Na was flattert mir denn da in den E-Mail-Posteingang? Eben um 19:22 Uhr habe ich eine E-Mail bekommen, die angeblich von service@paypal.de kommt. In dieser wird mir vorgegaukelt, dass es Konflikte mit meinem PayPal-Konto gäbe und ich diesen Konflikt auf deren angeblicher Webseite lösen soll. Dazu ein Link, der auf eine Phishing-Website führt, die von Kaspersky bereits erkannt wird.
Ich habe mir die Phishing-Mail und die zugehörige Webseite mal genauer angeschaut.
Phishing-Mail, die angeblich von PayPal kommt
Da ich gar keinen PayPal-Account besitze, war mir schon sofort klar, was hier Sache ist. Da versuchen irgendwelche Cyberkriminellen oder Script-Kiddies an die PayPal-Informationen von PayPal-Kunden zu kommen.
Nur blöd, dass sie mich damit nicht reinlegen können. Was mir aber sofort auffiel, ist, dass die Mail sehr professionell geschrieben wurde. Mit persönlicher Anrede und ohne Rechtschreibfehler. Aber hier fällt sofort auf, dass da was nicht stimmt. Ich wurde angesprochen mit Thomas Meier. Der Vorname ist richtig, aber der Nachname ist falsch.
Analyse des SMTP-Headers
Wenn man sich den Quellcode der E-Mail samt SMTP-Header anzeigen lässt, dann sieht man schon, dass da etwas faul ist. Als Return-Path wird hier service@paypal.de angegeben, damit der Nutzer nichts merkt, wenn er in seinem E-Mail-Client auf Antworten klickt. Außerdem wird diese E-Mail-Adresse natürlich auch im E-Mail-Client als Absender angezeigt. Würde man auf die E-Mail antworten, dann würde die Antwort tatsächlich an service@paypal.de gehen. Der Angreifer hat sein Ziel aber schon erreicht, wenn das Opfer die Webseite besucht und seine Daten dort preisgibt.
Return-Path: service@paypal.de
Received: from login.yxcvbnm.info ([89.107.70.198]) by mx-ha.gmx.net (mxgmx103) with ESMTP (Nemesis) id 0MDEmG-1V0GNM13Pg-00GXcx for <meinemail@gmx.de>; Thu, 04 Jul 2013 19:23:16 +0200
Received: from [193.111.141.184] (t184.topaz.fastwebserver.de [193.111.141.184]) by login.yxcvbnm.info (Postfix) with ESMTPA id E3C4E27576C for <meinemail@gmx.de>; Thu, 4 Jul 2013 19:23:14 +0200 (CEST)
Message-Id: <W5HYN80-3ZL2-E14W-UY7Z-FDMTVGN77W02@paypal.de>
From: service@paypal.de
To: Thomas Meier <meinemail@gmx.de>Kurze Begutachtung der Phishing-Website
Wenn man in der E-Mail auf den Button Konfliktlösungen klickt, dann landet man auf der Adresse http://paypal-konflikt03852.net/B1234567/. Unter dieser Adresse ist aber nichts zu sehen und man wird zu Google weitergeleitet, weil ich die richtigen Zahlen in der URL ersetzt habe, da sie vermutlich mit meiner E-Mail-Adresse zusammenhängen. Ändert man die Zahlen leicht ab, so landet man also bei Google. Wahrscheinlich wird hier überprüft, ob die ID in der Datenbank überhaupt vorhanden ist, und wenn nicht, dann leitet man den Besucher einfach zu Google weiter.
Update: 11.07.2013
Der Webserver unter http://paypal-konflikt03852.net scheint nun offline zu sein. 😛
