Pornhub Fake PayPal Rechnungen

Habe heute eine interessante Mail von "PayPal" bekommen Angeblich habe ich einen Premium Account bei Pornhub über mein PayPal Konto bezahlt. Beim genaueren hinsehen fiel mir gleich die falsche PayPal Adresse auf. Auf dieser Adresse war nie ein PayPal Konto registriert. Dazu kommt natürlich, dass ich mir keinen solchen Premium Account erstellt habe

Ich war Neugierig und habe mal ein bisschen rechachiert:

Received: from gracchus.sui-inter.net (gracchus.sui-inter.net [80.74.128.11])
	by xxx with ESMTPS id C78582F6159C
	for <xxx@qso4youxxx>; Fri, 26 Feb 2016 06:29:23 +0100 (CET)
Received: from 84.200.7.129 (unknown [84.200.7.129])
	by gracchus.sui-inter.net (Postfix) with ESMTPA id 175614544F32
	for <xxx@qso4youxxx>; Fri, 26 Feb 2016 06:29:02 +0100 (CET)
From: <service@paypalxxx>
To: "xxx" <xxx@qso4youxxx>
Subject: =?iso-8859-1?Q?Best=E4tigung_Ihrer_Zahlung_an_PornHub.com_Limited_=28Lt?=
	=?iso-8859-1?Q?d.=29?=
Date: Fri, 26 Feb 2016 06:28:14 +0100
Organization: service@paypalxxx
Message-ID: <012301d17098$d9e357f0$8daa07d0$@paypalxxx>
MIME-Version: 1.0
Content-Type: multipart/alternative;
	boundary="----=_NextPart_000_0124_01D170A1.3BA9BBC0"
X-Mailer: Microsoft Outlook 16.0
X-Spam-Checker-Version: SpamAssassin 3.3.2 (2011-06-06) on
	xxx.qso4you.com
X-Spam-Level: *
X-Spam-Status: No, score=2.0 required=7.0 tests=HTML_MESSAGE,MISSING_MID,
	RCVD_NUMERIC_HELO,SPF_SOFTFAIL,URIBL_BLOCKED,URIBL_PH_SURBL autolearn=no
	version=3.3.2
X-Original-To: xxx@qso4youxxx
Thread-Index: AQGXU1VHCbUAJxxLdyzNp3rlCJH3MA==

In der Mail wird ein Link zur Konfliktlösung angeboten. Dieser zeigt zwar auf eine deutsche TLD hat mit PayPal aber so viel zu tun wie der Papst mit Pornhub.

Leider habe ich mich bei der TLD zu früh gefreut wenn sich die Daten der Denic mal ansieht:

Zitat von Denic

Domain Query - Results
Domaindaten

Domain
bearbeitung-paypal.de
Latest update
25.02.2016

Domain holder

The domain holder is DENIC's contractual partner and hence holds the material rights to the domain.

Domain holder
Kai Böhme
Address
Weydemeyerstr. 8
Postal code
09117
City
Chemnitz
Country
DE

Administrative contact

The administrative contact (admin-c) is the natural person appointed by the domain holder to act as his/her authorized representative and who also has the duty towards DENIC of taking binding decisions in all matters concerning the domain bearbeitung-paypal.de.

Name
Kai Böhme
Address
Weydemeyerstr. 8
Postal code
09117
City
Chemnitz
Country
DE

Technical contact

The technical contact (tech-c) supports the domain bearbeitung-paypal.de with respect to technical aspects.

Name
Kai Böhme
Address
Weydemeyerstr. 8
Postal code
09117
City
Chemnitz
Country
DE
Phone
+49.1741158741
Fax
+49.1741158741
E-mail
[email protected]

Zone administrator

The zone administrator (zone-c) supports the name servers of the domain bearbeitung-paypal.de.

Name
Kai Böhme
Address
Weydemeyerstr. 8
Postal code
09117
City
Chemnitz
Country
DE
Phone
+49.1741158741
Fax
+49.1741158741
E-mail
[email protected]

Technical data

Name server
ns1.bitdomain.biz
Name server
ns2.bitdomain.biz
Name server
ns3.bitdomain.biz
Name server
ns4.bitdomain.biz

Alles anzeigen

Beim Hoster bitdomains.biz handelt es sich um einen Dienstleister, der gegen Bitcoins anonymes Hosting anbietet. Die Seite hat noch nicht einmal ein Impressum. Man muss also davon ausgehen, dass der Name im Whois höchstens der Hoster ist.

Was passiert eigentlich, wenn man die Seite aufruft und die angeblich Abbuchung rückgängig machen möchte?

G DATA und der Firefox haben die Seite bereits als Phishingseite eingestuft. Deaktiviert man den Schutz, wird man feststellen, dass der Server derzeit offline ist

Heute kam noch mal eine Mail. Mal sehen wie lange die das noch durchziehen möchten Die Bilder in der Mail werden übrigends beim Bilderhoster Imgur abgeholt und natürlich nicht von einem PayPal-Server