Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Tagesarchiv für den 16. April 2007

Adressenänderungen EBay/PayPal

Montag, 16. April 2007

Heute muss der große Tag des Phishings sein. Zwei kriminelle Mails mit verdammt ähnlichem Anliegen. Sie sehen beide wie Phishing-Versuche aus, es handelt sich aber „nur“ ein Mal um klassisches Phishing, der zweite Versuch will den Rechner mit Schadsoftware übernehmen. Aber beide Attacken erwecken den Eindruck, dass sie ein paar Opfer finden könnten.

PayPal-Phishing

Ich fange mal mit dem schlecht gemachten Phishing an, nämlich mit der „hinzugefügten Adresse bei PayPal“.

You have added [… verlinkte Mailadresse von mir entfernt] as a new e-mail address for your PayPal account.

If you did not authorize this change or if you need assistance with your account, please Click Here [… Link auf „Click Here“ von mir entfernt] to contact PayPal customer service.

Thank you for using PayPal
The PayPal Team

Please do not reply to this e-mail. Mail sent to this address cannot be answered. For assistance, log in to your PayPal account and choose the „Help“ link in the header of any page.

Alarm! Von Geisterhand hat sich eine neue Mailadresse an das PayPal-Konto gehängt, das schafft genau jene Panik, die zu unvernünftigen Verhalten führt. Genau das, was ein Internet-Betrüger braucht.

Beide im Zitat entfernten Links gehen auf eine URL mit rumänischer Domain, so dass eigentlich jedem klar sein sollte, dass es sich nicht um PayPal handelt. Aber wer gerade von blankem Entsetzen gelähmt ist, bemerkt so etwas nicht unbedingt. Selbst die verlinkte Mailadresse öffnet die Website. Was den Empfänger dort erwartet, habe ich mir nicht angeschaut, aber es ist davon auszugehen, dass hier das Passwort abgegriffen werden soll, um das Konto bequem plündern zu können. Man kann sich mit einem Klick und ein paar dummen Eingaben leicht um mehrere tausend Euro schädigen lassen.

Es ist natürlich klar, dass jede Antwort bei einer Mail mit gefälschter Absenderadresse völlig sinnlos ist. Und dass in diesem Zusammenhang auf die Hilfetexte der PayPal-Site verwiesen wird, gibt dem kriminellen Versuch einen recht seriösen Anstrich.

Übrigens nutze ich auch manchmal (eher sehr selten) PayPal. Ich habe dafür eine ganz eigene Mailadresse, die ich ausschließlich für diesen einen Zweck nutze. Deshalb steht diese Mailadresse auch nicht auf den Adresslisten der Spammer, und bei mir kommt nicht gleich „Alarmstimmung“ auf, wenn ich solche Phishing-Mails an meine „Adresse für normale Kommunikation“ kriege. Diese simple Vorgehensweise kann ich jedem Menschen nur empfehlen, sie schont wirklich die Nerven. Leider geht einem die Spam trotzdem tierisch auf die Eier.

EBay-Schwindel

Nicht nur „PayPal“ will mir eine Änderung meiner Mailadresse mitteilen, auch EBay hält sich nicht zurück. Es gibt diese Mails (bei mir sind in den letzten 30 Minuten drei Stück eingetroffen) mit zwei verschiedenen Betreffzeilen, nämlich „Hinweis zu geanderter E-Mail-Adresse Ebay“ und „Ihre Ebay E-Mail wurde geandert“. Der Text ist aber in beiden Fällen identisch, auch der im Folgenden beschriebene Fehler in dieser kriminellen Spam ist identisch.

Ich halte diesen Angriffsversuch für recht gefährlich. Er richtet sich speziell gegen deutsche EBay-Nutzer. Die Mails kommen in fehlerfreiem Deutsch und enthalten korrekt gesetzte, erläuternde Links auf die EBay-Website, so dass man zunächst keinen Verdacht schöpft, wenn man nicht gerade gewisse Vorkehrungen getroffen hat. (Es empfiehlt sich generell, für empfindliche Dienste eine eigene Mailadresse zu haben, die niemals an anderer Stelle angegeben wird.) Die gefälschte Absenderadresse presse@ebay.de wirkt zwar etwas merkwürdig, aber das wird vielen Empfängern zunächst gar nicht auffallen, da sie mit ihrer beklemmenden und vernunftverhindernden Panik beschäftigt sind.

In den folgenden Zitaten wurden die Hervorhebungen aus der Mail übernommen. Die Spam enthält keine Links außer den zitierten Verweisen auf die EBay-Homepage.

eBay-Hinweis zu geänderter E-Mail-Adresse
Hallo sehr geehrter Ebay Mitglied,

Vielen Dank für Ihren Antrag auf Änderung Ihrer E-Mail-Adresse. Anleitungen zur Durchführung der Änderung wurden an Ihre neue E-Mail-Adresse gesendet.

Ein sehr geschickter Einstieg für eine kriminelle Mail. Der normale Nutzer wird gewiss hoch alarmiert sein und befürchten, dass sein Zugang „gehackt“ wurde; der Text, dass die Anleitungen an die „neue Adresse“ geschickt wurden, löst auf diesem Hintergrund das blanke Entsetzen aus. Da versteht ein fürchterliches Arschloch von Verbrecher wirklich etwas von Psychologie.

Dabei hat jedes stümperhaft programmierte Webforum Mechanismen, die einen Wechsel der Mailadresse gar nicht so leicht machen – dafür muss nämlich die alte Mailadresse und das Passwort bekannt sein. Ich weiß nicht genau, wie EBay vorgeht, aber ich halte es für sehr unwahrscheinlich, dass einfach mit sofortiger Wirkung alles über die neue Adresse gehen wird, während die alte Mailadresse so einen lakonischen Hinweis bekommt. Auch wird EBay eine viel persönlichere und bessere Anrede als „sehr geehrtes Ebay-Mitglied“ in seinen technischen Mails haben. Es besteht also kein Grund zur Beunruhigung, und schon gar kein Grund, der folgenden Aufforderung Folge zu leisten:

Wenn Sie diese Änderung nicht vorgenommen haben, fragen Sie bitte zuerst Familienmitglieder und andere Personen, die evtl. Zugang zu Ihrem Mitgliedskonto haben. Wenn Sie glauben, dass eine nicht autorisierte Person Ihre E-Mail-Adresse geändert hat dann führen Sie sofort Schritte aus die in dem beigelegtem Dokument beschrieben sind!

Vielen Dank,
eBay

Nun, jetzt zum oben schon angekündigten Fehler in dieser Spam: Das beigelegte Dokument existiert nicht, offenbar haben die kriminellen Spammer bei der Programmierung ihres Skriptes gepatzt. Dieser peinliche Fehler wird aber gewiss bald korrigiert sein, und dann wird es ein beigelegtes „Dokument“ geben. Dieses „Dokument“ wird den eigenen Rechner in einen Computer anderer Leute verwandeln, der zum Spammen, und für die Verbreitung illegaler Inhalte missbraucht und darüber hinaus vollkommen ausspioniert wird, um weitere Verbrechen begehen zu können.

Wie die genaue technische Durchführung des Angriffes sein wird, lässt sich wegen des dummen und peinlichen Fehlers der Cracker noch nicht absehen. Aber um was es in diesem Angriff geht, ist auch so klar. Dass hier sehr exklusiv der „deutsche Markt“ bearbeitet wird, ist allerdings eher ungewöhnlich.

Man kann es nicht oft genug sagen: Niemals einen Mailanhang öffnen, der überraschend von einem Fremden kommt, selbst wenn dieser Fremde vorgibt, eine Bank, ein Internet-Dienst oder sonstwas zu sein! Eine Mail mit falschem Absender zu versenden, schafft jeder achtjährige, in der Nase popelnde Nachwuchshacker. Und auch bei einem wirklichen Bekannten sollte man sehr vorsichtig sein, da sich Absenderadressen fälschen und Adressbücher ausspionieren lassen. Im Zweifelsfall anrufen und nachfragen, ob die Mail echt ist. Dieses bisschen Vorsicht kann einem den Tag retten.

Wie ich schon sagte, wirkt die gefälschte EBay-Mail sehr überzeugend. Sie enthält Verweise auf allgemeine Hinweise der EBay-Website:

Wenn Sie Fragen zu den eBays-Grundsätzen haben, lesen Sie bitte unsere Datenschutzerklärung und die Allgemeinen Geschäftsbedingungen.
Datenschutzerklärung:
http://pages.ebay.de/help/policies/privacy-policy.html

Allgemeine Geschäftsbedingungen:
http://pages.ebay.de/help/policies/user-agreement.html

Copyright 2006 eBay Inc. Alle Rechte vorbehalten.
Die genannten Marken sind das Eigentum ihrer jeweiligen Inhaber.
eBay und das eBay-Logo sind eingetragene Marken bzw. Marken von eBay Inc.

Wer sich von solchen, eher unbewusst wahr genommenen Kleinigkeiten blenden lässt und nicht in jeder Situation seinen Verstand benutzt, der wird Kriminellen auf dem Leim gehen und den Schaden davon haben.

Einen kleinen Fehler haben die Spam-Verbrecher hier aber doch gemacht. Sie haben auf das Urheberrecht für das EBay-Logo verwiesen, das in der Mail gar nicht verwendet wird. Hier zeigt sich die allzu stümperhafte Verwendung der Zwischenablage, um schnell einen guten Betrugstext aus der EBay-Website zu machen. Auch der folgende Hinweis, dass man diese Mail nicht beantworten sollte, dürfte aus einer Original-Mail von EBay kopiert worden sein:

Bitte beachten Sie, dass es sich bei dieser E-Mail um eine vom System versendete Mitteilung handelt. Eine Antwort auf diese E-Mail über die Antwortfunktion Ihres Mail Programms ist daher nicht möglich. Bei Fragen an unseren Kundenservice klicken Sie bitte auf den folgenden Link oder kopieren Sie ihn in Ihren Browser:
http://pages.ebay.de/help/basics/select-support.html

Kurz: Es ist eine sehr gefährliche Attacke, gezielt ausgeführt auf Rechner im deutschen Sprachraum. Dass bei der ersten Welle wegen der Unfähigkeit der Spammer kein Anhang dabei war, ist wahrscheinlich ein großer Glücksfall.

Abschließende Bemerkungen

Ich habe nicht viel Gutes über EBay und PayPal zu sagen, aber kriminelle Spammer sind das nicht. Ganz im Gegenteil, diese Unternehmen sind momentan selbst Opfer von kriminellen Spammern, da ihre Namen und Marken mit solchen Aktionen in den Dreck gezogen und durch die Spam beschädigt werden. Darüber sollte sich jeder klar sein, der irgendwie von den aktuellen Angriffen betroffen oder auch nur genervt ist. Diesen Spammern sind die wirtschaftlichen Folgen ihres kriminellen Handelns völlig egal; sie könnten jeden beliebten Namen, jedes erfolgreiche Warenzeichen, jede bekannte Firmierung für ihre Zwecke missbrauchen.

Die irische Nationallotterie

Montag, 16. April 2007

Und schon wieder habe ich in der Lotterie gewonnen, dieses Mal allerdings in der „internationalen irischen Staatslotterie“. Aber auch in Irland weiß man offenbar nicht meinen Namen und kennt nur eine Mailadresse von mir. Dafür hat die Mail eine gar nicht irisch wirkende Absender- und Antwortadresse aus einer niederländischen Domain.

Aber damit noch nicht genug. In Irland spricht man zu so offiziellem Anlass offenbar nicht mehr englisch oder gälisch, sondern, wie die folgende Zeile aus dem Mailheader zeigt…

Content-language: nl

…niederländisch. Dabei kann ich den natürlich englischen Text der Mail doch ganz gut lesen. Aber beim Vorschußbetrug geht es eben ganz besonders „international“ zur Sache.

FINAL NOTICE……/IRISH LOTTERY BOARD ALERT

Ich hoffe wirklich, dass das euer „letzter Hinweis“ bleibt.

RE: FINAL WINNING NOTIFICATION

We are pleased to notify you the draw of the EURO MILLIONS PROMO/PRIZE:DEPARMENT Online Sweepstakes International Lottery Program held on April 14th, 2007. Participants were selected through a computer ballot system drawn from a pool of over 25,000 names of distinguished professionals drawn from Europe,America, Asia, Australia, New Zealand, Middle east, parts of Africa, and North & South America as part of our international promotions pro gramme conducted annually to encourage prospective overseas entries. We hope with part of your prize awards, you will take part in our subsequent lottery jackpots.

The result of our computer draw selected your name and email address attached to ticket number: 56475600545188 with Serial number 5368/02 drew the lucky numbers:,, ,,,(4,12,13,22,37,39)with lucky bonus number(1), which subsequently won you the lottery in the 1st category i.e. 5 1 star Category.

Klar, das ist ja mal wieder so ein Lotterie-Konzept, das mir sofort einleuchtet. 😀 Offenbar haben die irren „Iren“ zu viel Geld in ihrer Staatskasse und deshalb beschlossen, das Geld einfach an willkürlich ausgewählte Ausländer zu verteilen. Wie man an den vielen Kommas vor den „Glückszahlen“ sehen kann, hat das Skript der Spammer wohl einen kleinen Fehler beim Einsetzen der sicherlich willkürlich und für jede Mail anders ausgewählten Zahlen. Warum sollte sich so ein Vorschussbetrugs-Spammer auch Mühe mit der Programmierung geben, einige Deppen fallen ja ganz offenbar noch auf die hanebüchenste Geschichte herein. Selbst wenn diese mit offenbaren Auswirkungen von Programmierfehlern daher kommt. Von Falschschreibungen wie „pro gramme“ für „program“ einmal ganz abgesehen. Wer intelligent genug ist, so etwas zu bemerken, fällt auf so einen Strunz gar nicht erst rein und ist damit zum „abmelken“ uninteressant.

Und wer nach diesen zwei Absätzen immer noch glaubt, es könne da ja auch nur um 5 bis 20 Euros gehen, um Leute für eine echte Lotterie anzufixen, der kann sich im nächsten Absatz über seine recht „beeindruckende“ Gewinnsumme „freuen“, wenn auch das Währungssymbol € von der schlechten Programmierung des Spamskiptes zu einem schlichten Punkt verhunzt wurde:

You have therefore been approved to claim a total sum of .1,350,000 (One Million, Three Hundred and Fifty Thousand Euro) in cash credited to file KTU/9023118309/04.

This is from a total cash prize shared amongst the first Six (6) lucky winners in this category i.e.5+1 star Category.

Your prize award has been insured in your name and is ready for claims. To begin your claims therefore, you are advised to expeditiously contact our licensed and accredited claim agent for Overseas Lottery Winners within a period of 21 days (date of this email inclusive) for the processing of your winning and remittance to your designated bank account after all statutory obligations have been satisfactorily dispensed with.

Um es noch einmal auch für den Leichtgläubigsten zusammen zu fassen. Eine angebliche „irische Nationallotterie“ schreibt eine Mail an einen Unbekannten, den sie nicht einmal mit Namen ansprechen kann, weil sie den Namen ganz einfach nicht kennt. Diese Mail stammt von einer niederländischen Domain und ist nach ihren eigenen Meta-Angaben in niederländischer Sprache verfasst, sagt aber dem unbekannten Ausländer, der niemals ein Los dieser „Lotterie“ gekauft hat, dass er jetzt über eine Million Euro gewonnen hat. Um das Ganze trotz kleiner Unstimmigkeiten und Programmierfehler ein bisschen „formell“ und „offiziell“ aussehen zu lassen, wird nicht mit Glückszahlen, Bezeichnungen für Gewinnstufen und einem Aktenzeichen gespart.

Und dieser unbekannte Empfänger (der jetzt ich geworden bin) einer unglaublichen staatlichen Schenkung soll seinen Gewinn binnen dreier Wochen nach Empfang des E-Mülls bei einer dazu auserkorenen Agentur beanspruchen, um das schöne schöne Geld auf sein Konto zu kriegen.

Wer das glaubt, ist selbst schuld. Und er wird sich gewiss wundern, wenn er den Agenten für die überseeische Anspruchs-Bearbeitung kontaktiert, wie es die Mail von ihm will – es ist von saftigen Bearbeitungsgebühren auszugehen, die erst einmal bezahlt sein wollen, bevor der große Geldsegen auf das darbende Konto fließt. Dass jeder Euro, den man diesen Gaunern gibt, genau so gut im Klo runtergespült werden könnte, brauche ich hoffentlich nicht mehr extra zu erwähnen.

Our Overseas Claims agent (Barr. David Client Field) will immediately commence the process to facilitate the release of your funds as soon as you contact him.

You may wish to establish contact via email with the particulars presented below citing the batch and reference numbers to this letter between the hours of 8.00am 7.30pm on Monday through Fridays to file in for your claims, contact:

Irish National Lottery Fiduciary
Overseas Claims Office.
Contact Person: Barr. David Client Field
Email: barr.davidclientfield@yahoo.co.uk
Phone:+44 7011127993

Offen bleibt natürlich die Frage, warum die sehr stilsicher gewählte Mailadresse des Agenten, eine kostenlose Mailadresse bei Yahoo, nicht auch als Antwortadresse in diese Mail eingetragen wurde. Wahrscheinlich sind die Urheber dieses Schwindels einfach zu blöd, das verwendete Spam-Skript zu verstehen.

Dennoch denke ich, dass David Kundenfeld sehr über viel Mail und viele Anrufe von Menschen freuen wird, die ihren Gewinn beanspruchen. Deshalb habe ich die Daten hier unverändert zitiert. Mein eigener, mir eben mitgeteilter „Gewinn“ möge der ganzen bloglesenden Welt zur Verfügung stehen; holt ihn euch, bevor ihn euch jemand wegschnappt! Aber bitte auf gar keinen Fall echte Daten und Mailadressen angeben, mit diesen Verbrechern ist nicht zu spaßen. Und immer daran denken, dass man sich beim Telefonieren am besten in schwerfälligem und falschem Englisch ausdrückt und sofort um einen Rückruf bittet, damit die auch ein paar Kosten haben. Als Rückrufnummer empfehle ich irgendeine sauteure Bandansage oder eine Pornonummer, aber bitte niemals lebende Menschen mit dieser Scheiße belästigen… 😉

Übrigens ist es diesen gierigen Betrügern gar nicht recht, wenn man so verfährt wie ich es hier tue – das ist nämlich schlecht für ihr Geschäft. Aus diesem Grund tue ich es ja. Um das zu „verhindern“, haben die Ärsche extra noch einen juristisch klingenden Hinweis in ihre Spam gekritzelt:

CONFIDENTIAL NOTICE: This email message, including any attachments, is intended only for the use of the intended recipient(s) and may contain information that is privileged, confidential and prohibited from unauthorized disclosure under applicable law. If you are not the intended recipient of this message, any dissemination, distribution or copying of this message is strictly prohibited. If you received this message in error, please notify the sender by reply email and destroy all copies of the original message.

Klar, Leute. Verklagt mich doch dafür, dass ich eine Scheiß-Spam mit einem eurer Betrugsversuche kopiere und verbreite! Ihr schafft es ja sogar, einen Copyright-Vermerk in euren kriminellen Dreck zu schreiben…

Copyright ? 1994-2007 The IR National Lottery Inc.
All rights reserved. Terms of Service – Guideline

…nur mit dem blöden Zeichen „©“ hapert es noch ein bisschen, das wird nämlich durch ein Fragezeichen ersetzt. Das liegt übrigens daran, dass ihr im Header eurer Mail (da, wo ihr auch vorgebt, auf niederländisch zu schreiben) angegeben habt, dass ihr 7bit-ASCII verwendet, und darin gibt es diese hübschen Erweiterungen des Zeichensatzes natürlich nicht.

Vielleicht solltet ihr einfach mal jemanden mit der Durchführung der nervigen Spamaktion beauftragen, der sich mit so etwas auch auskennt und vielleicht ein paar elementare Kenntnisse der englischen Sprache hat. Dem wäre vielleicht auch aufgefallen, dass die kontextlosen Wörter „Terms of Service“ und „Guideline“ in diesem Zusammenhang überhaupt keinen Sinn ergeben. Diese gerieten euch bestimmt versehentlich beim Hantieren mit der Zwischenablage in den Text, während die Verlinkungen in einer Text-Mail natürlich untergingen. Ihr seid auch echt zu blöd, die von euch in die Welt gesendeten Texte mal kurz probezulesen.

Aber warum solltet ihr euch auch um so einen Kleinkram Gedanken machen? Ihr verachtet doch die Deppen, die auf euch reinfallen; und die vielen Leute, die eure Betrugsversuche bemerken und die von eurer Vorschussbetrugs-Spam genervt sind, die sind euch völlig egal. Ihr seid einfach nur widerliche Fäkalmaden. Und wenn ihr einfach an eurer dummen Gier verrecken würdet, würde ich euch bestimmt nicht vermissen. 👿

My Canadian Pharmacy

Montag, 16. April 2007

Die Pimmelpillen-Spammer machen ihren nächsten Angriff auf virtuelle Postfächer und auf die Nerven der Menschen, die virtuelle Postfächer haben. Jetzt schreiben sie nicht mehr im Klartext rein, was sie für tolle Beglückungsideen anzubieten haben, denn das wird wohl zu häufig rausgefiltert. Statt dessen beglücken sie den Empfänger mit einer kleinen, verlinkten Grafik, die den Text transportiert – das sieht denn etwa so aus:

MyCanadianPharmacy - Special price for medical drugs - und völlig überteuerter Pimmelpillen - Klick zum Bestellen, du Depp!

Damit auch wirklich jeder, der so einen Strunz nicht in seinem Postfach haben will, mit dieser Mitteilung von unerhörtem Neuigkeitswert „beglückt“ wird, hat das Bild in jeder der Mails eine andere Größe. Schließlich könnte der Spamfilter sonst noch die Größe der Grafik lernen. Und weil viele Spamfilter inzwischen Mails, die nur aus einer Grafik bestehen, in den virtuellen Orkus befördern, steht auch noch etwas „Text“ darunter, der sich jedes Mal etwas anders liest, aber doch immer gleich sinnlos ist. Auf ein vollständiges Zitat wird heute verzichtet, aber ein bisschen Real-Dadaismus muss schon sein:

Office servers dynamics studio money encarta directory directx net. Cash dublon gates gilmartin hastings! Ms products these are generally followsbit box. […]

Aber bei allem Einfallsreichtum dieser spammenden Werbeköpfe, die über ständig wechselnde Hong-Kong-Domains ihre überteuerten Mittel für das Orgas-Müssen verkaufen wollen: Der Schrott wird hier sicher und automatisch als Spam erkannt und entsprechend behandelt. Und das freut mich. 🙂

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.