Heute muss der große Tag des Phishings sein. Zwei kriminelle Mails mit verdammt ähnlichem Anliegen. Sie sehen beide wie Phishing-Versuche aus, es handelt sich aber „nur“ ein Mal um klassisches Phishing, der zweite Versuch will den Rechner mit Schadsoftware übernehmen. Aber beide Attacken erwecken den Eindruck, dass sie ein paar Opfer finden könnten.
PayPal-Phishing
Ich fange mal mit dem schlecht gemachten Phishing an, nämlich mit der „hinzugefügten Adresse bei PayPal“.
You have added [… verlinkte Mailadresse von mir entfernt] as a new e-mail address for your PayPal account.
If you did not authorize this change or if you need assistance with your account, please Click Here [… Link auf „Click Here“ von mir entfernt] to contact PayPal customer service.
Thank you for using PayPal
The PayPal Team
Please do not reply to this e-mail. Mail sent to this address cannot be answered. For assistance, log in to your PayPal account and choose the „Help“ link in the header of any page.
Alarm! Von Geisterhand hat sich eine neue Mailadresse an das PayPal-Konto gehängt, das schafft genau jene Panik, die zu unvernünftigen Verhalten führt. Genau das, was ein Internet-Betrüger braucht.
Beide im Zitat entfernten Links gehen auf eine URL mit rumänischer Domain, so dass eigentlich jedem klar sein sollte, dass es sich nicht um PayPal handelt. Aber wer gerade von blankem Entsetzen gelähmt ist, bemerkt so etwas nicht unbedingt. Selbst die verlinkte Mailadresse öffnet die Website. Was den Empfänger dort erwartet, habe ich mir nicht angeschaut, aber es ist davon auszugehen, dass hier das Passwort abgegriffen werden soll, um das Konto bequem plündern zu können. Man kann sich mit einem Klick und ein paar dummen Eingaben leicht um mehrere tausend Euro schädigen lassen.
Es ist natürlich klar, dass jede Antwort bei einer Mail mit gefälschter Absenderadresse völlig sinnlos ist. Und dass in diesem Zusammenhang auf die Hilfetexte der PayPal-Site verwiesen wird, gibt dem kriminellen Versuch einen recht seriösen Anstrich.
Übrigens nutze ich auch manchmal (eher sehr selten) PayPal. Ich habe dafür eine ganz eigene Mailadresse, die ich ausschließlich für diesen einen Zweck nutze. Deshalb steht diese Mailadresse auch nicht auf den Adresslisten der Spammer, und bei mir kommt nicht gleich „Alarmstimmung“ auf, wenn ich solche Phishing-Mails an meine „Adresse für normale Kommunikation“ kriege. Diese simple Vorgehensweise kann ich jedem Menschen nur empfehlen, sie schont wirklich die Nerven. Leider geht einem die Spam trotzdem tierisch auf die Eier.
EBay-Schwindel
Nicht nur „PayPal“ will mir eine Änderung meiner Mailadresse mitteilen, auch EBay hält sich nicht zurück. Es gibt diese Mails (bei mir sind in den letzten 30 Minuten drei Stück eingetroffen) mit zwei verschiedenen Betreffzeilen, nämlich „Hinweis zu geanderter E-Mail-Adresse Ebay“ und „Ihre Ebay E-Mail wurde geandert“. Der Text ist aber in beiden Fällen identisch, auch der im Folgenden beschriebene Fehler in dieser kriminellen Spam ist identisch.
Ich halte diesen Angriffsversuch für recht gefährlich. Er richtet sich speziell gegen deutsche EBay-Nutzer. Die Mails kommen in fehlerfreiem Deutsch und enthalten korrekt gesetzte, erläuternde Links auf die EBay-Website, so dass man zunächst keinen Verdacht schöpft, wenn man nicht gerade gewisse Vorkehrungen getroffen hat. (Es empfiehlt sich generell, für empfindliche Dienste eine eigene Mailadresse zu haben, die niemals an anderer Stelle angegeben wird.) Die gefälschte Absenderadresse presse@ebay.de wirkt zwar etwas merkwürdig, aber das wird vielen Empfängern zunächst gar nicht auffallen, da sie mit ihrer beklemmenden und vernunftverhindernden Panik beschäftigt sind.
In den folgenden Zitaten wurden die Hervorhebungen aus der Mail übernommen. Die Spam enthält keine Links außer den zitierten Verweisen auf die EBay-Homepage.
eBay-Hinweis zu geänderter E-Mail-Adresse
Hallo sehr geehrter Ebay Mitglied,
Vielen Dank für Ihren Antrag auf Änderung Ihrer E-Mail-Adresse. Anleitungen zur Durchführung der Änderung wurden an Ihre neue E-Mail-Adresse gesendet.
Ein sehr geschickter Einstieg für eine kriminelle Mail. Der normale Nutzer wird gewiss hoch alarmiert sein und befürchten, dass sein Zugang „gehackt“ wurde; der Text, dass die Anleitungen an die „neue Adresse“ geschickt wurden, löst auf diesem Hintergrund das blanke Entsetzen aus. Da versteht ein fürchterliches Arschloch von Verbrecher wirklich etwas von Psychologie.
Dabei hat jedes stümperhaft programmierte Webforum Mechanismen, die einen Wechsel der Mailadresse gar nicht so leicht machen – dafür muss nämlich die alte Mailadresse und das Passwort bekannt sein. Ich weiß nicht genau, wie EBay vorgeht, aber ich halte es für sehr unwahrscheinlich, dass einfach mit sofortiger Wirkung alles über die neue Adresse gehen wird, während die alte Mailadresse so einen lakonischen Hinweis bekommt. Auch wird EBay eine viel persönlichere und bessere Anrede als „sehr geehrtes Ebay-Mitglied“ in seinen technischen Mails haben. Es besteht also kein Grund zur Beunruhigung, und schon gar kein Grund, der folgenden Aufforderung Folge zu leisten:
Wenn Sie diese Änderung nicht vorgenommen haben, fragen Sie bitte zuerst Familienmitglieder und andere Personen, die evtl. Zugang zu Ihrem Mitgliedskonto haben. Wenn Sie glauben, dass eine nicht autorisierte Person Ihre E-Mail-Adresse geändert hat dann führen Sie sofort Schritte aus die in dem beigelegtem Dokument beschrieben sind!
Vielen Dank,
eBay
Nun, jetzt zum oben schon angekündigten Fehler in dieser Spam: Das beigelegte Dokument existiert nicht, offenbar haben die kriminellen Spammer bei der Programmierung ihres Skriptes gepatzt. Dieser peinliche Fehler wird aber gewiss bald korrigiert sein, und dann wird es ein beigelegtes „Dokument“ geben. Dieses „Dokument“ wird den eigenen Rechner in einen Computer anderer Leute verwandeln, der zum Spammen, und für die Verbreitung illegaler Inhalte missbraucht und darüber hinaus vollkommen ausspioniert wird, um weitere Verbrechen begehen zu können.
Wie die genaue technische Durchführung des Angriffes sein wird, lässt sich wegen des dummen und peinlichen Fehlers der Cracker noch nicht absehen. Aber um was es in diesem Angriff geht, ist auch so klar. Dass hier sehr exklusiv der „deutsche Markt“ bearbeitet wird, ist allerdings eher ungewöhnlich.
Man kann es nicht oft genug sagen: Niemals einen Mailanhang öffnen, der überraschend von einem Fremden kommt, selbst wenn dieser Fremde vorgibt, eine Bank, ein Internet-Dienst oder sonstwas zu sein! Eine Mail mit falschem Absender zu versenden, schafft jeder achtjährige, in der Nase popelnde Nachwuchshacker. Und auch bei einem wirklichen Bekannten sollte man sehr vorsichtig sein, da sich Absenderadressen fälschen und Adressbücher ausspionieren lassen. Im Zweifelsfall anrufen und nachfragen, ob die Mail echt ist. Dieses bisschen Vorsicht kann einem den Tag retten.
Wie ich schon sagte, wirkt die gefälschte EBay-Mail sehr überzeugend. Sie enthält Verweise auf allgemeine Hinweise der EBay-Website:
Wenn Sie Fragen zu den eBays-Grundsätzen haben, lesen Sie bitte unsere Datenschutzerklärung und die Allgemeinen Geschäftsbedingungen.
Datenschutzerklärung:
http://pages.ebay.de/help/policies/privacy-policy.html
Allgemeine Geschäftsbedingungen:
http://pages.ebay.de/help/policies/user-agreement.html
Copyright 2006 eBay Inc. Alle Rechte vorbehalten.
Die genannten Marken sind das Eigentum ihrer jeweiligen Inhaber.
eBay und das eBay-Logo sind eingetragene Marken bzw. Marken von eBay Inc.
Wer sich von solchen, eher unbewusst wahr genommenen Kleinigkeiten blenden lässt und nicht in jeder Situation seinen Verstand benutzt, der wird Kriminellen auf dem Leim gehen und den Schaden davon haben.
Einen kleinen Fehler haben die Spam-Verbrecher hier aber doch gemacht. Sie haben auf das Urheberrecht für das EBay-Logo verwiesen, das in der Mail gar nicht verwendet wird. Hier zeigt sich die allzu stümperhafte Verwendung der Zwischenablage, um schnell einen guten Betrugstext aus der EBay-Website zu machen. Auch der folgende Hinweis, dass man diese Mail nicht beantworten sollte, dürfte aus einer Original-Mail von EBay kopiert worden sein:
Bitte beachten Sie, dass es sich bei dieser E-Mail um eine vom System versendete Mitteilung handelt. Eine Antwort auf diese E-Mail über die Antwortfunktion Ihres Mail Programms ist daher nicht möglich. Bei Fragen an unseren Kundenservice klicken Sie bitte auf den folgenden Link oder kopieren Sie ihn in Ihren Browser:
http://pages.ebay.de/help/basics/select-support.html
Kurz: Es ist eine sehr gefährliche Attacke, gezielt ausgeführt auf Rechner im deutschen Sprachraum. Dass bei der ersten Welle wegen der Unfähigkeit der Spammer kein Anhang dabei war, ist wahrscheinlich ein großer Glücksfall.
Abschließende Bemerkungen
Ich habe nicht viel Gutes über EBay und PayPal zu sagen, aber kriminelle Spammer sind das nicht. Ganz im Gegenteil, diese Unternehmen sind momentan selbst Opfer von kriminellen Spammern, da ihre Namen und Marken mit solchen Aktionen in den Dreck gezogen und durch die Spam beschädigt werden. Darüber sollte sich jeder klar sein, der irgendwie von den aktuellen Angriffen betroffen oder auch nur genervt ist. Diesen Spammern sind die wirtschaftlichen Folgen ihres kriminellen Handelns völlig egal; sie könnten jeden beliebten Namen, jedes erfolgreiche Warenzeichen, jede bekannte Firmierung für ihre Zwecke missbrauchen.
Ein „schönes“ Beispiel für den Unsinn und die Dummheit der Werbesprache liefert auch die tolle