Bin dabei gespammt via Mailadresse über unsere Webseite. Netter Anhang als verschlüsselte Datei die ich natürlich nicht aufgemacht habe sondern an paypal weitergeleitet habe.
header:
01: Return-Path: <nobody [at] ne07.tt.co.kr>
02: X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on vadmin217
03: X-Spam-Level:
04: X-Spam-Status: No, score=0.0 required=5.0 tests=none autolearn=ham
05: version=3.2.5
06: X-Original-To:me [at] adress.de
07: Delivered-To:poor [at] spamvictim.tld
08: Received: from localhost (localhost [127.0.0.1])
09: by sme [at] adress.de (Postfix) with ESMTP ID: [ID filtered]
10: for <poor [at] spamvictim.tld>; Wed, 22 Dec 2010 xx:xx:xx +0100 (CET)
11: Received: from me [at] adress.de ([127.0.0.1])
12: by localhost (me [at] adress.de [127.0.0.1]) (amavisd-new, port 10024)
13: with ESMTP ID: [ID filtered]
14: Wed, 22 Dec 2010 xx:xx:xx +0100 (CET)
15: X-Greylist: delayed 20513 seconds by postgrey-1.31 at vadmin217; Wed, 22 Dec 2010
16: xx:xx:xx CET
17: Received: from mailhub2-29.tt.co.kr (mailhub2-29.tt.co.kr [211.47.72.229])
18: by server5.26.joserv.de (Postfix) with ESMTPS ID: [ID filtered]
19: for <poor [at] spamvictim.tld>; Wed, 22 Dec 2010 xx:xx:xx +0100 (CET)
20: Received: from ne07.tt.co.kr ([211.47.69.62])
21: by mailhub2-27.tt.co.kr (8.12.11.20060308/8.13.8) with ESMTP ID: [ID filtered]
22: for <poor [at] spamvictim.tld>; Wed, 22 Dec 2010 xx:xx:xx +0900
23: Received: from ne07.tt.co.kr (ne07.tt.co.kr [127.0.0.1])
24: by ne07.tt.co.kr (8.13.8/8.13.8) with ESMTP ID: [ID filtered]
25: for <poor [at] spamvictim.tld>; Wed, 22 Dec 2010 xx:xx:xx +0900
26: Received: (from nobody [at] localhost)
27: by ne07.tt.co.kr (8.13.8/8.13.8/Submit) ID: [ID filtered]
28: Wed, 22 Dec 2010 xx:xx:xx +0900
29: Date: Wed, 22 Dec 2010 xx:xx:xx +0900
30: Message-ID: [ID filtered]
31: To:poor [at] spamvictim.tld
32: Subject: Your account has been temporarily limited!
PayPal is constantly working to ensure security by regularly screening the accounts in our system. We have recently determined that different computers have tried logging into your PayPal account,and multiple password failures were present before the logons.
Until we can collect secure information, your access to sensitive account features will be limited. We would like to restore your access as soon as possible, and we apologize for the inconvenience.
Download and fill out the form to resolve
the problem and then log into your account.
Thanks ,
PayPal
Post geht an
[Link nur für registrierte Mitglieder sichtbar. ]
[Link nur für registrierte Mitglieder sichtbar. ]
[Link nur für registrierte Mitglieder sichtbar. ]
Nett was im Anhang steht:
Hallo, ich hatte gerade in meinem Paypal-Konto herumgestöbert, logge mich aus und bekam direkt danach eine Phishing-Mail in korrektem Deutsch "Ihr Konto wurde vorübergehend begrenzt ", verbunden mit der Aufforderung, "Klicken Sie hier, um das Problem zu lösen". Dann kommt man auf eine Paypal-ähnliche Phishing-Seite und soll seine Mailadresse sowie Paßwort eingeben.
Bei Paypal riet mir dann eine Dame, Cache und Cookies zu löschen und einen Virenscanner zu nutzen, was ich getan habe. Ich weiß nicht, wie kompetent die Dame ist und wollte deshalb hier einmal die Experten fragen:
Wie kann es passieren, daß ich nach Verlassen meines Paypal-Kontos eine Phishing-Mail für Paypal bekomme?
Reicht ein löschen von Cache und Cookies im Firefox oder könnte sich ein Trojaner eingeschlichen haben? Mein Scanner (Antivir) hat jedenfalls nichts gefunden. Mein System ist XP.
Wie kann es passieren, daß ich nach Verlassen meines Paypal-Kontos eine Phishing-Mail für Paypal bekomme?
Du hast dir wahrscheinlich schon vorher einen Trojaner eingefangen, der dir eine falsche Seite vorgegaukelt hat. Der Trojaner war halt so geschrieben, dass zuerst zwecks Vertrauensaufbau die echte Seite angezeigt wurde und erst hinterher der faule Link kam.
Wenn der Virenscanner nichts gefunden hat, probiere es nach dem nächsten Scanner-Update nochmal, möglichst mit einem Fremdstart von einer unverdächtigen CD. Solche Trojaner kursieren in unzähligen Versionen; neue werden nicht sofort von Virenscannern gefunden.
Was sagt dein Virenscanner-Hersteller dazu? Vielleicht kannst du ihnen eine verdächtige Datei schicken, wenn sie wissen, wo du suchen musst?
Wie kann es passieren, daß ich nach Verlassen meines Paypal-Kontos eine Phishing-Mail für Paypal bekomme?
Im Zweifel nur dummer Zufall. Ich würde das Experiment mindestens drei mal wiederholen, um einen Zusammenhang zwischen "Verlassen des Paypal-Kontos" und "Phishing-Mail" halbwegs sicher anzunehmen.
Zitat von Wisch
Reicht ein löschen von Cache und Cookies im Firefox oder könnte sich ein Trojaner eingeschlichen haben? Mein Scanner (Antivir) hat jedenfalls nichts gefunden. Mein System ist XP.
Der Cache enthält nur lokale Kopien von Internetseiten. Wenn Du also Google aufrufst, kann sein, dass diese Seite aus dem Cache geladen wird. Inklusive alle Skripte, die auf der Seite waren, als sie im Cache abgelegt wurde. Man kann zur Sicherheit den Cache löschen, um auf diese Weise die Wahrscheinlichkeit von nachträglichem Cross-Site-Scripting (Wikipedia-Link) zu minimieren, gegen das Firefox aber schon ab Werk extrem gut geschützt ist; wenn Deine Version halbwegs aktuell ist, würde ich mir hierüber keine Gedanken machen. Nebenbei bemerkt: Der Cache ist eine Idee aus Zeiten der langsamen Internetanbindung. Bei DSL-Flat spricht nichts dagegen, den Cache auf sehr kleine Werte zu setzen, so dass dort immer wieder viel Umlauf ist.
Bei den Cookies sieht das schon anders aus, hier ist das Gefahrenpotential etwas höher. Die Phishing-Webseite kann z.B. anhand Deines Cookies sehen, wann du das letzte Mal da warst. Wenn nun der von Dir unterstellte Zusammenhang tatsächlich existiert, so wäre die Information "Reagiert sofort auf die Phishingmail" sehr wertvoll. Dazu müsste aber erst ein Cookie gesetzt werden, um sicherzustellen, dass Du kein zufälliger Besucher bist.
Über Cookies kann man geteilter Meinung sein. Ich persönlich nutze CSLite, um meine Cookies zu verwalten. Bei vertrauenswürdigen Seiten lasse ich sie zu, ansonsten werden sie - wenn für die Funktion einer Seite unumgänglich - allenfalls temporär akzeptiert. CSLite filtert auch die Cookies raus, die von Drittanbietern im Hintergrund abgelegt werden. Problematisch sind auch diesog. Super-Cookies, die von Flash-Anwendungen hinterlegt werden, denn die kann man nicht so einfach löschen. Hier bietet z.B. Better Privacy einen guten Schutz. Und erwähnt sei natürlich das nahezu obligatorische NoScript, das die wohl wichtigste Sicherheitslücke kontrolliert: Aktive Inhalte.
Virenscanner, die auf einem infizierten System laufen, können vom Schädling prinzipiell kompromittiert werden. Ich würde mich daher nur bedingt auf einen Antiviir-Scan verlassen, solange der auf dem hochgefahrenen System läuft. Ich würde mindestens einmal im Monat ein System von einem nicht kompromittierbaren Medium (CD_ROM) starten und auf Viren checken. Die AV-Webseite bietet da ganz Brauchbares. Im Zweifel immer das System neu aufsetzen, denn Windoof lässt einfach zu tiefe Eingriffe ins System für Jedermann zu, was von Viren und Trojanern gerne ausgenutzt wird.
Schönen Gruß
Mittwoch
Nachtrag für Interessierte: Bei mir laufen: Adblock Plus, Better Privacy, CS Lite, Ghostery, Long URL Please, NoScript, Redirect Cleaner, Ref Control und der User Agent Switcher
Geändert von Mittwoch (13.01.2011 um 18:52 Uhr)
Grund: Nachtrag nachgetragen
Daran glaube ich nicht, da GMX in den letzen Jahren keine einzige Phishing-Mail zu mir durchgelassen hat. Andererseits konnte ich die Geschichte nicht wiederholen: Ein Ein- und Ausloggen bei Paypal blieb diesmal folgenlos.
Ich werde morgen mal von einer Antiviren-CD booten und dann sehen wir weiter.
Erstmal vielen Dank an Wuschel_MUC und Mittwoch für die Hilfe und die Infos!
Bekomme ich laufend in zwei Varianten
Hier die erste
-------------------------------------------------------------------------------
Ungewöhnliche Kontobewegungen haben es notwendig gemacht Ihr Konto einzugrenzen bis zusätzliche Informationen zur Überprüfung gesammelt werden.
Zur Zeit haben Sie nur begrenzten Zugang zu Ihrem Pay Pal Konto. Wir bitten Sie daher die von uns angeforderten Kontodaten zu enrneuern.
Bittte klicken Sie hier » whois:
[Link nur für registrierte Mitglieder sichtbar. ] Link ist nicht sichtbar, sondern in dem "Bitte klicken Sie hier" hinterlegt
Im Rahmen unserer Sicherheitsmaßnahmen prüfen wir regelmäßig alle Vorgänge im
PayPal-System. Bei einer Überprüfung haben wir kürzlich ein Problem im
Zusammenhang mit Ihrem Konto festgestellt.
Bei einer kürzlichen Überprüfung Ihres Kontos haben wir festgestellt, dass wir
zusätzliche Angaben von Ihnen benötigen, um Ihnen weiterhin sicheren Service
bieten zu können.
Bearbeitungsnummer: PP-430-707-222
Zu Ihrem Schutz haben wir den Zugriff auf Ihr Konto eingeschränkt, bis
zusätzliche Sicherheitsmaßnahmen getroffen werden können. Wir bitten um
Entschuldigung für eventuelle Unannehmlichkeiten.
Loggen Sie sich in Ihr PayPal-Konto ein, um den Zugriff auf Ihr Konto innerhalb
der nächsten 15 Tage vollständig wiederherzustellen. Wenn Sie innerhalb des
genannten Zeitraums keine weiteren Informationen bereitstellen, müssen wir den
Fall unter Umständen zu Ihrem Nachteil entscheiden. Beim Einloggen werden die
Maßnahmen angegeben, mit deren Hilfe der reguläre Zustand Ihres Kontos
wiederhergestellt werden kann. Wir arbeiten daran, die Sicherheit Ihres Kontos
zu gewährleisten, und bedanken uns für Ihr Verständnis.
Wie kann ich den Zugriff auf mein Konto wiederherstellen?
Hallo
Â
Im Rahmen unserer Maßnahmen zur Gefahrenabwehr, die wir regelmäßig überwachen die Aktivitäten in den PayPal-System. Wir haben vor kurzem kontaktiert Sie sich nach einem Problem mit Ihrem PayPal-Konto.
Â
Die Informationen, die Sie wurden aus folgendem Grund beantragt:
Â
Unser System hat ungewöhnliche Abbuchungen auf einer Kreditkarte mit Ihrem PayPal-Konto zugeordnet ist erkannt.
Â
Datei Nr.: PP-1124-075-998
Â
Dies ist eine letzte Erinnerung fragen Sie für die Anmeldung bei PayPal so bald wie möglich.
Bitte wieder auf Ihr Konto zugreifen <<< hier wäre der Link hinterlegt
Bitte antworten Sie nicht auf diese E-Mail. E-Mails an diese Adresse kann nicht beantwortet werden.
So, zwei über Boot-CD gestartete Virenscanner haben nichts gefunden. Auch nach mehrfachen Ein- und Ausloggen bekam ich keine neuen Phishing-Mails. Vielleicht war es doch, wie Mittwoch vermutet, nur ein dummer Zufall? Ich werde das System erst einmal nicht neu installieren und in Zukunft besser aufpassen.
Muss ich mir jetzt ein Pay Pal Konto zulegen weil bis jetzt habe ich kein Pay Pal
Norten hat den Anhang gleich entfernt.
Wie ich das sehe kommt der Mist aus Indien.
header:
01: Return-path: <service [at] nopaypal.co.uk>
02: Delivery-date: Mon, 17 Jan 2011 xx:xx:xx +0100
03: Received: from mi007.mc1.hosteurope.de ([80.237.138.248])
04: by wp166.webpack.hosteurope.de running ExIM with esmtp
05: ID: [ID filtered]
06: Received: from mx1.softnet.co.ID: [ID filtered]
07: by mx0.webpack.hosteurope.de (mi007.mc1.hosteurope.de) with esmtp
08: ID: [ID filtered]
09: for info [at] meine Mail; Mon, 17 Jan 2011 xx:xx:xx +0100
wohl doch eher "Zufall" - heute bei mir auf geschlagen - da versucht wohl mal wieder jemand, die restlichen 1% die noch nicht mitbekommen haben, dass solche Mails in den Mülleimer gehören, ab zu grasen...
Immerhin sind die "Übersetzungen" inzwischen so gut, dass es nicht sofort auffällt, dass da "Babelfisch" benutzt wurde!
header:
01: Von: Inc.Notice <kontakt-pp [at] cesifo.de>
02: Betreff: Re:Zur Zeit haben Sie nur begrenzten Zugang zu Ihrem PayPal Konto.
03: Datum: 26. Januar 2011 xx:xx:xx MEZDeutschland
04: An: Home alt <xxxxx>
05: Received: from melifluan.purplefrogprod.com ([69.36.2.146]) by xxx with MailEnable
06: ESMTP; Wed, 26 Jan 2011 xx:xx:xx +0100
07: Received: from localhost (localhost [127.0.0.1]) (UID: [UID filtered]
Lesezeichen