Phishing, die nächsten – PayPal ist nicht gleich PayPal

PayPal Phishing

Und heute wieder einen neuen dreisten Phishing Versuch im Posteingang. Um es gleich vorweg zu nehmen. Selbstverständlich ist diese Mail keinesfalls von PayPal selbst. Natürlich handelt es sich auch hier wieder um einen sehr dreisten und durchaus ganz „gut“ gemachten Versuch des Identitäsdiebstahls.

Aber woran erkennt der Nutzer denn, dass eine solche Mail nicht echt ist. Die Aufmachung wirkt in diesem Fall ja durchaus so, als könnte sie echt sein.

Anbieter wie PayPal, Amazon, ebay, Facebook und wie sie alle heißen senden niemals solche Mails ohne persönliche und korrekte Ansprache. Die kennen Dich beim Namen unter dem Du dich dort registriert hast, und reden Dich auch mit diesem Namen an. Dabei verwenden Sie immer die Schreibweise, die Du auch bei der Registrierung verwendet hast und nicht die, die man Vielleicht aus einer Mail ableiten könnte.

Wenn Du als User also Max Müller geschrieben hast, dann schreiben sie Dich auch als Max Müller an und nicht als Max Mueller, max.mueller (z.B. als Teil einer E-Mail Adresse)

Die verwendeten Absender E-Mail-Adressen sind immer direkt vom Anbieter und nicht wie bei der mich heute erreichenden Mail z.B. eine 1&1-Adresse. (Ich habe diese Mail dann auch gleich mal mit allen zugehörigen Detailinformationen an 1&1 weitergeleitet. Vielleicht finden die ja heraus, welcher ihrer Kunden sich dort illegaler Methoden bedient, und ziehen entsprechende Konsequenzen daraus.

Generell empfehle ich, falls möglich immer den Provider zu informieren, über den die Mail tatsächlich versendet wurde. Insbesondere bei deutschen Anbietern macht das Sinn, da hier durchaus reagiert wird. Bei einem russischen Mailanbieter kann man sich diese Mühe zumeist sparen.

Neben der fehlenden oder zumeist sehr unpersöhnlichen oder unkorrekten Ansprache deutet noch eine andere Tatsache darauf, dass es sich nicht um eine echte E-Mail handelt. Der Inhalt der Mail ist gar kein geschriebener und formatierter Mailtext, sondern das ganze ist nur ein eingebettetes Bild, das im ganzen als sogenanntes „Clickable-Image“ definiert ist. Man muss also keineswegs den Button am Ende der Mail betätigen um auf die vermeintliche Verifikationsseite geleitet zu werden, sondern jeder Kldick irgendwo in der Mail führt direkt zu der angegebenen Webseite.

Zu erkenne ist dies, wenn man sich den Quelltext der Mail ansieht. Leider ist dies Funktion in Outlook etwas versteckt und manche Mail-Clients bieten sie gar garnicht mehr an (z.B. der in Windows 10 integrierte Mail-Client). Was aber immer geht:

  • Speichern Sie die Mail direkt aus Ihrem präferierten Mailclient heraus in einem Verzeichnis, z.B. dem Desktop ihres PCs
  • Betrachten Sie die Mail nicht mit einem Mail-Client, sondern öffnen Sie die Datei mit einem Editor.
  • Der Inhalt der Phishing mail besteht dabei ledigleich aus folgenden Zeilen:
    • <html><head>
      <meta http-equiv=“Content-Type“ content=“text/html; charset=iso-8859-1″></head><body><a href=“http://[Original-Link aus Sicherheitsgründen entfernt]
      /JKZBEZYUNP5HC0W8GN71YNQCA2UOCFOJDF43A3P6BOGQ7UPU8WQGF6EXE“><img src=“cid:015522113@16122016-2880″></a></body></html>
    • Wie man schon auf den ersten Blick erkennen kann, hat die Mail eigentlich keinen echten Inhalt, sondern besteht nur einem eingebetteten Bild.
  • Der Inhalt einer echten PayPal Mail sieht dagegen völlig anders aus. Sie enthält wie der Quelltext einer Webseite z.B. auch CSS-Informationen über die Definition des Layouts. Das angefügte Beispiel ist heibei aus Sicherheitsgründen sogar noch stark gekürzt, zeigt aber schon in diesen wenigen Zeilen einen sehr deutlichen Unterschied zur Phishing Mail (im Original besteht diese Mail über eine simple Adressänderung übrigens aus über 580 Zeilen HTML Code):
    • MIME-Version: 1.0
      Date: Sat, 17 Dec 2016 14:40:53 +0100
      From: „service@paypal.de“ <service@paypal.de>
      Subject: =?utf-8?Q?Sie_haben_eine_neue_Adresse_hinzugef=C3=BCgt?=
      Thread-Topic: =?utf-8?Q?Sie_haben_eine_neue_Adresse_hinzugef=C3=BCgt?=
      To: [aus Sicherheitsgründen entfernt]
      Content-Transfer-Encoding: quoted-printable
      Content-Type: text/html; charset=“utf-8″<html>
      <head>
      <meta http-equiv=3D“Content-Type“ content=3D“text/html; charset=3Dutf-8″>
      <meta name=3D“viewport“ content=3D“initial-scale=3D1.0,minimum-scale=3D1.0,=
      maximum-scale=3D1.0,width=3Ddevice-width,height=3Ddevice-height,target-dens=
      itydpi=3Ddevice-dpi,user-scalable=3Dno“>
      <title>Sie haben eine neue Adresse hinzugef=C3=BCgt</title>
      <style type=3D“text/css“> =0A=
                  =0A=
              =0A=
      body, td { color:#666; font-family: HelveticaNeueLight,HelveticaNeue-Light,=
      ‚Helvetica Neue Light‘,HelveticaNeue,Helvetica,Arial,sans-serif; font-size:=
       13px; font-weight:normal;}     =0A=
      td.ultility_nav_padding a {=0A=
          color: #666666;=0A=
          font-weight: bold;=0A=
          text-decoration: none;=0A=
          font-family: HelveticaNeueLight,HelveticaNeue-Light,’Helvetica Neue Light’=
      ,HelveticaNeue,Helvetica,Arial,sans-serif;=0A=
          font-size: 13px;=0A=
      }=0A=
      =0A=
      td.column_split_preheader a {=0A=
          color: #666666;=0A=
      [Rest der Mail aus Sicherheitsgründen entfernt]

Der Hintergrund ist hier natürlich auch, dass man jede nur erdenkliche Chance nutzen will, den User möglichst schnell auf die eigene Seite zu leiten. Wie auch schon in meinem letzten Posting zum Amazon Phishing geschrieben geht es vor allem darum, beim User Angst zu erzeugen und eine Drucksituation heraufzubeschwören, die ihn veranlasst, schnell zu handeln. Das Nachdenken des Users soll möglichst unterbunden werden. Um so schneller der User davon überzeugt wird, dass er genau das zu tun hat, was in der Mail gefordert wird, um so schneller ist man an die Daten des Kunden gelangt.

Generell empfehle ich, niemals Links in Mails anzuklicken, sondern sich in einer persönlich geöffneten Browsersitzung direkt beim jeweiligen Anbieter einzuloggen und sein persönliches Profil zu kontrollieren. Sollte tatsächlich ein Problem vorliegen, wird sich der Anbieter hier über die offiziellen Wege mit mir als Kunde in Verbindung setzen.

 

© 2016 – 2018, bussy. All rights reserved.

Phishing, sie versuchen es immer wieder!

Heute ist mal wieder Amazon dran.

Ärgerlich finde ich, dass die Mails oft gut genug gemacht sind, dass dann doch immer wieder unbedarfte Leute darauf hereinfallen.

Es ist einfach aus der Perspektive des IT-affinen Anwenders, der sich sogar beruflich damit beschäftigt den Kopf zu schüttel und sich gar zu fragen, wie kann man darauf nur hereinfallen. Doch das wäre zu einfach.

Ich weiß aus genügeng Erfahrung mit Bekannten, Verwandten und Kunden wie schnell bei gut gemachtem Layout, entsprechender Ansprache dann doch Nutzer darauf anspringen.

Wir müssen hier meiner Meinung nach etwas mehr weg von der reinen Eigenverantwortung der Anwender, sondern es bedarf deutlich drastischerer Strafen und mehr internationaler Zusammenarbeit. Aber woher soll die kommen, wenn Länder sogar auf höchster Ebene untereinander durch solche miesen Machenschaften versuchen sich gegenseitig ihre eigenen Präsidentschaftswahlen zu verhageln. Bei solchen Vorbildern brauch man sich dann auch über nichts mehr zu wundern.

© 2016 – 2018, bussy. All rights reserved.

Das sichere Passwort?

Erst vor ein paar Wochen, ich weiß nicht mehr genau die Quelle, da las ich in einem Artikel von einer britischen Studie, die feststellte, dass nicht nur zu einfache Passwörter ein Sicherheitsproblem darstellen, sondern dass auch der Zwang zum häufigen Wechsel von Passwörtern ein Sicherheitsproblem darstellen kann.

Für mich ist das durchaus nachvollziehbar und ich diskutiere diese Tatsache bereits seit Jahren immer wieder mit Administratoren auch in der eigenen Firma und bei Kunden.

„Das sichere Passwort?“ weiterlesen

© 2016, bussy. All rights reserved.