Phishing-Mails von DHL?

[Lord Gurke]

Hallo,

ich habe heute Mittag eine Mail (angeblich) von DHL im Postfach gehabt, dass meine Packstationsadresse verifiziert werden müsste:

Sehr geehrter PACKSTATION Kundin, sehr geehrter PACKSTATION Kunde,

Sie haben den PACKSTATION Service innerhalb der letzten 6 Monate weniger als 6 mal in Anspruch genommen.

Da wir im Moment einen enormen Zuwachs an Packstationen-Registrierungen haben, sind wir bemüht inaktive Accounts zu löschen.
Um weiterhin Zugriff auf ihre Packstation zu haben, verifizieren Sie bitte Ihre PACKSTATION Adresse bis zum 31.10.2011 telefonisch oder kostenlos online auf:

www . packstation-kundenservice . net.

Die Option zum Verifizieren befindet sich in der linken Spalte.

Falls sie weitere Fragen haben, seht ihnen unser Kundenservice steht Ihnen unter der Rufnummer 0180 5 00 33 21* oder per E-Mail info@packstation-kundenservice.net zur Verfügung.

Sollten Sie Ihre PIN oder Ihr Passwort verloren haben, können Sie diese auf unserer Website ganz einfach neu anfordern. Dieses wird ihnen per Email zugesendet, danach können sie ihren Account verifizieren.

Mit den besten Grüßen

Jakob Schmid
Leitung Kundenservice PACKSTATION

PS: Übrigens: Pakete können Sie auch über die PACKSTATION frankieren und an eine andere PACKSTATION oder eine beliebige Hausanschrift verschicken - und dabei mind. 1,- EUR Paketporto sparen!


*Kundenservice-Hotline
0180 5 00 33 21
(Mo. - Fr. 8:00 - 18:00 Uhr, 32 Cent je angefangene Minute aus den deutschen Festnetzen, höchstens 89 Cent pro angefangene Minute aus den deutschen Mobilfunknetzen).

(Links absichtlich nicht klickbar)


Ich muss gestehen - der ist gut! Ich wäre fast drauf reingefallen - die eklatanten Schreibfehler sind mir erst jetzt richtig aufgefallen...

Jedenfalls erscheint hinter der URL eine ziemlich gut kopierte DHL-Seite, der ein Link für die Verifikation der Packstation eingefügt wurde.
Und das dahinter liegende Formular schluckt einfach jeden Blödsinn...
Das macht mich zu 98,91% sicher, dass das dreistes (aber gut gemachtes) Phishing ist. Nachdem ich die Mailheader gesehen habe steigt die Sicherheit auf 99,67% an...

Habt ihr auch solche Mails bekommen?






Für interessierte hier der (anonymisierte) Mailheader:

Return-Path: <www-data@mail.mobilfunk-talk.de>
X-Original-To: max@███████████.de
Delivered-To: █████████████████.de
Received: from localhost (localhost [127.0.0.1])
    by sv2.█████████████ (Postfix) with ESMTP id 6877028ACB93
    for <max@████████████████.de>; Fri,  4 Nov 2011 02:41:01 +0100 (CET)
X-Virus-Scanned: Mailfilter auf sv2.███████████████
X-Spam-Flag: NO
X-Spam-Score: -1.909
X-Spam-Level: 
X-Spam-Status: No, score=-1.909 tagged_above=-99 required=5
    tests=[BAYES_00=-1.9, MIME_QP_LONG_LINE=0.001,
    T_RP_MATCHES_RCVD=-0.01] autolearn=unavailable
Received: from sv2.███████████████ ([127.0.0.1])
    by localhost (sv2.███████████████ [127.0.0.1]) (amavisd-new, port 10024)
    with ESMTP id wgJ02gRAPV2F for <max@███████████████.de>;
    Fri,  4 Nov 2011 02:40:57 +0100 (CET)
Received: from mx1.████████████ (mx1.████████████ [IPv6:2a01:███████████████])
    by sv2.█████████████ (Postfix) with ESMTP
    for <max@██████████.de>; Fri,  4 Nov 2011 02:40:57 +0100 (CET)
Received: from localhost (localhost.localdomain [127.0.0.1])
    by mx1.███████████ (Postfix) with ESMTP id 9E930148DC
    for <max@████████████.de>; Fri,  4 Nov 2011 02:40:01 +0100 (CET)
X-Virus-Scanned: Mailfilter auf mx1.████████████
Received: from mx1.████████ ([127.0.0.1])
    by localhost (mx1.████████ [127.0.0.1]) (amavisd-new, port 10024)
    with ESMTP id zfQMRUOiuIyq for <max@██████████.de>;
    Fri,  4 Nov 2011 02:40:00 +0100 (CET)
Received: from mail.mobilfunk-talk.de (mobilfunk-talk.de [46.4.105.2])
    by mx1.████████████ (Postfix) with ESMTP
    for <max@███████████.de>; Fri,  4 Nov 2011 02:40:00 +0100 (CET)
Received: by mail.mobilfunk-talk.de (Postfix, from userid 33)
    id 3F191133F476; Fri,  4 Nov 2011 02:40:52 +0100 (CET)
To: <max@███████████.de  >
Subject: Information fuer PACKSTATION Kunden
X-PHP-Originating-Script: 33:Mail.php
From: PACKSTATION-Kundenservice <service@packstation-kundenservice.net>
Reply-To: PACKSTATION-Kundenservice <info@packstation-kundenservice.net>
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Message-Id: <20111104014052.3F191133F476@mail.mobilfunk-talk.de>
Date: Fri,  4 Nov 2011 02:40:52 +0100 (CET)

Der ist soweit anonymisiert, dass meine Daten raus sind, aber der interessante Teil weiterhin sichtbar ist.

 

[Ben.]

Hatte ich auch schon mal, ist aber ne ganze Weile her.

Mir ist der Beschiss aufgefallen, da die "An"-Adresse nicht meine Packstations-Emailadresse war.

 

[Joe User]

Dann mal ein Abuse an mobilfunk-talk.de mit der Aufforderung die WebApp mit der Mail.php umgehend zu fixen.

 

[Lord Gurke]

Hatte ich vor - offenbar weiß man dort schon Bescheid, die Mails hängen immer noch in der Queue mit dem Fehler "Connection refused".

 

[Ronny1008]

Ich bekomme solche Mails regelmäßig zugesandt.Die lösche ich gleich immer weil ja allgemein bekannt ist das DHL solche Mails gar nicht verschickt.
Mit einem gekaperten Packstadionskonto und unserem geknackten Kundencenter bei unserem Telefonanbieter hat sich so ein dreister vor ca 8 Wochen ein ein Samsung Galaxy ergaunert wie ich im Krankenhaus gelegen habe.Das ganze ist nur aufgefallen weil derjenige auch noch eine Handyflat bestellt hat und ich darüber per SMS informiert wurde das die Flat jetzt freigeschaltet ist.Meine Frau hat sich sofort mit unserem Telefonanbieter in Verbindung gesetzt das das Handy nicht Versand wird,leider ohne erfolg.Jetzt liegt das ganze in Bayern bei der Kripo und wir hoffen das der oder die Täter gefasst werden.
Ich kann nur jedem raten die Mails sofort zu löschen und gegebenen falls das ganze an DHL zuschicken damit die sich darum kümmern.

 

[Lord Gurke]

Noja, ich muss zugeben dass ich fast darauf reingefallen wäre. Wie gesagt, mich hat nur gerettet, dass ich bei solchen Formularen (auch beim Homebanking) mich erst versuche mit wissentlich falschen Daten anzumelden - es muss ja eine Art Verifikation stattfinden um die Daten als falsch zu erkennen. Kommt eine Fehlermeldung zurück, gebe ich erst die richtigen Daten ein

Direkt panisch Mails zu löschen... Was habe ich davon? Außer dass ich eventuelle Beweise (für was auch immer) vernichtet habe die im Falle eines Falles aufwändig aus verstaubten Backups - sofern überhaupt noch existent - zurückgerettet werden müssten.
Bei virenverseuchten Mails sehe ich das ja noch ein denn bei jedem Scan würde mich der Kaspersky zur Sau machen - aber ich habe mir angewöhnt niemals irgendeine Mail zu löschen.

 

[bibabu]

Die Email habe ich auch erhalten. Die ist nicht schlecht ;-)

 

[d4f]

Mich wundert dass weder die Domain bislang gesperrt wurde, noch Google SafeBrowsing es erkennt.

Aber ich schaetze wenn man die Domain von den Amys gesperrt haben will muss man eine illegale Kopie von {NEUSTER_HIT_DER_AMY_LISTEN} draufkriegen...

Der Hoster hingegen scheint mehr oder weniger taeglich zu wechseln...

 

[TuxSY_DE]

DHL Packstation Fishing

Hi,

habe die Mail auch bekommen.

Kann auf der Verlinkung kein direktes Fishing erkennen, oder wurde das inszwischen geändert?

Wenn man die Website packstation-k*ndenservice.net besucht,
dann kann man sich via Packation -> Kundenlogin nicht einloggen,
Fehler: Sie müssen ihr Packstation verifizieren bevor sie sich einloggen können!

Ich vermute mal, das Teile der DHL Website benutzt wurden,
und das DHL jetzt reagiert hat und das Fishing sperrt?

Unter Packstation.de kann man sich via Kundenlogin erfolgreich einloggen.

Sieht mir wirklich nach ziemlich guten Fishing aus - Leider.

Dreist finde ich auch das Whois der Domain - Registriert am 28-10-2011
Es erscheint ein angeblicher Mitarbeiter von DHL:


domain: packstation-kundenservice.net

created-date: 2011-10-28
updated-date: 2011-10-28
expiration-date: 2012-10-28

owner-id: 70915
owner-name: Hendrik Sieghart
owner-email: info@dhl.de

Interessant ist auch der Hosting-Provider von der Domain:

ping packstation-kundenservice.net
PING packstation-kundenservice.net (78.46.103.45) 56(84) bytes of data.
64 bytes from www17.subdomain.com (78.46.103.45): icmp_req=1 ttl=56 time=32.6 ms

domain: subdomain.com
status: LOCK
owner-c: LULU-10541456
admin-c: LULU-10862038
tech-c: LULU-10541456
zone-c: LULU-10541456
nserver: ns1.subdomain.com
nserver: ns2.subdomain.com
created: 1996-12-11 05:00:00
expire: 2011-12-10 05:00:00 (registry time)
changed: 2011-08-24 14:13:05

[owner-c] handle: 10541456
[owner-c] type: ORG
[owner-c] title:
[owner-c] fname: websuche search
[owner-c] lname: technology gmbh & co. kg

Tja, da hat sich wohl jemand "anonymes" Kostenloses Webhosting via Websuche geholt und missbraucht.

Habe an InterNetworX Ltd. , Websuche und Hetzner eine Abuse-Mail geschrieben.

Gruss
Torsten

 

[tomasini]

Diese Emails sind bereits seit Monaten im Umlauf. Accounts für die Packstation sind eine begehrte Handelsware in Underground-Foren. Die Packstation dient als anonymer "Drop" für Ware, die z.B. via gefakten oder gestohlenen Kreditkarten gekauft wird.

Wenn ich so eine Email in meiner Inbox hätte, würde ich mich jetzt ja fragen, wie die Absender überhaupt an meine Email-Adresse kamen?

 

[Lord Gurke]

Keine Ahnung, leider kann man bei DHL keine Mailadressen mit Plus-Zeichen verwenden- wie z.B. "lordgurke+dhl@domain.tld"
Ich würde statt "dhl" natürlich etwas anderes nehmen, mit dem ich echte Mails von DHL einfach verifizieren kann. Und für jeden Dienst einen Alias einrichten ist auf Dauer auch sehr mühsam.


Ich glaube solche Phishing-Idioten kann man nur richtig treffen indem man (über ein Botnetz?) zufällig generierte Daten an das Formular schickt so dass die Daten nicht mehr verkauft werden können weil der Verkäufer ja hauptsächlich Müll bekommen hat