Email von Paypal: Fake?

    • Email von Paypal: Fake?

      Hallo allerseits,

      ich habe eine Mail erhalten, die zwar rechtschreibmäßig korrekt ist, im Text jedoch einen Widerspruch enthält, weshalb ich glaube, daß es sich um eine Phishing-mail handelt. Ich muß dazusagen, daß ich beauftragt bin, das mail-Konto abzufragen. Da der Eigentümer des Kontos z.Zt. nicht erreichbar ist, kann ich ihn nicht fragen, ob er überhaupt ein pp-Konto hat, soweit ich weiß, hat er nicht.

      Den Realnamen habe ich in "Vorname Nachname" geändert, die email-Adresse, bestehend aus einem Synonym, in "12345".

      Es gibt auch einen Anhang ("Registrierung-Paypal.html"), den ich aber nicht speichern konnte, das verweigert mein Email-Programm. Und öffnen mag ich den auch nicht.

      Hier der Inhalt der mail incl. header.

      ---------------------

      Quellcode

      1. X-Yandex-FolderName: Vhodyashchie
      2. Received: from mxfront6.mail.yandex.net ([127.0.0.1])
      3. by mxfront6.mail.yandex.net with LMTP id mbOmRj1i
      4. for <12345@yandex.ru>; Thu, 15 Mar 2012 02:48:37 +0400
      5. Received: from y093.yellow.fastwebserver.de (y093.yellow.fastwebserver.de [217.79.182.93])
      6. by mxfront6.mail.yandex.net (nwsmtp/Yandex) with ESMTP id ma0qwPRr-ma0WwsnZ;
      7. Thu, 15 Mar 2012 02:48:36 +0400
      8. X-Yandex-Front: mxfront6.mail.yandex.net
      9. X-Yandex-TimeMark: 1331765316
      10. X-Yandex-Spam: 1
      11. Authentication-Results: mxfront6.mail.yandex.net; spf=softfail (mxfront6.mail.yandex.net: transitioning domain of paypal.de does not designate 217.79.182.93 as permitted sender) smtp.mail=support@paypal.de
      12. Received: from [217.79.182.93] ([127.0.0.1]) by y093.yellow.fastwebserver.de with Microsoft SMTPSVC(7.5.7600.16385);
      13. Wed, 14 Mar 2012 23:48:15 +0100
      14. Message-Id: <9CgTJhCw7iFSsosouFV6BjFLRyaP193hhb8y4iCjvGps@paypal.de>
      15. Mime-Version: 1.0
      16. From: Paypal Support <support@paypal.de>
      17. To: "Vorname Nachname" <12345@yandex.ru>
      18. Subject: Vorname Nachname - Verifizieren Sie Ihr PayPal-Konto !
      19. Date: Wed, 14 Mar 2012 23:48:15 +0100
      20. X-Bounce-Tracking-Info: <V2VybmVyCU9zdHJpbnNreQkJYWlkaXdlQHlhbmRleC5ydQlbVm9ybmFtZV0gW05hY2huYW1lXSAtIFZlcmlmaXppZXJlbiBTaWUgSWhyIFBheVBhbC1Lb250byAhIAkyCQk5MTgwNAlib3VuY2UJbm8Jbm8=>
      21. Content-type: multipart/mixed; Boundary="--=BOUNDARY_3142348_FRGL_MXYP_IJVU_XPNM"
      22. X-OriginalArrivalTime: 14 Mar 2012 22:48:24.0440 (UTC) FILETIME=[90328F80:01CD0234]
      23. Return-Path: support@paypal.de
      24. X-Yandex-Forward: a3e5bb4d20f2e89144d2d66795ec1e3b
      25. X-Antivirus: avast! (VPS 120320-0, 20.03.2012), Inbound message
      26. X-Antivirus-Status: Clean
      28. ----=BOUNDARY_3142348_FRGL_MXYP_IJVU_XPNM
      29. Content-type: text/plain; charset=iso-8859-1; format=flowed
      30. Content-transfer-encoding: quoted-printable
      32. Guten Tag Vorname Nachname,
      35. aufgrund eines automatisierten Abgleiches Ihrer Kundendaten mit Ve=
      36. rgleichsstatistiken wurde das Risiko eines Zahlungsausfalls f=FCr Ihr Ko=
      37. nto als =FCberdurchschnittlich hoch eingestuft=2E Um weiterhin problemlos =
      38. die Zahlungsmethode Bankeinzug nutzen zu k=F6nnen, bitten wir Sie eine =
      39. Kreditkarte - als Sicherheit bei Zahlungsausf=E4llen - bei uns zu =
      40. registrieren=2E Diese wird Ihrem Account nicht als Zahlungsmethode =
      41. hinzugef=FCgt, sondern dient lediglich als Absicherung bei einem nicht =
      42. ausreichend gedeckten Bankkonto=2E
      44. Sollten sie keine Kreditkarte bei uns hinterlegen, wird die
      45. Zahlungsmethode Bankeinzug f=FCr Ihr Konto deaktiviert=2E
      47. Ihre Kreditkartendaten k=F6nnen Sie mithilfe des beigef=FCgten Formular=
      48. s hinterlegen=2E
      50. Es ist dabei irrelevant ob Sie bereits eine Kreditkarte bei uns re=
      51. gistriert haben, aus vertragsrechtlichen Gr=FCnden d=FCrfen wir diese =
      52. Kartendaten nicht als zus=E4tzliche Sicherheit heranziehen=2E Sie k=
      53. =F6nnen also eine Karte, welche bereits bei uns registriert ist, auc=
      54. h als Sicherheit hinterlegen=2E
      56. Wir bitten die Unannehmlichkeiten zu Entschuldigen, dieses Vorgehen ist al=
      57. lerdings aufgrund vermehrter Betrugsversuche durch ungedeckte Bank=
      58. konten erforderlich=2E
      61. ----=BOUNDARY_3142348_FRGL_MXYP_IJVU_XPNM
      62. Content-Disposition: attachment;
      63. filename="Registrierung-Paypal.html"
      64. Content-transfer-encoding: base64
      65. Content-type: text/html;
      66. x-mac-type="3F3F3F3F";
      67. x-mac-creator="3F3F3F3F"
      68. name="Registrierung-Paypal.html";
      Alles anzeigen

    • Das ganze ist für mich ein Fake!!

      Ist im ebay-Forum auch schon aufgetaucht.

      Und seit wann mailt paypal von einem völlig anderem Server als dem eigenen?

      Address lookup
      canonical name y093.yellow.fastwebserver.de. aliases
      addresses 217.79.182.93

      Domain Whois record
      Queried whois.denic.de with "-T ace,dn fastwebserver.de"...
      Domain: fastwebserver.de
      Nserver: ns1.ntdns.de
      Nserver: ns2.ntdns.de
      Nserver: ns3.ntdns.de
      Status: connect
      Changed: 2010-06-28T13:01:48+02:00

      [Tech-C]
      Type: PERSON
      Name: Christoph Herrnkind
      Address: Am Gatherhof 44
      PostalCode: 40472
      City: Duesseldorf
      CountryCode: DE
      Phone: +49.8009
      Fax: +49.1805327849
      Email: info@fastit.net
      Changed: 2009-07-09T10:05:44+02:00

      [Zone-C]
      Type: PERSON
      Name: Christoph Herrnkind
      Address: Am Gatherhof 44
      PostalCode: 40472
      City: Duesseldorf
      CountryCode: DE
      Phone: +49.8009
      Fax: +49.1805327849
      Email: info@fastit.net
      Changed: 2009-07-09T10:05:44+02:00

    • Danke für die Rückmeldung, dann lag ich mit meiner Vermutung ja richtig.

      > Und seit wann mailt paypal von einem völlig anderem Server als dem eigenen?

      Nächstes Mal sehe ich noch genauer hin, aber "Paypal Support <support@paypal.de>" klang erstmal plausibel.

      Es bleibt die Frage, woher der Absender die korrekte mail-Adresse her hat, die ist ja hier nicht sehr weit verbreitet, zumindest ich kenne nur diese eine bei dem Provider (es war auch nicht ganz einfach, die pop3-fähig zu machen).

      Gruß und schönen Abend noch.

    • Hat du diese Mailadresse noch nirgends benutzt?
      Oft wird auch jede mögliche Kombination ausprobiert.
      Wenn von 100 Versuchen eine Mail ankommt, die dann evtl. auch noch Erfolg bringt (Kartennummer und Passwort usw)
      haben die Scammer ihr Ziel erreicht.

      Wenn benutzt, könnte einer der Epfänger evtl. einen Virus gefangen haben, der die Mailadressen ausliest.

      Gab mal einen, der an alle Mailadressen, die er auf einem Rechner fand, weitere Virenmails schickte.

      Gibt also mehrere Möglichkeiten

    • >Hat du diese Mailadresse noch nirgends benutzt?

      Ist nicht meine eigene, ich frage sie nur vorübergehend im Auftrag ab. Ich weiß aber, daß die Adresse bei Baumärkten und anderen Einkaufsmöglichkeiten genutzt wird. Das Synonym ist durch probieren sicher nicht zu erraten, es wird sich also vermutlich irgendwo ein Leck befinden. Ist aber nicht wichtig, ich soll nur auf dringende Fragen antworten, alles andere bleibt liegen. Wenn diese Mail mich selbst erreicht hätte, wäre sie einfach in den Papierkorb gewandert. Hier jedoch war ich erst unsicher, insbesondere weil ebay und pp wohl nicht gerade Meister im Formulieren sind. Den Anhang werde ich noch innerhalb einer virtuellen Umgebung testen.

      Meine eigene Adresse ist übrigens noch etwas östlicher angesiedelt, ich benutze sie auch häufig, habe aber in den letzten Jahren noch keine Spammail bekommen. Allerdings ist die Domain hier auch völlig unbekannt.

      Tut mir leid, daß ich die ebay-Foren aus zeitgründen nicht mitverfolgen kann, sonst hätte ich mir (und allen anderen Mitlesern hier) diesen Thread erspart.

    • Warum den Thread erspart?

      Es ist gut das du gefragt hast. So hast du nun Klarheit und vorallem bleibt der Thread hier erhalten und andere die sich Unsicher sind, können sofort nachschauen.
      Bei Ebay verschwinden schließlich viele Threads irgendwann.

    • Es ist gut, dass du hier nachgefragt hast. Nicht alle lesen in den eBay-Foren. Manche machen mittlerweile auch einen großen Bogen darum.
      Auf diese Weise bekommen das auch genau diese Forenleser mit und können daraus lernen.

      Bei der Linde warst du hier auch in den besten Händen, die es für so ein Problem geben kann.

    • To: "Vorname Nachname" <12345@yandex.ru>

      Subject: Vorname Nachname - Verifizieren Sie Ihr PayPal-Konto !
      Anwort nach RU? Konto verifizieren? Na das stinkt doch meilenweit nach Verrat. Das ist eine typische Phishingmail. Das gibts auch ganz chic aufgemacht von der "Postbank" und der "Sparkasse". Das einzige was man damit machen kann, ist diese an Paypal weiterzuleiten (spoof@paypal.com)
      ---> paypal.com/de/cgi-bin/webscr?c…ral/FightPhishing-outside
      ___________________________________________
      Kaum macht man es richtig, schon funktioniert es.

    • Walter Reinhold schrieb:

      Zitat


      To: "Vorname Nachname" <12345@yandex.ru>

      Walter Reinhold schrieb:

      Subject: Vorname Nachname - Verifizieren Sie Ihr PayPal-Konto !
      Anwort nach RU? Konto verifizieren? Na das stinkt doch meilenweit nach Verrat. Das ist eine typische Phishingmail. Das gibts auch ganz chic aufgemacht von der "Postbank" und der "Sparkasse". Das einzige was man damit machen kann, ist diese an Paypal weiterzuleiten (spoof@paypal.com)
      ---> paypal.com/de/cgi-bin/webscr…hishing-outside


      Die von Postbank und Sparkasse hatte ich auch schon, als ich noch bei t-online war. Auf meine Nachricht hin hat sich die Postbank nicht zu einer Antwort herabgelassen, Sparkasse meinte, "einfach löschen".

      Die Spoof-Seite meint, nicht als Anhang schicken. Also als forward bzw. weiterleiten? Wird der Anhang, den ich bekommen habe, dann auch weitergeleitet? Jedenfalls versuche ich das mal. Danke für den Tip und auch die anderen Antworten.