Mittwoch, 11. Dezember 2013

[#Security #PayPal] Ausführliche Hinweise: Die leidigen "PayPal-Phishing"-Mails ...

Ich hab's leid ...
Zur Zeit nimmt es wirklich überhand. Jeden dritten bis fünften Tag landen die leidigen PayPal-Phishing-Mails wieder in meinen Postfächern. Zwar sortiert mein Spamfilter ordnungsgemäß, aber die Aufmachung der Mails wird wirklich immer besser. Obwohl sich anhand einiger Merkmale die Fälschungen doch erkennen.lassen, werden viele User verunsichert und der eine oder andere lässt sich tatsächlich auf die gefakte Seite ziehen.

Nachfolgend daher noch einmal ein paar Screenshots mit ein paar Hinweisen, wie man diese Fälschungen entlarvt.

Es beginnt mit einer (fast) original aussehenden Mail, bei der man sogar neuerdings mit seinem Namen angesprochen wird:
(Bild anklicken)


Auffällig hier nur die (rot unterstrichenen) Rechtschreibfehler.

Im Übrigen: ich habe keinen zweiten Vornamen, melde mich aber gerne hier und da auf nicht so ganz sauber aussehenden Websites auf diese Art und Weise mit einem angeblich abgekürzten zweiten Vornamen an, um nachvollziehen zu können, wo und auf welche Weise meine Daten im Netz ihren Weg nehmen ...

Ich war mal so mutig, in einer "Sandbox" dem unten angegebenen Link zu folgen, um die Möglichkeiten auszuloten.
Man landet nun auf einer Website "http://ssl.paypal-a.com/secured-connnection/CustomerID/....", die durch die Voranstellung der Buchstaben "//ssl. ..." offenbar eine sichere https-Verbindung vortäuschen soll.
Hier überliest man schnell, dass es sich um eine Website mit dem Namen "paypal-a.com" handelt.
Die nun erscheinende Website ähnelt zwar nicht der Startseite von Paypal, ist jedoch eine gut gelungene Kopie der Unterseite "Kaufen". Hier im Vergleich die beiden Seiten gegeneinander gestellt:

Die echte Seite:
(Bilder anklicken)


und die Phishing-Seite <<http://ssl.paypal-a.com/....>>:


(wieder ein kleiner Rechtschreibfehler "Bitte Helfen Sie ..." ...)


Sie erkennen die Unterschiede:
In der oberen Navigationsleiste wurde der Begriff "Verifizierung" den Unterseiten "Kaufen" und "Verkaufen" vorangestellt und die rechte Bildschirmhälfte wurde dem Betrugsversuch angepasst.

Hinweis:
Klickt man nun nicht auf den rechten Link "Jetzt fortfahren", sondern wählt eine der anderen Unterseiten "Kaufen" oder "Verkaufen" an, wird man tatsächlich auf die originale PayPal-Seite weitergeleitet ...

Folgt man aber dem betrügerischen Link, öffnet sich ein Web-Formular, wobei der vorsichtige User schon jetzt darüber stolpern sollte, dass sein PayPal-Kennwort abgefragt wird:
(Bilder anklicken)


... und ganz haarig wird's dann auf der nächsten Seite:



Allerdings, das Ende ist dann auch ganz hübsch gestaltet: zuerst erhält ,man den Hinweis, dass die Daten gespeichert werden und dann wird man tatsächlich nach 5 Sekunden auf die Original-Seite von PayPal geleitet.

Es bleibt also dabei:
Möglichst keinen Links egal welcher Art folgen, wenn der Ursprung nicht 100-%-ig sicher ist.
Im Zweifelsfall immer erst die Originalseite des Herstellers/Anbieters/Unternehmens etc. aufrufen und dort versuchen, den Kontakt herzustellen.
Und was natürlich jeder weiß:
Wenn überhaupt, gehören Konto- und/oder Kreditkartendaten ausschließlich in Datenfelder abgesicherter und verifizierter Websites.


Und wen es interessiert:

Hier sind die offiziellen "WhoIs"-Angaben der Website "paypal-a.com" (besitzt auch noch andere wie z.B. "paypal-a.net" etc.):

Domain Name: PAYPAL-A.COM
Registry Domain ID: 1829076518_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.nic.ru
Registrar URL: http://www.nic.ru
Updated Date: 2013-09-27T12:14:33Z
Creation Date: 2013-09-27T12:08:53Z
Registrar Registration Expiration Date: 2014-09-26T20:00:00Z
Registrar: Regional Network Information Center, JSC dba RU-CENTER
Registrar IANA ID: 463
Registrar Abuse Contact Email: tld-abuse@nic.ru
Registrar Abuse Contact Phone: +7.4959944601
Domain Status: clientTransferProhibited
Registry Registrant ID: 
Registrant Name: Chris Lokstedter
Registrant Organization: Chris Lokstedter
Registrant Street: 2a, Lindenstr.
Registrant City: Grossmehring
Registrant Postal Code: 85098
Registrant Country: DE
Registrant Phone: +49.1764738273
Registrant Phone Ext: 
Registrant E-mail: Chris-Seemayer-Lokstedter@gmx.net
Registry Admin ID: 
Admin Name: Chris Lokstedter
Admin Organization: Chris Lokstedter
Admin Street: 2a, Lindenstr.
Admin City: Grossmehring
Admin Postal Code: 85098
Admin Country: DE
Admin Phone: +49.1764738273
Admin Phone Ext: 
Admin E-mail: Chris-Seemayer-Lokstedter@gmx.net
Registry Tech ID: 
Tech Name: Chris Lokstedter
Tech Organization: Chris Lokstedter
Tech Street: 2a, Lindenstr.
Tech City: Grossmehring
Tech Postal Code: 85098
Tech Country: DE
Tech Phone: +49.1764738273
Tech Phone Ext: 
Tech E-mail: Chris-Seemayer-Lokstedter@gmx.net
Name Server: ns3-l2.nic.ru
Name Server: ns4-cloud.nic.ru
Name Server: ns4-l2.nic.ru
Name Server: ns8-cloud.nic.ru
Name Server: ns8-l2.nic.ru
DNSSEC: unsigned
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
>>> Last update of WHOIS database: 2013.12.11T17:51:33Z <<<
% By submitting a query to RU-CENTER's Whois Service
% you agree to abide by the following terms of use:
% http://www.nic.ru/about/servpol.html (in Russian)
% http://www.nic.ru/about/en/servpol.html (in English).