PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [phishing] PayPal Security Measures



Sirius
20.04.2005, 09:19
Hallo.
Das Mail kam heute bei mir und ein paar anderen Leuten aus meinem Verein über unsere Vereinsadressen rein:
---
From CHAOS 0 message
MIME-Version: 1.0
Date: Thu, 21 Apr 2005 xx:xx:xx +0000
Return-path: <service [at] paypal.com>
Received: from 157.143.0.96 by ; Thu, 21 Apr 2005 xx:xx:xx +0500
From: "service [at] paypal.com" <service [at] paypal.com>
Reply-To: "service [at] paypal.com" <service [at] paypal.com>
To: #@teamstaroffice.org, #@teamstaroffice.org, #@teamstaroffice.org
cc:
Message-ID: [ID filtered]
In-Reply-To:
References:
Subject: PayPal Security Measures
X-Priority: 3
X-CHAOS-Read: yes
X-CHAOS-Size: 6223
Dear valued PayPal member:
PayPal is committed to maintaining a safe environment for its community of
buyers and sellers. To protect the security of your account, PayPal employs
some of the most advanced security systems in the world and our anti-fraud
teams regularly screen the PayPal system for unusual activity.
Recently, our Account Review Team identified some unusual activity in your
account. In accordance with PayPal`s User Agreement and to ensure that your
account has not been compromised, access to your account was limited. Your
account access will remain limited until this issue has been resolved. This
is a fraud prevention measure meant to ensure that your account is not
compromised.
In order to secure your account and quickly restore full access, we may
require some specific information from you for the following reason:
We would like to ensure that your account was not accessed by an
unauthorized third party. Because protecting the security of your account
is our primary concern, we have limited access to sensitive PayPal account
features. We understand that this may be an inconvenience but please
understand that this temporary limitation is for your protection.
Case ID: [ID filtered]
We encourage you to log in and restore full access as soon as possible.
Should access to your account remain limited for an extended period of
time, it may result in further limitations on the use of your account.
However, failure to restore your records will result in account suspension.
Please update your records as soon as possible!
Once you have updated your account records, your PayPal session will not be
interrupted and will continue as normal.
To update your Paypal records click on the following link:
https://www.paypal.com/cgi-bin/webscr?cmd=_login-run (http://221.169.247.134/.ppl/)

Thank you for your prompt attention to this matter. Please understand that
this is a security measure meant to help protect you and your account. We
apologize for any inconvenience.
Sincerely,
PayPal Account Review Department
PayPal Email ID: [ID filtered]

Accounts Management As outlined in our User Agreement, PayPal will
periodically send you information about site changes and enhancements.
Visit our Privacy Policy and User Agreement if you have any questions.
http://www.paypal.com/cgi-bin/webscr?cmd...privacy-outside (http://www.paypal.com/cgi-bin/webscr?cmd=p/gen/ua/policy_privacy-outside)
---
Der erste Link führt nach Taiwan: http://221.169.247.134/.ppl/ Eine Krankenakte gibt es bislang nicht.
Abgekippt wurde der Dreck in den USA: 157.143.0.96 - die Whois-Daten sind etwas mager (http://www.bek.com).
PayPal ist informiert.
Erstaunlich finde ich, dass die Phisher eine wohlsortierte Datenbank führen. Ansonsten lägen nicht die Vereinsadressen alle beieinander.
Grüße

homer
20.04.2005, 09:57
Der erste Link führt nach Taiwan: http://221.169.247.134/.ppl/
Lustich ist auch das Javascript, das die Statuszeile schön langsam "reinfährt". Bei der ersten Eingabe der Daten eines besonderen Freundes[TM] kommt eine Fehlermeldung, bei der zweiten Eingabe (diesmal anderes Passwort, aber sicher genauso falsch) kommt eine "Ergebnisseite". Ich hatte da doch so ein Script... http://img.homepagemodules.de/devil.gif

-----BEGIN GEEK CODE BLOCK-----
Version: 3.12
GCM/S/IT d- s++:++ a C++>$ UL++++/A++++/C++++$ P++++>$
L++> E+ W+ N++ !o !K w--- O M-- V-- PS+ PE Y+ PGP++ t 5
X++ R tv b+ !DI D+++ G e++ h---- r+++ y++++
------END GEEK CODE BLOCK------

Sirius
20.04.2005, 11:04
Hallo.
Ich habe ein paar Tracer-Adressen eingegeben. Wenn die wieder auftauchen, könnten sie zu den Phishern führen.

Die erste Fehlermeldung ist eine Methode, um die eingegebenen Daten beim zweiten Versuch zu verifizieren.
Interessant finde ich die Kommentare im Code:
---
<!-- saved from url=(0041)file://C:WINDOWSDesktopprocessing2.htm -->
<!-- saved from url=(0059)file://\C2 abaza abaza2NEW_PAYPALaccountprocessing.htm --><!-- saved from url=(0055)http://163.121.67.153/cloz/paypal/accountprocessing.htm -->
---
Die Phisher scheinen in Ägypten zu sitzen und ein Win9x zu verwenden.

BTW: PayPal muss doch längst gemerkt haben, dass ihre Grafiken anderweitig verbaut werden. Ein Blick in die Log-Dateien sollte genügen (oder per cron-Script die roten Lampen einschalten lassen). Dann eine Warnung an die Kunden absetzten, dass man die PayPal-Adresse direkt eintippen soll und fertig.
Grüße

Sirius
21.04.2005, 09:37
Hallo.
PayPal hat geantwortet und die Seite stillgelegt:
---
Dear XXXXXX,

Thank you for contacting PayPal.

We appreciate you bringing this suspicious email to our attention. We
can confirm that the email you received was not sent to you by PayPal.
The website linked to this email is not a registered URL authorized or
used by PayPal. We are currently investigating this incident fully.
Please do not enter any personal or financial information into this
website.

If you have surrendered any personal or financial information to this
fraudulent website, you should immediately log into your PayPal Account
and change your password and secret question and answer information. Any
compromised financial information should be reported to the appropriate
parties.

If you notice any unauthorized activity associated with your PayPal
transaction history, please immediately report this to PayPal by
following the instructions below:

1. Log in to your account at https://www.paypal.com/ by entering
your email address and password into the Member Log In box

2. Click on Security Center at the bottom of the page

3. Click on the `Unauthorized Transaction` link under the Report a
Problem column

4. Please follow the instructions in order to access the appropriate
form
If you have any further questions, please feel free to contact us again.

Sincerely,
PayPal Account Review Department
---
Grüße

trekkie
21.04.2005, 15:58
PayPal hat geantwortet und die Seite stillgelegt
Bei mir geht die Seite noch... http://img.homepagemodules.de/shocked.gifhttp://img.homepagemodules.de/mad.gif
Gruß
Trekkie
--------------------
Herr, unsere freie Mailbox gib uns heute und erlöse uns von Viren und Spammern...

Sirius
21.04.2005, 16:27
Hallo trekkie.

Bei mir geht die Seite noch... Bei mir auch ... wieder.
Heute morgen war die Seite weg. Statt dessen kam eine englische Fehlermeldung: 404 not found...
Wenn man jetzt eine nicht vorhandene Seite lädt, dann kommt eine deutsche! Fehlermeldung: Objekt nicht gefunden.
Der Netzwerkname der IP 221.169.247.134 ist sw169-247-134.adsl.seed.net.tw und läßt auf eine (dynamische) DSL-Verbindung schließen. Sind da womöglich einige PC-Bastler am werkeln, die es geschafft haben, "ihre" IP zurückzuergattern. Mal sehen was die nächsten 24h bringen.
Ich werden PayPal sicherheitshalber nochmal informieren.
Grüße

trekkie
21.04.2005, 17:06
Möglich ist auch, daß da eine ADSL-Verbindung mit fester IP dahintersteht. Kann man vom rosa Riesen auf Wunsch auch bekommen, ist aber deutlich teurer als normales ADSL. In Anbetracht der möglichen Verdienste der Phisher aber durchaus zu erwägen...

By way of advanced xDSL, Seednet provides a network building service---SeedBuilding. The transmission technique of xDSL uses double-wring copper telephone line to connect with high-speed networks. Subscribers can own the maximum 8M bps bandwidth independently. It is fit for family use and business at offices in a high-rise building. The installment of SeedBuilding is to place a facility in the communication room in the building, and use T1 dedicated lines to connect to Seednet`s high-speed backbone network. It provides a broadband service to consumers.
Wäre z.B. eine Möglichkeit. Wenn ich das richtig interpretiere, stellen die wohl einen DSLAM in das Gebäude und binden den per T1-Leitung an, da könnte ich mir schon feste Adressen für die xDSL-Seite, gerade für Firmen, vorstellen. Ob die da bei den Rechnernamen dann wirklich nochmal unterscheiden...
Seltsam ist allerdings der Sprachwechsel - könnte aber mit einem Script o.ä. zusammenhängen.
Gruß
Trekkie
--------------------
Herr, unsere freie Mailbox gib uns heute und erlöse uns von Viren und Spammern...

trekkie
21.04.2005, 17:10
Jetzt wird T-DSL Business in den Varianten asymmetrisch und symmetrisch noch besser: mit der festen IP-Adresse können Sie jetzt problemlos z. B. eigene WEB- und FTP-Server betreiben.
T-Com-Homepage (http://www.t-com.de/is-bin/INTERSHOP.enfinity/WFS/GK/de_DE/-/EUR/ViewProductInformation-Start;sid=Ipkflg2QLhLDW0_5MGoVDiyZ3domRN-uT82DKbpgAPUvzA==?CatalogCategoryID=wYsKmCI0_1EAAAEApOiumphC&ProductRef=0306151000002 [at] GK)
Nur so als Beispiel...
Gruß
Trekkie
--------------------
Herr, unsere freie Mailbox gib uns heute und erlöse uns von Viren und Spammern...

Sirius
21.04.2005, 17:52
Hallo trekkie.
Danke für deine Hinweise.
Ich habe jetzt mal die Seiten vom Server gezogen. Darin findet sich ein Hinweis, der nach Schweden führt. Hier scheinen sich die Phisher mit Quellcode versorgt zu haben. In der Seite 221.169.247.134/.ppl/pp.htm findet sich folgender Kommentar:
---
<!-- saved from url=(0036)http://213.199.92.129/paypal/verify/ -->
<!-- saved from url=(0059)https://www.paypal.com/cgi-bin/webscr?cmd=_registration-run -->
---
Das Directory-Listing vom Server (per ls):
---
-rw---- 76241 Dec 16 14:30 agreement.htm
-rw---- 10257 Dec 16 14:30 index.html
-rw---- 8315 Dec 16 14:30 loginloading.htm
-rw---- 13846 Dec 16 14:30 loginsubmit.htm
-rw---- 47261 Dec 16 21:27 pp.htm
-rw---- 5431 Dec 16 21:24 processing.htm
images:
-rw---- 365 Aug 05 2004 P_off_request_money.gif
-rw---- 217 Aug 05 2004 P_off_sell.gif
-rw---- 396 Aug 05 2004 P_off_send_money.gif
-rw---- 234 Aug 05 2004 P_off_shop.gif
-rw---- 294 Aug 05 2004 P_off_welcome.gif
-rw---- 250 Aug 05 2004 bg.gif
-rw---- 1761 Aug 05 2004 logo_cards_150x26.gif
-rw---- 1276 Aug 05 2004 paypal_logo.gif
-rw---- 43 Aug 05 2004 pixel.gif
-rw---- 1817 Aug 05 2004 pp_main.js
-rw---- 9664 Aug 05 2004 pp_styles_082102.css
-rw---- 79 Aug 05 2004 symbol_account.gif
-rw---- 62 Aug 05 2004 symbol_account_small.gif
-rw---- 79 Aug 05 2004 symbol_route.gif
-rw---- 59 Aug 05 2004 symbol_route_small.gif
processing_files:
-rw---- 267 Aug 05 2004 P_off_auction_tools.gif
-rw---- 293 Aug 05 2004 P_off_merchant_tools.gif
-rw---- 252 Aug 05 2004 P_off_my_account.gif
-rw---- 288 Aug 05 2004 P_off_request_money.gif
-rw---- 257 Aug 05 2004 P_off_send_money.gif
-rw---- 250 Aug 05 2004 bg.gif
-rw---- 696 Aug 05 2004 paypal.js
-rw---- 902 Aug 05 2004 paypal_logo.gif
-rw---- 148 Aug 05 2004 period_ani.gif
-rw---- 43 Aug 05 2004 pixel.gif
-rw---- 17778 Aug 05 2004 pp_styles_111402.css
---
Danach sind die Seiten ja nicht mehr ganz neu (vom Dez. bzw. Aug.).

Grüße

trekkie
21.04.2005, 23:30
Hab`s auch mal angeschaut. Im großen und ganzen viel geklauter Quellcode. Leider gibt das alles wenig Anhaltspunkte die zum Urheber führen.
Man müßte an die Daten zur IP-Adresse des Servers rankommen, aber bei denen wird da wenig zu holen sein. Es müßte eine Möglichkeit gefunden werden, denen irgendwelche PayPal-Daten unterzumanipulieren, mit denen die dann abbuchen, so daß man sie über die Anmeldedaten kriegt - aber natürlich ohne Geld zu riskieren. Leider erscheint das unmöglich... http://img.homepagemodules.de/hmm.gif
Bleibt zu hoffen, daß PayPal korrekt reagiert... http://img.homepagemodules.de/crazy.gif
Oh, das ist ja interessant. Kann hier jemand Chinesisch (oder ist das japanisch, koreanisch,...?!?) Die IP ohne das /.ppl führt hier her: http://c-netmytouch.so-buy.com/front/bin/home.phtml
So-Buy.com ist bulletproof - Registrar Tucows, IP 203.160.250.60 gehört zu Chunghwa Telecom / Taipei / Taiwan. Oder sind die Taiwanesen besser? Ich gehe mal davon aus, daß abuse bei denen ebenfalls mit verschieben nach /dev/nul gleichzusetzen ist... http://img.homepagemodules.de/rolling_eyes.gif
Registrant ist eine Firma (?) EC-SERVER aus Taipei / Taiwan. -> Centralops (http://centralops.net/co/DomainDossier.aspx?addr=so-buy.com&dom_dns=true&dom_whois=true&net_whois=true&svc_scan=true&traceroute=true&go1=Submit)
Leider alles in der Sprache der Reisbauern. Wäre mal interessant, was für ein Verein das ist. Wenn die nicht unter einer Decke stecken, ist vielleicht aus deren Logs was brauchbares rauszufischen...
Gruß
Trekkie
--------------------
Herr, unsere freie Mailbox gib uns heute und erlöse uns von Viren und Spammern...

Sirius
24.04.2005, 19:39
Hallo.
Ich habe eben mal wieder nachgesehen - die Seite (http://221.169.247.134/.ppl/) ist tot.http://img.homepagemodules.de/death.gif
[Nachtrag] Ich muss mich leider revidieren, die Seite ist wieder da :-(
BTW: Die deutsche Fehlermeldung: "Objekt nicht gefunden" ist von der Spracheinstellung des Browser abhängig.
Grüße

trekkie
24.04.2005, 20:07
Diese Jungs scheinen ganz schön resistent gegen Angriffe zu sein. http://img.homepagemodules.de/mad.gif
Hat PayPal sich nochmal gemeldet?
Die ab und an verschwindende Seite könnte auf Zwangstrennung für den Einwahlzugang hindeuten.
Gruß
Trekkie
--------------------
Herr, unsere freie Mailbox gib uns heute und erlöse uns von Viren und Spammern...

Sirius
25.04.2005, 08:07
Hallo.
PayPal hat mir denselben Text nochmal gemailt. Das scheint eine Standardantwort zu sein.

Die ab und an verschwindende Seite könnte auf Zwangstrennung für den Einwahlzugang hindeuten. Wäre möglich. Stutzig macht mich, dass die IP immer aktiv ist (Server: Apache/2.0.40 - Red Hat Linux). Nur die Seite fehlt zu gewissen Zeiten (eben fehlt sie z.B.). Ist es derselbe Server? Kann es sein, dass statt eines Timeouts (weil Server nicht erreichbar) auf einen Master-Server umgeschaltet wird?
Ein Portscan des Rechners ergibt:
---
Port State Service
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
80/tcp open http
110/tcp open pop-3
111/tcp open sunrpc
443/tcp open https
6000/tcp open X11---
Die Mail-Dienste sprechen eher dafür, dass der Rechner permanent am Netz hängt. Vielleicht manipuliert ein User darauf herum. Oder die Seite wird nur zu bestimmten Zeiten oder für bestimmte Client-IPs angezeigt?
Grüße

Motte
30.05.2005, 21:25
Das hier ist heute frisch bei mir aufgeschlagen. Dürfte wohl in diesen Thread passen...
Der Link führt zu http://202.143.165.163/www.paypal.com/index.php .
Gruß
Motte

Return-Path: <security [at] paypal.com>
Original-Recipient: rfc822;+++++++++++@hansenet.de
Received: from [82.77.81.45] (82.77.81.45) by webmail.hansenet.de (7.2.059) ID: [ID filtered]
Received: from 156.56.79.254 by ; Mon, 30 May 2005 xx:xx:xx -0300
Message-ID: [ID filtered]
Von: "PayPal Security Department" <security [at] paypal.com>
Antwort an: "PayPal Security Department" <security [at] paypal.com>
An: +++++++++++@hansenet.de
Betreff: Fraud Prevention Measures
Datum: Mon, 30 May 2005 xx:xx:xx +0200
X-Mailer: Microsoft Outlook Express 5.00.2919.6700
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="--5771399622638802"
X-Priority: 3
X-MSMail-Priority: Normal

Fraud Alert ID: [ID filtered]
You have recieve this email because you or someone had tried to used your paypal account at http://www.springbok-computers.co.uk/. Below is the detail about the transaction made:
Transaction site : http://www.springbok-computers.co.uk/
Order ID: [ID filtered]
Amount : $850
Date : Fri, 19 Dec 2003 xx:xx:xx +1100
To confirm or decline this transaction, please follow the link provide below. Please save the fraud alert ID: [ID filtered]
http://www.paypal.com/fraud?_alert_id=paypal&user=0026654 Your account will be block after 2 days you recieve this email if we didnt get comfirmation from you. Do not reply as this is a notification only.

Thanks for using PayPal!Copyright&copy; 2005 PayPal Inc. All rights reserved. Designated trademarks and brands are the property of their respective owners.

webeinspunktnull
11.08.2005, 00:05
Return-Path: <services [at] paypal.com>
Delivery-Date: Wed, 10 Aug 2005 xx:xx:xx +0200
Received: from [219.97.141.162] (helo=nttcgi013162.tcgi.nt.adsl.ppp.infoweb.ne.jp)
by mxeu5.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Message-ID: [ID filtered]
From: =?iso-8859-1?B?c2VydmljZXNAcGF5cGFsLmNvbQ==?= <services [at] paypal.com>
To:
Subject: Protect Your PayPal Account
Date: Wed, 10 Aug 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0000_CF4C8A08.99812EDC"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Envelope-To:

This is a multi-part message in MIME format.

------=_NextPart_000_0000_CF4C8A08.99812EDC
Content-Type: multipart/alternative;
boundary="----=_NextPart_001_0001_E86505BA.1D2D65A0"


------=_NextPart_001_0001_E86505BA.1D2D65A0
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: 7bit


[Image "PayPal" ignored] [links to paypal.com]
[Image ignored]
[Image ignored]


Dear PayPal Customer,

During our regular update and verification of the accounts, we couldn't verify your current information.

Either your information has changed or it is incomplete. If the account information is not updated to current information within 5 days then, your account will be set on hold.
#rw[10]#
Log in to your account by clicking on this link:
.paypal.com/aw-cgi/webscr/cmd=_login-run [links to updatespaypal.com/aw-cgi/webscr/cmd=_login-run/login.html]
After you logged in, update and verify your information please.

Thank you for your patience as we work together to protect your account,
#rw[10]#
The PayPal Team
[Image ignored]

Please do not reply to this e-mail. Mail sent to this address cannot be answered. For assistance, log in to your PayPal account and choose the "Help" link in the footer of any page.

To receive email notifications in plain text instead of HTML, update your preferences here [links to paypal.com/PREFS-NOTI].
[Image ignored]

[Image ignored]Protect Your Account Info
A genuine PayPal link will always begin with paypal.com/.

If we need information from you, we will request it after you've logged in to your account.

PayPal will never ask you to enter your password in an email.

For more information on protecting yourself from fraud, please see the Security Center [links to http://.paypal.com/cgi-bin/webscr?cmd=p/gen/fraud-prevention-outside].
[Image ignored]

Protect Your Password
You should never give your PayPal password to anyone, including PayPal employees.
[Image ignored]





#rw[850]#