Ergebnis 1 bis 5 von 5

Thema: Kundenservice: Zollabfertigung - Aktualisierung der Lieferdetails...

  1. #1
    Urgestein Avatar von Wuschel_MUC
    Registriert seit
    01.02.2006
    Ort
    München
    Beiträge
    5.774

    Standard Kundenservice: Zollabfertigung - Aktualisierung der Lieferdetails...


    header:
    01: Return-Path: <kaori0407 [at] nifty.ne.jp>Delivered-To: m1000166381
    02: Received: from frontend04 ([127.0.0.1])
    03: by backend01-a.mail.m-online.net with LMTP ID: [ID filtered]
    04: for <m1000166381>; Wed, 24 May 2023 xx:xx:xx +0200
    05: Received: from mail.m-online.net ([127.0.0.1])
    06: by frontend04 with LMTP
    07: ID: [ID filtered]
    08: (envelope-from <poor [at] spamvictim.tld>)
    09: for <poor [at] spamvictim.tld>; Wed, 24 May 2023 xx:xx:xx +0200
    10: Received: from scanner-4.m-online.net (unknown [192.168.6.83])
    11: by mail.m-online.net (Postfix) with ESMTP ID: [ID filtered]
    12: for <poor [at] spamvictim.tld>; Wed, 24 May 2023 xx:xx:xx +0200 (CEST)
    13: X-Virus-Scanned: by amavisd-new at mnet-online.de
    14: X-Spam-Flag: NO
    15: X-Spam-Score: 1.614
    16: X-Spam-Level: *
    17: X-Spam-Status: No, score=1.614 tagged_above=0 required=5 tests=[BAYES_00=-1.9,
    18: FORGED_SPF_HELO=1.799, HTML_MESSAGE=0.001, KHOP_HELO_FCRDNS=0.001,
    19: SPF_HELO_PASS=-0.001, T_SCC_BODY_TEXT_LINE=-0.01, URIBL_BLOCKED=0.001,
    20: URIBL_SBL=1.623, URIBL_SBL_A=0.1] autolearn=no autolearn_force=no
    21: Received: from mxin-1.m-online.net ([192.168.6.165])
    22: by scanner-4.m-online.net (scanner-4.mail.m-online.net [192.168.6.83])
    23: (amavisd-new, port 10026)
    24: with ESMTP ID: [ID filtered]
    25: Wed, 24 May 2023 xx:xx:xx +0200 (CEST)
    26: Received: from osmta1016.nifty.com (mta-snd01103.nifty.com [106.153.228.35])
    27: by mxin-1.m-online.net (Postfix) with ESMTPS ID: [ID filtered]
    28: for <poor [at] spamvictim.tld>; Wed, 24 May 2023 xx:xx:xx +0200 (CEST)
    29: Received: from dmta1016.nifty.com by osmta1016.nifty.com with ESMTP
    30: ID: [ID filtered]
    31: for <poor [at] spamvictim.tld>; Thu, 25 May 2023 xx:xx:xx +0900
    32: Received: from [127.0.0.1] by dmta1016.nifty.com with ESMTP
    33: ID: [ID filtered]
    34: for <poor [at] spamvictim.tld>; Thu, 25 May 2023 xx:xx:xx +0900
    35: Content-Type: multipart/alternative;
    36: boundary="Apple-Mail=_6D3AE04E11-A9A3-9E67-8DD2-BFC488EC243"
    37: Mime-Version: 1.0 (Mac OS X Mail 8.2 \(2104\))
    38: Subject: Aktualisierung der Lieferdetails: Einfuhrsteuer ausstehend
    39: From: "Kundenservice: Zollabfertigung" <kaori0407 [at] nifty.ne.jp>
    40: Date: Wed, 24 May 2023 xx:xx:xx +0300
    41: Message-ID: [ID filtered]
    42: To: poor [at] spamvictim.tld
    43: X-Mailer: Apple Mail (2.2104)
    Gerade wähnte jemand, er könnte mich mit Zoll aus einer, äh, Amazon-Lieferung aus Großbritannien reinlegen. Es geht um die Unsumme von 1,83 €. Also geht es wohl eher darum, mich per Clickbait auf eine bestimmte Seite zu locken.

    Nix gibt's. Der Spamfilter hat auch angeschlagen.

    Zur Sicherheit habe ich die verlinkte Seite whois: [Link nur für registrierte Mitglieder sichtbar. ] in der Hosts-Datei geerdet.

    Wuschel
    Wer mir was tut, sei auf der Hut!

  2. #2
    Mitglied
    Registriert seit
    12.12.2014
    Beiträge
    62

    Standard

    Hab ich auch zig fach bekommen.
    Spam bzw. Phishing für DHL, UPS, FEDEX usw. usf.
    Immer mit dem selben Ziel wohl Kreditkartendaten abzuphishen.

    Immer ist man nicht erreichbar gewesen, oder das Paket entspricht nicht den Versandstandards oder man muss Zollgebühren oder wahlweise eine C-19 Gebühr zusätzlich zahlen, damit das langersehnte Paket endlich ankommt.
    Alle diese Gebühren sind vergleichsweise "klein" bis zu 2€. Das Ziel dürfte klar sein, dass man hier versucht massenweise Kreditkartendaten leichtgläubiger Bürger abzugreifen.
    Wahlweise wird auch hier versucht Druck aufzubauen indem man einen möglichst kleinen Zeitrahmen nimmt und dem "Opfer" signalisiert, dass das Paket sonst zerstört oder an den Absender zurück gesandt werden würde.

  3. #3
    Urgestein Avatar von Wuschel_MUC
    Registriert seit
    01.02.2006
    Ort
    München
    Beiträge
    5.774

    Standard

    Zitat Zitat von Syphedias Beitrag anzeigen
    ... Das Ziel dürfte klar sein, dass man hier versucht massenweise Kreditkartendaten leichtgläubiger Bürger abzugreifen...
    Wer eine gelöschte Kreditkartennummer kennt und eine Sandbox hat, könnte die Probe aufs Exempel machen, was beim Klick auf den Link passiert. Vielleicht weiß auch die Community eines Virenscanner-Herstellers schon Genaueres.

    Ansonsten ist natürlich "Finger weg!" angesagt.
    Wer mir was tut, sei auf der Hut!

  4. #4
    Mitglied
    Registriert seit
    12.12.2014
    Beiträge
    62

    Standard

    Zitat Zitat von Wuschel_MUC Beitrag anzeigen
    Wer eine gelöschte Kreditkartennummer kennt und eine Sandbox hat, könnte die Probe aufs Exempel machen, was beim Klick auf den Link passiert. Vielleicht weiß auch die Community eines Virenscanner-Herstellers schon Genaueres.

    Ansonsten ist natürlich "Finger weg!" angesagt.
    Das habe ich mal aus einer Linux VM mit VPN und einer fake CC Nummer durchgespielt.
    Man wird auf eine Seite verlinkt, wo man dann seine Daten, Adresse etc. eingeben soll und dann natürlich die CC-Karte. (Die Webseite ist ziemlich billig gemacht und viele Links wie Impressum etc. führen ins nichts, bzw. es passiert bei Klick nichts).
    Hab da mal alles mit beleidigenden Daten gefüttert und abgeschickt und gleichzeitig mal die Php Skripte auf denen man landet versucht zu sichern, zwecks Analyse um herauszufinden wohin die Daten eigentlich geschickt werden.
    Das ist aber recht gut versteckt, bzw. ich hab es noch nicht gefunden. Wenn man alles abgeschickt hat, landet man entweder bei DHL selbst (soll "Echtheit" suggerieren) oder die Phishing Seite bleibt bei einem Bitte warten "hängen" und hat im Hintergrund natürlich schon sämtliche Daten verschickt.

    Ich müsste mich hier wirklich mal stärker mit Wireshark auseinander setzen um den Datenverkehr zu überwachen.
    Ansonsten gehe ich hin und füttere Virustotal mit den ganzen Links. Teilweise kennt der Service die Seiten, teilweise noch nicht.

    Aber wie du sagst: Wer sich unsicher ist oder nichts riskieren will "Finger weg!" und Nachricht einfach in den Spamordner packen bzw. direkt löschen.

  5. #5
    Pöhser Purche Avatar von homer
    Registriert seit
    18.07.2005
    Ort
    Deep Down Oberfranken
    Beiträge
    2.939

    Standard

    Zitat Zitat von Syphedias Beitrag anzeigen
    Ich müsste mich hier wirklich mal stärker mit Wireshark auseinander setzen um den Datenverkehr zu überwachen.
    Ansonsten gehe ich hin und füttere Virustotal mit den ganzen Links. Teilweise kennt der Service die Seiten, teilweise noch nicht.
    Wenn der Traffic über SSL/TLS läuft siehst aber im Wireshark nix mehr vom Inhalt.
    Besser sind die Developer Tools im Browser (FF -> F12), da wird der Request detailliert angezeigt. FF bietet übrigens auch ein [Link nur für registrierte Mitglieder sichtbar. ] für die gesamte Session an.
    Oder du nimmst einen REST Interceptor/Proxy.

    Sarkasmus. Weil es illegal ist, dumme Leute zu schlagen.

Stichworte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen