Der Header ist auch manipuliert. Er täuscht eBay als Abesender vor. Nur der Rest ... das ist kein Header von eBay!

Die html-Datei im Anhang bestätigt es auch, dass es sich um eine Phishing-Mail handelt. In der html-Datei soll man dann alle Daten von sich eintragen plus der Kreditkarten. Klickt man dann auf weiter, werden die kompletten Daten auf der am 27.02.13 eingerichteten Seite bei "ebay-protection.net" abgephisht (gespeichert).

Domain Name: EBAY-PROTECTION.NET

Registration Date: 27-Feb-2013
Expiration Date: 27-Feb-2014

Registrant Contact Details:
N/A
Peter Klein (sql999x@web.de)
Alle 31
Berlin
Berlin,12049
DE
Tel. +49.078652154

Hier werden also die Daten der Person und die deren Kreditkarte abgephisht. Nicht der Zugang zu eBay. Das ändert aber nichts an der Tatsache, das man solche Mails ignorieren sollte.

Woher der Versender allerdings an den realen Namen kam, wird ein Rätsel bleiben. Aber es gibt ja genug Firmen, die mit den Daten ihrer Mitglieder ein wenig nebenbei verdienen.

Die html ist jedenfalls gut gemacht. Nur fragt eBay nicht solche Daten ab und verlangt erst nach dem Klick auf "weiter" ein einloggen. es müsste aber jedem sofort nach dem öffnen der html auffallen, dass die Phishing-Seite offline im Cache geöffnet wird.

file:///C:/Users/<USER>/AppData/Local/Microsoft/Windows/Temporary%20Internet%20Files/Content.IE5/IZDHH8HG/anhang.html

Die Seite gibt es eben nicht bei eBay!

1.) Zufall (naja, sehr zuvielfall)
2.) Ein korrumpierter Rechner irgendeines Handelspartners. Backdoors, Trojaneropfer, P2P-Netz, XSS-Exploit, Bot etc... (da stehen im Mailclient schliesslich genug Daten drin)
3.) Der Haken "Ich will eingeloggt bleiben" Der führt ebenfalls zur Kombination aus Realname, Adresse und Mailaddi. Wie das geht hab ich ja schon erklärt.
4.) Ein Leck in der ebay-API.
5.) Ein Leck irgendwo anders. (Paypal, NSA, CIA...)
6.) Ein man in the middle irgendwo vor einem Mailprovider (Selber Effekt wie Nr 2, nur effektiver)


Mails, die unverschlüsselt übers Netz gehen (also auch alle ebay-Mails) können im Grunde von jedem x-beliebigen Server im Netz mitgelesen werden. Man kann also entweder selber einen hinstellen oder man vergreift sich an einem fremden Server. Ist ungefähr vergleichbar mit einer Postkarte, die man irgendwem gibt, damit der sie irgendwem weitergibt, der sie irgendwem weitergibt, bis sie irgendwann mal beim Empfänger ankommt. Da kann auch jeder lesen was draufsteht.


Erste Abhilfe gegen Phishing-Mails schafft es, wenn man in mein ebay das Mailformat für die Benachrichtigungen von ebay auf "Nur Text" umstellt. Da Phishing-Mails naturgemäß im HTML-Format verschickt werden, damit sich die Links maskieren lassen, fällt damit jede Phishing-Mail auf wie der sprichwörtlich bunte Hund. Dann gilt ganz simpel: is Klikibunti is nix ebay.

Seit geraumer Zeit signiert ebay auch seine Mails. Einige Provider werten das auch korrekt aus und stellen Mails, die angeblich von ebay kommen gar nicht mehr zu, wenn die Signatur nicht stimmt. Bei gmx im Webportal sieht man das ganz nett: da ist vor echten ebay-Mails ein kleines ebay-Logo, Spoofmails werden gar nicht erst zugestellt. (Vermute ich zumindest, denn ich kriege über gmx keine)

Wer in der Lage ist, seinen Posteingang nicht nur nach Absender zu filtern sondern auch nach der IP-Adresse von der das Ding eingeliefert wurde, kann selber filtern, was von ebay kommt. Leider bieten die meisten Maiclients das gar nicht an, so dass man sich selber einen kleinen Mailserver (z.B. Hamster) aufsetzen muss. Der Mailserver holt dann ale MAils aller POstfächer ab und stellt sie so zur Verfügung wie man sie sonst auch schon beim Provider hätte. Nur dass eben die Mails nun vom eigenen Mailserver abgeholt werden.

Der Satz auf Volkers Seite "Hamster ist Freeware und Open Source. Kostet also nur Zeit zum Einarbeiten." ist allerdings wörtlich zu nehmen, denn die Filter mögen am liebsten Regular Expressions (RegEx) um effektiv zu arbeiten. Hat man die Vorgehensweise aber mal verinnerlicht und die Filter justiert ist sogar ein im Usenet verbrannter Mailaccount anschliessend spam- und phishingfrei. Sieht aber auf den ersten Blick trotzdem schwer verdaulich aus:

addscore(-1500) ~From: {.*@ebay\..*}
=load() *received {\b66\.135\.(19[2-9]|2[0-1][0-9]|22[0-3])\.\d{1,3}\b}
=load() *received {\b66\.211\.(1[6-8][0-9]|19[01])\.\d{1,3}\b}
=load() *received {\b195\.234\.136\.\d{1,3}\b}
=load() *received {\b194\.64\.234\.(12[8-9]|1[3-5][0-9])\b}
=load() *received {\b193\.28\.178\.\d{1,3}\b}
=load() *received {\b216\.3[2-5]\.\d{1,3}\.\d{1,3}\b}
=load() *received {\b216\.113\.(1[6-8][0-9]|19[0-1])\.\d{1,3}\b}
=load() *received {\b81\.223\.46\.([0-2][1-9]|3[0-1])\b}
=load() *received +{\b64\.127\.115\.\d{1,3}\b} +{(helo=mailhost\.liveworld\.com)}
ignore() score %<-500
kill() score %<-1500

Das setzt erst mal alles, was "@ebay.de." heisst auf einen Score von -1500, lädt dann das, was von den ebay-Servern kommt und schubst den Rest entweder in das Ignore-File (wenn sonst kein Filtermerkmal greift) oder killt es gleich ganz. (z.B. weil eine andere Regel das HTML-Mailformat im Score nochmal etwas hochsetzt)


Und - ähhhmmm....
Also wenn ebay seine Webseiten schon als Attachment an seine Mails dranhängen muss, dann scheint es mit deren Serverkapazität wirklich nicht mehr weit her zu sein. So langsam könnten die sich wirklich einen zweiten C64 oder wenigstens eine extra Datasette kaufen. Oder sie fragen mal ganz liep bei mir an, ich hab mir damals einen Betamax-Videorekorder umfunktioniert und sicherlich finde ich die Pläne dafür noch irgendwo.

Hier im Forum habe ich mal gelesen, daß fernöstliche ebay-Händler* im Verdacht stehen, emailadressen auf dem Hackermarkt zu verkaufen. Damit könnte dann auch der Verkauf weiterer zugehöriger Daten wie Name und Adresse verbunden sein.

@biguhu
Hat die emailadresse Deiner Frau Bestandteile aus ihrem Namen?

* vielleicht auch nicht nur fernöstliche ebay-Händler

Stutzig macht mich allerdings, dass meine Frau sowohl im Betreff als auch in dem kurzen Text oben mit vollem Namen angesprochen wird und nicht als "Sehr geehrtes Mitglied". Da fragt man sich schon, auf welcher dubiosen Seite meine Frau diese Daten angegeben hat, die dann entweder weiter verkauft oder gestohlen wurden.

Diese Mail hatte ich gestern schon bekommen. Ich werde da ebenfalls mit meinem Namen angesprochen. Ich muss mal bei den anderen Accounts schauen, ob da auch etwas angekommen ist.

Eben mal geprüft. Es ist nur mein Haupt Account betroffen, mit dem ich meistens einkaufe. Alle anderen Acoounts ( obwohl ich mit denen auch schon aktiv war ) sind nicht betroffen.

@biguhu
Hat die emailadresse Deiner Frau Bestandteile aus ihrem Namen?

Auch wenn ich nicht angesprochen wurde. Meine Mail Adresse hat mit meinem Namen überhaupt nichts gemeinsam.

hab ne phishing-mail von "paypal" bekommen und wurde in der mail mit "herr daniel schillerling" angesprochen.
aber ich heiße aber gar nicht "daniel schillerling"!
kenn auch keinen, der so heißt.

wie kommt meine mail mit dem namen in verbindung?
irgendwelche ideen dazu?

Du solltest dir andere Pseudonyme zulegen.
Ich weiß nicht,wer die Header sammelt,aber ich würde diese mal einstellen.,zudem an ebax /PP weitertleiten.
Diejenigen ,die deiesen Müll verrsenden,rechen damit,dass man nicht liest,sondern blind irgendwas anklickt.

Ich würde mir an deiner Stelle überlegen,die Mailaddi zu wechseln,sofern das möglich ist.Scheinst ja wohl öfters Probs damit zu haben.

Es gibt mal wieder "Rechnungen". Bei den Mplern gefunden.
marktplatz.forumprofi.de/markt…-spam-mail-t940-s100.html

Hier die Mails.
Lieferung erfolgte am: 21.01.2013 bestätigt von (mein kompletter Realname)
Offener Rechnungsbetrag: 755,32 Euro
Produkt-Nummer: 344249639
Gebühren und Verzugszinsen: 12,00 Euro

Sehr geehrter Kunde (mein kompletter Vor- und Zuname),

im
heutigen Geschäftsleben hat man „viel um die Ohren“ und muss an eine
Menge Dinge gleichzeitig denken. Dass einem dabei mal etwas entgehen
kann ist ganz selbstverständlich. Ärgerlicherweise konnte unsere
Buchhaltung bezüglich der angehängten Rechnung noch keinen
Zahlungseingang finden.

Falls Ihrer Aufmerksamkeit unsere
Rechnung entgangen ist, haben wir Ihnen eine Kopie unserer Rechnung
beigefügt. Wir bitten Sie, die Regulierung nachzuholen und sehen dem
Eingang Ihrer Zahlung bis zum 02.03.2013 entgegen Sofern Sie den
genannten Termin nicht einhalten, werden wir Ihnen Verzugszinsen und
Mahnkosten berechnen.

Eine weitere Mahnung wird nicht geschickt.

Sollten
Sie die Zahlung nicht fristgemäß vornehmen, wird die Forderung an
unsere Anwälte überreicht, was mit weiteren hohen Kosten zu Ihren Lasten
verbunden sein wird.

Mit freundlichen Grüßen
Pashmina Shop Nina Thomas

Die zweite :
Bestellt am: 22 Januar 2013 empfangen von XXX (Realname)
Offene Rechnung: 889,45 Euro
Aktikel-Nummer: 88155222
Verzugszinsen der Mahnung: 5,00 Euro

Sehr geehrter Kunde XXX (Realname),

in
der Hektik des Alltaglebens haben Sie sicher nur vergessen, unsere
Rechnung zu bezahlen. Eben konnte unsere Buchhaltung bezüglich der
beigefügten Rechnung noch keinen Zahlungseingang ersehen.

Wenn
Ihrer Aufmerksamkeit unsere Rechnung entgangen ist, haben wir Ihnen eine
Kopie der Rechnung beigefügt. Wir bitten Sie, die Zahlung nachzuholen
und sehen dem Eingang Ihrer Zahlung bis zum 06.03.2013 entgegen. Falls
Sie den festgelegten Termin nicht einhalten, werden wir Ihnen Zinsen und
Mahnkosten berechnen müssen.

Eine weitere Mahnung erfolgt nicht.

Sollten
Sie die Überweisung nicht fristgemäß vornehmen, wird die Forderung an
unser Inkassobüro abgegeben, was mit Kosten zu Ihren Lasten verbunden
sein wird.

Mit bestem Dank für Ihr Vertrauen in
bowl-haus.com Detlef Schreiber

Die jeweilige "Rechnung" befindet sich im Anhang.
Den sollte man nicht öffnen.

Die Namen sind erfunden.

Kann hier wer was mit den Headern anfangen?
Würde mir dann die mails,falls noch vorhanden,zuschicken lassen . (und da wie alles anklicken,was wo gibt )

Ok... das Namensloch sitzt bei ebay. Dazu muss man nicht mal was gekauft haben. Ein paar Gebote abgeben reicht schon. Ich tippe auf die Promotions-Funktionen der ebay-API. Ich hab jetzt mal nicht weiter eingegrenzt, wo das Leck sitzt, aber so wie ich die Qualifikation der ebay-Basteltruppe einschätze dürfte ein Fußballtornetz, bei dem die Schnüre fehlen, weniger Löcher haben.

Anders kann ich mir jedenfalls nicht erklären, wieso ich urpötzlich Spam bekomme, die meinen holländischen Weihnachtsmann völlig korrekt mit seinem bei ebay hinterlegten Namen Niklas Sinterklaas ansprechen. Gekauft habe ich mit ihm nichts, nur mal eben ein paar Dutzend Gebote abgegeben. Und siehe da: keine 24 Stunden nach den Geboten war der Spam im Posteingang.

Ich. Die Masche läuft länger, wird u.a. beim Wortfilter (auf Facebook) diskutiert.

Habe auch so eine Email bekommen. Allerdings ist sie gleich im Junk-Ordner gelandet wegen "Phishing-Verdacht"
Thunderbird erkennt so was anscheinend wirklich ziemlich zuverlaessig.

In letzter Zeit haeufen sich auch Paypal-Mails in meinem Junk Ordner, die angeblich einen Beleg fuer eine Zahlung sind, die man getaetigt haben soll. Natuerlich mit Link zu einer gefakten Paypal-Seite, damit sich so ein paar naive Menschen vor lauter Schock dort schnell einloggen, um ihr Konto zu ueberpruefen. Schlimm, dass man so was echt andauernd bekommt.

Ich hab die feste Regel, dass ich generell NIE von einer Email aus irgendwo auf eine Seite gehe, wo ich mich einloggen muss. Ich oeffne einfach die Hauptseite ueber meinen Browser und logge mich da ein, sollte ich was ueberpruefen wollen.

Simple Methode, aber tatsächlich der beste Rat, den man überhaupt geben kann.


Das Problem bei ebay und Paypal ist, dass die genau das schon seit ewigen Zeiten so machen: "Klick the pissgelbow Batten to see the Mist we have mal wieder maked." oder so ähnlich.


Das liegt daran, dass hinter dem Link in der HTML-Mail eine andere Seite verlinkt ist als der Link suggeriert. Der TB merkt ganz einfach, dass an dem Link was müffelt, wenn er so aussieht:



Wenn man sich Textmails schicken lässt geht das in der Form gar nicht, wenn man sich HTML-Mails als Reintext-Mails anzeigen lässt (was TB ja kann) sieht das tatsächlich so aus wie im Codeschnipsel gezeigt.

Für Google sieht der von dir gepostete Link übrigens aus wie ein echter Link und du hast damit der genannten Domain gerade "Trust" in Form einer Empfehlung verschafft.

Ok... das Namensloch sitzt bei ebay.

@Löschbert

Nein, ich glaube, das stimmt in diesem Fall mal ausnahmsweise nicht.

Ich habe schon vor ein paar Wochen eine solche personalisierte PP-Phishing-Mail bekommen - und zwar mit Daten, die weder eBay noch PP haben. Die Daten sind korrekt, es mussten korrekte Daten-Zusammenhänge hergestellt werden. Zudem kam die Phishing-Mail auf einen E-Mail-Account, der stimmig zu den zusammengestellten Daten ist, im www (also z.B. bei eBay, PP, hier, ...) nicht hinterlegt ist.

Und beim reverse lookup merken sie, dass die erste keinem validen Nameserver zugeordnet ist und die zweite gar nicht registriert ist. Kannst sie dir ja mal abgreifen.


Ok, dann erkläre mir mal bitte, woher ein Spammer weiss, dass einer meiner Holländer auf Niklas Sinterklaas angemeldet ist, wenn der nur und ausschliesslich bei ebay mit der Mailadresse vertreten ist. Irgendwo her muss er diese Verbindung von Mailaddi und Name ja haben. Da aber das einzige, was mit der Kombination in den letzten Jahren passiert ist ein paar abgegebene Gebote (keine Höchstgebote) bei ebay waren und danach prompt der erste Spam seit Jahren reinkommt behaupte ich mal, dass etwas, das aussieht wie 'ne Ente, quakt wie 'ne Ente und watschelt wie 'ne Ente auch tatsächlich 'ne Ente ist.

Entweder verkauft ebay diese Daten oder Vladuz greift sie sich so ab.

Entweder verkauft ebay diese Daten oder Vladuz greift sie sich so ab.

Ist vladuz schon wieder in Freiheit?

Aber mal ohne Quatsch: Ich habe derzeit keine Ahnung.

Bei mir sieht es so aus, dass die Phishing-Mail an einen Verein adressiert war, dessen Vorsitzender ist bin und zusätzlich namentlich an mich. Das wissen nur wenige, eBay weiß es definitiv nicht. Hinzu kommt, dass ich den Namen des Vereins beim Schreiben (z.B. in Mails) niemals ausschreibe, er ist ungefähr eine Zeile hier lang, ich benutze immer nur eine absolut allgemeine Abkürzung. Ich hatte schon zuvor per Mail und auch telefonisch Hinweise und Nachfragen zu solchen personalisierten Phishing-Mails erhalten. Diese Personalisierungen sind meist stimmig, manchmal gibt es darin Schreibfehler, die die Empfänger an verschiedensten Stellen (z.B. bei Anmeldungen) gemacht haben.

Wie diese Daten zusammengetragen und zusammengestellt werden? Wenn ich das bloß wüsste. Manuell bestimmt nicht, es wäre für die Phisher viel zu zeitaufwändig, die Phishing-Mails einzeln manuell zu personalisieren, aber trotzdem tragen und stellen sie irgendwie Realdaten zusammen (Datenbanken?) und nutzen sie für Phishing-Mails. Die Realdaten scheinen aus unterschiedlichsten Quellen zu stammen.

Auf jeden Fall hat das Ganze eine ganz neue Qualität, denn das viel propagierte Sicherheitsmerkmal "Realname" wird damit obsolet. Noch scheint es kein echtes Massen-Phänomen zu sein, es sieht mir persönlich eher nach irgendeiner "Testphase" aus, aber ich persönlich halte das Ganze für sehr brisant. Nur weiß ich noch viel zu wenig.

Übrigens: Die einzige Schwachstelle in der Phishing-Mail, die ich erhielt, war, dass der Verein gar keinen PP-Account hat. Ansonsten war die Phishing-Mail mit korrekter Anrede fehlerfei. Ich war auf der Phishing-Seite, die Phishing-Mail war so aktuell, dass der FF noch keine Phishing-Warnung ausgab. Sie Seite lag auf einem gehackten Server, ich habe den Besitzer angerufen und sie abschalten lassen.

Irgendein Vladuz ist doch immer draussen und dann bei vermutlich auch bei ebay drin.


Yup. Ich hab ja bekanntlich keine Phisingmail bekommen sondern Spam. Phishing-Mails kriege ich nämlich keine. Wer auch immer die Mail "verfasst" hat hatte aber keine Ahnung von holländisch, einem Holländer wäre der Name nie durchgegangen. Trotzdem ist die ebay-Datenbank die einzige Fundstelle für diese Daten, sonst sind die noch nirgends aufgetaucht. Da es sich dabei um einen Holländer handelt könnte nicht mal ein korrumpierter Rechner eines VK in Frage kommen, wenn ich damit was ersteigert hätte, denn bei Holländern (bzw Ausländern ausserhalb ebay.d-a-ch) die eine abweichende Lieferadresse hinterlegt haben, packt ebay ja diese Lieferaddi als Angemeldete Adresse des Käufers in die EoA-Mail. Dann hätte die Spammail aber an DreiBlinden Doofdödel gehen müssen.


Das ist schon länger so. Ich hatte nach der Einführung des Hakens "Ich will eingeloggt bleiben" bei ebay ja schon festgestellt, wie simpel es ist, an Realname und Mailadresse eines ebay-Accounts zu kommen, wenn der Rechner (bzw der Browser) auf dem man sich einloggt nicht sauber konfiguriert ist. Der Blick in dein mein ebay ist zwar mit HTML-Cookies nicht so tief wie der mit Flaschen-Keksen, aber für diese Information reicht er allemal. Das Wochenende von Gründonnerstag bis Ostermontag hat mir damals um die 2500 Realdatensätze aus Name, Mailaddi und ebay-Nick gebracht. Und da habe ich manuell gearbeitet. (Wenn Du wissen willst, wie man an die bei ebay hinterlegte Mailaddi kommt, kannst Du das ja andernortes nachlesen. Ist 'ne hundsgewöhnliche ebay-Funktion. )

Allerdings kann ich ausschliessen, dass das bei mir funktioniert hat, weil bei mir weder Flaschen-Kekse existieren (bzw Flasch mangels Flaschenbläher gar nicht existiert) und die HTML-Kekse beim Schliessen des Browsers verkrümelt werden. Also bleibt nur eine einzige Ente als Verdächtige übrig: die ebay-Datenbank selber.

Das ist schon länger so.

Ne, das mit den zugeordneten Daten ist neu.

... die ebay-Datenbank selber.

Bei Dir vielleicht, bei anderen passt es nicht, z.B. bei mir, da sind die Daten so zusammengestellt eigentlich gar nicht zu finden, denn "öffentlich" ist eine andere E-Mail-Addy. Wieder bei anderen müsste es die PP-Datenbank sein, usw. ... Manchmal liegen die Phisher mit ihren Daten aber auch komplett daneben. So ganz funzt das alles also noch nicht .

Na ja - vielleicht entdecken wir ja irgendwann mal was ...