Seiten

Donnerstag, 11. April 2013

Sicherheitsmasssssssnahmen von PayPaI...

Okay, ich weiß, Ihr da draußen seid alle verantwortungsvolle Nutzer sowohl Euer Mail-Accounts, als auch Eurer Social Network-Auftritte und natürlich Eurer Paypal-Accounts. Isja auch richtig so. Muss auch so sein. Dennoch kommt es vor, dass man auf Spam reinfällt. Oder mal nicht nachdenkt. Oder etwas gerade nicht auf dem Schirm hat.
Ich zum Beispiel wurde schon Opfer einer Abo-Falle im Internet (der ich mich durch eisernes Nichtbeachten der Inkasso-Anschreiben leicht widersetzt habe - es gab KEINE rechtliche Grundlage für eine Rechnung, aber schreiben darf sie jeder, nur eben nicht gerichtlich geschützt eintreiben), und kriege tonnenweise Spam-Mails.

Heute war es mal wieder soweit. Ich habe PayPal-Spoof gekriegt. Und weil ich finde, dass es ein wichtiges Thema ist, will ich heute über den Spoof bloggen. Und wie man den Spoof erkennt.

Hier die Mail:
Sehr geehrter PayPal-Mitglied,

aufgrund eines automatisierten Abgleiches Ihrer Kundendaten
mit Vergleichsstatistiken wurde das Risiko eines
Zahlungsausfalls für Ihr Konto als überdurchschnittlich hoch eingestuft

Um weiterhin problemlos Ihr PayPal-Konto nutzen zu können,
bitten wir Sie Ihre Daten - als Sicherheit bei Zahlungsausfällen - bei uns erneut zu registrieren.

Ihre Daten können Sie mithilfe des beigefügten Formulars
hinterlegen.
Wir bitten die Unannehmlichkeiten zu entschuldigen, dieses
Vorgehen ist allerdings aufgrund vermehrter Betrugsversuche
erforderlich.

Mit freundlichen Grüßen,
Ihr PayPal Kundenservice

---------------------------------------------------------------------------------------------------
Copyright © 1999-2013 PayPal. All rights reserved
PayPal Deutschland & Osterreich Pty Limited
ANB 09 472 291 471 (AFSL 197357)


Hier die Mail-Adresse:   Sicherheitsmabnahme@PayPaI.net
Hier die Mailadresse, an die versandt wurde:   Kein Empfänger

Die angehängte PDF.Datei, die ein Formular enthalten soll, dass man lt. der Mail ausfüllen und zurücksenden soll, ist natürlich virenverseucht. Diese enthält den Trojaner PHISH/PayPal.AS.1!
Dessen Ziel ist es natürlich, Eure PC's auszuspionieren. Ich selbst habe den Trojaner beinahe installiert, weil ich die PDF hierher kopieren wollte. Zum Glück aber hat Avira seinen Job gemacht.


So. Verlassen wir uns also in Zukunft darauf, dass Avira, Kaspersky und Co. ihren Job machen, oder werden wir selbst aktiv?
Wir sortieren vor. Und mit einigen wenigen Schritten erkennen wir auch eine Phishing-Mail als solche. ...Moment, ich starte kurz einen Trojanerkiller, bevor ich weiterschreibe. Man weiß ja nie. Ich persönlich schwöre neben Avira auf Spybot Search&Destroy sowie Malwarebytes Anti-Malware.
Aber genug von mir. Wie erkennt Ihr eine solche Mail als Phishing-Mail?

1) An der Absenderadresse: PayPal
Hier sieht man es nicht so gut, aber im Schriftfonds meines MailAccs sieht man, dass der letzte Buchstabe von Paypal kein L ist, sondern ein großes I. Paypal macht sowas nicht.
2) Am Empfänger: Kein Empfänger
Bereits jetzt können wir die Mail in den virtuellen Abfalleimer überweisen. Aber es geht noch leichter und mit noch weniger detektivischem Gespür, als mit dem eindeutigen Hinweis, dass die Mail nicht direkt an MICH verschickt wurde.
3) Die Ansprache:Sehr geehrter PayPal-Mitglied, 
Obwohl Paypal durch die Anmeldung über persönliche Daten verfügt, so eine formlose Ansprache. Dabei weiß jeder Idiot, der einmal mit Word, Access oder Excel Kettenbriefe erstellt hat, dass es nichts einfacheres gibt, als eine Datenbank und Briefe zu verknüpfen. Keine persönliche Ansprache = Fake.
4) Umlaute! Hier waren sie gründlich: für Ihr Konto als überdurchschnittlich
Hier haben sie es vergessen. Dabei ist es so wichtig, gerade an dieser Stelle: Osterreich
Also liebe Grüße an PayPaI in Osterreich.

Fazit: Eigentlich reicht schon die fehlende direkte Ansprache, um zu erkennen, dass diese Mail nicht von Paypal sein kann. Also ab in die Tonne und weg mit dem Müll.
Diese Phishing-Mail wurde übrigens von einem Muttersprachler geschrieben (abgesehen vom sehr geehrteR Mitglied, aber Fehler macht ja jeder), das steht außer Frage, sonst wären die Umlaute nicht so formvollendet eingesetzt worden. Und auch die Adresse wurde so gewählt, sodass man möglichst wenig Zweifel hat, die Mail wäre echt. Aber Paypal wird niemals ein Formular verschicken. Würde so etwas nötig sein, was die Mail beschreibt, würde gebeten werden, sich einzuloggen. Aber ohne einen Link zu setzen.
Also: Lasst Euch nicht verarschen. Das ist wichtig. Verinnerlicht das. Denn würde sich dieser Phishing-Spam NICHT lohnen, würden diese Kriminellen es NICHT versuchen.

Fazit: Ich habe die Mail gleich an Paypal weitergeleitet. Die werden sich drum kümmern und hoffentlich das Mail-Konto auf dem entsprechenden Server sperren lassen und Strafanzeige stellen. Die Endung auf .net lässt hoffen, dass der Server eben nicht auf Tuvalu steht und dass daher Anmeldedaten vorhanden sind, die polizeilich verfolgt werden können. Ich drücke den Ermittlern den Daumen.

Was mich wieder zur Erkenntnis bringt: Im Netz ist man nicht wirklich anonym, und das gilt gerade für Verbrecher. Also, Leute, behandelt, nebenbei gesagt, die Menschen, die Ihr im Internet trefft, so, wie Ihr selbst behandelt werden wollt. ^^b   

Kommentare:

Subtra aka DJ Dimension hat gesagt…

Achja die guten alten Spammails, ich bekomm sie täglich, in überhaufen von Sprache A - Z in mein Konto, könnte aber teilweise auch ein ordentliche Mail sein nur Japanisch ist halt nicht meine Hauptsprache, Nebensprache oder ähnliches.

Ich bin auch einmal drauf reingefallen und wir hatten dann eine Warnung bekommen, Pops hat mich fast in die Mangel genommen und ich mich fast eingemacht bis er drüber gelesen hat, seitdem kümmere ich mich drum das nicht und winzig gedruckte zu lesen. Außer bei Seiten denen ich zu 120 % vertrauen kann.

Spam ist schlimm Leute, aber traurig ists zugleich wenn Leuten Spam zugeschickt wird über etwas wo sie nicht mal einen Account besitzen, ich bekomme seit Jahren Battlenet Account Notices, aber hab erst diese Woche tatsächlich mal einen angelegt und das nur wegen Starcraft 2, das Spiel find ich nunmal gut genug zu kaufen und zu nervig um es irgendwie Schwarz zu erwerben. Lohnt sich net.

Spam Mails sind wie Werbung, Abzocke und verbrennbar.

Wenn sich bei Steam der gute alte VAC Sicherheitsdienst bei euch meldet, ignoriert ihn, es ist ein komplett automatisches System das keinen menschlichen Benutzer benötigt und euch eigentliche keine Mail schickt :P

Ace Kaiser hat gesagt…

Danke für die Ergänzung, Subtra. ^^

Anonym hat gesagt…

Hallo Ace,

... mist mal wieder eine Verlosung verpasst, ich sollte öfter hier vorbei schauen ...

von den 4 Punkten die Du ansprichst, werden wohl einige schnell veralten....

Punkt 1) Ok, ohne Fälschung und Kaperung von Mailservern ist die echte Absenderadresse immer noch ein recht sicheres Indiz. GMX zum Beispiel zeigt in ihrem Webinterface sogar noch für die großen unternehmen eine Grafik an, damit es der Normaluser gleich sieht, dass die Mail wahrscheinlich wirklich von amazon, ebay, paypal etc. kommt.

Punkt 2) den ümgehen Spammer heutzutage häufig schon recht geschickt, indem die Spam-Mails direkt verschickt werden, dazu werden gigantische Botnetze benutzt.

Punkt 3) Der Klarname ist heutzutage bei vielen kein Geheimniss mehr, der kann zum Beispiel bei Facebook(idealerweise sogar noch mit der veröffentlichten Mailadresse) abgegriffen werden. Das ist einder der Gründe warum ich gegen Klarnamenszwang im Internet bin.

Punkt 4) Da werden die Kriminellen auch immer besser, die Qualität hat extrem zugenommen. Noch vor einigen jahren waren per Google Translate übersetzte Texte die Regel. Umlaute werden auch unter denen also immer gebräuchlicher.

Und zur Domain paypai.net : die ist heute zu verkaufen(sedoparking.com), eine MX-Record(also ein Eintrag, welcher Mailserver dafür zuständig ist) existiert nicht .... die Kriminellen wechseln die Domains schneller als man das verfolgen kann ... bzw. der Absender wurde eh gefälscht ....

Anonym hat gesagt…

ups ... ohne Unterschrift abgeschickt, na gut dann liefer ich die nach:

... Tostan

Ace Kaiser hat gesagt…

Hi, Tostan.
Ja, schade, dass Du es nicht gesehen hast. Mit Dir und noch einem Säumigen wäre ich dann zweistellig geworden. ^^

Klar hast Du Recht, man kann alle vier Punkte aushebeln. Aber mein Blog behandelt ja genau diese eine Spam-Mail. Und ich habe ja auch den Hinweis gegeben, dass Paypal selbst lediglich gesagt hätte: Loggen Sie sich ein.
Ohne einen Link zu schicken. Die zur Zeit beste Form des Schutzes, wie ich finde.
Klar werden die Betrüger immer raffinierter. Aber wenn ich einen kleinen Beitrag leisten kann, um die Leute bei diesem schon recht gut gemachten Phishing zu sensibilisieren, bin ich schon zufrieden. Aber ich arbeite dran, noch besser zu werden, versprochen. ^^

Spelllord hat gesagt…

Ace wie war denn der genaue dateiname der "PDF"?

Ace Kaiser hat gesagt…

Sorry, ist bereits gelöscht. Irgendwas mit Formular, wenn ich mich richtig erinnere.