Grade E-Mails abgerufen, und schon wieder ist meine Mithilfe gefragt, weil PayPal angeblich "ungewöhnliche Aktivitäten" bei meiner letzten Kreditkartenzahlung aufgefallen sind. Moment mal: Ich habe aber doch gar kein PayPal-Konto? Da ist also wieder eine Phishing-Mail im Umlauf, die es auf PayPal-Konten bzw. Kreditkartendaten abgesehen hat. Die E-Mail an sich ist ein ziemlicher Witz und die dümmste, die mir jemals untergekommen ist.
Betreff: "Ihr PayPal-Konto ist eingeschränkt - Ihre Mithilfe ist gefragt"
So lautet der Betreff der E-Mail. Aber das Lustige daran kommt erst noch: Ich sah im Thunderbird sofort, dass diese E-Mail angeblich von mir selber kommen soll. Also da stand meine eigene E-Mail-Adresse als Absender- und Empfängeradresse. Ja klar: Ich schicke mir ja auch selbst Phishingmails, um zu gucken, ob ich darauf reinfalle.
In der E-Mail steht nur, dass ich, wenn die E-Mail nicht korrekt dargestellt wird, einen Link von einem Kurz-URL-Dienst aufrufen soll. Also hab ich erst mal über die Konsole einen HTTP-Request an die Kurz-URL geschickt, um das Ziel zu ermitteln, an das ich weitergeleitet werden soll. Außerdem stehen im Quelltext natürlich noch genauere Absenderinformationen der E-Mail.
Das Weiterleitungsziel ist eine Webseite mit Serverstandort in den USA. Die Domain lautet virwox24.org. Interessanter an der ganzen Geschichte ist aber, von welchem Server die E-Mail eigentlich kommt.
Der Quellcode der E-Mail verrät uns diese Informationen. Es sieht so aus, als hätte man von einem nichtsahnenden Admin den Server gehackt, um von dort aus Spam zu versenden. Das Received-Header-Feld sagt s90109.evanzo-server.de. Der Return-Path sagt webmaster@endurofreunde.net.
Wenn man jetzt nachforscht, stellt sich heraus, dass die Webseite Endurofreunde.net auf dem selben Server gehostet wird, von dem auch die E-Mail über SMTP versendet wurde.
Return-Path: webmaster@endurofreunde.net
Received: from s90109.evanzo-server.de ([87.238.192.233]) by mx-ha.gmx.net (mxgmx104) with ESMTPS (Nemesis) id 0LoJXx-1VguB30v73-00gJic for <sagichnicht@gmx.de>; Wed, 28 Aug 2013 02:08:52 +0200
To: sagichnicht@gmx.de
Subject: Ihr PayPal-Konto ist eingeschränkt - Ihre Mithilfe ist gefragt
From: PayPal <sagichnicht@gmx.de>Jetzt kann man spekulieren, ob der Admin von Endurofreunde.net selbst der Angreifer ist oder ob er nur ein Opfer von Cyberkriminellen ist. Ich tippe auf Letzteres, denn die Webseite hat ein gültiges Impressum und man müsste schon ziemlich blöd sein, wenn man dann absichtlich von dort aus Phishing-Mails verschickt.
Wahrscheinlich wurde der Server oder der private Rechner gehackt, um Zugang zum Mail-Account zu erhalten. Ich werde mich mal umgehend mit dem Betreiber der Webseite in Verbindung setzen.
Ungewöhnliche Aktivitäten entdeckt
Wie bereits gesagt, landet man auf einem amerikanischen Server, auf dem die Phishingseite liegt. Dort wird versucht, an die Kontoinformationen bzw. Kreditkartendaten von PayPal-Nutzern heranzukommen. Der eigentliche Text, der einen überhaupt dazu auffordert, steht auf der Webseite, an die man über die Kurz-URL weitergeleitet wird.
Dort steht dann auch, dass PayPal angeblich ungewöhnliche Aktivitäten bei der letzten Kreditkartenzahlung entdeckt hätte. Darunter ein Link, der einen zum Eingabeformular führt. Die Phishing-Webseite ist also nichts Besonderes an sich.
Der Mozilla Firefox erkennt die betrügerische Webseite und präsentiert einem diese Warnmeldung.
Fazit
Hier sieht man wieder, dass sich die bösen Jungs immer was anderes einfallen lassen, um ahnungslose Nutzer auf ihre Phishing-Webseiten zu locken. Aber auch dass potentiell ahnungslose Leute dazu missbraucht werden können, um solche E-Mails zu verschicken, da sie sich vielleicht mit Malware infiziert haben oder der Server oder die Website nicht richtig gesichert wurde, so dass darüber Phishing-Mails verschickt werden können.
