Ik krijg bijna dagelijks phishing mails. Toevallig vandaag een die zogenaamd van PayPal zou komen.
Hij viel bij mij direct door de mand, omdat de tekst in het Duits was. Maar stel nu eens dat ik Duitser was, dan zou de afzender (PayPal) en het e-mailadres van de afzender, in dit geval service @ paypal.de geen argwaan wekken.
(Ik heb voor en achter het @ teken even spaties geplaatst, anders wordt dat e-mailadres verwijderd door de forumsoftware)
Wanneer ik hier in Nederland een bericht over een gedane betaling ontvang van PayPal, dan is het e-mailadres van de afzender service @ paypal.nl.
Tot zover dus geen argwaan. Bovendien werd ik in deze mail aangesproken met mijn naam n adres. Beide correct. Dat moest toch vertrouwen wekken...
De inhoud van de mail kwam erop neer dat mijn account bij PayPal geblokkeerd was en dat ik mijn gegevens moest actualiseren. Dat kon ik doen door op de knop
Bei PayPal einloggen te klikken.
In reguliere mails van PayPal staan ook links, maar wanneer je de muis boven zo'n link houdt, dan zie je links onderaan in het venster waar die link naartoe leidt. Bij echte mails van PayPal moet het internetadres dan beginnen met
https://www.paypal.com/
En natuurlijk zie ik iets heel anders wanneer ik de muisaanwijzer boven de knop
Bei PayPal einloggen houdt. Dat bleek een verkorte link te zijn die ik per definitie niet vertrouw.
Deze mail kwam dus niet van PayPal, maar hoe zit het dan met het e-mailadres van de afzender? Dat is toch een regulier adres van PayPal? Ja, maar het is gespooft:
http://www.ahc.be/tips_en_trucs/021_Spoofing/pages/001_wat_is_spoofing.php
De afzender doet zich voor als PayPal.
Waar komt die mail dan vandaan? Dat kun je achterhalen door naar de bron van het bericht te kijken.
Echte betalingsberichten van PayPal worden verzonden via een server van PayPal, meestal in San Jos, Californi, V.S.
Het IP-adres van de afzender staat in de bron van het bericht. En de locatie (bij benadering) van dat IP-adres kun je bijvoorbeeld achterhalen met deze website:
http://www.lookip.net/ip/
Je plakt daar het IP-adres in en klikt op
lookup
De afzender van het valse PayPalbericht bleek te zijn: mout.kundenserver.de ([212.227.126.187]) in Duitsland. Heeft niets te maken met PayPal.
De bron van het bericht liet me ook dingen zien, die ik niet te zien kreeg in de mail zelf. Wat dacht je van dit stukje tekst:
Guten Tag, Jesko! Wir haben Sie am 15. Mai 2015 per E-Mail um weitere =
Informationen zu Ihrem Konto gebeten. Da wir nichts von Ihnen geh=F6rt=
haben, wurde Ihr Konto weiter eingeschr=E4nkt. Ihr PayPal-Konto wurd=
e eingeschr=E4nkt, da Sie seit Kurzem erheblich h=F6here Dollar-Zahlun=
gen f=FCr Waren oder Dienstleistungen erhalten. Als Ihre Abrechnungsst=
elle m=FCssen wir diese Ver=E4nderungen und deren Zusammenhang mit Ihr=
em Unternehmen nachvollziehen k=F6nnen.
Even niet letten op die rare tekens, want dat komt door de letters met umlaut.
Ik heet echter geen Jesko. En het zou ook een beetje raar zijn wanneer gerefereerd wordt aan een e-mail die ruim een jaar eerder (op 15 mei 2015) naar mij verzonden zou zijn. Dan zou PayPal wel erg laat actie ondernemen... :wacko:
De vervalser heeft een andere/oudere tekst gebruikt en het bericht aangepast. Dat zie je alleen in de bron van het bericht.
-----------------------------
@Veng: Ja, door al die phishing mails ga je ook reguliere mails niet meer vertrouwen. Ik kreeg eergisteren een mail die van PFZW afkomstig zou zijn. Dat is inderdaad mijn pensioenfonds, maar in het e-mailadres van de afzender stond niets dat leek op PFZW. Phishing? Nee, na nader onderzoek bleek het een enqute te zijn die uitgevoerd werd door onderzoeksbureau MWM2, in opdracht van PFZW. Maar toen ik daar achter was, had ik al geen zin meer in die enqute. In de prullenbak ermee!
Als service zetten legitieme bedrijven links in hun e-mails en voegen ze ook wel facturen als bijlagen toe. De narigheid is dat daar volop misbruik van wordt gemaakt door bedriegers.