GMX.net Daten Leak: Warnung vor PayPal Phishing

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von in.spider, 9. November 2014 .

  1. 9. November 2014
    Auf meinen SPAM-Catcher ist eine aktuelle PayPal Phishingmail eingegangen die Persönliche Daten aus der GMX.net Datenbank beinhaltet.

    Es besteht seit längerem der Verdacht das größere Datensätze von GMX kopiert wurden, ob die Daten aus einem Hack stammen ist nicht bekannt.


    GMX Nutzer sollten also vorsichtig sein wenn sie in nächster Zeit Emails erhalten mit persönlicher Anrede!

    Die Zielseite besitzt ein gültiges SSL-Zertifikat von ssl6299.cloudflare.com!
    https://paypal.de-control.org/ver/konto/inter/de/problem/int/html/index

    Hier der Quellcode bzw Mailheader:

    Code:
    From - Sun Nov 09 10:50:01 2014 
    Return-Path: service@paypal.de
    Received: from msgw006-01.ocn.ad.jp ([180.37.203.140]) by mx-ha.gmx.net
     (mxgmx002) with ESMTP (Nemesis) id 0LheN7-1YRBja***-00m*** for
     <****@gmx.de>; Sat, 08 Nov 2014 18:50:40 +0100
    Received: from mail.domain-gateway.net (p1177-ipbf2808funabasi.chiba.ocn.ne.jp [123.225.186.177])
     by msgw006-01.ocn.ad.jp (Postfix) with ESMTP id A7B64465D12
     for <****@gmx.de>; Sun, 9 Nov 2014 02:50:37 +0900 (JST)
    Received: from [146.0.42.88] (ca219.calcit.fastwebserver.de [146.0.42.88])
     by mail.domain-gateway.net (Postfix) with ESMTPA id 0AD9BE61E5
     for <****@gmx.de>; Sun, 9 Nov 2014 02:46:18 +0900 (JST)
    Message-Id: <EV3HQ6PD-NS7H-DVEL-MP8U-BU5FDIT20E5K@paypal.de>
    Mime-Version: 1.0
    From: service@paypal.de <service@paypal.de>
    To: M*** W*** <****@gmx.de>
    Subject: PayPal hat auf Ihrem Konto Betrug festgestellt!
    Date: Sat, 8 Nov 2014 18:50:37 +0100
    X-Priority: 1
    Content-Type: text/html; charset=iso-8859-1
    Content-Transfer-Encoding: quoted-printable
    X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
    X-GMX-Antivirus: 0 (no virus found)
    X-UI-Filterresults: notjunk:1;V01:K0:kHerisogVis=:CNj33JWKf/KA2hNRrKrbxUj47H
     CLKSjlX5BZwiqlNBfu0ZJTZvJ0Fmh9aekfz1c+EtiIbbcvOfPOvXmz+aAxlVLwS033k/QD+ZW
     ws4F7mdQagMYJN3m4J0K1iStOFM8BCZ5mycmrE0CIqy8SRGUpqtZd0z7Ttp/MTNCZh+VmN/tM
     6Cu/hUPnVucqkPyl8SnPx92HXe5D0AOBr0tEvtt5u3BD0PxmWUG23NEiS+aHJkdaH/81Y7daT
     hBsBEO+/rXU7hiOiguu6v4xaat8zXleNrvR8ikcXszUVXSmevSwvoLPeyv+VPiH5F0L8VYFO6
     eedKcCixVjF6bh8RH2GxWwKy1xoZb5zbe9JY4p4my2yipXa+Zo5JeNcxmPDiyJkcFAsjd2tti
     O07yV0w9BLkEHnWlgUT6szugl8sVdMH0t0iZ2U8R+Ao66hYr2t/s8fHmkUBs3/mYUkRVeeyE/
     8oLvyQ3vCRXVPEDiL5OHVW07erRWAlLirpm3Sdt9pk3h6t+YH4JY3dNyojuO9laRdSsfeliOe
     xRPc5oDb7Lu6AhiVVM6+WB8waW6EthMX5ZF7xdGfnBJo5zjRO9dqBQR11qE+15C56gKk7c1jQ
     NRZCFKodadB+6cLgaF/TRD42qdLubeViEa5RmaSSIpv7cKNpEc3swULZA49ZmLRBPq8zOBYjK
     qig2M/enPvEUu02ll+9tggD5itNnDwgE3/zCTiGcBYqOEDxVQXAnEUGYhBjWAFKVFWuh40QVK
     219YoaFlHzLddkSxmF6BYyZ7PHYe/W1un3SGIDGwoutN8T6QRd8K7bsMoj2Bmno7xuKIMfylD
     vrD/KayGMI6FTcpcaVXmx5/t9U2iZkrDBjyhVD+C99a1tpNAb6f3opiw9jaWOeOmVxhSs2JfT
     CcbWB30OEE9nzqMihx7ECNlvXSMGz8fl3etTu2TFhbCqdEed2iJdenWMMeij2CK4m269XjBW6
     0Wwj/NvXjyhpHMwJmMZGQO/CVXi7yT+E0DZ4g5o6A/4gZkNxVFELSgupmetnucGe0LVi3yaci
     Mtf2hyf04YDzICbfCIWtBbqpTXIaAzbjhN4Om+cAhZR4AxQStCRvwHvBVOByyTfzLOt93sYdY
     5mAKb0NnzisoDCZvh8v9WvF2ZAaXFrhmQyYkr93qqK5DzzVavQJXHh5vlR4BT5CsqKrKzwCBN
     sO/aQDhI9k6CdmtTQHVdkSE3EtdxVy4KcRIkei61JY1jDwmXPjl4cmGf71sD88aDM2xNKnjtk
     e5K6Nf8eqKFIrTPcaiihxWnXBRYa4EQ8Qo3GguBQM0/pgpXMjquzzPWO4KrUTQoiLyxfkTpE9
     IEd8UYo6msADMRDKnBiHCzBdi7nHrZzRH8x9r11j64UZpc1RCEAKB98Fb705C6RZedWvrJX14
     yQRqELsukiG3R/UIQ2PCuBxEbU5Kh9t6IIcY2w0zCdSAL6km7w7u3D+/0hRN2jrx9aZXjmkCU
     UruC7ftSowCMZFr2ShYLatbiwRd3Vpy2eQOmjhlMRuWfmIY9QBaNW+EMXmmigvfdPc8NcfIjF
     gvKtKd3W4EU0fj7aPWXb4dM3G7N+iN+zKGUem1qogjBHNTZURWtxoBiZi2D58lQ==
    
    HTML MailBody
    Code:
    <HTML><HEAD>
    <META content=3D"text/html; charset=3Dwindows-1252" http-equiv=3DContent-Ty=
    pe>
    <META name=3DGENERATOR content=3D"MSHTML 11=2E00=2E9600=2E17344">
    </HEAD>
    <BODY>
    <DIV id=3Didb3 class=3Dmail-content>
    <DIV style=3D"FONT-SIZE: 11px; FONT-FAMILY: Verdana; COLOR: rgb(68,68,68); =
    MARGIN: 10px; LINE-HEIGHT: 17px">
    <DIV><SPAN style=3D"FONT-SIZE: 0px; LINE-HEIGHT: 0"><IMG alt=3D"" src=
    =3D"http://picload=2Eorg/image/caciiii/5549d49ee1dc32b0b195-pay1=2Epng"> <I=
    MG alt=3D"" src=3D"http://picload=2Eorg/image/caciipr/22657ed26d9f608331e4-=
    pay2=2Epng"> </SPAN>
    <DIV>
    <DIV style=3D"HEIGHT: 15px; WIDTH: 560px; MARGIN-TOP: 10px"><STRONG><IMG al=
    t=3D"" src=3D"http://picload=2Eorg/image/caciipl/top=2Epng"></STRONG></DIV>=
    
    <DIV style=3D"FONT-SIZE: 11px; HEIGHT: 521px; BORDER-RIGHT: rgb(221,221,221=
    ) 1px solid; WIDTH: 518px; POSITION: relative; PADDING-BOTTOM: 20px; PADDIN=
    G-TOP: 20px; PADDING-LEFT: 20px; BORDER-LEFT: rgb(221,221,221) 1px solid; P=
    ADDING-RIGHT: 20px">
    <P style=3D"MARGIN-BOTTOM: 25px; FONT-SIZE: 15px; FONT-WEIGHT: bold; COLOR:=
     rgb(0,0,0)"><FONT size=3D2 face=3D"Verdana, Arial, Helvetica, sans-serif">=
    PayPal hat auf Ihrem Konto Betrug festgestellt!</FONT></P>
    <P style=3D"MARGIN: 12px 0px"><FONT-SIZE: 11px; face=3D"Verdana, Arial, Hel=
    vetica, sans-serif">Guten Tag M*** W***,</FONT></P>
    <P style=3D"MARGIN: 12px 0px"><FONT-SIZE: 11px; face=3D"Verdana, Arial, Hel=
    vetica, sans-serif">Zur Unterst=FCtzung verwendet PayPal Betrugspr=E4ventio=
    nssysteme, um Betrug zu ermitteln und zu vermeiden=2E</FONT></P>
    <P style=3D"MARGIN: 12px 0px"><FONT-SIZE: 11px; face=3D"Verdana, Arial, Hel=
    vetica, sans-serif">Eine Pr=FCfung der unten stehenden Transaktion hat erge=
    ben, dass sie m=F6glicherweise nicht autorisiert wurde=2E Daher wurde diese=
     Transaktion zur=FCckgerufen=2E</P>
    <P style=3D"MARGIN: 12px 0px">Am <STRONG>Sa, 8=2E Nov 2014</STRONG> um <STR=
    ONG>18:50</STRONG> Uhr wurde versucht einen Betrag von <STRONG>789,34 EURO<=
    /STRONG> an <A href=3D"mailto:info@mifcom=2Ede">info@mifcom=2Ede</A> zu sen=
    den=2E Die Transaktion wurde von einem uns unbekannten Ger=E4t ausgef=
    =FChrt</P>
    <P style=3D"MARGIN: 12px 0px"><STRONG>UserAgent:</STRONG> Mozilla/5=2E0 (Wi=
    ndows NT 6=2E1; WOW64; rv:33=2E0) Gecko/20100101 Firefox/33=2E0 <br>
    <STRONG>IP-Adresse:</STRONG> 94=2E219=2E108=2E174<br>
    <STRONG>ISP:</STRONG> Vodafone DSL</P>
    <P style=3D"MARGIN: 12px 0px"><FONT face=3D"Verdana, Arial, Helvetica, sans=
    -serif"><FONT-SIZE: 11px;><STRONG>Um weiten Betrug zu verhindern, wurde Ihr=
     PayPal-Konto bis auf <BR>weiteres eingeschr=E4nkt=2E</STRONG> Wir bitten S=
    ie daher ihr PayPal-Konto mit nachfolgendem Link zu best=E4tigen um die Ein=
    schr=E4nkung Ihres Kontos aufzuheben=2E</FONT></FONT></P>
    <P style=3D"BACKGROUND: rgb(219,238,228); PADDING-BOTTOM: 10px; PADDING-TOP=
    : 10px; PADDING-LEFT: 10px; MARGIN: 12px 0px; DISPLAY: block; PADDING-RIGHT=
    : 10px"><A style=3D"FONT-SIZE: 13px; COLOR: rgb(26,86,131)" href=3D"[U][COLOR="#FF0000"]https://paypal.de-control.org/ver/konto/inter/de/problem/int/html/index[/COLOR][/U]" targe=
    t=3D_blank><FONT-SIZE: 11px; face=3D"Verdana, Arial, Helvetica, sans-serif"=
    >Best=E4tigen Sie hier Ihre Daten</FONT></A><FONT-SIZE: 11px; face=3D"Verda=
    na, Arial, Helvetica, sans-serif"> </FONT></P>
    <P style=3D"MARGIN: 12px 0px"><FONT-SIZE: 11px; face=3D"Verdana, Arial, Hel=
    vetica, sans-serif">Wenn es sich bei der Transaktion um einen von Ihnen gew=
    ollten Auftrag gehandelt hat, bitten wir Sie, diesen nach der Best=E4tigung=
     erneut durchzuf=FChren=2E </FONT></P>
    <P style=3D"MARGIN: 12px 0px"><FONT-SIZE: 11px; face=3D"Verdana, Arial, Hel=
    vetica, sans-serif">Herzliche Gr=FC=DFe,<BR>Ihr PayPal-Team</FONT></P></DIV=
    >
    <DIV style=3D"HEIGHT: 15px; WIDTH: 560px"><STRONG><IMG alt=3D"" src=3D"http=
    ://picload=2Eorg/image/caciipa/bottom=2Epng"></STRONG></DIV></DIV></DIV>
    <DIV style=3D"FONT-SIZE: 11px; MARGIN-TOP: 25px"><A style=3D"COLOR: rgb(24,=
    86,135)"><STRONG>Hilfe und Kontakt</STRONG></A><STRONG> | </STRONG><A style=
    =3D"COLOR: rgb(26,87,135)"><STRONG>F=2EA=2EQ</STRONG></A>
    <P style=3D"MARGIN: 12px 0px">Copyright =A9 1995-2014=2E Alle Rechte vorbeh=
    alten=2E </P>
    <P style=3D"MARGIN: 12px 0px">Int=2E Ser=2E Euro, L=2ES=2ES=2ET<BR>Connecte=
    ur en Laiton Pour<BR>Sitz: 12-18 Marcher et Courir, CH-4515 Schweiz<BR>MSU =
    Schweiz B 6940 8742<BR><IMG alt=3D"" src=3D"http://picload=2Eorg/image/caci=
    ipp/dd068f9bcf618a1895dd-tuv=2Epng=2Egif"></P></DIV></DIV></DIV>
    <DIV></DIV>
    <DIV></DIV>
    <DIV></DIV></BODY></html>
    
     
  2. 1. Dezember 2014
    AW: GMX.net Daten Leak: Warnung vor PayPal Phishing

    Hi,
    wollte gern wissen woher du das weißt oder erkannt hast ???


    MFG Epi.
     
  3. 23. Januar 2015
    [SPAM] PayPal - Verdächtige Zahlung über 1.229,00 EURO an Pixmania SAS aufgefallen!

    Ganz einfach, weil ich 7 GMX Accounts habe mit verschiedenen Daten die nie veröffentlicht wurden durch mich.
    Das bedeutet entweder hat GMX diese Daten verkauft und sie sind geleaked oder Hacker hatten Zugriff auf die GMX-Datenbank.


    Hier übrigens wieder ganz neu eingegangen eine Paypal Email:


    [SPAM] PayPal - Verdächtige Zahlung über 1.229,00 EURO an Pixmania SAS aufgefallen!

    Mail-Header
    Code:
    From - Fri Jan 23 14:31:57 2015
    X-Account-Key: account15
    X-UIDL: 0Lvh5I-1Xe0IW1Iyq-****
    X-Mozilla-Status: 0001
    X-Mozilla-Status2: 00000000
    X-Mozilla-Keys: 
    Return-Path: service@paypal.de
    Received: from mailouts01.configserver.de ([213.174.32.14]) by mx-ha.gmx.net
     (mxgmx008) with ESMTPS (Nemesis) id 0Lvh5I-1Xe0IW1Iyq-**** for
     <***@gmx.de>; Fri, 23 Jan 2015 08:18:** +0100
    Received: from mailin01.ims-firmen.de ([192.168.1.141])
     by mailout01.ims-firmen.de with esmtp
     (envelope-from <service@paypal.de>)
     id 1YEYVr-0001hl-iu
     for ***@gmx.de; Fri, 23 Jan 2015 08:18:** +0100
    Received: from [217.7.249.184] (helo=Exchange.lfvso.intern)
     by mailin01.ims-firmen.de with esmtpa
     (envelope-from <service@paypal.de>)
     id 1YEYU1-0002rA-1T
     for ***@gmx.de; Fri, 23 Jan 2015 08:18:** +0100
    Received: from 217.7.249.184 ([146.0.36.35]) by Exchange.lfvso.intern with Microsoft SMTPSVC(6.0.3790.4675);
     Thu, 22 Jan 2015 23:03:09 +0100
    Date: Thu, 22 Jan 2015 23:03:08 +0100
    To: Vorname*** Nachname*** <***@gmx.de>
    From: "service@paypal.de" <service@paypal.de>
    Subject: [SPAM] =?UTF-8?Q?PayPal_-_Verd=C3=A4chtige_Zahlung_=C3=BCber_1.229,00_EURO_an_Pi?= =?UTF-8?Q?xmania_SAS_aufgefallen!?=
    Message-ID: <dab6f09dd0aaae270a98e20980****@217.7.249.184>
    X-Priority: 3
    X-Mailer: PHPMailer 5.2.7 (https://github.com/PHPMailer/PHPMailer/)
    MIME-Version: 1.0
    Content-Type: multipart/alternative;
    Content-Transfer-Encoding: 8bit
    X-OriginalArrivalTime: 22 Jan 2015 22:03:10.0039 (UTC) FILETIME=[358CD670:01D0368F]
    X-AntiMalwareExchange-CommtouchRefID: str=0001.0A0C0204.54C1EE33.00F6,ss=4,sh,re=0.000,fgs=520
    X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
    X-GMX-Antivirus: 0 (no virus found)
    


    Content-Type: text/plain; charset=UTF-8
    Content-Transfer-Encoding: 8bit

    22. Januar 2015 23:03 MESZ
    Transaktionscode: 02D11937JS973803F


     
  4. 23. Januar 2015
    AW: GMX.net Daten Leak: Warnung vor PayPal Phishing

    Hi,
    danke für die Info man. Jetzt wird mir alles Klar.
    Habe paar Sachen über gmx erledigt, wo nur der Empfänger und der Sender (ich) Informationen drüber hatten. Soweit so gut.
    Paar Stunden später bekam ich eine Spam-Mail von eine Firma mit einige Informationen und Interessen, Gesuche, etc... von mir was ich vorher per Mail versendet hatte.

    Ich dachte mir irgendwas stimmt nicht.
    Aber danke man die Bestätigung von dir mit mehrere Accounts etc... war gut.

    MFG Epi.
     
  5. 26. April 2015
    AW: GMX.net Daten Leak: Warnung vor PayPal Phishing

    Neue Warnung!

    from f516.fuchsia.fastwebserver.de (HELO srv01.baucomp.com) (146.0.36.15) by srv01.baucomp.com


    http***www*paypal.de-1191655020.authing.pw/myaccount/home/

    Auf der Phisingseite ist auch ein Counter eingebaut: Seitenstatistik von Counter Nr. 69079794

    Besucher: 18.529
    Seitenaufrufe: 118.900
     
  6. 26. Dezember 2015
    AW: GMX.net Daten Leak: Warnung vor PayPal Phishing

    Aktuelles Phishing: paypal.pp-verifizieren-konto.com

    from rs000989.fastrootserver.de ([89.163.132.230]) by mrelayeu.kundenserver.de
     
  7. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.