Heute habe ich folgende Phishing-Email bekommen:

Nachdem ich das letzte Mal im Juli mittels PayPal eingekauft habe bin ich natürlich neugierig geworden und hab mir mal den richtigen Absender der Email angeschaut:

akstcafferdemnsdgs@afferde.com

Hat wohl nichts mit PayPal zu tun…

Nach nähere Inspektion des Source-Codes fand ich ein Zählpixel (Phishern ist auch nichts zu dumm, die berechnen sich wohl eine “Conversion-Rate” ) und folgenden “Link” auf die PayPal-Seite:

http://charliegraham.com/www.paypal.com/webscr.php?cmd=_login-run#

Man beachte das “charliegraham.com” in der URL vor der PayPal-Adresse!

Die Seite dort sieht so aus:

Der einzige Link der Funktioniert ist der auf “Log In”, natürlich ist das ganze nicht mittels SSL verschlüsselt, so ein Zertifikat kostet wohl zuviel. Wenn man eine Email und ein Passwort angibt, soll man auf der nächsten Seite alle anderen PayPal-Daten, bis hin zur Kreditkartennummer angeben und kein Feld ist vorausgefüllt, so ein Zufall…

Da hab ich mir gedacht ich gehe in die Offensive und ein Skript geschrieben das den Phishern die Datenbank mit falschen Email und Passwort-Kombinationen zu müllt, bis jetzt habe ich schon knapp 10.000 falsche Kombinationen in deren Datenbank eingetragen (Ich hab keine Ahnung ob das jetzt eine Straftat ist oder nicht).

Vielleicht ist das ja eine Möglichkeit Phishern mittels dezentralem Spam-Skript so die Daten zu versauen das sie der Aufwand, die funktionierenden zu suchen, zu groß wird und sich somit das Business nicht mehr auszahlt (Ok, ich bin nicht Naiv, ich weiß das den Phishern diese 10.000 falsche Daten egal sind, aber es ist vielleicht mal ein Anfang).

Mich würde auch interessieren wie diese Phisher an ihre Server kommen wo, in diesem Beispiel schaut die Seite http://charliegraham.com so aus:

Ob das echt ist? Wenn ja, weiß die Person was da mit ihrem Server passiert? Der Server steht übrigens in Baltimore in den USA und ist ein Dedicated Server, ich tippe einmal darauf das der Besitzer nichts davon weiß.