# Phising vom offiziellen Server der Stadt Oldenburg



## Jeretxxo (27. Februar 2016)

*Hallo, heute hab ich folgende E-Mail bekommen*:


Bestätigung Ihrer PayPal-Zahlung 26. Feb. 2016 00:31:28 MEZ 
Referenznummer: 1P5DZCZ3MKBHJEOZJ 

Sie haben eine Zahlung über ?69,99 EUR an PornHub.com Limited (Ltd.) (info@pornhub.com) gesendet. 

Alle Details zu dieser Zahlung finden Sie in dieser E-Mail. 


Verkäufer 
PornHub.com Limited (Ltd.)
info@pornhub.com Mitteilung für Verkäufer 
Sie haben keine Mitteilung eingegeben. 
Lieferadresse
xxxxxx
xxxxxx
Versanddetails 
Der Verkäufer hat noch keine Versanddetails angegeben. 


BeschreibungStückpreisAnzahlBetrag
1 Monat Membership Pornhub.com
Artikelnummer: xid-4922 ?69,99 EUR1?69,99 EUR
 Versandkosten?0,00 EUR
Versicherung - nicht angeboten----
Summe?69,99 EUR
Zahlung?69,99 EUR

Zahlung gesendet an info@pornhub.com




Probleme mit dieser Zahlung? 

Wenn diese Zahlung nicht von Ihnen persönlich ausgeführt worden ist,  klicken Sie bitte auf Konfliktlösung, um die Zahlung zu stonieren. 


Konfliktlösung / Zahlung stornieren


Sie werden anschließend auf die PayPal Konfliktlösungs-Seite weitergeleitet und aufgefordert eine Konfliktlösung durchzuführen. 


Bitte antworten Sie nicht auf diese E-Mail. Dieses Postfach wird nicht  überwacht, deshalb werden Sie keine Antwort erhalten. Wenn Sie Hilfe  benötigen, loggen Sie sich in Ihr PayPal-Konto ein, und klicken Sie oben  rechts auf einer der PayPal-Seiten auf den Link Hilfe. 

Anstelle unserer HTML-E-Mails können wir Ihnen Benachrichtigungen auch  als Reintext zusenden. Wenn Sie Ihre Optionen für  E-Mail-Benachrichtigungen ändern wollen, loggen Sie sich in Ihr Konto  ein und klicken Sie unter "Mein Profil" auf Einstellungen. 



*Normalerweise würde ich so eine Mail einfach löschen, gar nicht weiter beachten und gut ist, aber es stimmte erstens meine E-Mail Adresse mit meinem tatsächlichen Vor- und Zunamen überein, was schon einmal relativ ungewöhnlich ist für eine 0815 Phising Mail, aber noch nicht so wirklich verwunderlich, aber danach hab ich einmal den Header der E-Mail überprüft und die E-Mail kam von der Internetpräsenz der Stadt Oldenburg, also  scheint es so als wurde deren E-Mail Dienst gekapert, ob das so sein soll... ich weiß nicht. 
Das komische ist allerdings das die E-Mail nicht in HTML einging, auch keinen Link und Anhang enthält und daher prinzipiell als harmlos einzustufen ist, lediglich der Absender, eben die Stadt Oldenburg macht mich stutzig.

(Ich hab oben meinen Namen rausgenommen und geschwärzt, nur zur Info.)

Edit: Achja, ich sollte vielleicht noch hinzufügen, ich hab nicht einmal ein Pay Pal Konto. 

*


----------



## Bot_mit_Ping (27. Februar 2016)

Die selbe mail hab ich gestern auch bekommen und schon gelöscht. Man o man da werden viele reinfliegen. Der Link ist glaub der bezahlen stornieren button.

Edit: ich hab auch kein pp konto auf der anderen seite war ich aber wirklich um mir die nutzerstatistik anzuschauen und auf deren ihre premiumwerbung hab ich echt ausversehen geklicht und dann so ne e mail.


----------



## keinnick (27. Februar 2016)

Kannst Du den Header posten?


----------



## GameKing88 (27. Februar 2016)

Hatte ich auch bekommen und habe kein Paypal Konto. Hab es einfach gelöscht.


----------



## ednaK (27. Februar 2016)

Return-Path: servXXX@Xaypal.de
X-Original-To: wernerspXXXXX@Xulapla.de
Received: from www47.estugo.de (www47.estugo.de [37.218.252.194])
by mx.discard.email (Go MTA) with ESMTP
for wernerspXXXXX@Xulapla.de; Fri, 26 Feb 2016 00:35:56 +0100 (CET)
Received: from 84.200.7.129 (unknown [84.200.7.129])
by www47.estugo.de (Postfix) with ESMTPA id 785AA85DEA
for wernerspXXXXX@Xulapla.de; Fri, 26 Feb 2016 00:35:55 +0100 (CET)
From: "servXXX@Xaypal.de" servXXX@Xaypal.de
Subject:
=?iso-8859-1?B?QmVzdOR0aWd1bmcgSWhyZXIgWmFobHVuZyBhbiBQb3JuSHViLmNvbSBMaW1pdGVkIChMdGQuKQ==?=
To: "wernerspiegel" wernerspXXXXX@Xulapla.de
Content-Type: multipart/alternative; boundary="TOJoS6Jg32KxMSPFd64yz=_TVZ2XiHLaEt"
MIME-Version: 1.0
Organization: servXXX@Xaypal.de
Date: Fri, 26 Feb 2016 00:33:15 +0100

Quelle : SPAM: Bestatigung Ihrer Zahlung an PornHub.com Limited (Ltd.) | Discard.email

~~~~~~~~~~~
Hab den gleichen Mist bekommen ; und das jetzt schon zum 3.Mal --> komisches Gefühl sowas.

Checkt zur Sicherheit eurer Paypal Konto auf ungewöhnliches.

mfg


----------



## TheBadFrag (27. Februar 2016)

Scheinen ja Profiadmins bei der Stadt beschäftigt zu sein.  Der Server versendet Terabytes an Spam und keiner bekommt was mit.  Hat sich wahrscheinlich ne Chip gekauft wo ein Artikel über Serverhosting drin stand und dann bei der Stadt beworben.


----------



## -Ultima- (28. Februar 2016)

Hab die selbe Mail bekommen


----------



## dontrememberme (12. März 2016)

TheBadFrag schrieb:


> Scheinen ja Profiadmins bei der Stadt beschäftigt zu sein.  Der Server versendet Terabytes an Spam und keiner bekommt was mit.  Hat sich wahrscheinlich ne Chip gekauft wo ein Artikel über Serverhosting drin stand und dann bei der Stadt beworben.



Was kann schon ein Admin der Stadt Oldenburg gegen einen gut ausgebildeten Hacker schon ausrichten ? Wie kann man überhaupt die Absender Email tracken??? Ich habe neulich eine Spammail von meinem Bruder bekommen, der bei web.de ist.  Wurde jetzt web.de gehackt oder kann man die Emailabsender auch faken?? Der Virusscan auf den Computer brachte keine Ergebnis.


----------



## TheBadFrag (12. März 2016)

dontrememberme schrieb:


> Was kann schon ein Admin der Stadt Oldenburg gegen einen gut ausgebildeten Hacker schon ausrichten ? Wie kann man überhaupt die Absender Email tracken??? Ich habe neulich eine Spammail von meinem Bruder bekommen, der bei web.de ist.  Wurde jetzt web.de gehackt oder kann man die Emailabsender auch faken?? Der Virusscan auf den Computer brachte keine Ergebnis.


Spätestens nach ein paar Stunden sollte der Server komplett vom Netz genommen werden.(zur not per 24/7 remote Hands im Datacenter, wenn man keinen Zugriff mehr hat) Dann macht man den platt, spielt ein altes Backup ein, ändert die Passwörter und behebt die Sicherheitslücke. Ist kein Hexenwerk.


----------



## Anon4565 (16. März 2016)

Ich habe die selbe E-mail bekommen und bin zufällig auf einen Teamspeak Server gestoßen der die selbe IP Adresse hat. Nach ein wenig mehr Nachforschungen bin ich auf die "187" Community gestoßen die anscheinend allseits bekannt ist. 
Googlet man nach denen erscheint zum Beispiel dieser Link: 
WANNABE HACKER = TANAKA187ci aka ROBERT SCHUTZ SCAM DDOS - Pastebin.com

Der Typ muss ja echt beliebt im Internet sein, scheint ein Pseudo hacker/ddos'er zu sein. 

Nur falls es irgendwen von euch Interessiert


----------

