"Hallo,

Im Rahmen unserer Maßnahmen zur Gefahrenabwehr, die wir regelmäßig überwachen die Aktivitäten in den Paypal-System.
Wir haben vor kurzem kontaktiert Sie sich nach einem Problem mit ihrem PayPal-Konto.
Die Informationen, die Sie wurden aus folgendem Grund beantragt:
Unsere System hat ungewöhnliche Abbuchungen auf einer Kreditkarte mit ihrem PayPal-Konto zugeordnet ist erkannt.
Dies ist die letzte Erinnerung fragen Sie für die Anmeldung bei PayPal so bald wie möglich."


WANN lerne dieser halbaffe wenigster spreche Deutsch so dasss nix jäda Mensche mit IQ von Grünalge kann sähe sofort das ist falscher?

@iiihhBääähh :
DU bist sich warst das ! Jezd hab isch dir.
Die Mail-Addi ist Blödsinn.
Solche Mails seitens PP gibt´s nicht
Wer sich nicht sicher ist,sollte PP kontaktieren oder sich an ebax wenden,notfalls in der Comm,aber niemals gleich ,weil´s Spaß macht,anklicken.
Wenn´s einem langweilig ist,kann man die Mail an die Polieinszweidrei schicken.
Ich finde solche Mails immer ganz lüstüsch.

MIR? ICH NIX medium Affe!!!!!!

Nixe ganze,nur halbe Halbaffe.Gugst du.Issich Team wir,wo hier sein tun.Ich die Rechte wo mit die laaange.
tiny.cc/wnyonw


Aber ersnthaft.Man sollte bei Mails dieserart immer vorsichtig sein und erst einmal nachfragen.
Würde das jeder machen,gäbe es entschieden weit weniger Geschädigte.Eba/PP sollten von sich aus immer wieder darauf hinweisen.Incl.der gerade aktuellen Betrugsmails.

Na, da schau mal einer...,

Diese Mail kenne ich. Letztes Jahr hatte ich die ebenfalls im Postfach. Da ich für PayPal ein anderes
Postfach benutze, war es recht offensichtlich, dass es sich um einen Betrugsmail handeln muss...

A B E R

nach dem öffnen dieser Mail hatte ich eine permanente Umleitung, wenn ich auf mein PayPal-Konto
zugreifen wolle... Achtet bitte mal darauf, ob Ihr auch noch bei PayPal ankommt und nicht auf einer
Web-Seite, die Eure Login-Daten stiehlt...!!!

Diese Umleitung wurde zwar von meinem Anti-Viren-Progi erkannt und verhindert, ich habe sie aber
nicht wegbekommen - musste das ganze System neu aufsetzten

Gruß

Solche Mails habe ich mindestens einmal die Woche im Postfach.

Wenn man nicht schon an der schlechte "Google" Uebersetzung erkennt, dass das niemals wirklich von Paypal kommt, dann spaetestens an diesen utopischen Email-Adressen, den denen es verschickt wird.

Ich machs grundsatzlich so: Kriege ich seltsame Emails von irgendwas, wo ich ein Konto habe, dann gehe ich direkt auf die Seite, logge mich ein und schaue nach dem Rechten. Das ist die sicherste Methode
Man sollte Grundsaetzlich keine Links in Emails anklicken, ausser man hat diese Email erwartet (passwort-reset oder so was)

Mit Paypal-Mails mache ich es grundsätzlich so: ungelesen nach Ich machs grundsatzlich so: Kriege ich seltsame Emails von irgendwas, wo ich ein Konto habe, dann gehe ich direkt auf die Seite, logge mich ein und schaue nach dem Rechten. Das ist die sicherste Methode

Öhhmmmm.... jein. Kommt darauf an, wie sicher Dein Rechner sonst ist. Wenn Du zum Beispiel Flash aktiviert hast, könnte ich dich durchaus veranlassen, mir deine Paypal-Daten zu offenbaren. Ich müsste nur deinem Rechner erklären, dass er zu mir kommt, wenn Du zu Paypal willst. Und weil Du ja meine Filmchen auf Juhtub angeschaut hast macht er das auch brav. Davon merkst Du dann nichts, weil ich das, was Du mir an Daten gibst, an Paypal weiterschicke und Dir auch wieder die passenden Paypal-Seiten präsentiere. Nennt sich man-in-the-middle, ist aber etwas aufwendiger als sich darauf zu verlassen, dass es Nutzer gibt, die auf alles klicken was nicht bei drei auf den Bäumen hockt.

Edit by Redaktion: Zitat und Link repariert

Mifft... Was ist da denn passiert? Gut, dass ich längere Texte vorschreibe und sie erst dann hier reinpacke. Das Posting sollte eigentlich so aussehen:

Mit Paypal-Mails mache ich es grundsätzlich so: ungelesen nach dev/null. Paypal will meinen Account sperren? Macht mal, der gehört eh nicht mir, weil ich keinen habe.

Wer sich unsicher ist, ob eine Mail von paypal stammt, der kann auch in die Headerdaten reinschauen. We man daran kommt hängt davon ab, wie man seine Mails liest. Eine kleine FAQ dazu steht hier: http://board.protecus.de/t19140.htm

In den Headern stehen dann Zeilen, die mit Received: anfangen. Das sind die Server, über die die Mail zu euch gelangt ist, wobei der unterste Eintrag der erste ist, darüber kommt der zweite und so weiter, bis zu eurem Provider ganz oben. Der unterste Eintrag ist der einliefernde Server, also der Server von dem aus die Mail abgeschickt wurde. .

Das sieht dann zum Beispiel so aus:

Received: (qmail invoked by alias); 13 Nov 2012 14:51:54 -0000
Received: from newsletter.bund.de (EHLO newsletter.bund.de) [77.87.229.56] by mx0.gmx.net (mx058 , with SMTP; 13 Nov 2012 15:51:54 +0100
Received: from post.newsletter.bund.de (localhost [127.0.0.1]) by mail.newsletter.bund.de (Postfix) with ESMTP id 18B1F29DF9; Tue, 13 Nov 2012 15:51:42 +0100 (CET)

Interessant sind da die IP-Adressen. Also diese Vierergruppen von Zahlen, die mit Punkten getrennt sind. Was sagen uns die? Zuerst mal haben wir einen "localhost mit der IP 127.0.0.1. Das ist normal, diese IP ist für diesen Hostnamen vereinbart. Es gibt noch andere IP-Kreise, die fest vereinbart sind, die beiden üblichen sind 10.x.x.x und 192.x.x.x

Diese werden vereinbarungsgemäß für lokale Netzwerke verwendet. Der Rest der IP-Adressen lungert irgendwo im www rum. Ok, die vorletzte Zeile erzählt uns was.

Empfangen von 77.87.229.56 durch mx0.gmx.net. Also eine Mail, die von der IP 77.87.229.56 an einen Server bei gmx ging. Gmx ist erklärlich, dort habe ich das Postfach, aus dem ich diese Header habe. Und wer ist nun dieser 77.irgendwas? Dazu gibt es im Netz Seiten, über die man das rausfinden kann. Ich nehme ganz gerne utrace.

Also geben wir das dort ein oder können das über diesen Link direkt rausfinden: utrace.de/?query=77.87.229.56

Aha - interessant, wo ich so meine Mails herbekommen, nüch? (Tatsächlich ist das aber der Newsletter des BGH)

Eine Mail von Paypal.de sollte daher in der ersten Received-Zeile, die nicht in einem "privaten" Netzwerk liegt zum Beispiel von 173.0.84.191 kommen. Es sei denn, die geht über ebay. Dann könnte das so aussehen:

Received: from de.paypal.com (EHLO de.paypal.com) [66.135.215.205] by mx.gmx.net (mx002) with SMTP; 13 Nov 2012 14:36:49 +0100
Received: from abcdefg.gugg.paypal.com (HELO abcdefg.gugg) ([10.6.69.230]) by de.paypal.com with ESMTP; 13 Nov 2012 06:36:48 -0700

Ich habe jetzt mal einen Header einer ebay-Mail "frisiert, denn Mails von Paypal bekomme ich ja keine. Die unterste Zeile stamt aus dem Adressbereich 10.x.x.x, wei das das interne Netzwerk von denen ist. Also hat irgend ein Server bei denen das an den Postausgangsserver geschickt. Danach kommt eine öffentliche Adresse und die ist?

utrace.de/?query=66.135.215.205

Aha. ebay.com Scheint also tatsächlich von dort zu stammen.

Bei ebay-Mails gibt es noch zwei weitere Möglichkeiten, sich abzusichern. Erstens kann man seine Mailadresse bei gmx haben. Die haben einen eigenen Posteingangsserver für ebay und prüfen ausserdem die Signatur, die ebay als Absender einbaut. Wer bei gmx ist, hat sicher schon das kleine ebay-Logo gesehen, das da im Webportal vor den echten ebay-Mails steht. Kommt auf die Art zustande.

Die zweite Möglichkeit ist, in "Mein ebay" das Mailformat auf "Nur Text" umzustellen. Dann sendet eba keine bunten Mails mit Buttons mehr sondern eher schlichte und teilweise zumindest anfangs etwas verwirrende Texte. Alerdings sind da drin dann alle Links auch nur Text. Zwar anklickbar, aber Text.

Da aber Spoofmails darauf angewiesen sind, dass hinter einem Link etwas anderes steckt als der Link selber vorgibt zu sein, können Spoofmails nicht im Reintext-Format verschickt werden. Keiner würde auf einen Link klicken, der nach klaumeinedaten.ru verweist, wenn er zu ebay will.

Wenn ich daher eine Mail bekomme, die angeblich von ebay ist, die mir aber nicht als Reintext zugeht, weiss ich ohne große Prüfung, was da läuft. Denn bei mir fallen solche Spoofmails wortwörtlich auf wie ein bunter Hund. Vielleicht nicht gerade Hund, aber bunt genug sind sie.

Ergänzend dazu sollte man dann im Mailclient die Anzeige der Mails auch auf "Nur Text anzeigen" umstellen. Denn es könnt ja ein Scammer mal auf die lustige Idee kommen und eine HTML-Mail erstellen, die aussieht als wäre die reiner Text. In der würde dann bei mir eine solche Mail ungefähr so aussehen:



Ja nee. Sooooo doof bin ich dann auch wieder nicht.

Gröööööööööhhhhhlll....




Die Scammer lesen hier wohl mit und haben gesehen, dass ich auch mal was als Demonstrationsobjekt haben will. Das ist doch mal Service. Danke, liebe Scammer.

Eben frisch reingekommen. So sieht die Spoofmail bei mir aus:

Subject: Attention! Your PayPal Account Could Be Suspended!


PayPaI <https://www.PayPaI.com/us>


How To Activate Your PayPaI Account

Dear Customer,

Our Technical Service department has recently updated our online services, due
to this upgrade we sincerely call your attention to follow below link and
reconfirm your'online account details.

It's easy:

1. Click on the link below to open a secure browser window.
2. Confirm that you are the owner of the account, then follow the instructions.
3. You must activate your PayPaI account before we deleted it

Click To Activate <http://q.gs/2YqD>

We use the latest security measures to ensure that your PayPaI account is safe
and secure.
The administration asks you to accept our apologies for inconvenienc caused and
expresses gratitude for cooperation.



Help Center <https://www.PayPaI.com/us/cgi-bin/helpweb?cmd=_help> | Security
Center <https://www.PayPaI.com/us/security>

Copyright © 1999-2012 PayPaI.All rights reserved.

Ich nutze den Thunderbird, da bekomme ich mit <Strg>+<U> den Quelltext der Mail einschliesslich Headern. Hier mal die relevanten Teile einschliesslich der User-ID des Scammers beim Provider. (jaja, den sieht man da...)

From - Tue Nov 13 21:49:58 2012
Return-Path: <wp1089139@****.webpack.hosteurope.de>
Delivered-To: GMX delivery to scammers-eat-my-pants@nurfuerspam.de
Received: (qmail invoked by alias); 13 Nov 2012 20:04:28 -0000
Received: from ****.webpack.hosteurope.de (EHLO ****.webpack.hosteurope.de) [87.230.62.202] by mx0.gmx.net (mx061) with SMTP; 13 Nov 2012 21:04:28 +0100
Received: from wp1089139 by ****.webpack.hosteurope.de running ExIM with local id ****-****-**; Tue, 13 Nov 2012 21:04:28 +0100
Date: Tue, 13 Nov 2012 21:04:28 +0100
Message-Id: <foo.devnull.webpack.hosteurope.de>
To: scammers-eat-my-pants@nurfuerspam.de
Subject: Attention! Your PayPal Account Could Be Suspended!
X-PHP-Script: www.evg-shop.de/images/ma.php for 41.107.121.251
From: PayPal <paypal@securesuite.net>
MIME-Version: 1.0
Content-Type: text/html

Gehen wir das mal von ganz unten durch.

Content-Type gibt an, welches Format die Mail hat. Sollte also eine HTML-Mail sein, im Quelltext sehe ich auch den kompletten HTML-Code. Tscha.... HTML-Mails sehen bei mir aber nun mal "komisch" aus. Siehe oben. In diesem Fall habe ich die versteckten Links hinter dem HTML blöderweise klarschriftlich dastehen. War wohl nix, Scammer. Das machst Du nochmal. Solange, bis Du's kannst.

Mime-Version 1.0 ist eigentlich für uns unwichtig. Wen es interessiert: de.wikipedia.org/wiki/PGP/MIME

From ist der Absender, den der Empfänger angezeigt bekommt. In dem Fall also PayPal mit der Absender-Mailadresse <paypal@securesuite.net> Ach? Reicht es bei Paypal schon nicht mehr zu einem eigenen Server? Diese Zeile ist für uns aber auch uninteressant, beide Angaben lassen sich ohne weiteren Aufwand fälschen.

X-PHP-Script: www.evg-shop.de/images/ma.php for 41.107.121.251

Upps...? Da hat wohl wer seine Webseite nicht dicht gemacht, so dass der Scammer über dessen Seite lustig Spoof verschicken kann. Denic spuckt jedenfalls dafür aus:


Ich zweifle allerdings daran, das der damit was zu tun hat, denn registriert wurde das Script ja für http://www.utrace.de/?query=41.107.121.251

Achja, Algerien. Ein hübsches Land. Wolle Rose kaufe? Ein Nigeria-Scammer könnte das dort allerdings ohne größere Sprachprobleme registriert haben. Ok, dann sind das eben nicht die Russen.

Subject: Attention! Your PayPal Account Could Be Suspended! Ja, hab ich ja schon gelesen. "Subject" ist die Betreffzeile der Mail.

To: scammers!eat-my-pants&kiss-my-ass@nurfuerspam.de Der To:-Header enthält die Adresse an die der Spoof gegangen ist. In dem Fall nicht diese Mailaddi, die gibt es so nicht.

Message-Id: <foo.devnull.webpack.hosteurope.de> ist für uns auch eher uninteressant, erstens habe ich die MId verändert und zweitens hat die der Provider gesetzt. Allerdings kann der daran erkennen, worüber die Mail eingeliefert wurde, da steht nämlich unter anderem die Kundennummer der Spoofschleuder drin. Achja, der Provider ist hosteurope. Kriegen nachher eine abuse-Meldung von mir.

Date: Tue, 13 Nov 2012 21:04:28 +0100 ist das Datum, zu dem diese Mail generiert wurde. Für uns hier weniger interessant, für den Provider schon eher.

Received: from wp1089139 by ****.webpack.hosteurope.de running ExIM with local id ****-****-**; Tue, 13 Nov 2012 21:04:28 +0100
Da haben wir die Kundennummer des netten hosteurope-Kunden: wp1089139. Dessen Seite hat also diese Mail vom Script (das in Algerien registrierte, das wir vorhin angesprochen haben) intern bekommen. Liegt also bei dem auf dem Server, die Seite ist demnach gehackt.

Received: from ****.webpack.hosteurope.de (EHLO ****.webpack.hosteurope.de) [87.230.62.202] by mx0.gmx.net (mx061) with SMTP; 13 Nov 2012 21:04:28 +0100

Das ist die erste Zeile mit einem öffentlichen Absender und netterweise (der Übersicht sehr dienlich) auch gleich der Eingang beim Server meines gmx-Accounts.
utrace.de/?query=87.230.62.202

Also definitiv über hosteurope gekommen. Definitiv nicht über Paypal.

So, damit ist das öffentliche schon gegessen. Der Vollständigkeit halber noch der Rest, für die Analyse ist das nicht weiter wichtig.

Received: (qmail invoked by alias); 13 Nov 2012 20:04:28 -0000 ist der Zeitpunkt zu dem der Posteingangsserver bei gmx die Mail in mein Postfach gesteckt hat.

Delivered-To: GMX delivery to scammers!eat-my-pants&kiss-my-ass@nurfuerspam.de heisst nur, dass die Mail an diese Mailadresse ausgeliefert wurde.

Return-Path: <wp1089139@****.webpack.hosteurope.de> Aha... das wär jetzt lustig, denn der Absender bekommt auch mit, wenn eine Mailadresse nicht existiert. Dann schickt der Mailprovider eine entsprechende Mail an den Absender, in dem Fall wohl das Schadscript.

From - Tue Nov 13 21:49:58 2012 ist nur Datum und Uhrzeit, zu dem ich die Mail bei gmx abgeholt habe. Hat mit dem Spoof auch nichts zu tun.


So... also ich weiss jetzt, dass das eine Spoofmail ist, ich weiss wie der Scammer seine Mails verschickt, ich weiss sogar über welchen Provider und welche Webseite er dazu infiltriert hat. Das ist mehr als man meistens weiss.

Was man immer rausbekommt: dass die Mail nicht von Paypal stammt, denn die Received-Zeilen lassen sich nicht ganz so einfach fälschen. Ok, auch das geht, aber zu erklären, wie man das erkennt würde diesen kleinen Exkurs wohl sprengen. Mal soviel: mit einiger Erfahrung sieht man das daran, dass die Abfolge der Server nicht stimmig ist. In diesem Fall wäre eine gefälschte Received-Zeile von Paypal vorneweg verdächtig, weil eine Paypal-Mail sicher nicht über einen Webserver bei hosteurope läuft.

@Löschbert

Die Anmeldedaten der Domain würde ich ein wenig zensieren, sie stehen zwar auch im Impressum des Shops, aber ...

Ich rufe den morgen früh mal an, damit er seine gehackte Domain dicht macht.

Sind "ein wenig zensiert", das ist nämlich verdeckter Text. Du siehst den nur, weil Du eingeloggt bist. Der google-Bot sieht den zum Beispiel nicht und so soll's auch sein.


abuse an hosteurope mit originalem Quelltext der Mail einschliesslich Headern ist schon raus, cc Paypal. Sollte sich also nur noch um Jahre handeln...

@ Bert.
Dein obiges Post #10 ist in meinem Postfach tatsächlich im Spamordner gelandet.

Wahrscheinlich, weil der Spamfilter den Text analysiert hat und dabei leider fesstellen musste, dass da für Spoofmails typische Inhalte drinstehen. Hat er ja im Prinzip nicht unrecht.

Ich habe den Mailtext im Zitat übrigens bewusst in Courier gesetzt, damit man direkt sieht, dass oben nicht Paypal steht sondern PaypaI also mit einem großen I am Ende statt einem kleinen L. Mein Mailclient zeigt mir das auch in der Schriftart an.

Paypal hat inzwischen übrigens bestätigt, dass das eine Spoofmail ist. (Wär aber nu nich nötisch gewesen...) Und sie unternehmen Schritte um dagegen was zu unternehmen. Ach ja? Echt jetzt? Wieso dann dieses:

utrace.de/whois/paypai.com

Domain Name: PAYPAI.COM
Registrar: MONIKER

Registrant [162392]:
Moniker Privacy Services PAYPAI.COM@monikerprivacy.net
Moniker Privacy Services
1800 SW 1st Avenue
Suite 440
Portland
OR
97201
US

Von San Jose nach Oregon zu weit? Kinners, das ist staatenüberschreitend und im weiteren Sinne Missbrauch der Post. Damit ist es ein Bundesverbrechen und ein Fall fürs FBI. Die Domain geistert aber schon ewig in der Gegend rum. Dass sie ihre Einlogg-Links aus den Mails rausnehem sollen wissen sie auch schon ewig. So ewig, dass sogar andere das wissen.

Bei hosteurope ist derzeit (noch) das Schweigen im Walde.