[phishing] PayPal Security Measures
Hallo.
Das Mail kam heute bei mir und ein paar anderen Leuten aus meinem Verein über unsere Vereinsadressen rein:
---
From CHAOS 0 message
MIME-Version: 1.0
Date: Thu, 21 Apr 2005 04:02:52 +0000
Return-path: <>
Received: from 157.143.0.96 by ; Thu, 21 Apr 2005 07:03:52 +0500
From: "" <>
Reply-To: "" <>
To: #@teamstaroffice.org, #@teamstaroffice.org, #@teamstaroffice.org
cc:
Message-ID: <>
In-Reply-To:
References:
Subject: PayPal Security Measures
X-Priority: 3
X-CHAOS-Read: yes
X-CHAOS-Size: 6223
Dear valued PayPal member:
PayPal is committed to maintaining a safe environment for its community of
buyers and sellers. To protect the security of your account, PayPal employs
some of the most advanced security systems in the world and our anti-fraud
teams regularly screen the PayPal system for unusual activity.
Recently, our Account Review Team identified some unusual activity in your
account. In accordance with PayPal`s User Agreement and to ensure that your
account has not been compromised, access to your account was limited. Your
account access will remain limited until this issue has been resolved. This
is a fraud prevention measure meant to ensure that your account is not
compromised.
In order to secure your account and quickly restore full access, we may
require some specific information from you for the following reason:
We would like to ensure that your account was not accessed by an
unauthorized third party. Because protecting the security of your account
is our primary concern, we have limited access to sensitive PayPal account
features. We understand that this may be an inconvenience but please
understand that this temporary limitation is for your protection.
Case ID Number: PP-040-187-541
We encourage you to log in and restore full access as soon as possible.
Should access to your account remain limited for an extended period of
time, it may result in further limitations on the use of your account.
However, failure to restore your records will result in account suspension.
Please update your records as soon as possible!
Once you have updated your account records, your PayPal session will not be
interrupted and will continue as normal.
To update your Paypal records click on the following link:
Thank you for your prompt attention to this matter. Please understand that
this is a security measure meant to help protect you and your account. We
apologize for any inconvenience.
Sincerely,
PayPal Account Review Department
PayPal Email ID PP522
Accounts Management As outlined in our User Agreement, PayPal will
periodically send you information about site changes and enhancements.
Visit our Privacy Policy and User Agreement if you have any questions.
---
Der erste Link führt nach Taiwan: Eine Krankenakte gibt es bislang nicht.
Abgekippt wurde der Dreck in den USA: 157.143.0.96 - die Whois-Daten sind etwas mager ().
PayPal ist informiert.
Erstaunlich finde ich, dass die Phisher eine wohlsortierte Datenbank führen. Ansonsten lägen nicht die Vereinsadressen alle beieinander.
Grüße
RE:[phishing] PayPal Security Measures
Zitat:
Der erste Link führt nach Taiwan:
Lustich ist auch das Javascript, das die Statuszeile schön langsam "reinfährt". Bei der ersten Eingabe der Daten eines besonderen Freundes[TM] kommt eine Fehlermeldung, bei der zweiten Eingabe (diesmal anderes Passwort, aber sicher genauso falsch) kommt eine "Ergebnisseite". Ich hatte da doch so ein Script...
-----BEGIN GEEK CODE BLOCK-----
Version: 3.12
GCM/S/IT d- s++:++ a C++>$ UL++++/A++++/C++++$ P++++>$
L++> E+ W+ N++ !o !K w--- O M-- V-- PS+ PE Y+ PGP++ t 5
X++ R tv b+ !DI D+++ G e++ h---- r+++ y++++
------END GEEK CODE BLOCK------
RE:[phishing] PayPal Security Measures
Hallo.
Ich habe ein paar Tracer-Adressen eingegeben. Wenn die wieder auftauchen, könnten sie zu den Phishern führen.
Die erste Fehlermeldung ist eine Methode, um die eingegebenen Daten beim zweiten Versuch zu verifizieren.
Interessant finde ich die Kommentare im Code:
---
<!-- saved from url=(0041)file://C:WINDOWSDesktopprocessing2.htm -->
<!-- saved from url=(0059)file://\C2 abaza abaza2NEW_PAYPALaccountprocessing.htm --><!-- saved from url=(0055) -->
---
Die Phisher scheinen in Ägypten zu sitzen und ein Win9x zu verwenden.
BTW: PayPal muss doch längst gemerkt haben, dass ihre Grafiken anderweitig verbaut werden. Ein Blick in die Log-Dateien sollte genügen (oder per cron-Script die roten Lampen einschalten lassen). Dann eine Warnung an die Kunden absetzten, dass man die PayPal-Adresse direkt eintippen soll und fertig.
Grüße
RE:[phishing] PayPal Security Measures
Hallo.
PayPal hat geantwortet und die Seite stillgelegt:
---
Dear XXXXXX,
Thank you for contacting PayPal.
We appreciate you bringing this suspicious email to our attention. We
can confirm that the email you received was not sent to you by PayPal.
The website linked to this email is not a registered URL authorized or
used by PayPal. We are currently investigating this incident fully.
Please do not enter any personal or financial information into this
website.
If you have surrendered any personal or financial information to this
fraudulent website, you should immediately log into your PayPal Account
and change your password and secret question and answer information. Any
compromised financial information should be reported to the appropriate
parties.
If you notice any unauthorized activity associated with your PayPal
transaction history, please immediately report this to PayPal by
following the instructions below:
1. Log in to your account at by entering
your email address and password into the Member Log In box
2. Click on Security Center at the bottom of the page
3. Click on the `Unauthorized Transaction` link under the Report a
Problem column
4. Please follow the instructions in order to access the appropriate
form
If you have any further questions, please feel free to contact us again.
Sincerely,
PayPal Account Review Department
---
Grüße
RE:[phishing] PayPal Security Measures
Zitat:
PayPal hat geantwortet und die Seite stillgelegt
Bei mir geht die Seite noch...
Gruß
Trekkie
--------------------
Herr, unsere freie Mailbox gib uns heute und erlöse uns von Viren und Spammern...
RE:[phishing] PayPal Security Measures
Hallo trekkie.
Zitat:
Bei mir geht die Seite noch...
Bei mir auch ... wieder.
Heute morgen war die Seite weg. Statt dessen kam eine englische Fehlermeldung: 404 not found...
Wenn man jetzt eine nicht vorhandene Seite lädt, dann kommt eine deutsche! Fehlermeldung: Objekt nicht gefunden.
Der Netzwerkname der IP 221.169.247.134 ist sw169-247-134.adsl.seed.net.tw und läßt auf eine (dynamische) DSL-Verbindung schließen. Sind da womöglich einige PC-Bastler am werkeln, die es geschafft haben, "ihre" IP zurückzuergattern. Mal sehen was die nächsten 24h bringen.
Ich werden PayPal sicherheitshalber nochmal informieren.
Grüße
RE:[phishing] PayPal Security Measures
Möglich ist auch, daß da eine ADSL-Verbindung mit fester IP dahintersteht. Kann man vom rosa Riesen auf Wunsch auch bekommen, ist aber deutlich teurer als normales ADSL. In Anbetracht der möglichen Verdienste der Phisher aber durchaus zu erwägen...
Zitat:
By way of advanced xDSL, Seednet provides a network building service---SeedBuilding. The transmission technique of xDSL uses double-wring copper telephone line to connect with high-speed networks. Subscribers can own the maximum 8M bps bandwidth independently. It is fit for family use and business at offices in a high-rise building. The installment of SeedBuilding is to place a facility in the communication room in the building, and use T1 dedicated lines to connect to Seednet`s high-speed backbone network. It provides a broadband service to consumers.
Wäre z.B. eine Möglichkeit. Wenn ich das richtig interpretiere, stellen die wohl einen DSLAM in das Gebäude und binden den per T1-Leitung an, da könnte ich mir schon feste Adressen für die xDSL-Seite, gerade für Firmen, vorstellen. Ob die da bei den Rechnernamen dann wirklich nochmal unterscheiden...
Seltsam ist allerdings der Sprachwechsel - könnte aber mit einem Script o.ä. zusammenhängen.
Gruß
Trekkie
--------------------
Herr, unsere freie Mailbox gib uns heute und erlöse uns von Viren und Spammern...
RE:[phishing] PayPal Security Measures
Zitat:
Jetzt wird T-DSL Business in den Varianten asymmetrisch und symmetrisch noch besser: mit der festen IP-Adresse können Sie jetzt problemlos z. B. eigene WEB- und FTP-Server betreiben.
Nur so als Beispiel...
Gruß
Trekkie
--------------------
Herr, unsere freie Mailbox gib uns heute und erlöse uns von Viren und Spammern...
RE:[phishing] PayPal Security Measures
Hallo trekkie.
Danke für deine Hinweise.
Ich habe jetzt mal die Seiten vom Server gezogen. Darin findet sich ein Hinweis, der nach Schweden führt. Hier scheinen sich die Phisher mit Quellcode versorgt zu haben. In der Seite 221.169.247.134/.ppl/pp.htm findet sich folgender Kommentar:
---
<!-- saved from url=(0036)http://213.199.92.129/paypal/verify/ -->
<!-- saved from url=(0059) -->
---
Das Directory-Listing vom Server (per ls):
---
-rw---- 76241 Dec 16 14:30 agreement.htm
-rw---- 10257 Dec 16 14:30 index.html
-rw---- 8315 Dec 16 14:30 loginloading.htm
-rw---- 13846 Dec 16 14:30 loginsubmit.htm
-rw---- 47261 Dec 16 21:27 pp.htm
-rw---- 5431 Dec 16 21:24 processing.htm
images:
-rw---- 365 Aug 05 2004 P_off_request_money.gif
-rw---- 217 Aug 05 2004 P_off_sell.gif
-rw---- 396 Aug 05 2004 P_off_send_money.gif
-rw---- 234 Aug 05 2004 P_off_shop.gif
-rw---- 294 Aug 05 2004 P_off_welcome.gif
-rw---- 250 Aug 05 2004 bg.gif
-rw---- 1761 Aug 05 2004 logo_cards_150x26.gif
-rw---- 1276 Aug 05 2004 paypal_logo.gif
-rw---- 43 Aug 05 2004 pixel.gif
-rw---- 1817 Aug 05 2004 pp_main.js
-rw---- 9664 Aug 05 2004 pp_styles_082102.css
-rw---- 79 Aug 05 2004 symbol_account.gif
-rw---- 62 Aug 05 2004 symbol_account_small.gif
-rw---- 79 Aug 05 2004 symbol_route.gif
-rw---- 59 Aug 05 2004 symbol_route_small.gif
processing_files:
-rw---- 267 Aug 05 2004 P_off_auction_tools.gif
-rw---- 293 Aug 05 2004 P_off_merchant_tools.gif
-rw---- 252 Aug 05 2004 P_off_my_account.gif
-rw---- 288 Aug 05 2004 P_off_request_money.gif
-rw---- 257 Aug 05 2004 P_off_send_money.gif
-rw---- 250 Aug 05 2004 bg.gif
-rw---- 696 Aug 05 2004 paypal.js
-rw---- 902 Aug 05 2004 paypal_logo.gif
-rw---- 148 Aug 05 2004 period_ani.gif
-rw---- 43 Aug 05 2004 pixel.gif
-rw---- 17778 Aug 05 2004 pp_styles_111402.css
---
Danach sind die Seiten ja nicht mehr ganz neu (vom Dez. bzw. Aug.).
Grüße
RE:[phishing] PayPal Security Measures
Hab`s auch mal angeschaut. Im großen und ganzen viel geklauter Quellcode. Leider gibt das alles wenig Anhaltspunkte die zum Urheber führen.
Man müßte an die Daten zur IP-Adresse des Servers rankommen, aber bei denen wird da wenig zu holen sein. Es müßte eine Möglichkeit gefunden werden, denen irgendwelche PayPal-Daten unterzumanipulieren, mit denen die dann abbuchen, so daß man sie über die Anmeldedaten kriegt - aber natürlich ohne Geld zu riskieren. Leider erscheint das unmöglich...
Bleibt zu hoffen, daß PayPal korrekt reagiert...
Oh, das ist ja interessant. Kann hier jemand Chinesisch (oder ist das japanisch, koreanisch,...?!?) Die IP ohne das /.ppl führt hier her:
So-Buy.com ist bulletproof - Registrar Tucows, IP 203.160.250.60 gehört zu Chunghwa Telecom / Taipei / Taiwan. Oder sind die Taiwanesen besser? Ich gehe mal davon aus, daß abuse bei denen ebenfalls mit verschieben nach /dev/nul gleichzusetzen ist...
Registrant ist eine Firma (?) EC-SERVER aus Taipei / Taiwan. ->
Leider alles in der Sprache der Reisbauern. Wäre mal interessant, was für ein Verein das ist. Wenn die nicht unter einer Decke stecken, ist vielleicht aus deren Logs was brauchbares rauszufischen...
Gruß
Trekkie
--------------------
Herr, unsere freie Mailbox gib uns heute und erlöse uns von Viren und Spammern...