Aufgepasst: DHL oder Dienstleister mit Datenleck

16. Juni 2012 Kategorie: Backup & Security, Internet, geschrieben von:

Seit circa zwei Wochen bekommen viele von euch täuschend echte Mail von DHL bezüglich der Packstation. Das ist soweit nichts spektakuläres, denn täuschend echt aussehende Mail bekommt man ja fast regelmäßig. Mein alter Kollege aus Forenzeiten Jan (arbeitet diesbezüglich im Security-Bereich) hat mich auf das Thema heute noch einmal aufmerksam gemacht, nachdem ich in den letzten Tagen schon einiges an Mails von euch, den Lesern bekommen habe.

Die E-Mails sehen also aus wie echte Mails von der Packstation, haben aber gegenüber gewöhnlichem Spam ein Merkmal, welches ihre vermeintliche Echtheit noch bestätigen könnte, beziehungsweise sicherlich schon viele Menschen auf den Trick hat reinfallen lassen: die Daten sind echt. Dein Name. Deine Nummer.

Warum ist das so? Darüber kann man vortrefflich spekulieren. Möglichkeit 1: Datenleck direkt bei DHL. Möglichkeit 2: Datenleck bei einem Händler oder Marketplace, an dem man die Daten hinterlegt hat. Also, genau aufgepasst, was ihr in die Inbox bekommt und was ihr anklickt.

Zum technischen Aspekt: der Zielserver, also der, auf den euch die Phishing-Mail holen will, steht in Belize und ist auf eine Person in Russland zugelassen. Vermutlich auch nur ein gekaperter Server, denn sowohl DNS als auch Hosting sind auf einem Server untergebracht. Schaut man sich die Mail an, dann sieht man, dass man auf viel geachtet hat:

Authentication-Results: mx.google.com; spf=neutral (google.com: 85.114.135.105 is neither permitted nor denied by best guess record for domain of info@packstation.de) smtp.mail=info@packstation.de

Received: from [85.114.135.105] ([127.0.0.1]) by m105.magenta.fastwebserver.de with Microsoft SMTPSVC(7.5.7600.16601);

Fri, 15 Jun 2012 23:42:09 +0200

Message-Id: <ORTXEOC-LZTE-KAK-HR4T-GBULWPQIGV3@packstation.de>

Die Message ID ist also korrekt, aber es gibt weder DKIM oder SPF für die Domain der Packstation. Hätte man diesen Umstand bei der Packstation bemerkt und DKIM (Domain Keys) und SPF (Sender Policy Framework) aktiviert, dann wäre die Mail sofort von allen Abwehrsystemen als Spam erkannt worden. Bei der Security- / Abuse-Abteilung der DHL war zum Zeitpunkt dieses Beitrages niemand erreichbar.

Also Freunde, Augen auf beim Eierkauf, vielleicht das Thema auch mal ansprechen, wenn ihr in ner Runde zusammen sitzt.


Du entscheidest mit! Wir suchen das Smartphone des Jahres 2017! Jetzt abstimmen!

 

Über den Autor:

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Carsten hat bereits 25426 Artikel geschrieben.