Forum: Offtopic Komische Spam-Mail - was bezwecken die damit?

Evtl. hast du Malware drauf, die jetzt versucht, dein Passwort zu 
klauen.
2FA aktiv?

Unwahrscheinlich. Es ist zwar ein WinXP, mit dem ich paypal aufrufe, 
aber es ist in einer virtuellen Maschine unter Linux und wird 
ausschließlich dafür verwendet.

> 2FA aktiv?

Ja, seit gestern…

Warum denn ein XP für Paypal in einer VM?
Kann man das mit Linux nicht?

In VMs stellt sich Malware oft tot und das Hostsystem nehme ich für 
solche Sachen nicht, weil ich damit im ganzen Web unterwegs bin. 
Windows, weil ich einen speziellen Passwortmanager benutze, der nur auf 
W läuft - damit sind diese PWs auf dem Host nicht bekannt.

Das könnte ich auch ändern, sehe aber momentan keinen Grund dazu - etwas 
Artenvielfalt ist auch in der IT nicht schlecht…

Die Mail ist einfach Blödsinn. Wenn Du möchtest, kann ich Dir auch so 
eine eMail schreiben, brauche ich nur Deine eMail-Adresse, sonst nichts.

Eine Botschaft enthält sie: "Ich kenne deinen Namen und deine 
Bankverbindung" - aber warum teilt er mir das mit?

Ich bekomme öfters solches Zeug, bei dem ich mich frage, was der unwerte 
Absender damit bezweckt. Sind die einfach nur zu blöd, oder ist da ein 
Hintergedanke dabei, auf den ich nicht komme?

Jetzt wirds ganz komisch: ich habe tatsächlich auf meinem Bankkonto eine 
Gutschrift über 77,99 € erhalten.

Auf dem Paypalkonto findet sich keine entsprechende Gegenbuchung.

Hat sich da jemand meine Daten zur Pappnase bei Paypal erkoren und ein 
Konto aufgemacht? Irgendwie macht das alles keinen Sinn.

Als nächstes will jemand, dass du das Geld per Überweisung 
zurücksendest.

Mir ist was anderes passiert und das könnte das gleiche wie bei dir 
sein:
Hast du evtl. einen Artikel mit "Abbuchung in 14 Tagen" bezahlt und 
davon eine Rückerstattung bekommen?
Die kommt zumindest bei mir genau so, hab ich festgestellt.
Geld einfach per Überweisung auf das Konto, im PP ist das schwer 
nachzuvollziehen.

Claus M. schrieb:
> Als nächstes will jemand, dass du das Geld per Überweisung
> zurücksendest.

Das ist auch das einzige, was irgendwie Sinn machen könnte… Der Absender 
der Zahlung ist tatsächlich Paypal

Jens M. schrieb:
> Hast du evtl. einen Artikel mit "Abbuchung in 14 Tagen" bezahlt und
> davon eine Rückerstattung bekommen?

Nein, solchen Quatsch mach ich nicht. Außerdem habe ich in letzter Zeit 
bei PP keinen Umsatz in dieser Höhe oder höher gehabt - das passt alles 
hinten und vorne nicht.

Ich habe mich nochmal per System-Mail bei PP deswegen gemeldet und 
innerhalb kurzer Zeit eine Antwort bekommen, die sowas von daneben ist…

Hi,

ggf ist das ein Trick um über den Käuferschutz was zu bekommen. Sie 
haben dir Geld geschickt mit dem Käuferschutz. Bitten dich das Geld zu 
überweisen weil es ein "Fehler" war und dann aktivieren sie den 
Käuferschutz. Damit haben sie die 70,99 € von dir bekommen.

Gruß JackFrost

Bastian W. schrieb:
> ggf ist das ein Trick um über den Käuferschutz was zu bekommen.

Interessanter Gedanke. Ich werde morgen mal bei denen anrufen.

Bastian W. schrieb:
> ggf ist das ein Trick um über den Käuferschutz was zu bekommen.
Kann ich mir nicht vorstellen. Betrueger gehen nicht gern in 
Vorleistung. Und das Risiko, dass sie am Ende leer dastehen, ist gar 
nicht gering.

Ich hatte mal eine 100Euro Gutschrift auf dem Girokonto, von einer 
Elisabeth Bauer. War vermutlich nur ein Fehler in der Kontonummer. Dass 
es hier vielleicht was aehnliches ist? Also kein Boesewicht am anderen 
Ende sitzt?

Der Absender der Gutschrift ist definitiv PP, die Mail allerdings ebenso 
definitiv gefälscht - das spricht nicht gerade für eine irrtümliche 
Überweisung wegen Fehler in der Kontonummer.

Woher nimmst du das Wissen, dass die Mail definitiv gefälscht ist? Was 
sagen denn die Header? Gibts da irgendwelche Anzeichen für Betrug?

Uhu U. schrieb:
> Interessanter Gedanke. Ich werde morgen mal bei denen anrufen.

Weiß nicht ... oft ist es doch so dass man selbst etwas dazu tun muss um 
in die Falle zu laufen. Wenn dir jemand Geld auf dein Konto überweist, 
dann ist das seine Schuld, das Geld ist dann eben weg. Du selbst musst 
gar nichts machen, sollen sich doch die anderen darum kümmern und es mit 
der Sparkasse ausmachen.

Wegen den paar Kröten würde ich da auch keine Zeit reinstecken, deinen 
Aufwand um das zu klären bezahlt dir natürlich auch keiner.

> Irgendwie macht das alles keinen Sinn.
Es ergibt keinen Sinn. Das mit dem "machen", das ist englisch und reit 
sich in glorreiche Äußerungen wie "Etwas ... tun machen." ein.

Hermann K. schrieb:
> Was sagen denn die Header?

Dass sie gefälscht ist - siehe Anhang.

Der Originaltext wäre aussagekräftiger als dieser ziemlich verhunzte 
Versuch einer automatischen Interpretation des Mailheaders.

Vielleicht eine Art Geldwäsche :)

Den DKIM-Eintrag überlasse ich Automaten, das kriegt web.de sicher 
besser hin. Der Rest sieht aber echt aus.

Am "Received: (qmail" ist der Dekoder gescheitert, der Eintrag sieht 
auch nicht so aus, wie solche Zeilen meistens aussehen. Der Inhalt von 
"Received:" ist allerdings auch nicht klar festgelegt, der ist für 
Menschen da, nicht für Maschinen.

Und das hier wurde bereits von web.de erzeugt und bezeichnet ein 
Paypal-System als Vorgänger in der Mailer-Kette. 173.0.84.228 liegt 
nachvollziehbar im Paypal-Bereich.

1

Received: from mx2.slc.paypal.com ([173.0.84.228]) by mx-ha.web.de (mxweb110

2

 [212.227.17.8]) with ESMTPS (Nemesis) id 1Mlv7h-1hKtL12rel-00j4GZ for

3

 <xxxxxxxxx@web.de>; Thu, 14 Feb 2019 17:45:53 +0100

Nur auf meinem PP-Konto gibts keine Gegenbuchung…

Das wird nur Paypal klären können.

Echte Vergleichsmail - die üblichen Bestätigungsmails kommen von einem 
anderen Paypal-Mailer, diese Rückzahlung aber vom gleichen wie bei dir:

1

Return-Path: <service@paypal.de>

2

Received: from mx2.slc.paypal.com ([173.0.84.228]) by mx-ha.gmx.net (mxgmx111

3

 [212.227.17.5]) with ESMTPS (Nemesis) id 0LgMKu-1ec1xV33BM-00ndPY for

4

 <xxxxxxxx@gmx.net>; Mon, 16 Apr 2018 13:59:38 +0200

5

DKIM-Signature: v=1; a=rsa-sha256; d=paypal.de; s=pp-dkim1; c=relaxed/relaxed;

6

  q=dns/txt; i=@paypal.de; t=1523879977;

7

  h=From:From:Subject:Date:To:MIME-Version:Content-Type;

8

  zzzzzzzzzzzzz;

9

Received: (qmail 20055 invoked by uid 993); 16 Apr 2018 11:59:37 -0000

10

Date: Mon, 16 Apr 2018 04:59:37 -0700

11

Message-Id: <1523879977.20055@paypal.com>

12

AMQ-Delivery-Message-Id: EMAILDELIVERY-Notification_EmailDeliveryEvent-196-1523879972038-1528446168

13

X-PP-REQUESTED-TIME: 1523879969220

14

X-PP-Email-transmission-Id: 9f83cc36-416d-11e8-a853-441ea14e5960

15

PP-Correlation-Id: bcdeb455dcae0

16

Subject: =?UTF-8?Q?R=C3=BCckzahlung_von_wwwwwwwwwwwww

17

X-MaxCode-Template: PPX001681

18

To: yyyyyyyyyyyyyyy <xxxxxxx@gmx.net>

19

From: "service@paypal.de" <service@paypal.de>

20

X-Email-Type-Id: PPX001681

21

Content-Transfer-Encoding: base64

22

Content-Type: text/html; charset=UTF-8

23

MIME-Version: 1.0

24

Envelope-To: <xxxxxxxx@gmx.net>

25

X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;

Die Sache ist geklärt: "es hat alles seine Richtigkeit", sagte der 
PP-Agent.

Der ursprüngliche Vorgang war Mitte Juni 2017, ein Einkauf bei einem 
deutschen Online-Händler, der nicht ganz glatt lief und von mir 
storniert wurde.

Beim Kauf hatte ich "Abbuchung" angekreuzt und war mir nicht im Klaren 
darüber, dass das per PP abgewickelt wird - sonst hätte ich mein 
PP-Konto direkt angegeben. So hat PP ein "temporäres Konto" angelegt und 
den Vorgang darüber bearbeitet.

Ich bekam nach der Stornierung eine Bestätigung von PP, dass der Betrag 
vom Händler zurückgebucht worden war. Damit war die Geschichte für mich 
abgehakt und ich habe den Eingang des Geldes nicht überwacht, weil ich 
damit gerechnet hatte, dass es auf meinem regulären PP-Konto landet.

Dass die für so eine Rückzahlung schlappe 19 Monate brauchen, ist schon 
ein heißes Ding…

Uhu U. schrieb:
> Die Sache ist geklärt: "es hat alles seine Richtigkeit", sagte der
> PP-Agent.
für PP vllt. aber für dich nicht!

> Der ursprüngliche Vorgang war Mitte Juni 2017, ein Einkauf bei einem
> deutschen Online-Händler, der nicht ganz glatt lief und von mir
> storniert wurde.
Du hast nicht nur die Inflation ausgeblendet sondern auch deine Zeit das 
aufzuklären? Fällt aber wohl unter Privatausgaben?

Sven F. schrieb:
> Du hast nicht nur die Inflation ausgeblendet sondern auch deine Zeit das
> aufzuklären? Fällt aber wohl unter Privatausgaben?

Na ja, ich würde viel eher kritisieren, dass man von PP nur 
0815-Bausteinantworten auf an spoof@PP weitergeleitete Mails bekommt. 
Selbst wenn sie "investigations" im jeweiligen Fall ankündigen, kommt 
nichts weiter.

Uhu U. schrieb:
> Sven F. schrieb:
>> Du hast nicht nur die Inflation ausgeblendet sondern auch deine Zeit das
>> aufzuklären? Fällt aber wohl unter Privatausgaben?
>
> Na ja, ich würde viel eher kritisieren, dass man von PP nur
> 0815-Bausteinantworten auf an spoof@PP weitergeleitete Mails bekommt.
> Selbst wenn sie "investigations" im jeweiligen Fall ankündigen, kommt
> nichts weiter.

Es drängt sich die Frage auf, wie PP auf geeigneten Posteingang von 
BAFin reagieren würde.

Percy N. schrieb:
> Es drängt sich die Frage auf, wie PP auf geeigneten Posteingang von
> BAFin reagieren würde.

Gar nicht, weil die BaFin für PP nicht zuständig ist! PP ist keine Bank, 
aber ein ganz ähnlicher oder gar schlimmerer Sauladen!

Uhu U. schrieb:
> Na ja, ich würde viel eher kritisieren, dass man von PP nur
> 0815-Bausteinantworten auf an spoof@PP weitergeleitete Mails bekommt.

Du hast das also als Spam oder Spoof behandelt, und nicht als echten 
Betrugsversuch? Na dann ist dir ja auch nicht zu helfen! Allein die 
IP-Adresse in der ersten EMail hätte dir das erklären können.
Und wir machen uns hier so viele Gedanken um dich!

Sven F. schrieb:
> Gar nicht, weil die BaFin für PP nicht zuständig ist! PP ist keine Bank,
> aber ein ganz ähnlicher oder gar schlimmerer Sauladen!

Die BaFin ist nicht zuständig, weil PayPal in der EU eine Bank nach dem 
Recht von Luxemburg ist und demgemäss dort "reguliert" wird.

Sven F. schrieb:
> Du hast das also als Spam oder Spoof behandelt, und nicht als echten
> Betrugsversuch?

Von einer halbwegs vernünfigen Firma würde ich erwarten, dass sie solche 
Einsendungen als authentisch klassifizieren und das zurückmelden. 
Stattdessen haben sie mir geraten, das PW zu ändern…

Uhu U. schrieb:
> Von einer halbwegs vernünfigen Firma würde ich erwarten, dass sie solche
> Einsendungen als authentisch klassifizieren und das zurückmelden.
> Stattdessen haben sie mir geraten, das PW zu ändern…

Die Vernunft einer Firma erzwinge Sparsamkeit. Denken ist teuer, denn 
das kostet Zeit. Reflexverhalten ist billiger und ggf automatisierbar. 
Manchmal passt es ja auch.

Ausserdem hat Marktdominanz gewisse Vorteile: Ist der Ruf erst ruiniert, 
reagiert sich's völlig ungeniert. Auch das ist nur vernünftig, aus Sicht 
des Unternehmens.

Uhu U. schrieb:
> Von einer halbwegs vernünfigen Firma würde ich erwarten, dass sie solche
> Einsendungen als authentisch klassifizieren und das zurückmelden.
> Stattdessen haben sie mir geraten, das PW zu ändern…

Dort arbeiten auch nur minder qualifizierte Menschen in lauter 
Abteilungen, und der Ratschlag war so verkehrt ja auch nicht?

Sven F. schrieb:
> Dort arbeiten auch nur minder qualifizierte Menschen

In der Sicherheitsabteilung? Dann könnten die glatt zu machen.

Sven F. schrieb:
> Uhu U. schrieb:
>> Von einer halbwegs vernünfigen Firma würde ich erwarten, dass sie solche
>> Einsendungen als authentisch klassifizieren und das zurückmelden.
>> Stattdessen haben sie mir geraten, das PW zu ändern…
>
> Dort arbeiten auch nur minder qualifizierte Menschen in lauter
> Abteilungen, und der Ratschlag war so verkehrt ja auch nicht?

"Don't eat yellow snow!" wäre auch nicht verkehrt gewesen, gelle? Für 
den Kunden hätte diese Antwort sogar den Vorteil, dass er positiv 
wüsste, dass sich dort keine Sau des Problems anzunehmen bereit ist, und 
dies auch belegen könnte.

Uhu U. schrieb:
> In der Sicherheitsabteilung? Dann könnten die glatt zu machen.

Ist ja wie überall auch, Sicherheit hat doch nichts mehr mit Können zu 
tun sondern mit Möglichkeiten und Mitteln .. wie bei der Polizei auch 
...

Percy N. schrieb:
> "Don't eat yellow snow!" wäre auch nicht verkehrt gewesen, gelle? Für
> den Kunden hätte diese Antwort sogar den Vorteil, dass er positiv
> wüsste, dass sich dort keine Sau des Problems anzunehmen bereit ist, und
> dies auch belegen könnte.

irgendwie sehr in Rätseln verschlüsselt was du eigentlich sagen 
wolltest?

Sven F. schrieb:
>
> Percy N. schrieb:
>> "Don't eat yellow snow!" wäre auch nicht verkehrt gewesen, gelle? Für
>> den Kunden hätte diese Antwort sogar den Vorteil, dass er positiv
>> wüsste, dass sich dort keine Sau des Problems anzunehmen bereit ist, und
>> dies auch belegen könnte.
>
> irgendwie sehr in Rätseln verschlüsselt was du eigentlich sagen
> wolltest?

1. Dieser Satz kein Prädikat.
2. "?" ?

@UHU
Danke fuer die Rueckmeldung, dass es sich geklaert hat. Ich denke dieser 
Ausgang ist eine gewisse Erleichterung. Hat er doch die Befuerchtung 
einer undurchschaubaren Betrugsmasche entkraeftet. Ich denke mit 
gesundem Menschenverstand, Skepsis und einigermassen aktuellem Wissen 
ueber die Methoden laessen sich Betrugsversuche gut erkennen. Auch wenn 
mal ein false-positive dabei ist.

Percy N. schrieb:
> "Don't eat yellow snow!"

Sven F. schrieb:
> irgendwie sehr in Rätseln verschlüsselt was du eigentlich sagen
> wolltest?

Er wollte damit zum Ausdruck bringen, dass er schon mal was von Frank 
Zappa gehört hat. In richtig gehts so:

Watch out where the huskies go,
and don't you eat that yellow snow.

Achim B. schrieb:

> Er wollte damit zum Ausdruck bringen, dass er schon mal was von Frank
> Zappa gehört hat.

Keineswegs, ich möchte niemanden kulturell überfordern.
Machen wir's also noch einfacher: Ein ähnlich hilfreicher Rat hätte 
lauten können "Immer schön atmen, abwechselnd ein und aus!"

> In richtig gehts so:
>
> Watch out where the huskies go,
> and don't you eat that yellow snow.

Mensch, bist Du belesen!

Thorsten M. schrieb:
> Danke fuer die Rueckmeldung, dass es sich geklaert hat. Ich denke dieser
> Ausgang ist eine gewisse Erleichterung. Hat er doch die Befuerchtung
> einer undurchschaubaren Betrugsmasche entkraeftet.

Hmja, Die Befürchtung der Betrugsmasche kam alledings auch nur dadurch 
zu Stande, dass Uhu eine überfällige Gutbuchung aus den Augen verloren 
hat und nun dadurch überrascht wurde, dass diese auf einmal ankam.

Bei PayPal nachzufragen war daher sinnvoll und hat auch die Lösung 
gebracht, also, wenn ERST der Versuch der Klärung mit PayPal geschehen 
wäre, dann hätte es diesen Thread gar nicht gegeben. Dann hätte wir 
jetzt keine Lösung gesehen - aber auch kein Problem.

Insofern musste ich etwas schmunzeln, weil mich das Vorgehen doch SEHR 
an die eine oder andere Aktion des Alten Knackers erinnert hat - den 
speziell Uhu dafür gerne durch den Kakao zieht...

Percy N. schrieb:
> Mensch, bist Du belesen!

Nicht nur das! Ich hab auch die Langspielbladde mit dem drauf!

Konnte nicht mehr editieren - ich nehme den Vergleich zurück!

Uhu hat ja zuerst vor dem Ursprungspost bei PP nachgefragt und nur die 
blöde Antwort bekommen, er möge sein Passwort ändern. Das nährt 
natürlich den Verdacht, dass da von einem Dritten herumgepfuscht wird.

Vieleicht sollte Paypal in jede Mail eine Art Hash-Code mit schicken der 
aus dem Mail-Text plus einem geheimen Salt generiert wurde.
Dann könnte man diesen, wohl nicht vorhandenen Service der 
Authentizitätsprüfung, sogar zuverlässig automatisieren.

Alex G. schrieb:
> Vieleicht sollte Paypal in jede Mail eine Art Hash-Code mit schicken der
> aus dem Mail-Text plus einem geheimen Salt generiert wurde.

Guckst du oben unter DKIM.

Matthias L. schrieb:
> Das nährt
> natürlich den Verdacht, dass da von einem Dritten herumgepfuscht wird.

Also doch nix mit Alter Knacker?

Jetzt will PP sich auch noch Lob für seinen Mist abholen…

Uhu U. schrieb:
> Jetzt will PP sich auch noch Lob für seinen Mist abholen…

Ich nehme an, dass du nicht um eine passende Antwort verlegen bist. ;-)

Ist hässliche Routine. Nach einem Abschluss eines Support-Tickets kommt 
unweigerlich kurz drauf eine Anfrage, wie es denn gelaufen sei. 
Besonders nervende Firmen machen das telefonisch. Die Krone gebührt 
jenen Anrufern, die nicht einmal sagen können, um welches Ticket mit 
welchem Sachverhalt es überhaupt geht.