Druckversion des Themas
Hier klicken um das Topic im Orginalformat anzusehen
Rokop Security _ Trojaner, Viren und Würmer _ Phishing Mail von "PayPal" und deren Authorisierung
Geschrieben von: Dieter B 01.08.2013, 20:12
Habe heute eine gut gemachte Phishing-E-Mail bekommen.
Habe sie an 'taeuschung@paypal.de' weitergeleitet - und die Antwort bekommen, daß sie echt sei....
|
|
Geschrieben von: blueX 01.08.2013, 21:03
Die URL wäre interessant.
Du kannst die URL auch von VirusTotal scannen lassen: https://www.virustotal.com/de/#url
Geschrieben von: Dieter B 01.08.2013, 21:37
Die Mail kam von:
PayPal.de <test@test.de>
Der Button "Problem lösen" zeigt auf:
http://paypal6.com/security/deutschland/kunden
Die LInks hinter "Online Shop", "Security" und "Passwort vergessen" sind leer.
Der Link hinter "Zur Registrierung" zeigt auf:
http://www.sicher-online.org/customer/de/proc
Geschrieben von: Dieter B 01.08.2013, 21:46
zweiter Link:
CyberCrime Unrated site
Fortinet Unrated site
Kaspersky Unrated site
Netcraft Unrated site
SecureBrain Unrated site
Sophos Unrated site
URLQuery Unrated site
Websense ThreatSeeker Malicious site
Wepawet Unrated site
Erster Link:
CyberCrime Unrated site
Fortinet Phishing site
Kaspersky Unrated site
Netcraft Unrated site
SecureBrain Unrated site
Sophos Malicious site
URLQuery Unrated site
Websense ThreatSeeker Malicious site
Wepawet Unrated site
Geschrieben von: Dieter B 01.08.2013, 21:49
und dann noch die Info:
Normalized URL: http://paypal6.com:80
Submission date: Thu Aug 1 20:46:55 2013
Server IP address: 5.63.155.46
Country: Russian Federation
Server: Unknown
Malicious files: 0
Suspicious files: 1
Potentially Suspicious files: 1
Clean files: 2
External links detected: 8
Iframes scanned: 0
Blacklisted: No
Geschrieben von: Peter 123 01.08.2013, 22:41
Etwas verwirrend, dieser Thread ...
Habe sie an 'taeuschung@paypal.de' weitergeleitet - und die Antwort bekommen, daß sie echt sei....
Ist es nun eine Phishing-E-Mail oder eine echte??
Der erste Link aus Beitrag #3 ("paypal6.com/ ...." [vollständiges Zitieren unterlasse ich]) führt zu google.de.
(Die anderen Links habe ich nicht mehr ausprobiert.)
Geschrieben von: Solution-Design 02.08.2013, 05:43
PayPal leitet nicht zu Google um. Die anderen Links, teilweise gesperrt...Sedipark... Russland? Ja, das ist Phishing. Verwirrend ist allerdings wirklich die @Dieter Bs Aussage:
Habe sie an 'taeuschung@paypal.de' weitergeleitet - und die Antwort bekommen, daß sie echt sei....
Echtes Phishing/ echte PayPal Adresse?
Geschrieben von: Andy89 03.08.2013, 04:58
Ich Frage mich ja auch immer woher die Phisher wissen das mit der Email Adresse ein PayPal Konto benutzt wird. Heute kam bei mir auch schon wieder eine Phishing Mail rein.
Ein wahrloses versenden an verschiedene Adressen konnte ich bei mir zumindest nicht festellen, ich habe 5 wichtige Mail Adressen an denen ich früher keine PayPal Phishing Mails bekommen habe. Jetzt habe ich seit gut einem Jahr einen PP Account und habe bisher auch nur an die eine damit verbundene Mail Adresse Phishingversuche erlebt.
Da ich PP gegen meine Erwartung doch nur sehr selten verwende, muss an irgendeiner Stelle wohl eine Datenweitergabe erfolgt sein.
Geschrieben von: Peter 123 03.08.2013, 18:51
[....]
Da ich PP gegen meine Erwartung doch nur sehr selten verwende, muss an irgendeiner Stelle wohl eine Datenweitergabe erfolgt sein.
Muss nicht unbedingt sein. Vielleicht ist das Zufall, dass das bei dir gerade jene E-Mail-Adresse ist, unter der du bei PayPal registriert bist. Ist zwar eigenartig, dass sie dir nur an diese eine Adresse geschickt werden, aber meiner Erfahrung nach werden solche Phishing-e-Mails oft aufs Geratewohl versendet. Bei mir landen immer wieder welche, die sich entweder auf irgendwelche Unternehmen berufen, mit denen ich gar nicht in Geschäftsbeziehung stehe; oder sie landen bei einer "falschen" e-mail-Adresse, d.h. bei einer solchen, mit der ich beim jeweiligen Unternehmen (PayPal oder wer immer) gar nicht registriert bin.
Geschrieben von: Dieter B 06.08.2013, 10:53
Beide E-Mails waren mit einem Trojaner infiziert: Trojan.HTML.Phishing.FA und Trojan.HTML.Agent.KO.....
Wurden seit heute von GData Internet Security 2014 gefunden in der Outlook.pst (hatte beide E-Mails als Anhänge zu GData gesendet).
Also war auch die Antwort-Mail von taeuschung@paypal.de infiziert!!!!!!
Geschrieben von: Dieter B 06.08.2013, 13:40
Habe soeben die Antwort von GData erhalten:
"...Sehr geehrter G Data Kunde,
vielen Dank für Ihre Anfrage.
Die von Ihnen eingesendeten Dateien Spam Abgleich Ihrer PayPal Kundendaten.msg und Spam Der Zugang zu Ihrem PayPal-Konto wurde vorübergehend eingeschränkt.msg wurden durch unsere Virenanylsten überprüft und werden jetzt von uns erkannt als:
Spam Abgleich Ihrer PayPal Kundendaten.msg: Trojan.HTML.Agent.KO (Engine A)
Spam Der Zugang zu Ihrem PayPal-Konto wurde vorübergehend eingeschränkt.msg: Trojan.HTML.Phishing.FA (Engine A)..."
Den Trojaner in der Antwort von taeuschung@paypal.de kann ich nur so verstehen, daß die Jungs dort gehackt waren oder mit den Kumpels aus Russland halbe halbe machen...
Geschrieben von: Dieter B 06.08.2013, 14:47
Es geht noch weiter....
Habe eben mit dem Kundenservice von Paypal telefoniert.
1. Die E-Mail-Adresse taeuschung@paypal.de wird von Paypal schon lange nicht mehr genutzt. Nur noch kundenbetreuung@paypal.com.
2. Die E-Mail-Adresse, von der aus auf meine Anfrage an taeuschung@paypal.de geantwortet wurde, sicherheitsteam@paypal.de, gibt es bei Paypal überhaupt nicht.
Geschrieben von: florian5248 06.08.2013, 21:12
Habe sie an 'taeuschung@paypal.de' weitergeleitet - und die Antwort bekommen, daß sie echt sei....
Echtes Phishing/ echte PayPal Adresse?
Habe eben mit dem Kundenservice von Paypal telefoniert.
1. Die E-Mail-Adresse taeuschung@paypal.de wird von Paypal schon lange nicht mehr genutzt. Nur noch kundenbetreuung@paypal.com.
2. Die E-Mail-Adresse, von der aus auf meine Anfrage an taeuschung@paypal.de geantwortet wurde, sicherheitsteam@paypal.de, gibt es bei Paypal überhaupt nicht.
@Solution-Design
Interessehalber bitte eine Stellungnahme auf das was sein kann oder auch nicht.
Geschrieben von: Six of Seven 25.08.2013, 18:01
Hallo zusammen,
eben bekam ich auch eine eMail das angeblich mein PayPal nicht sicher sei.
|
VT hat jedoch nichts gefunden:
https://www.virustotal.com/de/url/2090a7eba19b9c1a05dd11d068784708fb3561172bf22633bc3274185c4bf95d/analysis/1377449693/
Viele Grüße
Geschrieben von: Solution-Design 25.08.2013, 18:29
Wohin führt der Klick auf den Button (URL)?
Geschrieben von: Six of Seven 25.08.2013, 18:33
Hallo,
ich habe den Button (URL) mit Virus Total überprüfen lassen und das Ergebnis habe ich schon oben unter dem screenshot gezeigt
Drauf geklickt hab ich nicht ...
Viele Grüße
Geschrieben von: Six of Seven 25.08.2013, 18:49
Hallo,
ich habe ein Sample nach F-Secure eingeschickt und diese Antwort erhalten:
Thank you for your submission.
The file you sent was found to be malicious. We will be detecting the sample you submitted as Trojan:HTML/PhishAgent.AA in the next database update.
Our latest database updates are available here:
http://www.f-secure.com/en/web/labs_global/removal-tools/-/carousel/view/140
Best regards,
--------
F-Secure Security Labs http://www.f-secure.com/weblog/
F-Secure Corporation http://www.f-secure.com/
F-Secure war da aber echt flott
Viele Grüße
Geschrieben von: Rios 25.08.2013, 19:00
Guten Abend,
mußte zwar nichts einschicken, aber die Security hier, kommt zum selben Ergebnis!
Geschrieben von: J4U 25.08.2013, 19:12
Es kann zwar mehr daraus werden, aber dazu muss man so doof sein und dort seine Bank- und anderen Daten auch wirklich eingeben.
Geschrieben von: Stefan 27.08.2013, 10:39
Bei mir ist auch mal was von "PayPal" eingetrudelt.
Die Whois-Abfrage des Links "hxxp://pp-onlineverification-s2.com/step1.php?data=..." brachte dann folgendes Ergebnis:
Updated 1 second ago - Refresh
Domain Name: PP-ONLINEVERIFICATION-S2.COM
Registrar: REGTIME LTD.
Whois Server: whois.webnames.ru
Referral URL: http://www.webnames.ru
Name Server: NS1.GOHOST.RU
Name Server: NS2.GOHOST.RU
Status: ok
Updated Date: 26-aug-2013
Creation Date: 26-aug-2013
Expiration Date: 26-aug-2014
pp-onlineverification-s2.com registrar whois
Updated 1 second ago
% Regtime Ltd. WHOIS server
Domain name: pp-onlineverification-s2.com
Name servers:
ns1.gohost.ru
ns2.gohost.ru
Registrar: Regtime Ltd.
Creation date: 2013-08-27
Expiration date: 2014-08-27
Registrant:
Markus Weiler
Email: markusweiler@outlook.de
Organization: Markus Weiler
Address: Kirchstrasse 80
City: Waghausel
State: Brandenburg
ZIP: 68753
Country: DE
Phone: +49.2218475593
Fax: +49.2218475533
Administrative Contact:
Markus Weiler
Email: markusweiler@outlook.de
Organization: Markus Weiler
Address: Kirchstrasse 80
City: Waghausel
State: Brandenburg
ZIP: 68753
Country: DE
Phone: +49.2218475593
Fax: +49.2218475533
Technical Contact:
Markus Weiler
Email: markusweiler@outlook.de
Organization: Markus Weiler
Address: Kirchstrasse 80
City: Waghausel
State: Brandenburg
ZIP: 68753
Country: DE
Phone: +49.2218475593
Fax: +49.2218475533
Billing Contact:
Markus Weiler
Email: markusweiler@outlook.de
Organization: Markus Weiler
Address: Kirchstrasse 80
City: Waghausel
State: Brandenburg
ZIP: 68753
Country: DE
Phone: +49.2218475593
Fax: +49.2218475533
Fragt sich nur, ob Markus Weiler davon etwas weiß?
Geschrieben von: J4U 27.08.2013, 14:23
Egal, gibt Deine Kontodaten ein, so ein Geiz ist einfach nicht zu ertragen.
Geschrieben von: Stefan 27.08.2013, 21:53
Nenne mich nicht geizig.
Habe gerade gestern 75 € für eine andere gute Sache gespendet.
Aber irgendwo muss ich das Geld dann doch wieder einsparen.
Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)