[vgwort line=“20″ server=“vg08″ openid=“7c08867f4ee2449b8212d4061d74bd4d“]
Gestern hatte ich kurz vor einer arglistigen oder betrügerischen(fraudulent)[ref]Englisch: fraudulent; fraud = Betrug oder Betrüger …[/ref] E-Mail [ref]Siehe „Postbank — Wichtig! — Nein, gewiss nicht!“[/ref] gewarnt. Dies ist die Variante der „Chase Account Update Phishing Mails“ für deutsche Postbankkunden.
Schaut man sich die Mail genau an – im HTML-Format – fällt auf, dass an Stelle der deutschen Umlaute kyrillischen Zeichen erscheinen. Dies liegt daran, dass der als Content-Type: text/html; charset=“Windows-1251″[ref]Siehe Wikipedia Windows-1251[/ref] angegeben ist. Die 1251 steht dabei für kyrillisch. Um für deutsche Postbankkunden die Umlaute richtig anzuzeigen, muss hier 1252 stehen. Die Mail wurde von einem – vermutlich kompromittierten – Rechner in Amerika verschickt.
In der HTML-Ansicht scheinen die Links auf einen Server der Postbank zu zeigen – ein alter und immer noch beliebter Trick. Versuchen Sie es mal hier: https://banking.postbank.de/rai/login (Auch eine schöne Seite, aber bitte nicht zu lange weg bleiben, wiederkommen und weiter lesen.)
In der Text-Ansicht wird der Trick sichtbar:
Ausschnitt:
Login :<BR> <A href="http://mail.thephx.com/banking.postbank.de/">https://banking.postbank.de/rai/login</A>
Ein Klick auf den Link in der Mail führt zu einem Server mail.thephx.com und nicht zum Server der Postbank. Einen Screenshot der Seite sehen Sie am Anfang dieses Beitrages. Die IP-Adressen der Rechner gehören zu großen Netzen nord-amerikanischer Provider. Mehr habe ich noch nicht herausgefunden. „The Phonix“ ist ein historischer „Gentleman‘ Club“. Warum in deren Namensraum ein Eintrag auf den Server mail.thephx.com (IP:69.61.181.2) existiert? Gute Frage.
Interessant ist das Ergebnis von McAfee zur Seite: http://www.siteadvisor.com/sites/mail.thephx.com
Sicherer surfen? Ja. Sicher surfen? Nein! Ich habe mich dort jetzt als Site Reviewer angemeldet.
Bei dem „Chase Account Update“-Betrug wird die Mail über eine Domain recommendedinns.com (IP:173.224.213.145) verschickt, die zur Seite http://www.recommendedinns.com/ führt. Der Web-Server und der Names-Server liegen auf der gleichen IP-Adresse. Warum der Server die Mails weiter leitet? Vielleicht ist er als offener Relay-Host konfiguriert?
Anmerkung: Wer keine kyrillisch schreibenden E-Mail Partner hat, der hat mit dem Charakter Set Windows-1251 einen guten Spam Indikator.
Schluss für heute.
Toll gemacht, und interessante Sachen hast Du da zusammengetragen. Ich finde, man sollte nicht bei Aufklärung der Nutzer und Bloßstellung der Gangster belassen.
Für die „Sauberkeit im Netz“ sind die Landesmedienanstalten (z.B. für Hessen http://www.lpr-hessen.de/beschwerdeformular.asp, Adressen für weitere Bundesländer s. Wikipedia) _von Amts wegen_ zuständig. Selbst wenn die Täter im Ausland sitzen, nutzen sie doch oft einen deutschen Provider, beispielsweise unseren „lieben Freund“ Aquatix.de in Hessen. – Warum nicht die LMAn mit einspannen?
Danke, ich weiß nicht, ob die Landesmedienanstalten da ihre Aufgabe sehen. Wahrscheinlich nicht. Die Adresssammler wie adresspark UG und ihre „Kunden“ scheinen sich sehr sauber an die Regeln des Datenschutz zu halten. Der Gewinnspielteilnehmer kann seine Einwilligung ja jederzeit widerrufen. Aber wer weiß, an welchen Gewinnspielen teilgenommen hat. Nach dem Spiel ist die Seite weg und eine Adresse für den Widerruf gibt es auch nicht. Der könnte sich nur an die adresspark UG richten, die dann alle Sponsoren und Co-Sponsoren informieren müsste. Hier müsste eine zentrale Teilnahme / Widerrufverwaltung geschaffen werden. Vielleicht schafft die Politik ja mal ein dem Internet angepasstes Datenschutzrecht. Aber so wie Juristen und Politiker denken, wird das wohl nichts.
[…] “Postbank – Nachtrag” […]