Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

2 Seiten V   1 2 >  
Reply to this topicStart new topic
> Phishing Mail von "PayPal" und deren Authorisierung
Dieter B
Beitrag 01.08.2013, 20:12
Beitrag #1



War schon mal da
*

Gruppe: Mitglieder
Beiträge: 30
Mitglied seit: 02.02.2011
Wohnort: Leipzig
Mitglieds-Nr.: 8.519

Betriebssystem:
W7 Ultimate 64 bit
Virenscanner:
GData IS 2012 beta
Firewall:
Router+GData



Habe heute eine gut gemachte Phishing-E-Mail bekommen.
Habe sie an 'taeuschung@paypal.de' weitergeleitet - und die Antwort bekommen, daß sie echt sei....
Angehängte Datei(en)
Angehängte Datei  Phishing_Mail.jpg ( 286.43KB ) Anzahl der Downloads: 68
Angehängte Datei  Antwort_von_PayPal.jpg ( 181.09KB ) Anzahl der Downloads: 66
 
Go to the top of the page
 
+Quote Post
Gast_blueX_*
Beitrag 01.08.2013, 21:03
Beitrag #2






Gäste






Die URL wäre interessant.

Du kannst die URL auch von VirusTotal scannen lassen: https://www.virustotal.com/de/#url


Go to the top of the page
 
+Quote Post
Dieter B
Beitrag 01.08.2013, 21:37
Beitrag #3



War schon mal da
*

Gruppe: Mitglieder
Beiträge: 30
Mitglied seit: 02.02.2011
Wohnort: Leipzig
Mitglieds-Nr.: 8.519

Betriebssystem:
W7 Ultimate 64 bit
Virenscanner:
GData IS 2012 beta
Firewall:
Router+GData



Die Mail kam von:
PayPal.de <test@test.de>

Der Button "Problem lösen" zeigt auf:
http://paypal6.com/security/deutschland/kunden
Die LInks hinter "Online Shop", "Security" und "Passwort vergessen" sind leer.

Der Link hinter "Zur Registrierung" zeigt auf:
http://www.sicher-online.org/customer/de/proc

Go to the top of the page
 
+Quote Post
Dieter B
Beitrag 01.08.2013, 21:46
Beitrag #4



War schon mal da
*

Gruppe: Mitglieder
Beiträge: 30
Mitglied seit: 02.02.2011
Wohnort: Leipzig
Mitglieds-Nr.: 8.519

Betriebssystem:
W7 Ultimate 64 bit
Virenscanner:
GData IS 2012 beta
Firewall:
Router+GData



zweiter Link:
CyberCrime Unrated site
Fortinet Unrated site
Kaspersky Unrated site
Netcraft Unrated site
SecureBrain Unrated site
Sophos Unrated site
URLQuery Unrated site
Websense ThreatSeeker Malicious site
Wepawet Unrated site

Erster Link:

CyberCrime Unrated site
Fortinet Phishing site
Kaspersky Unrated site
Netcraft Unrated site
SecureBrain Unrated site
Sophos Malicious site
URLQuery Unrated site
Websense ThreatSeeker Malicious site
Wepawet Unrated site

Go to the top of the page
 
+Quote Post
Dieter B
Beitrag 01.08.2013, 21:49
Beitrag #5



War schon mal da
*

Gruppe: Mitglieder
Beiträge: 30
Mitglied seit: 02.02.2011
Wohnort: Leipzig
Mitglieds-Nr.: 8.519

Betriebssystem:
W7 Ultimate 64 bit
Virenscanner:
GData IS 2012 beta
Firewall:
Router+GData



und dann noch die Info:

Normalized URL: http://paypal6.com:80
Submission date: Thu Aug 1 20:46:55 2013
Server IP address: 5.63.155.46
Country: Russian Federation
Server: Unknown
Malicious files: 0
Suspicious files: 1
Potentially Suspicious files: 1
Clean files: 2
External links detected: 8
Iframes scanned: 0
Blacklisted: No
Go to the top of the page
 
+Quote Post
Peter 123
Beitrag 01.08.2013, 22:41
Beitrag #6



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.490
Mitglied seit: 19.07.2008
Wohnort: Österreich
Mitglieds-Nr.: 6.967

Betriebssystem:
Windows 7 (Home, 32 bit)
Virenscanner:
Norton Security
Firewall:
Router-Firewall (+Norton)



Etwas verwirrend, dieser Thread ...

ZITAT(Dieter B @ 01.08.2013, 22:11) *
Habe heute eine gut gemachte Phishing-E-Mail bekommen.
Habe sie an 'taeuschung@paypal.de' weitergeleitet - und die Antwort bekommen, daß sie echt sei....

Ist es nun eine Phishing-E-Mail oder eine echte??

Der erste Link aus Beitrag #3 ("paypal6.com/ ...." [vollständiges Zitieren unterlasse ich]) führt zu google.de.
(Die anderen Links habe ich nicht mehr ausprobiert.)

Der Beitrag wurde von Peter 123 bearbeitet: 01.08.2013, 22:44
Go to the top of the page
 
+Quote Post
Solution-Design
Beitrag 02.08.2013, 05:43
Beitrag #7



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 11.168
Mitglied seit: 28.11.2004
Mitglieds-Nr.: 1.621

Betriebssystem:
Windows 10 pro x64
Virenscanner:
Emsisoft Anti-Malware
Firewall:
Sandboxie | cFos



ZITAT(Peter 123 @ 01.08.2013, 23:40) *
...


PayPal leitet nicht zu Google um. Die anderen Links, teilweise gesperrt...Sedipark... Russland? Ja, das ist Phishing. Verwirrend ist allerdings wirklich die @Dieter Bs Aussage:

Habe sie an 'taeuschung@paypal.de' weitergeleitet - und die Antwort bekommen, daß sie echt sei....


Echtes Phishing/ echte PayPal Adresse?


--------------------
Yours sincerely

Uwe Kraatz
Go to the top of the page
 
+Quote Post
Andy89
Beitrag 03.08.2013, 04:58
Beitrag #8



Fühlt sich hier wohl
****

Gruppe: Mitglieder
Beiträge: 339
Mitglied seit: 18.08.2010
Mitglieds-Nr.: 8.162

Betriebssystem:
Win 10 64bit
Virenscanner:
Kaspersky 17 / Sandboxie
Firewall:
Win 10 Firewall



Ich Frage mich ja auch immer woher die Phisher wissen das mit der Email Adresse ein PayPal Konto benutzt wird. Heute kam bei mir auch schon wieder eine Phishing Mail rein.
Ein wahrloses versenden an verschiedene Adressen konnte ich bei mir zumindest nicht festellen, ich habe 5 wichtige Mail Adressen an denen ich früher keine PayPal Phishing Mails bekommen habe. Jetzt habe ich seit gut einem Jahr einen PP Account und habe bisher auch nur an die eine damit verbundene Mail Adresse Phishingversuche erlebt.
Da ich PP gegen meine Erwartung doch nur sehr selten verwende, muss an irgendeiner Stelle wohl eine Datenweitergabe erfolgt sein.

Der Beitrag wurde von Andy89 bearbeitet: 03.08.2013, 04:59
Go to the top of the page
 
+Quote Post
Peter 123
Beitrag 03.08.2013, 18:51
Beitrag #9



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.490
Mitglied seit: 19.07.2008
Wohnort: Österreich
Mitglieds-Nr.: 6.967

Betriebssystem:
Windows 7 (Home, 32 bit)
Virenscanner:
Norton Security
Firewall:
Router-Firewall (+Norton)



ZITAT(Andy89 @ 03.08.2013, 06:57) *
Ich Frage mich ja auch immer woher die Phisher wissen das mit der Email Adresse ein PayPal Konto benutzt wird.
[....]
Da ich PP gegen meine Erwartung doch nur sehr selten verwende, muss an irgendeiner Stelle wohl eine Datenweitergabe erfolgt sein.

Muss nicht unbedingt sein. Vielleicht ist das Zufall, dass das bei dir gerade jene E-Mail-Adresse ist, unter der du bei PayPal registriert bist. Ist zwar eigenartig, dass sie dir nur an diese eine Adresse geschickt werden, aber meiner Erfahrung nach werden solche Phishing-e-Mails oft aufs Geratewohl versendet. Bei mir landen immer wieder welche, die sich entweder auf irgendwelche Unternehmen berufen, mit denen ich gar nicht in Geschäftsbeziehung stehe; oder sie landen bei einer "falschen" e-mail-Adresse, d.h. bei einer solchen, mit der ich beim jeweiligen Unternehmen (PayPal oder wer immer) gar nicht registriert bin.

Der Beitrag wurde von Peter 123 bearbeitet: 03.08.2013, 18:52
Go to the top of the page
 
+Quote Post
Dieter B
Beitrag 06.08.2013, 10:53
Beitrag #10



War schon mal da
*

Gruppe: Mitglieder
Beiträge: 30
Mitglied seit: 02.02.2011
Wohnort: Leipzig
Mitglieds-Nr.: 8.519

Betriebssystem:
W7 Ultimate 64 bit
Virenscanner:
GData IS 2012 beta
Firewall:
Router+GData



Beide E-Mails waren mit einem Trojaner infiziert: Trojan.HTML.Phishing.FA und Trojan.HTML.Agent.KO.....
Wurden seit heute von GData Internet Security 2014 gefunden in der Outlook.pst (hatte beide E-Mails als Anhänge zu GData gesendet).
Also war auch die Antwort-Mail von taeuschung@paypal.de infiziert!!!!!!
Go to the top of the page
 
+Quote Post
Dieter B
Beitrag 06.08.2013, 13:40
Beitrag #11



War schon mal da
*

Gruppe: Mitglieder
Beiträge: 30
Mitglied seit: 02.02.2011
Wohnort: Leipzig
Mitglieds-Nr.: 8.519

Betriebssystem:
W7 Ultimate 64 bit
Virenscanner:
GData IS 2012 beta
Firewall:
Router+GData



Habe soeben die Antwort von GData erhalten:
"...Sehr geehrter G Data Kunde,

vielen Dank für Ihre Anfrage.

Die von Ihnen eingesendeten Dateien Spam Abgleich Ihrer PayPal Kundendaten.msg und Spam Der Zugang zu Ihrem PayPal-Konto wurde vorübergehend eingeschränkt.msg wurden durch unsere Virenanylsten überprüft und werden jetzt von uns erkannt als:

Spam Abgleich Ihrer PayPal Kundendaten.msg: Trojan.HTML.Agent.KO (Engine A)

Spam Der Zugang zu Ihrem PayPal-Konto wurde vorübergehend eingeschränkt.msg: Trojan.HTML.Phishing.FA (Engine A)..."

Den Trojaner in der Antwort von taeuschung@paypal.de kann ich nur so verstehen, daß die Jungs dort gehackt waren oder mit den Kumpels aus Russland halbe halbe machen...
Go to the top of the page
 
+Quote Post
Dieter B
Beitrag 06.08.2013, 14:47
Beitrag #12



War schon mal da
*

Gruppe: Mitglieder
Beiträge: 30
Mitglied seit: 02.02.2011
Wohnort: Leipzig
Mitglieds-Nr.: 8.519

Betriebssystem:
W7 Ultimate 64 bit
Virenscanner:
GData IS 2012 beta
Firewall:
Router+GData



Es geht noch weiter....
Habe eben mit dem Kundenservice von Paypal telefoniert.
1. Die E-Mail-Adresse taeuschung@paypal.de wird von Paypal schon lange nicht mehr genutzt. Nur noch kundenbetreuung@paypal.com.
2. Die E-Mail-Adresse, von der aus auf meine Anfrage an taeuschung@paypal.de geantwortet wurde, sicherheitsteam@paypal.de, gibt es bei Paypal überhaupt nicht.
Go to the top of the page
 
+Quote Post
Gast_florian5248_*
Beitrag 06.08.2013, 21:12
Beitrag #13






Gäste






ZITAT(Solution-Design @ 02.08.2013, 06:42) *
PayPal leitet nicht zu Google um. Die anderen Links, teilweise gesperrt...Sedipark... Russland? Ja, das ist Phishing. Verwirrend ist allerdings wirklich die @Dieter Bs Aussage:

Habe sie an 'taeuschung@paypal.de' weitergeleitet - und die Antwort bekommen, daß sie echt sei....


Echtes Phishing/ echte PayPal Adresse?


ZITAT
Es geht noch weiter....
Habe eben mit dem Kundenservice von Paypal telefoniert.
1. Die E-Mail-Adresse taeuschung@paypal.de wird von Paypal schon lange nicht mehr genutzt. Nur noch kundenbetreuung@paypal.com.
2. Die E-Mail-Adresse, von der aus auf meine Anfrage an taeuschung@paypal.de geantwortet wurde, sicherheitsteam@paypal.de, gibt es bei Paypal überhaupt nicht.


@Solution-Design

Interessehalber bitte eine Stellungnahme auf das was sein kann oder auch nicht. biggrin.gif
Go to the top of the page
 
+Quote Post
Six of Seven
Beitrag 25.08.2013, 18:01
Beitrag #14



War schon oft hier
**

Gruppe: Mitglieder
Beiträge: 120
Mitglied seit: 10.10.2012
Wohnort: Delta Quadrant
Mitglieds-Nr.: 9.447

Betriebssystem:
Windwos 10 Pro
Virenscanner:
KIS/KAV
Firewall:
KIS/KAV



Hallo zusammen,

eben bekam ich auch eine eMail das angeblich mein PayPal nicht sicher sei.

Angehängte Datei  dfzughjkl.JPG ( 72.36KB ) Anzahl der Downloads: 28


VT hat jedoch nichts gefunden:
https://www.virustotal.com/de/url/2090a7eba...sis/1377449693/

Viele Grüße
Go to the top of the page
 
+Quote Post
Solution-Design
Beitrag 25.08.2013, 18:29
Beitrag #15



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 11.168
Mitglied seit: 28.11.2004
Mitglieds-Nr.: 1.621

Betriebssystem:
Windows 10 pro x64
Virenscanner:
Emsisoft Anti-Malware
Firewall:
Sandboxie | cFos



Wohin führt der Klick auf den Button (URL)?


--------------------
Yours sincerely

Uwe Kraatz
Go to the top of the page
 
+Quote Post
Six of Seven
Beitrag 25.08.2013, 18:33
Beitrag #16



War schon oft hier
**

Gruppe: Mitglieder
Beiträge: 120
Mitglied seit: 10.10.2012
Wohnort: Delta Quadrant
Mitglieds-Nr.: 9.447

Betriebssystem:
Windwos 10 Pro
Virenscanner:
KIS/KAV
Firewall:
KIS/KAV



ZITAT(Solution-Design @ 25.08.2013, 19:28) *
Wohin führt der Klick auf den Button (URL)?

Hallo,

ich habe den Button (URL) mit Virus Total überprüfen lassen und das Ergebnis habe ich schon oben unter dem screenshot gezeigt smile.gif
Drauf geklickt hab ich nicht ...

Viele Grüße

Der Beitrag wurde von Six of Seven bearbeitet: 25.08.2013, 18:35
Go to the top of the page
 
+Quote Post
Six of Seven
Beitrag 25.08.2013, 18:49
Beitrag #17



War schon oft hier
**

Gruppe: Mitglieder
Beiträge: 120
Mitglied seit: 10.10.2012
Wohnort: Delta Quadrant
Mitglieds-Nr.: 9.447

Betriebssystem:
Windwos 10 Pro
Virenscanner:
KIS/KAV
Firewall:
KIS/KAV



Hallo,

ich habe ein Sample nach F-Secure eingeschickt und diese Antwort erhalten:

ZITAT
Hello,

Thank you for your submission.

The file you sent was found to be malicious. We will be detecting the sample you submitted as Trojan:HTML/PhishAgent.AA in the next database update.

Our latest database updates are available here:

http://www.f-secure.com/en/web/labs_global...rousel/view/140

Best regards,
--------
F-Secure Security Labs http://www.f-secure.com/weblog/
F-Secure Corporation http://www.f-secure.com/



F-Secure war da aber echt flott smile.gif

Viele Grüße
Go to the top of the page
 
+Quote Post
Rios
Beitrag 25.08.2013, 19:00
Beitrag #18



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 4.242
Mitglied seit: 12.06.2004
Mitglieds-Nr.: 984

Betriebssystem:
Windows 10



Guten Abend,
mußte zwar nichts einschicken, aber die Security hier, kommt zum selben Ergebnis!
Go to the top of the page
 
+Quote Post
Gast_J4U_*
Beitrag 25.08.2013, 19:12
Beitrag #19






Gäste






ZITAT(Solution-Design @ 25.08.2013, 19:28) *
Wohin führt der Klick auf den Button (URL)?
Auf eine Seite, mit deren Hilfe die Bankdaten "überprüft" werden, mehr ist da nicht.
Es kann zwar mehr daraus werden, aber dazu muss man so doof sein und dort seine Bank- und anderen Daten auch wirklich eingeben.
Go to the top of the page
 
+Quote Post
Stefan
Beitrag 27.08.2013, 10:39
Beitrag #20



Gehört zum Inventar
Gruppensymbol

Gruppe: Freunde
Beiträge: 3.969
Mitglied seit: 27.03.2004
Mitglieds-Nr.: 522

Betriebssystem:
Windows 10 Pro x64
Virenscanner:
Emsisoft Anti-Malware
Firewall:
Router, Windows-Firewall



Bei mir ist auch mal was von "PayPal" eingetrudelt.

Die Whois-Abfrage des Links "hxxp://pp-onlineverification-s2.com/step1.php?data=..." brachte dann folgendes Ergebnis:
ZITAT
pp-onlineverification-s2.com registry whois
Updated 1 second ago - Refresh
Domain Name: PP-ONLINEVERIFICATION-S2.COM
Registrar: REGTIME LTD.
Whois Server: whois.webnames.ru
Referral URL: http://www.webnames.ru
Name Server: NS1.GOHOST.RU
Name Server: NS2.GOHOST.RU
Status: ok
Updated Date: 26-aug-2013
Creation Date: 26-aug-2013
Expiration Date: 26-aug-2014
pp-onlineverification-s2.com registrar whois
Updated 1 second ago
% Regtime Ltd. WHOIS server

Domain name: pp-onlineverification-s2.com


Name servers:
ns1.gohost.ru
ns2.gohost.ru

Registrar: Regtime Ltd.
Creation date: 2013-08-27
Expiration date: 2014-08-27

Registrant:
Markus Weiler
Email: markusweiler@outlook.de
Organization: Markus Weiler
Address: Kirchstrasse 80
City: Waghausel
State: Brandenburg
ZIP: 68753
Country: DE
Phone: +49.2218475593
Fax: +49.2218475533
Administrative Contact:
Markus Weiler
Email: markusweiler@outlook.de
Organization: Markus Weiler
Address: Kirchstrasse 80
City: Waghausel
State: Brandenburg
ZIP: 68753
Country: DE
Phone: +49.2218475593
Fax: +49.2218475533
Technical Contact:
Markus Weiler
Email: markusweiler@outlook.de
Organization: Markus Weiler
Address: Kirchstrasse 80
City: Waghausel
State: Brandenburg
ZIP: 68753
Country: DE
Phone: +49.2218475593
Fax: +49.2218475533
Billing Contact:
Markus Weiler
Email: markusweiler@outlook.de
Organization: Markus Weiler
Address: Kirchstrasse 80
City: Waghausel
State: Brandenburg
ZIP: 68753
Country: DE
Phone: +49.2218475593
Fax: +49.2218475533


Fragt sich nur, ob Markus Weiler davon etwas weiß?

Der Beitrag wurde von Stefan bearbeitet: 27.08.2013, 21:41


--------------------
Gruß
Stefan
--------------------
Go to the top of the page
 
+Quote Post

2 Seiten V   1 2 >
Reply to this topicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 18.09.2018, 17:23
Impressum