… an unser Geld zu kommen. Heute trudelte mal wieder eine, sagen wir mal, fragwürdige Mail in meinem Postfach ein. Absender: das DHL Service Center. So sieht das gute Stück aus:

Kommt dem Ein oder Anderen vielleicht bekannt vor. Phishing mit DHL Packstationsdaten gab es in der Vergangenheit schon öfters. Aber die Mail ist gar nicht schlecht gemacht. Keine groben Rechtschreib- oder Grammatikfehler; da hat sich jemand Mühe gegeben. Nur dumm, dass ich noch nie eine Packstation von DHL genutzt habe. Aber auch sonst gibt die Mail zu berechtigter Skepsis Anlass.

Wie die wahre Herkunft einer Mail ermittelt werden kann, habe ich in diesem Artikel gezeigt. Die Auswertung des Mailheaders zeigt den Weg der Mail zurück bis hin zum ursprünglichen Mailserver, von dem aus die Mail versandt wurde. Zugegeben, etwas aufwendig.

Es gibt aber noch eine einfachere Möglichkeit, um Fake-Mails zu entlarven. Dazu etwas weiter ausgeholt: Verlinkungen in Mails werden mit einem HTML Befehl generiert. Nun ist es ziemlich simpel diesen Befehl so anzupassen, dass eine Verlinkung auf eine ganz andere Adresse verweist, als angezeigt wird. Beispiel gefällig? Klickt mal auf folgenden Link.

http://dhl24-kundendienst.com

Ihr seht, nicht immer ist das drin, was vorne draufsteht. Ich kann daher nur eindringlich warnen, Links in Mails zu öffnen, deren Absender unbekannt ist. Denn alleine das Aufrufen einer Webseite kann einen nicht oder nur unzureichend geschützten Computer mit Schadprogrammen infizieren.

Zurück zur Mail von DHL. Um das wahre Ziel der Verlinkung zu entdecken, hilft nur ein Blick in den Quellcode. Dieser ist recht einfach aufzurufen. Am Beispiel von Microsoft Outlook:

Klickt mit einem Rechtsklick in die Mail und wählt dort Quelle anzeigen.

Es öffnet sich der Editor und zeigt folgendes Ergebnis:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META content="text/html; charset=iso-8859-1" http-equiv=Content-Type>
<META name=GENERATOR content="MSHTML 8.00.7600.16385"></HEAD>
<BODY>
<P><A href="http://dhl24-kundendienst.com" target=_blank><IMG border=0 src="http://www1.xup.in/exec/ximg.php?fid=15684788"></A></P>
<P>Sehr geehrter PACKSTATION Kunde,<BR><BR>Sie haben den PACKSTATION Service innerhalb der letzten sechs Monate weniger als sechs mal <BR>in Anspruch genommen. <BR><BR>Um Ihre nächste Bestellung nicht durch die erforderliche Verifizierung zu verzögern, verifizieren Sie Ihre PACKSTATION Adresse bis zum 23.01.2011 telefonisch oder kostenlos online auf: <BR><BR><A href="http://dhl24-kundendienst.com/">http://dhl24-kundendienst.com/</A><BR><BR>Unser Kundenservice steht Ihnen unter der Rufnummer 0180 500 33 21* zur Verfügung.<BR><BR>Sollten Sie Ihre PIN oder Ihr Passwort verloren haben, können Sie diese auf unserer Website ganz einfach neu anfordern und nach erhalt wie gewohnt nutzen. <BR><BR>Übrigens: Pakete können Sie auch über die PACKSTATION frankieren und an eine andere PACKSTATION oder eine beliebige Hausanschrift verschicken - und dabei mind. 1,- EUR Paketporto sparen!<BR><BR>Mit den besten Grüßen,<BR><BR>Dirk Sebastian<BR>Leitung Kundenservice PACKSTATION<BR><BR>Kundenservice-Hotline<BR>0180 500 33 21*<BR>(Mo. - Fr. 8:00 - 18:00 Uhr, <BR>*32 Cent je angefangene Minute aus den deutschen Festnetzen, höchstens 89 Cent pro angefangene Minute aus den deutschen Mobilfunknetzen). </P></BODY></HTML>

Interessant ist dabei der besagte HTML Befehl

<A href="http://dhl24-kundendienst.com" target=_blank><IMG border=0 src="http://www1.xup.in/exec/ximg.php?fid=15684788"></A>

Würden wir auf den Link klicken, landen wir auf folgender Webseite:

http://www1.xup.in/exec/ximg.php?fid=15684788

Keine Ahnung was sich dahinter verbirgt und was passiert, wenn der Link aufgerufen wird, aber eines ist sicher: es öffnet sich ganz sicher nicht das DHL Kundencenter. XUP.in ist übrigens ein Filehoster.

Also immer schön vorsichtig vor dem Anklicken von Links unbekannter Absender. Das war sicher nicht der letzte Versuch per Mail an sensible Daten zu gelangen oder unseren Computer mit Schadprogrammen zu infizieren.