Phishing mit Realdaten - Hermes API gehackt?

    • Phishing mit Realdaten - Hermes API gehackt?

      Heute im Mailfach eine ganz gemeine Phishingmail - oder ein Super-GAU bei ebay????


      Sie haben ein Versandetikett gedruckt
      [Blockierte Grafik: http://pics.ebaystatic.com/aw/pics/de/logos/logoHermes_200x100.png] Hallo xxxxx xxxxxxxx,
      vielen Dank für Ihren Ausdruck eines Hermes Online-Paketscheins auf eBay, den wir hiermit bestätigen.


      Hier einige hilfreiche Informationen:


      *Alle Preise sind Endpreise und enthalten die gesetzliche Umsatzsteuer.




      Sie müssen ein Etikett erneut drucken?
      Sie können die Etiketten erneut drucken - innerhalb von 24 Stunden nachdem Sie das Etikett erstellt haben.
      Wo ist Ihre Sendung? Besuchen Sie mein ebay, um die Sendungsnummern Ihrer verschickten Artikel aufzurufen.

      Das gehässige daran: diese Mail enthält komplett MEINE Realdaten, welche ich durch xxxx ersetzt habe, sowohl in der Anschrift, als auch die dazu passende Mailadresse.
      Was nicht stimmt ist die verwendete Empfängeradresse - den Mensch kenne ich nicht, habe die Anschrift aber mal etwas verixxelt.

      Ab und an nutze ich tatsächlich die Funktion um direkt aus ebay heraus ein Hermes-Paket-Label zu drucken.

      Die Links in der Email gehen alle über eine Umleitug (hxxp://2.signin.ebay.de.8786gytr54d65f7eryvbt5c67ver4ybvc56tvyuy.epicstock.net/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx/)
      zu einer ungesicherten Loginseite: hxxp://vi.sandbox.ebaydesc.com/ws/eBayISAPI.dll?ViewItemDescV4&item=xxxxxxxxxxxxxxxx/xxxxxxxxxx/xxxxxxxxxxxx/


      Bei einem Anruf bei ebay bestätige mir eine Mitarbeiterin, dass es sich um eine Spoof-Mail handelt.


      Quelltext der Mail in Auszügen:



      Quellcode

      1. Received: from localhost(localhost)
      2. by hermes with LMTP; Thu, 4 Feb 2016 10:42:26 +0100 (CET)
      3. Received: from mailfilter (localhost [127.0.0.1])
      4. by hermes.rz1.hosting-agency.net (Postfix) with SMTP id 53DA1AEA18E
      5. for <m039292-xxxxxxxxxx@hermes.rz1.hosting-agency.net>; Thu, 4 Feb 2016 10:42:26 +0100 (CET)
      6. Received: from mailfilter (localhost [127.0.0.1])
      7. by hermes.rz1.hosting-agency.net (Postfix) with SMTP id 5120BAEA18E
      8. for <xxxxx@xxxxx-xxxxxxxx.de>; Thu, 4 Feb 2016 10:42:26 +0100 (CET)
      9. Received: from dazkktcmedyacom.localdomain (unknown [185.61.138.198])
      10. by hermes.rz1.hosting-agency.net (Postfix) with ESMTP id 3D59B9406E1
      11. for <xxxxx@xxxxx-xxxxxxxx.de>; Thu, 4 Feb 2016 10:42:26 +0100 (CET)
      12. Received: from [127.0.0.1] (localhost [127.0.0.1])
      13. by dazkktcmedyacom.localdomain (Postfix) with ESMTP id B553D32D1F
      14. for <xxxxx@xxxxx-xxxxxxxx.de>; Thu, 4 Feb 2016 09:05:06 +0000 (UTC)
      15. Content-Type: multipart/alternative;
      16. boundary="----sinikael-?=_1-14545766887320.9154831995256245"
      17. From: eBay <versandetikett@ebay.de>
      18. To: xxxxx@xxxxx-xxxxxxxx.de
      19. Subject: Sie haben ein Versandetikett gedruckt
      20. Date: Thu, 04 Feb 2016 09:04:48 +0000
      21. Message-Id: <1454576706727-c4ad63fb-0a9d43b5-b392cda3@ebay.de>
      22. MIME-Version: 1.0
      23. X-Scanned-By: ClamAV 0.98.7/21341/Wed Feb 3 18:36:18 2016
      24. X-Original-To: xxxxx@xxxxx-xxxxxxxx.de
      25. X-Spam-Checker-Version: SpamAssassin 3.3.2 (2011-06-06) on
      26. hermes.rz1.hosting-agency.net
      27. X-Spam-Level: *
      28. X-Spam-Status: No, score=1.6 required=5.0 tests=AWL,BAYES_50,HTML_MESSAGE,
      29. RDNS_NONE,T_REMOTE_IMAGE autolearn=disabled version=3.3.2
      30. X-Sieve-Filtered: keep in Inbox
      31. ------sinikael-?=_1-14545766887320.9154831995256245
      32. Content-Type: text/plain; charset=utf-8
      33. Content-Transfer-Encoding: quoted-printable
      34. eBay [http://p.ebaystatic.com/aw/pics/logos/logoEbay_x45.gif]
      35. [hxxp://2.signin.ebay.de.8786GYTR54D65F7ERYVBT5C67VER4YBVC56TVYUY.epicstock=
      36. .net/xxxxxxxxxxxxxxxxxxxxxxxxxxx/]Sie haben ein =
      37. Versandetikett gedruckt
      38. Logo [http://pics.ebaystatic.=
      39. com/aw/pics/de/logos/logoHermes_200x100.png]
      40. [hxxp://2.signin.ebay.de.=
      41. 8786GYTR54D65F7ERYVBT5C67VER4YBVC56TVYUY.epicstock.net/xxxxxxxxxxxxxxxxxxxxxxxxxx=
      42. xxxxxxxxxxxxxxxxxxxxxxxxxx/]Hallo xxxxx xxxxxxxx,
      43. vielen Dank f=C3=BCr Ihren Ausdruck eines Hermes Online-Paketscheins auf =
      44. eBay, den
      45. wir hiermit best=C3=A4tigen.
      46. ...
      Alles anzeigen
      ★ Lieber abwarten als gar nichts tun. ★

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von scharfmacher ()

    • Dieses Phishing mit Realdaten passend zur Mailadresse gibt es schon etliche Jahre.
      Das ist reiner Zufall, daß Du tatsächlich schonmal ein Hermes Etikett gedruckt hast. Du hättest das auch bekommen, wenn Du noch nie was mit Hermes versendet oder zumindest noch nie einen online-Paketschein gedruckt hättest.
      Wenn die 10.000 Leute damit bepflastern, sind garantiert 500 dabei, die sich angesprochen fühlen. Und von denen ist dann jeder Zehnte evtl so irritiert, daß er irgendwas anklickt oder öffnet...

      Sowas kommt auch regelmäßig von "DHL", daß das Paket unterwegs ist und man das Tracking >hier< verfolgen kann. Da klicken wahrscheinlich noch viel mehr Leute, weil im Schnitt fast jeder Zweite grad auf ein Paket von irgendeiner online-Bestellung wartet...

      Name und Mailadresse stammen auch wahrscheinlich nicht von eBay ( obwohl seit dem Hack von 2014 möglicherweise unzählige Datensätze kompromittiert sind ) und ziemlich sicher nicht von Hermes, sondern eher von einem verseuchten PC irgendeines Deiner eBay-Transaktionspartner aus den letzten Jahren.
    • Ich habe von den Mails inzwischen 5 Stück (im SPAM-Ordner), 2 gestern und 3 heute.
      Alle an den gleichen gewerblichen Account.
      Die in der Mail verwendeten Daten entsprechen genau den auf den Angeboten veröffentlichten Informationen.
      Die Mails gestern kamen beide von der gleichen IP-Adresse, die drei von heute auch, aber von einer anderen.
      -----
      Vielleicht sollte eBay die Einstellungskriterien für Mitarbeiter und Beauftragte einmal von "IQ<70" auf "IQ>70" ändern?
    • mal ausführlich zum "Mitschreiben" ;)

      http://www.polizei-praevention.de/themen-und-tipps/phishing.html schrieb:

      Schicken Sie uns Ihre SpammailsDie Polizei Niedersachsen bietet im Bereich
      Cybercrime einen neuen Dienst an. Jeder Internetnutzer, der auffällige
      Spammails bekommt, die möglicherweise auch Schadsoftware enthalten, kann
      dazu beitragen, die Polizei darüber zu informieren.
      Leiten Sie einfach die verdächtige Mail unkommentiert an


      [Blockierte Grafik: http://www.polizei-praevention.de/typo3/sysext/rtehtmlarea/res/accessibilityicons/img/mail.gif]trojaner(at)polizei-praevention(dot)de (zum direkten Anklicken)
      oder zum Ausschneiden trojaner@polizei-praevention.de weiter.


      Achten
      Sie bitte darauf, dass persönliche automatische Signaturen, z.B.
      eigenen Firmenname, innerhalb des Mailtextes von Ihnen vor dem Versenden
      entfernt wird, damit dies nicht zu Fehleinschätzungen bei der
      Auswertung kommt.
      Im Landeskriminalamt Niedersachsen werden die
      eingehenden Mails analysiert und ausgewertet. Mit den daraus gewonnenen
      Informationen können wir schneller Erkenntnisse über neue Spamwellen und
      Tathandlungen erlangen und dadurch auch die Internetnutzer früher
      warnen und besser beraten. Bitte beachten Sie aber, dass das Zusenden
      und Weiterleiten Ihrer Mails keine Anzeigenerstattung bedeutet. Sollten
      Sie Geschädigter einer Straftat sein, so wenden Sie sich bitte an eine
      Polizeidienststelle in Ihrer Nähe oder nutzen Sie die Onlinewache der
      Polizei Niedersachsen.
      Bedenke: "Humor ist der Knopf, der verhindert, dass uns der Kragen platzt." ^^ Ringelnatz :D
      Was heißt das? Abkürzungen, "Forengeheimsprache" und "geflügelte Worte"