DHL-Packstation-Phishing per ‘DHL-Verifikation’

Heute konnte ich sehr schön an mir selbst beobachten, wie gut Phishings funktionieren. Denn ich war dermaßen empört über die folgende Mail –  darin die Drohung, ich würde meine Packstation  in 7 Tagen verlieren -, dass ich anfangs überhaupt nicht auf die Idee gekommen bin, es könne sich um einen Packstation-Phishzug handeln. Statt dessen versuchte ich, jemanden aufzutreiben, der die Frage beantworten kann, ob diese Mail authentisch ist. Die Kundenfragen-Abwehr-Systeme der DHL-Website sind aber derart ausgefeilt, dass ich am Ende – das Besetztzeichen der DHL-Hotline im Hörer – aufgab und dachte: “Na schön, dann verifiziere ich den Quark halt”. Gottlob dachte ich das nur für eine Sekunde, danach regte ich mich über die zunehmende Dauerdemütigung des Bürgers – Nacktscanner, Volkszählung, Hotline-Warterei, Packstation-Verifizierung – lange genug auf, um wieder zu Verstand zu kommen und zu verstehen: ist natürlich eine Betrugs-Mail.

Die Phishing-Spam-Mail für DHL Packstation

DHL Packstation: Phishing-Mail

Phishing: Spam-Mail zu angeblicher DHL-Verifizierung einer Packstation

Fett die Spam-Mail, kursiv meine Anmerkungen dazu:

Sehr geehrter PACKSTATION-Kunde,
sehr geehrte PACKSTATION-Kundin,
Verdächtig! Echte Packstation-Mails verwenden persönliche Anrede, bei mir “Guten Tag Herr Winterer,”.

aufgrund der großen Nachfrage des PACKSTATION-Systems sind wir gezwungen dauerhaft inaktive Accounts unter anderem als vorbeugende Maßnahme vor Betrug zu löschen.
Klingt (leider) plausibel. Erst die Arbeitsplätze  per Packstation wegrationalisieren (was jeder Kunde, der seine teuren Sendungen in den Hausflur geschmissen vorfindet, gerne annimmt), dann wiederum die Packstationen wegrationalisieren, um Hermes und Südpost endgültig das Feld zu überlassen.

Selbstverständlich können Sie auf Wunsch weiterhin Ihre PACKSTATION nutzen. Hierfür ist lediglich ein Login unter https://www.dhl-supportcenter.de/ nötig, um Ihren Account als \”aktiv\” zu verifizieren.
Der “call to action”: Tun Sie was! Es soooo einfach … Die Adresse www.dhl-supportcenter.de wirkt echt, die Website selber noch echter. Eines der bestdesignten Phishes ever, selbst die üblichen Rechtschreibfehler fehlen.

Gerne können Sie dies auch telefonisch mit einem unserer Mitarbeiter durchführen. Nutzen Sie dazu unsere Supporthotline
Verlockendes Angebot einer plausiblen Alternative, aber:

Servicenummer 01803 / 365 365 (0,69 Euro pro angefangene Minute aus den deutschen Festnetzen; höchstens 0,99 Euro pro angefangene Minute aus den deutschen Mobilfunknetzen)
… 69 Cent pro angefangene Minute? Hahaha! Nein, da möchte man doch lieber verifizieren…

Sollten Sie künftig auf Ihre PACKSTATION verzichten können, so ist kein weiteres Agieren Ihrerseits nötig.Ihr Account wird dann innerhalb 7 Tagen deaktiviert.
Hier verbirgt sich meines Erachtens der wahre Trick dieser Phishing-Mail: Die Drohung, dass Ihre Packstation binnen 7 Tagen (!) dicht gemacht wird, kommt so leichtfüßig und beiläufig daher, dass man sich aufregen muss (woraufhin dann höhere Hirnfunktionen aussetzen oder so ;-)

Wir bitten um Ihr Verständnis und bedanken uns für Ihr Vertrauen.Mit freundlichen Grüßen,DHL-KundenserviceUrsula SchmidtDHL Vertriebs GmbH & Co. OHGCharles-de-Gaulle-Straße 20PLZ/Ort: 53113 Bonn
Verdächtig! Echte Packstation-Mails enden nämlich mit
Ihr PACKSTATION Team
www.packstation.de

Die DHL-Packstation-Phishing-Website…

DHL Packstation: Phishing-Website

DHL Packstation: täuschend echte Phishing-Website (Komplett-Shot)

… ist eindrucksvoll. Sieht nämlich verdammt echt aus. Pretty impressive. Siehe Komplett-Shot rechts (aufs Thumbnail klicken).

Sofort verdächtig:

  • Kundennummer + PIN + Passwort werden auf einer einzigen Seite (auch noch die Startseite) abgeschöpft.

Erst beim genaueren Hinsehen verdächtig:

  • keine sichere Browser-Verbindung via https
  • die Web-Adresse  in der Adresszeile weicht von der Web-Adresse ab, auf die die verschiedenen Links zeigen
DHL Packstation: Phishing-Website-Fehler

Fehler der Phishing-Website: zum Beispiel die abweichenden URLs in Adresszeile und allen Verlinkungen (zu sehen in de Statuszeile)

Was passiert danach?

DHL Packstation: Phishing-Website verifiziert

Phishing-Website: warmer Händedruck zum Dank

Wer seine Zugangsdaten brav eingeben hat, erhält als Hinweis nur “Ihre PACKSTATION wurde erfolgreich verifiziert”. Ins Opferdeutsche übersetzt: Danke für Deine Zugangsdaten, Du Dödel! Hahaha!

Des weiteren passiert: Erst mal nichts, denn es wurde ja noch nichts verändert. Die Online-Kriminellen haben nun aber die Möglichkeit, die Kontendaten zu verändern. Sie sind im Besitz der digitalen Identität und können zum Beispiel die Hinweise auf neue Sendungen in der Packstation auf sich umlenken, diese Sendungen dann auch abholen – dank PIN. Bei alledem bleiben sie anonym, statt dessen verwenden sie die gestohlene Identität. Wird über diese eine Straftat begangen, muss der seiner Identität bestohlene wahrscheinlich auch noch seine Unschuld nachweisen, wie das auch bei Downloads über gehackte WLANs der Fall ist.

Es gibt übrigens einige Leute im Web, die meinen, Raubkopien seien kein Raub, schließlich würde nichts gestohlen, denn das Original sei ja noch da. Diesen sei gesagt: Nach einem Identitätsdiebstahl ist die Identität auch noch da. Sollen wir ihn deswegen legalisieren?

Tipps gegen Phishing bei DHL / Packstation

  • Melden Sie sich nur über die DHL-Basisseite an, also dhl.de oder packstation.de.
  • Kundennummer und Passwort im Web abzufragen, wenn Sie dort wirklich was machen, das ist noch  plausibel. Doch dazu auch noch die PIN abzufragen ist einen Tick zu viel. Denn:
  • Die PIN wird – bei EC-Karten wie bei der Packstation – nur dann abgefragt, wenn Sie die eigentliche Funktion in Anspruch nehmen, also: die Sendung an der Packstation abholen.
  • Nie wird man sie per Telefon oder Mail oder auf der Website  nach Ihrer PIN fragen. Das gilt ganz allgemein für Passwörter und PINs, auch DHL betont es DHL bei seinen eigenen Sicherheitshinweisen, die Sie hier finden: www.dhl.de/…/sicherheitshinweise.html
  • Achten Sie auf https-Seiten (Secure HTTP). Ein untrügliches Merkmal für Phishing ist, wenn Sie auf eine wichtige Seite gelockt werden und dort Zugangsdaten und PINs eingeben sollen – der Browser dabei aber keine Verschlüsselung (SSL)verwendet. Das wäre zu unsicher und daher unvernünftig.

Hier einige Beispiele, die zeigen, wo die Unterschiede bei der Anzeige zwischen Original und Fälschung liegen. Im Hintergrund oben stets die Fälschung:

Packstation mit und ohne https im Firefox

(Firefox) Oben: falsche Packstation ohne https, darunter: echte Packsation mit https. Wenn Sie auf den deutlich farblich hervorgehobenen Zertifikatshinweis klicken, zeigt Firefox sofort an, auf wen ausgestellt wurde: Deutsche Post World Net (DPWN). Als Problem verbleibt, woher Max Mustermann wissen soll, das dahinter tatsächlich die Deutsche Post steckt...

Packstation https Internet Explorer

(Internet Explorer) Oben: die Fälschung ohne, unten das Original mit https, leider weniger deutlich unterscheidbar als beim Firefox. Danke, Microsoft.

Packstation https Internet Explorer Zertifikat

(Internet Explorer) Klickt man rechts aufs Schloss zeigt IEX einen Zertifikatshinweis, den man dann in einem zweiten Schritt endlich auch mal ansehen kann. Woher der Bürger aber wissen soll, dass hinter DPWN SSL CA I2 PS die Deutsche Post steht, bleibt der Fantasie des Internetsicherheitskritikers überlassen...

Ein Wort noch zum Problem, dass der Kunde wissen muss, dass DPWN SSL CA I2 PS ein Hinweis auf die Deutsche Post ist. In seinen passablen Sicherheitshinweisen auf www.dhl.de/…/sicherheitshinweise.html gibt DHL ganz unten an:

Aha. Soso. Nun, Sie sehen ja selbst, wie sich das in den beiden wichtigsten Browser darstellt. Ich finde es eine bedingt gute Lösung, an deren Unbrauchbarkeit alle gemeinsam mitgearbeitet haben. Warum muss meine Oma Sicherheitsexpertin werden, um so ein Zertifikat lesen zu können, nur weil sie ne Packstation will?

Allgemeine Tipps gegen Phishing

  • Phishing-Mails arbeiten oft mit der Dringlichkeit der Aufforderung: Typisch sind Hinweise auf eine wichtige Sicherheitsüberprüfung, auf eine nötige Freischaltung oder ähnliches, zuweilen flankiert von Drohungen, ein Zugang würde bald gesperrt oder Geld ginge verloren, wenn Sie jetzt nichts unternehmen. In Wirklichkeit meiden viele Anbieter diese Art der Kommunikation und verwenden für wichtige Korrespondenz nach wie vor den Postbrief.
  • Zahlen in der Webadresse oder anstelle eines Domainnamens sind immer verdächtig, kein seriöses Unternehmen würde sich hinter solcher Anonymität verstecken, eine Domain wie https://211.199.252.187:180//dhl/ ist ganz sicher Fake. Auch Namen können verdächtig sein: In der Webadresse https://www.dhl-supportcenter.de/ steckt zwar scheinbar dhl drin, aber die eigentliche Domain ist eben doch eine andere.
  • Hier mehr Infos zum Thema Phishing

Was tun, wenn man schon drauf reingefallen ist?

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte dich auch interessieren …