DHL Express | Verzending, Tracking en Courier Delivery. von DHL Delivery Express | Verzending, Tracking en Courier Delivery ServicesXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX ([email protected])
Am Mittwoch, den 21. Juni 2017 wurde durch unbekannte Dritte die folgende betrügerische E-Mail in holländischer Sprache versendet. Die E-Mail stammt nicht von DHL! Öffnen Sie deswegen nicht die Anlage und geben Sie keine Daten ein!
Betreff: DHL Express | Verzending, Tracking en Courier Delivery.
Absender: DHL Delivery Express | Verzending, Tracking en Courier Delivery ServicesXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX ([email protected])Geachte klant,
Uw pakket dat door uw klant is verzonden, is vandaag op ons kantoor aangekomen. Controleer alsjeblieft de bijgevoegde (Controleer uw pakket) aan Bevestig dienovereenkomstig als uw adres juist is, om ons in staat te stellen aan onze uitzendbeambte voor verzending naar uw bestemmingsadres.
Dispatch Department
DHL EXPRESS
Achtung: Es handelt sich um eine betrügerische E-Mail! Die Nachricht wurde nicht von DHL versendet! DHL hat mit der E-Mail nichts zu tun! Öffnen Sie nicht die Anlage und geben Sie keine Daten ein!
Öffnen Sie nicht die Datei „00DHL.pdf“. Im Grunde genommen geht es den Betrügern nur darum, an Ihre E-Mail-Zugangsdaten zu gelangen.
Im Gegensatz zu früheren Versionen dieser Phishing-Welle enthält das Adobe Acrobat Reader – Dokument „00DHL.pdf“ einen Text und ein Bild:
DHL
Geachte klant,
Door internetbeveiliging gebruikt DHL nu
verificatie voor zijn volgnummers.
Klik HIER om uw documenten en volgnummer te
verifiëren en te bekijken.
vriendelijke groeten
DHL Express Team
Der Link „Klik HIER“ ist mit der Seite autocity.com.sg/0001D.H.L/DHL/Exp/index.html verlinkt. Die Internetseite gehört auch nicht zu DHL!
Der Acrobat Reader würde beim Klick auf den Link zunächst eine Sicherheitsabfrage stellen:
Die betrügerische Seite zeigt zunächst folgende Meldung:
Dowloading Tracking Parcel.pdf Click OK to continue “
OK
Nach einem Klick auf „OK“ öffnet sich folgende Seite:
DHL
Access with your Email address
[email protected]
Start Download
Alle weiteren Seiten basieren ebenfalls auf dieser Datei. Mittels eines JavaScript werden immer wieder Teile der Seite ausgetauscht.
Angeblich soll man seine E-Mail-Adresse eingeben, um einen Download zu starten. Das stimmt aber nicht! Es startet kein Download, sondern nach Eingabe einer E-Mail-Adresse behauptet die Seite, eine Verbindung zum Mail-Server des Providers würde hergestellt:
…connecting to Mail Server
Anschließend fordert die betrügerische Seite noch zur Eingabe des E-Mail-Passwortes auf.
DHL
Access with your Email address
[email protected]
Password
Start Download
Danach wird angeblich das Programm geladen:
Download in progress…
Auch wenn die Daten korrekt sind, so erscheint nur eine Meldung, dass man es später mit dem korrekten Passwort nochmal probieren soll:
Network Timeout, Try again with correct password.