Betrug: dhl-paketmarken.com (2)

Nachdem ich mich gestern bei dhl-paketmarken.com registriert habe (natürlich ohne etwas zu bestellen), erhielt ich – neben anderern – heute folgende kurze E-Mail, die im Vergleich zur gefälschten Web-Seite dürftig ist.

Guten Tag, Sie wurden in unserem Geschäft registriert. Kann ich Ihnen etwas helfen?
Auf unsere Webseite war der Angriff vollkommen. Wir haben es auf die neue Adresse verlegt, und Sie können jetzt hier kommen – http://dhl-packetmarken.com
Dank.

Dhl paketmarken

Diese E-Mail wurde nicht von dem Server unter dhl-paketmarken.com sondern von einem Rechner mit einer dynamischen IP-Adresse verschickt.

Betrug: dhl-paketmarken.com

Startseite der DHL Paketmarken
Startseite der DHL Paketmarken
Bei der Seite dhl-paketmarken.com (IP: 91.220.131.32) handelt es sich um ein sehr gut gemachte Betrugsseite, die auf einem russischen Server liegt. Die Domain wurde vor etwa drei Monaten wie üblich anonym registriert.

Auf der Seite dhl-paketmarken.com kann das Opfer Paketmarken von DHL zusammenstelln, bestellen und bezahlen, über die DHL sich sicher sehr wundern wird. Dazu haben die Betrüger einen Warenkorb im Stil der DHL Seiten geschaffen. Ich habe mir nicht die Mühe gemacht, den kompletten Bestellvorgang nachzuvollziehen. Aber die Eingabe einer beliebigen Adresse und eines Paswortes reicht, um sich zu registrieren.

Ein aufwändigerer Versuch die Leute zu betrügen, ist mir bisher nicht begegnet.

„Betrug: dhl-paketmarken.com“ weiterlesen

Betrug mit Warenbestellungen


Warnung Betrug
In mehreren Artikeln habe ich über die MS-Transporte Schwab und über Loy-Transporte geschrieben.[1] [2]

In den letzten Tagen häuften sich die Suchtreffer nach MS-Transporte Schwab auf dieses Blog. Ein sicheres Zeichen für ein gesteigertes Interesse an diesem Thema. Frage: Warum?

Lange hatte ich auf einen Kommentar zu diesem Thema gewartet und fand endlich jemanden, der ein Arbeitsangebot angenommen hat. Allerdings ist noch kein weiterer Kontakt zustanden gekommen. Dafür hat mich jemand anderes angerufen und mir den Arbeitsvertrag und weitere Informationen zukommen lassen, so dass ich einen Teil meines Verdachtes belegen und das Vorgehen der Betrüger rekonstruieren kann.

Rekonstruktion des Ablaufes

„Betrug mit Warenbestellungen“ weiterlesen

  1. [1]MS-Transporte Schwab vom 24.03.2013, 08.04.2013
  2. [2]Loy Tranporte Team 07.01.3013

Trojaner: Deutsche Post. Sie mussen eine Postsendung abholen

Deutsche Post. Sie mussen eine Postsendung abholen #G2TR82V094
Lieber Kunde,Es ist unserem Boten leider misslungen einen Postsendung an =
Ihre Adresse zuzustellen.Grund: Ein Fehler in der Leiferanschrift.Sie kon=
nen Ihre Postsendung in unserer Postabteilung personlich kriegen.Anbei fi=
nden Sie einen Postetikett.Sie sollen dieses Postetikett drucken lassen, =
um Ihre Postsendung in der Postabteilung empfangen zu konnen.Vielen Dank!=
Deutsche Post AG.

Kam gerade wieder frisch rein.

Wie üblich enthält die Mail einen ZIP-Anhang mit dem Trojaner.

Finger weg vom Anhang

SPAM: DHL Tracking Notification ID: …

Zur Zeit versuchen es die Trojaner wieder mit DHL Tracking oder Shipment Benachrichtigungen. Die Adressierung erfolgt wieder über Blind-kopie, was bei nur einem Empfänger sehr sinnvoll ist. Die Betreff Zeile verfügt über eine – scheinbar – individuelle ID und die Tracking Number ist in jeder Mail eine andere. Auch die Anhänge haben unterschiedlichen Nummern. In der Zip-Datei ist stets eine ausführbare Datei World-Parcel-Express-Details.exe enthalten, die mal wieder nicht von clamav erkannt wird. Zwischen den einzelnen Nummern (Betreff, Tracking Number, Zip-File) haben keine auf den ersten oder zweiten Blick erkennbare Ähnlichkeit.

Die Prüfung bei Virustotal findet sich hier.

  SHA256: 	bc30998323b291f152a5f2bd3c682b9105087859cfec8d30bdfcf83f6f4d1778
  File name: 	World-Parcel-Express-Details05_2012-8FIRF1EX67968.zip
  Detection ratio: 	22 / 35
  Analysis date: 	2012-05-16 20:55:01 UTC ( 2 Minuten ago ) 

Leiber Spammer,
die Formatierung des Text und des HTML-Teiles ist dürftig und bedarf dringend der Verbesserung.