ich hab diese email bereits an die Polizei Niedersachsen / Landeskriminalamt Niedersachsen

polizei-praevention.de/aktuell…analysiert-spammails.html

weitergeleitet.

Im Landeskriminalamt Niedersachsen werden die eingehenden Mails analysiert und ausgewertet. Mit den daraus gewonnenen Informationen können wir schneller Erkenntnisse über neue Spamwellen und Tathandlungen erlangen und dadurch auch die Internetnutzer früher warnen und besser beraten.

Hier nochmals die Weiterleitungsemail: trojaner@zik-nds.de

Es ist erstaunlich, dass der Text dieser Phishing-Mail diesmal keine kyrillischen Buchstaben - anstelle der deutschen Umlaute - enthält.
Das war ja immer der verräterische "Hauptschwachpunkt" früherer Phishing-Mails aus z.B. osteuropäischen Ländern.

Ein winzig kleines Detail verrät aber doch, dass dieser Text offensichtlich mit einer kyrillischen Tastatur erstellt wurde.

Wer findet es?

Es handelt sich bei "PayPal" nicht um ein "y", sondern das Zeichen U+0443 (Unicode: CYRILLIC SMALL LETTER U).

edit: es gibt noch mehr davon, r, A, k, e, S, i usw.

Sehr gut Panda,

aber ich meinte ein kleines Detail, was beim Lesen eigentlich sofort ins Auge springt.

Wenn du nicht das meinst, weiß ich auch nicht. Am auffälligsten ist das "k" != "κ", am besten erkennbar im Wort "Banκκonten".

@cody wichtig:

Richtig Panda, ich meinte den Buchstaben "κ" z.B. im Wort "Banκκonten".

Du hast soeben 1000 virtuelle Gummibärchen gewonnen.

Achso, das hatte ich doch in #4 noch nachgetragen. Mir fiel zuerst das Wort "Paypal" ins Auge, und zwar weil ich für die Thematik wegen der Einführung von IDN (Zeichensatz) und Punycode sensibilisiert bin.

Diese Email ist habe ich gestern bekommen.
Bei der letzten Kreditkartenzahlung seien ungewöhnliche Aktivitäten aufgefallen.

Wir haben gar keine Kreditkarten.
Die Email wurde an mich geschickt, mit der Email sind wir bei PP nicht angemeldet.



PayPal. Sicherererer.

Freitag, 11. Juli 2014

Sehr geehrte Kundin,
Sehr geehrter Kunde,
Im Rahmen Ihrer Sicherheiten prüfen wir regelmäßig alle Vorgänge im PayPal-System. Bei einer Überprüfung haben wir kürzlich ein Problem im Zusammenhang mit Ihrem Konto festgestellt.
Bitte helfen Sie uns dabei, Ihr PayPal-Konto wieder in Ordnung zu bringen. Bis dahin haben wir den Zugang zu Ihrem PayPal-Konto vorübergehend eingeschränkt.

Wo liegt das Problem?

Bei Ihrer letzten Kreditkartenzahlung sind uns ungewöhnliche Aktivitäten aufgefallen.

Bearbeitungsnummer:

Was mache ich jetzt?

Bitte verifizieren Sie sich über folgenden Link durch einen Abgleich Ihrer Daten als rechtmäßiger Besitzer. Im Anschluss können Sie Ihr Konto wieder uneingeschränkt nutzen:

Konfliktlösungen

Viele Grüße
PayPal Support

Wir stehen Ihnen jederzeit zur Verfügung.
Kontaktieren Sie uns auf

@ Penny

Schicke die Mail auch weiter an diese Adresse
spoof@paypal.com

Was soll das eigentlich bringen?

Was?

Phishing-Mails an PayPal zu schicken. Das wird immer wieder geraten, aber nie sagt jemand, warum.

Warum?

Weil sie selber dazu auffordern.
Ich schicke immer den Header mit.
Bringt nicht weniger als es nicht zu tun.

Ja, ok, es schadet nicht, das ist klar.



Das habe ich wohl gelesen. Ein Textbaustein.

.

Dennoch habe ich das Gefühl, daß niemand so genau weiß, was PayPal mit so einer Mail eigentlich macht. Die schicken ein Abuse an den Hoster der Phishing-Site, und das bringt i.d.R. genau 0,0, weil auf beiden Seiten ein Arbeitstag vergeht. Bis dahin ist eine Phishing-Welle längst durch und die Site aufgegeben. Nach meiner Erfahrung werden nicht mal mehr die Ergebnisse von Tag 3 abgegriffen (es gibt ja immer mal Nachzügler, die nur alle paar Tage ins Postfach schauen und sich deshalb "zu spät" phishen lassen). In der Zeit sind schon längst 10 andere offene Webpräsenzen für neue Versuche benutzt worden.

Falls jemand glaubt, PayPal würde anhand des Headers irgendwelche Spammer verfolgen, dann ist das ein Irrtum. Das ist auch gar nicht möglich, weil diese Mails von ganz normalen Menschen verschickt werden, die ihren Rechner durch Installation eines Trojaners an Botnet-Betreiber verschenkt haben.

Alles in allem würde ich eher dazu raten, die URL aus der Mail zu kopieren und über die entsprechende Funktionalität des eigenen Browsers zu melden. Bei MS (Extras -> Phishingfilter -> Website melden) muß man dazu auf der Seite sein, das Formular von google (und FF) kann man auch manuell aufrufen: google.com/safebrowsing/report_phish/

Auch da wäre ich skeptisch, ob das irgendjemandem nützt, aber die Wahrscheinlichkeit einer zeitnahen Reaktion ist wesentlich höher als bei PayPal. Insbesondere muß keine Abuseabteilung irgendeines Hosters reagieren, weil die Seiten dann bei zukünftigen Opfern direkt im Browser blockiert werden. Wer also das Gefühl hat, irgendetwas tun zu müssen, sollte sich wenigstens dafür entscheiden.

PayPal selbst meldet übrigens an Phishtank, von wo einige "Antiviren"-Hersteller für ihre "Sicherheitssoftware" Listen beziehen. Aber nicht die Browserhersteller. Warum man nicht auch dahin meldet, weiß ich nicht.

Zum Header; eine Mail gehört immer als Anhang und nicht inline weitergeleitet. Da braucht man dann auch nicht den Header anzeigen oder irgendwas kopieren, die ist vollständig und kann vom Empfänger im Quelltext angesehen werden.

edit: Zur Qualität von eBayPals Abuse-Abteilung.

Ja, PayPal teilt dem Nutzer mit, ob es sich um Phishing handelt oder nicht. Davon ab daß PP dabei auch schonmal daneben lag, ist das sinnvoll, wenn sich ein Nutzer nicht sicher ist, ob er gerade eine echte Mail oder einen Phishingversuch erhalten hat.

Aber wenn bereits klar ist, daß es sich um Phishing handelt, wie in diesen Threads im Forum immer:

Warum sollte man dann an diese Adresse mailen? Was hat man davon? Was hat jemand anders davon? Warum wird das immer geraten?

Ich kann da ehrlich keinen Sinn erkennen.

Im Übrigen brauchst du mir nicht immer klein-klein die Abläufe erklären, ich weiß das doch alles, und wenn ich ein Verständnisproblem hätte, würde ich auch fragen.



E-Mails haben keinen "Absender".