header:01: Received: from [195.4.92.90] (helo=mout0.freenet.de)02: by mx11.web.de with esmtp (WEB.DE 4.110 #293)03: ID: [ID filtered]04: for ... [at] ....de; Wed, 13 May 2009 xx:xx:xx +020005: Received: from [195.4.92.21] (helo=11.mx.freenet.de)06: by mout0.freenet.de with esmtpa (ID: [ID filtered]07: ID: [ID filtered]08: for .... [at] ....de; Wed, 13 May 2009 xx:xx:xx +020009: Received: from 207-250-166-48.static.twtelecom.net ([207.250.166.48]:4503)10: by 11.mx.freenet.de with esmtpsa (ID: [ID filtered]11: ID: [ID filtered]12: for .... [at] ....de; Wed, 13 May 2009 xx:xx:xx +020013: MIME-Version: 1.014: From: "Sicherheitscenter" <newsletter [at] packstation.name>15: Reply-To: newsletter [at] packstation.name16: To: .... [at] ....de17: Subject: =?iso-8859-1?Q?WARNUNG:_Best=E4tigen_Sie_ihre_Da?=18: =?iso-8859-1?Q?ten.?=19: Content-Type: text/html; charset="iso-8859-1"20: Content-Transfer-Encoding: quoted-printable21: X-Mailer: Standard22: Date: Wed, 13 May 2009 xx:xx:xx -050023: Message-ID: [ID filtered]24: Return-Path: newsletter [at] packstation.name
Sehr geehrte Damen und Herren,
wir haben im moment einige Probleme mit unserem PACKSTATION-System.
Deswegen müssen wir Sie bitten Ihren PACKSTATION-Zugang zu verifizieren.
Bitte tun Sie dies auf der unten angegebenen Seite.
Sollten Sie binnen 7 Werktagen nicht auf diese E-Mail reagieren, sehen wir uns gezwungen ihren PACKSTATION-Zugang zu sperren.
Link zur Verifizierung: whois: [Link nur für registrierte Mitglieder sichtbar. ]
Mit freundlichen Grüßen,
Leitung Sicherheit
Ulrich Joritz
DHL Vertriebs GmbH & Co. OHG
Charles-de-Gaulle-Straße 20
PLZ/Ort: 53113 Bonn
Telefon: +49 / (0) 228 / 18 20
Hoi,
toll dass ich nicht der Einzige bin mit dem Dreck an der Backe. Nur gabs bei mir das Problem, dass meine Mutter bei der Panik den Link geöffnet hat. Ist ja weiter nicht schlimm, da AntiVir eingreift. Jedoch hat sie der mail geantwortet und gefragt, warum ihre Seite nicht anzeigbar wäre (zur Info: Sie besitzt einen Packstationsaccount).
Kann durch das beantworten einer bzw. dieser Spam-Mail groß was passieren und wenn ja, was? Wie kann ich meiner geliebten Mutter den virtuellen Arsch retten?
Hier die Mail:
Lieber DHL-Kunde,
wir haben derzeit Probleme mit unserem Packstation-System.
Deswegen müssen wir Sie darum bitten, Ihre Daten bei uns zu verifizieren.
Hier geht es zur Verifizierung: whois: [Link nur für registrierte Mitglieder sichtbar. ]
Sollten Sie die Verifizierung nicht im Zeitraum von 5 Werktagen durchführen, sehen wir uns gezwungen Ihren Zugang zu sperren.
Mit freundlichen Grüßen
Leitung Sicherheit
U. J.
DHL Vertriebs GmbH & Co. OHG
Grüße
Krawo
Geändert von truelife (09.06.2009 um 12:03 Uhr) Grund: Whois, Namensnennung
Nun, ich weiß nicht, WAS deine Mutter an WELCHE Mailadresse gesandt hat.
Wenn es nicht die Daten ihrer Packstation waren, kann erstmal nichts schlimmes passieren. Die Abfrage kommt auch nicht von der DHL, sondern meist von Osteuropäischen Kriminellen, die mit gekarperten Packstation-Accounts von Hehlerware bis Medz (gefälschte Medikamente) alles mögliche verschicken - über einen Account, der offiziell einer völlig Unbeteiligten gehört.
Beispiel: Ein Dieb bricht nachts in 10 Fahrzeuge ein und klaut die Navigationssysteme. Am nächsten Tag bringt er das Paket zur Packstation und versendet es über die Login-Daten deiner Mutter z.B. in die Ukraine. Das Paket wird vom Zoll abgefangen und die Gegenstände als gestohlen verifiziert. Der Zoll schaut, von wem das Paket verschickt wurde. Und dann steht kurz danach die Polizei bei deiner Mutter... Und auf den Dieb weißt nichts hin...
"Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
"Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
smayer@public-files.de smayer@fantasymail.de
Vielen Dank für die schnelle Antwort!
Also, sie hat nur geschrieben, dass sie nicht auf den angegebenen Link (whois: [Link nur für registrierte Mitglieder sichtbar. ]) zugreifen kann und ob sie nicht einen gültigen Link bekommen könnte. Der Absender ist < [Link nur für registrierte Mitglieder sichtbar. ]>
Daten bezüglich ihres Accounts oder ähnliches hat sie nicht angegeben.
Und wenn ihr nichts passieren kann, dann kann ich sie auch erst mal beruhigen :-)
Geändert von mareike26 (09.06.2009 um 13:09 Uhr) Grund: whois
Ich würde mal vermuten, dass die Domain wegen wiederholter Beschwerden über den Mißbrauch als Phishing-Seite dazu geführt haben, dass die Seite durch den Provider vom Netz genommen wurde. So sollte es eigentlich immer sein *träum*.
Die Absender von Spam-Mails sind zu 99,99999% gefälscht. Wenn man also dem vermeintlichen Absender antwortet, trifft man mit an Sicherheit grenzender Wahrscheinlichkeit den Falschen. Um diese nicht noch weiter zu verbrennen (auch hier lesenHarvester mit), empfiehlt es sich, diese Daten zu anonymisieren. Mehr zum Thema im Wiki:
EMailHeader
Meine_Emailadresse_wurde_als_Absender_missbraucht
Schönen Gruß
Mittwoch
Goofy
______________________________
Weisheiten des Trullius L. Guficus, 80 v.Chr.:
"Luscinia, te pedem supplodere audio" - Nachtigall, ick hör dir trapsen
"Vita praediolum eculeorum non est" - Das Leben ist kein Ponyhof
"Avia mea in stabulo gallinario rotam automotam vehit" - Meine Oma fährt im Hühnerstall Motorrad
"Sed illi, dicito: me in ano lambere potest" - Jenem aber, sag es ihm: er kann mich am Arsch lecken
Leitet hinterher auch brav zur echten DHL-Seite weiter, im iframe... so bleibt oben die Spamdomain auch schön in der Adresszeile stehen:
[HTML]<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head><title>DHL| Packstation</title>
<meta name="Description" content="fgdgdsgfsdf">
<meta http-equiv="Content-Type" content="text/html;charset=ISO-8859-1">
<meta name="Keywords" content="gsdfgsdfgsdg">
<link href="http://www.dhl.de/favicon.ico" rel="SHORTCUT ICON">
<meta name="ROBOTS" content="index,follow">
<META name="LANGUAGE" content="DE,german,deutsch">
<meta name="DISTRIBUTION" content="global">
<link href="/ad/stylef.css" rel="stylesheet" type="text/css">
</head>
<body>
<table cellspacing="0" cellpadding="0" id="main">
<tr><td id="cnt"><iframe src="http://theigor.net/DB/im/" name="fid1" id="fid1" width="100%" height="100%" marginwidth="0" marginheight="0" frameborder="0"></iframe></td></tr>
</table>
<div align="center" id="bottom">
<h1><a href="dhl24.info.ms">DHL| Packstation</a></h1><br><br>
<h2><a href="http://theigor.net/DB/im/">fgdgdsgfsdf</a></h2><br><br>
</div>
</body>
<!-- FC:f -->
</html>
[/HTML]
Die Phishingseite ansich liegt also hier: whois: [Link nur für registrierte Mitglieder sichtbar. ]/DB/im/
Und schau an... GoDaddy... wieso hab' ich das geahnt...?
Klickibunti, zur Dunklen Seite dieser Weg Dich führt!
Isediatur ignoratia vestra ac stupitiatae causa!
Barbar - und stolz darauf!! ~***~ Nam et ipsa scientia potestas est!
Alariel, war doch logisch das die üblichen Verdächtigen mitspielen. Wo sonst kann man Bulletproof hosten ausser dort. Wahrscheinlich nutzt man diese Paketstationen um Dinge zu ordern und dann abzugreifen.
Also bei mir laufen die Seiten noch, - im Firefox wird zwar geblockt, im IE nicht...
habe selber keine Packstation, jedoch ca 20 mal irgendwelchen "Schund" eingegeben...(meist kraftausdrücke als Passwort), sodass die wenigstens noch ein paar mails bekommen
Lesezeichen