Ein extratoller Hinweis mit dem (selbstverständlich gefälschten) Absender aufmerksam1 (at) email (punkt) paypal (punkt) com
.
Sehr geehrter Kunde,
Um weiterhin unsere
Dienste in Anspruch
nehmen zu kцnnen,
klicken Sie, bitte, auf
den unten stehenden
Link:https://www.paypal.com/de/cgi-
bin/webscr?cmd=_login-
submit© 2013 PayPal.com
Die Zeilenumbrüche sind aus dem Original.
Der Link in dieser HTML-formatierten Müllmail geht in Wirklichkeit zur dynamischen IP-Adresse eines Privatrechtners aus dem Adresspool der Deutschen Telekom AG. Der unter Windows XP laufende Rechner wurde mit an Sicherheit grenzender Wahrscheinlichkeit mit Schadsoftware übernommen, und der Besitzer des Rechners wird vermutlich in Kürze Besuch von ein paar „freundlichen“ Beamten der Kriminalpolizei bekommen, die wegen gewerbsmäßigem Betruges ermitteln. Dass die eingegebenen Daten auf der „liebevoll“ nachgemachten PayPal-Login-Seite in die Hände von Kriminellen geraten, ist hoffentlich jedem klar.
Gut ist nur, dass diese Phishing-Mail dermaßen mies ist, dass wohl niemand darauf hereinfallen wird. Solche Mails gibt es allerdings auch in „gut gemacht“. Und die Methodik, geownte Privatrechner zu benutzen, sehe ich immer häufiger in dem Zeug, das sich im glibbrigen Sieb des Spamfilters verfängt.
„Dynamische IP-Adresse eines Privatrechners aus dem Adresspool der Deutschen Telekom AG“? Welchen Sinn hat das? Nach spätestens 24 Stunden wechselt die IP-Adresse des Rechners (Stichwort: Zwangstrennung) und der Link geht ins Leere bzw. weist auf einen Privat-Rechner, auf dem kein per Malware untergeschobener Webserver läuft.
Ja, und bis dahin ist die Schleuder aktiv und steht auf keiner Blacklist, so dass Spams mit einem Link darauf auch ankommen. Trojanifizierte Rechner zu benutzen ist effizient und im Prinzip sogar einfacher als Server anmieten. Dass es meistens nicht so gemacht wird, belegt nur, dass die meisten Menschen ihre Computer noch zu oft ausschalten und dass deshalb die wirksame Zeit zu kurz ist.
Aber wenn man erstmal Telefone nimmt (oder später: Autos) und wenn dank IPv6 die IP-Adressen längere Zeit konstant bleiben, dann werde ich so etwas wohl öfter bis regelmäßig sehen. Vermutlich sind jetzt schon einige Router übernommen… 🙁