Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 15

Thema: [phishing] PayPal Security Measures

  1. #1
    Senior Mitglied Avatar von Sirius
    Registriert seit
    20.07.2005
    Ort
    Im Ausland
    Beiträge
    4.274

    Standard [phishing] PayPal Security Measures

    Hallo.
    Das Mail kam heute bei mir und ein paar anderen Leuten aus meinem Verein über unsere Vereinsadressen rein:
    ---
    From CHAOS 0 message
    MIME-Version: 1.0
    Date: Thu, 21 Apr 2005 04:02:52 +0000
    Return-path: <service@paypal.com>
    Received: from 157.143.0.96 by ; Thu, 21 Apr 2005 07:03:52 +0500
    From: "service@paypal.com" <service@paypal.com>
    Reply-To: "service@paypal.com" <service@paypal.com>
    To: #@teamstaroffice.org, #@teamstaroffice.org, #@teamstaroffice.org
    cc:
    Message-ID: <FWKBIGDYFXISLITJJRUEFSWXH@yahoo.com>
    In-Reply-To:
    References:
    Subject: PayPal Security Measures
    X-Priority: 3
    X-CHAOS-Read: yes
    X-CHAOS-Size: 6223
    Dear valued PayPal member:
    PayPal is committed to maintaining a safe environment for its community of
    buyers and sellers. To protect the security of your account, PayPal employs
    some of the most advanced security systems in the world and our anti-fraud
    teams regularly screen the PayPal system for unusual activity.
    Recently, our Account Review Team identified some unusual activity in your
    account. In accordance with PayPal`s User Agreement and to ensure that your
    account has not been compromised, access to your account was limited. Your
    account access will remain limited until this issue has been resolved. This
    is a fraud prevention measure meant to ensure that your account is not
    compromised.
    In order to secure your account and quickly restore full access, we may
    require some specific information from you for the following reason:
    We would like to ensure that your account was not accessed by an
    unauthorized third party. Because protecting the security of your account
    is our primary concern, we have limited access to sensitive PayPal account
    features. We understand that this may be an inconvenience but please
    understand that this temporary limitation is for your protection.
    Case ID Number: PP-040-187-541
    We encourage you to log in and restore full access as soon as possible.
    Should access to your account remain limited for an extended period of
    time, it may result in further limitations on the use of your account.
    However, failure to restore your records will result in account suspension.
    Please update your records as soon as possible!
    Once you have updated your account records, your PayPal session will not be
    interrupted and will continue as normal.
    To update your Paypal records click on the following link:
    https://www.paypal.com/cgi-bin/webscr?cmd=_login-run

    Thank you for your prompt attention to this matter. Please understand that
    this is a security measure meant to help protect you and your account. We
    apologize for any inconvenience.
    Sincerely,
    PayPal Account Review Department
    PayPal Email ID PP522

    Accounts Management As outlined in our User Agreement, PayPal will
    periodically send you information about site changes and enhancements.
    Visit our Privacy Policy and User Agreement if you have any questions.
    http://www.paypal.com/cgi-bin/webscr?cmd...privacy-outside
    ---
    Der erste Link führt nach Taiwan: http://221.169.247.134/.ppl/ Eine Krankenakte gibt es bislang nicht.
    Abgekippt wurde der Dreck in den USA: 157.143.0.96 - die Whois-Daten sind etwas mager (http://www.bek.com).
    PayPal ist informiert.
    Erstaunlich finde ich, dass die Phisher eine wohlsortierte Datenbank führen. Ansonsten lägen nicht die Vereinsadressen alle beieinander.
    Grüße



  2. #2
    Pöhser Purche Avatar von homer
    Registriert seit
    18.07.2005
    Ort
    Oberfranken
    Beiträge
    2.886

    Standard RE:[phishing] PayPal Security Measures

    Der erste Link führt nach Taiwan: http://221.169.247.134/.ppl/
    Lustich ist auch das Javascript, das die Statuszeile schön langsam "reinfährt". Bei der ersten Eingabe der Daten eines besonderen Freundes[TM] kommt eine Fehlermeldung, bei der zweiten Eingabe (diesmal anderes Passwort, aber sicher genauso falsch) kommt eine "Ergebnisseite". Ich hatte da doch so ein Script...

    -----BEGIN GEEK CODE BLOCK-----
    Version: 3.12
    GCM/S/IT d- s++:++ a C++>$ UL++++/A++++/C++++$ P++++>$
    L++> E+ W+ N++ !o !K w--- O M-- V-- PS+ PE Y+ PGP++ t 5
    X++ R tv b+ !DI D+++ G e++ h---- r+++ y++++
    ------END GEEK CODE BLOCK------


  3. #3
    Senior Mitglied Avatar von Sirius
    Registriert seit
    20.07.2005
    Ort
    Im Ausland
    Beiträge
    4.274

    Standard RE:[phishing] PayPal Security Measures

    Hallo.
    Ich habe ein paar Tracer-Adressen eingegeben. Wenn die wieder auftauchen, könnten sie zu den Phishern führen.

    Die erste Fehlermeldung ist eine Methode, um die eingegebenen Daten beim zweiten Versuch zu verifizieren.
    Interessant finde ich die Kommentare im Code:
    ---
    <!-- saved from url=(0041)file://C:WINDOWSDesktopprocessing2.htm -->
    <!-- saved from url=(0059)file://\C2 abaza abaza2NEW_PAYPALaccountprocessing.htm --><!-- saved from url=(0055)http://163.121.67.153/cloz/paypal/accountprocessing.htm -->
    ---
    Die Phisher scheinen in Ägypten zu sitzen und ein Win9x zu verwenden.

    BTW: PayPal muss doch längst gemerkt haben, dass ihre Grafiken anderweitig verbaut werden. Ein Blick in die Log-Dateien sollte genügen (oder per cron-Script die roten Lampen einschalten lassen). Dann eine Warnung an die Kunden absetzten, dass man die PayPal-Adresse direkt eintippen soll und fertig.
    Grüße



  4. #4
    Senior Mitglied Avatar von Sirius
    Registriert seit
    20.07.2005
    Ort
    Im Ausland
    Beiträge
    4.274

    Standard RE:[phishing] PayPal Security Measures

    Hallo.
    PayPal hat geantwortet und die Seite stillgelegt:
    ---
    Dear XXXXXX,

    Thank you for contacting PayPal.

    We appreciate you bringing this suspicious email to our attention. We
    can confirm that the email you received was not sent to you by PayPal.
    The website linked to this email is not a registered URL authorized or
    used by PayPal. We are currently investigating this incident fully.
    Please do not enter any personal or financial information into this
    website.

    If you have surrendered any personal or financial information to this
    fraudulent website, you should immediately log into your PayPal Account
    and change your password and secret question and answer information. Any
    compromised financial information should be reported to the appropriate
    parties.

    If you notice any unauthorized activity associated with your PayPal
    transaction history, please immediately report this to PayPal by
    following the instructions below:

    1. Log in to your account at https://www.paypal.com/ by entering
    your email address and password into the Member Log In box

    2. Click on Security Center at the bottom of the page

    3. Click on the `Unauthorized Transaction` link under the Report a
    Problem column

    4. Please follow the instructions in order to access the appropriate
    form
    If you have any further questions, please feel free to contact us again.

    Sincerely,
    PayPal Account Review Department
    ---
    Grüße



  5. #5
    Mitglied Avatar von trekkie
    Registriert seit
    18.07.2005
    Ort
    Im Raum Stuttgart
    Beiträge
    526

    Standard RE:[phishing] PayPal Security Measures

    PayPal hat geantwortet und die Seite stillgelegt
    Bei mir geht die Seite noch...
    Gruß
    Trekkie
    --------------------
    Herr, unsere freie Mailbox gib uns heute und erlöse uns von Viren und Spammern...


  6. #6
    Senior Mitglied Avatar von Sirius
    Registriert seit
    20.07.2005
    Ort
    Im Ausland
    Beiträge
    4.274

    Standard RE:[phishing] PayPal Security Measures

    Hallo trekkie.
    Bei mir geht die Seite noch...
    Bei mir auch ... wieder.
    Heute morgen war die Seite weg. Statt dessen kam eine englische Fehlermeldung: 404 not found...
    Wenn man jetzt eine nicht vorhandene Seite lädt, dann kommt eine deutsche! Fehlermeldung: Objekt nicht gefunden.
    Der Netzwerkname der IP 221.169.247.134 ist sw169-247-134.adsl.seed.net.tw und läßt auf eine (dynamische) DSL-Verbindung schließen. Sind da womöglich einige PC-Bastler am werkeln, die es geschafft haben, "ihre" IP zurückzuergattern. Mal sehen was die nächsten 24h bringen.
    Ich werden PayPal sicherheitshalber nochmal informieren.
    Grüße



  7. #7
    Mitglied Avatar von trekkie
    Registriert seit
    18.07.2005
    Ort
    Im Raum Stuttgart
    Beiträge
    526

    Standard RE:[phishing] PayPal Security Measures

    Möglich ist auch, daß da eine ADSL-Verbindung mit fester IP dahintersteht. Kann man vom rosa Riesen auf Wunsch auch bekommen, ist aber deutlich teurer als normales ADSL. In Anbetracht der möglichen Verdienste der Phisher aber durchaus zu erwägen...
    By way of advanced xDSL, Seednet provides a network building service---SeedBuilding. The transmission technique of xDSL uses double-wring copper telephone line to connect with high-speed networks. Subscribers can own the maximum 8M bps bandwidth independently. It is fit for family use and business at offices in a high-rise building. The installment of SeedBuilding is to place a facility in the communication room in the building, and use T1 dedicated lines to connect to Seednet`s high-speed backbone network. It provides a broadband service to consumers.
    Wäre z.B. eine Möglichkeit. Wenn ich das richtig interpretiere, stellen die wohl einen DSLAM in das Gebäude und binden den per T1-Leitung an, da könnte ich mir schon feste Adressen für die xDSL-Seite, gerade für Firmen, vorstellen. Ob die da bei den Rechnernamen dann wirklich nochmal unterscheiden...
    Seltsam ist allerdings der Sprachwechsel - könnte aber mit einem Script o.ä. zusammenhängen.
    Gruß
    Trekkie
    --------------------
    Herr, unsere freie Mailbox gib uns heute und erlöse uns von Viren und Spammern...


  8. #8
    Mitglied Avatar von trekkie
    Registriert seit
    18.07.2005
    Ort
    Im Raum Stuttgart
    Beiträge
    526

    Standard RE:[phishing] PayPal Security Measures

    Jetzt wird T-DSL Business in den Varianten asymmetrisch und symmetrisch noch besser: mit der festen IP-Adresse können Sie jetzt problemlos z. B. eigene WEB- und FTP-Server betreiben.
    T-Com-Homepage
    Nur so als Beispiel...
    Gruß
    Trekkie
    --------------------
    Herr, unsere freie Mailbox gib uns heute und erlöse uns von Viren und Spammern...


  9. #9
    Senior Mitglied Avatar von Sirius
    Registriert seit
    20.07.2005
    Ort
    Im Ausland
    Beiträge
    4.274

    Standard RE:[phishing] PayPal Security Measures

    Hallo trekkie.
    Danke für deine Hinweise.
    Ich habe jetzt mal die Seiten vom Server gezogen. Darin findet sich ein Hinweis, der nach Schweden führt. Hier scheinen sich die Phisher mit Quellcode versorgt zu haben. In der Seite 221.169.247.134/.ppl/pp.htm findet sich folgender Kommentar:
    ---
    <!-- saved from url=(0036)http://213.199.92.129/paypal/verify/ -->
    <!-- saved from url=(0059)https://www.paypal.com/cgi-bin/websc...gistration-run -->
    ---
    Das Directory-Listing vom Server (per ls):
    ---
    -rw---- 76241 Dec 16 14:30 agreement.htm
    -rw---- 10257 Dec 16 14:30 index.html
    -rw---- 8315 Dec 16 14:30 loginloading.htm
    -rw---- 13846 Dec 16 14:30 loginsubmit.htm
    -rw---- 47261 Dec 16 21:27 pp.htm
    -rw---- 5431 Dec 16 21:24 processing.htm
    images:
    -rw---- 365 Aug 05 2004 P_off_request_money.gif
    -rw---- 217 Aug 05 2004 P_off_sell.gif
    -rw---- 396 Aug 05 2004 P_off_send_money.gif
    -rw---- 234 Aug 05 2004 P_off_shop.gif
    -rw---- 294 Aug 05 2004 P_off_welcome.gif
    -rw---- 250 Aug 05 2004 bg.gif
    -rw---- 1761 Aug 05 2004 logo_cards_150x26.gif
    -rw---- 1276 Aug 05 2004 paypal_logo.gif
    -rw---- 43 Aug 05 2004 pixel.gif
    -rw---- 1817 Aug 05 2004 pp_main.js
    -rw---- 9664 Aug 05 2004 pp_styles_082102.css
    -rw---- 79 Aug 05 2004 symbol_account.gif
    -rw---- 62 Aug 05 2004 symbol_account_small.gif
    -rw---- 79 Aug 05 2004 symbol_route.gif
    -rw---- 59 Aug 05 2004 symbol_route_small.gif
    processing_files:
    -rw---- 267 Aug 05 2004 P_off_auction_tools.gif
    -rw---- 293 Aug 05 2004 P_off_merchant_tools.gif
    -rw---- 252 Aug 05 2004 P_off_my_account.gif
    -rw---- 288 Aug 05 2004 P_off_request_money.gif
    -rw---- 257 Aug 05 2004 P_off_send_money.gif
    -rw---- 250 Aug 05 2004 bg.gif
    -rw---- 696 Aug 05 2004 paypal.js
    -rw---- 902 Aug 05 2004 paypal_logo.gif
    -rw---- 148 Aug 05 2004 period_ani.gif
    -rw---- 43 Aug 05 2004 pixel.gif
    -rw---- 17778 Aug 05 2004 pp_styles_111402.css
    ---
    Danach sind die Seiten ja nicht mehr ganz neu (vom Dez. bzw. Aug.).

    Grüße


  10. #10
    Mitglied Avatar von trekkie
    Registriert seit
    18.07.2005
    Ort
    Im Raum Stuttgart
    Beiträge
    526

    Standard RE:[phishing] PayPal Security Measures

    Hab`s auch mal angeschaut. Im großen und ganzen viel geklauter Quellcode. Leider gibt das alles wenig Anhaltspunkte die zum Urheber führen.
    Man müßte an die Daten zur IP-Adresse des Servers rankommen, aber bei denen wird da wenig zu holen sein. Es müßte eine Möglichkeit gefunden werden, denen irgendwelche PayPal-Daten unterzumanipulieren, mit denen die dann abbuchen, so daß man sie über die Anmeldedaten kriegt - aber natürlich ohne Geld zu riskieren. Leider erscheint das unmöglich...
    Bleibt zu hoffen, daß PayPal korrekt reagiert...
    Oh, das ist ja interessant. Kann hier jemand Chinesisch (oder ist das japanisch, koreanisch,...?!?) Die IP ohne das /.ppl führt hier her: http://c-netmytouch.so-buy.com/front/bin/home.phtml
    So-Buy.com ist bulletproof - Registrar Tucows, IP 203.160.250.60 gehört zu Chunghwa Telecom / Taipei / Taiwan. Oder sind die Taiwanesen besser? Ich gehe mal davon aus, daß abuse bei denen ebenfalls mit verschieben nach /dev/nul gleichzusetzen ist...
    Registrant ist eine Firma (?) EC-SERVER aus Taipei / Taiwan. -> Centralops
    Leider alles in der Sprache der Reisbauern. Wäre mal interessant, was für ein Verein das ist. Wenn die nicht unter einer Decke stecken, ist vielleicht aus deren Logs was brauchbares rauszufischen...
    Gruß
    Trekkie
    --------------------
    Herr, unsere freie Mailbox gib uns heute und erlöse uns von Viren und Spammern...


Seite 1 von 2 12 LetzteLetzte

Ähnliche Themen

  1. [phishing] PayPal
    Von Maq im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 11
    Letzter Beitrag: 19.03.2005, 20:21
  2. PayPal Phishing ?
    Von rumbarumbatätärräää im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 1
    Letzter Beitrag: 19.12.2004, 00:04
  3. [PayPal] Verify And Update Your PayPal Account Information
    Von mindphlux im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 0
    Letzter Beitrag: 26.09.2004, 07:39
  4. [Phishing] Union Finance & Security Company - info@ufscompany.com
    Von Houser im Forum 1.3 419 (Nigerian Fraud Letters)
    Antworten: 2
    Letzter Beitrag: 11.06.2004, 13:59
  5. PayPal Account Security Measures
    Von Suckemdown im Forum 1.2 international
    Antworten: 0
    Letzter Beitrag: 02.10.2003, 20:39

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen