Neue Packstation Phishing-Mail mit korrekter Postnummer

45
eingestellt am 14. Jun 2012
Ich habe gerade eine Phishing-Mail am meine bei DHL registrierte Adresse mit dem Betreff "Bitte verifizieren Sie ihre Packstation mit der Postnr: X" geschickt bekommen, wobei sogar die korrekte Postnummer angegeben ist. Mein Name kommt in der Mail allerdings nicht vor.
Wurde die Mail auch an andere Packstation-Kunden verschickt? Ich befürchte, dass DHL selber Teile ihrer Daten abhanden gekommen sind. Wäre ein Händler betroffen, dann wäre auch meine Adresse und mein Name aus der Rechnungsanschrift bekannt.
Zusätzliche Info
45 Kommentare

Ja, kam bei mir auch. Korrekt hinterlegte Mailadresse und Postnummer.

Ich sehe drei Möglichkeiten:
1. Datenklau bei DHL/Post
2. Datenklau bei einem Händler (aber der einzige Händler, bei dem ich diese Kombination verwende, ist Amazon. Bei allen anderen Händlern nutze ich meine Spam-Mailadresse.)
3. Datenklau durch mitgelesene Mails/Online-Bestellungen (hier können wieder nur Amazon-Mails bzw. Bestellungen abgefischt worden sein, s.o.)

Ich habe bei DHL angerufen und die haben mich gebeten, die Mail an info@packstation.de weiterzuleiten. Sollten vielleicht alle Betroffenen machen, damit die das Problem auch ernst nehmen.

Ich hab meine an phishing@deutschepost.de geschickt. Die ganze Phishing-Mail ist ziemlich gut gemacht und enthält scheinbar Anteile eines echten DHL-Newsletters: "Diese E-Mail erhalten Sie, weil Sie sich mit der Email-Adresse x@y.de (echte Adresse) für den Empfang des Newsletter eingetragen haben.". Amazon läuft bei mir übrigens über eine andere Mail-Adresse.

Damit würde Amazon als Basis für den Datenklau wegfallen. Das mitlesen von Mails und Online-Bestellungen wäre ebenso unwahrscheinlich. Bleibt als wahrscheinlichste Ursache ein Datenklau bei DHL. Aua, da sollte man dann doch ein wenig Druck machen, damit das geprüft wird.

Die Mail ist im Prinzip gut gemacht, DHL-Logos und Banner, ein paar Werbetecte unten drunter etc. Wahrscheinlich von einem DHL-Newsletter geklaut. Allerdings sind einige Rechtschreibfehler drin und der markanteste Fehler ist die Frist für die "Verifizierung - der 01.06.2012. Trotzdem - da werden wohl einige drauf reinfallen.

Der zentrale Teil der mail:


Sehr geehrter Packstation Kunde mit der Postnummer:xxxxxxx ,Wie Sie … Sehr geehrter Packstation Kunde mit der Postnummer:xxxxxxx ,Wie Sie vielleicht schon aus dem Newsletter erfahren haben, sind wir stets bemüht unseren Service immer sicherer zu gestalten. um dieses Ziel zu erreichen, setzen wir nun auf die Fraud Prävention Suite, mit der Fraud Prävention Suite etabliert die Deutsche Post AG eine Weiterentwicklung in Ihrer Risikomanagement-Produktlinie. Anhand einer verfeinerten Analytik fließen nun Betrugsmuster, die bei der elektronischen Online-Bestellsabwicklung automatisiert erkannt werden, direkt in Regelwerke zur Bekämpfung von Betrug im internationalen E-Commerce ein. Leider wurde bei ihnen ein Fremdzugriff festgestellt, um Ihre Sicherheit zu gewährleisten bitten wie Sie ihre Packstation unverzüglich zu verifizieren, Dies können Sie hier tun: Jetzt VerifizierenWICHTIGER HINWEIS! Wir möchten Sie bitten, Ihre Daten bis spätestens 01.06.2012 Online zu verifizieren, da unser System Ihren PACKSTATION-Zugang sonst aus Sicherheitstechnischen Gründen deaktivieren wird.Dirk SebastianMarketing DHL Marktkommunikation


+1

Hab meine PostNummer lediglich bei ebay hinterlegt (gehabt, bis eben), aber schon lange nicht mehr benutzt. Bin mal auf die Antwort von DHL gespannt.

Die gleiche Mail ich auch gerade bekommen, Nachricht an DHL ist raus.

Hatte ich 2011 auch schon einmal erhalten und einfach ignoriert... Hab' es einfach drauf ankommen lassen.

hab ich auch bekommen, aber in der kombi email adresse und postnummer gibts das nur bei amazon und bei packstation.de überall wo ich die nummer sonst verwendet hab hab ich ne andere email genutzt

hab ich auch heute 23:17 Uhr bekommen. Auch in Kombination Postnummer und Mailadresse. Ich habe die Mail auch weitergeleitet an pishing@deutschepost.de

kundensicherheit-online.com Registry Whois
Updated 1 hour ago - Refresh
Domain Name: KUNDENSICHERHEIT-ONLINE.COM
Registrar: CENTER OF UKRAINIAN INTERNET NAMES
Whois Server: whois.ukrnames.com
Referral URL: ukrnames.com
Name Server: NS1.KUNDENSICHERHEIT-ONLINE.COM
Name Server: NS2.KUNDENSICHERHEIT-ONLINE.COM
Status: ok
Updated Date: 24-may-2012
Creation Date: 24-may-2012
Expiration Date: 24-may-2013
kundensicherheit-online.com Registrar Whois
Updated 1 hour ago
Service Provided By: Center of Ukrainian Internet Names
Website: ukrnames.com
Contact: +380.577626123

Domain Name: KUNDENSICHERHEIT-ONLINE.COM

Creation Date: 24-May-2012
Modification Date: 24-May-2012
Expiration Date: 24-May-2013

Domain servers in listed order:
ns1.kundensicherheit-online.com
ns2.kundensicherheit-online.com

Registrant:
Olga Golubeva @yandex.ru
ul. Pushkina 98 56
Barnaul, 656000
RUSSIAN FEDERATION
+7 3852 5467812


Billing Contact:
Olga Golubeva @yandex.ru
ul. Pushkina 98 56
Barnaul, 656000
RUSSIAN FEDERATION
+7.38525467812


Administrative Contact:
Olga Golubeva @yandex.ru
ul. Pushkina 98 56
Barnaul, 656000
RUSSIAN FEDERATION
+7.38525467812


Technical Contact:
Olga Golubeva @yandex.ru
ul. Pushkina 98 56
Barnaul, 656000
RUSSIAN FEDERATION
+7.38525467812

+1 (ebenso ebay, Amazon und natürlich DHL selbst)



IT-Sicherheitsvorfall NR: BR01196230 Erfassung der Phishingseite


Sehr geehrter Kunde,

vielen Dank für Ihre E-Mail und die darin enthaltene Information.

Wir haben Ihre Nachricht analysiert und möchten Ihnen mitteilen, dass es sich hierbei um eine Phishing-Mail /einen Phishing-Link handelt. Zweck dieser E-Mail ist es, Ihre Daten für die Packstation für illegale Zwecke zu missbrauchen.
Dabei handelt es sich tatsächlich um gezielte Betrugsversuche, die sich jedoch nicht ausschließlich auf Deutsche Post DHL beziehen, sondern inzwischen vermehrt in allen Bereichen des Internet vorkommen.
Wir haben Ihre Information an die Abteilung Konzernsicherheit zur Weiterverfolgung übergeben.

Beachten Sie bitte, dass das PACKSTATION Service Center Sie niemals per E-Mail, postalisch oder telefonisch auffordern wird, Ihre persönlichen Daten, wie z.B. die Geheimzahl, weiterzugeben.

Sollten Sie bereits auf eine so genannte Phishing - Attacke reagiert haben, kontaktieren Sie umgehend unser Service Center 0 1803 / 365 365 (0,09 Euro pro angefangene Minute aus den deutschen Festnetzen; höchstens 0,42 Euro pro angefangene Minute aus den deutschen Mobilfunknetzen).

Mit freundlichen Grüßen

Deutsche Post Customer Service Center GmbH
Morellstr. 33
86159 Augsburg
Deutschland


Deutsche Post Customer Service Center GmbH; Sitz Monheim am Rhein; Amtsgericht Düsseldorf; HRB 50207

Geschäftsführung: Jens Reichenbach, Falk-Henning Arndt, Herbert Otto

Dies ist eine Nachricht der Deutsche Post Customer Service Center GmbH und kann vertrauliche, firmeninterne Informationen enthalten. Sie ist ausschließlich für die oben adressierten Empfänger bestimmt. Sind Sie nicht der beabsichtigte Empfänger, bitten wir Sie, den Sender zu informieren und die Nachricht sowie deren Anhänge zu löschen. Unzulässige Veröffentlichungen, Verwendungen, Verbreitung, Weiterleitung sowie das Drucken oder Kopieren dieser Mail und ihrer verknüpften Anhänge sind strikt untersagt.

Bitte denken Sie über Ihre Verantwortung gegenüber der Umwelt nach, bevor Sie diese E-Mail ausdrucken!


Ich hab die Mail jetzt nochmal an die Verbraucherzentrale NRW weitergeleitet, vielleicht erreichen die bei DHL mehr als wir.

Ich habs auch gerade bekommen und ich muss sagen das ist bisher die beste Phishing mail und ich bin ganz froh das ichs nochmal überprüft habe.

Seid ihr alle bei meinpaket.de und paket.de (inkl. Prämienprogramm) registriert?

Ihr solltet als Vorsichtsmaßnahme euer sog. Internet-Passwort (und evtl. die Sicherheitsfrage) ändern. Das ist bei mir sowohl der Login für die Internetseite der Packstation (paket.de) als auch für meinpaket.de. Die Änderung auf einer der Seiten wirkt für beide Seiten. Die Vorgaben für das Passwort werden lustigerweise nur bei paket.de angezeigt (min. 8 Stellen, max. 13 Stellen, min. 1 Großbuchstabe, min. 1 Kleinbuchstabe, min. 1 Zahl aber nicht am Anfang des Passworts, Sonderzeichen nicht alle erlaubt).

Toll, hab auch gerade dieselben Textbausteine von DHL bekommen wie dictamnus. Keine Reaktion auf meine Nachfrage, wie der/die Phisher an meine PostNummer geraten konnte/n. Dann wenden wir uns eben an die Presse

Ist vielleicht jemand bei Heise Security angemeldet? Die dürften sich auch für so etwas interessieren.

Ah, jetzt wird's konkreter:

"(...) Uns wurde bekannt, dass Shopsysteme von Onlinehändlern auf Basis XT-Commerce entsprechende Sicherheitslücken aufweisen. Auch wurde uns bekannt, dass es in der Vergangenheit eine Sicherheitslücke innerhalb der JTL Shop2-Systeme gab. Über diese Lücken können Angreifer bei Onlineshops die diese Systeme benutzen Kundendaten abgreifen, welche dann direkt für Phishing missbraucht werden. Bitte haben Sie Verständnis, dass wir keine Angaben zu Onlineshops und Versandhäusern geben können."

In meinem Fall wurden die Daten dann wohl von (einem) an ebay angeschlossene/m System/e abgegriffen.

Ich habe dieselbe Mail bekommen...allerdings sogar mit Datum 01.07.

Die Frage ist, ob das Abgreifen der Daten erst kürzlich erfolgt ist. Habe nämlich just vor ein paar Tagen etwas bei einem Händler gekauft, der das
XT-Commerce System benutzt....

Ich habe mal eine Info an Heise Security angesetzt...

Heute um 14.30 die Mail bekommen. Jetzt haben sie es auf 01.07 geändert...

WICHTIGER HINWEIS! Wir möchten Sie bitten, Ihre Daten bis spätestens 0 … WICHTIGER HINWEIS! Wir möchten Sie bitten, Ihre Daten bis spätestens 01.07.2012 Online zu verifizieren, da unser System Ihren PACKSTATION-Zugang sonst aus Sicherheitstechnischen Gründen deaktivieren wird.

Stoltenberg

"(...) Uns wurde bekannt, dass Shopsysteme von Onlinehändlern auf Basis … "(...) Uns wurde bekannt, dass Shopsysteme von Onlinehändlern auf Basis XT-Commerce entsprechende Sicherheitslücken aufweisen. Auch wurde uns bekannt, dass es in der Vergangenheit eine Sicherheitslücke innerhalb der JTL Shop2-Systeme gab.


Ich glaube immer noch nicht an irgendeinen Shop. Dann hätten die ja auch zumindest den Namen abgegriffen. Und wie gesagt - die Mailadresse verwende ich außer für DHL (Packstation und MeinPaket) nur für Amazon. Wollen wir hoffen, dass Heise oder andere da etwas tiefer bohren können.

Die Verbraucherzentrale NRW hat die Warnung zumindest schon auf Ihre Webseite genommen: Klick mich.

Und Heise hat auch reagiert - die kommen wenigstens direkt bis zur Pressesprecherin durch, auch wenn die Schuld auf die Online-Shops schiebt.


Ich bin kurz davor meine Packstation-Karte zu kündigen. Was ist denn das für eine Informationspolitik? Es wurden offenbar Kundendaten entwendet und man erfährt erst NACH einer Phishing-Mail mit den Daten auf Nachfrage davon. Wo die Daten genau entwendet wurden, will man auch nicht konkret verraten. Das gibt es doch nicht!

Bei mir das gleiche, auch mit der richtigen Postnummer. Amazon allein muss nicht das Datenleck sein; wenn man wie ich vor drei Tagen über dem Amazon-Marketplace ordert und an seine Packstation bestellt, dann landet ja der eigene Name, die Postnummer, die Nummer der gewünschten Paketstation und die Postleitzahl derselben bei dem Marketplace-Handler, damit der die Order ausführen kann. Wenn dessen System nun Lücken hat, wars das.
Bei mir ist der zuletzt verwendete Handler übrigens okluge.de gewesen. Vielleicht war das nur ein zeitnaher Zufall, oder habt Ihr da auch bestellt?

Ich hatte damals ne uralt adresse verwendet zur registrierung bei DHL und bis heute kommt der phising scheiss auf diese adresse
die kennt kein einziger händler... aber das ignoriert dhl großzügig
so idiotisch wie die mit dem thema IT sicherheit umgehen (ich sag nur passwortrichtlinien zw. packstation.de, paket.de, paketundpunkt) werden die es nichtmal mitkriegen wenn daten hops gehen

Ich hab schon vor ewigen Zeiten Phishing-Mails ausschließlich an die echte Adresse geschickt bekommen und zumindest einen gewissen Verdacht, dass DHL schon damals Daten abhanden gekommen sind. Die Postnummer war aber nie betroffen.

Ich habe die Phising-Mail auch bekommen und ich habe die packstation nur einmal verwendet und das war bei meinpaket.de. Bei weiteren Händlern habe ich die Packstation nie verwendet, jedoch sind die Daten offenbar alt. Ich habe das Konto der Packstation schon längst gelöscht......

lounge7

Bei mir das gleiche, auch mit der richtigen Postnummer. Amazon allein … Bei mir das gleiche, auch mit der richtigen Postnummer. Amazon allein muss nicht das Datenleck sein; wenn man wie ich vor drei Tagen über dem Amazon-Marketplace ordert und an seine Packstation bestellt, dann landet ja der eigene Name, die Postnummer, die Nummer der gewünschten Paketstation und die Postleitzahl derselben bei dem Marketplace-Handler, damit der die Order ausführen kann. Wenn dessen System nun Lücken hat, wars das. Bei mir ist der zuletzt verwendete Handler übrigens http://www.okluge.de gewesen. Vielleicht war das nur ein zeitnaher Zufall, oder habt Ihr da auch bestellt?



Ich habe die Mail heute ebenfalls erhalten - und am Sonntag über Amazon bei okluge.de (und anderen) bestellt...
Werde mich morgen mal dort melden!

Ich hab nie bei okluge.de bestellt und Amazon kennt auch nicht die Mail-Adresse, an die ich die Phishing-Mail erhalten habe.

Im Heise-Forum behaupten mindestens 3 Leute, dass sie Packstation nie genutzt haben und trotzdem diese Mail erhalten haben. Es sieht immer mehr nach DHL als Ursache des Datenlecks aus.

Ich habe meine Packstation auch noch nie benutzt ...

Kann aktuell nichteinmal überprüfen ob die Nummer stimmt :D, jedoch auch die Spammail bekommen

Bie mir ist die Mail auch angekommen. PostNummer stimmt und ich hab meine Packstation noch nie genutzt. Echt krass...

habe heute eine Mail mit der richtigen Postnummer erhalten.
Ganz unten allerdings im Bereich: "Diese E-Mail erhalten Sie, weil Sie sich mit der Email-Adresse xxxx@gmx.de für den Empfang des Newsletter eingetragen haben." ist eine falsche Email-Adresse anegeben.

Bei mir heute das gleiche. Obwohl ich ein alter Hase im Internet bin , wäre ich fast darauf reingefallen. Das ist ja sowas von professionell gemacht, vor allem wenn man müde und halb betrunken von einer Party kommt.

3 mal DSL hintereinander. Auftrag bestätigt, Ware versendet und danach bitte verifizieren, sonst können sie ihre Ware nicht abholen Da kommt normal wirklich kein Mensch darauf, dass es fake ist, wenn dann noch die richtige Postnummer dabei steht. Trotzdem war ich zum Glück vorsichtig.

Besteht eigentlich eine Gefahr, wenn die Betrüger, die Postnummer kennen oder nicht ??
Reicht schon das Anklicken der linkseite um sich irgendeinen Virus einzufangen.

Meine letzten Bestellungen waren auch amazon und meinpaket. Für was habe ich einen spamfilter, wenn er nicht einmal diese mail erkennt.
Bin stinkesauer!!!





Heute scheint ein guter Tag zu sein, ich hab eben auch diese Mail bekommen und muss meinem Vorredner zustimmen, ich kenne mich wirklich gut aus, aber diese Mail setzt neue Maßstäbe... fast perfekt (Fehler lediglich die falsche Mailadresse ganz unten) und deswegen ziemlich gefährlich.

Eine gute (für mich) und eine schlechte Nachricht (für viele andere). je nachdem.

Die phishing seite enthält keine malware oder sonstige Schadsoftware, falls sich nicht noch ein ganz unbekannter "Freund" versteckt. Soeben mit URLvoid und scanurls geprüft.

Schlecht für die welche ihre Daten eingegeben haben, denn so werden sie nicht vor der Seite gewarnt.

Schaut sie euch am besten mit einem proxy einmal an. Sicher ist sicher.
China würde vor Neid verblassen.
xxxx://xxx.packstatlon-de-sicherheit.ru/ver…fi/
(das .ru ist versteckt dargestellt)
Wie ihr die x ersetzt, solltet ihr ja wohl wissen.


Heise Security ist super. Gleiche Mail, meine Postnummer ist 100%ig lediglich bei Amazon bekannt! Zusammen mit der Angabe von Stoltenberg (nur ebay) bleibt nur noch Datenklau bei DHL!

Das DHL so eine Meldung weitergibt oder launcht ist ja legitim. Passt nur leider in meinem Fall nicht.

Ich habe schon wieder eine Mail mit korrekter Nummer bekommen. Die Texte werden immer besser! Anscheinend wissen die in Russland genau über die neue PS-Software mit TAN-Unterstützung bescheid.

Sehr geehrter Packstation-Kunde mit der Postnummer:XXXXXXXXvielen Dank … Sehr geehrter Packstation-Kunde mit der Postnummer:XXXXXXXXvielen Dank für die Nutzung des PACKSTATION Service. Bislang mussten wir Sie leider noch nicht dazu Auffordern, Ihre Packstation zu verifizieren.Da wir sehr auf die Sicherheit unserer Kunden bedacht sind, ist dieser Schritt notwendig. Wie Sie vielleicht Wissen,steht der PACKSTATION Service stark im Fokus der Cyberkriminellen.Um unseren Kunden den bestmöglichsten Schutz zubieten,entwickeln wir unseren Service immer weiter,Wirfreuen uns Ihnen ab den 1.08.2012 unser SMS-TAN verfahren vorzustellen,wodurch die Verwendung einer Goldcard nichtmehr vonnöten ist.Aus diesen Grund bitten wir Sie ihre Daten zu Bestätigen:

Dein Kommentar
Avatar
@
    Text

    Top Diskussionen

    Top Diskussionen

    Top-Händler