Paypal Phishing-Mail

Aktuell: Paypal Phishing-Mail vom 26.12.2017

Original Phishing Mail im HTML-Code:

Original Pishing Mail in Rein-Text Ansicht:

Hier sieht man sehr deutlich den Unterschied von HTML- Ansicht und Rein-Text-Ansicht:

In Rein-Text sehe ich nur den Link und weiß sofort, dass mit der Mail etwas nicht stimmt. In HTML-Ansicht hat man seine Probleme damit, da man nur das Bild sieht und nicht weiß, was dahinter steckt! Hier noch mal der Apell:
Schaltet die HTML-Ansicht in euren Mail-Clients aus!

Diese Mail gehört sofort in den digitalen Mülleimer!!

Analyse der Mail!

Der Quellcode der Mail:

Paypal Phishing Spoofing E-Mail Quellcode mit Analyse

Hier erkennt man vieles!

Zeile 01: Die Antwort-Mail-Adresse ist keine Paypal-Adresse.
Zeile 02: Da die Mail-Server-Adresse mit der IP übereinstimmt, wird die Mail nicht sofort als SPAM erkannt.
Zeile 06: Bei FROM steht keine Mail-Adresse, da kann genauso auch alles mögliche stehen, da es keine Rolle spielt. Bei einer offiziellen Mail von Paypal würde hier jedoch auf jeden Fall eine Mail-Adresse von Paypal stehen!
Zeile 10: In der Message-ID sollte auf jeden Fall immer die Domäne stehen. Hier steht “ .. has no domain“. Hier wird ohne Ende der Absender vertuscht!
Zeile 17: Die X-UI-Filterresults kann man ignorieren. UI bedeutet United Internet. Die X-UI-Filterresults werden von den Mail-Servern angehängt, die der United Internet AG angehören, in diesem Fall die Mail-Server von GMX. Bei T-Online hat man den Anhang X-TOI.

Wer verbirgt sich hinter der Mail? Der Header – Teil 1:

Da haben wir zunächst die Domäne des Return Path „communityservicecenter.site“:

Man erkennt: Die Domäne ist in Panama registriert.

Wie sieht es mit der IP aus, die zu dieser Domäne gehört (145.239.46.249)?

Man erkennt, dass die IP in Frankreich bei OVH.NET registriert ist!


Wer verbirgt sich hinter der Mail? Der Inhalt – Teil 2:

Kommen wir zu dem Link, auf dem wir weitergeletet würden, wenn man versehentlich irgendwo auf das Bild klicken würden! Es geht um den Link „www.teezx.com“, also um die Frage, wem gehört diese Domäne, wie sieht es mit der IP der Domäne aus!

Hier kommt ein Ausschnitt aus dem Bild

Es scheint so, als ob hier dann Ende wäre, da es sich um eine IP-Adresse von Cloudflare handelt. Das bedeutet: die Original-IP wird durch Cloudflare verschleiert! Einen habe ich noch. Die Domäne ist nämlich bei GoDaddy registriert. Hier kommt das Ergebnis:

WhoIs-Suchergebnisse teezx auf godaddy