Wieder Paypal-Phishing-Mails im Umlauf

[Lennart]

Es sind aktuell wieder Phishing-E-Mails im Umlauf, die die Nutezrdaten von Paypal-Kunden abgreifen möchten.

Die E-Mails werden zum Beispiel von der Adresse paypal@paypal.security.com gesendet und sehen vertrauenswürdig aus.

Allerdings beschränkt Paypal nie irgendwelche Zugangsadaten und würde auch nicht via E-Mail den Nutzer auffordern, Zugangsdaten einzugeben.
Außerdem sind die E-Mails von Paypal meist in fehlerfreiem Deutsch gehalten.

Die E-Mail die ich heute erhalten habe (lustigerweise nicht mal an meine bei Paypal hinterlegte E-Mail-Adresse) sieht so aus:
   

Solche E-Mails am Besten sofort löschen und nicht beantworten oder Links anklicken. Die Zugangsdaten stets nur auf der Paypal-Seite eingeben. Die Seite erkennt man daran, dass sie wirklich paypal.de oder paypal.com heißt und mit https verschlüsselt ist. Das sieht dann so aus:
   

Bei Fragen zu Phishing und seltsamen E-Mails stehe ich euch gerne zur Verfügung.

[weltbummler]

Diese Phishing mails sehen sehr real aus, aber gerade bei banken, wie du gesagt hast würden die einen so wichtige informationen nicht per mail mitteilen sondern wahrscheinlich mit der Post.
Danke Lennart für diese information! Ich könnte auch welche bekommen, nicht wahr?

[mr.tommi]

Häng ich mich mal mit dran...
Ich habe am 22.05.2012 eine Phishing-Mail bekommen, die vorgibt, von Amazon zu kommen:

   

Thunderbird warnt ja schon davor, wer aber trotzdem den vermeintlichen Amazon-Link anklickt, landet auf http://cameratacapricho*.*com/modules/amazon/amazon.htm (Sternchen eingefügt, dass niemand versehentlich draufgehen soll).

Diese Mail ist zum Glück längst nicht so professionell gemacht, wie dein Paypal-Bespiel...

[weltbummler]

Also ich habe eine mail von meinem Internet provider ekommen mit 2 pdf anhängen bekommen. die hab ich auch geöffnet und ich soll mein modem updaten wegen einer neuen frequenz oder so. Aber da glaub ich dass das keine phishing mail war, wie kann ich phishing mails von ECHTEN unterscheiden?

[gamer94]

Ist es eine richtige Mailadresse vom Provider (OHNE Subdomain)?
Sollst du Daten eingeben?
Ist die Rechtschreibung richtig?
Ist ein Link in der Mail die auf eine nicht-Provider-Seite leitet? (URL genau prüfen)
Ist dein Name richtig geschrieben bzw. überhaupt vorhanden?
Ist die Mail einfach nur Text oder richtig mit Provider angepasstem Design?

Alles Dinge auf die man achten muss. Im absoluten Zweifel anrufen und nachfragen.

btw, ich bekomme momentan andauernd Rechnungen von allen möglichen Flirtwebseiten und Onlineshops (Roboterrasenmäher und so ein Kram). Alles jedoch mit murksigen Mailadressen und ohne meinen Namen. Einfach ignorieren.

[Vivienne]

Rechnungen zu ignorieren ist, soweit ich weiß, nicht so eine besonders gute Idee. Bekommst du sie denn ins Haus geschickt oder per Mail?

[gamer94]

Per Mail. Wie gesagt, mein Name stimmt nicht bzw ist nicht vorhanden und die Mailadressen sind Kram wie koscni@sonstwat.ru o.Ä. mit gezipptem Anhang, in welchem sich angeblich die Rechnungen befinden.

Ich habe die mal gerade unter einem Linux Live System geöffnet: Eine PIF-Datei in welcher sich ausführbarer Code versteckt. Soviel verrät zumindest der Hex Editor. Programmiert mit Delphi/Pascal. Windows Benutzname des Programmierers: Mohammed, wahrscheinlich irgendnen Fakename. Außerdem findet sich noch der Name einer russischen Softwarebibliothek darin. Scheint etwas mit Komprimierung oder Verschlüsselung von Exe-Dateien zu tun zu haben. Bei Virustotal schlagen 50% der Scanner Alarm. Ist also wirklich einfach nur ein Versuch Viren zuverbreiten.

Die nächste Mail enthält eine COM-Datei, Virustotal schlägt hier ebenfalls mit fast allen Scannern Alarm.

Dann noch eine PIF-Datei, programmiert in Visual Basic 6 (den importierten DLLs nach zu urteilen) und kommt aus Italien, was ich aufgrund der Standardstrings so beurteilen würde. Virustotal meckert auch hier mit fast allen Scannern.

Zu guter Letzt nochmal eine COM-Datei, bei Virustotal läuten sämtliche Alarmglocken. Laut Hex Editor wird versucht ne Mail zu schicken und das Programm versucht einen Adobe Prozess nachzuahmen. (Dateisignatur und Prozessname)

Ich brauche mir also keine Sorgen zu machen, hier gehts überall nur um die Verbreitung von Malware.