Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Tagesarchiv für den 2. April 2015

Konto-Status

Donnerstag, 2. April 2015

Oh, wie schön: Etwas Phishing inmitten der ganzen Vorschussbetrüger. Bei welcher Bank bin ich denn heute mal wieder so sehr „Kunde“, dass sie nicht einmal meinen Namen kennt?

Lieber PayPal Kunde,

Ah ja, bei PayPal.

Aufgrund der jüngsten betrügerischen Aktivitäten haben wir ein neues Online-Sicherheitssystem für den maximalen Schutz der persönliche Daten [sic!] unserer Kunden gestartet.
Nach dieser Tatsache, [sic! Komischer Begriff und falsches Komma.] wird Ihnen angeboten, ihr PayPal-Konto zu aktualisieren.

Wie üblich, wenn PayPal mir schreibt, sind Grammatik, Wortwahl und Zeichensetzung ein bisschen komisch. Und wenn PayPal etwas an seiner Programmierung ändert, dann muss ich deshalb tätig werden. Ein großes Problem der Phisher ist und bleibt es, dass ihnen kaum gute Gründe einfallen, warum man jetzt seine Anmeldedaten auf einer anderen Seite als auf der Anmeldeseite eingeben sollte.

Um Ihr PayPal-Konto zu aktualisieren, liegt Ihnen in Ihrer E-Mail Adresse [sic! Deppen Leer Zeichen] ein Formular zur Verfügung [sic! Ausdruck].

Da dieser Phisher nicht so wirklich gut deutsch kann, weiß er auch nicht, wie er es ausdrücken soll, dass es einen Mailanhang gibt…

Bitte laden Sie das Formular aus [sic!], rufen Sie über Ihren Internet-Browser [sic!] und folgen Sie den Anweisungen auf dem Bildschirm.

…den man öffnen, ausfüllen und beklicken soll. Es handelt sich dabei um ein HTML-Dokument mit der stolzen Größe von 177,9 KiB, das einem die Möglichkeit einräumt, die gegenüber PayPal benutzte Kombination von Mailadresse und Passwort direkt an die organisierte Internet-Kriminalität zu senden. Dem Idioten, der diesen ziemlich aufgeblähten HTML-Code mutmaßlich aus der echten PayPal-Seite schnell zusammenkopiert hat, ohne ihn auch nur halbwegs zu verstehen…

Screenshot der Darstellung der angehängten HTML-Datei im Browser

…ist leider während der Arbeit sein Wörterbuch verloren gegangen, so dass er nicht mehr nachschlagen konnte, was „new“ denn jetzt auf deutsch heißt. :mrgreen:

Hinweis: Das Formular muss in einem modernen Browser geöffnet werden, dass JavaScript aktiviert hat [sic!]. (z.B. Internet Explorer, Mozilla Firefox)

Von nichts könnte ich weniger abraten als davon, einem Spammer das Privileg einzuräumen, Programmcode auszuführen. In diesem Fall wäre es relativ harmlos gewesen, denn hier dient ein verhältnismäßig komplexes Skript nur dazu, zu verbergen, dass die Daten nicht etwa an die Domain von PayPal gesendet werden, sondern an die ungleich weniger Vertrauen erweckende Domain s (punkt) psereu (punkt) us, die erst frisch vor einer Woche unter Angabe mutmaßlich irgendwo abgegriffener Daten registriert wurde. (Der vermutlich völlig unbeteiligte Einwohner der USA, dessen Identität hier von Verbrechern missbraucht wird, darf sich vermutlich in Kürze wegen des gewerbsmäßigen Computerbetrugs anderer Leute mit dem FBI herumschlagen. Das ist einer der Gründe, weshalb man sehr zurückhaltend mit seinen Daten umgehen sollte – egal, wie viel „Datenschutz“ auch versprochen wird.)

In einem zweiten Schritt „darf“ man übrigens einen umfassenden Datenstriptease hinlegen und jede Menge Daten gegenüber „PayPal“ angeben, die das echte PayPal schon lange kennt. Was machen die Verbrecher mit solchen Daten? Na ja, das übliche: Kreditkartenbetrug und hin und wieder mal unter einer fremden Identität auftreten, damit andere Leute ins Visier der Ermittler geraten.

Nach Abschluss dieser Phase [sic! Meinen die eine Mondphase?!] wird die Aktualisierung Ihres PayPal-Kontos normal funktionieren.

Genau wie vorher.

Wir entschuldigen uns für die Unannehmlichkeiten und danken Ihnen für Ihre Zeit.

Ja ja, ich verachte euch auch!

Für weitere Informationen kontaktieren Sie bitte den Kundenservice.

Es war offenbar kein Platz mehr auf dem Mailpapier, so dass nichts von Substanz gesagt werden konnte.

Mit freundlichen Grüßen,

PayPal-Team.

Ihr mich auch!

hi gammelfleisch

Donnerstag, 2. April 2015

Oh, das ist aber schön, dass du aus der Zeichenkette vor dem @ einfach eine Anrede gebaut hast. Und vor allem fühle ich mich sofort persönlich davon angesprochen. 😀

Hi gammelfleisch. I‘m waiting for you online now. Jessica gave me your contact. Let’s meet here

Du hast ja keinen Namen, sondern nur einen Link in eine offenbar gecrackte Website in persischer Sprache, die sich um die Behandlung von Augenerkrankungen dreht¹. Dort hast du eine tolle Seite namens backup.html hochgeladen, um sie zu verlinken. So wird auch ohne Nennung eines Namens auf der Stelle klar, mit was für einem Geschmeiß man sich nach dem Klick in diesen „Liebesbrief“ trifft.

Natürlich ist das nur eine – dann mit Affiliate-ID angereicherte – Weiterleitung auf die richtige Website der Spammer unter der Domain myshland (punkt) com, wo einem dann eine der vielen Fassaden angeblicher Dating-Sites entgegentritt:

Screenshot der betrügerischen und möglicherweise gefährlichen Dating-Site

Wer dort Daten eingibt, weil er meint, entzückende russische Frauen kennenlernen zu können, lasse alle Hoffnung fahren! Diese Daten landen direkt bei Kriminellen, und die werden dafür jede Menge Anwendungen finden, die keinem Menschen gefallen können – ein sehr gefährliches personalisiertes Phishing ist nur eine davon. Das scheint aber nur ein Nebengeschäft zu sein, was sich auch schon daran vermuten ließ, dass die Spammer es nicht einmal für nötig befanden, das im Copyright-Vermerk angegebene Jahr mal schnell an den Kalender anzupassen, denn diese Domain…

Ausgabe des Lookups bei SURBL: myshland.com is on SURBL list: MW

…befindet sich zurzeit in mindestens einer Blacklist für Websites, über die Schadsoftware verteilt wird. Statt warmer Zärtlichkeiten und erregenden Schriftverkehrs gibt es also einen „kostenlosen Sicherheitscheck“ und – wenn Browser und Betriebssystem nicht völlig sicher waren – eine aktuelle Kollektion frischer Trojaner, die kein Mensch auf seinem Computer haben möchte.

Aber dass man es mit Verbrechern zu tun hat, war ja schon an der Spam klar. Deshalb klickt man ja auch nicht in eine Spam.

¹Nein, ich verstehe kein Wort Persisch. Die Sprache habe ich an den paar arabischen Zeichen identifiziert, die es nur in der persischen Sprache gibt, vor allem ein P (B mit drei Punkten) und ein G (auffälliger Doppelstrich) – und daran, dass das Schriftbild von deutlich weniger Punkten und anderen Diakritika über und unter der Schriftlinie als in anderen mit arabischen Zeichen geschriebenen Sprachen ausgezeichnet ist. Den mutmaßlichen Inhalt der Website kann ich anhand der Fotos und Abbildungen erraten. Leider ist meine Mail beim Sitebetreiber nicht angekommen; entweder versteht er kein Englisch (unwahrscheinlich bei einem Mediziner oder doch zumindest einem Menschen mit medizinischer Bildung) oder ich bin an der strikten Internet-Zensur der gegenwärtigen Islamischen Republik Iran gescheitert (was leider wahrscheinlich ist). Die gecrackte Website kann deshalb den Halunken noch lange als Schleuder für ihre diversen Machenschaften dienen. Auch das sind Kollateralschäden einer weitgehenden Internet-Zensur.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.