DHL Packstation: Dreiste Phishing-Versuche

// Kommentare deaktiviert für DHL Packstation: Dreiste Phishing-Versuche

Heute bekam ich bereits die zweite, ziemlich glaubwürdig erscheinende Phishing-Mail vom Absender „PACKSTATION“, mit der offenbar versucht wird persönliche Daten abzugreifen.

Hier der komplette Inhalt der Email:

Guten Tag Christiane Krahner, [Anm.: Das ist natürlich nicht mein Name!]

wir möchten Sie mit diesem Schreiben informieren, dass wir unsere Allgemeinen Geschäftsbedingungen (AGB) überarbeitet und an veränderte Gegebenheiten angepasst haben.

Mit dem Ziel, Ihnen auch in Zukunft den sichersten, einfachsten und schnellsten Paketservice zu bieten.

Zum 1. November 2010 werden wir daher unsere Nutzungsbedingungen und Datenschutzgrundsätze anpassen.

Die geänderten AGB gelten von Ihnen angenommen, sobald Sie die AGB im Kundenbereich unter http://de.packstations.net zugestimmt haben.

Ansonsten läuft ihre PACKSTATION zum 1. November 2010 aus.

Wir möchten Sie als Kunden natürlich nicht verlieren. Aber rein rechtlich müssen wir Sie darauf hinweisen, dass Sie Ihr PACKSTATION auch kostenlos kündigen können.

Bevor Sie sich dazu entscheiden, schauen Sie doch noch einmal auf http://de.packstations.net vorbei und lassen Sie sich überzeugen!

Ihr DHL Team

Servicenummer 01803 / 365 365 (0,09 Euro pro angefangene Minute aus den deutschen Festnetzen; 0,79 Euro pro angefangene Minute aus den deutschen Mobilfunknetzen)

Auf den ersten Blick hielt ich diese Mitteilung für authentisch, da die Formulierung typisch für einen Dienstleister wie DHL ist und sich im Text keine auffälligen Rechtschreibfehler finden. Die kleinen Grammatik-Patzer (wie z. B. „sobald Sie die AGB […] zugestimmt haben“) erkennt man erst auf den zweiten oder dritten Blick, genauso wie die merkwürdige URL http://de.packstations.net. Eine whois-Suche führt zu Tage, dass die Domain packstations.net auf die Firma Heihachi Ltd aus Panama registriert ist, die offenbar Hosting-Dienste für anonym bleiben wollende Online-Inhaltsanbieter bereitstellt. Ein Aufruf der URL im Browser führt auf eine Seite, die bis auf zwei klitzekleine Unterschiede optisch identisch mit der Original-Landingpage von DHL ist. Ich zeige die genauen Unterschiede mal:

Original DHL:

Fake:

Witzig ist auch, dass auf der gefälschten Seite selbst der Bereich „Sicherheitshinweise“ mit der aktuellen Warnung „Vorsicht vor gefälschten E-Mails“ 1 zu 1 kopiert wurde.

Insgesamt ist das ganze eine wirklich gut gemachte Phishing-Aktion, auf die mit Sicherheit jede Menge Packstation-Nutzer hereinfallen werden. An die Macher geht von mir ein ehrlich gemeintes Hut Ab! An DHL geht die aufrichtige Frage, ob es dort ein Datenleck gibt und ob man die Möglichkeiten des Internets dort in Gänze verstanden hat. Denn erstens: Woher wissen die Phisher, dass ich Nutzer des Packstation-Diensts bin? Und zweitens: Warum ist DHL nicht in der Lage, Domains wie packstations.net zu blocken, so dass kein Dritter dort Inhalte hinterlegen kann?

Mir bleibt erst einmal nichts anderes als die dubiose Email an phishing@deutschepost.de weiterzuleiten und zu hoffen dass etwas getan wird, um solche Dinge in Zukunft einzudämmen. Sollten sie sich in nächster Zeit allerdings häufen, werde ich ernsthaft erwägen, den Vertrag mit DHL zur Nutzung des Packstation-Diensts wieder zu kündigen.

765qwerty765

Zum Glück kommt es nicht mehr allzu oft vor, dass ich (außer für meinen Weg zur Arbeit) den öffentlichen Nahverkehr nutze. Nebenbei bemerkt: Der Fernverkehr der Deutschen Bahn ist für mich im Prinzip gar kein Thema mehr (da unrentabel)! Da ich aber nun doch nach längerer Abstinenz wieder ein Wochenende im Westerwald verbringen wollte, war es nötig die Dienste des Nahverkehrs in Nordrhein-Westfalen in Anspruch zu nehmen. Nach wie vor bin ich im Besitz eines Ticket2000 des VRR (welches ich momentan nicht missen möchte). Für Fahrten nach oder über Köln – also auch nach Betzdorf – hatte ich mir bislang immer 4er-Tickets des VRS besorgt, die jeweils ab/bis Langenfeld gültig sind und mir in Verbindung mit dem VRR-Abo durchgehende Fahrten von/nach Düsseldorf ermöglichen. Ein Problem dabei war schon bisher immer gewesen, dass reine VRS-Tickets nur an Bahnhöfen des VRS-Verbundgebiets verfügbar sind. Aus diesem Grund hatte ich bereits mehrmals auf der Fahrt von Düsseldorf nach Betzdorf einen Zwischenstopp in Langenfeld eingelegt, um mir dort am Automaten ein 4er-Ticket zu kaufen.
So hatte ich es auch letzten Freitag wieder geplant und stieg nach Feierabend in die S6 ein, die auch in Langenfeld hält. Mein Ticket2000 ist an Werktagen erst ab 19 Uhr außerhalb von Düsseldorf gültig, allerdings sehe ich es nicht ein, für ca. 2 km Fahrtstrecke zwischen D-Hellerhof und Langenfeld-Berghausen ein Zusatzticket für €2,30 zu kaufen. Ich stieg allerdings gleich in Berghausen aus, um die geringe Wahrscheinlichkeit in eine Kontrolle zu geraten nicht mehr als nötig herauszufordern. Der Fahrkartenautomat am Bahnsteig irritierte mich schon beim ersten Anblick leicht, da er lediglich einen VRR- und keinen VRS-Aufkleber hatte. Das Display jedoch versprach auf dem Button oben rechts Tickets zum VRR- und VRS-Tarif. Nach Tippen darauf war aber wiederum kein Hinweis auf den VRS auszmachen. Ich hatte lediglich die Möglichkeit eine VRR-Preisstufe oder ein Fahrtziel auszuwählen. Also tippte ich auf Fahrtziel und danach auf B und E (für Betzdorf). Prompt erschienen ein paar Orte zur Auswahl, unter denen sich aber leider nicht Betzdorf befand! Auch ein erneuter Versuch führte zum gleichen Ergebnis. Leicht verwirrt kam ich zur Vermutung, dass Berghausen wohl noch außerhalb des VRS-Gebiets liegen müsse und ärgerte mich über mein zu frühes Aussteigen. Was blieb mir anderes als mich zu Fuß in Bewegung zu setzen und zum Bahnhof Langenfeld zu wandern. Das dauerte etwas über 20 Minuten, und die nächste S-Bahn war gerade abgefahren als ich angelangte. Die dortigen Automaten boten das exakt gleiche Bild, und ich begann mich zu fragen ob die Verbundgrenze heimlich verschoben worden war. Da ich keine Möglichkeit sah an mein gewünschtes Ticket nach Betzdorf zu kommen (einen Schalter gibt es am Langenfelder Bahnhof nicht), blieb mir nichts anderes übrig als erst einmal wieder mit der nächsten S-Bahn zurück nach Düsseldorf zu fahren.
Dort begab ich mich unmittelbar ins Reisezentrum am Hauptbahnhof, um zu versuchen etwas Klarheit zu gewinnen. Der Kundenberater verstand mein Anliegen, wusste aber nichts davon dass es in Langenfeld keine VRS-Fahrkarten gäbe. Er versicherte mir, dass dies definitiv in Solingen möglich sei. Ein Bahnticket nach Betzdorf hätte er mir für ca. den doppelten Preis des aktuellen VRS-Tarifs verkaufen können, was ich selbstverständlich ablehnte.
Mir fiel die ‚Schlaue Nummer‘ ein, die man jederzeit anrufen kann, wenn es um Fragen des Nahverkehrs in NRW geht. Also versuchte ich es dort einmal mit der konkreten Frage, ob es in Solingen VRS-Tickets an den Automaten gäbe. Das wurde von dem freundlichen Mann am anderen Ende heftig bejaht, also stellte ich die Frage noch einmal für Langenfeld… und bekam die gleiche Antwort. Er versicherte mir sogar, selbst in Düsseldorf sei das an bestimmten Automaten möglich. Eine wirkliche Hilfe war der Anruf im Nachhinein nicht, aber ich bedankte mich und schlug vor dass das Problem ja mal intern weiter kommuniziert werden könnte. Ich nahm mir kurz einen der beschriebenen Automaten vor, kam damit aber nicht weiter als mit allen anderen.
Also besorgte ich mir sicherheitshalber ein Zusatzticket sowie einen Fahrplan nach Betzdorf via Solingen am Automaten und stieg in die nächste S7 ein. Am Solinger Hauptbahnhof angekommen, suchte ich natürlich sofort einen Ticket-Automaten… und bekam dort wieder exakt das gleiche Bild präsentiert wie überall – kein Hinweis auf irgendwelche VRS-Tickets. Auch wenn Solingen nur einen kleinen Hauptbahnhof besitzt, gibt es dort zumindest einen Info-Schalter, der glücklicherweise auch besetzt war. Der Bahn-Mitarbeiter hörte ziemlich ungläubig meinen Erklärungen zu und stellte dann sogar die sarkastische Frage, ob ich mit Computern umgehen könne! Doch dann verließ er tatsächlich seine Kabine und geleitete mich zu einem der Automaten. Er tippte zunächst zielstrebig auf den VRR/VRS-Button und dann auf Fahrtziel. Beim Versuch Betzdorf auszuwählen hatte er natürlich ebenso wenig Glück wie ich bereits zuvor… und musste sich doch deutlich wundern. Warum denn Betzdorf nicht zur Auswahl stehe, obwohl es doch eindeutig im VRS-Gebiet liege. Er versuchte es mit Köln, aber das war natürlich die falsche Preisstufe. Ich schlug Siegen vor, aber auch das war nicht verfügbar. Es wurde aber Siegburg angeboten, und nach einem Tippen darauf erschien tatsächlich die Preisstufe 5, die ich für eine Fahrt nach Betzdorf benötigte! Und auch ein 4er-Ticket stand zur Auswahl! Der Bahn-Mensch schien ein wenig sprachlos, aber ich bedankte mich für seine Mithilfe beim Herausfinden dieses unlogischen ‚Tricks‘.
Was soll man nun davon halten? Ich hatte vorübergehend die Theorie, dass es mit dem ‚NRW-Tarif‘ zu tun haben könnte. Sprich: Die Bahn ließe bewusst bei den Verbund-Tickets Orte außen vor, die sich weiter weg befinden, um die Fahrgäste zu deutlich teureren Fahrpreisen zu ‚zwingen‘. Aber so weit ich mich erinnern kann sind Fahrkarten für Verbindungen innerhalb eines Verkehrsverbunds auch am Automaten prinzipiell nur zum Verbund-Tarif zu bekommen, selbst wenn man es über den überregionalen Bereich versucht. Das werde ich beizeiten nochmal überprüfen. Auf jeden Fall werde ich versuchen Kontakt zum VRS aufzunehmen und das Problem detailliert schildern. Bin gespannt was man dort als Begründung angibt, dass einige Orte im Verbundgebiet nicht in den Automaten auftauchen.

Edit:
Die folgende Email-Antwort erhielt ich auf meine Anfrage hin von der „Schlauen Nummer“ des VRS:

…wir haben eben von der DB RegioAG mitgeteilt bekommen, dass aufgrund einer neuen Zuordnung (Solingen = räumlich VRR) das Ziel Betzdorf an diesen Automaten als VRS-Zielort fehlt.
Aufgrund Ihrer Beschwerde – Danke für den Hinweis – wird sie eine neue Zwischenmaske entwickeln, um damit auch den kompletten VRS wieder abbilden zu können. Damit sind einige Ziele, die jetzt fehlen, wieder in der Auswahlliste der VRS-Zielorte. Leider benötigt Sie hierfür einen gewissen Zeitbedarf, bitte haben Sie etwas Geduld.
Mit freundlichen Grüßen…

Google hat es mal wieder geschafft mich sehr misstrauisch zu machen. Es ist doch geradezu faszinierend auf welch dreiste Art der große „Datenkrake“ die naiven User austrickst. Gestern wurde quasi aus heiterem Himmel der von Google entwickelte Internet-Browser Chrome unters Volk gebracht. Es ist schon beinahe ekelhaft zu beobachten wie ausgesprochen gut die Taktik des mächtigen Konzerns funktioniert. Die Meldungen über die Veröffentlichung des Programms gingen just am selben Tag durch die Medien, als es schon zum Download bereit gestellt wurde. Angeblich war es ein kleiner „Unfall“, und die Nachricht sollte eigentlich erst später verbreitet werden. Naja, wer’s glaubt… Immerhin stand Chrome sofort in einer durchaus lauffähigen Version und in etlichen Sprachen zur Verfügung. So unvorbereitet kann Google also nicht gewesen sein.
Und der plötzliche Mediendruck war und ist gigantisch. Ein neuer Browser aus dem Hause des weltbekannten Suchmaschinenbetreibers schafft es logischerweise in die Nachrichten sämtlicher Plattformen und TV-Sender zur Prime-Time. Google hat es nun wirklich nicht nötig Geld für die Bewerbung seines neuen Produkts auszugeben. Innerhalb von zwei Tagen dürfte so ziemlich jeder Mensch der Zugang zu Massenmedien hat den Namen „Chrome“ gehört oder gesehen haben. Für die allermeisten dürfte das natürlich kein Grund gewesen sein, die Software gleich zu installieren (obwohl ich davon ausgehe dass sehr viele zumindest den Installer herunter geladen haben). Aber es gibt trotzdem genug experimentierfreudige (Möchtegern-)Freaks, die immer am liebsten das Allerneuste auf ihren Rechnern haben. Im Prinzip muss ich mich auch dazu zählen – Schande über mein Haupt.

So besorgte ich mir gestern Abend direkt mal die Installations-EXE für Windows. Mit gerade mal 475 KB ist sie verdächtig klein… Aber wie in mittlerweile sehr vielen Fällen wird das eigentliche Installationspaket ja nach der Ausführung erst aus dem Netz geladen. Zu Chrome selbst will ich gar nicht viele Worte verlieren. Wirklich „neuartig“ wirkt der Browser nicht. Er kann nur wenig was andere nicht können, bietet aber einiges nicht was andere bieten. Also eigentlich nicht der Rede wert.

Allerdings um so markanter ist ein anderes Progrämmchen, das quasi durch die Hintertür mit eingeschleust wird – GoogleUpdate.exe. Bereits seit einigen Monaten wird zusammen mit Google-Software immer ein „Google Updater“ installiert, der sich aber immer über den ganz normalen Weg wieder entfernen ließ (also über die Systemsteuerung). Der neue Updater ist um einiges hartnäckiger. Mir fiel er zuerst dadurch auf, dass alle paar Minuten die Software-Firewall Zugriffsversuche auf die Internet-Zone meldete. Ein Blick in den Windows-Task-Manager zeigte, dass bis zu 4 Instanzen von GoogleUpdate.exe aktiv waren. Also wo kamen die her? Die Registry enthielt natürlich einen Eintrag im berühmten Pfad HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Lässt sich ohne weiteres löschen. Die Dienste zu checken (unter XP: Systemsteuerung > Verwaltung > Dienste) ist meist auch kein Fehler – und siehe da, auch dort war der Updater zu finden. Lässt sich natürlich deaktivieren oder direkt ganz löschen (sc delete gupdate……, der Name des Dienstes ist immer ein anderer). So tat ich das auch, und nach einem Neustart lief die GoogleUpdate.exe schon wieder! Zum Kotzen!! Also mal gegoogelt nach „uninstall googleupdate“ und sofort fündig geworden. Es waren doch tatsächlich auch noch zwei Einträge im Windows-Taskplaner angelegt worden, die dafür sorgten dass der Updater bei jedem Systemstart und bei Leerlauf gestartet wurde. Der Gipfel der Dreistigkeit! Zum Glück lassen sich auch die Tasks problemlos löschen… Aber man muss ja erst mal darauf kommen dort überhaupt nachzusehen! Jetzt habe ich außerdem sämtliche Registry-Schlüssel gelöscht in denen GoogleUpdate.exe vorkam, sowie alle Ordner in denen sich die Datei befand (insgesamt vier an der Zahl), und hoffe dieses heimtückische Programm damit vom Rechner verbannt zu haben. Chrome ist nach wie vor drauf. Bin gespannt ob es weiterhin laufen wird ohne Meldungen auszuspucken, eine notwendige Komponente sei nicht vorhanden, oder am Ende sogar ungefragt den Updater wieder nachinstalliert!
Also mal ehrlich – wenn so krampfhaft versucht wird ein Programm am laufen zu halten, muss es dabei doch Hintergedanken geben. Und ich bezweifle dass es edle sind…

Schätze ich werde auch Chrome demnächst wieder möglichst komplett eliminieren. Bei meiner Suche nach einer Lösung für obiges Problem bin ich noch auf einen anderen Artikel gestoßen, der mein Misstrauen nur noch weiter geschürt hat. Bei der Installation stimmt man in der Tat einigen sehr dubiosen Bedingungen zu, die ich persönlich nicht befürworten möchte!

Mein eindringlicher Tipp an alle Neugierigen für den Moment: FINGER WEG VON CHROME!!!

UPDATE: Wie hier zu lesen ist, wurden die Nutzungsbedingungen von Chrome mittlerweile wieder ein wenig entschärft. Trotzdem finde ich allein den Versuch mit so etwas durchzukommen ziemlich dreist. Und alles mit dem Wunsch nach „Einfachheit“ zu begründen kann auch nicht immer überzeugen…