Ebay-Phishing

[wahwah]

Kriminelle springen aktuell auf den jüngsten Datenskandal bei Ebay auf, und versenden eine recht gut gemachte Phishing-Mail mit folgendem Text:

Käuferschutz

Sehr geehrte/r Vorname Nachname ,

zur Sicherheit unserer Nutzer, insbesonders Ihres Nutzerkontos, ist es (aus Gründen des Käuferschutzes) erforderlich, dass wir Sie einer kurzen Legitimationsprüfung unterziehen.

Da es in der Vergangenheit vermehrt zu Missbrauchsfällen mit eBay-Nutzerkonten gab, möchten wir Sie darum bitten Ihre Nutzerdaten über das angehängte Formular im Anhang zu validieren.

Die Validierung erfolgt vollautomatisch und dauert nur wenige Minuten.

WICHTIG: Sollten Sie die Legitimationsprüfung innerhalb der nächsten 5 Tagen nicht durchführen, so wird Ihr eBay-Nutzerkonto vorrübergehend eingeschränkt !

Ihre Hinterlegte Anschrift bei eBay

Vorname Nachname
Straße Hausnummer
PLZ Stadt

Mit freundlichen Grüßen,
eBay Kundenservice
Abt. Kontosicherheit



Klicken Sie auf die im E-Mail-Anhang angehängte Datei und klicken dann auf "Öffnen mit".

Tragen Sie Ihre Daten vollständig wie angegeben ein.

Sobald Ihre Daten Positiv überprüft worden sind, werden Sie zu unserer Startseite weitergeleitet.

Im Anhang befindet sich eine Datei "formular.html", welche ausgeführt und ausgefüllt werden soll. Dieses auf gar keinen Fall durchführen!

Einziger Zweck ist an persönliche und aktuelle Kreditkartendaten zu kommen!

Die im Anschreiben verwendeten Adressdaten sind großteils erstaunlich aktuell!

Diese Mail wurde in den vergangenen Monaten schon öfters versendet

Mail und das Phishing Formular als Screenshut:

[Link nur für registrierte Mitglieder sichtbar. ]

[Link nur für registrierte Mitglieder sichtbar. ]

header:

01:  Return-Path: kaeuferschutz [at] ebay.de
02: Received: from mail.fhd.de ([91.221.204.220]) by mx-ha.gmx.net (mxgmx106) with
03: 	ESMTP (Nemesis) ID: [ID filtered]
04: Received: from [100.74.58.62] ([191.235.213.88]) (authenticated bits=0)
05: 	by mail.fhd.de (8.14.3/8.14.3/Debian-9.4) with ESMTP ID: [ID filtered]
06: Message-ID: [ID filtered]
07: Mime-Version: 1.0
08: From: eBay <kaeuferschutz [at] ebay.de>
09: To: "schnipp"
10: Subject: =?iso-8859-1?Q?eBay_-_"schnapp"..._K=E4uferschutz_!?=
11: Date: Fri, 23 May 2014 xx:xx:xx GMT

[truelife]

Das liegt daran, dass bei Ebay 135 Millionen Kundendatensätze gestohlen wurden.

[wahwah]

Richtig!

Diese Phishingmail schlug allerdings auf einer nicht bei Ebay hinterlegten Mailadresse auf.

Mit korrekt geschriebenen Namen und aktueller Adresse.

[wahwah]

Der nächste Versuch aufgrund des Ebay Datenskandals ahnungslose und verunsicherte User auf eine Phishingseite zu locken,

um dort an persönliche Daten und Kreditkartendaten zu gelangen!

Diesmal allerdings ohne Namens- und Adressnennung.

Firefox blockt den enthaltenen Link automatisch als Betrugsversuch.

Gestern erst registriert -> China

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

Verifikation erforderlich!

Sehr geehrte Damen & Herren,

in letzter Zeit haben sich die Missbräuche von Benutzernamen auf eBay gehäuft. Aus diesem Grund ist es erforderlich, dass Sie sich verifizieren. Sollten Sie dieser Verifikation nicht nachgehen, können wir eine Sperrung von Ihrem Benutzernamen Ihrer Sicherheit zuliebe nicht ausschließen.

Warum ist diese Verifikation erforderlich?

Diese Verifikation dient zu Ihrer eigenen Sicherheit. Denn nur so können wir sicher gehen, dass Sie der rechtsmäßige Eigentümer von diesem Benutzernamen sind! So sind Missbräuche durch Dritte komplett ausgeschlossen.

Die Sicherheit von unseren Mitgliedern steht an erster Stufe! Wir bitten Sie daher um Verständnis.

header:

01:  Return-Path: test [at] andreasbuchholz.de
02: Received: from andreasbuchholz.de ([87.230.35.193]) by mx-ha.gmx.net (mxgmx105)
03: 	with ESMTPS (Nemesis) ID: [ID filtered]
04: Received: from ca189.calcit.fastwebserver.de ([146.0.42.58]) by
05: 	andreasbuchholz.de with esmtpa (Exim 4.63) (envelope-from <test [at] andreasbuchholz.de>)
06: 	ID: [ID filtered]
07: Message-ID: [ID filtered]
08: Mime-Version: 1.0
09: From: eBay Support <test [at] andreasbuchholz.de>
10: To: *snapp*
11: Subject: Verifizieren Sie Ihren Ebay-Account
12: Date: Sat, 24 May 2014 xx:xx:xx +0200

[RATM1]

Gestern erst registriert -> China

Direkt weiter an spoof[at]eBay.de

Umso schneller ist die wieder down.... (falls die im Moment zeit haben, wegen den Ermittlungen gegen sie )

RATM

[Frechdachs]

Das sind wohl Trittbrettfahrer.

Gruß Frechdachs

[Mittwoch]

Der nächste Versuch aufgrund des Ebay Datenskandals ahnungslose und verunsicherte User auf eine Phishingseite zu locken, […]

Ich habe einen nahezu identischen Text Paypal-Phishing erhalten, verlinkt wird allerdings ^whois:http://www.paypalid39481.com/, was von FF (noch) nicht als Betrugsversuch gemeldet wird (ich jedenfalls habe eine Meldung abgesetzt).

Meine Mail wurde über die IP ^whois:148.251.246.23 und ein vertrauenswürdiges Zwischenrelais bei Web.de abgeliefert; das ist eine Hetnzer-IP. Deine Mail kam von ^whois:146.0.42.58, welche zu myLoc managed IT AG gehört. Bei mir steht als Absender test [at] ^whois:beauty-and-kids.de, bei Dir test [at] ^whois:andreasbuchholz.de. Die gehören zwar nicht zu Hetzner bzw. myLoc, sind aber immerhin auch in Deutschland gehostet. Kann es sein, dass hier im großen Stil deutsche Winzig-Domains geknackt wurden?

Schönen Gruß
Mittwoch

[RATM1]

Da ist ja jemand aufgewacht... 25.05.2014 - 16:33 Uhr

WICHTIG: PASSWORTÄNDERUNG

Liebes eBay-Mitglied,

Um sicherzustellen, dass unsere Kunden bei eBay auch weiterhin sicher und mit vollem Vertrauen kaufen und verkaufen können, bitte ich alle eBay-Nutzer, ihr Passwort zu ändern.

Der Grund ist folgender: Wir haben vor Kurzem festgestellt, dass unser Firmennetzwerk Ziel einer Cyber-Attacke geworden ist. Dabei wurde auf eine Datenbank mit Passwörtern von eBay-Nutzern zugegriffen.

Was Sie wissen sollten: Es gibt keine Anzeichen dafür, dass auf Ihre Zahlungsinformationen zugegriffen wurde oder die Sicherheit dieser durch die Attacke in irgendeiner Weise beeinträchtigt wurde. Und Ihr Passwort war verschlüsselt.

Bitte tun Sie Folgendes:
Gehen Sie zu eBay und ändern Sie Ihr Passwort. Wenn Sie Ihr Passwort am oder nach dem 21. Mai geändert haben, sind keine weiteren Schritte notwendig.

Mir ist bewusst, dass es für Sie zusätzlichen Aufwand bedeutet, Ihr Passwort zu ändern. Wir tun alles in unserer Macht stehende, um Ihre Daten zu schützen, und das Ändern Ihres Passworts ist eine weitere Vorsichtsmaßnahme - zusätzlich zu den anderen Sicherheitsvorkehrungen, die wir implementiert haben.

Wenn Sie eBay bisher nur als Gast genutzt haben, wurde kein Passwort hinterlegt.

Sollten Sie das Passwort, das Sie bei eBay verwenden, auch für andere Websites nutzen, so ändern Sie es unbedingt auch dort. Und für PayPal-Nutzer gilt: Es gibt keine Anzeichen dafür, dass Ihr PayPal-Konto oder Ihre PayPal-Zahlungsinformationen betroffen sind, da diese bei PayPal sicher in einem separaten System verschlüsselt gespeichert werden.

Darüber hinaus machen wir Folgendes:

Für den Fall einer nicht autorisierten Aktivität in Zusammenhang mit Ihrem eBay-Konto greifen nach wie vor unsere starken Schutzmaßnahmen für Käufer und Verkäufer.
Wir implementieren zusätzliche Sicherheitsmaßnahmen für den Schutz unserer Kunden.
Wir arbeiten mit den zuständigen Strafverfolgungsbehörden und mit führenden Sicherheitsexperten zusammen, um diesen Vorfall aufzuklären.


Was wir wissen: Die Attacke ereignete sich zwischen Ende Februar und Anfang März und hatte zur Folge, dass unrechtmäßig auf eine Datenbank mit eBay-Nutzerinformationen zugegriffen wurde – einschließlich Kundennamen, verschlüsselter Passwörter, E-Mail-Adressen, Postadressen, Telefonnummern und Geburtsdaten.

Die Datei enthielt aber keine Zahlungsinformationen, und nach intensiver Untersuchung und Analyse unserer Datenbanken haben wir keinen Nachweis dafür gefunden, dass Bank- oder Kreditkartendaten unserer Nutzer betroffen sind. Wir konnten auf unserer Website auch keinerlei Anzeichen für eine Zunahme von Betrugsfällen oder die Entschlüsselung von Passwörtern feststellen.

Uns ist bewusst, dass diese Situation für Sie irritierend sein kann und einen zusätzlichen Aufwand bedeutet. Dies bedauern wir sehr. Für eBay als weltweiten Marktplatz ist nichts wichtiger als die Sicherheit und das Vertrauen unserer Kunden. Unsere Kunden haben hohe Erwartungen an uns. Dieser Verantwortung stellen wir uns, indem wir Ihnen eine sichere Handelsplattform bieten, egal über welches Gerät Sie eBay nutzen.

header:

01:  Return-Path: e3-1488215323626-359b20II48a5f3II3 [at] reply.ebay.de
02: Received: from e3pmta206.emarsys.net ([91.194.249.206]) by mx-ha.web.de
03: 	(mxweb105) with ESMTP (Nemesis) ID: [ID filtered]

RATM

[RATM1]

Bankdaten im Visier

Erste Phishing-Mails nach eBay-Hack im Umlauf

Quelle: [Link nur für registrierte Mitglieder sichtbar. ]

RATM

[carsten.gentsch]

Eben per EMail aufgeschlagen,
Der Support von Evanzo stellt sich querr und möchte alles per Email am Telefon kann man da nichts tun. Speicherhosting ist nur per 0180er zu erreichen .
Deshalb weiter machen und was für das Ranking tun ;(

http://service-shopping123.de/support/problem/ebay-service=ref=12/verify.php

^whois: [Link nur für registrierte Mitglieder sichtbar. ] [Link nur für registrierte Mitglieder sichtbar. ]
Gesendet via gekrackter Webseite

header:

01:  Return-Path: abgleich [at] ebay.de
02: Received: from mail.elektromak.info ([31.7.33.3]) by mx-ha.web.de (mxweb007)
03: 	with ESMTP (Nemesis) ID: [ID filtered]
04: Received: from localhost (localhost [127.0.0.1]) by mail.elektromak.info 

Ja dumstellen soll oftmals helfen ich staune immer wider wie mans ich das heute nochleisten kann als Provider.