(phishing II, phishing I) Heute: PayPal!
1. Mail in Inbox, das mich auffordert, via einen Link auf eine "PayPal"-Seite zu gehen und meine Accountdaten zu updaten:

2. Wenn ich's nicht schon vorher bemerkt hab, dann müsste es mir jetzt - nach den Click - fishy vorkommen, dass in der URL gar nirgends PayPal auftaucht, ich hier aber aufgefordert werde, die Logindaten für meinen PayPal-Account abzuliefern.

Wenn ich das hier tue, dann uebergebe ich die Daten - ohne dass ich es merke, wenn ich nicht den Sourcecode der Seite lese - an die Adresse www.acount-seller-upgrade.de/loginsubmit.php, die mir als Antwort eine Seite liefert, die erneut eine PayPal-Seite simuliert - aber in der URL als Fälschung zu erkennen ist:

3. Der Versuch, die URL ohne was hinter dem "/" aufzurufen bringt eine interessante Errormeldung:

4. "account-seller-upgrade" tarnt sich als Subdomain von "goracer.de". Also schaun wir www.goracer.de mal an:

goracer.de scheint irgendeine Kiste beim Hostingprovider server4you.de zu sein, auf der "acount-seller..." gelagert wird. Ja wem gehört denn goracer.de? Das weiss www.denic.de. Eine Anfrage dort via Web liefert sofort die Besitzerdaten. Die führen ihrerseits zu einer Hosting Firma namens "Intergenia AG", die auf ihrer Website erklärt, dass server4you.de eine ihrer Marken ist. Ich geh zurück zu denic.de und suche dort nach den Besitzerdaten der "angreifenden Domain" www.acount-seller-upgrade.de. Da erfahre ich, dass die Domain auf eine Frau registriert ist, deren Name aber offensichtlich falsch geschrieben ist oder ein Deckname sein muss.