Heute bekam ich verwundert eine Mail von Paypal ... die wollten meine Kreditkartendaten , aber in einem Attachment!
Ich wurde mit vollem Namen angesprochen und meine korrekte Kontonummer war genannt worden, sehr seltsam. Komischerweise hat Paypal ja schon eine Kreditkartennummer von mir.

Skeptisch und neugierig hab ich das Attachment untersucht und siehe da ... das Formular sendet die Daten nicht an Paypal sondern zu irgendeinem Server (wer die IP möchte, per PN)... also, tierisch gut gemachtes Phishing, achtet auf Eure Mails!

Hier der Inhalt:

Zitat:

Sehr geehrter xxxx xxxx,

aufgrund eines automatisierten Abgleiches Ihrer Kundendaten mit Vergleichsstatistiken wurde das Risiko eines Zahlungsausfalls für Ihr Konto xxxxxx als überdurchschnittlich hoch eingestuft.
Um weiterhin problemlos die Zahlungsmethode Bankeinzug nutzen zu können, bitten wir Sie eine Kreditkarte - als Sicherheit bei Zahlungsausfällen - bei uns zu registrieren.
Diese wird Ihrem Account nicht als Zahlungsmethode hinzugefügt, sondern dient lediglich als Absicherung bei einem nicht ausreichend gedeckten Bankkonto.
Sollten sie keine Kreditkarte bei uns hinterlegen, wird die Zahlungsmethode Bankeinzug für Ihr Konto deaktiviert.Ihre Kreditkartendaten können Sie mithilfe des beigefügten Formulars hinterlegen.
Mit freundlichen Grüßen,
Ihr PayPal Kundenservice

hi
verdächtige mails gerne an uns weiterleiten, wie das geht steht in meiner signatur.

hi
die seite ist in deutschland gehostet, also werden wir wohl gute chansen haben, dass er dieb seine daten verliert, abuse is raus

Zitat:

Zitat von deraddi

Skeptisch und neugierig hab ich das Attachment untersucht und siehe da ...

Hm. Warum nicht zuerst den Header? Weil paypall.com nicht aufgefallen ist?
Habe ich auch gestern bekommen, war mir sofort ersichtlich, dass es Phishing-Spam ist, sofort weg, bevor mein AV-Programm doch noch was mitbekommt, ich bin der Chef, ich habs Hirn.

Allerdings wurde ich weder mit Namen angesprochen, noch wurde mein Konto genannt, liegt eventuell daran, dass ich nicht jedem meine Daten gebe (obwohl meine Daten teilweise eigentlich frei im Web verfügbar sind wegen der Impressumspflicht).

Fing der (Sub-)Domainname bei dir auch mit h2066100.stra... an?

Zitat:

Zitat von markusg

also werden wir wohl gute chansen haben, dass er dieb seine daten verliert,

Was ich wiederum bezweifle, der (die) "Dieb(e)" werden wohl nur keine neuen Daten bekommen, auch wenn es möglicherweise Deutsche sind, sie dürften doch die erhaltenen Daten sofort woandershin (automatisch) transferieren.

Zitat:

Zitat von Shadow

Hm. Warum nicht zuerst den Header? Weil paypall.com nicht aufgefallen ist?

nene:

Zitat:

Authentication-Results: mta1027.mail.ird.yahoo.com from=paypal-deutschland.de; domainkeys=neutral (no sig); from=paypal-deutschland.de; dkim=neutral (no sig)

stutzig machte mich die nennung meines richtigen kontos. und mein name ist auch nicht sehr geläufig ...
im formular im attachment ist nur eine ip zu sehen, der server ist aber anscheinend kompromittiert worden . der opfer-server liegt aber auf strato, markusg hat die mail von mir bekommen.

Dann gibt es wohl zwei aktuelle Varianten, die beide sich bei Strato bedienen.
Die eine Variante für die, deren Daten bekannt sind, die anderen für (vermutlich) nichtbekannte Ziele.

paypall.com finde ich aber schöner und geschickter als irgendwas bei Yahoo!

Zitat:

Zitat von deraddi

stutzig machte mich die nennung meines richtigen kontos.

Das sollte dich SEHR stutzig machen

Zitat:

Zitat von deraddi

und mein name ist auch nicht sehr geläufig ...

Das ist wiederum ziemlich egal, nur die richtige Zuordnung Name zu Konto zählt.
Ob du Meier oder Guttenberg-Hotzenplotz heißt ist egal, denn Meier und falsches Konto würdest ja auch nicht du sein, selbst wenn du Meier hießest.
Wer die Kontodaten hat, hat meisst auch den dazugehörigen Namen.

kam heute wieder eine rein, genauso gut gemacht, aber diesmal ohne meine Kontonummer.
Mail an markusg ist raus.

jepp is angekommen, danke

Hatte ich vor ein paar Tagen auch in ähnlicher Weise bekommen, mir haben sie auch gedroht, aus Sicherheitsgründen mein Komto zu sperren.
Habe daraufhin mein Konto gecheckt und in einem Abwasch die Mail auch gleich an den entsprechenden Pishing-Service von PayPal weitergeleitet.
Hab an euch nicht gedacht, weil kein Anhang bei war.
Auf Wunsch schicke ich Marcus diese Mails dann auch, wenn noch mal welche kommen.
Willste?

Die paypal phishing site ist gut gemacht, habe sie mir eingetreten.
Paypal spricht immer mit Namen an, nicht so diese site.
Mein neuer Virenschutz 2013+ erkannte erst beim Download nach Live-Mail.
Seit dem wird auch auf https Seiten der Browserschutz unterbrochen (vor 2013+ würde ich das gar nicht merken).
Eingeloggt auf paypal bemerkte ich dass einige Links mit Leerseiten geöffnet wurden. Die Alarmglocken läuteten bei mir. Musste paypal telefonisch einschränken, kurze Zeit darauf bekam ich neuerlich eine phishing-site die nachfragte wie ich mit dem paypal-service zufrieden bin und was mir die Mitarbeiter empfohlen haben!!!
Seither brauche ich online nicht lange zu warten bis mein Browserschutz auch auf https-Seiten unterbrochen wird. Mail, Bank Google, einfach alles.
Setze mittels Recovery CD neu auf, Toshiba Service gibt mir eine 95% Chance auf Heilung. Wer hätte sonst noch einen Tipp? Danke im Voraus!
Und noch etwas: Paypal möchte keine Weiterleitung der phishing-site, auch nicht die Antivirusfirma die mir scan-Programme schickte und nichts erkannte.
Die Krimminalabteilung Eisenstadt rief zwar zurück, fängt auch weder mit meinem PC noch mit der Phishing was an. LG, Karl

Post gelöscht ** da schon in der Mache - was ich vollkommen übersah :-)

Ich gebe zurück zum Funkhaus

Rajo

Hallo ROJO,

Danke dir für die prompte Antwort, aber ich muss mich jetzt erst schlau
machen wie ich eml zippe.
Nach 20 Jahren PC immer noch ein bloody Greenhorn, habe mir nur für meine
Anwendungen alles selbst erarbeitet, für meine Bootsführerscheinkurse, die
Konkurrenz hat mir schon vor Jahren meine Homepage "verviert".
Bin sehr hartnäckig und werde die Phishing Seiten zum Versand herrichten.
Beide Seiten sind nach einmal einloggen bei paypal nicht mehr aktiv, habe
aber die erste schon wieder frisch bekommen. Wenn ich mich einloggen würde
und anschließend meine PP Logindaten per Mac ändere (bzw Konto sperren
lasse) bekomme ich die 2. Mail mit der Nachfrage nach der Zufriedenheit und
was PP Mitarbeiter empfohlen haben. Auch diese Seite ist dann nur einmal
aktiv.

Zu Bekanntgabe: Ich meinte dass sich tatsächlich niemand der Genannten für
die Seiten interessiert, sie haben Links wohin man phishing sites schicken
kann weil sich das anscheinend so gehört, aber keiner will sie wirklich
sehen.

Alles Gute dir, Charly
PS.: Mein Häcker schläft noch in den frühen Morgenstunden hab ich
herausgefunden.