse: 177.71.189.148
Provider: A100 Row Servicos De Dados Brasil Ltda
Region: São Paulo (BR)

und der Webadresse die sich hinter dem Loginlink verbirgt :rolleyes:

Leitet einfach die gesamte E-Mail an spoof@paypal.com weiter und löscht Sie sie anschließend.

In diesem Sinne einen schönen Sonntag, Harro :winke

PS. Nachtrag die Linkwebsite gehört laut Whois einem aus Singapore
der Name und die Adresse ist ein Fake und die Telefonummer führt nach Ungarn :P
siehe:
IP Location Singapore - Singapore - Singapore - Cloudflare Inc.
ASN Singapore AS13335 CLOUDFLARENET - CloudFlare, Inc. (registered Jul 14, 2010)
Whois Server whois.denic.de
Website
Website Title None given.

Whois Record ( last updated on 2015-05-17 )
Domain: eingaben-vertragshinweis.de
Nserver: liv.ns.cloudflare.com
Nserver: yichun.ns.cloudflare.com
Status: connect
Changed: 2015-05-16T12:45:33+02:00

[Tech-C]
Type: PERSON
Name: Stefan R.
Address: Leuchtenweg 5
PostalCode: 445214
City: Bochum
CountryCode: DE
Phone: +36.454564587878
Fax: +36.454564587878
Email:
Remarks: Created by LifeGuard at 5/16/2015 12:24:33 AM
Changed: 2015-05-16T09:24:31+02:00

[Zone-C]
Type: PERSON
Name: Stefan R.
Address: Leuchtenweg 5
PostalCode: 445214
City: Bochum
CountryCode: DE
Phone: +36.454564587878
Fax: +36.454564587878
Email:
Remarks: Created by LifeGuard at 5/16/2015 12:24:33 AM
Changed: 2015-05-16T09:24:31+02:00

Bearbeitet von Harro am 17 Mai 2015, 09:52

[Harro]

Moin moin
inzwischen warnt die Polizei vor dieser Masche:

Polizei warnt vor neuer Betrugsmasche bei Paypal

Die Schweinfurter Polizei warnt Nutzer des Online-Bezahldienstes Paypal vor einer neuen Betrugsmasche. Dabei geht es um Mails, die optisch und inhaltlich kaum von echten Paypal-Mitteilungen zu unterscheiden sind. Statt den Empfänger aber mit einem Klick auf ein gefälschtes HTML-Dokument zu locken, wird ihm eine seriös klingende Internetseite genannt, auf der er seine Daten abgleichen soll.

Auch diese Seiten sind nach Angaben der Polizei von echten Paypal-Seiten nicht zu unterscheiden. Nutzer werden in den gefälschten Paypal-Mails zuvor aufgefordert, ihre hinterlegten Stammdaten zu aktualisieren. Die Mails sind sprachlich korrekt formuliert, nennen den Nutzer beim Namen und wirken auch optisch authentisch.

Die E-Mail fordert Empfänger dazu auf, ihr Paypal-Konto auf der Seite "gesetzlicher-datenabgleich.de" zu aktualisieren. Bei dieser Seite handelt es sich um eine so professionell gemachte Seite, dass sie nicht vom Paypal-Original zu unterscheiden ist. Sie hat aber nichts mit dem Internet-Bezahldienst zu tun.

"Wir führen aktuell einen vom Gesetzgeber angeordneten Abgleich unserer Kundendaten durch", heißt es auf dieser Seite. Tatsächlich gibt es eine solche gesetzliche Neuerung aber gar nicht.

Die neuen Phishing-Mails hängen möglicherweise mit einem Hackerangriff auf den Paypal-Mutterkonzern in den USA im Frühjahr 2014 zusammen, vermutet die Polizei in einer Pressemitteilung. Dabei waren über 145 Millionen Datensätze erbeutet worden.

Schon kurz nach dem damaligen Hackerangriff kam es zu ersten gezielten Phishing-Wellen. In Deutschland versuchen die Hacker etwa mit Webseiten wie "kontoschutz-deutschland.com" und "paypal-gesetzliches-verfahren.info" bei ahnungslosen Nutzern Kasse zu machen.

Die Polizei empfiehlt Empfängern solcher Phishing-Mails, sich durch die korrekte persönliche Anrede nicht irritieren lassen und die Betrugsnachrichten sofort in den Spamordner verschieben oder löschen. Wer versehentlich die Seite geöffnet hat, soll demnach auf keinen Fall Zugangsdaten, E-Mail-Adresse oder andere sensible Informationen in das Web-Formular eintragen. Die Echtheit einer Internetseite lässt sich zum Beispiel durch das Verschlüsselungssymbol in der Adresszeile des Browsers überprüfen.

Quelle: www.mainpost.de & blog.check-and-secure.com

Bestätigung kam auch inwzwischen von Paypal, es ist eine Phishing Attacke, Harro :winke

Bearbeitet von Harro am 17 Mai 2015, 18:41

[Harro]

Moin moin zusammen,
auf ein Neues :D

Heute Morgen frisch reingekommen und gleich weitergeleitet an Paypal "spoof@paypal.com"

Man beachte Anrede ist korrekt oben die Absende-Adresse , die aber nur anscheinend, im Quelltext steht eine andere von 1&1



Grüßle v. Harro :winke