Zurück

Mastercard Phishing-Welle auf Schweizer abgesehen

05.02.2014 14:30 von Samuel

Eine neue Phishing-E-Mail hat es auf die Schweizer Kunden abgesehen. In der E-Mail werden Sie in schlechtem Deutsch aufgefordert, ein Formular online auszufüllen. Wer dies macht, sendet die Kreditkarten-Daten direkt an die Betrüger.

Der Text

Die E-Mail ist unformatiert und hat sehr viele Rechtschreibfehler. Anbei wird ein Anhang mitgesendet in einer ZIP-Datei. Der Absender lautet "assistenz@mastercard.com".

Header-Analyse

Einen kurzen Blick in den E-Mail-Header erklärt einiges. Die Nachricht wurde mit einer IP-Adresse (61.121.247.163aus Japan gesendet. Nicht sehr verwunderlich, warum die E-Mail so schlecht geschrieben ist.

Anhang der E-Mail

Das interessante ist, dass im Anhang keine ausführbare Datei im Archiv war. Es war eine *.html Datei. Bei klassischem Phishing wird normalerweise ein Link auf die Phishing-Seite verlinken. Hier habe ich bereits über eine Paypal-Phishing-E-Mail berichtet.

Vielleicht wurde dies so gemacht, um die Spam-Erkannung zu umgehen. Trotzdem eine schlechte Idee.

 

Auf die Schweiz abgesehen

Auch interessant ist, dass es die Sender der E-Mails tatsächlich nur auf Schweizer Kunden abgesehen haben. Im Titel der Phishing-Seite steht klar "MasterCard Schweiz".

Daten werden nach Italien gesendet

In der HTML-Datei die eine Phishing-Seite darstellen soll, werden die POST-Daten, also die eingegebene Daten an eine Seite in Italien versendet. Die URL lautet "http://universal-selecta.it/mail.php" und diese Domain stammt aus Italien. Die IP dahinter (95.110.143.110) stammt ebenfalls aus Italien. Der Hoster diese Domain lautet "www.aruba.it".

Hinter der "mail.php" auf der Domain verbirgt sich sehr wahrscheinlich ein PHP-Script welches die eingegebene Kreditkarten-Daten an die E-Mail-Adresse der Betrüger sendet.

Wie schütze ich mich vor Phishing?

  • Achte auf die URL (Text oben in der Adresszeile). Dort sollte eine sichere Verbindung (SSL) vorhanden sein.
    SSL
  • Falls in der E-Mail Drohungen oder Angstmachereien vorkommen, löschen
  • Ist die E-Mail in schlechtem Deutsch verfasst, löschen
  • Ist die E-Mail auf englisch, obwohl Du dich bei dem Anbieter auf der deutschen Seite registriert hast? Löschen.
  • Vertraue keinem Absender. Dieser kann gefälscht sein.

Fazit

Ein weiteres Beispiel an schlechten Phishing-Mails. Unbrauchbare Texte. (nicht originale) Seite als Anhang und PHP-Dateien die eindeutige Namen haben. Eines der schlechtesten Phishing-Beispiele die man zeigen kann. Trotzdem ist Vorsicht angesagt.

Zurück

Einen Kommentar schreiben

Kommentar von Drick, Katrin um 22.03.2014

Habe eine solche Mail hier in Deutschland erhalten.
Der Text lautet: Sehr geehrter kunde nach der neuen verordnung der EU,
ab dem tag 22.03.2014, um ihre kreditkarte online benutzen
zu können, sie sind verpflichtet, diese unterlagen zu füllen. .
Den Anhang haben ich nicht geöffnet.

Kommentar von Gieri Greinacher um 09.09.2014

Ich habe praktisch das selbe Mail erhalten, und zwar DIREKT (+1min.) nach einer Bestellung bei Brack! Evtl. haben die sich dort bereits eingenistet um an Mailadressen deren Kunden heranzukommen! Dies ist nur eine Vermutung, da ich noch nie eine SPAM oder ähnliches erhalten habe. Wir haben einen sehr guten SPAM-Filter (extern). Bei mir war der Text:

In Übereinstimmung mit veränderungen in unserer internen politik , von 09.09.2014, weiter zu verwenden ihre kreditkarte online zu sind sie verpflichtet zu download und formular ausfüllen

Kommentar von Hofstetter Roland um 10.09.2014

Habe eine solche Mail heute in der Schweiz erhalten. 10.09.2014
Der Text Lautet
=====================================================
Sehr geehrter Kunde,
In Übereinstimmung mit veränderungen in unserer internen politik
,
von 10.09.2014, weiter zu verwenden ihre kreditkarte online zu
sind
Klicken Sie auf den folgenden Link: MasterCard Schweiz
© 1994-2014 MasterCard. All rights reserved.
=====================================================
Der Anhang sieht wie folgt aus:
(MASTERCART SYMBOLE)
Mastercard International . Alle Rechte vorbehalten.
Name des Besitzers :
Geburtsdatum : (e.x 09/09/1950)
Kartennummer :
Gültig bis : (e.x 09/2014)
Kartenprüfnummer :
IBAN :
Mastercard Passwort :
Mit der Aufforderung zum Passwort, wurde ich stutzig.

Kommentar von JulioDut um 11.04.2018

Good site, 47bce5c74f589f4867dbd57e9ca9f808, <a href="http://hdj39dkwoq7h3nma10ikdrn.com">check</a>

Kommentar von JulioDut um 11.04.2018

Good site, 47bce5c74f589f4867dbd57e9ca9f808, <a href="http://hdj39dkwoq7h3nma10ikdrn.com">check</a>

Kommentar von JulioDut um 11.04.2018

Good site, 47bce5c74f589f4867dbd57e9ca9f808, <a href="http://hdj39dkwoq7h3nma10ikdrn.com">check</a>