Erneute Warnung vor (personalisiertem) PayPal Phishing

Nachdem ich bereits vor einiger Zeit vor einem gut gemachtem PayPal Phishing Versuch gewarnt habe, möchte ich dies heute aus aktuellem Anlass wiederholen. Ich habe wieder eine neue, ebenso gute eMail erhalten.

Dieses Mal führt der Link des Buttons auf: “http://pp-verifizierung49265.net/B018492/” durch den Pfad im Link soll vermutlich die Emfängeradresse erkenntlich sein. Die Domain hat aber bereits den Status: SUSPENDED (Note: This Domain Name is Suspended. In this status the domain name is InActive and will not function.) Die Kontaktdetails sind:

N/A
Nathalia Outage (Email Masking Image@netnoir.net)
2280 Frederick Douglass Blvd #9B
New York
NY,10027
US
Tel. +1.3012179700

Die enthaltenen Bilder und Links sind:

  • https://www.paypalobjects.com/en_US/i/pui/core/btn_bg_submit.gif
  • https://image.paypal-communication.com/paypal/2012_Q2/PayPalEU_Mobil=e_Optimisation_Project_USD/html/shell/img_header_bk_v2.gif
  • http://img.ed4.net/spacer50.gif
  • http://www.paypal.com
  • https://image.paypal-communication.com/paypal/2012_Q2/PayPalEU_Mobile_Optimisation_Project_USD/html/shell/img_logo.gif
  • https://image.paypal-communication.com/paypal/2012_Q2/PayPalEU_Mobile_Optimisation_Project_USD/html/shell/img_blue_band.gif
  • https://image.paypal-communication.com/paypal/2012_Q2/PayPalEU_Mobile_Optimisation_Project_USD/html/shell/img_footer_bk.gif

ED4.net ist die Domain von “e-Dialog – Integrated E-Mail & Cross-Channel Marketing Solutions”
“image.paypal-communication.com” wird auch in mutmaßlich echten eMails von PayPal verwendet…
“paypalobjects.com” habe ich jetzt in keiner echten Mail gefunden, hatt aber die selben DNS Zoneninfos wie auch PayPal.com.

Hier die Links aus der letzten Phishing-Mail:

  • http://is.gd/iMRu7d (Als XML Namespace, führt zu http://www.w3.org/1999/xhtml/ und dient vielleicht dem zählen der Aufrufe der eMail)
  • http://abload.de/img/imageproxy.mvc9ho3q.gif
  • http://paypal-konto-sicherheitscenter.com/secure/germany/customers/
  • http://abload.de/img/imageproxy.mvc05r9j.png (Button, führt zu letztem Link)

Obwohl sich beide eMails unterscheiden, auch im Aufbau, so bin ich mir relativ sicher, dass die selben Drahtzieher dahinterstehen. Hierzu folgt noch ein Artikel.

Return-Path: <service@paypal.de>
Received: from login.yxcvbnm.info (login.yxcvbnm.info [89.107.70.198])
Received: from [193.111.141.184] (t184.topaz.fastwebserver.de [193.111.141.184])
by login.yxcvbnm.info (Postfix) with ESMTPA id 4F7D35F4465
Message-Id:
Mime-Version: 1.0
From: service@paypal.de
Subject: Informationen bezüglich Ihres PayPal-Kontos
Date: Sun, 7 Jul 2013 06:47:27 +0200
X-Priority: 2
Content-Type: text/html; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable

Sehr geehrter Herr Max Mustermann,

im Rahmen unserer aktuellen Sicherheitsprüfungen haben wir bezüglich Ihres PayPal-Kontos einige Unstimmigkeiten entdeckt. Um alle Unstimmigkeiten zu klären, ist es nötig Sie als eindeutigen Inhaber zu ermitteln.

Wie geht es jetzt weiter?

Bitte klicken Sie auf “Konfliktlösungen”. Dort ist ganz genau beschrieben, weshalb wir diese Prüfung durchführen und welche Informationen wir von Ihnen benötigen.

Konfliktlösungen

Vielen Dank für Ihr Verständnis und Ihre Mithilfe in dieser Angelegenheit.

Herzliche Grüße,
Ihr PayPal-Team

3 comments

  1. Krass wie gut die plötzlich alle so gut deutsch können 😀
    Selbst mit unicode wurde gearbeitet.
    Das sind garantiert irgendwelche aus Deutschland..

Leave a Reply

Your email address will not be published. Required fields are marked *