Phishing von DHL-Packstation-Zugangsdaten!

[batzi]

danke [Link nur für registrierte Mitglieder sichtbar. ]

[Panther]

Betreff: WARNUNG: Bestätigen Sie ihre Daten.
Von: "Sicherheitscenter" < [Link nur für registrierte Mitglieder sichtbar. ]>
An: ....@....de
Datum: 13.05.09 20:03:32 Uhr

header:

01: Received: from [195.4.92.90] (helo=mout0.freenet.de)
02: by mx11.web.de with esmtp (WEB.DE 4.110 #293)
03: ID: [ID filtered]
04: for ... [at] ....de; Wed, 13 May 2009 xx:xx:xx +0200
05: Received: from [195.4.92.21] (helo=11.mx.freenet.de)
06: by mout0.freenet.de with esmtpa (ID: [ID filtered]
07: ID: [ID filtered]
08: for .... [at] ....de; Wed, 13 May 2009 xx:xx:xx +0200
09: Received: from 207-250-166-48.static.twtelecom.net ([207.250.166.48]:4503)
10: by 11.mx.freenet.de with esmtpsa (ID: [ID filtered]
11: ID: [ID filtered]
12: for .... [at] ....de; Wed, 13 May 2009 xx:xx:xx +0200
13: MIME-Version: 1.0
14: From: "Sicherheitscenter" <newsletter [at] packstation.name>
15: Reply-To: newsletter [at] packstation.name
16: To: .... [at] ....de
17: Subject: =?iso-8859-1?Q?WARNUNG:_Best=E4tigen_Sie_ihre_Da?=
18: =?iso-8859-1?Q?ten.?=
19: Content-Type: text/html; charset="iso-8859-1"
20: Content-Transfer-Encoding: quoted-printable
21: X-Mailer: Standard
22: Date: Wed, 13 May 2009 xx:xx:xx -0500
23: Message-ID: [ID filtered]
24: Return-Path: newsletter [at] packstation.name

Sehr geehrte Damen und Herren,

wir haben im moment einige Probleme mit unserem PACKSTATION-System.
Deswegen müssen wir Sie bitten Ihren PACKSTATION-Zugang zu verifizieren.
Bitte tun Sie dies auf der unten angegebenen Seite.

Sollten Sie binnen 7 Werktagen nicht auf diese E-Mail reagieren, sehen wir uns gezwungen ihren PACKSTATION-Zugang zu sperren.

Link zur Verifizierung: ^whois: [Link nur für registrierte Mitglieder sichtbar. ]



Mit freundlichen Grüßen,




Leitung Sicherheit
Ulrich Joritz

DHL Vertriebs GmbH & Co. OHG

Charles-de-Gaulle-Straße 20
PLZ/Ort: 53113 Bonn
Telefon: +49 / (0) 228 / 18 20

[Krawo]

Hoi,

toll dass ich nicht der Einzige bin mit dem Dreck an der Backe. Nur gabs bei mir das Problem, dass meine Mutter bei der Panik den Link geöffnet hat. Ist ja weiter nicht schlimm, da AntiVir eingreift. Jedoch hat sie der mail geantwortet und gefragt, warum ihre Seite nicht anzeigbar wäre (zur Info: Sie besitzt einen Packstationsaccount).

Kann durch das beantworten einer bzw. dieser Spam-Mail groß was passieren und wenn ja, was? Wie kann ich meiner geliebten Mutter den virtuellen Arsch retten?


Hier die Mail:

Lieber DHL-Kunde,

wir haben derzeit Probleme mit unserem Packstation-System.
Deswegen müssen wir Sie darum bitten, Ihre Daten bei uns zu verifizieren.

Hier geht es zur Verifizierung: ^whois: [Link nur für registrierte Mitglieder sichtbar. ]

Sollten Sie die Verifizierung nicht im Zeitraum von 5 Werktagen durchführen, sehen wir uns gezwungen Ihren Zugang zu sperren.


Mit freundlichen Grüßen

Leitung Sicherheit
U. J.

DHL Vertriebs GmbH & Co. OHG

Grüße

Krawo

[truelife]

Nun, ich weiß nicht, WAS deine Mutter an WELCHE Mailadresse gesandt hat.

Wenn es nicht die Daten ihrer Packstation waren, kann erstmal nichts schlimmes passieren. Die Abfrage kommt auch nicht von der DHL, sondern meist von Osteuropäischen Kriminellen, die mit gekarperten Packstation-Accounts von Hehlerware bis Medz (gefälschte Medikamente) alles mögliche verschicken - über einen Account, der offiziell einer völlig Unbeteiligten gehört.

Beispiel: Ein Dieb bricht nachts in 10 Fahrzeuge ein und klaut die Navigationssysteme. Am nächsten Tag bringt er das Paket zur Packstation und versendet es über die Login-Daten deiner Mutter z.B. in die Ukraine. Das Paket wird vom Zoll abgefangen und die Gegenstände als gestohlen verifiziert. Der Zoll schaut, von wem das Paket verschickt wurde. Und dann steht kurz danach die Polizei bei deiner Mutter... Und auf den Dieb weißt nichts hin...

[Krawo]

Vielen Dank für die schnelle Antwort!

Also, sie hat nur geschrieben, dass sie nicht auf den angegebenen Link (^whois: [Link nur für registrierte Mitglieder sichtbar. ]) zugreifen kann und ob sie nicht einen gültigen Link bekommen könnte. Der Absender ist < [Link nur für registrierte Mitglieder sichtbar. ]>
Daten bezüglich ihres Accounts oder ähnliches hat sie nicht angegeben.

Und wenn ihr nichts passieren kann, dann kann ich sie auch erst mal beruhigen :-)

[Mittwoch]

Also, sie hat nur geschrieben, dass sie nicht auf den angegebenen Link (^whois:http://dhl24.info.ms/) zugreifen kann und ob sie nicht einen gültigen Link bekommen könnte.

Ich würde mal vermuten, dass die Domain wegen wiederholter Beschwerden über den Mißbrauch als Phishing-Seite dazu geführt haben, dass die Seite durch den Provider vom Netz genommen wurde. So sollte es eigentlich immer sein *träum*.

Der Absender ist [...] anonymisiert, Grund s.u.

Die Absender von Spam-Mails sind zu 99,99999% gefälscht. Wenn man also dem vermeintlichen Absender antwortet, trifft man mit an Sicherheit grenzender Wahrscheinlichkeit den Falschen. Um diese nicht noch weiter zu verbrennen (auch hier lesen Harvester mit), empfiehlt es sich, diese Daten zu anonymisieren. Mehr zum Thema im Wiki:
EMailHeader
Meine_Emailadresse_wurde_als_Absender_missbraucht

Schönen Gruß
Mittwoch

[Goofy]

Ich würde mal vermuten, dass die Domain wegen wiederholter Beschwerden über den Mißbrauch als Phishing-Seite dazu geführt haben, dass die Seite durch den Provider vom Netz genommen wurde. So sollte es eigentlich immer sein *träum*.

Ist leider nicht der Fall. Die Phishing-Seite ist hier noch aufrufbar.

[alariel]

Leitet hinterher auch brav zur echten DHL-Seite weiter, im iframe... so bleibt oben die Spamdomain auch schön in der Adresszeile stehen:

[HTML]<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head><title>DHL| Packstation</title>
<meta name="Description" content="fgdgdsgfsdf">
<meta http-equiv="Content-Type" content="text/html;charset=ISO-8859-1">
<meta name="Keywords" content="gsdfgsdfgsdg">
<link href="http://www.dhl.de/favicon.ico" rel="SHORTCUT ICON">
<meta name="ROBOTS" content="index,follow">
<META name="LANGUAGE" content="DE,german,deutsch">
<meta name="DISTRIBUTION" content="global">
<link href="/ad/stylef.css" rel="stylesheet" type="text/css">
</head>
<body>
<table cellspacing="0" cellpadding="0" id="main">
<tr><td id="cnt"><iframe src="http://theigor.net/DB/im/" name="fid1" id="fid1" width="100%" height="100%" marginwidth="0" marginheight="0" frameborder="0"></iframe></td></tr>

</table>
<div align="center" id="bottom">
<h1><a href="dhl24.info.ms">DHL| Packstation</a></h1><br><br>
<h2><a href="http://theigor.net/DB/im/">fgdgdsgfsdf</a></h2><br><br>
</div>
</body>
<!-- FC:f -->
</html>
[/HTML]
Die Phishingseite ansich liegt also hier: ^whois: [Link nur für registrierte Mitglieder sichtbar. ]/DB/im/
Und schau an... GoDaddy... wieso hab' ich das geahnt...?

[euregio]

Alariel, war doch logisch das die üblichen Verdächtigen mitspielen. Wo sonst kann man Bulletproof hosten ausser dort. Wahrscheinlich nutzt man diese Paketstationen um Dinge zu ordern und dann abzugreifen.

[olli395]

Also bei mir laufen die Seiten noch, - im Firefox wird zwar geblockt, im IE nicht...
habe selber keine Packstation, jedoch ca 20 mal irgendwelchen "Schund" eingegeben...(meist kraftausdrücke als Passwort), sodass die wenigstens noch ein paar mails bekommen