Packstation Phishing

falsepositive

< Der Mantel | See if ssh key uses a pass phrase >

Packstation Phishing Fri, Jan 22. 2010

Gerade schlug bei mir eine Mail auf, die man wohl als Packstation-Phishing bezeichnen kann:


Return-Path: info at packstation.de
X-Spam-Status: No, score=0.0 required=5.0 tests=none autolearn=disabled
Received: from s153*****.onlinehome-server.info (EHLO s153*****.onlinehome-server.info) [87.106.*****]
by mx0.gmx.net (mx087) with SMTP; 22 Jan 2010 00:39:08 +0100
Date: 18 Jan 2010 03:31:47 +0100
Message-ID: 20100118023147.2224.qmail at s153*****.onlinehome-server.info
To: meineemailadresse_neinnichtwirklich at gmx.de
Subject: PACKSTATION Systemupdate
From: DHL AG info at packstation.de
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 0 (Mail was not recognized as spam);

Content-type: text/html;

Sehr geehrte(r) Sebastian Raible.


Da wir in den letzten Wochen unser Serversystem auf den neusten Stand gebracht haben, bitten wir Sie, aktiv bei unserem umfassenden Systemcheck mitzuwirken.

Dieser dient dazu, eventuelle Fehler zu beseitigen. Wir bitten Sie daher darum, sich auf der DHL-Seite einzuloggen um Ihre PACKSTATION-Daten zu überprüfen.

http:// PACKSTATI 0 N.6x. to/index.php?id=***************

Schlägt der Loginversuch fehl, bitten wir Sie, sich unter folgender Nummer zu melden:

0800 343 *** ** (0 ct/Min*)

Viel Spaß weiterhin mit Ihrer PACKSTATION wünscht Ihnen


Ihr PACKSTATION Team

*) Aus dem deutschen Festnetz
-----------------------------------------------------------
DHL Vertriebs GmbH Co. OHG
Rathausplatz 1
10234 Berlin


Baut da jemand ein Array von Briefkästen auf, mit dem er anonym Sendungen empfangen und versenden kann?

Wenn ja, ist das immerhin mighty cool. Und irgendwie tun sich da jede Menge (teils beängstigende) Möglichkeiten auf, was man damit machen könnte.

Update: Heise hatte dazu schon im vergangenen März (2009) einen Artikel: heise security: Packstation-Phishing mit vertrauenserweckender Domain
Posted by Sebastian Raible Comments: (6) Trackbacks: (0)
Defined tags for this entry: , , , ,
tweetbackcheckTweet This!Tweet This!
View as PDF: This entry | This month | Full blog

Trackbacks
Trackback specific URI for this entry

No Trackbacks

Comments
Display comments as (Linear | Threaded)

#1 - Michael Butscher said:
2010-01-24 21:05 - (Reply)

Eine Idee, woher der Name in der Mail stammt?

Bei mir kam das auch an mit meinem vollen Namen, was ich bei Spam bisher nicht gesehen habe.

Könnte der z. B. aus Facebook oder Skype gezogen worden sein?

#1.1 - Sebastian Raible said:
2010-01-24 21:18 - (Reply)

Also meine Emailadresse ist vorname.nachname at gmx.de, bei mir wäre es also denkbar gewesen dass sie einfach aus der Emailadresse (die sie sonstwo her haben) meinen Namen geraten haben.

Wenn dein Name in der Adresse nur abgekürzt ist, weiß ich auch nicht… ich würde allerdings am ehesten auf deine (c) Michael Butscher-Zeile auf deiner Homepage tippen.

Grüße
Seb

#1.1.1 - Michael Butscher said:
2010-01-24 21:28 - (Reply)

Ich benutze tatsächlich nur mbutscher in meiner Adresse.

Natürlich habe ich meinen Namen in Verbindung mit der Adresse an einigen Stellen im Netz schon hinterlassen, aber wenn jetzt Spam-Programme diese Information tatsächlich finden und auswerten können ist das schon ein interessanter "Fortschritt", finde ich.

#1.1.1.1 - Sebastian Raible said:
2010-01-25 00:20 - (Reply)

Ja aber deine Emailadresse steht doch im Klartext inklusive Namen auf deiner Website.

#2 - G Data Software AG said:
2010-02-05 15:52 - (Reply)

Sehr geehrte Anwender,

unser SecurityLab hat die von Ihnen beschriebenen Spams analysiert und folgendes herausgefunden:

- Die Daten stammen mit großer Wahrscheinlichkeit aus Datendiebstählen in Online-Shops.
- Die Täter haben eine Sicherheitslücke in dem eingesetzten Shopsystem ausgenutzt und waren so in der Lage die E-Mail-Adressen und die echten Namen in Relation zu setzten und entsprechend die Anschreiben zu personalisieren.

Detaillierte Infos finden Sie auf unserer Webseite: www.gdata.de


Herzliche Grüße aus Bochum

G Data Software AG

#2.1 - Sebastian Raible said:
2010-02-10 10:26 - (Reply)

Ich bin kein Anwender. Und auf eurer Website finde ich einen 401. Ansonsten wünsche ich keine weiteren Werbekommentare wie diesen von euch auf meinem Blog.


Add Comment

E-Mail addresses will not be displayed and will only be used for E-Mail notifications.
 
 

View as PDF: This entry | This month | Full blog