Aufgepasst: DHL oder Dienstleister mit Datenleck
von caschy | 40 Kommentare
Seit circa zwei Wochen bekommen viele von euch täuschend echte Mail von DHL bezüglich der Packstation. Das ist soweit nichts spektakuläres, denn täuschend echt aussehende Mail bekommt man ja fast regelmäßig. Mein alter Kollege aus Forenzeiten Jan (arbeitet diesbezüglich im Security-Bereich) hat mich auf das Thema heute noch einmal aufmerksam gemacht, nachdem ich in den letzten Tagen schon einiges an Mails von euch, den Lesern bekommen habe.
Die E-Mails sehen also aus wie echte Mails von der Packstation, haben aber gegenüber gewöhnlichem Spam ein Merkmal, welches ihre vermeintliche Echtheit noch bestätigen könnte, beziehungsweise sicherlich schon viele Menschen auf den Trick hat reinfallen lassen: die Daten sind echt. Dein Name. Deine Nummer.
Warum ist das so? Darüber kann man vortrefflich spekulieren. Möglichkeit 1: Datenleck direkt bei DHL. Möglichkeit 2: Datenleck bei einem Händler oder Marketplace, an dem man die Daten hinterlegt hat. Also, genau aufgepasst, was ihr in die Inbox bekommt und was ihr anklickt.
Zum technischen Aspekt: der Zielserver, also der, auf den euch die Phishing-Mail holen will, steht in Belize und ist auf eine Person in Russland zugelassen. Vermutlich auch nur ein gekaperter Server, denn sowohl DNS als auch Hosting sind auf einem Server untergebracht. Schaut man sich die Mail an, dann sieht man, dass man auf viel geachtet hat:
Authentication-Results: mx.google.com; spf=neutral (google.com: 85.114.135.105 is neither permitted nor denied by best guess record for domain of info@packstation.de) smtp.mail=info@packstation.de
Received: from [85.114.135.105] ([127.0.0.1]) by m105.magenta.fastwebserver.de with Microsoft SMTPSVC(7.5.7600.16601);
Fri, 15 Jun 2012 23:42:09 +0200
Message-Id: <ORTXEOC-LZTE-KAK-HR4T-GBULWPQIGV3@packstation.de>
Die Message ID ist also korrekt, aber es gibt weder DKIM oder SPF für die Domain der Packstation. Hätte man diesen Umstand bei der Packstation bemerkt und DKIM (Domain Keys) und SPF (Sender Policy Framework) aktiviert, dann wäre die Mail sofort von allen Abwehrsystemen als Spam erkannt worden. Bei der Security- / Abuse-Abteilung der DHL war zum Zeitpunkt dieses Beitrages niemand erreichbar.
Also Freunde, Augen auf beim Eierkauf, vielleicht das Thema auch mal ansprechen, wenn ihr in ner Runde zusammen sitzt.
Wird geladen ...
@Dominik: man kann sich das aber auch nach hause schicken lassen oder bei der Post abholen. Nicht so bequem wie Packstationen und auch von den Öffnungszeiten her bescheiden – aber lieber mein Paket beim Nachbarn als an so einer Packstation.
Also bei meinen Nachbarn geht das jedenfalls 😉
„Fraud Prävention Suite“… Noch Fragen?
Ich verwende die Packstation seit Jahren und finde jegliche Bedenken, diese aus Sicherheitsgründen nicht zu verwenden, schlicht und ergreifend ALBERN. Ich bestelle grundsätzlich bei keinem Händler, der nicht an eine Packstation liefert. Das Konzept ist sowas von genial. Ich liebe es einfach.
Habe heute auch solch eine Mail bekommen, danke für diesen Artikel!
Ich habe in den letzten 12 Monaten mehrere solcher E-Mails bekommen. Da ich ein catch-all-E-Mail-System benutze und für jeden Webshop eine eigene E-Mail-Adresse in der Form shop1@mail vergebe, kann ich genau zuordnen, bei wem die Daten abgegriffen wurden.
Früher war es ein Merkmal von den Phishing-Mails, dass man nicht persönlich angeschrieben wurde, neuerdings müssen aber mehrere Anbieter die Daten verkaufen oder mehrere Systeme gehackt worden sein. Wenn man persönlich mit seinem Namen angeschrieben wird, kann man leicht in die Falle tappen.
Vor Kurzem erhielt ich ebenfalls eine Phishing-Mail mit persönlicher Anrede, von „Visa“, dass ich meine Kreditkarte nach einigen Zahlungen aus Sicherheitsgründen aktivieren müsse. Die E-Mail war täuschend echt und da ich nicht so viel Erfahrung mit Kreditkarten habe, wäre ich fast darauf hereingefallen.
Ich finde es höchst gefährlich.
Zum Glück hat bald jeder einen persönlichen E-Ausweis 😉
Habe auch so eine Mail bekommen, bin allerdings NICHT bei dem Packstation-Service angemeldet!
Die Mail ging an eine meiner Spam-Mailadressen und zwar die, die ich vor Kurzem zur >>>DHL SENDUNGSVERFOLGUNG<<< genutzt habe! Offenbar besteht da ein Leck….
Die Mail ist gleich im Spamschutz-Ordner von GMX gelandet und hatte auch noch einen netten kleinen Anhang. Hier hat mich (gottseidank) stutzig gemacht, dass es sich um eine .exe handelte, außerdem hatte ich nichts bestellt :D)
ALBERN ist etwas so lange, bis man selbst betroffen ist. Im Zweifelsfall lege ich lieber bei der Post kurz meinen Ausweis vor, als mich bei der Packstation mit was weiß ich was zu identifizieren, was (lt. irgendeinem kleinen Test) angeblich jedes Scrip-Kid knacken kann
Den eigentlichen ausführlichen Test finde ich nicht mehr – aber hier ist wohl ein kurzer Ausriss oder zumindest etwas ähnliches:
http://shackspace.de/?p=2219
@cashy
**Bei der Security- / Abuse-Abteilung der DHL war zum Zeitpunkt dieses Beitrages nicht erreichbar.**
Bitte hau nich immer sonne Dinger raus, dat nimmt die elitäre Leser ihre Lust am weiterlesen. In Word oda in dein Mailprogramm (unn auch annerswo) kannze die Grammatik einma kurz durchlaufen lassen damitte auffe sichere Seite biss. Bitte.
wenn man in einer E-Mail dazu aufgefordert wird, irgendwo irgendwas ganz dringend/wichtig einzugeben, sollten alle Alarmglocken angehen und das immer ignoriert werden.
Im Zweifelsfall im Browser die zugehörige Domain ausschliesslich selbst ansteuern (Link o. Eingabe) und nachschauen.
@pcwastel: war vorm fünften Kaffee. Elitär bisse also. Jau, auf jeden, Robby. Nächstes Mal kurze Mail an mich und gut ist.
Hi Caschy, du scheinst offensichtlich dein Design verändert zu haben (Margin des Contents erhöht). Leider sieht das auf 1024px ziemlich blöd aus, und erfordert horizontales scrollen. Zudem frage ich mich, wie hier ein Benutzer dazu gelenkt werden soll, weitere Beiträge von dir zu lesen.
1024×768 ist die gute, alte Netbookauflösung und nur, weil Mapple jetzt meint, sein Zeug mit einem vielpixeligen Display zu verkaufen, heißt das nicht, dass man so etwas vergessen sollte.
Ich nutze Opera 12, weshalb ich zwar nie diese komische Leiste auf der linken Seite sah (mit Twitter, FB,..), aber das hat mich auch nie gestört, weil der Content und nicht blauer Freiraum im Fokus lag.
Sah erst jetzt die Windows-Azur-Werbung, die da vllt. gut platziert ist, es aber trotzdem nicht rund wirken lässt, wie ich finde.
Natürlich ist es ALBERN. Selbst, wenn jemand Deine Mail-Adresse und Dein Passwort kennt, wird es ihm wohl kaum gelingen, Pakete abzufangen. Es ist ALBERN & LÄCHERLICH, sich wegen jeder Scheiss-Mail Sorgen zu machen. Meine Fresse, wie ängstlich kann man sein!
Mittlerweile sollte es doch beim letzten angekommen sein das jegliche Dienstleister nie nach einer PIN Fragen bzw. auffordern die ein zu geben. Weiterhin wird bei der Packstation die PIN nur gebraucht um sich am Automaten mit Karte ein zu logen sonst nicht. Wer Probleme hat sollte die Hotline anrufen aber mit Sicherheit nicht auf eine email antworten und persönliche Daten eingeben, egal ob echt oder unecht.
Die Packstation ist die innovativste Erfindung der Post seit der selbstklebenden Briefmarke. Und unsicherer als ein Paketbote, der ein Paket(!) aufgrund der Abwesenheits des Empfängers (Hin und wieder muss ich leider auch mal arbeiten) einfach im vollverglasten Eingangsbereich eines 20 Parteien Hochhauses abstellt, kann sie auch nicht sein.
Habe vorgestern auch (mal wieder) so eine Mail bekommen.
Mittlerweile muss man wirklich 2 mal genau hinschauen. Die Links der einzugebenden Passwörter etc. entlarven das dann aber doch recht schnell.
Mein „Brain.exe“ hat da sofort angeschlagen.
Jedoch bei meinen Nachbarn und restlichen Familienmitgliedern würde sowas wohl zu Problemen führen. Die sind da leider recht unbedarft – und genau hier liegt das Problem.
Habe die mail an DHL weitergeleitet. Hier die Antwort:
Sehr geehrter Kunde,
vielen Dank für Ihre E-Mail und die darin enthaltene Information.
Wir haben Ihre Nachricht analysiert und möchten Ihnen mitteilen, dass es sich hierbei um eine Phishing-Mail /einen Phishing-Link handelt. Zweck dieser E-Mail ist es, Ihre Daten für die Packstation für illegale Zwecke zu missbrauchen.
Dabei handelt es sich tatsächlich um gezielte Betrugsversuche, die sich jedoch nicht ausschließlich auf Deutsche Post DHL beziehen, sondern inzwischen vermehrt in allen Bereichen des Internet vorkommen.
Wir haben Ihre Information an die Abteilung Konzernsicherheit zur Weiterverfolgung übergeben.
Uns wurde bekannt, dass Shopsysteme von Onlinehändlern auf Basis XT-Commerce entsprechende Sicherheitslücken aufweisen. Auch wurde uns bekannt, dass es in der Vergangenheit eine Sicherheitslücke innerhalb der JTL Shop2-Systeme gab. Über diese Lücken können Angreifer bei Onlineshops die diese Systeme benutzen Kundendaten abgreifen, welche dann direkt für Phishing missbraucht werden.
Bitte haben Sie Verständnis, dass wir keine Angaben zu Onlineshops und Versandhäusern geben können.
Beachten Sie bitte, dass das PACKSTATION Service Center Sie niemals per E-Mail, postalisch oder telefonisch auffordern wird, Ihre persönlichen Daten, wie z.B. die Geheimzahl, weiterzugeben.
Sollten Sie bereits auf eine so genannte Phishing – Attacke reagiert haben, kontaktieren Sie umgehend unser Service Center 0 1803 / 365 365 (0,09 Euro pro angefangene Minute aus den deutschen Festnetzen; höchstens 0,42 Euro pro angefangene Minute aus den deutschen Mobilfunknetzen).
Mit freundlichen Grüßen
Deutsche Post Customer Service Center GmbH
Morellstr. 33
86159 Augsburg
Deutschland
Hallo,
ein Datenleck ist wohl getgoods.de.
Ich habe einen Catchall Emailaccount und lege immer bei Firmen bei meinen Daten die Email in der Form firma@domain an.
Diese Woche kam eine Packstation Email an getgoods@domain.