Paypal Phishing

    Ich bekam heute eine Mail mit dem Begriff "PayPal aktualisiert die AGBs". Thunderbird warnte schon, dass es Phishing-verdächtig sei. Die Mail enthält eine Menge Text, sieht sehr professionell aus und fordert nirgendwo zum Einloggen auf. Aus Neugier habe ich mal in der Mail auf den Link "Online lesen" geklickt um zu sehen, wie professionell die Webseite gemacht ist. Der Link in der Mail verwies auf eine Seite auf https://email-edg.paypal.com von wo direkt auf eine andere Seite auf https://view.paypal-communication.com umgeleitet wurde. Das war schon mal verdächtig. Jedoch zeigte der Firefox dann vor der Adresse das Paypal-Zertifikat an - dieses verschwand jedoch nach einigen Sekunden wieder!


    Nun wurde mir mulmig. Wie gesagt, ich habe nirgendwo etwas eingegeben. Trotzdem habe ich die Seite dann geschlossen und mich auf der richtigen paypal.de-Seite auf mein Konto eingeloggt und dort das Passwort geändert. Man wird wie üblich aufgefordert, das neue Passwort 2x einzugeben und dann sendet man die Änderung. Nun geschah etwas, was ich noch nie erlebt habe: Es öffnete sich ein kleines Firefox-Fenster, dass mich fragte, für welche der angezeigten email-Adressen das neue Passwort gelten solle. Es wurden korrekt beide bei Paypal für mein Konto registrierten email-Adressen angezeigt!


    Ich war so blöd und habe eine der beiden Adressen bestätigt, statt gleich abzubrechen. Das paypal-Passwort war dann auch geändert. Jedoch konnte ich mich mit dem neuen Passwort auch unter der zweiten email-Adresse, die ich vorher nicht ausgewählt hatte anmelden. Ist m.E. auch logisch, denn es kann für ein und dasselbe Paypal-Konto ja eigentlich keine zwei verschiedenen Passwörter geben.


    Nun ja, ich habe dann in einem anderen Browser das Passwort nochmal geändert, und da kam auch kein Auswahlmenü der email-Adressen mehr.


    Ich habe das ganze schon an spoof@paypal.com gemailt.


    Bei mir bleibt jetzt das ungute Gefühl, dass alleine das Laden der Phishing-Seite meinen Firefox manipuliert hat. Wie werde ich das am besten wieder los? Ich würde ungerne meine ganzen Cookies und gespeicherten Passwörter verlieren.


    Ich habe zwar schon allerlei wilde Geschichten gehört, aber das so etwas real auch mir unter Linux passieren könnte, hätte ich nicht gedacht.

    VDR1: ACT-620, Asus P8B75-M LX, Intel Core i3-3240, 4 GB DDR3 RAM 1600 MHz, passive Geforce GT1030 von MSI, Sandisk 2TB SSD, 2xWinTV DualHD, Atric-IR-Einschalter. SW: Xubuntu 20.04 auf 64GB Sandisk SSD.

    VDR2: Odroid N2+ mit CoreELEC und Ubuntu in chroot, WinTV DualHD

    VDR3: Tanix TX3 mit CoreELEC und Ubuntu in chroot, WinTV DualHD

    Ich hab letztens Spam bekommen, in der ich korrekt mit Vornamen + Nachnamen angesprochen wurde in der Anrede, ich sollte einen Link anklicken um dort mein PW zu ändern wg. eines festgestellten Betrugversuchs. Die Adresse wo der Link hinging sah auch eig. ganz gut aus. Aber in solchen Fällen googelt man ja auch Ausschnitte der kompletten Mail, dann weiss man schnell was Sache ist.


    Ich schlage vor, von anderem Rechner / Live-CD nochmals das/alle PWs ändern. Und wenn DU schon verdacht hegst (als nicht-DAU)... Format C:\ :).

    Hallo,


    ich habe die Mail auch bekommen und denke, dass Sie echt ist. Schaut man sich den Mailheader genauer so steht folgendes drinnen:

    Code
    Authentication-Results: radon.42degreesoffreedom.com (amavisd-new);
	dkim=pass (1024-bit key) header.d=e.paypal.de
Received: from outbound.emea.e.paypal.com (outbound.emea.e.paypal.com [96.47.30.222])
	by mein mail server.com (Postfix) with ESMTP id 3AA4B40009F for <meine mail@domain.de>; Tue, 18 Nov 2014 10:57:38 +0100 (CET)


    Die Mail scheint also direkt von einem Paypal Mailserver zu kommen und hat zudem einen validen DIKIM Header.
    Schaut man sich nun noch die WHOIS Einträge für paypal.com und paypal-communication.com an, sind diese Identisch:
    http://whois.domaintools.com/paypal.com
    http://whois.domaintools.com/paypal-communication.com
    Würde mir also keine sorgen machen, die Mail scheint kein Fake zu sein.



    Gruß,
    Markus


    Edit: Wohl wirklich kein Fake, siehe:
    http://www.mimikama.at/allgeme…al-aktualisiert-die-agbs/

    Moin Moin,


    nachdem das Kind mehr oder minder schon in den Brunnen gefallen ist wuerde ich folgendes tun:
    1. von einem Alternativ Rechner oder einer live cd mich in meinen Paypal Account einloggen und die bestehenden Karten und Kontodaten loeschen. Das ist eine voruebergehende Massnahme um eventuellen Missbrauch zu verhindern. Paypal funktioniert auch noch weiterhin nur das man erst das Geld an Paypal ueberweisen muss.
    2. Sicherheitsschluessel bestellen und Konto auf Zwei Factor Auth umstellen.
    3. Wenn der Key da und aktiv ist die Karten und Konten wiederrein nehmen.


    Checken wie alt mein letztes Backup ist und eine Ruecksicherung in betracht ziehen.
    Wenn nicht den profile ordner verschieben. Firefox legt dann ein neues Profil an. Die Cookies und Passwoerter kann man dann aus dem alten Profil rueber kopieren. Die genauen Dateienamen habe ich jetzt nicht parat aber die sind auf den Mozillaseiten dokumentiert.


    1.5.2-1devel1 Kernel : 2.6.12-rc4-ct-2
    FF TT Rev.1.6 + Nova-S SE
    Quis custodiet ipsos custodes?
    VDR#1364

    Da es wohl kein Fake war muss er erstmal garnichts tun.


    Solange man auf Seiten, die in einer Phising-Mail verlinkt sind, nur "guckt" und keine sensiblen Daten eingibt kann normalerweise auch nichts passieren. Durch Gedankenübertragung können Webseiten (noch?) keine Passwörter ausspähen und das Übernehmen einer offenen PayPal-Sitzung verhindert die sogenannte "Same Origin Policy". Denkbar wäre aber durchaus, dass bösartige Webseiten versuchen bei der Gelegenheit über Sicherheitslücken irgendwelche Trojaner oder ähnliches zu "installieren". Das Einfallstor ist da eher selten der Browser (die "modernen" werden allesamt sehr zeitnah mit Patches versorgt) sondern meist Plugins. Ratsam ist deshalb die Menge an Plugins im Browser auf einem absoluten Minimum zu halten und ggf. diese auch nur "per Klick" aktivieren zu lassen. Java ist zum Beispiel so ein Kandidat. Mag ja sein, dass man es für irgendeine in Java geschriebene Software braucht. Im Browser hat es heutzutage aber in aller Regel nichts mehr verloren und sollte deshalb dort deaktiviert werden.

    Es gibt inzwischen eine Rückmeldung von Paypal.


    Zitat

    Guten tag
    ich danke Ihnen, dass Sie uns auf eine betrügerische E-Mail aufmerksam
    machen.
    Durch Ihre Hilfe können wir unser System noch sicherer gestalten. Die
    betrügerische E-Mail kann von Ihnen gelöscht werden.


    Danach kommen nur nich Textbausteine.

    VDR1: ACT-620, Asus P8B75-M LX, Intel Core i3-3240, 4 GB DDR3 RAM 1600 MHz, passive Geforce GT1030 von MSI, Sandisk 2TB SSD, 2xWinTV DualHD, Atric-IR-Einschalter. SW: Xubuntu 20.04 auf 64GB Sandisk SSD.

    VDR2: Odroid N2+ mit CoreELEC und Ubuntu in chroot, WinTV DualHD

    VDR3: Tanix TX3 mit CoreELEC und Ubuntu in chroot, WinTV DualHD

    Bei Paypal scheint der eine auch nicht zu wissen was der andere macht
    Heute morgen kam zum gleichen Vorgang nochmal eine weitere Antwort, diesmal mit gegenteiliger Aussage


    Zitat

    Sie teilen uns mit, dass Sie eine E-Mail erhalten haben und Sie nicht
    sicher sind, ob diese von uns versendet wurde. Die E-Mail wurde von uns
    versendet und es geht keine Gefahr von dieser E-Mail aus.


    ?(

    VDR1: ACT-620, Asus P8B75-M LX, Intel Core i3-3240, 4 GB DDR3 RAM 1600 MHz, passive Geforce GT1030 von MSI, Sandisk 2TB SSD, 2xWinTV DualHD, Atric-IR-Einschalter. SW: Xubuntu 20.04 auf 64GB Sandisk SSD.

    VDR2: Odroid N2+ mit CoreELEC und Ubuntu in chroot, WinTV DualHD

    VDR3: Tanix TX3 mit CoreELEC und Ubuntu in chroot, WinTV DualHD

    Sicher dich einfach dadurch ab dass du jede Transaktion mit einem Code bestätigen musst der per SMS gesendet wird. Finde ich ziemlich safe denn ohne Handy geht dann nix.


Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden