www.burks.de

Über Phishing hatte ich hier schon mehrfach geschrieben [11.04.2007, 14.06.2005]. Die medienkompetenten Leserinnen und technisch einigermaßen versierten Leser werden darauf genau so wenig hereinfallen wie auf die zahllosen Abarten der Nigeria-Connection.

Heute jedoch erreichte mich eine Mail [Textformat], die mich richtig sauer machte - nicht wegen des Inhalts, sondern weil sie so gut gemacht war. Überschrift: "Der Zugang zu Ihrem Konto ist eingeschränkt.- PAYPAL ID - PP-294-291-072."

"Ihr Konto wird suspendiert werden!

PayPal arbeitet fortlaufend an der Gewährleistung der Sicherheit. Dazu werden die Konten in unserem System regelmäßig überprüft. Kürzlich haben wir Ihr Konto geprüft und benötigen weitere Informationen, damit wir Ihnen einen sicheren Service anbieten können. Solange uns diese Informationen nicht zur Verfügung stehen, ist Ihr Zugang zu vertraulichen Kontofunktionen eingeschränkt. Wir möchten Ihren Zugang schnellstmöglich wiederherstellen und entschuldigen uns für diese Unannehmlichkeit.

Warum ist mein Kontozugriff eingeschränkt?

Ihr Kontozugriff wurde aus dem folgenden Grund eingeschränkt: 22. Juni 2007: Wir haben den Grund zur Annahme, dass ein Dritter auf Ihr Konto zugegriffen hat. Wir haben den Zugriff auf persönliche PayPal-Kontofunktionen für den Fall beschränkt, dass durch einen nicht autorisierten Dritten auf Ihr Konto zugegriffen wurde."

Wenn ich mich recht erinnere, habe ich 16 Dollar auf meinen PayPal-Konto. Wenn "ein Dritter" mich online ausrauben wollte, etwa Wolfgang Schäubnle, der das nach Ansicht unser Verschwörungstheoretiker und der Sekte der Gläubigen der Heiligen Wahrhaft Stattgefundenen Online-Durchsuchung (HWSOD) ja könnte, dann erlebte der eine Enttäuschung. Aber das ist irrelevant. Schon die erste Zeile machte klar, worum es ging: PayPal . Ich lese selbstredend keine HTML-Mails und lasse mir denen Quellcode als Text anzeigen. Unverschlüsselte E-Mails, die sicherheits- und andere relevante Inhalte enthalten, ignoriere und schreddere ich ungelesen, manchmal auch in umgekehrter Reihenfolge. Der URL (ja, es heisst der URL, auch wenn das bei Wikipedia falsch steht) sagt schon alles: Seit wann ist Paypal in Japan?

Wenn man die Website auruft, muss man jedoch den Kriminellen Respekt zollen: Sogar im Quellcode findet man auf den ersten Blick keine Hinweise, dass etwas nicht in Ordnung ist. Und die Seite ist gut gemacht, keine Deutschfehler oder andere Dinge, die auffallen.

Man sollte sich jedoch, vor allem als Windows-Benutzer, die Sicherheitshinweise von PayPal zu Gemüte führen. Sehr informativ, deshalb zitiere ich den ersten Teil hier wörtlich:

"- E-Mail-Adresse des Absenders: Um Sie in Sicherheit zu wiegen, enthält die Zeile "Von" u. U. eine offiziell aussehende E-Mail-Adresse, die möglicherweise tatsächlich aus einer echten E-Mail kopiert wurde. E-Mail-Adressen können jedoch leicht gefälscht werden. Es handelt sich daher nicht um einen Hinweis auf die Echtheit einer E-Mail.

- Generische E-Mail-Begrüßung: Typische Phishing-E-Mails erhalten generische Begrüßungen, wie z. B. "Sehr geehrter Nutzer". Hinweis: In allen E-Mails von PayPal werden Sie mit Vor- und Nachnamen angeredet.

- Vortäuschen von Dringlichkeit. Mit den meisten Phishing-E-Mails wird versucht, Ihnen weiszumachen, dass Ihr Konto in Gefahr ist, wenn Sie es nicht umgehend aktualisieren. Eine E-Mail, in der Sie dazu aufgefordert werden, dringend vertrauliche persönliche Angaben preiszugeben, ist in der Regel betrügerischen Ursprungs.

- Gefälschte Links. Viele Phishing-E-Mails enthalten Links, die echt aussehen, über die Sie jedoch auf eine betrügerische Website gelangen, deren URL u. U. sogar von dem Link abweicht. Prüfen Sie immer nach, wohin ein Link Sie leitet, bevor Sie darauf klicken."

Schauen wir uns die Domain crns.jp an: Sorimachi Souichirou in 15-1-12-802 Odorinishi Chuo-ku Sapporo, Hokkaido Japan. Unter dieser

Adresse ist u.a., das "The Sapporo immigration bureau" ansässig (ja, Google hilft!). Aber auch die Firma Nihon Densan Setsubi Co., LTD.(Nissetsu).

Wenn man auf der gefälschten "payPal"-Seite die E-Mail-Adresse nigeria@connection.info und als Passwort "phishing-asshole" eingibt, kommt man auf eine weitere Website, die dann die privaten Daten von einem will. Ich habe das Spiel mitgespielt. Voller Name: Adolf Hitler. Adresse. Obersalzberg. Ort- Braunau. Provinz: Österreich. PLZ: 1388. Tel. privat: +49 +1234 56789. Land: Deutschland. Geburtstag: 20.04.1999. Aha, dann wollen sie die Kreditkartennummer. Auch hier habe ich nur Nonsens eingetragen. Dann erscheint die Meldung (vgl. Screenshot unten): "Update erfolgreich Sie werden zur Hauptseite umgeleitet". Das geschieht auch, zur regulären paypal.de-Seite. Der Kommafehler auf der Seite wird den meisten Ahnungslosen nicht auffallen, weil es zu schnell geht. So ein Quatsch, aber wer drauf reingefallen ist, für den ist es hier schon zu spät.

Ich kann mich nur ärgern, dass ich nicht noch den Java Anon Proxy oder Tor angeworfen habe, aber meine IP-Adresse können die ohnehin nicht personalisieren. Nun bin ich mal gespannt, was die mit den Kreditkartendaten eines achtjährigen Adolf Hitlers aus der Provinz Österreich anstellen.

------------------------------------------------------------

KOMMENTARE
nur für registrierte Nutzerzinnen und Nutzer

COMPUTER UND INTERNET

Heimlicher Zugriff auf IT-Systeme
- Online-Durchsuchungen, die 1111ste

Der Koran, geile Titten und der Quelle-Katalog
- Online-Durchsuchungen, die 1001ste

Auch du, meine Christiane?
- Online-Durchsuchungen, die 985ste

Schäuble ist nackt
- Online-Durchsuchung, die 872ste

So eine Schweinebande!
- Versuchte Abzocke per Mail

Online-Durchsuchungen: Die Farce geht weiter
- Sicherheitsrisiko Schäuble

Online-Kriminelle immer onliner und immer krimineller
- Im Internet wird es immer schlimmer

Jetzt ganz neu: Social Engineering
- Bundestrojaner-Ente, schon wieder ein Update

Der SPIEGEL heizt den Hoax an
- Bundestrojaner-Ente, noch ein Update