Spam Alarm! Verdächtige Zahlung erkannt

Au Backe! Eine Transaktion, die nicht zu meinem Handeln passt, und mich zum Handeln (offenlegen meiner Zugangsdaten) drängt.

Einige der hier genannten Seiten wurden von mir als Betrugsversuch identifiziert. Um das Risiko zu mindern, dass die Links versehentlich ausgeführt werden und die Phisher trotz Warnung Erfolg haben, wurden die Links absichtlich verfälscht. Dennoch gilt: Jegliche Nutzung geschieht auf eigenes Risiko!

Als hätte ich nichts besseres zu tun, morgens um 7:30 Uhr, flattert diese Email ein:

From: (service@paypal-deutschland.de)
To: voll.daneben@irgendwo-irgendwann.de
Betreff: Verdächtige Zahlung erkannt

Verdächtige Zahlung erkannt

Transaktionscode: 4B2734088J631162B

Sehr geehrte(r) PayPal-Kunde,

Durch das von uns entwickelte System zur Erkennung von Betrugs-versuchen 
was unter anderem Ihren Standort der Bezahlvorgänge miteinander vergleicht, 
war es uns nicht möglich diesen Vorgang eindeutig Ihrem Handeln zuzuordnen.
Zur Bestätigung Ihrer Identität bitten wir Sie, Ihre Daten zum Abgleich 
erneut einzugeben. Der Vorgang dauert keine 2 Minuten und im Anschluss 
finden Sie Gelegenheit weitere Details zum Grund dieser Maßnahme zu erlangen.

Klicken sie hier um ihre Daten abzugleichen

Betrag: €98,54 EUR
Gesendet am: 03. April 2014
Betreffzeile Ihrer Zahlung: Zahlung für ALLES-MIT-STECKER.de.
Text Ihrer Zahlungs-E-Mail:
	Schicken sie bitte die Ware an diese Adresse :
	Dennis Strunk
	Schillerstr. 45b
	98574 Schmalkalden

Viele Grüße
Ihr Team von PayPal

Erst einmal gilt wie immer: Ruhe bewahren. Was sind die Fakten, was ist passiert?

Also,

  • "Verdächtige Zahlung..." bla,
  • "Sehr geehrte(r) Kunde"... sillos und unpersönlich,
  • "Betrugs-versuch"... Schreibfehler...,
  • "Erkennung von ... was unter anderem"... Satzzeichenfehler,
  • "Standort ... Ihrem Handeln zuzuordnen"... Logo! Geolokalisierung ist abgeschaltet,
  • "Ihre Daten zum Abgleich erneut einzugeben"... Niemals!,
  • "2 Minuten und im Anschluss"... wieder Satzzeichenfehler,
  • "Weitere Details zum Grund dieser Maßnahme"... die hätte ich aber gern vorher gewusst...
  • "Klicken sie hier um"... Satzeichen sind wohl alle ausverkauft gewesen, ebenso wie Großschreibe bei Anrede,
  • "€98,54 EUR"... Wenn man die Währung doppelt nennet, wirkt es natürlich noch glaubwürdiger...

Internet-Check

Im Internet gibt die erste Zeile bereits Auskunft darüber, was es sich mit dieser ominösen Aufforderung des "Datenabgleichs" auf sich hat. Die Meinung durchweg dort: Betrugsversuch.

Hinter der Fassade

Ein Blick in den Code der Email (also der reine Quelltext) zeigt welche fantastischen Irreführungen bisher verborgen blieben.

Zuerst fällt auf woher die Email versendet wurde:

bayprinting.co.uk
by server.internetcreation.eu

Seltsam: Kein Hinweis auf PayPal...

Einem Web-Entwickler fällt als Nächstes sofort auf, dass fast alle Links mit href="#" ausgestattet und dies nirgendwo hin führt, bis auf den Link der zum Phishing-Server führt natürlich. Die Details zur Transaktionsnummer oder den Service von PayPal würde man so vergeblich anzeigen lassen wollen...

<a href="#" target="_blank">Öffne-neues-Fenser-und-zeige-Unsinn</a>

Otto Normalverbraucher denkt sich vermutlich: "So ein scheiß PC, da klemmt wieder mal was..." So ein warnender Hinweis, dass etwas nicht stimmt, sollte nie ignoriert werden!

Bilder, die die Glaubwürdigkeit unterstreichen sollen werden hier über den Server directupload.net geladen.

http://s7.directupload.net/images/... 

Also als Webbetreiber würde ich den Server selbst bereitstellen, denn durch den Aufruf der Bilder sehe ich im Access-Log Zugriffsstatistiken, die mir als Unternehmen viel Auskunft über das Leseverhalten meiner Empfänger sagen können... Wird ein solches Bild mit einer eindeutigen ID versehen, weiss ich, wer wann welche Email liest. (Siehe Wiki: WebBugs, Zählpixel oder Tracker-Pixel)

Um sich vor Zählpixeln zu schützen ist es empfehlenswert das automatische Laden von Bildern in Emails abzustellen. Man muss sich dann nur im Klaren sein, dass man eventuell die Email schlechter lesen kann.

Des Weiteren ist es für ein solches Finanz-Unternehmen eher rufschädigend, wenn es seine Daten über Dritte schleust...

Also, Vermutung gestärkt: kein PayPal-Email.

Oh ja, jetzt wird es interessant... Wohin geht denn der vermeintliche Link mit der (falsch geschriebenen) Aufforderung meine Daten zu verifizieren?

http://xurl.es/aj...

Huch! Eine Weltreise beginnt hier in Spanien... und dort nicht einmal mehr bei PayPal...

> wohis xurl.es

... Access will only be enabled for  IP addresses  authorised  by Red.es. ...

Ne, ist klar.

Lassen wir mal Google, diese Seite übersetzen. Mal sehen, was es dort findet:

Die angefragte Seite (httq://www.zahlungreferentz-systemm.onk/...bla.../) 
hat eine Weiterleitung auf eine Seite (httq://sedoparking.bla/www.zahlungreferentz-systemn.onk) 
versucht, die nicht übersetzt werden konnte.

Meine Güte, es wird auf ein Zahlungsreferenz-System weitergeleitet... wem gehört denn das wieder?

Google referenziert eine Hand voll Seiten, deren übereinstimmender Tenor ist: Vorsicht Phishingseite!

> whois zahlungsbla-system.org

Registrant Organization:WhoisGuard, Inc.
Registrant Street: P.O. Box 0823-03411
Registrant City:Panama

Panama? Alter Schwede, da greift vermutlich nicht das deutsche Strafgesetz...

Oder etwa doch, wenn die Umleitung nach sedoparking.bla geht?

> whois sedoparking.bla

owner-org:       Sedo GmbH
owner-address:   Im Mediapark 6b
owner-pcode:     50670
owner-city:      Koeln

Oh ja, Sedo's eigene Aussage:

"Sedo ist der weltweit führende Anbieter für Domain-Monetarisierung und Domain-Handel."

Naja, wie auch immer dieser Auftritt aussehen mag, ich breche meine Recherche hier ab. Für mich ist es klar genug, dass der Klick auf die Aufforderung in dieser Email einen fatalen Fehler mit sich ziehen würde.

Fazit

Löschen! Mail -> Mülleimer -> Mülleimer leeren