Personalausweis und Bankdaten abgreifen

    • Personalausweis und Bankdaten abgreifen

      Hallo,
      ich weiß nicht, ob ich hier im richtigen Thread bin, aber die Mail eben war schon so dreist, dass ich sie nicht nur gelöscht habe, sondern evtl. hier jmd. damit helfen kann.

      Warum ich mir sicher bin, dass diese nicht echt ist?
      -sie war nicht im Ebay Postfach
      -ein paar Schreib- und Grammatikfehler

      Gruß
      Bilder

      • ebay Betrugsmail.png

        66,16 kB, 823×552, 487 mal angesehen

    • Es könnte sich um eine echte Email von ebay handeln. Es sieht jedenfalls so aus.
      Eine Betrugsemail, bei der man tatsächlich an eine Adresse "@ebay.com" antwortet macht keinen Sinn, weil "ebay.com" echt ist.

      Der Name "Ines Driesen" ist im Netz bekannt und hat Bezüge zu Paypal und ebay.
      ie.linkedin.com/in/ines-driesen-49638b85
      facebook.com/ines.driesen
      time flies like an arrow - fruit flies like a banana

    • Fairhandel schrieb:

      Der Name "Ines Driesen" ist im Netz bekannt und hat Bezüge zu Paypal und ebay.

      Zwei mögliche Optionen dazu:

      1.) Für wie schwierig hältst Du es, solche Bezüge zu ebay und Paypal auch für - sagen wir mal - Dr Furz mit Landgang, den Lead-Gitarristen der Rockgruppe "El Fies Pressluft and the Dia-Rööööhs" herzustellen?

      2.) Für wie schwierig hältst Du es, vor der Herstellung einer solchen Spoofmail rauszubekommen, dass der Eintrag einer echten Ines Driessen mit diesen Bezügen zu ebay und Paypal besteht?

      Und noch 'ne Frage: für wie wahrscheinlich hältst Du es, dass ein subalterner Mitarbeiter bei ebay mit seiner echten ebay-internen Mailadresse (denn das Format der Addi ist für die obere Leitungsebene stimmig) unter seinem echten Namen und nicht unter Pseudonym irgendwelche neu angemeldeten Nutzer anschreibt? Es gibt zwar solche Mails, aber wenn ich die bekomme geht dem normalerweise ein böses Fax an die Rechtsabteilung voraus.

      Aber solange TE mit den Headerdaten nicht rüberkommt bleibt ihm wohl nur, die Mail als Anhang (wichtig!) an spoof(at)ebay.de weiterzuleiten und die Antwort abzuwarten. Wobei hier auch etliche der Anwesenden auf einen Blick sehen können, ob ebay oder nicht.
      Wenn Dir ein ebay-Mitarbeiter die Hand gibt und "Guten Tag" sagt, sind folgende drei
      Wahrheiten als self-evident zu erachten und als sicher gegeben anzusehen:

      1.) Zähle nicht nur deine Finger nach, sondern auch deine Hände. So Du welche hast auch die Füße.
      2.) Draussen ist es mitten in der Nacht und dunkel wie im Bärenarsch.
      3.) Der einzige Lichtschein dringt aus den Pforten der Hölle, die sich geöffnet haben weil die Welt untergeht.

    • Zuerst muß ich leider schreiben, daß meine Computer und Browser (gleiche Konfiguration) mit dem erweiterten Editor hier im Forum schon seit der Umstellung auf die neue Forensoftware so ihre Probleme haben. Die Zeilenschaltung an der Schreibmarke geht nicht, sondern sie erfolgt dann an einer anderen Stelle. Ich weiß nicht, warum das so ist. Mit anderen Foren und Editoren habe ich keine Probleme. Es kann sein, daß meine Beiträge hier etwas merkwürdig formatiert erscheinen.

      Löschbert, Deine Fragen sind die richtigen! Da sage ich erstmal: "ja, sowas geht!".
      Sowas macht aber als betrügerische Email keinen Sinn, wenn der Empfänger der abgefischten Daten ebay wäre. Ob der Absender tatsächlich ebay ist, wissen wir noch nicht.
      Die Headerdaten sind bekanntermaßen notwendig, um dies beurteilen zu können. ... [NEUER ABSATZ] ... Die Email hat merkwürdige Schreibfehler. "Ich schreibe Sie bezugnehmend" statt "Ich schreibe Ihnen bezugnehmend" könnte ein Schreifehler eines Deutschen sein, der schon lange im englischsprachigen Ausland (Dublin, Irland) lebt, oder aber jemand, der des Deutschen nie mächtig war. "Ueberprüfungen" hat normalerweise zwei Ü und diese Variante hier ist schon sehr merkwürdig. Normalerweise sind solche Email-Texte bei ebay vorgegeben (Bausteine) und werden nur geringfügig angepasst. Die "CONFIDENTIALITY NOTICE" am Schluß ist auch mit einem Fehler behaftet: "please your records" sollte heißen: "please delete it from your records"... [NEUER ABSATZ] ... Die Email ist also Aufgrund ihres Aufbaus verdächtig und ich halte sie eher für eine Fälschung auch wenn eine Ines vielleicht tatsächlich bei ebay beschäftigt ist. Vielleicht ist dem Betrüger (wenn wir davon ausgehen, daß die Email nicht von ebay ist) einfach auch ein Fehler bei der Erstellung der Email-Rückantwort-Adresse unterlaufen und er hat eine echte ebay.com-Adresse hinterlegt. Kann ja mal in der Hektik passieren. ... [NEUER ABSATZ] ... Wichtig ist es auch vom Themenersteller zu erfahren, ob seine Empfängeradresse seine richtige ebay-Adresse ist und ob sie einen (seinen) Namen enthält "Max.Mustermann@" oder eine namenlose Adresse ist "wtfomg@" und ob er mit seinem richtigen Namen oder was sonst angesprochen wurde. ... [NEUER ABSATZ] ... Mehr kann ich ohne weitere Informationen nicht sagen.
      time flies like an arrow - fruit flies like a banana

    • So, hier mal der Header, meine Email/Ebayname habe ich entfernt.

      Wie hilft mir das jetzt weiter?
      Der Header ist auf alle Fälle sehr viel umfangreicher als der einer original ebay-Nachricht.

      Zu den ganzen Schreibfehlern, selbst wenn das aus Textbausteinen bestünde, würde ja nicht abwechselnd "UE" statt "ü" oder mal "ß" mal nicht verwendet werden.

      Das ebay team hat mir ebenfalls geantwortet:
      "Bei der Überprüfung dieser E-Mail haben wir festgestellt, dass diese nicht von eBay verschickt wurde. Es handelt sich um eine gefälschte E-Mail, eine sogenannte Spoof-E-Mail."Grüße
      Bilder

      • Header 1.png

        44,27 kB, 437×570, 208 mal angesehen

      • Header 2.png

        72,15 kB, 980×591, 156 mal angesehen

      • Header 3.png

        21,95 kB, 587×268, 138 mal angesehen

    • @hierpk Du kannst genauso nach dem mx11 oder mx10 von freenet googeln und du wirst ähnliche Ergebnisse erhalten.
      Das hat überhaupt nichts mit dem Absender DIESER Mail zu tun.


      Der Header sagt aus, dass kein Return-Path: „Wenn unzustellbar zurück an“ angegeben wurde.
      Delivery-date: Absendedatum und Uhrzeit

      Mehrere „Received“-Zeilen zeigen den Weg, den die E-Mail vom Sender zum Empfänger genommen hat. Jeder Server, der die Mail weiterleitet, fügt seine Kennung und das Datum am Anfang der E-Mail hinzu.
      Die Nachricht kann auch über mehrere Mailserver laufen, wobei die Received-Zeile eines Mailservers immer oben angefügt wird. In jeder Received-Zeile ist sowohl der Absender ("from...") als auch der Empfänger ("by...") enthalten. Daraus ergibt sich, dass der Versender der ersten Zeile und der Empfänger der zweiten Zeile identisch oder zumindest ähnlich sein müssen.


      Received: from [195.4.92.22] (helo=mx12.freenet.de)

      das ist der FQDN eines der Eingangsserver von Freenet

      by mbox144.freenet.de with esmtpa ......

      Daraus ist ersichtlich, dass der Mailbox-Server "mbox144.freenet.de" die Nachricht entgegengenommen hat. Das verwendete Übertragungsprotokoll war Extended SMTP.
      Also hat @arty eine Mailbox bei Freenet.


      Wenn man die Mailserver aus den „Received“-Zeilen zerpflückt, ergibt sich folgender Weg zum Empfänger der Mail


      Absender:
      Mailbox Driesen, Ines auf
      CY1PR07MB2412.namprd07.prod.outlook.com (10.166.195.13) by
      CY1PR07MB2411.namprd07.prod.outlook.com (10.166.195.12)
      na01-bn1-obe.outbound.protection.outlook.com (207.46.163.190) by
      0365.corp.ebay.com (10.58.112.138)
      PHX-365HT-004.corp.ebay.com (10.58.112.138) by
      PHX-365HT-002.corp.ebay.com (10.58.12.72)
      den-vteml-002.corp.ebay.com (HELO PHX-EXMHT-002.corp.ebay.com) (10.101.112.213)


      dann zu freenet und somit zur Mailbox von @arty


      Das heisst für mich, dass in der Bucht ne Microdoof Exchanger Umgebung vorhanden ist und die Mail authentisch sein kann.
      Der Beitrag wurde zu 100% aus recycelten Elektronen erstellt. Wer Schrebfeihler oder Dreckfuhler findet, darf sie behalten.
      Und wer meine Omma beleidigt, muss sie mitnehmen.

    • Zentauer schrieb:

      Das heisst für mich, dass in der Bucht ne Microdoof Exchanger Umgebung vorhanden ist und die Mail authentisch sein kann.

      ebay verwendet tatsächlich intern den 10er Bereich. Soweit passt das.

      Alerdings werde ich aus den Screens der Header nicht ganz schlau, da wäre schon wegen der Reihenfolge eine einfache Textkopie hier drin sinnvoller gewesen.

      Die MS-Server könnten eventuell durch das Mailprogramm von Arty verursacht geworden sein. Mickersaft Mail über Webportal - dem Ding traue ich zu, dass es da jede Menge Mist reinkritzelt.

      Der zweite Screen dagegen verweist auf 216.113.175.153 als einliefernden Server. Und der gehört dann tatsächlich zu ebay. Auch die Signatur sieht soweit ganz ok aus. Aber ich tippsel die jetzt nicht zur Prüfung hier von der Grafik ab.

      Wenn ich jetzt fies wäre würde ich sagen: ebay behauptet, es ist 'ne Spoofmail. ;)

      Aber die Qualifikation von ebay-Mitarbeitern liegt typischerweise immer in einem Bereich, der angesichts der von ebay gezahlten Gehälter auch nicht anders zu erwarten ist. Also so irgendwo zwischen Gurkenschädel und Vollpfosten.
      Wenn Dir ein ebay-Mitarbeiter die Hand gibt und "Guten Tag" sagt, sind folgende drei
      Wahrheiten als self-evident zu erachten und als sicher gegeben anzusehen:

      1.) Zähle nicht nur deine Finger nach, sondern auch deine Hände. So Du welche hast auch die Füße.
      2.) Draussen ist es mitten in der Nacht und dunkel wie im Bärenarsch.
      3.) Der einzige Lichtschein dringt aus den Pforten der Hölle, die sich geöffnet haben weil die Welt untergeht.

    • Da ist noch eine IP-Adresse im Header 2:
      x-originating-ip: 93.94.41.67

      eBay GmbH
      Jerusalem, Israel



      X-Originating-IP sollte die IP-Adresse des originalen Email-absendenen Computers/Servers enthalten. Die Angabe der X-Originating-IP kann vom System-Administrator unterdrückt werden (MS-Exchange-Funktion). Ob sie andererseits auch gefälscht werden kann weiß ich nicht.


      Es sieht insgesamt eher so aus, als wäre diese Email tatsächlich von ebay. Alles deutet jedenfalls darauf hin. Oder aber Hacker/Gauner haben sich der Email-Server von ebay bemächtigt, was allerdings ein tiefes Eindringen in das Server-System von ebay voraussetzen würde ... Was den Inhalt der Email und die Fragestellung der Ines anbelangt: die Vorgehensweise Kopien bestimmter Dokumente als Nachweise für bestimmte Anforderungen zu verlangen ist ja auch von Paypal bekannt. Ob das hier bei einer Überprüfung auf einen illegalen ebay-Zugang Sinn macht, wage ich zu bezweifeln. Ein Gauner könnte auch die angeforderten Kopien der Dokumente fälschen. ... Das der ebay-Zugang des Fragestellers zufällig ausgewählt wurde glaube ich nicht. Es würde gar keinen Sinn machen, neue ebay-Zugänge nach dem Zufallsprinzip auszusuchen. Eher macht es Sinn, neue ebay-Zugänge nach bestimmten Mustern abzusuchen und die dabei verdächtigen Zugänge näher zu überprüfen. ... [Habe immer noch Probleme mit dem Editor]
      time flies like an arrow - fruit flies like a banana

    • Hi,

      Danke bisher für die ganzen Antworten. Bisher war das sehr erhellend für mich.
      Unten kommt der header nochmal als Text.

      Diese Online Verifikation gibt's auch bei anderen, aber doch niemals per Email-Versand?
      Immer im jeweiligen Konto einloggen und hochladen? Daher hatte ich mich erst gewundert, wieso ich ebay intern keine Nachricht bekommen habe, dann die Mail genauer angeschaut und dann kam's mir schon sehr komisch vor.

      Header
      Return-path:
      Delivery-date: Fri, 17 Jun 2016 17:55:46 +0200
      Received: from [195.4.92.22] (helo=mx12.freenet.de)
      by mbox144.freenet.de with esmtpa (ID exim) (Exim 4.85 #1)
      id 1bDw7W-0003uC-Fh
      for Fri, 17 Jun 2016 17:55:46 +0200
      Received: from den-mipot-002.corp.ebay.com ([216.113.175.153]:54947)
      by mx12.freenet.de with esmtps (TLSv1:DHE-RSA-CAMELLIA256-SHA:256) (port 25) (Exim 4.85 #1)
      id 1bDw7V-0006zj-U4
      for Fri, 17 Jun 2016 17:55:46 +0200
      DomainKey-Signature: s=ebaycorp; d=ebay.com; c=nofws; q=dns;
      h=X-EBay-Corp:X-IronPort-AV:Received:Received:Received:
      Received:Received:From:To:Subject:Thread-Topic:
      Thread-Index:Date:Message-ID:Accept-Language:
      Content-Language:X-MS-Has-Attach:X-MS-TNEF-Correlator:
      authentication-results:x-originating-ip:
      x-ms-office365-filtering-correlation-id:
      x-microsoft-exchange-diagnostics:x-microsoft-antispam:
      x-microsoft-antispam-prvs:x-exchange-antispam-report-test:
      x-exchange-antispam-report-cfa-test:x-forefront-prvs:
      x-forefront-antispam-report:received-spf:
      spamdiagnosticoutput:spamdiagnosticmetadata:Content-Type:
      MIME-Version:
      X-MS-Exchange-CrossTenant-originalarrivaltime:
      X-MS-Exchange-CrossTenant-fromentityheader:
      X-MS-Exchange-CrossTenant-id:
      X-MS-Exchange-Transport-CrossTenantHeadersStamped:
      Return-Path:X-OriginatorOrg:X-CFilter;
      b=TlQICmNW4qKEEiMjkORBQNCp3Hz1m/6DOMWJBmE4QQAMyeA0ZZtmaiTF
      E7oqx1unCYlrk0In5iHRbO33QFEVI0ELfZK6GjoDI54aTFcnDc5ygk2tq
      6Th16cCRj7Cq8NgVR0cjQ6nDG4KYw2EHmXl1stuy5Hq/UjQaCytQSVA4n
      Y=;
      DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple;
      d=ebay.com; i=@ebay.com; q=dns/txt; s=ebaycorp;
      t=1466178946; x=1497714946;
      h=from:to:subject:date:message-id:mime-version;
      bh=Exsxv1BwJdoZfFX1n5S4awUzLEGa8mfzZ2KmyWIVja0=;
      b=ShvPHaGIXBQaoJIC6p96jMriRbCC/7D45xsgopqhGVS+wG1Hkw0e/Sil
      hOT+LqsQO9kJmsAmHipdvvZ/8tD+LhhxrVZ23/Q2AzglmpOrJDwsurofJ
      PcaC4eZdjZXxMzCRdlvwJ92nTlvYSQgQakgQZQgoSNXbKo8cj1jMpSOCc
      s=;
      X-EBay-Corp: Yes
      X-IronPort-AV: E=Sophos;i="5.26,484,1459836000";
      d="jpg'145?scan'145,208,217,145";a="191863475"
      Received: from den-vteml-002.corp.ebay.com (HELO PHX-EXMHT-002.corp.ebay.com) ([10.101.112.213])
      by den-mipot-002.corp.ebay.com with ESMTP; 17 Jun 2016 09:55:43 -0600
      Received: from PHX-365HT-004.corp.ebay.com (10.58.112.138) by
      PHX-EXMHT-002.corp.ebay.com (10.58.12.72) with Microsoft SMTP Server (TLS) id
      14.3.266.1; Fri, 17 Jun 2016 08:55:07 -0700
      Received: from na01-bn1-obe.outbound.protection.outlook.com (207.46.163.190)
      by o365.corp.ebay.com (10.58.112.138) with Microsoft SMTP Server (TLS) id
      14.3.266.1; Fri, 17 Jun 2016 08:55:07 -0700
      Received: from CY1PR07MB2412.namprd07.prod.outlook.com (10.166.195.13) by
      CY1PR07MB2411.namprd07.prod.outlook.com (10.166.195.12) with Microsoft SMTP
      Server (TLS) id 15.1.511.8; Fri, 17 Jun 2016 15:55:05 +0000
      Received: from CY1PR07MB2412.namprd07.prod.outlook.com ([10.166.195.13]) by
      CY1PR07MB2412.namprd07.prod.outlook.com ([10.166.195.13]) with mapi id
      15.01.0511.013; Fri, 17 Jun 2016 15:55:05 +0000
      From: "Driesen, Ines"
      To: " "
      Subject: Ihr eBay-Mitgliedskonto:
      Thread-Topic: Ihr eBay-Mitgliedskonto:
      Thread-Index: AdHIr94w4B9SzKZZQtO1rBTD4lNPhA==
      Date: Fri, 17 Jun 2016 15:55:05 +0000
      Message-ID:
      Accept-Language: en-US
      Content-Language: en-US
      X-MS-Has-Attach: yes
      X-MS-TNEF-Correlator:
      authentication-results: spf=none (sender IP is )
      smtp.mailfrom=idriesen@ebay.com;
      x-originating-ip: [93.94.41.67]
      x-ms-office365-filtering-correlation-id: 69bb8155-60f5-4e75-77be-08d396c7c002
      x-microsoft-exchange-diagnostics: 1;CY1PR07MB2411;5:pidejp+DVvHEcxNTE/pa469GIM2PbxnrherYqk/2WBv4RDUJJB4YQnhn2VapqX5Fc/HMUnIguG/2EGeXFoDemGOLOpmJxuiQsRqIHBGUBbVsKQGG+0RRIalMCfYbK4DfSUUU/ZxbtyvPxHhmciJ6DQ==;24:dF72H8ELDq9tPPe4DCfpOrupmvfPJLxn+blkv/CjRhNCOqcQjkTt1p6mPXWkGbXl0TcVOkL6M+Q7VKHvR9f6FRiUFuMkxYTQPcZWJA0YLcI=;7:CvzShmXl4TiFKqU9QdnZDiW7EzoTOm9CiJuoEpf602dY6+82gRRZRjWReh7uIwAeRmOa1I98N3Fe12oTGflnWYd2tE7fWPWSica4K4WNHPlvzmHIhdLn0FrXNfH6/iv/ookn9jy4V9CKYJaZyp0edjPXhQmuAXtLkevsY11/B0tNFTlkzEIpH63iXjlpWNybup7YEgpOasQEti8i1qmpHg==
      x-microsoft-antispam: UriScan:;BCL:0;PCL:0;RULEID:;SRVR:CY1PR07MB2411;
      x-microsoft-antispam-prvs:
      x-exchange-antispam-report-test: UriScan:(21748063052155);
      x-exchange-antispam-report-cfa-test: BCL:0;PCL:0;RULEID:(102415321)(601004)(2401047)(5005006)(8121501046)(3002001)(10201501046);SRVR:CY1PR07MB2411;BCL:0;PCL:0;RULEID:;SRVR:CY1PR07MB2411;
      x-forefront-prvs: 09760A0505
      x-forefront-antispam-report: SFV:NSPM;SFS:(10019020)(6009001)(7916002)(40134004)(189002)(199003)(19627595001)(105586002)(86362001)(122556002)(66066001)(2906002)(2351001)(19300405004)(3846002)(5003600100002)(99286002)(18206015028)(6116002)(16236675004)(106356001)(9686002)(586003)(2501003)(10400500002)(8936002)(10290500002)(19580405001)(450100001)(77096005)(19625215002)(5002640100001)(5004730100002)(19580395003)(790700001)(2900100001)(102836003)(8676002)(229853001)(101416001)(68736007)(189998001)(76576001)(5630700001)(87936001)(54356999)(15975445007)(33656002)(107886002)(5640700001)(110136002)(5008740100001)(17760045003)(81166006)(50986999)(11100500001)(3660700001)(3280700002)(99936001)(74316001)(97736004)(81156014)(92566002);DIR:OUT;SFP:1102;SCL:1;SRVR:CY1PR07MB2411;H:CY1PR07MB2412.namprd07.prod.outlook.com;FPR:;SPF:None;PTR:InfoNoRecords;MX:1;A:1;LANG:de;
      received-spf: None (protection.outlook.com: ebay.com does not designate
      permitted sender hosts)
      spamdiagnosticoutput: 1:99
      spamdiagnosticmetadata: NSPM
      Content-Type: multipart/related;
      boundary="_004_CY1PR07MB2412FE086518CBBD42840283A1570CY1PR07MB2412namp_";
      type="multipart/alternative"
      MIME-Version: 1.0
      X-MS-Exchange-CrossTenant-originalarrivaltime: 17 Jun 2016 15:55:05.2866
      (UTC)
      X-MS-Exchange-CrossTenant-fromentityheader: Hosted
      X-MS-Exchange-CrossTenant-id: 46326bff-9928-41a0-baca-17c16c94ea99
      X-MS-Exchange-Transport-CrossTenantHeadersStamped: CY1PR07MB2411
      X-OriginatorOrg: ebay.com
      X-CFilter: Scanned den2
      X-purgate-ID: 149285::1466178946-00005FA9-3C6ECEE5/0/0
      Delivered-To:
      Envelope-to:
      X-Originated-At: 216.113.175.153!54947

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von arty ()

    • woher stammt denn der Header?

      ich habe bei nämlich festgestellt, daß im orignal eMail-Account und dann bei Thunderbird die Daten u. U. unterschiedlich dargestellt werden (bzw. auch ggf. mehr beinhalten, z.B. bei AOL stand im Mail-Account ein anderer angeblicher Absender als dann bei der Kopie im Thunderbird ... also dann wenn im Posteingang steht: eMail-Adrese (bei AOL) oder wie aktuell im TB "Gegenseite"