Ja, bei den Phishern. Die Methode, mit der ich das hinbekommen habe, ist so alt wie der automatisch gesetzte Haken beim ebay-Login.

Fakt ist jedenfalls, dass irgendwer es heute (bzw letzte Woche) schafft, Klarnamen und Mailadressen zusammenzubasteln, die so nur bei ebay in der Datenbank existieren und das genau in dem Moment getan hat, als diese Datenkombination auf ebay in einer Weise aktiv geworden ist, die nur intern bei ebay in der Datenbank aufgefallen sein kann.

Ich weiss natürlich nicht, wo die hier thematisierten Phisher ihre Daten her haben aber mein Spammer hat sie sicher entweder ganz direkt aus der ebay-Datenbank oder er hat einfach 'ne abnorm gute Kristallkugel. Im zweiten Fall würde er aber nicht spammen sondern Lotto spielen. Und da behaupte ich mal einfach, was der kann können andere auch.

Durchaus möglich, dass die ebay-API mit Hilfe eines manipulierten Datenbankabrufs Transaktionsdaten an Unbefugte rausrückt. Auch möglich, dass dabei mit rausgerückt wird, wer denn da nun zusätzlich bei Paypal registriert ist. Der verknüpfte Paypal-Account ist ja in den Accountdaten bei ebay ebenfalls hinterlegt. Im Developpers Program werden zwar die Quelltexte der erstellten Programme durchgeschaut, aber wenn ich denen ein Rudel DLLs zur Ansicht schicke können die hinterher trotzdem nicht sagen, mit welcher DLL ich mein eigenes von mir geschriebenes Programm tatsächlich betreibe.

Habe gestern eine Malware-Email von 'Groupon' erhalten. Ansprache war mit Vor- und Zuname. Die benutzte Emailadresse war nicht meine Ebay-Emailadresse. Datenlecks werden zum Flächenbrand ...

Auch bei Heise Thema :
heise.de/security/news/foren/S…chnung/forum-250877/list/

Heute erreichte mich eine Phisingmail mit persönlicher Anrede, nach der angeblich mal wieder Paypal die Daten abgeleichen will ... Ja, wie oft denn nun noch?

Ich muß mir jetzt Gedanken machen, wie die Phishermen Friends an meine Emailadresse gekommen sind. Ich kann es mir aber schon denken.
Wichtig ist nur, das diese Schweinebacken immer raffinierter werden und mittlereile auch den Deutschkurs an der Volkshochschule mit Erfolg abgeschlossen haben.

Guten Tag <hier meine vollständiger Name>,

unsere Mitarbeiter, welche in dem Bereich der Kundenbetreuung und Sicherheit tätig sind, haben festgestellt, dass Sie noch nicht den erforderlichen Datenabgleich durchgeführt haben.
Dieser ist bis zum 15. März 2013 durchzuführen, andernfalls wird Ihr Kundenkonto gesperrt.
Wenn Sie diese Frist nicht einhalten, wird die anschließende Aktivierung mit Kosten verbunden sein.
Folgen Sie nun diesen Link, um zu Ihrem persönlichen Formular zu gelangen:

--- Kontosicherheit März 2013 - <hier meine vollständiger Name> ---

Vielen Dank für Ihre Unterstützung.
Mit freundlichen Grüßen
Hans Schneider,
Pay_Pal Bochum
Bruchweg 15-18
44929 Bochum
Telefonnummer: 0900 - 55 22 22 56

Ihre Email-ID: 212472411469361072652559908274

Der weniger fantasievoll benannte Link lostwallpapers.net/wp-admin/4359399372/2184141209539/ führt zur Phishingseite. Wer nicht aufpaßt, hat schnell mal seine Paypal-Logindaten abgeliefert:

[Blockierte Grafik: http://i50.tinypic.com/16h9dsy.jpg]

Ich werde diese Mail an spoof@paypal.com weiterleiten.

Mein Spamfilter denkt mit und schmeißt die echte Mail von Paypal gleich in die Tonne. Bug oder Feature?

PayPal informiert:

Neue Datenschutzgrundsätze ab 16. April 2013
und neue Nutzungsbedingungen ab 16. Mai 2013
Guten Tag <mein Name>,

Wir arbeiten für Sie fortlaufend daran PayPal sicherer zu machen. Das bringt auch von Zeit zu Zeit Änderungen an den AGB mit sich: Zum 16. Mai 2013 werden wir unsere Nutzungsbedingungen aktualisieren und zum 16. April 2013 unsere Datenschutzgrundsätze.

Bis einschließlich 15. Mai 2013 beziehungsweise 15. April 2013 gelten die Ihnen bekannten Nutzungsbedingungen und Datenschutzgrundsätze.

Jetzt die bisherigen AGB ansehen

Was sich am 16. Mai 2013 an den AGB und den Kreditkartenakzeptanzverträgen ändern wird, steht als Zusammenfassung in Ihrem PayPal-Konto: einfach auf PayPal.de ins PayPal-Konto einloggen und im Infokasten "Benachrichtigungen" auf den Link "Aktualisierte PayPal-Richtlinien" klicken.

Ab 16. April 2013 finden Sie die neuen Datenschutzgrundsätze unter PayPal.de/agb und ab 16. Mai 2013 die neuen Nutzungsbedingungen.

Den kompletten Text der ab dem 16. Mai 2013 geltenden Nutzungsbedingungen finden sie vorab in dieser E-Mail abgedruckt; die ab dem 16. April geltenden neuen Datenschutzgrundsätze können Sie hier nachlesen.

Herzliche Grüße,
Ihr PayPal-Team

der Weblink lautet view.paypal-communication.com/…7/1/ae5c1e1ae9758aca616a/
die im Text enthaltene Verlinkung verweist auf email-edg.paypal.com/r/20C9D8R…J2PU08/NSWOWD/QFKLPM/EY/h

Das scheint ja mal echt zu sein.

Der weniger fantasievoll benannte Link lostwallpapers.net/wp-admin/4…/2184141209539/ führt zur Phishingseite. Wer nicht aufpaßt, hat schnell mal seine Paypal-Logindaten abgeliefert:

Mein Kaspersky blockiert diese Seite inzwischen schon

Der Zugriff auf die angeforderte URL-Adresse ist nicht möglich

URL-Adresse:

lostwallpapers.net/wp-admin/4<...>

Wurde von Web-Anti-Virus blockiert

Grund: Phishing-Adresse

Inzwischen ist auch die Phishing-Site vom echten Admin entfernt worden. Der Phishing-Link auf auf Lostwallpapers liefert jetzt einen 404 Error.

Heute habe ich mit vollem Namen angesprochen eine Mahnung erhalten. In meiner mailadresse ist nicht mal ein Bruchstück meines Namens enthalten.
Ich zitiere:

Sehr geehrter Kunde xxxxx (mein Name),

jedem kann es mal passieren, dass
eine Zahlung übersehen wird. Eben konnten wir bezüglich der beigefügten
Rechnung noch keinen Eingang der Zahlung finden.

Rechnungs-Daten
-----------------------------------------

Datum Ihrer Bestellung: 02 Januar 2013 versandt an:xxxxx
Verzugszinsen: 8,00 Euro
Offener Rechnungsbetrag: 812,98 Euro
Aktikel-Nummer: 73240659

Wir
bitte Sie den gesammten Betrag unter Angaben der oben genannten
Bestellnummer bis zum 17.03.2013 auf das im Kaufvertrag angegebene
Bankkonto umgehen zu überweisen. Wenn Sie den festgelegten Termin nicht
einhalten, werden wir Ihnen weitere Zinsen und Mahnkosten berechnen.

Sollten
Sie die Zahlung nicht fristgemäß durchführen, wird die Sache an unsere
Anwälte übergeben, was mit weiteren Kosten verbunden sein wird.
Weitere Mahnung erfolgt nicht.

------------------------------------------
Mit bestem Dank für Ihr Vertrauen in
bowl-haus.com Nelly Kübels

angehängt die "Rechnung" als zipp- Datei.

Das bowl-haus.com gibt es wirklich, dumm nur, dass ich tauchen gehe und kein Bowling - Fan bin.

Hast du mal mit betreffendem Shop Rücksprache gehalten?

Steht bei der Adresse an die versendet wurde auch dine Adresse oder eine völlig andere?
Die Ustid sowie der HRB Eintrag sind stimmig für die Seite.

Eine Adresse ist in der Mail nicht angegeben und ich habe mich gehütet, den Anhang zu öffnen.
Ich habe heute mehrmals versucht, bei bowl-haus.com anzurufen, allerdings war entweder besetzt oder es ging niemand ans Telefon.

die Mail kommt von <jensmatzkows@t-online.de>;
Mich hatte irritiert, dass ich mit Namen und Vornamen angesprochen wurde und dass es das bowl-haus.com tatsächlich zu geben scheint....
Da ich selbständig bin und relativ oft für die Firma Online-Bestellungen tätige überblicke ich auch nicht so schnell, ob die Mahnung gefakt ist oder nicht.

Nochmal: wer sich bei ebay mit dem Standardhaken einloggt und danach einfach nur den Browser schliesst ist offen. Der nächste (oder jeder, der von irgendwo mit dem passenden HTML-Cookie daherkommt) kann Einblick in die angemeldete Adresse nehmen. Er kann zwar keine Einstellungen ändern, aber das muss er gar nicht. Er kann aber einen Artikel per Mail weiterempfehlen. In der Mail steht die bei ebay hinterlegte Mailadresse drin, die zur Anmeldung des Accounts benutzt wurde. Damit habe ich alles, was ich brauche um eine personalisierte Phishing-Mail an die richtige Mailadresse rauszuschicken: Name, Anschrift und Mailadresse.

Das ist eines der Löcher, durch die man an diese Daten rankommt. Welche Löcher noch vorhanden sind habe ich gar nicht umfassend untersucht, tippe aber darauf, dass die API in der Hinsicht ähnlich geschwätzig ist. Insbesondere wenn es um die Verwendung der Daten für werbliche Zwecke geht.

Sei doch bitte so nett und beantworte mal folgende Fragen:

1.) lässt Du gelegentlich den Haken drin "Ich will eingeloggt bleiben"?
2.) speichert Dein Browser Formulardaten während der Session?
2a.) ...oder womöglich sogar dauerhaft
2b.) ...oder womöglich sogar Passwörter (auch verschlüsselt)?
3.) Bist Du jemals über Mobiltelefon bei ebay eingeloggt gewesen?
4.) Ist dein Rechner prinzipiell in der Lage, Flash anzuzeigen? (z.B. YouTube o.ä.)
5.) Lässt dein Browser Java (nicht Java Script) zu?
6.) Ist dein Rechner in der Lage ActiveX-Komponenten (z.B. Windows Update) zu nutzen?
7.) laufen Windows-Nachrichtendienste (z.B. Net Message) auf deinem Rechner?
8.) betreibst Du ein NT-basiertes Windows-Betriebssystem auf deinem Rechner? (z.B. NT 3.51, W2k, Win XP, Win 7, Win
9.) gehst Du gelegentlich ins Netz ohne zu prüfen, über welche Server deine Datenpakete unterwegs geleitet werden?
10.) gehst Du gelegentlich ins Netz ohne zu prüfen dass alle an der Übertragung beteiligten Server nicht korrumpiert sind?

Ein einziges "ja" heisst: Du bist angreifbar. Und nö - ein Virenscanner oder 'ne Firewall nutzen Dir da wenig gar nichts. Das Zeug ist ungefähr so wirkungsvoll wie die 1879 erfundene "Tom Tinkernell's Tinktur gegen eingeschlafene Zehennägel, Krebs und Nasenjucken".

Und nun bitte nicht "Das kann's nicht sein". Doch - denn irgendwer hat von irgendwo deine Daten stimmig zusammengekriegt. Ein weiterer Trojaner fällt mir grundsätzlich auch noch ein. Der hängt zwischen Tastatur und Sitzmöbel. Wenn wir den ausschliessen wollen muss es wohl was anderes sein.

Hackys Grundsatz über die Unmöglichkeit nicht betretbarer Bereiche: wenn einer wo nicht unbefugt reinkommen soll dann darf da eben niemand reinkommen können. Merksatz: Alles was irgendwer abschliessen kann, kann auch irgendwer aufschliessen.



Was spricht der Header? Wenn mir danach ist schicke ich Dir sogar eine Mail mit deiner Adresse im Absender. Oder Angelas intimes FDJ-Tagebuch von regierungshackfressemitbetonfrisur@bundeskazleramt.de. Offener SMTP reicht, hacken muss ich dazu gar nichts.

Wenn ich aber dann noch meinem Mailserver beibringe, zu behaupten, er wäre bundeskanzleramt.de passen sogar die Header. Ich könnte sogar die Absender-IP fälschen ohne dass das Probleme bereitet, weil die Routing-Tabellen der DNS-Server im Netz von meiner Route gar nichts wissen und daher Anfragen an die Domain bundeskanzleramt.de artig dahin auflösen, wo sie hingehören. Dass es da plötzlich eine doppelte IP gibt, die Daten ins Netz schiebt ist nach RFC nicht erlaubt, nicht spezifiziert und daher auch nicht vorgesehen. Dann hilft dir selbst ein Reverse DNS lookup nicht weiter. Der löst ja korrekt auf, Du könntest also allenfalls die Hops der bestehenden Verbindung tracen. Aber eben nicht bei 'ner Mail, da besteht ja keine direkte Verbindung.

Wenn ich fälschen will kann ich das. Wenn die Phisher das nicht machen, dann deshalb, weil es (noch) nicht notwendig ist. Das Netz lässt sich aber nicht kontrollieren. An dieser Wahrheit sind auch von der Laiens Amateurens Dillettantens ach Du weisst schon, diese iglofante Dummbratze... KiPo-Sperrschildpläne gescheitert. Ein Computer tut was Du ihm sagst. Sagst du ihm, er soll lügen, dann macht er das ohne jegliche moralische Beschwerden. Sagst Du ihm er heisst ab sofort nicht mehr localhost sondern ebay, dann fragt er nicht "wieso?", er akzeptiert es als Tatsache. Und mit der Zeit werden ihm die anderen Computer "glauben", denn ein Computer lügt nie - er spricht einfach die Wahrheit, die man ihm einprogrammiert hat.