Achtung Phishing-Mail

[Pyrat]

Hallo MacUser,

auch wenn es die meisten sofort erkennen, hier die Warnung vor einer aktuellen Phishing-Mail.

Betreff: Verlaengern Sie Ihr ClickAndBuy Konto

Link:entfernt!

 

[DasNeX]

Und dann stellst du den Link auch noch hier rein???

Lösch das mal schnell!

 

[MacEnroe]

Zur Zeit kommen massenweise Clickandbuy Pishing Mails bei mir an.

Was mich wundert: Wie geht das technisch, dass in der Adresse der Server
tatsächlich www.clickandbuy.com lautet, obwohl es eine Fake-Seite ist?

Die Fake Hilfe-Seite kommt bei http://www.clickandbuy.com/DE_de/help/help.html
und die richtige Hilfe-Seite unter http://www.clickandbuy.com/DE_de/hilfe.html

Wie geht das technisch? Der Server wird ja kaum wirklich gehackt sein.


Edit: Dieses "McAfee" Sicherheits-Sigel ist ja auch ein Witz, wenn es auch auf
der Fake-Seite genauso funktioniert.

 

[tilbake]

Schon mal dran gedacht, dass die Mail echt ist?

 

[MacEnroe]

Schon mal dran gedacht, dass die Mail echt ist?

Nein, die Mails sind Fake, das erkennt man schon an den vielen Rechtschreibfehlern,
die können ja nichtmal richtig deutsch. Das wundert mich auch: Die Grafik ist mit einem
großen Aufwand super gemacht, auch technisch. Aber einen Übersetzer für die paar Zeilen
können sie sich nicht leisten – so blöd

 

[tilbake]

Mir fällt nur auf, dass die echte Seite kein Zertifikat hat. Das ist schon merkwürdig

 

[walfrieda]

Nein, die Mails sind Fake, das erkennt man schon an den vielen Rechtschreibfehlern,
die können ja nichtmal richtig deutsch. Das wundert mich auch: Die Grafik ist mit einem
großen Aufwand super gemacht, auch technisch.

ja meine Güte, das ist halt von der Originalseite geklaut, ist doch wirklich kein Ding. Genauso wie die Links auf der Seite natürlich alle auf die Originalseiten weisen (warum auch nicht), bis auf die, wo die Daten hingehen

 

[MacEnroe]

Doch, die hat unten genau das gleiche Zertifikat mit dem gleichen Link.

 

[MacEnroe]

ja meine Güte, das ist halt von der Originalseite geklaut, ist doch wirklich kein Ding. Genauso wie die Links auf der Seite natürlich alle auf die Originalseiten weisen (warum auch nicht), bis auf die, wo die Daten hingehen

Schon klar. Aber kannst du auch meine Frage beantworten?

Bloß irgendein Statement raushauen, ohne meine Links gesehen und meine
Frage gelesen zu haben, bringt ja nichts.

 

[walfrieda]

Schon klar. Aber kannst du auch meine Frage beantworten?

Bloß irgendein Statement raushauen, ohne meine Links gesehen und meine
Frage gelesen zu haben, bringt ja nichts.

du meinst die Frage: "Wie geht das technisch?" - nun, die Seiten verweisen auf die Originale, da muß man technisch rein gar nix machen...

 

[tilbake]

du meinst die Frage: "Wie geht das technisch?" - nun, die Seiten verweisen auf die Originale, da muß man technisch rein gar nix machen...

Dann wäre ja auch nix mit Betrug. Aber dass beim Einloggen die Daten wo anders hingehen, wenn man auf der Original Seite ist, wie soll das gehen? Da müsste schon ein Trojaner auf dem PC sein

Doch, die hat unten genau das gleiche Zertifikat mit dem gleichen Link.

Ich meinte das in der Adressleiste (zumindest beim Chrome ist es dort).

 

[MacEnroe]

du meinst die Frage: "Wie geht das technisch?" - nun, die Seiten verweisen auf die Originale, da muß man technisch rein gar nix machen...

Du bist also der Meinung, beide Hilfe-Seiten sind Originale. Obwohl sie
ganz unterschiedlich aussehen.

Du meinst, Clickandby lässt alte Seiten einfach auf ihrem Server liegen,
und die Pishing-Leute können dann weiter da drauf verlinken?

Wäre eine Erklärung. Aber ein klarer Fehler von Clickandbuy.

 

[walfrieda]

Dann wäre ja auch nix mit Betrug. Aber dass beim Einloggen die Daten wo anders hingehen, wenn man auf der Original Seite ist, wie soll das gehen?

man ist nicht auf der Originalseite, sondern auf einer heruntergeladenen HTML-Datei (zumindest bei der ClickAndBuy-Spam, die ich heute morgen bekommen haben ist das so). Nur die Links auf der Seite verweisen auf Originalseiten. Die Daten gehen aber - wie man im Sourcecode nachlesen kann - an "http://info.clickandbuysupport.com/", die keine Originalseite ist. Sondern die Daten nimmt, und dann eine Fake-404-Seite auswirft.

edit: Die Seite ist bei Eurodns registriert auf einen Herrn Sultan Mahmud in London... (Original Creation Date: 2011-11-21)

 

[tilbake]

man ist nicht auf der Originalseite, sondern auf einer heruntergeladenen HTML-Datei (zumindest bei der ClickAndBuy-Spam, die ich heute morgen bekommen haben ist das so). Nur die Links auf der Seite verweisen auf Originalseiten. Die Daten gehen aber - wie man im Sourcecode nachlesen kann - an "http://info.clickandbuysupport.com/", die keine Originalseite ist. Sondern die Daten nimmt, und dann eine Fake-404-Seite auswirft.

Das sieht man doch sofort wenn man auf einer HTML Seite ist, die auf dem Mac liegt.
Und dann ist 100 pro auch kein Zertifikat vorhanden

 

[walfrieda]

Das sieht man doch sofort wenn man auf einer HTML Seite ist, die auf dem Mac liegt.

wenn man hinguckt schon

 

[MacEnroe]

Walfrieda.. hast du eine Antwort auf meinen letzten Post #12?


... warum lässt Clickandbuy alte Seiten ungeschützt auf ihrem Server liegen?
... warum verweisen die Faker nicht gleich auf die aktuellen Seiten?


Da komme ja jede Menge Filme und Flash-Anleitungen, die es auf den aktuellen
Seiten nicht mehr zu finden gibt.

 

[walfrieda]

Du bist also der Meinung, beide Hilfe-Seiten sind Originale. Obwohl sie ganz unterschiedlich aussehen.

Du meinst, Clickandby lässt alte Seiten einfach auf ihrem Server liegen,
und die Pishing-Leute können dann weiter da drauf verlinken?

passiert doch ständig. Ich habe auf meinen Servern auch noch alte Seiten liegen, die nicht mehr verlinkt sind. Nenn es Fehler, nenn es Faulheit - fast jeder macht das.

 

[MacEnroe]

Ich habe auf meinen Servern auch noch alte Seiten liegen, die nicht mehr verlinkt sind. Nenn es Fehler, nenn es Faulheit - fast jeder macht das.

Hast du auch weltweit Millionen User? Und ist dein Geschäft "Sicherheit"?

Wenn ich "Sicherheit" verkaufe, dann gehe ich doch möglichst auch gegen Pishing-Leute
vor, und das Einfachste wäre doch mal die alten Seiten zu entfernen, damit die Pishing-Mail
Links nicht mehr funktionieren, oder?

Kommt mir alles nicht ganz geheuer vor

 

[walfrieda]

Hast du auch weltweit Millionen User? Und ist dein Geschäft "Sicherheit"?

sicher nicht

Wenn ich "Sicherheit" verkaufe, dann gehe ich doch möglichst auch gegen Pishing-Leute vor, und das Einfachste wäre doch mal die alten Seiten zu entfernen, damit die Pishing-Mail Links nicht mehr funktionieren, oder?

das ist aber nur sehr marginal sicherheitsrelevant. Allein schon weil der Herr Mahmud ja auch die gerade aktuelle Seite hätte einbinden können, statt einer älteren.
Zweifellos ist das eine Schlamperei - aber ich denke auf fast jeder grösseren Seite finden sich solche "verwaisten" HTML-Altlasten. Und selbst wenn die Seite nicht mehr funktionieren würde, würden die wenigsten Leute Verdacht schöpfen. Erstens, weil sie nicht auf den Hilfe-Link klicken wenn sie denken sie brauchen keine Hilfe, und zweitens weil man 404er im Netz immer mal wieder antrifft und das in den seltensten Fällen ernstzunehmende Sicherheitsmängel sichtbar macht (oder anders gesagt: die werden einfach wieder weggeklickt).

 

[MacEnroe]

Zweifellos ist das eine Schlamperei - aber ich denke auf fast jeder grösseren Seite finden sich solche "verwaisten" HTML-Altlasten.

Zumindest bewirkt es bei mir erhebliche Zweifel an der Kompetenz der Techniker
bei ClickandBuy.

Übrigens käme nicht der Fehler 404, sonst hätten die da was falsch gemacht.
Man löst so etwas heutzutage eleganter (Umleitung auf bestimmte Seiten)

Zum Glück muss ich den Dienst nicht nutzen.