Montag, 3. Januar 2011

Phishing-Warnung: dhl-kundenverwaltung.com

Meine Frau hat letzte Woche eine Email vom DHL-Packstation-Kundenservice bekommen. Vermeintlich zumindest. Aber zuerst die Email:

Von: DHL [mailto:info@packstation.de]
Gesendet: Sonntag, 2. Januar 2011 18:30
An: nette
Betreff: Validierung Ihrer PACKSTATION

Sehr geehrter PACKSTATION Kunde,


Sie haben den PACKSTATION Service innerhalb der letzten sechs Monate weniger als sechs mal in Anspruch genommen.

Um Ihre nächste Bestellung nicht durch die erforderliche Verifizierung zu verzögern, verifizieren Sie Ihre PACKSTATION Adresse bis zum 21.12.2010 telefonisch oder kostenlos online auf:
http://dhl-kundenverwaltung.com

Unser Kundenservice steht Ihnen unter der Rufnummer 0180 500 33 21* zur Verfügung.
Sollten Sie Ihre PIN oder Ihr Passwort verloren haben, können Sie diese auf unserer Website ganz einfach neu anfordern und nach erhalt wie gewohnt nutzen.

Übrigens: Pakete können Sie auch über die PACKSTATION frankieren und an eine andere PACKSTATION oder eine beliebige Hausanschrift verschicken - und dabei mind. 1,- EUR Paketporto sparen!


Mit den besten Grüßen,
Dirk Sebastian


Leitung Kundenservice PACKSTATION
Kundenservice-Hotline
0180 500 33 21*
(Mo. - Fr. 8:00 - 18:00 Uhr,
*32 Cent je angefangene Minute aus den deutschen Festnetzen, höchstens 89 Cent pro angefangene Minute aus den deutschen Mobilfunknetzen).

Was fällt auf?

Zuallererst: Meine Frau ist gar kein Packstationskunde. Geht also schon schlecht los. Sodann fällt auf, dass es keine normale DHL-Domain ist, also bemühen wir doch mal whois – hier ein Auszug des Abfrageergebnisses:

Registration Service Provided By: Dinghost Limited
Contact: whois@protected-ns.info
Visit: www.protected-ns.info

Domain name: dhl-kundenverwaltung.com

Registrant Contact:
   Dinghost Limited
   Dimitri Povak ()

   Fax:
   Calle 53, Marbella
   Panama, PA 10000
   PA

Administrative Contact:
   Dinghost Limited
   Dimitri Povak (whois@protected-ns.info)
   507.8321668
   Fax: 1. 507.8321668
   Calle 53, Marbella
   Panama, PA 10000
   PA

Technical Contact:
   Dinghost Limited
   Dimitri Povak (whois@protected-ns.info)
   507.8321668
   Fax: 1. 507.8321668
   Calle 53, Marbella
   Panama, PA 10000
   PA

Nun ja, protected-ns.info ist ein fragwürdiger, in Panama ansässiger Dienst, der das anonyme Registrieren von Domain-Namen erlaubt, indem er whois-Abfragen und damit den wirklichen Besitzer einer Domain verschleiert. Auf deren Webseite wird zwar ein semi-motiviertes Statement gegen Cyberkriminalität abgegeben aber man kann sich ja seinen Teil denken …

Also DHL hat es sicher (noch) nicht nötig, solche “Dienstleister” für eigene Domains in Anspruch zu nehmen. Zudem ergab die whois-Abfrage, dass die Registrierung erst Anfang Dezember erfolgt ist.

Die Schlussfolgerung ist jedenfalls relativ einfach: Da will uns jemand abzocken, indem er unsere Packstation-Daten ergaunert. Was der böse Bube dann damit macht, will ich lieber gar nicht wissen. Bei Versandhäusern Pakete an “meine” Packstation schicken lassen, die ich dann nie zu sehen bekomme? Ach, alles mögliche ist denkbar, nur Gutes führt er sicherlich nicht im Schilde …

Der Erfolg dieser fiesen Masche ist in großem Maße davon abhängig, wie gut die Täuschung ist. Und da muss ich den Jungs hinter dieser Phishing-Email meinen Respekt aussprechen, auch wenn sie ihn nicht verdient haben. Der Text der Mail ist in vernünftigem Deutsch gehalten und auch die zugehörige Webseite wirkt auf den ersten Blick ziemlich echt.

Phishing-Webseite dhl-kundenverwaltung.com

Ein paar Fehler gibt es natürlich trotzdem, aber der unaufmerksame Internetnutzer ist wohl trotzdem schnell getäuscht.

Rechts oben zum Beispiel wird die Sprache als Englisch angegeben, ist aber Deutsch. Die Beschriftung der Schriftgröße hat zudem ein Problem bei der Kodierung des Umlauts.

Der Captcha-Code im mittleren Frame ist bei jedem Neuladen der Webseite gleich, das Ding ist also gar nicht real sondern im Quelltext hartkodiert. Der mittlere Frame kommt wie fast alles auf der Seite von einer ominösen Domain namens sibbichubbiixcx7.t35.com – sieht somit auch nicht unbedingt nach DHL aus. Und ganz unten, man könnte es fast übersehen, blendet dieser Hosting-Laden auch noch Werbung ein. Seufz.

Ganz egal, was man in diese vier Textfelder einträgt, das Formular wird mit einem Klick auf den Button an ein PHP-Script gesendet, das die Daten vermutlich in eine Datenbank oder eine Textdatei schreibt. Im Anschluss bekommt man eine neue Seite mit folgendem netten Hinweis angezeigt:

Wer's glaubt ...

Damit hätten die bösen Leute die Daten, die sie haben wollten.

Ich habe mir den Spaß gemacht, dieser Phishing-Mail mal ein wenig hinter die Fassade zu schauen. Allerdings ist das unter Umständen nicht ganz ungefährlich und man sollte sowas nicht unter Windows probieren, es könnte nämlich durchaus sein, dass die Webseite eventuell (noch unbekannte) Browser-Sicherheitslücken ausnutzt und so Schadcode auf dem eigenen Rechner ausführen kann. Ein Knoppix oder ein anderes Linux ist dafür besser geeignet, da es in der Regel nicht von so vielen Lücken bedroht ist wie Windows.

Der beste Tipp ist immer noch, Phishing-Emails direkt zu löschen. Dafür muss man sie aber erst einmal als solche identifizieren und genau das wird immer schwieriger werden. Ich hatte im Dezember ebenfalls eine gefälschte Paypal-Email mit einer täuschend echt wirkenden Seite dahinter. Sogar eine zweistufige Abfrage: erst die Paypal-Login-Daten und dann die persönlichen Daten wie Name, Anschrift, Kontonummer etc. Ich bin nicht verwundert, wenn Leute darauf reinfallen.

Wenn ihr unsicher seid, dann lieber mal Google bemühen, vielleicht ist es schon als Fälschung identifiziert. Der beste Schutz ist immer noch der gesunde Menschenverstand und ein aktueller Virenscanner!

Also Augen auf beim Eierkauf! Zwinkerndes Smiley

blog comments powered by Disqus

Design von Dicas Blogger, angepasst durch Mario Ruprecht