DHL-Packstation-Phishing per 'DHL-Verifikation'

Heute konnte ich sehr schön an mir selbst beobachten, wie gut Phishings funktionieren. Denn ich war dermaßen empört über die folgende Mail -  darin die Drohung, ich würde meine Packstation  in 7 Tagen verlieren -, dass ich anfangs überhaupt nicht auf die Idee gekommen bin, es könne sich um einen Packstation-Phishzug handeln. Statt dessen versuchte ich, jemanden aufzutreiben, der die Frage beantworten kann, ob diese Mail authentisch ist. Die Kundenfragen-Abwehr-Systeme der DHL-Website sind aber derart ausgefeilt, dass ich am Ende - das Besetztzeichen der DHL-Hotline im Hörer - aufgab und dachte: "Na schön, dann verifiziere ich den Quark halt". Gottlob dachte ich das nur für eine Sekunde, danach regte ich mich über die zunehmende Dauerdemütigung des Bürgers - Nacktscanner, Volkszählung, Hotline-Warterei, Packstation-Verifizierung - lange genug auf, um wieder zu Verstand zu kommen und zu verstehen: ist natürlich eine Betrugs-Mail.

Die Phishing-Spam-Mail für DHL Packstation

Phishing: Spam-Mail zu angeblicher DHL-Verifizierung einer Packstation

Fett die Spam-Mail, kursiv meine Anmerkungen dazu:

Sehr geehrter PACKSTATION-Kunde,
sehr geehrte PACKSTATION-Kundin,
Verdächtig! Echte Packstation-Mails verwenden persönliche Anrede, bei mir "Guten Tag Herr Winterer,".

aufgrund der großen Nachfrage des PACKSTATION-Systems sind wir gezwungen dauerhaft inaktive Accounts unter anderem als vorbeugende Maßnahme vor Betrug zu löschen.
Klingt (leider) plausibel. Erst die Arbeitsplätze  per Packstation wegrationalisieren (was jeder Kunde, der seine teuren Sendungen in den Hausflur geschmissen vorfindet, gerne annimmt), dann wiederum die Packstationen wegrationalisieren, um Hermes und Südpost endgültig das Feld zu überlassen.

Selbstverständlich können Sie auf Wunsch weiterhin Ihre PACKSTATION nutzen. Hierfür ist lediglich ein Login unter http://www.dhl-supportcenter.de/ nötig, um Ihren Account als \"aktiv\" zu verifizieren.
Der "call to action": Tun Sie was! Es soooo einfach ... Die Adresse www.dhl-supportcenter.de wirkt echt, die Website selber noch echter. Eines der bestdesignten Phishes ever, selbst die üblichen Rechtschreibfehler fehlen.

Gerne können Sie dies auch telefonisch mit einem unserer Mitarbeiter durchführen. Nutzen Sie dazu unsere Supporthotline
Verlockendes Angebot einer plausiblen Alternative, aber:

Servicenummer 01803 / 365 365 (0,69 Euro pro angefangene Minute aus den deutschen Festnetzen; höchstens 0,99 Euro pro angefangene Minute aus den deutschen Mobilfunknetzen)
... 69 Cent pro angefangene Minute? Hahaha! Nein, da möchte man doch lieber verifizieren...

Sollten Sie künftig auf Ihre PACKSTATION verzichten können, so ist kein weiteres Agieren Ihrerseits nötig.Ihr Account wird dann innerhalb 7 Tagen deaktiviert.
Hier verbirgt sich meines Erachtens der wahre Trick dieser Phishing-Mail: Die Drohung, dass Ihre Packstation binnen 7 Tagen (!) dicht gemacht wird, kommt so leichtfüßig und beiläufig daher, dass man sich aufregen muss (woraufhin dann höhere Hirnfunktionen aussetzen oder so ;-)

Wir bitten um Ihr Verständnis und bedanken uns für Ihr Vertrauen.Mit freundlichen Grüßen,DHL-KundenserviceUrsula SchmidtDHL Vertriebs GmbH & Co. OHGCharles-de-Gaulle-Straße 20PLZ/Ort: 53113 Bonn
Verdächtig! Echte Packstation-Mails enden nämlich mit
Ihr PACKSTATION Team
www.packstation.de

Die DHL-Packstation-Phishing-Website...

DHL Packstation: täuschend echte Phishing-Website (Komplett-Shot)

... ist eindrucksvoll. Sieht nämlich verdammt echt aus. Pretty impressive. Siehe Komplett-Shot rechts (aufs Thumbnail klicken).

Sofort verdächtig:

  • Kundennummer + PIN + Passwort werden auf einer einzigen Seite (auch noch die Startseite) abgeschöpft.

Erst beim genaueren Hinsehen verdächtig:

  • keine sichere Browser-Verbindung via https
  • die Web-Adresse  in der Adresszeile weicht von der Web-Adresse ab, auf die die verschiedenen Links zeigen

Fehler der Phishing-Website: zum Beispiel die abweichenden URLs in Adresszeile und allen Verlinkungen (zu sehen in de Statuszeile)

Was passiert danach?

Phishing-Website: warmer Händedruck zum Dank

Wer seine Zugangsdaten brav eingeben hat, erhält als Hinweis nur "Ihre PACKSTATION wurde erfolgreich verifiziert". Ins Opferdeutsche übersetzt: Danke für Deine Zugangsdaten, Du Dödel! Hahaha!

Des weiteren passiert: Erst mal nichts, denn es wurde ja noch nichts verändert. Die Online-Kriminellen haben nun aber die Möglichkeit, die Kontendaten zu verändern. Sie sind im Besitz der digitalen Identität und können zum Beispiel die Hinweise auf neue Sendungen in der Packstation auf sich umlenken, diese Sendungen dann auch abholen - dank PIN. Bei alledem bleiben sie anonym, statt dessen verwenden sie die gestohlene Identität. Wird über diese eine Straftat begangen, muss der seiner Identität bestohlene wahrscheinlich auch noch seine Unschuld nachweisen, wie das auch bei Downloads über gehackte WLANs der Fall ist.

Es gibt übrigens einige Leute im Web, die meinen, Raubkopien seien kein Raub, schließlich würde nichts gestohlen, denn das Original sei ja noch da. Diesen sei gesagt: Nach einem Identitätsdiebstahl ist die Identität auch noch da. Sollen wir ihn deswegen legalisieren?

Tipps gegen Phishing bei DHL / Packstation

  • Melden Sie sich nur über die DHL-Basisseite an, also dhl.de oder packstation.de.
  • Kundennummer und Passwort im Web abzufragen, wenn Sie dort wirklich was machen, das ist noch  plausibel. Doch dazu auch noch die PIN abzufragen ist einen Tick zu viel. Denn:
  • Die PIN wird - bei EC-Karten wie bei der Packstation - nur dann abgefragt, wenn Sie die eigentliche Funktion in Anspruch nehmen, also: die Sendung an der Packstation abholen.
  • Nie wird man sie per Telefon oder Mail oder auf der Website  nach Ihrer PIN fragen. Das gilt ganz allgemein für Passwörter und PINs, auch DHL betont es DHL bei seinen eigenen Sicherheitshinweisen, die Sie hier finden: www.dhl.de/.../sicherheitshinweise.html
  • Achten Sie auf https-Seiten (Secure HTTP). Ein untrügliches Merkmal für Phishing ist, wenn Sie auf eine wichtige Seite gelockt werden und dort Zugangsdaten und PINs eingeben sollen – der Browser dabei aber keine Verschlüsselung (SSL)verwendet. Das wäre zu unsicher und daher unvernünftig.

Hier einige Beispiele, die zeigen, wo die Unterschiede bei der Anzeige zwischen Original und Fälschung liegen. Im Hintergrund oben stets die Fälschung:

(Firefox) Oben: falsche Packstation ohne https, darunter: echte Packsation mit https. Wenn Sie auf den deutlich farblich hervorgehobenen Zertifikatshinweis klicken, zeigt Firefox sofort an, auf wen ausgestellt wurde: Deutsche Post World Net (DPWN). Als Problem verbleibt, woher Max Mustermann wissen soll, das dahinter tatsächlich die Deutsche Post steckt...

(Internet Explorer) Oben: die Fälschung ohne, unten das Original mit https, leider weniger deutlich unterscheidbar als beim Firefox. Danke, Microsoft.

(Internet Explorer) Klickt man rechts aufs Schloss zeigt IEX einen Zertifikatshinweis, den man dann in einem zweiten Schritt endlich auch mal ansehen kann. Woher der Bürger aber wissen soll, dass hinter DPWN SSL CA I2 PS die Deutsche Post steht, bleibt der Fantasie des Internetsicherheitskritikers überlassen...

Ein Wort noch zum Problem, dass der Kunde wissen muss, dass DPWN SSL CA I2 PS ein Hinweis auf die Deutsche Post ist. In seinen passablen Sicherheitshinweisen auf www.dhl.de/.../sicherheitshinweise.html gibt DHL ganz unten an:

Aha. Soso. Nun, Sie sehen ja selbst, wie sich das in den beiden wichtigsten Browser darstellt. Ich finde es eine bedingt gute Lösung, an deren Unbrauchbarkeit alle gemeinsam mitgearbeitet haben. Warum muss meine Oma Sicherheitsexpertin werden, um so ein Zertifikat lesen zu können, nur weil sie ne Packstation will?

Allgemeine Tipps gegen Phishing

  • Phishing-Mails arbeiten oft mit der Dringlichkeit der Aufforderung: Typisch sind Hinweise auf eine wichtige Sicherheitsüberprüfung, auf eine nötige Freischaltung oder ähnliches, zuweilen flankiert von Drohungen, ein Zugang würde bald gesperrt oder Geld ginge verloren, wenn Sie jetzt nichts unternehmen. In Wirklichkeit meiden viele Anbieter diese Art der Kommunikation und verwenden für wichtige Korrespondenz nach wie vor den Postbrief.
  • Zahlen in der Webadresse oder anstelle eines Domainnamens sind immer verdächtig, kein seriöses Unternehmen würde sich hinter solcher Anonymität verstecken, eine Domain wie http://211.199.252.187:180//dhl/ ist ganz sicher Fake. Auch Namen können verdächtig sein: In der Webadresse http://www.dhl-supportcenter.de/ steckt zwar scheinbar dhl drin, aber die eigentliche Domain ist eben doch eine andere.
  • Hier mehr Infos zum Thema Phishing

Was tun, wenn man schon drauf reingefallen ist?

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau ’normaler Nutzer‘ und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht’s um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte Dich auch interessieren...

11 Antworten

  1. Mho Berlin sagt:

    Moin Moin aus Baerlin,

    hatte in einem meiner Mailaccounts einen aehnlichen Schrott im Angebot, aber Zieseite ist die http://dhl-supportcenter.com/, ansonsten aber datt gleiche Dummzeugs. Interessant ist evtl. noch, was die DENIC zu dieser Seite http://www.dhl-supportcenter.de an Info's hat.....

    Domainabfrage-Ergebnis
    Domaindaten
    Domain dhl-supportcenter.de
    Letzte Aktualisierung 12.11.2010
    Domaininhaber

    Der Domaininhaber ist der Vertragspartner der DENIC und damit der an der Domain materiell Berechtigte.
    Domaininhaber: Jan Berger
    Adresse: Rüskenweg 45
    PLZ: 49811
    Ort: Lingen
    Land: DE

    DAS nur man als Zusatzinfo im Thema.
    Kann natuerlich auch sein, dass ER unwissentlich auch nur Steigbuegelhalter ist.....

    Mho from Berlin

    • Andreas sagt:

      Danke für die Hinweise!

      Ich hatte auch schon den Inhaber ermittelt, aber ich denke eben auch, wenn das eine deutsche Adresse ist, dann kann man mit an Sicherheit grenzender Wahrscheinlichkeit annehmen, dass das eine gestohlene oder gefälschte Identität ist. Und letztlich führt die Suche dann auch nicht weiter.

      Statt dessen schickte ich die Mail weiter an Phishing@deutschepost.de, die sich tatsächlich dafür bedankten. Der Betreff lautete 'IT-Sicherheitsvorfall (http://www.dhl-supportcenter.de/ ) Nr.: 791183 Schliessung der Phishingseite'. #791183 - woraus man eventuell schließen darf, dass da ein ganz schöner Haufen Mails unterwegs ist...

  2. Löwenzahn sagt:

    Bei mir stand in der Phishing-Mail von "dhl-supportcenter.com" übrigens nicht, dass ich mich innerhalb von 7 Tagen verifizieren solle, sondern bis zum 31.(!!!)11.2010 (sic)! Es scheint also Abweichungen von der Mail mit eingebautem Intelligenztest zu geben. Aber wer achtet auf die Schnelle schon auf solche Details. Meine Mail enthielt übrigens noch folgende Grafik im Kopf der Mail: http://92.241.190.28/Untitled.jpg

  3. Andreas sagt:

    Hi, ich habe heute eine vergleichbare E-Mail aus im Spam-Fach gefunden, die trickreich auf die Seite
    http://dhl24-kundenservice.info
    leiten wollte.
    Danke für Deine Hinweise, fand ich gut zusammengefasst.
    Ich würde noch ergänzen, wie wichtig es ist, nicht der Bequemlichkeit halber überall den gleichen User-Namen und dann auch noch das gleiche Passwort zu verwenden.
    Gruss
    Andreas

  4. ickbins sagt:

    Habe heute dies mail erhalten :-))
    Naja, hinter den sehr seriösen Link steckt aber dieser Link [http://packstation-online-verifizierung.ho.am/] ...
    hab die gleich an DHL weitergeleitet :-))
    Gruß
    ========================================================================
    Sehr geehrter PACKSTATION Kunde,

    unser kostenloser PACKSTATION Service überzeugt durch seine kundenfreundliche Nutzung.
    Damit aktive Nutzer den Service wie gewohnt in Anspruch nehmen können,
    führen wir die Verifizierung der PACKSTATION Adressen durch.
    Um Ihre nächste Bestellung nicht durch das erforderliche Verfahren zu verzögern,
    sollten Sie Ihre PACKSTATION Adresse bis 14.10.2011 telefonisch oder kostenlos online auf
    https://www.dhl.de/packstation/secure.php (http://packstation-online-verifizierung.ho.am/)
    und somit die aktuelle Nutzung bestätigen.
    Wir hoffe, die Nutzung unseres PACKSTATION Services überzeugt Sie!
    Mit den besten Grüßen
    Dirk Sebastian
    Leiter Marketing PACKSTATION

    PS: Sollten Sie Ihre Kundenkarte verloren oder Ihre PIN vergessen haben
    unser Kundenservice steht Ihnen täglich von 7-22 Uhr unter der Servicenummer 0 18 03 / 365 365
    (9 ct. je angefangene Min. im Festnetz der T-Com, von allen PACKSTATIONEN aus kostenlos) zur Verfügung.

  5. nemo sagt:

    Aktuell:
    http://packstation.kunden-sehr-sicher.info/

    ... ich geh da im Übrigen immer hin und geb denen einfach ne Handvoll Postnummern, Pins, alles was sie wollen. Dafür, dass die mich zuspammen, mach ich ihnen auch Arbeit. :)

  6. ich sagt:

    Hallo,

    einfach mit mozilla thunderbird mails abrufen.Als ich auf den Link geklickt habe, wurde ich gleich gewarnt, das es eine gefakte Seite ist.

    LG
    Belinda

  1. Februar 18, 2011

    [...] Mit freundlichen Grüßen, Giesela Münster DHL – Service – Team Verwandte Posts: - DHL-Packstation-Phishing per 'DHL-Verifikation' - Phishings erkennen und abwehren - Identitätsdiebstahl & Identitätsbetrug - Wollen Sie [...]