DHL Packstation Mail -> fast perfektes Phishing oder doch wirklich Newsletter?

Hab schön öfter Phishing Mails bzgl. der Packstation bekommen und vermute stark, dass es diesmal ebenfalls spam ist.

Gründe für Phishing:
- Aufruf zur Verifizierung des Accounts, kann ja dann eig. nur Spam sein
- Mail-Adresse nicht die bei Packstation verwendete, sondern alte und eig. nicht mehr genutzte Adr.
- Kleine Rechtschreibfehler

Aber:
- In der Anrede werde ich mit korrektem Vor- u. Nachnamen angesprochen...na super :(((
- wie sonst auch dieses Mal 100% echte DHL Optik bis in die Details.
- Absender: info äd packstation.de
- Linkadresse: newsletter.dhl.de/ 11651/letterView.php?id=111689 (NICHT AUFRUFEN, da ja wahrsch. spam)

Hier mal der Text:
{{{{{{{{{{{{{{{{{{{{
Sehr geehrte/r ... ,

das Thema Sicherheit schreiben wir in diesem Monat ganz groß und möchten Sie darum bitten, ab sofort immer Ihre Goldcard mit zu nehmen. Zukünftig wird ein LogIn an der Packstation ohne Goldcard nichtmehr möglich sein.

Newsletter: newsletter.dhl.de/ 11651/letterView.php?id=111689

Um in Zukunft einen Missbrauch von Packstationen zu verhindern, müssen sich Alle Kunden neu Verifizieren! Dabei wird ein Benutzerprofil hinterlegt, somit nur noch Sie Zugang haben. Um Ihre Packstation weiterhin wie gewohnt nutzen zu können, ist ein Login auf unserer Verifizierungsseite nötig!

Jetzt aktivieren: dhl.de/dhl…tml

Sie benötigen Ihren Zugang nicht mehr? Dann können Sie diese E-Mail einfach ignorieren..

Dirk Sebastian

Marketing DHL Empfängerstrategie
Paket&Punkt Kontostand
Packstation empfehlen & 10 EUR MeinPaket.de Gutschein sichern
Handy-Sonderaktion bei MeinPaket.de - Nur für kurze Zeit!
Welches Handy nutzen Sie?
Paket&Punkt Kontostand
Ihr aktueller Paket&Punkt Kontostand beträgt 300 Punkte.
Schauen Sie doch mal rein!
nach obennach oben
zu Paket&Punkt zu Paket&Punkt
Packstation empfehlen & 10 EUR MeinPaket.de Gutschein sichern
Sie finden PACKSTATION ist eine praktische Sache? Dann empfehlen Sie uns doch mit einer E-Card weiter!

Wenn der Empfänger sich hierüber für PACKSTATION anmeldet und innerhalb von 3 Monaten nutzt, schenken wir Ihnen einen 10 EUR Einkaufs-Gutschein* für MeinPaket.de, das neue Shopping-Portal von DHL.

*Mindestbestellwert 10,01 EUR. PACKSTATION empfehlen
nach obennach oben Artikel tweeten Artikel auf facebook sharen
PACKSTATION weiterempfehlen PACKSTATION weiterempfehlen
Handy-Sonderaktion bei MeinPaket.de - Nur für kurze Zeit!
Jetzt auf MeinPaket.de hochwertige Handys zum Schnäppchenpreis bestellen - und das ganz ohne Vertrag.
MeinPaket.de Wählen Sie aus 18 exklusiven Modellen Ihr Wunschhandy.

Ob cleveres Smartphone oder funktionales Fotohandy, geschäftlich oder privat - hierist Dank großer Auswahl bestimmt auch das Richtige für Sie dabei. Sparen Sie bis zu 50%*.

Dieses Topangebot finden Sie jetzt bei MeinPaket.de.
*UVP des Herstellers. Das Angebot gilt aufgrund der Nachfrage nur solange der Vorrat reicht.
nach obennach oben Artikel tweeten Artikel auf facebook sharen
jetzt bestellen jetzt bestellen
AbmeldenImpressumDaten Ãndern

}}}}}}}}}}}}}}}}}}}}}}


Hab Ihr ebenfalls diese Mail erhalten? Das Problem ist einfach, dass man in Zukunft evtl. mal wichtigen Mails von DHL auch nicht mehr trauen kann.

Wär super, wenn Ihr dazu mal Feedback geben könntet! Danke schon mal!

Beste Kommentare

Das ist definitiv SPAM. Nur nicht auf die Links klicken. Packstation fordert niemals zur Verifikation per Mail auf. Diese oder so eine ähnliche Mail hatte ich auch und ich bin garkein Packstation-Kunde, noch war ich jemals einer. Hatte die Mail an DHL mit Quelltext im Anhang weitergeleitet und es wurde bestätigt, dass es sich um Spam handelt.

dhl.de/de/…tml

mail an phishing[at]deutschepost.de weiterleiten.

31 Kommentare

Wenn der Link WIRKLICH auf dhl.de verweist, kann es kein Fake sein. Einfach mit der Maus über den Link fahren und gucken welcher Link sich dahinter verbirgt.

EDIT: Ist kein Fake, wenn du über den Link den du gepostet hast ohne Leerzeichen gehst, siehst du es.

Das ist definitiv SPAM. Nur nicht auf die Links klicken. Packstation fordert niemals zur Verifikation per Mail auf. Diese oder so eine ähnliche Mail hatte ich auch und ich bin garkein Packstation-Kunde, noch war ich jemals einer. Hatte die Mail an DHL mit Quelltext im Anhang weitergeleitet und es wurde bestätigt, dass es sich um Spam handelt.

dhl.de/de/…tml

mail an phishing[at]deutschepost.de weiterleiten.

Verfasser

Es gibt in der Mail hauptsächlich 2 Links, um die es geht. Damit die Seite keiner aus Versehen aufruft, sind die Punkte durch Kommata ersetzt.
1) Newsletter mit folg. Link:
http://newsletter,dhl,de/11651/letterView,php?id=111689
-> scheint tatsächlich ne DHL Adresse zu sein

2) Hier aber das Perfide beim Verifizierungs-Link:
http://verify,goldcard-konto,w2c,ru/dhl/Meine-Packstation/Konto/index,html

ES IST ALSO NE PHISHING MAIL mit .ru Link. Richtig übel, da ich ja sofort skeptisch war und dieses Zeiger-über-den-Link-halten gleich beim Link gemacht hatte - aber nur beim 1. Newletter Link, der zur DHL Seite verweist. Hatte den Test dann beim 2. Link nicht gemacht... bis eben.

Na ja, ihr seid ja jetzt gewarnt, also ab in den Spam Ordner damit, auch wenn das Problem, dass echte DHL Mails auch ignoriert werden, nicht gelöst ist...

Edit: tja, somit bin ich in Russland wohl mit Vor- u. Nachnamen gelistet Wenn ihr mich fragt, können wir gerne den eisernen Vorhang wieder zu ziehen.




karlikarlkarl

Das ist definitiv SPAM. Nur nicht auf die Links klicken. Packstation fordert niemals zur Verifikation per Mail auf. Diese oder so eine ähnliche Mail hatte ich auch und ich bin garkein Packstation-Kunde, noch war ich jemals einer. Hatte die Mail an DHL mit Quelltext im Anhang weitergeleitet und es wurde bestätigt, dass es sich um Spam handelt.http://www.dhl.de/de/paket/privatkunden/packstation/sicherheitshinweise.htmlmail an phishing[at]deutschepost.de weiterleiten.



Der Link kann kein Phishing sein.

les doch mal den post von jackycraft. es ist spam und die mail ist definitiv nicht von dhl.

solche fragwürdigen maisl immer an phishing[at]deutschepost.de weiterleiten.

bei anderen email ebenfalls an den angeblichen absender, zb paypal. die tun meist was dagegen. Bei DHL sind die phishing seiten immer innerhalb von kurzer zeit offline!

Verfasser

Auffällig ist, dass solch nahezu perfekte Phishing Mails immer die DHL Packstation betreffen. Liegt die "Schuld" auch bei der DHL? Als Spammer würde ich bei solchen Fähigkeiten (fast perfekte Nachahmung, Besitz echter Vor/Namen, Absender-Fälschung s.d. die Abs.Adr. die von der DHL Packstation ist) doch alle mögl. großen Shops ins Programm nehmen. Dann ist auch der skeptischste User überfordert bzw. müssten alle Shopping-Mails als Spam markiert werden. Aber bisher ist nur die DHL Packstation aufgefallen.

karlikarlkarl

les doch mal den post von jackycraft. es ist spam und die mail ist definitiv nicht von dhl.



Les du doch mal meine Posts. Der Link ist definitiv von DHL, die Mail nicht.

Als Absenderadresse kann man bei Mails immer angeben, was man will. Ist keine Kunst. Wenn du dir aber den Mailheader anschaust wirst du sehen, dass die Mail über einen Nicht-DHL-Server kam und eindeutigeren Spam gibt es nicht...

Verfasser

admin77a

Als Absenderadresse kann man bei Mails immer angeben, was man will. Ist keine Kunst. Wenn du dir aber den Mailheader anschaust wirst du sehen, dass die Mail über einen Nicht-DHL-Server kam und eindeutigeren Spam gibt es nicht...

Wo genau? Return-Path oder Message-Id?

Die oberste "Received:"-Zeile...

man konnte auf jeden fall bis vorn paar monaten noch ohne die Packstationskarte Sendungen abholen, daher konnten Betrüger gemütlichst per Rechnung Sachen zur Packstation bestellen und einfach abholen....daher die vielen Phishing Mails....und E-Mail adressen mit korrektem Vor und Zunamen gibts durch immer wieder gehackte Datenbanken zuhauf (jetzt grade auch wieder bei Rewe bekannt geworden...)

man kann echt nur aufmerksam lesen und muss immer sehen, dass man sich auf der tatsächlichen seite befindet -.-

karlikarlkarl

les doch mal den post von jackycraft.


lies

rapidos

Les du doch mal meine Posts.


lies

Verfasser

admin77a

Die oberste "Received:"-Zeile...

wäre in diesem Fall Received: (qmail invoked by alias);
Kannste das mal kommentieren?

Da wäre ich vorsichtig! Besser die Finger von lassen bzw. mal dort anrufen oder kostenlos ne Nachricht über das Kontaktformular verschicken.

Naja, kommt drauf an, wo man surft. Klar kann es Phishing sein. Stellt euch das in einem öffentlichem Netz vor. SSL-Spoofing und eine Man-In-The-Middle Konstellation oder eine Veränderung der Hosts-Datei und keiner merkt was.

Also aufpassen und nicht-verifizierte Zertifikate nicht bestätigen!

Die einfachste Methode, um Spam zu erkennen:
Link zu DHL = E-Mail von DHL
Link zu einer anderen Seite = E-Mail nicht von DHL
...

Verfasser

Könnte mal jemand den Dialog mit admin77a fortsetzen? Er meinte, ein Blick auf den Mail-Header (oberste Receive Zeile) verrät leicht, ob es spam ist. Nun war meine Antwort:

admin77a

Die oberste "Received:"-Zeile...

Für mich lässt sich daran erst mal nichts erkennen.

@sato: Es sind ja 2. Links enthalten, der 1. ging zu DHL, der 2. zu Putin. Man müsste also bei jedem (wichtigen) Link der Mail schauen, wohin er geht

Gemeint war die oberste Received-Zeile, die eine IP-Adresse entält. Poste doch einfach mal den Header und xxxe deine Mailadresse.

Man sollte außerdem JEDEN Link, den man anklickt prüfen, ob er verdächtig ist, bevor man danach persönliche Daten eingibt. Außerdem siehst du auf der dann aufegrufenen Seite ja auch an der URL inkl. dem fehlenden https, dass sie nicht zu DHL gehört...

Verfasser

Hier mal die obere Hälfte (1 Weiterleitung wurde durch mich veranlasst):
Return-Path:
Delivered-To: GMX delivery to ...
Received: (qmail invoked by alias); 19 Jul 2011 19:35:34 -0000
Received: from fmmailgate03.web.de (EHLO fmmailgate03.web.de) [217.72.192.234]
by mx0.gmx.net (mx110) with SMTP; 19 Jul 2011 21:35:34 +0200
Received: from mx36.web.de ( [172.20.2.70])
by fmmailgate03.web.de (Postfix) with ESMTP id A1DB3195CA544
for ; Tue, 19 Jul 2011 21:35:31 +0200 (CEST)
Received: from [87.253.129.172] (helo=phi.visualweb.nl)
by mx36.web.de with esmtp (WEB.DE 4.110 #2)
id 1QjG4p-00034d-00
for ...; Tue, 19 Jul 2011 21:35:31 +0200
Received: by phi.visualweb.nl (Postfix, from userid 33)
id 880AD2D6563; Tue, 19 Jul 2011 21:35:31 +0200 (CEST)
To: ...
Subject: Verlaengern Sie ihre Packstation
From: PACKSTATION
MIME-Version: 1.0

jackykraft

Received: by phi.visualweb.nl



Und daran kannst du erkennen, dass es Spam ist ;).

Received: from [87.253.129.172] (helo=phi.visualweb.nl) by mx36.web.de with esmtp (WEB.DE 4.110 #2)


Heißt: Die Mail wurde an den Server mx36.web.de (= Mailserver von web.de) von der IP 87.253.129.172 übergeben. Der Teil hinter "helo=" ist auch beliebig (dort könnte auch packstation.de/dhl.de stehen; wenn nicht ist es aber definitiv Spam). Mit einer whois-Abfrage über z. B. heise kannst du dann aber auch ganz einfach feststellen, wem die IP gehört und das ist nicht dhl...

Verfasser

ok, versteh aber immer noch nicht, warum die Spammer dann nicht einfach zu allen mögl. Shops sich sowas zurecht zimmern, bsp.sweise mit der Verlockung, dass in meinem Acc ein neuer fetter Gutschein bereit steht. Dann würde doch jeder Zweite das Hirn ausknipsen, na zumindest bei 100 Verlockungen einmal sich fahrlässig einloggen. Beim Verifizieren wird man ja schnell mißtrauisch, aber Aufforderungen zum Einloggen aus welchen Gründen auch immer (z.B. wg. Hinweis, dass sich Bestellungen nun detailliert im Acc. nachlesen lassen...) sind schon schwerer zu durchschauen, da es sie auch von seriösen Shops etc. regelmäßig gibt, ok vielleicht keine Aufforderungen, aber Hinweise auf den Account wg. eines (neuen) Features und ein direkt-Link. Und wenn man dann jeden Link jeder Mail checken muss, ist man einfach aufgeschmissen.
Muss man wohl einfach hoffen, dass sich das nicht zu sehr ausweitet...

naja man kann die gefahr ja einfach umgehen. wenn eine nachricht kommt, dass etwas im account ist klickt man nicht auf den link in der mail, sondern ruft die entsprechende adresse selbst auf. ist jetzt auch nicht allzu umständlich.

Verfasser

Ja hast Recht, war aber zumindest bei mir bis jetzt nicht üblich, jeden Link zu verschmähen, außer bei Bank-Mails... Manche Links sind auch nicht so hübsch wie "seite.de", sondern stressiger aufzurufen ("seite.de/sadfasöfjk3lö...")

Das die Mail von @dhl.de kommt, liegt daran, dass der phisher sich unerlaubt ungesicherte SMTP-Server zu Nutze macht, oder aus dem Ausland bezieht. Jeder mit einem Mail-Server könnte mit @dhl.de senden, aber ein Authentifizierter SMTP Server blockt dies. Dein Hoster hat quasi ne Liste mit den guten Servern. Erstmal wird alles durchgelassen, wenn was auffällt im Bezug auf Spam wird schnell gesperrt und er sucht sich einen neuen SMTPServer.

ThinkSmart

Das die Mail von @dhl.de kommt, liegt daran, dass der phisher sich unerlaubt ungesicherte SMTP-Server zu Nutze macht, ...



Das ist anscheinend dem Thread-Eröffner nicht klar gewesen, aber das eigentlich Interessante daran ist die Frage, woher die Phishing-Emai-Versender den kompletten, richtigen Namen des Email-Empfängers im Zusammenhang(!) mit der Packstation kannten.

DHL selber gibt ja die Antwort:
"Vor einiger Zeit wurde zudem bekannt, dass es eine Sicherheitslücke in einem beliebten Online-Shop-System gab, wodurch mutmaßlich bei über 100 Versandhändlern Kundendaten (wie z.B. eMail-Adressen) erbeutet wurden. Teilweise werden diese eMail-Adressen nun für gezielte Phishing-Mails genutzt."

Das perfide an diesen Phising-Mails ist (habe gerade auch eine erhalten, fast perfekt als Newsletter getarnt), daß meinem Eindruck nach echte Newsletter-Teile und -Nachrichten mit korrekten DHL-Links mit Phising-Texten und -Links gemischt sind! Da hilft nur jeden Link, den man glaubt anklicken zu müssen, sich vorher genau anzuschauen. Und SPÄTESTENS dann, wenn persönliche Daten verlangt werden, abzubrechen.

MHd

Das perfide an diesen Phising-Mails ist (habe gerade auch eine erhalten, fast perfekt als Newsletter getarnt), daß meinem Eindruck nach echte Newsletter-Teile und -Nachrichten mit korrekten DHL-Links mit Phising-Texten und -Links gemischt sind!


Das ist genau das, was Phishing eben ausmacht!

kaufinfo

Zur Zeit wieder:


Zurzeit
Dein Kommentar
Avatar
@
    Text
    Top Diskussionen
    1. Drucker / Scanner Kombi gesucht22
    2. Suche Samsung Galaxy Tab S337
    3. Philips Living Whites Leuchten Adapter 6916531PH45
    4. Micro SD ab 64 Gb gesucht dringend HELP!11

    Weitere Diskussionen