Au Backe! Eine Transaktion, die nicht zu meinem Handeln passt, und mich zum Handeln (offenlegen meiner Zugangsdaten) drängt.
Als hätte ich nichts besseres zu tun, morgens um 7:30 Uhr, flattert diese Email ein:
From: (service@paypal-deutschland.de)
To: voll.daneben@irgendwo-irgendwann.de
Betreff: Verdächtige Zahlung erkannt
Verdächtige Zahlung erkannt
Transaktionscode: 4B2734088J631162B
Sehr geehrte(r) PayPal-Kunde,
Durch das von uns entwickelte System zur Erkennung von Betrugs-versuchen
was unter anderem Ihren Standort der Bezahlvorgänge miteinander vergleicht,
war es uns nicht möglich diesen Vorgang eindeutig Ihrem Handeln zuzuordnen.
Zur Bestätigung Ihrer Identität bitten wir Sie, Ihre Daten zum Abgleich
erneut einzugeben. Der Vorgang dauert keine 2 Minuten und im Anschluss
finden Sie Gelegenheit weitere Details zum Grund dieser Maßnahme zu erlangen.
Klicken sie hier um ihre Daten abzugleichen
Betrag: €98,54 EUR
Gesendet am: 03. April 2014
Betreffzeile Ihrer Zahlung: Zahlung für ALLES-MIT-STECKER.de.
Text Ihrer Zahlungs-E-Mail:
Schicken sie bitte die Ware an diese Adresse :
Dennis Strunk
Schillerstr. 45b
98574 Schmalkalden
Viele Grüße
Ihr Team von PayPal
Erst einmal gilt wie immer: Ruhe bewahren. Was sind die Fakten, was ist passiert?
Also,
- "Verdächtige Zahlung..." bla,
- "Sehr geehrte(r) Kunde"... sillos und unpersönlich,
- "Betrugs-versuch"... Schreibfehler...,
- "Erkennung von ... was unter anderem"... Satzzeichenfehler,
- "Standort ... Ihrem Handeln zuzuordnen"... Logo! Geolokalisierung ist abgeschaltet,
- "Ihre Daten zum Abgleich erneut einzugeben"... Niemals!,
- "2 Minuten und im Anschluss"... wieder Satzzeichenfehler,
- "Weitere Details zum Grund dieser Maßnahme"... die hätte ich aber gern vorher gewusst...
- "Klicken sie hier um"... Satzeichen sind wohl alle ausverkauft gewesen, ebenso wie Großschreibe bei Anrede,
- "€98,54 EUR"... Wenn man die Währung doppelt nennet, wirkt es natürlich noch glaubwürdiger...
Internet-Check
Im Internet gibt die erste Zeile bereits Auskunft darüber, was es sich mit dieser ominösen Aufforderung des "Datenabgleichs" auf sich hat. Die Meinung durchweg dort: Betrugsversuch.
Hinter der Fassade
Ein Blick in den Code der Email (also der reine Quelltext) zeigt welche fantastischen Irreführungen bisher verborgen blieben.
Zuerst fällt auf woher die Email versendet wurde:
bayprinting.co.uk
by server.internetcreation.eu
Seltsam: Kein Hinweis auf PayPal...
Einem Web-Entwickler fällt als Nächstes sofort auf, dass fast alle Links mit href="#"
ausgestattet und dies nirgendwo hin führt, bis auf den Link der zum Phishing-Server
führt natürlich.
Die Details zur Transaktionsnummer oder den Service von PayPal würde man so vergeblich
anzeigen lassen wollen...
<a href="#" target="_blank">Öffne-neues-Fenser-und-zeige-Unsinn</a>
Otto Normalverbraucher denkt sich vermutlich: "So ein scheiß PC, da klemmt wieder mal was..." So ein warnender Hinweis, dass etwas nicht stimmt, sollte nie ignoriert werden!
Bilder, die die Glaubwürdigkeit unterstreichen sollen werden hier über den Server
directupload.net
geladen.
http://s7.directupload.net/images/...
Also als Webbetreiber würde ich den Server selbst bereitstellen, denn durch den Aufruf der Bilder sehe ich im Access-Log Zugriffsstatistiken, die mir als Unternehmen viel Auskunft über das Leseverhalten meiner Empfänger sagen können... Wird ein solches Bild mit einer eindeutigen ID versehen, weiss ich, wer wann welche Email liest. (Siehe Wiki: WebBugs, Zählpixel oder Tracker-Pixel)
Des Weiteren ist es für ein solches Finanz-Unternehmen eher rufschädigend, wenn es seine Daten über Dritte schleust...
Also, Vermutung gestärkt: kein PayPal-Email.
Oh ja, jetzt wird es interessant... Wohin geht denn der vermeintliche Link mit der (falsch geschriebenen) Aufforderung meine Daten zu verifizieren?
http://xurl.es/aj...
Huch! Eine Weltreise beginnt hier in Spanien... und dort nicht einmal mehr bei PayPal...
> wohis xurl.es
... Access will only be enabled for IP addresses authorised by Red.es. ...
Ne, ist klar.
Lassen wir mal Google, diese Seite übersetzen. Mal sehen, was es dort findet:
Die angefragte Seite (httq://www.zahlungreferentz-systemm.onk/...bla.../)
hat eine Weiterleitung auf eine Seite (httq://sedoparking.bla/www.zahlungreferentz-systemn.onk)
versucht, die nicht übersetzt werden konnte.
Meine Güte, es wird auf ein Zahlungsreferenz-System
weitergeleitet...
wem gehört denn das wieder?
Google referenziert eine Hand voll Seiten, deren übereinstimmender Tenor ist: Vorsicht Phishingseite!
> whois zahlungsbla-system.org
Registrant Organization:WhoisGuard, Inc.
Registrant Street: P.O. Box 0823-03411
Registrant City:Panama
Panama? Alter Schwede, da greift vermutlich nicht das deutsche Strafgesetz...
Oder etwa doch, wenn die Umleitung nach sedoparking.bla
geht?
> whois sedoparking.bla
owner-org: Sedo GmbH
owner-address: Im Mediapark 6b
owner-pcode: 50670
owner-city: Koeln
Oh ja, Sedo's eigene Aussage:
"Sedo ist der weltweit führende Anbieter für Domain-Monetarisierung und Domain-Handel."
Naja, wie auch immer dieser Auftritt aussehen mag, ich breche meine Recherche hier ab. Für mich ist es klar genug, dass der Klick auf die Aufforderung in dieser Email einen fatalen Fehler mit sich ziehen würde.
Fazit