Skip to content

Packstation Phishing

Habe, gerade eine nette Mail von der DHL Packstation bekomme.
Ich stell die mal hier im Original rein und kommentiere sie ein wenig.

Sehr geehrter Kunde,

im Zuge einer Systemumstellung ist es leider unumg?nglich das Sie ihre Kundendaten bei uns verifizieren. Dies dient zur Einrichtung von unserem neuen Sicherheitssystem im Kampf gegen Phishing.


Das ist ja wirklich nett von DHL, dass sie sich da Gedanken machen und bestimmt auch ganz kundenfreundlich.


Nach erfolgreicher Best?tigung Ihrer "Kundennummer", Ihres "Pins" und Ihres "Internet-Passwortes", sind Ihnen unter anderem folgende neue Optionen erm?glicht:


Ja, klar, hmmmmm....
"Kundenummer" Ok, die müssen ja wissen, wer ich bin.
"Internt-Passwort" Na, gut wenn ich mich zum freischalten einloggen muss, klar.
"Pin" die brauch ich doch nur zum abholen einer Sendung aus der Packstation.

Spätestens hier sollten die Alarmglocken dann doch angehen.


# Individuelle Reporte erstellen
# Sendungslagerfristen ?ndern
# Mitarbeiterdaten verwalten
# Sendungsdaten abrufen
# Vertreter f(9r Sendungsabholungen bestimmen


Ja, ja, ganz tolle Features, aber kein einziges davon hilft gegen Phishing.


Verifizierung: http://www.dhl-packstation.de.tt


Die URL fällt nicht einmal mehr unter "netter Versuch" sonderen eher unter "für wie blöd halten die einen eigentlich?".
Die Typen geben sich nicht mal die Mühe mit den üblichen Tricks die Adresse zu verschleiern, was für Amateure.
Immerhin sieht die dort abgelegte Page, wie die Original Login-Seite bei DHL aus, bis auf das zusätzliche Post-Pin-Feld-


Bei weiterf(9hrenden Fragen schicken Sie uns bitte eine E-Mail an DHL@sicherheit.de


Interessant, die Domain sicherheit.de gehört zur AXA Versicherung und leitet weiter auf www.s-wie-sicherheit.de weiter, die auf die Luna Park GmbH registriert ist. In den Referenzen taucht dort die AXA auch auf.
Was wohl passiert, wenn man eine Mail an die Angegeben Adresse verschickt?
Kann man ja mal probieren:

Guten Tag,
seit wann ist denn die AXA für DHL Angelegenheiten zuständig?

Gut, Spaß beiseite, ist ihnen bekannt, dass ihre Domains für Phishing benutzt werden?

Grüsse


War Antwort war aber klar:


Hi. This is the qmail-send program at mail.gmx.net.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<dhl@sicherheit.de>:
Sorry,_I_couldn't_find_a_mail_exchanger_or_IP_address._(#5.4.4)/
</dhl@sicherheit.de>


Aber weiter im Text:


Vielen Dank f(9r Ihr Verst?ndnis


Viel Spa? mit PACKSTATION w(9nscht Ihnen Ihr PACKSTATION Team


Mal von der billigen URL abgesehen sind die "Schreibfehler" ja schon an sich ein ganz guter Hinweis darauf, dass dieses Mail sowas von faul ist.

Der Vollständigkeit halber noch der Header:


Return-Path: <sicherheit@mein-paket.de>
X-Flags: 0000
Delivered-To: GMX delivery to xxxxx@gmx.net
Received: (qmail invoked by alias); 22 Nov 2009 18:19:38 -0000
Received: from mout3.freenet.de (EHLO mout3.freenet.de) [195.4.92.93]
by mx0.gmx.net (mx114) with SMTP; 22 Nov 2009 19:19:38 +0100
Received: from [195.4.92.27] (helo=17.mx.freenet.de)
by mout3.freenet.de with esmtpa (ID Joerg6112@freenet.de) (port 25) (Exim 4.70 #1)
id 1NCH29-0007gO-WD
for xxxxx@gmx.net; Sun, 22 Nov 2009 19:19:37 +0100
Received: from 175.39-65-87.adsl-static.isp.belgacom.be ([87.65.39.175]:63415 helo=ogzkz)
by 17.mx.freenet.de with esmtpa (ID Joerg6112@freenet.de) (port 25) (Exim 4.69 #94)
id 1NCH29-00046K-Mv
for xxxxx@gmx.net; Sun, 22 Nov 2009 19:19:37 +0100
From: "Mitteilung" <sicherheit@mein-paket.de>
Subject: Wichtige Benachrichtigung bezueglich Ihrer Packstation
To: xxxxx@gmx.net
Content-Type: text/plain;
charset="US-ASCII"
Reply-To: fgsd112af@web.de
Date: Sun, 22 Nov 2009 19:19:37 +0100
X-Priority: 3
Message-ID: <20091122181938.30914gmx1@mx114.gmx.net>
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 0 (Mail was not recognized as spam);
Detail=5D7Q89H36p77e5KAPs1l6syHa+enbzd/3KqFMgf+yqTk3vvB44Pm4uTPg0639V/PB8WRM
o49XAjtG0t2ZAAbDlGGSxifWt7AG1pI+LV6HvjnVkXV0E6j2yLBwwQQOv7Qvq5EUQiX0nPkTacop
zppxQ==V1;
X-GMX-UID: 3/FgJP1cMydzZ9ZyKGplorFraGRhZhpd
</sicherheit@mein-paket.de></sicherheit@mein-paket.de>


Der Header ist weniger spannend, sozusagen das Übliche halt.
Ein Absender-Accout, der vermutlich irgendwo abgephisht wurde oder gefaked ist.
Immerhin wurde der, normalerweise für den Empfänger sichtbare Absender unter "From:" auf *@mein-paket.de geändert, diese Domain gehört auch zu DHL.
Die "Reply to:" sieht nach einem per zufall generierten Account aus, vermutlich wurde der mal per Bot bei web.de erstellt.

Im großen und ganzen wieder einer der dreißten und weniger eleganten Versuche Zugangsdaten abzuphishen.

Die Idee, an Logins für die Packstation zu kommen ist ja durchaus interessant, denn im Kundenbereich sind Adressdaten hinterlegt, die man dann wiederrum für einen Identitätsdiebstahl nutzen kann.
Oder man ändert die Adressdaten, denn Sendungen die entweder zu klein oder zu groß für die Packstation sind werden an die dort hinterlegte Adresse weitergeleitet.

Der Pin ist, vermutlich, eher nutzlos so lange man keine Kopie der Magnetkarte des betreffenden Kunden hat, allerdings könnte man natürlich, wie schon oben bemerkt, die Adressdaten ändern und sich eine neue Karte zuschicken lassen.

Bestimmt gibt es noch andere Möglichkeiten, die sich durch den Besitzt dieser Daten ergeben. Da dort auch EMail-Adressen hinterlegt sind, könnte man ja auch mal versuchen, ob man nicht auch noch Zugang zum Postfach bekommt, die meisten User verwenden ja für jeden Account das selbe Passwort und wenn man erst mal im Postfach ist kann man meistens auch sehr gut nachvollziehen, wo diese Person sonst noch aktiv ist.

Von daher gilt:
Augen auf bei solchen und ähnlichen Mails!

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Twitter, Gravatar, Favatar, Pavatar, Identica, Wavatars Autoren-Bilder werden unterstützt.
Formular-Optionen
tweetbackcheck