Hallo Community,
ich habe diesen Fall heute bereits via E-Mail Formular an den hiesigen Webmaster geschickt. Im Reply wurde mir angeraten das ganze hier zwecks Erfahrungsaustausch zu posten. Es geht um folgende E-Mail:
Dear users of PayPal services,
Due to upcoming November 2008, and recent changes in PayPal's Service Agreement you need to submit additional details on your PayPal account. Starting from 2008 all PayPal accounts will come with complete detailed information! Identity protection matters. And PayPal works day and night to help keep your identity safe.
[Secure Server]
Identity protection matters. Get Verified!
According the new changes in Service Agreement any unverified account will be deleted from the system in 72 hours after receiving this letter.
Your Account
Tips to Protect Your Account []
PayPal's world class fraud investigators share 5 important actions you can take to help prevent identity theft and protect your account.
Update Your Profile
If you've closed a credit card or bank account recently, remember to go to PayPal's website to update your profile.
Identity Protection Highlights
[]
[]
[]
[]
New spoof tutorial
Learn how to spot and avoid fraudulent "spoof" emails and websites with PayPal's handy 5-step spoof tutorial.
[]
[]
[]
[]
[]
[]
Protect yourself with tools
Guard yourself against "spoof" emails with the SafetyBar, and against fraudulent websites with the eBay Toolbar.
[]
[]
[]
[]
[]
[]
Checklist if you are a victim...
When you suspect a problem with your identity, you have to act fast. Use PayPal's checklist for what you should do.
[]
[]
[]
Merchant Offers
[]
[]
[]
[]
[]
[]
[]
[]
[]
[]
[]
[]
FREE Norton AntiSpam download with purchase of Norton AntiVirus.
Unlimited listening and downloading. All the music you want. FREE trial.
Learn about and fund locally run social and environmental projects.
Return-Path: <
[Link nur für registrierte Mitglieder sichtbar. ]>
X-Original-To:
[Link nur für registrierte Mitglieder sichtbar. ]
Delivered-To:
[Link nur für registrierte Mitglieder sichtbar. ]
X-Greylist: delayed 104449 seconds by postgrey-1.31 at dd12028; Tue, 18 Nov 2008 10:59:30 CET
Received: from su925266.aspadmin.net (unknown [209.126.252.66])
by dd12028.kasserver.com (Postfix) with ESMTP id 14F7E180382E9
for <
[Link nur für registrierte Mitglieder sichtbar. ]>; Tue, 18 Nov 2008 10:59:29 +0100 (CET)
Received: (qmail 22273 invoked from network); 16 Nov 2008 00:51:34 -0800
Received: from 89-18-64-118.fwi.ie (HELO User) (89.18.64.118)
by su925266.aspadmin.net with SMTP; 16 Nov 2008 00:51:31 -0800
Reply-To: <
[Link nur für registrierte Mitglieder sichtbar. ]>
From: "PayPal"<
[Link nur für registrierte Mitglieder sichtbar. ]>
Subject: Get Verified !
Date: Sun, 16 Nov 2008 08:53:51 -0000
MIME-Version: 1.0
Content-Type: text/html;
charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Message-Id: <
[Link nur für registrierte Mitglieder sichtbar. ]>
To: undisclosed-recipients:;
X-KasLoop: m0158159
Auf meinem Blog habe ich einmal darüber berichtet was meine Nachforschungen ergeben haben:
[Link nur für registrierte Mitglieder sichtbar. ]
Den Link welcher angeklickt werden soll, poste ich hier erst wenn ich ein OK dafür bekomme. Oder sende das ganze gerne an einen Admin. Nicht das hier noch jemand draufklickt.
Vielleicht kann ja dem ein oder anderen damit im Vorfeld geholfen werden um sich vor bösen Überraschungen zu schützen.
Den Link welcher angeklickt werden soll, poste ich hier erst wenn ich ein OK dafür bekomme. Oder sende das ganze gerne an einen Admin. Nicht das hier noch jemand draufklickt.
Riecht ganz eindeutig nach einem Phishing-Versuch, jedenfalls wurde die Mail vermutlich über ein Botnetz abgekippt.
Es wäre hilfreich, wenn Du den Link postest, aber bitte zum Einen in [whois][/whois] gefasst und zum Anderen anonymisiert, d.h. jedwedes Zeichen von Session-ID oder Deiner Mailadresse oder sonstwas in der URL, was Dich eindeutig identifizieren könnte, durch [...] ersetzen.
Meist können wir an der Domain ersehen, ob es ein echter Phishingversuch ist, und Dir ggf. sogar den zugehörigen Thread nennen.
Es wäre hilfreich, wenn Du den Link postest, aber bitte zum Einen in [whois][/whois] gefasst und zum Anderen anonymisiert, d.h. jedwedes Zeichen von Session-ID oder Deiner Mailadresse oder sonstwas in der URL, was Dich eindeutig identifizieren könnte, durch [...] ersetzen.
So, dann guckt mal ob ihr damit etwas anfangen könnt:
whois:
[Link nur für registrierte Mitglieder sichtbar. ]
Ja isses denn... das gehört zu Taiwan Fixed Network CO.,LTD. in Taipei, Taiwan. ich glaube nicht, dass die was mit Paypal zu tun haben...
Bei Aufruf des Links bekomme ich eine nette rote Farbe auf dem Bildschirm, weil mir FF und Plugins alle gleichzeitig mitteilen wollen, dass das eine Phishingsite ist
Klickibunti, zur Dunklen Seite dieser Weg Dich führt!
Ja isses denn... das gehört zu Taiwan Fixed Network CO.,LTD. in Taipei, Taiwan. ich glaube nicht, dass die was mit Paypal zu tun haben...
Nee, glaube ich auch nicht.
Bei Aufruf des Links bekomme ich eine nette rote Farbe auf dem Bildschirm, weil mir FF und Plugins alle gleichzeitig mitteilen wollen, dass das eine Phishingsite ist
Nach dieser Erfahrung im
[Link nur für registrierte Mitglieder sichtbar. ] bin ich generell vorsichtiger geworden und klicke so schnell nicht mehr an.
ich habe heute diese Email bekommen, Der Absender war "Paypal und wurde auch so angezeit. Mich wundert die Schreibart, aber auch der Link der mit https anfängt, was mit meinen geringen Kenntnissen heist, dass er sicher ist. aber ich trau mich nicht draufzuklicken.
Hier der Text (der link ist mit Leerzeichen "entschärft".)
Sehr geehrter PayPal-Mitglied
Ihre Kreditkarte in Kьrze ablдuft.
- Sie kцnnen nicht mehr in der Lage, ьber PayPal
Um zu vermeiden, dass eine Unterbrechung des Service, wenden Sie sich bitte aktualisieren Sie Ihre Kredit - Karte, indem Sie den unten stehenden Link :
https://
[Link nur für registrierte Mitglieder sichtbar. ] /cgi-bin /webscr?cmd=_login- submit
Bitte antworten Sie nicht auf diese E-Mail. Das Postfach ist nicht ьberwacht und
Sie werden keine Antwort erhalten. Fьr Hilfe, melden Sie sich in Ihrem PayPal
Konto und klicken Sie auf den Link "Hilfe" befindet sich in der oberen rechten Ecke von jedem
PayPal-Seite.
PayPal E-Mail-ID PP031
ich trau mich nicht draufzuklicken, kennt das einer? Ich habe übrigens keine Kreditkarte bei Paypal aber eine über Paypal angemeldet.
Die Mail kann echt sein, ist vielleicht nur sehr schlecht übersetzt. Das sollte bei Paypal aber nicht vorkommen. Den Link musst du ja nicht anklicken, du kannst ja auch einfach "manuell" zu der Paypal Seite surfen.
Die Mail sagt ja nur, dass deine Kreditkarte, deren Daten bei Paypal hinterlegt sind, bald abläuft und du, um weiter über Paypal zu zahlen, die Daten dort erneuern sollst.
Ob das stimmt, musst du selbst wissen.
Geändert von TillP (25.11.2008 um 18:56 Uhr)
Grund: korrektur
Ich vermute jedoch, dass bei Dir im Mailprogramm die HTML-Darstellung (böse!) aktiv ist, und Du ganz woanders landen würdest. Den Zeichen nach auf einer zumindest russisch kontrollierten Phishingseite nämlich
Klickibunti, zur Dunklen Seite dieser Weg Dich führt!
Nett: Der 2. Received-Header, der offensichtlich dafür sorgen soll, dass das tatsächlich wie eine Mail via AOL aussieht.
Die Phishingseite leuchtet wie es sein sollte bei allen Warnplugins tiefrot
Versucht man, dort (Fake)Logindaten einzugeben, so kommt
You must enter both your email address and password. Please try again.
Ja neee, is klar
Alle Sternchen sind von mir, nicht dass da was identifizierbar bleibt
header:
01: Return-path: <fiu [at] aol*.com>
02: Delivery-date: Wed, 26 Nov 2008 xx:xx:xx +0100
03: Received: from p57a65ba5.dip.t-dialin.net ([87.166.91.165] helo=bur-32r8z056v1t)
04: by meinServer with esmtp (Exim 4.69)
05: (envelope-from <fiu [at] aol*.com>)
06: ID: [ID filtered]
07: for mich; Wed, 26 Nov 2008 xx:xx:xx +0100
08: Received: from [87.166.91.165] by mailin-03.mx.aol.com; Wed, 26 Nov 2008
09: xx:xx:xx +0100
10: Date: Wed, 26 Nov 2008 xx:xx:xx +0100
11: From:service [at] abuse-paypal.com
12: X-Mailer: The Bat! (v3.0) Professional
13: Reply-To:fiu [at] aol*.com
14: Message-ID: [ID filtered]
15: To:meine [at] adresse
16: MIME-Version: 1.0
17: Content-Type: text/html;
18: charset=us-ascii
19: Subject: PayPal Account Security Measures
<http://whois:
[Link nur für registrierte Mitglieder sichtbar. ]/cgi-bin/webscr?cmd=_home>
<http://whois:
[Link nur für registrierte Mitglieder sichtbar. ]/cgi-bin/webscr?cmd=p/ema/index-outside>
<http://whois:
[Link nur für registrierte Mitglieder sichtbar. ]/cgi-bin/webscr?cmd=p/req/index-outside>
<http://whois:
[Link nur für registrierte Mitglieder sichtbar. ]/cgi-bin/webscr?cmd=_merchant-outside>
<http://whois:
[Link nur für registrierte Mitglieder sichtbar. ]/cgi-bin/webscr?cmd=_auction-outside>
We recently noticed one or more attempts to log in to your PayPal account from a
foreign IP address.
If you recently accessed your account while traveling, the unusual log in
attempts may have been initiated by you. However if you are the rightful holder
of the account,click on the link below to log into the account and follow the
instructions.
https://whois:
[Link nur für registrierte Mitglieder sichtbar. ]/us/cgi-bin/webscr?cmd=_login-run
<http://whois:paypal.confirm-updates.com/login.php>
If you choose not to complete the request, you give us no choice but to suspend
your account temporary.
It takes at least 12 hours for the investigation in this case and we strongly
recommend you to verify your account at that time.
If you received this notice and you are not the authorized account holder,
please be aware that it is in violation of PayPal policy to represent oneself as
an other PayPal user.Such action may also be in violation of local, national,
and/or international law. PayPal is committed to assist law enforcement with any
inquires related attempts to missapropriate personal information with the intent
to commit fraud or theft. Information will be provided at the request or law
enforcement agencies to ensure that perpetrators are prosecuted to the fullest
extent of the law.
Thanks for your patience as we work together to protect your account.
Please do not reply to this email. This mailbox is not monitored and you will
not receive a response.
For assistance, log in to your PayPal account and click the Help
<http://whois:confirm-updates.com/login.php> link located in the top right corner of
any PayPal page.
--------------------------------------------------------------------------------
PayPal Email ID PP-19-322-187
Klickibunti, zur Dunklen Seite dieser Weg Dich führt!
17: Subject: Bitte antworten Sie bis spatestens 9.12.2008 hinsichtlich Fall Nr.
18: PP-720-135-625
19: Date: Mon, 8 Dec 2008 xx:xx:xx -0600
20: MIME-Version: 1.0
21: Content-Type: text/html
22: Content-Transfer-Encoding: 7bit
23: X-Priority: 3
24: X-MSMail-Priority: Normal
25: X-Mailer: aol
26: X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.3028
27: Return-Path:service [at] intlpaypal.de
28: X-OriginalArrivalTime: 08 Dec 2008 xx:xx:xx.0877 (UTC)
29: FILETIME=[3D00E5D0:01C95929]
Guten Tag, *************@**********!
Wir haben Grund zur Annahme, dass Sie eine vom Absender nicht autorisierte
Zahlung erhalten haben.
Um PayPal-Zahlungen für alle Beteiligten so sicher wie möglich zu machen,
ist es gelegentlich erforderlich, dass wir zusätzliche Informationen
anfordern.
Wir bitten Sie um die Bereitstellung weiterer Informationen bis 9.12.2008.
Loggen Sie sich dazu in Ihr PayPal-Konto ein durch Klicken auf den nachstehenden Link.
Wir werden den betreffenden Betrag vorübergehend einbehalten, bis die
Untersuchung abgeschlossen ist. Das bedeutet, der Betrag wird negativ in
Ihrem PayPal-Konto angezeigt, und Sie können vorübergehend nicht darüber
verfügen.
Bitte klicken Sie auf den unten stehenden Link:
whois:
[Link nur für registrierte Mitglieder sichtbar. ]cgi-bin/ID=************@************/complaint_resolve_tracking_fax&cid=PP-720-135-625
Herzliche Grüße
Ihr PayPal-Team
Bitte antworten Sie nicht auf diese E-Mail. Dieses Postfach wird nicht
überwacht, deshalb werden Sie keine Antwort erhalten. Wenn Sie Hilfe
benötigen, loggen Sie sich in Ihr PayPal-Konto ein, und klicken Sie oben
rechts auf einer der PayPal-Seiten auf den Link "Hilfe".
Lesezeichen