Aufgepasst: DHL oder Dienstleister mit Datenleck

Seit circa zwei Wochen bekommen viele von euch täuschend echte Mail von DHL bezüglich der Packstation. Das ist soweit nichts spektakuläres, denn täuschend echt aussehende Mail bekommt man ja fast regelmäßig. Mein alter Kollege aus Forenzeiten Jan (arbeitet diesbezüglich im Security-Bereich) hat mich auf das Thema heute noch einmal aufmerksam gemacht, nachdem ich in den letzten Tagen schon einiges an Mails von euch, den Lesern bekommen habe.

Die E-Mails sehen also aus wie echte Mails von der Packstation, haben aber gegenüber gewöhnlichem Spam ein Merkmal, welches ihre vermeintliche Echtheit noch bestätigen könnte, beziehungsweise sicherlich schon viele Menschen auf den Trick hat reinfallen lassen: die Daten sind echt. Dein Name. Deine Nummer.

Warum ist das so? Darüber kann man vortrefflich spekulieren. Möglichkeit 1: Datenleck direkt bei DHL. Möglichkeit 2: Datenleck bei einem Händler oder Marketplace, an dem man die Daten hinterlegt hat. Also, genau aufgepasst, was ihr in die Inbox bekommt und was ihr anklickt.

Zum technischen Aspekt: der Zielserver, also der, auf den euch die Phishing-Mail holen will, steht in Belize und ist auf eine Person in Russland zugelassen. Vermutlich auch nur ein gekaperter Server, denn sowohl DNS als auch Hosting sind auf einem Server untergebracht. Schaut man sich die Mail an, dann sieht man, dass man auf viel geachtet hat:

Authentication-Results: mx.google.com; spf=neutral (google.com: 85.114.135.105 is neither permitted nor denied by best guess record for domain of info@packstation.de) smtp.mail=info@packstation.de

Received: from [85.114.135.105] ([127.0.0.1]) by m105.magenta.fastwebserver.de with Microsoft SMTPSVC(7.5.7600.16601);

Fri, 15 Jun 2012 23:42:09 +0200

Message-Id: <ORTXEOC-LZTE-KAK-HR4T-GBULWPQIGV3@packstation.de>

Die Message ID ist also korrekt, aber es gibt weder DKIM oder SPF für die Domain der Packstation. Hätte man diesen Umstand bei der Packstation bemerkt und DKIM (Domain Keys) und SPF (Sender Policy Framework) aktiviert, dann wäre die Mail sofort von allen Abwehrsystemen als Spam erkannt worden. Bei der Security- / Abuse-Abteilung der DHL war zum Zeitpunkt dieses Beitrages niemand erreichbar.

Also Freunde, Augen auf beim Eierkauf, vielleicht das Thema auch mal ansprechen, wenn ihr in ner Runde zusammen sitzt.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

40 Kommentare

  1. Diese Mails gibt es schon länger,
    ich habe schon eine im Juli 2011 erhalten. Es kann aber auch schon vorher gewesen sein.

  2. Scheint aber ein Daten-Leck bei einem Händler zu sein… Hab bisher keine dieser Mails bekommen, obwohl ich auch einen Packstationszugang habe. Daher nicht direkt bei DHL. Evtl. kann ja über die Kommentare der Betroffenen rausgefunden werden welcher Händler das war 😉

  3. Eigentlich hat das ja schon soooooooooo einen Bart.
    Egal ob es nun Paketstationen, Banken oder was auch immer sind.
    Dennoch weiß ich aus eigener Erfahrung, dass es immer wieder Leute gibt und dann oft auch immer wieder die gleichen, die darauf reinfallen, drauflos klicken und ihre Daten eingeben. Letztere sind dann nur noch mal Lernresistent zu bezeichnen. Da sind mir dann die „übervorsichtigen“, die dann vorher anrufen und nachfragen schon viel lieber.

  4. Ja, die Mails sind alt. Aber nicht alt mit pers. Daten und eben jenem Ausmaß, wie momentan.

  5. Irgendwie steh ich da total aufm Schlauch: Warum ist es so beliebt Packstation-Mails zu fälschen? Was können die mit den Daten anfangen? Die werden ja wohl kaum in meine Stadt kommen und mir mein Paket klauen.

  6. @Matze: Die können aber etwas Bestellen es an deine Paketstation schicken und es dort anonym abholen. Im Zweifelsfall hast du dann den Ärger.

  7. webharvey says:

    Ich habe die eMail am 28.5 erhalten, 1 Woche nachdem ich einen Zugang zu einer Packstation bekommen haben. Bis heute habe ich noch nie etwas mit Versandart „Packstation“ bestellt und war doch arg verwundert, das alle Daten richtig waren. Kann also nur bei DHL oder dem direktem Umfeld sein, das Sicherheitsleck. Tja, jetzt wieder stornieren den Kram 🙁 Schon schade.

  8. @matze ne die werden nicht dein Paket klauen.. die werden mit gestohlenen Kreditkartendaten Sachen bestellen und das über deinen Namen an eine beliebige Packstation schicken lassen.

  9. @Matze: Genau das ist aber das Ziel.

    Ich reagiere auf solche Mails prinzipiell nicht direkt – höchstens auf der direkten Domain des jeweiligen „Herstellers“. Meine Familie sowie Freunde werden dahingehend immer öfter von mir geimpft.

  10. Ich frage mich wie lange es noch dauert, bis der Cyberkrieg offiziell auch große und entscheidende Server oder sonstige Einrichtungen belämmert, die weitreichendere Folgen nach sich ziehen wird. Wie beispielsweise Verkehrsnetze (siehe Stirb langsam) oder Zentralbanken oder sonstige Militäreinrichtungen. Es bleibt zumindest spannend in dieser Hinsicht!

  11. Ich frage mich wie lange es noch dauert, bis der Cyberkrieg offiziell auch große und entscheidende Server oder sonstige Einrichtungen belämmert, die weitreichendere Folgen nach sich ziehen wird. Wie beispielsweise Verkehrsnetze (siehe Stirb langsam) oder Zentralbanken oder sonstige Militäreinrichtungen. Es bleibt zumindest spannend in dieser Hinsicht! Die Einschläge werden zumindest nicht seltener…

  12. Das System von DHL ist mir schon immer ziemlich veraltet vorgekommen.
    Nutze die Packstation sehr sehr oft aber bis jetzt ist bei mir noch keine Spam Mail angekommen

  13. Gibt es immer noch Packstationen, wo man ohne Karte nur mit der Nummer&Pin die Pakete rausholen kann – wenn ja, da machen solche Spammails schon Sinn. Es werden Sachen mit geklauter Kreditkartennummer bei Onlinehändler bestellt und mit der geklauten Packstationsnummer aus selbiger rausgeholt – vollkommen sicher.

    Allerdings bei unsere neuen Packstation geht die Abholung nur noch mit Karte & Pin, was ich f rü richtig halte.

  14. Das ist mal wieder eine Art „survival of the fittest“ im Web. Ich kann Viren- und Trojanerinfektionen über veraltete Software, 0-day exploits oder einfach ein schlechtes System verstehen, da steckt nicht jeder drin.

    Wer aber seine PIN oder seine TANs irgendwo im Netz eingibt, obwohl etwa in jedem zweiten Satz darauf hingewiesen wird, dass das niemals, NIEMALS, NIE benötigt wird, der hat in meinen Augen die Tauglichkeit für dieses System verwirkt.

    Das ist zwar arrogant von mir, aber ich habe keinerlei Verständnis für so eine Leichtgläubigkeit. Es gibt doch auch keiner seine PIN an irgendwelche Personen, die auf der Straße rumlaufen und ein Sparkassen/VoBA/Postbank/etc.-Kostümchen anhaben.

  15. Kann echt nur ein Datenleck bei DHL oder Amazon sein. Habe bisher nur bei Amazon etwas über die Packstation bestellt. Ich denke doch das es eher unwahrscheinlich ist, das dieses Datenleck bei Amazon besteht.

  16. Christian says:

    @Matze: Die können mit einem gefälschten Namen Ware bestellen (am besten mit einer geklauten Kreditkartennummer) und sich die Ware dann an DEINE Packstation schicken lassen.
    Und wenn sie vorher die Benachrichtigung ändern und später evtl. wieder zurück setzen bekommst du nicht mal was mit.
    Und wenn später das Paket gesucht wird kann DHL sagen daß DU es in Empfang genommen hast!

  17. Naja die Packstationen sind extrem unsicher, und kann jeden nur warnen dies zu nutzen! Wer mehr wissen will einfach kurz melden…

  18. Nutze die Packetstation auch regelmässig für meine
    Amazon Bestellungen uvm,und das schon seit es die
    Packet Station von DHL gibt,bin Kunde der seit der
    ersten Stunde,hab bis jetzt auch nie eine solcher
    Mails bekommen.

    Gruß

    Lucien

  19. wenn ich nicht irre, war es in der ct(?), wo mal das System der Packstationen unter die Lupe genommen wurde. Fazit:
    völlig veraltete Sicherheitsvorkehrungen, keine ausreichender Schutz gegen Mißbrauch. Irgendwelche Karte ließen sich problemlos fälschen – alles unterstes Niveau.
    Wahrscheinlich aus Kostengründen. Erst werden Filialen geschlossen und Leute entlassen, dann bzw. zeitgleich das System der Packstationen aufgebaut. Das da dann auch mal an den Sicherheitsvorkerhungen auf den neusten Stand gebracht werden muß (sollte) und das bei tausenden Packstationen (auch) ins Geld geht, wurde wohl nicht bedacht – oder sogar einkalkuliert – dass man es so lange wie möglich hinaus zögert….
    Und jetzt noch geklaute Nutzerdaten…Die letzten angeblichen DHL-Mails waren schon recht gut, die Seite, auf die man gelangte auch:_sämtliche Links führten zur offiziellen DHL/Packstationsseite – außer natürlich die Felder, in denen man seine Daten eingeben sollte. Jedenfalls gab man sich da echt mühe – im Gegensatz zu vielen anderen Mails, die vor Fehlern nur so strotzen

  20. @ T.K. klar ich kann meine Ware auch direkt bei Amazon im Lager abholen. Sicher ist sicher…

  21. @Dominik: man kann sich das aber auch nach hause schicken lassen oder bei der Post abholen. Nicht so bequem wie Packstationen und auch von den Öffnungszeiten her bescheiden – aber lieber mein Paket beim Nachbarn als an so einer Packstation.
    Also bei meinen Nachbarn geht das jedenfalls 😉

  22. leosmutter says:

    „Fraud Prävention Suite“… Noch Fragen?

  23. Ich verwende die Packstation seit Jahren und finde jegliche Bedenken, diese aus Sicherheitsgründen nicht zu verwenden, schlicht und ergreifend ALBERN. Ich bestelle grundsätzlich bei keinem Händler, der nicht an eine Packstation liefert. Das Konzept ist sowas von genial. Ich liebe es einfach.

  24. macdefcom says:

    Habe heute auch solch eine Mail bekommen, danke für diesen Artikel!

  25. Ich habe in den letzten 12 Monaten mehrere solcher E-Mails bekommen. Da ich ein catch-all-E-Mail-System benutze und für jeden Webshop eine eigene E-Mail-Adresse in der Form shop1@mail vergebe, kann ich genau zuordnen, bei wem die Daten abgegriffen wurden.
    Früher war es ein Merkmal von den Phishing-Mails, dass man nicht persönlich angeschrieben wurde, neuerdings müssen aber mehrere Anbieter die Daten verkaufen oder mehrere Systeme gehackt worden sein. Wenn man persönlich mit seinem Namen angeschrieben wird, kann man leicht in die Falle tappen.
    Vor Kurzem erhielt ich ebenfalls eine Phishing-Mail mit persönlicher Anrede, von „Visa“, dass ich meine Kreditkarte nach einigen Zahlungen aus Sicherheitsgründen aktivieren müsse. Die E-Mail war täuschend echt und da ich nicht so viel Erfahrung mit Kreditkarten habe, wäre ich fast darauf hereingefallen.
    Ich finde es höchst gefährlich.
    Zum Glück hat bald jeder einen persönlichen E-Ausweis 😉

  26. Habe auch so eine Mail bekommen, bin allerdings NICHT bei dem Packstation-Service angemeldet!
    Die Mail ging an eine meiner Spam-Mailadressen und zwar die, die ich vor Kurzem zur >>>DHL SENDUNGSVERFOLGUNG<<< genutzt habe! Offenbar besteht da ein Leck….
    Die Mail ist gleich im Spamschutz-Ordner von GMX gelandet und hatte auch noch einen netten kleinen Anhang. Hier hat mich (gottseidank) stutzig gemacht, dass es sich um eine .exe handelte, außerdem hatte ich nichts bestellt :D)

  27. ALBERN ist etwas so lange, bis man selbst betroffen ist. Im Zweifelsfall lege ich lieber bei der Post kurz meinen Ausweis vor, als mich bei der Packstation mit was weiß ich was zu identifizieren, was (lt. irgendeinem kleinen Test) angeblich jedes Scrip-Kid knacken kann

  28. Den eigentlichen ausführlichen Test finde ich nicht mehr – aber hier ist wohl ein kurzer Ausriss oder zumindest etwas ähnliches:
    http://shackspace.de/?p=2219

  29. @cashy

    **Bei der Security- / Abuse-Abteilung der DHL war zum Zeitpunkt dieses Beitrages nicht erreichbar.**

    Bitte hau nich immer sonne Dinger raus, dat nimmt die elitäre Leser ihre Lust am weiterlesen. In Word oda in dein Mailprogramm (unn auch annerswo) kannze die Grammatik einma kurz durchlaufen lassen damitte auffe sichere Seite biss. Bitte.

  30. wenn man in einer E-Mail dazu aufgefordert wird, irgendwo irgendwas ganz dringend/wichtig einzugeben, sollten alle Alarmglocken angehen und das immer ignoriert werden.

    Im Zweifelsfall im Browser die zugehörige Domain ausschliesslich selbst ansteuern (Link o. Eingabe) und nachschauen.

  31. @pcwastel: war vorm fünften Kaffee. Elitär bisse also. Jau, auf jeden, Robby. Nächstes Mal kurze Mail an mich und gut ist.

  32. Hi Caschy, du scheinst offensichtlich dein Design verändert zu haben (Margin des Contents erhöht). Leider sieht das auf 1024px ziemlich blöd aus, und erfordert horizontales scrollen. Zudem frage ich mich, wie hier ein Benutzer dazu gelenkt werden soll, weitere Beiträge von dir zu lesen.
    1024×768 ist die gute, alte Netbookauflösung und nur, weil Mapple jetzt meint, sein Zeug mit einem vielpixeligen Display zu verkaufen, heißt das nicht, dass man so etwas vergessen sollte.

    Ich nutze Opera 12, weshalb ich zwar nie diese komische Leiste auf der linken Seite sah (mit Twitter, FB,..), aber das hat mich auch nie gestört, weil der Content und nicht blauer Freiraum im Fokus lag.

    Sah erst jetzt die Windows-Azur-Werbung, die da vllt. gut platziert ist, es aber trotzdem nicht rund wirken lässt, wie ich finde.

  33. Natürlich ist es ALBERN. Selbst, wenn jemand Deine Mail-Adresse und Dein Passwort kennt, wird es ihm wohl kaum gelingen, Pakete abzufangen. Es ist ALBERN & LÄCHERLICH, sich wegen jeder Scheiss-Mail Sorgen zu machen. Meine Fresse, wie ängstlich kann man sein!

  34. Mittlerweile sollte es doch beim letzten angekommen sein das jegliche Dienstleister nie nach einer PIN Fragen bzw. auffordern die ein zu geben. Weiterhin wird bei der Packstation die PIN nur gebraucht um sich am Automaten mit Karte ein zu logen sonst nicht. Wer Probleme hat sollte die Hotline anrufen aber mit Sicherheit nicht auf eine email antworten und persönliche Daten eingeben, egal ob echt oder unecht.

  35. Die Packstation ist die innovativste Erfindung der Post seit der selbstklebenden Briefmarke. Und unsicherer als ein Paketbote, der ein Paket(!) aufgrund der Abwesenheits des Empfängers (Hin und wieder muss ich leider auch mal arbeiten) einfach im vollverglasten Eingangsbereich eines 20 Parteien Hochhauses abstellt, kann sie auch nicht sein.

  36. Habe vorgestern auch (mal wieder) so eine Mail bekommen.
    Mittlerweile muss man wirklich 2 mal genau hinschauen. Die Links der einzugebenden Passwörter etc. entlarven das dann aber doch recht schnell.

    Mein „Brain.exe“ hat da sofort angeschlagen.

    Jedoch bei meinen Nachbarn und restlichen Familienmitgliedern würde sowas wohl zu Problemen führen. Die sind da leider recht unbedarft – und genau hier liegt das Problem.

  37. Habe die mail an DHL weitergeleitet. Hier die Antwort:

    Sehr geehrter Kunde,

    vielen Dank für Ihre E-Mail und die darin enthaltene Information.

    Wir haben Ihre Nachricht analysiert und möchten Ihnen mitteilen, dass es sich hierbei um eine Phishing-Mail /einen Phishing-Link handelt. Zweck dieser E-Mail ist es, Ihre Daten für die Packstation für illegale Zwecke zu missbrauchen.
    Dabei handelt es sich tatsächlich um gezielte Betrugsversuche, die sich jedoch nicht ausschließlich auf Deutsche Post DHL beziehen, sondern inzwischen vermehrt in allen Bereichen des Internet vorkommen.
    Wir haben Ihre Information an die Abteilung Konzernsicherheit zur Weiterverfolgung übergeben.

    Uns wurde bekannt, dass Shopsysteme von Onlinehändlern auf Basis XT-Commerce entsprechende Sicherheitslücken aufweisen. Auch wurde uns bekannt, dass es in der Vergangenheit eine Sicherheitslücke innerhalb der JTL Shop2-Systeme gab. Über diese Lücken können Angreifer bei Onlineshops die diese Systeme benutzen Kundendaten abgreifen, welche dann direkt für Phishing missbraucht werden.

    Bitte haben Sie Verständnis, dass wir keine Angaben zu Onlineshops und Versandhäusern geben können.

    Beachten Sie bitte, dass das PACKSTATION Service Center Sie niemals per E-Mail, postalisch oder telefonisch auffordern wird, Ihre persönlichen Daten, wie z.B. die Geheimzahl, weiterzugeben.

    Sollten Sie bereits auf eine so genannte Phishing – Attacke reagiert haben, kontaktieren Sie umgehend unser Service Center 0 1803 / 365 365 (0,09 Euro pro angefangene Minute aus den deutschen Festnetzen; höchstens 0,42 Euro pro angefangene Minute aus den deutschen Mobilfunknetzen).

    Mit freundlichen Grüßen

    Deutsche Post Customer Service Center GmbH
    Morellstr. 33
    86159 Augsburg
    Deutschland

  38. Hallo,

    ein Datenleck ist wohl getgoods.de.
    Ich habe einen Catchall Emailaccount und lege immer bei Firmen bei meinen Daten die Email in der Form firma@domain an.
    Diese Woche kam eine Packstation Email an getgoods@domain.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.