Ich verwende mal das "Stopp"-Symbol für diesen Beitrag, denn das Sicherheitssymbol passt irgendwie nicht. Zum Wochenende habe ich noch einen weiteren PayPal-Schwank, der an Skurrilität eigentlich nicht mehr zu überbieten ist – bzw. mich zur Erkenntnis bringt "Du kannst nicht genug aufpassen und lass die doch werkeln bis die Karre gegen die Wand gefahren ist" …
Anzeige
Zur Historie: Wie das alles begann …
Am 11. Januar 2016 hatte ich den Beitrag Vorsicht: Neue PayPal-Phishing-Welle im anrollen … hier im Blog veröffentlicht, wo ich vor einer gut gemachten Phishing-Attacke warnte. Und ich hatte der PayPal-Sicherheitsabteilung die Phishing-Mail mit einem kurzen Text geschickt – hier der Textausriss an spoof@paypal.com:
Hallo,
nachfolgend eine neue Phishing-Mail zur Analyse. Ich habe über die Sache im Artikel Vorsicht: Neue PayPal-Phishing-Welle im anrollen … gebloggt. Offenbar existiert in der Site ein Mechanismus, der nun auf die PayPal-Seite umleitet.Vielleicht gelingt es Paypal Inc. aber, ein Take Down der Phishing Site durchzusetzen.
Dear,
below is a Phishing mail, a reader of my German blog send me this weekend. I've blogged about this phishing attempt (see Link above). During writing my blog post, I recognized a change in the phishing site. Whilst I was able to enter the phising mask 3 or 4 times, suddenly I was redirected to the official Paypal site. Mabe Paypal Inc. can force a take down of the domain given within the phishing mail.
Thanks
So weit so schlecht. Dass PayPal den Phishern das Handwerk erleichtert, hatte ich zudem im Nachfolgeartikel PayPal – die können es einfach nicht demonstriert – aber durchaus auch Leserkommentare erhalten, die die PayPal-Geschichte gut fanden.
Abuse-Mal von PayPal kassiert …
Als ich am heutigen Samstag-Morgen so auf dem Bett lag, um meine Zipperlein mit einem heißen Getreidekissen zu beruhigen, dachte ich so bei mir "OK, Du könntest dein Nexus 4 anwerfen und mal schnell deine Mails checken …"
Also gedacht und getan – und dann wäre mir fast das Gebiss aus dem Gesicht gefallen (glücklicherweise sind die Zähne immer noch fest im Kiefer verwurzelt). Aber die Fußnägel haben sich spastisch hochgerollt. Da kriege ich eine E-Mail von PayPal, die Thunderbird als Junk-Mail einstufte.
Anzeige
Dachte im ersten Augenblick so bei mir "Hallo, wieder eine Phishing-Mail …" – aber dann wurde mir klar, die meinen es ernst.
Dear [borncity.com] Webmaster,
It has come to our attention that a PayPal spoof / phishing site has been set up at
https://web.archive.org/web/20170228072030/https://www.borncity.com/blog/2016/01/11/vorsicht-neue-paypal-phishing-welle-im-anrollen/
We believe that your website has been Compromised/Hacked.
We recommend that you change your password for your web hosting accounts as soon as possible, and then remove the offending material and initiate a virus scan.
We also recommend you contact your hosting provider to make sure your web hosting accounts remain secure.
If you have any logs or data files that could help us track down the perpetrator of this crime, we would appreciate it if you could forward that on to us.
If you have any questions or need further assistance, please do not hesitate to ask.
Thank you, PayPal Inc. Trust & Safety
ftsteam@paypal.com
Brrr – das sitzt. Hab natürlich zur Sicherheit die Plugins zum Malware-Scan in WordPress durchlaufen lassen – alles ist (wie erwartet) sauber. Mir kam allerdings ein Verdacht: Ich hatte zwar keine Links zu den Phishing-Servern im Blog-Beitrag gesetzt (sondern die Begriffe kommen nur als Text vor), aber mein Ausriss der Phishing-Mail enthielt noch den Link auf den abgeschalteten Redirect-Server. Ich rate daher mal: Irgend jemand bei PayPal hat meine Mail bekommen, die URL gesehen, ein Tool angeworfen und "dem Webmaster" eine Abuse-Mail geschickt. Von "ich habe verstanden, was Born mir mitteilt" oder den Blog-Post gelesen wohl keine Spur.
Ich habe jetzt auch den Abriss der Phishing-Mail um entsprechende Linkziele bereinigt und den Original-Link als Text angehängt.
Erkenntnis: Du kannst nicht vorsichtig genug sein, wenn Du über so etwas bloggst. Weitere Erkenntnis: Das Ganze erinnert mich an die Dialoge zwischen einem Google Sicherheitsforscher und Trend Micro-Entwicklern, als der Google-Mann im Rahmen von Project Zero eine fette Sicherheitslücke offenbarte. Ich hab's im Blog-Beitrag Sicherheitslücke in Trend Micro-Schutzsoftware dokumentiert. Dort gipfelte der Dialog darin, dass der Google-Mitarbeiter den Satz "Please confirm you understand this report." in seine Forendialoge rein schrieb. Mein Entschluss: Ich werde hier solche Phishing-Mails nur noch als Screenshot im Blog posten, um da keine "schlafenden Hunde" mit Tools "zu wecken", die dann ohne Sinn und Verstand aktiv werden.
Nachtrag: Hat noch eine weit unangenehmere Folge – zwischenzeitlich habe ich von Blog-Lesern die Info erhalten, dass die Domain borncity.com/blog von OpenDNS als Phishing-Site geblockt wird. Hab denen mal eine Removal-Mail geschickt – obwohl die Site botcrawl.com in diesem Artikel schreibt "OpenDNS is not a necessity and may not add any realistic value or safety to a computer.". Ach ja, die gehören mittlerweile zu CISCO, da hatte ich gerade vor zwei Tagen was im Artikel Fluch(en über) der Technik … in Bezug auf Sicherheit. Mit so was befasst Du dich zwischenzeitlich als Blogger – ich glaube, ich schreibe demnächst nur über meine (fehlenden) Erlebnisse als Hufschmied. Update: In ein paar Stunden gibt es einen weiteren Beitrag zu OpenDNS, der zeigt, wie irre die Amis mit ihren Algorithmen hantieren – ist nicht mehr wirklich lustig.
Ähnliche Artikel:
Vorsicht: Neue PayPal-Phishing-Welle im anrollen …
Schwachstelle "Authentifizierung" bei PayPal und Co.
PayPal – die können es einfach nicht
Sicherheitswarnung: PayPal-Trojaner im Umlauf
PayPal als Problembär?
Die PayPal-Mafia …
PayPal skurril – die Dritte ….
Anzeige
hältst du uns auf dem laufenden, was paypal weiter schreibt, nachdem du entsprechend auf die Mail deine Rückantwort verfasst hast.
Vielleicht kann da doch noch eine lustige Geschichte so fürs Wochenende werden ;-)
Das die Mails nicht wirklich gelesen werden, kann man auch bei deutschen Banken beobachten. Ich schickte meiner Hausbank auch mal eine Phishing-Mail weiter und erhielt als Antwort eine Anleitung wie ich für mein Konto die Option Online-Banking aktivieren kann und wie das dann so funktioniert. Das hatte mit meiner Mail und meinen Fragen nicht wirklich was zu tun.
Und wieder eine nette Geschichte aus dem "ebay /PayPal -Universum" die sich wunderbar in meine langjährigen Efahrungen mit genannten Unternehmen einfügt. Der Support ist dort, so meine Erfahrungen, durchgängig allerunterste Schublade. Manchmal entwickelte sich nach einer Anfrage bzw. nach einem Hinweis ein Mailmarathon bei dem man beginnt zu denken "so blöde können die da doch garnicht sein …" und man hat den Eindruck das hätte alles nur eine Alibifunktion, man schreibt in Zukunft besser nicht mehr. Ja das passt mal wieder, schönes Wochenende :)
Das der Link noch auf dem Bild war hat man gesehen wenn man mit der Maus drüber gegangen ist, wer das anklickt ist dann wohl selbst schuld, aber da so ein Drama draus zu machen finde ich schon komisch von "Pay Pal".
Oder haben die was zu verbergen. (Pishing/Hacks)
Ach was alles Lappalie lol, ich hatte mal vor ca. 12 Jahren ein Bankkonto bei der Volksbank, Online Banking hab ich nie gemacht weil ich direkt gegenüber einer Filiale Wohnte, aber ich bekam (vielleicht erinnert Ihr euch noch) ständig auf meine Email Konten schlecht gemachte Phishing-Mails, die ich dann nach einem Anruf bei meiner Volksbank alle immer ganz Brav an die Volksbank weitergeleitet habe.
Eines schönen Tages gehe ich hinüber zu meiner Volksbank Filiale (wollte was abheben oder überweisen, keine Ahnung mehr) da muss ich feststellen das Mein Konto gesperrt ist, ich also zu meinem Sachbearbeiter und frage ihn wieso, weshalb und warum.
Er druckste etwas herum, wollte oder durfte mir keine Auskunft geben, aber machte mir einen Termin bei seinem Chef drei Tage später.
Am nächsten Morgen um 6:00 Uhr Stehen die Grün-weiße Sportverein (heute Blau-Silber) vor der Tür, zwecks Hausdurchsuchung, ich meinen Rechtsverdreher angerufen, er kommt vorbei und anschließend werden meine beiden Rechner beschlagnahmt wegen Internet Betrugs.
Nen Tag später habe ich also meinen Termin beim Chef der Volksbank Filiale, gehe dort hin um auf zu klären wieso mein Konto gesperrt ist.
Da stellt sich heraus das die Volksbank wegen den Phishing-Mails die ich an sie Weitergeleitet habe, mein Konto gesperrt haben und eine Strafanzeige gegen mich gemacht haben, weil sie Dachten die Phishing-Mails wären von mir (waren sie ja auch nur hab ich die nur Weitergeleitet).
Ich also wieder meinen Rechtsverdreher angerufen (im übrigen mein Rechtsverdreher ist ein sehr guter Freund der mich noch heute vertritt und den ich auch so in der Kneipe Privat Tituliere), dem das erklärt, Er hatte mittlerweile wegen der Hausdurchsuchung von der Staatsanwaltschaft ebenfalls schon erfahren das da eine Anzeige wegen Internet Betrugs gegen mich läuft.
Das ganze ist dann vor ein Anhörungsausschuss gekommen und hat sich glücklicherweise alles aufgeklärt, meine beiden PCs habe ich zurückbekommen, die Volksbank hat sich bei mir vielmals Schriftlich, so wie ich es wollte entschuldigt und ich habe dann mein Konto dort gekündigt und bin jetzt bei einer anderen Genossenschaftsbank.
Vor drei Jahren hatte ich dann wegen einer anderen Sache eine Anhörung (Zeugenaussage) bei der Kripo, da hält mir der Beamte genau die Geschichte wieder unter die Nase, von wegen ich wäre ja damals schon mal Aufgefallen!
Mir fällt dazu nur ein Begriff ein: FACHIDIOTEN!!!
Diese Spezie ist nicht in der Lage, über den Schreibtischrand hinauszublicken.
Da fragt man sich ernsthaft, warum überhaupt diese "Spezialisten" zu belästigen, wenn man Angst haben muss, von denen als "schwarzes Schaf" abgestempelt zu werden.
…denn sie wissen nicht, was sie tun!
fred59
Übrigens EBay hat mir eine Mail geschickt, das ich 1 Jahr mein Passwort nicht geändert hätte und es jetzt ändern soll. Mit Link-Button. Wie bei PayPal. Ich überlege schon ob ich das Günter sende.
So eine E-Mail bekam ich auch mit der Bitte meine Ebay-Kontaktdaten zu aktualisieren. Auch mit großen blauen Button.
mache es ruhig, es könnte wieder einen aufschlussreichen Text geben. Bei PP gab es ja auch was Neues.
fred59
Kirsche (1 Kommentar weiter unten) hatte schon geschrieben.
Habe von ebay heute auch eine "Erinnerungsmail" bekommen mit folgendem Bezug:
"Hallo xxxxxxxx,
Sie haben Ihre persönlichen Daten seit über einem Jahr nicht mehr aktualisiert. …….."
Über den Link-Button, welcher auf folgende Website verweist ( http:// rover.ebay. com/rover/0/e13217.m.l7678/7?euid=4c193603270b4e719f44686b4a1303c9&loc=https%3A%2F%2Freg.
ebay.de%2Freg%2FUpdateContactInfo%3Fflow%3DEMAIL) kommt man nur zur Anmeldeseite mit Authentifizierung per E-Mail Adresse / Benutzername und Passwort.
Ich denke mal dass es sich dabei um keine Phishing Mail gehandelt hat.
[Anmerkung G. Born: Ich habe den Link so verstümmmelt, dass dieser von Algorithmen nicht mehr als Link angezeigt bzw. erkannt wird – der Grund wird im morgigen Blog-Beitrag zu OpenDNS deutlich.]
PayPal-Hacking-Benachrichtigung die 3
Zwischenzeitlich habe ich die dritte E-Mail von PayPal Abuse reports P1 bekommen. Diesmal in deutsch (obwohl ich die Gruppe mehrfach angemailt habe. Hier die deutsche Mal samt meiner Antwort – dieser Blog-Post ist in der Mail verlinkt.
Am 17.01.2016 um 23:53 schrieb PayPal Abuse Reports R1:
> Hallo [borncity.com] Webmaster,
>
> es ist uns aufgefallen , dass eine PayPal Spoof-Phishing-Site
> unter
> http://www.borncity.com/blog/2016/01/11/vorsicht-neue-paypal-phishing-welle-im-anrollen/
>
> erstellt worden ist.
>
> Wir nehmen an, dass Ihre Website gefährdet ist. Wir empfehlen, dass Sie das
> Passwort fuer Ihr Web Hosting-Konto so schnell wie moeglich aendern und
> das entsprechende Material entfernen.
>
> Wenn Sie Daten haben, die uns helfen koennten, den Taeter dieses Verbrechens
> aufzuspueren, wuerden wir es schaetzen, wenn Sie uns diese zukommen
> liessen.
>
> Sollten Sie weitere Unterstützung benoetigen oder Fragen haben, wenden Sie sich gerne an uns.
>
> Vielen Dank,
>
> PayPal Inc.
>
> Trust & Safety
> ftsteam@paypal.com
> =============================
>
> Dear [borncity.com] Webmaster,
>
> It has come to our attention that an PayPal spoof / phishing site has been set up at:
>
> http://www.borncity.com/blog/2016/01/11/vorsicht-neue-paypal-phishing-welle-im-anrollen/
>
> We believe that your website has been Compromised/Hacked.
>
> We recommend that you change your password for your web hosting accounts as soon as possible, and then remove the offending material and initiate a virus scan. We also recommend you contact your hosting provider to make sure your web hosting accounts remain secure.
>
> If you have any logs or data files that could help us track down the perpetrator of this crime, we would appreciate it if you could forward that on to us.
>
> If you have any questions or need further assistance, please do not hesitate to ask.
>
> Thank you,
>
> PayPal Inc.
>
> Trust & Safety
> ftsteam@paypal.com
>
> For more information on phishing please see: http://pages.ebay.com/education/spooftutorial/
>
*Bitte bestätigen Sie mir*, dass jemand mit Verstand den folgenden, an tsteam@paypal.com gesendeten Text ….
Did somebody read the (German) blog-post listed above? I've documented a PayPal phishing attempt within this article – and I've informed PayPal via /spoof@paypal.com /about this attempt.
As a result, I'm receiving now mails from ftsteam@paypal.com that the site has been compromised, and I was notified by blog readers, that OpenDNS is blocking my site.
I checked my blog – it's definitely not hacked nor compromised. It's just your tools that terrible fails. I've documented it in further blog posts.
So: Check the site and remove my domain imediately from your black lists – and also forward it to your subsidaries who are using this black lists.
sowie die folgenden Blog-Beiträge:
Vorsicht: Neue PayPal-Phishing-Welle im anrollen (um diesen Beitrag geht es wohl)
PayPal skurril – die Dritte (hier wird
die Absudität Ihrer obigen Mail aufbereitet)
und
Borncity.com blacklisted auf OpenDNS (die Folgen)
wirklich *gelesen* und *verstanden* hat.
Sollte borncity.com wirklich Phishing-Ansätze enthalten – meine
Überprüfung ergab, dass die Site sauber ist, erbitte ich um konkrete Benennung der URL sowie des verwendeten Phishing-Ansatzes.
Momentan ist das Thema wirklich nicht mehr lustig und PayPal sowie das FTS-Team machen sich in meinen Augen nur noch lächerlich.
—
Mit freundlichem Gruß
Dipl. Ing. Günter Born
…
Mal sehen, was bei rum kommt …