Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Tagesarchiv für den 17. Februar 2012

Account Review Department

Freitag, 17. Februar 2012

Oh, wie schön, „PayPal“ schreibt mir mal wieder. Zumindest nennt sich der Absender so, aber seine gefälschte Mailadresse accounts (at) intl0 (punkt) payel (punkt) com kann nicht den Eindruck erwecken, dass es wirklich PayPal ist. Hey, Phisher! Wenn du mit deinem Skript schon Mailadressen fälschen kannst, dann schreib da doch die richtige Domain von PayPal rein!

Ach, du befürchtest, dass dann Rückläufer beim richtigen PayPal landen, dass man dort aufmerksam wird und möglicherweise die Kunden in einer Rundmail vor deinem Betrugsversuch warnt? Na, das verstehe ich ja noch.

Aber das du zu glauben scheinst – ich meine ja nur: wenn du schon einen Namen zur Mailadresse angibst – dass der Betreff einer Mail nicht dafür da ist, kurz zu sagen, um was es überhaupt geht, sondern vielmehr dazu, reinzuschreiben, aus welcher Abteilung die Mail kommt… komm Spammer, das ist wirklich schwach! So etwas macht niemand. Weil es sinnlos ist. So etwas wirst du niemals sehen. So etwas erweckt einen klaren Verdacht, bevor man auch nur irgendetwas anderes in der Mail gesehen hat. Du kriegst vermutlich nicht so oft geschäftliche Mails, ne?! :mrgreen:

Thursday, February 16th, 2012

Immerhin, wenigstens eine zutreffende und wahre Angabe steht in der betrügerischen Spam. Das ist nicht selbstverständlich. 😀

Recently, our system has detected unusual charges to a credit card linked to your PayPal account.

Auf eine persönliche Anrede des Kunden wird ebenso verzichtet wie auf die Angabe der betroffenen Kreditkartennummer – zwei Dinge, die das richtige PayPal vermutlich mitteilen würde, wenn PayPal so etwas mit einer Mail mitteilte.

Access to your account was limited for the following reason:

There are activities of which someone tried to access your PayPal account without your permission. To ensure greater security, we have limited access to your account.

Aber wenn ich eine Kreditkarte oder ein Bankkonto mit einem PayPal-Konto verbunden habe, habe ich das doch selbst gemacht. Das richtige PayPal hat sich dafür ein „tolles“ Verfahren ausgedacht, bei dem zwei geringwertige Transaktionen getätigt werden, deren Höhe man in einem Formular auf der PayPal-Site eintragen muss. So wird sichergestellt, dass das Konto richtig angegeben wurde, und zwar vom Menschen, der da Zugriff auf die PayPal-Verwaltung hat. Jemand anders kann das gar nicht. Weil es nicht möglich ist. Deshalb ist es ja auch nicht geschehen, es wird hier nur behauptet, um ein Problem in den Raum zu stellen und den Empfänger zu erschrecken, damit er möglichst wenig vor den folgenden Schritten nachdenkt. Denn er soll natürlich seine Zugangsdaten an Verbrecher übergeben, damit diese damit betrügerische Geschäfte machen können.

Und hier die tolle Gelegenheit, Verbrechern Zugriff auf die Kreditkarte und das PayPal-Konto zu geben:

We have sent you an attachment which contains all the necessary steps in order to restore your account access. Please download and open it in your browser.

Ein Attachment, das also schon mit der Mail mitgekommen ist, soll ich also runterladen. Großes Kino mal wieder.

Es handelt sich übrigens um eine HTML-Datei, die folgendermaßen aussieht:

Screenshot der angehängten betrügerischen Phishing-Seite für PayPal-Kunden

Etwas lustig ist es ja schon, dass es hier keine Spur um PayPal geht, sondern nur um die persönlichen Daten (die PayPal bereits bekannt sind, aber eben nicht den Betrügern, sonst hätten sie überzeugender formuliert) und – im Bild nicht sichtbar – die Kreditkartennummer, ihr Ablaufdatum und die verification number. Tolle Daten für eine betrügerischen Missbrauch der Identität und ein paar Bezahlvorgänge mit anderer Leute Kreditkarten bei Betrugsgeschäften. Jedenfalls für die Verbrecher, die diese Daten bekommen. Denn natürlich gehen die Eingaben in dieses Formular nicht an PayPal, sondern an die folgende Internetadresse mit ausgesprochen beachtlicher Domain:

http (doppelpunkt) (doppelslash) kcdcylykuzszutdhgpdfkzwuridgzxjhwjilletzpexsgallti (punkt) spteiqnaskqliliasnqxikcmenmn (punkt) ru (slash) (tilde) jeremy (slash) sslchecker (punkt) php

Ich befürchte, dass diese großartige Domain, die vermutlich von einem auf die Tastatur herumkloppenden Pavian im Zustand fortgeschrittener Hirnverkäsung registriert wurde, hier nicht korrekt dargestellt wird, sondern mit ein paar zusätzlichen Leerzeichen dazu gezwungen wird, nicht das Layout zu zerstören. Aber dass es sich nicht um PayPal handelt, dürfte auch so klar sein… 😉

Das der Text „Secure Transaction“ zusammen mit dem Schloss keineswegs bedeutet, dass die Daten über HTTPS übertragen werden, erklärt sich von selbst.

Ein Kleiner Schlenker in die angehängte HTML-Datei. Hier haben die Phisher sehr „einfallsreich“ kommentiert, vermutlich, weil sie davon ausgehen, dass vielleicht doch mal jemand einen Blick in den Quelltext werfen könnte. Einen HTML-Kommentare in seiner unerreichten literarischen Qualität möchte ich nicht vorenthalten – wer das zu technisch findet, einfach überlesen. Die Kommentarzeichen lasse ich im folgenden Zitat weg, um den Genuss nicht vom Wesentlichen abzulenken (und mich vom Tippen der HTML-Entities abzuhalten):

PayPal Verification System
Destinated Only For Locked Accounts

Na, wenn das im Anhang einer Spam steht, muss es ja wohl stimmen… 😀

Wirklich „schön“, dass hier wirklich für jeden Leser ein bisschen was geschrieben wurde.

Aber wieder zurück zur Spam:

(The locator for this issue is PP-388-572-660)

Diese Angelegenheit befindet sich in der Unimatrix Zero.

We thank you for your prompt attention to this matter. Please understand that this is a security measure intended to protect you and your account. We apologise for any inconvenience.

Zum Abschluss bedanken sich die Betrüger noch einmal, dass es immer wieder Leute gibt, die so angstdoof und unerfahren sind, dass sie auf Phishing reinfallen, obwohl das nicht gerade die neueste Masche ist. Natürlich handelt es sich um eine reine Sicherheitsmaßname, nur zum Besten des Opfers und seines Kontos. Eine kleine Entschuldigung wird auch druntergeklatscht.

Thank you,
PayPal Account Review Department

Nochmal vielen Dank von
Deinen Phishing-Stümpern

Ach, übrigens, Pimmelpillenspammer…

Freitag, 17. Februar 2012

Ach, übrigens, Pimmelpillenspammer, ich finde das ja ganz toll, wie ihr im Moment Kunden für eure „Apotheken“ gewinnen wollt. Da vesendet ihr englischsprachige Mails, die so tun, als kämen sie von Amazon, in denen ihr mitteilt, dass die Bestellung storniert wurde. Diese Mails sehen aus, als wären es reine Textmails, sie sind aber in Wirklichkeit HTML-Mails, und die darin erwähnte URL bei Amazon führt in der gleichen Wirklichkeit auf einen Server, der die dynamische IP eines Einwahlproviders hat – vermutlich seid ihr jetzt dazu übergegangen, eure Bots auch als Webserver mitzubenutzen, weil eure Domains immer so schnell in allen Blacklists dieser Welt stehen.

Ich habe wirklich einen Moment lang geglaubt, es handele sich um Phishing bei Amazon-Kunden, was ich schon ein bisschen absurd gefunden hätte. Aber nein, als ich mir anschaute, was man dort geboten bekommt, wurde mir klar, was es wirklich ist. Denn mich grinste nach einem Klick in eine englischsprachige Mail eine deutschsprachige Website einer „kanadischen Apotheke“ an, die es vorzieht, diese Website auf der dynamischen IP-Adresse eines mit dem Internet verbundenen Privatrechners in Japan zu hosten (der Provider ist schon informiert). Das vermittelt schon einen gediegenen Eindruck von ungewohnter Internationalität, aber nicht unbedingt das Vertrauen, das manche Menschen doch gern zu den Leuten hätten, von denen sie Arzneimittel kaufen.

Auch wer nicht so weit geht, dass er sich solche Gedanken macht oder mal recherchiert, für wen die angegebene IP-Adresse registriert ist, wird dennoch kein Vertrauen entwickeln. Das wirkt nicht gerade toll, wenn man in eine Mail „von Amazon“ reinklickt, um eine Betrugsapotheke vor sich zu sehen. Das weckt keinen unmittelbares Bedürfnis, die dort auf der Startseite ganz oben abgelichteten Pimmelsteifer zu kaufen. Das macht sofort klar, womit man es hier zu tun hat.

Nicht einmal die Seite eurer „Apotheke“ richtig machen könnt ihr! Es ist ja toll, dass sie deutschen Lesern deutschen Text liefert. Der liest sich ja auch gar nicht mehr, als wäre er mit Umweg über das Mittelhieratische aus dem Koreanischen übersetzt worden. Da scheint ihr ja inzwischen einen richtigen Deutschbeauftragten bei euch zu haben. Vielleicht sollte der sich auch mal um die Headergrafik kümmern, die ihr zu der deutschen Seite verwendet, denn…

USPS Fast Delivery, Shipping to USA in 1-5 days

…dass eure „Schnelllieferung“ in den USA höchstens fünf Tage benötigt, zerstört doch wieder den mühsam aufgerichteten Eindruck, dass man es mit einem Service für den deutschsprachigen Raum zu tun habe. Da hilft auch die Europaflagge im Hintergrund nicht.

Und wie lange wohl die „langsame“ Lieferung braucht, möchte man gar nicht mehr erfahren.

Euer euch täglich lesender
Nachtwächter

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.