Aufgepasst: DHL oder Dienstleister mit Datenleck

Seit circa zwei Wochen bekommen viele von euch täuschend echte Mail von DHL bezüglich der Packstation. Das ist soweit nichts spektakuläres, denn täuschend echt aussehende Mail bekommt man ja fast regelmäßig. Mein alter Kollege aus Forenzeiten Jan (arbeitet diesbezüglich im Security-Bereich) hat mich auf das Thema heute noch einmal aufmerksam gemacht, nachdem ich in den letzten Tagen schon einiges an Mails von euch, den Lesern bekommen habe.

Die E-Mails sehen also aus wie echte Mails von der Packstation, haben aber gegenüber gewöhnlichem Spam ein Merkmal, welches ihre vermeintliche Echtheit noch bestätigen könnte, beziehungsweise sicherlich schon viele Menschen auf den Trick hat reinfallen lassen: die Daten sind echt. Dein Name. Deine Nummer.

Warum ist das so? Darüber kann man vortrefflich spekulieren. Möglichkeit 1: Datenleck direkt bei DHL. Möglichkeit 2: Datenleck bei einem Händler oder Marketplace, an dem man die Daten hinterlegt hat. Also, genau aufgepasst, was ihr in die Inbox bekommt und was ihr anklickt.

Zum technischen Aspekt: der Zielserver, also der, auf den euch die Phishing-Mail holen will, steht in Belize und ist auf eine Person in Russland zugelassen. Vermutlich auch nur ein gekaperter Server, denn sowohl DNS als auch Hosting sind auf einem Server untergebracht. Schaut man sich die Mail an, dann sieht man, dass man auf viel geachtet hat:

Authentication-Results: mx.google.com; spf=neutral (google.com: 85.114.135.105 is neither permitted nor denied by best guess record for domain of info@packstation.de) smtp.mail=info@packstation.de

Received: from [85.114.135.105] ([127.0.0.1]) by m105.magenta.fastwebserver.de with Microsoft SMTPSVC(7.5.7600.16601);

Fri, 15 Jun 2012 23:42:09 +0200

Message-Id: <ORTXEOC-LZTE-KAK-HR4T-GBULWPQIGV3@packstation.de>

Die Message ID ist also korrekt, aber es gibt weder DKIM oder SPF für die Domain der Packstation. Hätte man diesen Umstand bei der Packstation bemerkt und DKIM (Domain Keys) und SPF (Sender Policy Framework) aktiviert, dann wäre die Mail sofort von allen Abwehrsystemen als Spam erkannt worden. Bei der Security- / Abuse-Abteilung der DHL war zum Zeitpunkt dieses Beitrages niemand erreichbar.

Also Freunde, Augen auf beim Eierkauf, vielleicht das Thema auch mal ansprechen, wenn ihr in ner Runde zusammen sitzt.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei LinkedIn, Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

40 Kommentare

  1. Diese Mails gibt es schon länger,
    ich habe schon eine im Juli 2011 erhalten. Es kann aber auch schon vorher gewesen sein.

  2. Scheint aber ein Daten-Leck bei einem Händler zu sein… Hab bisher keine dieser Mails bekommen, obwohl ich auch einen Packstationszugang habe. Daher nicht direkt bei DHL. Evtl. kann ja über die Kommentare der Betroffenen rausgefunden werden welcher Händler das war 😉

  3. Eigentlich hat das ja schon soooooooooo einen Bart.
    Egal ob es nun Paketstationen, Banken oder was auch immer sind.
    Dennoch weiß ich aus eigener Erfahrung, dass es immer wieder Leute gibt und dann oft auch immer wieder die gleichen, die darauf reinfallen, drauflos klicken und ihre Daten eingeben. Letztere sind dann nur noch mal Lernresistent zu bezeichnen. Da sind mir dann die „übervorsichtigen“, die dann vorher anrufen und nachfragen schon viel lieber.

  4. Ja, die Mails sind alt. Aber nicht alt mit pers. Daten und eben jenem Ausmaß, wie momentan.

  5. Irgendwie steh ich da total aufm Schlauch: Warum ist es so beliebt Packstation-Mails zu fälschen? Was können die mit den Daten anfangen? Die werden ja wohl kaum in meine Stadt kommen und mir mein Paket klauen.

  6. @Matze: Die können aber etwas Bestellen es an deine Paketstation schicken und es dort anonym abholen. Im Zweifelsfall hast du dann den Ärger.

  7. webharvey says:

    Ich habe die eMail am 28.5 erhalten, 1 Woche nachdem ich einen Zugang zu einer Packstation bekommen haben. Bis heute habe ich noch nie etwas mit Versandart „Packstation“ bestellt und war doch arg verwundert, das alle Daten richtig waren. Kann also nur bei DHL oder dem direktem Umfeld sein, das Sicherheitsleck. Tja, jetzt wieder stornieren den Kram 🙁 Schon schade.

  8. @matze ne die werden nicht dein Paket klauen.. die werden mit gestohlenen Kreditkartendaten Sachen bestellen und das über deinen Namen an eine beliebige Packstation schicken lassen.

  9. @Matze: Genau das ist aber das Ziel.

    Ich reagiere auf solche Mails prinzipiell nicht direkt – höchstens auf der direkten Domain des jeweiligen „Herstellers“. Meine Familie sowie Freunde werden dahingehend immer öfter von mir geimpft.

  10. Ich frage mich wie lange es noch dauert, bis der Cyberkrieg offiziell auch große und entscheidende Server oder sonstige Einrichtungen belämmert, die weitreichendere Folgen nach sich ziehen wird. Wie beispielsweise Verkehrsnetze (siehe Stirb langsam) oder Zentralbanken oder sonstige Militäreinrichtungen. Es bleibt zumindest spannend in dieser Hinsicht!

  11. Ich frage mich wie lange es noch dauert, bis der Cyberkrieg offiziell auch große und entscheidende Server oder sonstige Einrichtungen belämmert, die weitreichendere Folgen nach sich ziehen wird. Wie beispielsweise Verkehrsnetze (siehe Stirb langsam) oder Zentralbanken oder sonstige Militäreinrichtungen. Es bleibt zumindest spannend in dieser Hinsicht! Die Einschläge werden zumindest nicht seltener…

  12. Das System von DHL ist mir schon immer ziemlich veraltet vorgekommen.
    Nutze die Packstation sehr sehr oft aber bis jetzt ist bei mir noch keine Spam Mail angekommen

  13. Gibt es immer noch Packstationen, wo man ohne Karte nur mit der Nummer&Pin die Pakete rausholen kann – wenn ja, da machen solche Spammails schon Sinn. Es werden Sachen mit geklauter Kreditkartennummer bei Onlinehändler bestellt und mit der geklauten Packstationsnummer aus selbiger rausgeholt – vollkommen sicher.

    Allerdings bei unsere neuen Packstation geht die Abholung nur noch mit Karte & Pin, was ich f rü richtig halte.

  14. Das ist mal wieder eine Art „survival of the fittest“ im Web. Ich kann Viren- und Trojanerinfektionen über veraltete Software, 0-day exploits oder einfach ein schlechtes System verstehen, da steckt nicht jeder drin.

    Wer aber seine PIN oder seine TANs irgendwo im Netz eingibt, obwohl etwa in jedem zweiten Satz darauf hingewiesen wird, dass das niemals, NIEMALS, NIE benötigt wird, der hat in meinen Augen die Tauglichkeit für dieses System verwirkt.

    Das ist zwar arrogant von mir, aber ich habe keinerlei Verständnis für so eine Leichtgläubigkeit. Es gibt doch auch keiner seine PIN an irgendwelche Personen, die auf der Straße rumlaufen und ein Sparkassen/VoBA/Postbank/etc.-Kostümchen anhaben.

  15. Kann echt nur ein Datenleck bei DHL oder Amazon sein. Habe bisher nur bei Amazon etwas über die Packstation bestellt. Ich denke doch das es eher unwahrscheinlich ist, das dieses Datenleck bei Amazon besteht.

  16. Christian says:

    @Matze: Die können mit einem gefälschten Namen Ware bestellen (am besten mit einer geklauten Kreditkartennummer) und sich die Ware dann an DEINE Packstation schicken lassen.
    Und wenn sie vorher die Benachrichtigung ändern und später evtl. wieder zurück setzen bekommst du nicht mal was mit.
    Und wenn später das Paket gesucht wird kann DHL sagen daß DU es in Empfang genommen hast!

  17. Naja die Packstationen sind extrem unsicher, und kann jeden nur warnen dies zu nutzen! Wer mehr wissen will einfach kurz melden…

  18. Nutze die Packetstation auch regelmässig für meine
    Amazon Bestellungen uvm,und das schon seit es die
    Packet Station von DHL gibt,bin Kunde der seit der
    ersten Stunde,hab bis jetzt auch nie eine solcher
    Mails bekommen.

    Gruß

    Lucien

  19. wenn ich nicht irre, war es in der ct(?), wo mal das System der Packstationen unter die Lupe genommen wurde. Fazit:
    völlig veraltete Sicherheitsvorkehrungen, keine ausreichender Schutz gegen Mißbrauch. Irgendwelche Karte ließen sich problemlos fälschen – alles unterstes Niveau.
    Wahrscheinlich aus Kostengründen. Erst werden Filialen geschlossen und Leute entlassen, dann bzw. zeitgleich das System der Packstationen aufgebaut. Das da dann auch mal an den Sicherheitsvorkerhungen auf den neusten Stand gebracht werden muß (sollte) und das bei tausenden Packstationen (auch) ins Geld geht, wurde wohl nicht bedacht – oder sogar einkalkuliert – dass man es so lange wie möglich hinaus zögert….
    Und jetzt noch geklaute Nutzerdaten…Die letzten angeblichen DHL-Mails waren schon recht gut, die Seite, auf die man gelangte auch:_sämtliche Links führten zur offiziellen DHL/Packstationsseite – außer natürlich die Felder, in denen man seine Daten eingeben sollte. Jedenfalls gab man sich da echt mühe – im Gegensatz zu vielen anderen Mails, die vor Fehlern nur so strotzen

  20. @ T.K. klar ich kann meine Ware auch direkt bei Amazon im Lager abholen. Sicher ist sicher…

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.