B/L COPY/Shipping, Tracking and Courier Delivery von DHL Express ([email protected])
Am Pfingstmontag, den 05. Juni 2017 wurde durch unbekannte Dritte die folgende betrügerische E-Mail in englischer Sprache versendet. Die E-Mail stammt nicht von DHL! Öffnen Sie deswegen nicht die Anlage und geben Sie keine Daten ein!
Betreff: B/L COPY/Shipping, Tracking and Courier Delivery
Absender: DHL Express ([email protected])Dear Customer,
Please find attachment B/L & C heck vessel eta.
Please advise Notice Arrival & Tax invoice for the stated B/ L A.S.A.P.B/L no :267898xle
Vessel : SUI FU HANG 88 V.16 1SThank & Regards
NOTE: Please check the details carefully .
Dispatch departm ent
DHL Express
Achtung: Es handelt sich um eine betrügerische E-Mail! Die Nachricht wurde nicht von DHL versendet! DHL hat mit der E-Mail nichts zu tun! Öffnen Sie nicht die Anlage und geben Sie keine Daten ein!
Eine ähnliche E-Mail wurde bereits am 01.06.2017 in holländischer Sprache (siehe Warnung „DHL Express | Verzending, Tracking en Courier Delivery. von DHL Delivery Express | Verzending, Courier Delivery Services XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX ([email protected])“) und mit gleichem Link am 03.06. in englischer Sprache (siehe Warnung „Shipping, Tracking and Courier Delivery von DHL Express ([email protected])“) versendet.
Die E-Mail behauptet, DHL soll ein Paket zu Ihnen transportieren und Sie müssten in der Anlage Ihre Empfängeranschrift überprüfen. Das stimmt aber nicht! Die E-Mail ist gefälscht! Öffnen Sie daher nicht die Datei „shipment_Bill_Copy.pdf“. Im Grunde genommen geht es den Betrügern nur darum, an Ihre E-Mail-Zugangsdaten zu gelangen.
Das Adobe Acrobat Reader – Dokument „shipment_Bill_Copy.pdf“ enthält ein Bild mit den Worten „Click to access“:
Das Bild ist mit der Seite bragginn.is/vi/D.H.L-EXPRESS111777/DHL/Exp/index.html verlinkt. Die Internetseite gehört auch nicht zu DHL!
Die Browser warnen bereits vor dem Aufruf dieser Seite:
Betrügerische Website!
Die Webseite auf bragginn.is wurde als betrügerische Website gemeldet und auf Grund Ihrer Sicherheitseinstellungen blockiert.
Betrügerische Websites versuchen Sie dazu zu bringen, etwas Gefährliches zu machen, z.B. Software zu installieren oder private Informationen wie Passwörter, Telefonnummern oder Kreditkartendaten Preis zugeben.
Falls Sie auf dieser Seite irgendwelche Daten eingeben, müssen Sie mit Identitätsdiebstahl oder sonstigem Betrug rechnen.
Die betrügerische Seite zeigt zunächst folgende Meldung:
Dowloading Tracking Parcel.pdf Click OK to continue „
Hierfür hat ein JavaScript am Anfang des HTML-Code gesorgt:
<script language=“JavaScript“>
alert(„Dowloading Tracking Parcel.pdf Click OK to continue \“ „)
</script>
Nach einem Klick auf „OK“ öffnet sich folgende Seite:
DHL
Local time
(Uhrzeit)Access with your Email address
[email protected]Start Download
Alle weiteren Seiten basieren ebenfalls auf dieser Datei. Mittels eines JavaScript werden immer wieder Teile der Seite ausgetauscht.
Angeblich soll man seine E-Mail-Adresse eingeben, um einen Download zu starten. Das stimmt aber nicht! Es startet kein Download, sondern nach Eingabe einer E-Mail-Adresse behauptet die Seite, eine Verbindung zum Mail-Server des Providers würde hergestellt:
…connecting to Gmail Mail Server
Ob das Logo des eigenen E-Mail-Anbieters angezeigt wird, entscheidet wieder ein JavaScript der Betrüger:
if(emailfield.indexOf(„yahoo.com“) != -1) {
var the_image = „<img src=’img/yahoo.jpg‘ width=’130′ />“;
var the_server = „Yahoo“;
} else if(emailfield.indexOf(„gmail.com“) != -1) {
var the_server = „Gmail“;
var the_image = „<img src=’img/gmail.jpg‘ width=’130′ />“;
} else if(emailfield.indexOf(„hotmail.com“) != -1) {
var the_server = „Hotmail“;
var the_image = „<img src=’img/hotmail.jpg‘ width=’130′ />“;
} else if(emailfield.indexOf(„ymail.com“) != -1) {
var the_server = „Yahoo“;
var the_image = „<img src=’img/yahoo.jpg‘ width=’130′ />“;
} else if(emailfield.indexOf(„sina.com“) != -1) {
var the_server = „Sina“;
var the_image = „<img src=’img/sina.jpg‘ width=’130′ />“;
} else if(emailfield.indexOf(„126.com“) != -1) {
var the_server = „126.com“;
var the_image = „<img src=’img/126.gif‘ width=’130′ />“;
} else if(emailfield.indexOf(„163.com“) != -1) {
var the_server = „163.com“;
var the_image = „<img src=’img/163.png‘ width=’130′ />“;
} else {
var the_server = „“;
var the_image = „<img src=’img/mailserver.jpg‘ width=’130′ />“;
}
Anschließend fordert die betrügerische Seite noch zur Eingabe des E-Mail-Passwortes auf.
DHL
Access with your Email address
(E-Mail-Adresse)
Password
Start Download
Danach wird angeblich das Programm geladen:
Download in progress…
Auch wenn die Daten korrekt sind, so erscheint nur eine Meldung, dass man es später mit dem korrekten Passwort nochmal probieren soll:
Network timeout, Try again with correct password