staging.inyokaproject.org

Hallo Leute,

heute bekam ich zum ersten Mal eine Fishing-Mail. Angeblich von PayPal. In der Mail war ein Link und ein Anhang dabei. Ich hab natürlich weder auf den Link geklickt noch den Anhang geöffnet, sondern die Mail sofort an spoof(at)paypal.com weitergeleitet. Außerdem hab ich unter https://haveibeenpwned.com/ nachgeschaut, ob meine Adresse in einem Pool von geklauten Adressen auftaucht, was wohl nicht der Fall ist. Woher kommt die Mail jetzt? Ist eventuell der Rechner eines Bekannten kompromittiert und das Adressbuch gehackt?

Beste Grüße

Erdling

kannst du einen Screenshot machen von der Mail? Würde mich mal interessieren wie die optisch aussieht.

Aber natürlich. Da sind jetzt meine Adressen zu sehen, ich hoffe das ist jetzt nicht kritisch.

doch nimm mal gimp und editier das weg

Definitiv Phishing T-Online Absender, da war der Phishing Vogel ziemlich blöd, Bei official Paypal sieht die domain anders aus.

Mach dir ums Hacking mal erstmal nicht so einen Kopf, aber Password Changes sind durchaus sinnvoll.

So, jetzt nochmal.

Ja siehe mein Edit und leider sehr erschreckend echt. Selbe Schriftart, Farben, dieses PC Bild da unten, der Absender ist allerdings verräterisch.

Steev schrieb:

doch nimm mal gimp und editier das weg

Definitiv Phishing T-Online Absender, da war der Phishing Vogel ziemlich blöd, Bei official Paypal sieht die domain anders aus.

Mach dir ums Hacking mal erstmal nicht so einen Kopf, aber Password Changes sind durchaus sinnvoll.

Das mit der t-online Adresse ist mir auch gleich aufgefallen, ziemlich dämlich. Aber wie gesagt, das muss ja von irgendwo herkommen. Und ja, ich werde mein Passwort ändern.

Wenn du wissen willst, woher die kam, bitte hier den Quelltext im Codebock posten (Strg+U druecken) und eventl. erst deine E-Mailadresse aus dem Text loeschen.

Da hatte ich auch schon reingeschaut. Das ist nur die obere Hälfte, aber ich nehme an, alle relevanten Daten sind dabei

Return-Path: <paypal-serviceteam22@t-online.de>
Received: from fwd22.aul.t-online.de ([172.20.26.127])
	by ehead22b02.aul.t-online.de (Dovecot) with LMTP id DyPSFVUROV8pLQAAHlx70w;
	Sun, 16 Aug 2020 12:58:29 +0200
Received: from hosted-by.blazingfast.io (Ek2ZWyZlZhraZyVuAYMe3sZH+V-Ac-gQmfwDRCoJ1oLoAWTB5EuWoXNcek1ZAJZgQ-@[185.62.188.7]) by fwd22.t-online.de
	with (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384 encrypted)
	esmtp id 1k7GMu-1DnisK0; Sun, 16 Aug 2020 12:58:28 +0200
From: "PayPal" <paypal-serviceteam22@t-online.de>
To: xxx@t-online.de
Subject: =?UTF-8?B?S29udG9laW5zY2hyw6Rua3VuZzogQml0dGUgdmVyaWZpemllcmVuIFNpZSBJaHJlIERhdGVu?=
Date: 16 Aug 2020 03:58:28 -0700
Message-ID: <20200816035827.E245F5B184C59F73@test.de>
MIME-Version: 1.0
Content-Type: multipart/related;
	boundary="----=_NextPart_000_0012_B4D17494.5EDDF727"
X-ID: Ek2ZWyZlZhraZyVuAYMe3sZH+V-Ac-gQmfwDRCoJ1oLoAWTB5EuWoXNcek1ZAJZgQ-
X-TOI-VIRUSSCAN: unchecked
X-TOI-EXPURGATEID: 150726::1597575508-00011FFC-195E2F61/19/6914872943 SUSPECT MAIL-COUNT
X-TOI-MSGID: 79052080-c63c-4c2d-9fe4-efc5b55faf67
X-ENVELOPE-TO: <xxx@t-online.de>


------=_NextPart_000_0012_B4D17494.5EDDF727
Content-Type: multipart/alternative;
	boundary="----=_NextPart_001_0013_B4D17494.5EDDF727"


------=_NextPart_001_0013_B4D17494.5EDDF727
Content-Type: text/plain;
	charset="utf-8"
Content-Transfer-Encoding: quoted-printable

Ihre letzten PayPal-Zahlungen auf einen Blick. Online ansehen=20
(=C2=A0=C2=A0)
(=C2=A0https://epl.paypal-communication.com/T/v400000173c6e9b455cc40b8f4bbc=
fb920/86735087551d4ea40000021ef3a0bcca/86735087-551d-4ea4-98a0-6b2292816e36=
?__dU__=3Dv0G4RBKTXg2GtDSXU69hUjn5RqR7EEyYkx=C2=A0)
xxx@t-online.de
14. August=C2=A02020
Kontoeinschr=C3=A4nkung
Hallo,
Ihr Konto wird einer Routine=C3=BCberpr=C3=BCfung unterzogen. Bitte=20
best=C3=A4igen Sie kurz Ihre Daten,
dann k=C3=B6nnen Sie Ihr Konto, direkt normal, weiter verwenden.
Vertrauliche Informationen versenden wir aus Sicherheitsgr=C3=BCnden=20
niemals in einer E-Mail.
Weiter zur Entsperrung=20
(=C2=A0https://pp03.greennet02.de/0rKZvZp7dOjgLbl6MzWYs74TzCAnTa8p/paypal/l=
ogin=C2=A0)
(=C2=A0https://epl.paypal-communication.com/T/v400000173c6e9b455cc40b8f4bbc=
fb920/86735087551d4ea40000021ef3a0bccd/86735087-551d-4ea4-98a0-6b2292816e36=
?__dU__=3Dv0G4RBKTXg2GtDSXU69hUjn5RqR7EEyYkx=C2=A0)
Hilfe=20
(=C2=A0https://epl.paypal-communication.com/T/v400000173c6e9b455cc40b8f4bbc=
fb920/86735087551d4ea40000021ef3a0bcce/86735087-551d-4ea4-98a0-6b2292816e36=
?__dU__=3Dv0G4RBKTXg2GtDSXU69hUjn5RqR7EEyYkx=C2=A0)=20
Kontakt=20
(=C2=A0https://epl.paypal-communication.com/T/v400000173c6e9b455cc40b8f4bbc=
fb920/86735087551d4ea40000021ef3a0bccf/86735087-551d-4ea4-98a0-6b2292816e36=
?__dU__=3Dv0G4RBKTXg2GtDSXU69hUjn5RqR7EEyYkx=C2=A0)=20
Sicherheit=20
(=C2=A0https://epl.paypal-communication.com/T/v400000173c6e9b455cc40b8f4bbc=
fb920/86735087551d4ea40000021ef3a0bcd0/86735087-551d-4ea4-98a0-6b2292816e36=
?__dU__=3Dv0G4RBKTXg2GtDSXU69hUjn5RqR7EEyYkx=C2=A0)=20
App=20
(=C2=A0https://epl.paypal-communication.com/T/v400000173c6e9b455cc40b8f4bbc=
fb920/86735087551d4ea40000021ef3a0bcd1/86735087-551d-4ea4-98a0-6b2292816e36=
?__dU__=3Dv0G4RBKTXg2GtDSXU69hUjn5RqR7EEyYkx=C2=A0)=20
Angebote=20
(=C2=A0https://epl.paypal-communication.com/T/v400000173c6e9b455cc40b8f4bbc=
fb920/86735087551d4ea40000021ef3a0bcd2/86735087-551d-4ea4-98a0-6b2292816e36=
?__dU__=3Dv0G4RBKTXg2GtDSXU69hUjn5RqR7EEyYkx=C2=A0)
(=C2=A0https://epl.paypal-communication.com/T/v400000173c6e9b455cc40b8f4bbc=
fb920/86735087551d4ea40000021ef3a0bcd3/86735087-551d-4ea4-98a0-6b2292816e36=
?__dU__=3Dv0G4RBKTXg2GtDSXU69hUjn5RqR7EEyYkx=C2=A0)=20=20
 (=C2=A0https://epl.paypal-communication.com/T/v400000173c6e9b455cc40b8f4bb=
cfb920/86735087551d4ea40000021ef3a0bcd4/86735087-551d-4ea4-98a0-6b2292816e3=
6?__dU__=3Dv0G4RBKTXg2GtDSXU69hUjn5RqR7EEyYkx=C2=A0)
Sicherheitshinweis: Sie erkennen Spoof oder Phishing-E-Mails=20
oftmals schon in der Anrede. PayPal wird Sie immer mit Ihrem Vor-=20
und Nachnamen anschreiben. Mehr zu Phishing finden Sie unter=20
www.paypal.de/phishing=20
(=C2=A0https://epl.paypal-communication.com/T/v400000173c6e9b455cc40b8f4bbc=
fb920/86735087551d4ea40000021ef3a0bcd5/86735087-551d-4ea4-98a0-6b2292816e36=
?__dU__=3Dv0G4RBKTXg2GtDSXU69hUjn5RqR7EEyYkx=C2=A0)=20
=2E
Diese PayPal-Benachrichtigung wurde an=C2=A0xxx@t-online.de=20
gesendet. Sie erhalten von uns die monatliche Konto=EF=BF=BDbersicht=20
werbefrei. Wenn Sie =C3=BCber unsere speziellen Angebote und Rabatte=20
informiert werden m=C3=B6chten, k=C3=B6nnen Sie Ihre Einstellungen hier=20
(=C2=A0https://epl.paypal-communication.com/T/v400000173c6e9b455cc40b8f4bbc=
fb920/86735087551d4ea40000021ef3a0bcd6/86735087-551d-4ea4-98a0-6b2292816e36=
?__dU__=3Dv0G4RBKTXg2GtDSXU69hUjn5RqR7EEyYkx=C2=A0)=20
=C3=A4ndern.

Copyright =C2=A9 1999=E2=80=932020 PayPal. Alle Rechte vorbehalten. PayPal=
=20
(Europe) S.=EF=BF=BD r.l. et Cie, S.C.A., Soci=EF=BF=BDt=EF=BF=BD en Comman=
dite par=20
Actions. Eingetragener Firmensitz: 22=E2=80=9324 Boulevard Royal, L-2449=20=

Luxembourg, RCS Luxembourg B 118 349.
------=_NextPart_001_0013_B4D17494.5EDDF727
Content-Type: text/html
Content-Transfer-Encoding: quoted-printable

Erdling, schau bei deinem editierten Bild mal oben links, da steht immer noch deine E-Mail Name. Bitte nochmal editieren. 1 und 1 kann man zusammenzählen. Es ist hier zwar ein seriöses Forum, aber die persönliche E-Mail geht hier niemanden was an.

Danke Steev. Da hab ich schon versucht alles zu finden und habs doch übersehen. Jetzt geändert.

Die Mail kommt von hosted-by.blazingfast.io, also der Server wurde gehackt, oder "nur" missbraucht.

Okay, die Mail kommt also augenscheinlich nicht von einem Bekannten. Nur, wo haben die Angreifer meine Mailadresse dann her?

Erdling schrieb:

[…] Fishing-Mail […] Woher kommt die Mail jetzt?

Das ist bei Fishing-Mails nicht relevant. Wichtig ist nur, auf welche kompromittierte Seite im Internet Du gelockt werden sollst. Es ist klüger, nicht auf irgendeinen Link in der E-Mail zu klicken.

Ist eventuell der Rechner eines Bekannten kompromittiert und das Adressbuch gehackt?

Das ist gut möglich und kommt häufig vor. Bei weniger versierten Schurken kann man manchmal sogar plausibel vermuten, wer im Bekanntenkreis ausspioniert wurde, wenn im E-Mail-Verteiler andere Namen erkennbar sind.

Listen mit funktionierenden E-Mail-Adressen werden im Internet gehandelt. Wenn Du irgendwann einmal Deine E-Mail-Adresse z.B. an einen Versandhandel, einen Verein, eine Behörde, Deinem Arbeitgeber, Deinem Telefon- und Internet-Provider gegeben hast, dann steht sie jetzt auf so einer Liste. Manche Geschäftspartner lassen Dich auch unterschreiben, dass Deine Adresse weitergegeben (d.h. verkauft) werden darf.

Eine andere Möglichkeit ist, dass einfach Personennamen aus Adressbüchern und Melderegistern mit den E-Mail-Domainen kombiniert werden.

Eine weitere Möglichkeit für den Angreifer ist, einfach E-Mail-Adressen zu raten.

Um an E-Mail-Adressen zu kommen, muss man keinen Server hacken. Aber natürlich ist auch das eine Quelle.

Lieber kB,

vielen Dank auch für Deine erhellenden Ausführungen. Kurz gesagt lässt sich nicht weiter eingrenzen woher die Mail wirklich kam. Ist auch nicht weiter schlimm, ich werde den Mist dann löschen. Erstaunlich ist nur, ich habe die Adresse jetzt seit 20 Jahren und das ist meine erste Betrugsmail, bisher bin ich verschont geblieben.

Vielen Dank nochmal an Alle, ihr seid wie immer eine gute Hilfe, habt eine schöne Woche.

Beste Grüße

Erdling