Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Tagesarchiv für den 20. April 2016

Ihr PayPal-Konto ist eingeschränkt

Mittwoch, 20. April 2016

„Leer“ ist das Wort, „leer“… :D

Von: PayPal <noreply (at) paypal (punkt) de>

Natürlich ist der Absender gefälscht. Diese (relativ gut gemachte) Phishing-Spam hat niemals einen Server von PayPal gesehen.

E-Mail-Adresse
gammelfleisch@tamagothi.de

Hey, Spammer! Die Empfänger-Mailadresse steht bereits im To-Header und ist damit eine völlig überflüssige Angabe. Und auch…

Datum
20.04.2016

…das Datum steht im Header und wird in jeder Mailsoftware angezeigt.

Aber vermutlich glaubst du, dass deine Spam besser und „offizieller“ aussieht, wenn sie möglichst viele in einer E-Mail sinnlose Angaben enthält, die in einem Sackpost-Brief sinnvoll wären.

Sicherheitsmaßnahme

Auch auf die Gefahr hin, mich immer wieder zu wiederholen…

Lieber Kunde

…kennt PayPal einen anderen Namen für seine Kunden als „Lieber Kunde“ und würde diesen anderen Namen in seiner Anrede verwenden. Da die Spammer inzwischen aus diversen Datenlecks viele Zuordnungen von Klarnamen zu Mailadressen haben, ist eine völlig unpersönliche Anrede kein sicheres Erkennungszeichen für jeden Phishing-Versuch mehr, aber wo sie auftritt, ist immer noch klar, dass man es mit Betrügern zu tun hat.

Im Zusammenhang damit, dass angeblich Probleme mit einem Konto vorliegen, sollte das zu sofortigen Zuckungen im Löschfinger führen.

unser Sicherheitsteam musste Ihr Nutzerkonto bedauerlicherweise einschränken. Der Grund dafür ist, dass wir eine verdächtigte Zahlungstransaktion erfasst haben. Dies war also eine reine Sicherheitsmaßnahme.

Aha, ein Bezahldienst schaltet ein Konto ab, weil es zum Bezahlen benutzt wird. Gut zu wissen. :D

Und was kann man dagegen tun?

Wir bitten Sie deshalb Ihre Daten binnen 7 Tagen zu bestätigen, damit Sie Ihr Konto wie gewohnt weiter nutzen können.

Richtig: „Seine Daten bestätigen“. Also: Dem angeblichen „PayPal“ der Spammer lauter Daten mitteilen, die das richtige PayPal schon längst kennt. Und damit man das auch ja richtig macht, wird es hier noch einmal erklärt:

Was muss ich jetzt machen?

  • Folgen Sie dem Button [sic!]
  • Verifizieren Sie sich
  • Sie können Ihr Konto uneingeschränkt nutzen

Zur Überprüfung

Man soll „dem Button folgen“. Klingt ja auch viel besser als „auf einen Link in einer E-Mail klicken“, ist aber genau das. Genau genommen klingt es nicht einmal besser, sondern einfach nur dümmlich. Dieser Link führt nicht etwa zu PayPal, sondern zum URL-Verlängerer (Ja, die Welt ist so reif!) megaurl.co, der dann zu einer Website in die Domain paysecuree (punkt) com weiterleitet. Diese Domain…

$ whois paysecuree.com | grep -i '^registrant'
Registrant Name: James Axxxxx
Registrant Organization: N/A
Registrant Street: Oxxxxx 20   
Registrant City: Ede
Registrant State/Province: Other
Registrant Postal Code: 6xxxGK
Registrant Country: NL
Registrant Phone: +31.068416xxxx
Registrant Phone Ext: 
Registrant Fax: 
Registrant Fax Ext: 
Registrant Email: aledax23@gmail.com
$ _

…gehört nicht PayPal und hat nichts mit PayPal zu tun. Ich habe ein paar Dinge unkenntlich gemacht, obwohl es offen zugängliche Daten sind, weil ich davon ausgehe, dass hier die Identität eines anderen Menschen missbraucht wird. Der Mensch mit dieser Anschrift tut mir leid, denn er wird wegen der asozialen Kriminalität anderer Leute eine Menge Ärger und Laufereien bekommen, auf die ein Mensch gut verzichten kann. So etwas ist übrigens auch ein Grund, weshalb man immer sparsam mit seinen persönlichen Daten umgeht und sie nicht überall eingibt, wo man sie eingeben kann. Auch nicht für eine Handvoll Glasperlen… ähm… für einen kostenlos nutzbaren Dienst im Web oder für eine kostenlos nutzbare App oder dergleichen. Und auch nicht bei Anbietern, die „seriös“ aussehen, denn das Wichtigste beim Betrug ist nun einmal ein „seriöses“ Aussehen.

Diese Webseite, die nicht von PayPal ist und die übrigens den Titel „Ihr Konto wurde vorübergehend eingefroren“ trägt, sieht übrigens so aus:

Screenshot der Phishing-Seite

Sie funktioniert übrigens nicht ohne Javascript. Wer – wie ich es unbedingt empfehle – nicht jeder dahergelaufenen Seite in einem anonymisierenden, technischen Medium das Ausführen von Code im Webbrowser gestattet, sondern dieses Privileg nur ausgewählten Seiten geben möchte und deshalb ein scheinbar „unbequemes“ Browser-Addon wie NoScript verwendet und PayPal die Ausführung von Javascript erlaubt hat, bemerkt spätestens beim Nichtfunktionieren dieser Seite, dass etwas nicht stimmt.

Aber vermutlich ist niemand, der sich auch nur rudimentäre Gedanken um Computersicherheit macht, so weit gekommen. Es gibt vorher genug Alarmzeichen, obwohl die Spam zugegebenermaßen gut gemacht ist:

  1. Die Spam geht an willkürlich eingesammelte Mailadressen. Wer für einen Dienst wie PayPal eine eigene Mailadresse verwendet, die nirgends anders verwendet wird und deshalb nicht „eingesammelt“ werden kann, merkt sofort, dass etwas nicht stimmt.
  2. PayPal versendet solche E-Mails mit Klickmich-Aufforderung nicht.
  3. PayPal spricht seine Kunden persönlich an.
  4. Jeder Mensch, der weiß, dass man gegenüber E-Mail gar nicht misstrauisch genug sein kann, klickt nicht in die Spam, sondern ruft die PayPal-Website auf und meldet sich dort ganz normal an. Wenn dabei kein Problem angezeigt wird, ist unmittelbar klar, dass die E-Mail eine Spam ist.
  5. Ein PayPal-Link, der nicht in die Website von PayPal geht, ist hochverdächtig.
  6. Ein paar Formulierungen – insbesondere dieses „Folgen Sie dem Button“ statt einer Form von „Click here“, die immer häufiger von Spamfiltern aussortiert wird – sind doch ein bisschen zu lächerlich, um echt sein zu können.

Mit freundlichen Grüßen
Ihr Team für Kundensicherheit

Ja, ihr mich auch mal!

Copyright © 1999-2016 PayPal. Alle Rechte vorbehalten. PayPal (Europe) S.à r.l. et Cie, S.C.A., Société en Commandite par Actions. Eingetragener Firmensitz: 22-24 Boulevard Royal, L-2449 Luxembourg RCS Luxembourg B 118 349.

Nein, diese Spam kommt natürlich nicht von PayPal. Aber weil ich das immer wieder sage, sage ich es auch hier, und zwar mal mit etwas deutlicheren Worten: Wer „geistiges Eigentum“ auf den massenhaft reproduzierten Standardtext einer E-Mail proklamiert, macht sich lächerlich und stellt sich selbst als Vollidiot dar. Unter einem Brief, der mit der Sackpost an seinen Empfänger zugestellt wird, würde auch niemand so einen hirnlosen Rotz schreiben, wenn er mehr Intelligenz als eine frisch amputierte Laborratte hat und die Intelligenz der Leser seiner Briefe nicht gerade offen verachten möchte. Unter einer E-Mail ist es genau so dumm. Und diese Dummheit ist nicht die Dummheit von Spammern, sie ist direkt von PayPal abgeschaut, denn es ist die Dummheit PayPals, die man in jeder E-Mail von PayPal „genießen“ darf.

Deshalb noch ein kleiner Nachschlag von mir, in leicht jovialem Ton, der sinngemäß auch auf viele Kreditinstitute übertragbar ist:

Hey, PayPal,

könnt ihr bitte mal mit diesem von jedem Kriminellen leicht über die Zwischenablage zu imitierenden Bullshit mit dem „Copyright“ und dem „All rights reserved“ unter euren E-Mails aufhören, der keinerlei Funktion hat, juristisch bedeutungslos ist und einfach nur so dumm ist, dass es weh tut! Ich wäre euch sehr dankbar dafür.

Stattdessen könnt ihr einfach mal etwas sinnvolles mit euren E-Mails machen. Zum Beispiel könntet ihr damit beginnen, sie digital zu signieren, um den Phishing-Betrügern das Leben wenigstens ein bisschen schwerer zu machen. Technische Verfahren und Software zu ihrer Umsetzung stehen seit rd. 25 Jahren (ja, das ist ein Vierteljahrhundert, also ungefähr fünfzig Erdzeitalter der Informationstechnik) jedem zur Verfügung, der sie nutzen will, und inzwischen sogar Frei und kostenlos. Wenn ihr dann auch noch euren Kunden erklärtet, was eine digitale Signatur ist, warum eine digitale Signatur bei der Nutzung eines Mediums, in dem jeder seinen Absender fälschen kann, erforderlich ist und wie man die digitale Signatur überprüft (und gegebenenfalls selbst nutzt) und keine einzige unsignierte E-Mail mehr heraussendetet, hättet ihr fast alles gegen das Phishing getan, was ihr tun könntet – denn es wäre nicht mehr möglich, eine Mail von euch zu fälschen.

Wenn ihr digitale Signaturen nutztet, hätten sich viele Probleme erledigt.

Dass ihr das nicht tut, obwohl es praktisch keine Kosten verursachte, zeigt, dass ihr es nicht tun wollt. Und dass ihr das nicht tun wollt, zeigt, dass euch die Sicherheit des Zahlungsverkehrs eurer Kunden scheißegal ist, denn sonst würdet ihr Betrugsmöglichkeiten im Keim ersticken, wenn es nahezu kosten- und aufwandslos möglich wäre.

Ich hoffe, dass jeder eurer Kunden daraus die richtigen Schlüsse ziehen kann.

Ich hoffe ferner, dass ihr für diese eure Fahrlässigkeit einmal haftbar gemacht werdet und die dadurch bei anderen Menschen angerichteten Schäden erstatten müsst.

Ich befürchte aber, dass ich das nicht mehr erlebe.

Statt, dass ihr euren E-Mails etwas sinnvolles hinzufügt, nämlich eine digitale Signatur, fügt ihr ihnen etwas sinnloses hinzu, nämlich einen Hinweis, dass ihr für das großartige „Werk“ den vollen Schutz des „geistigen Eigentums“ beansprucht.

Ihr macht euch damit zu Freunden der Phisher. Aus Dummheit.

Nur, ums euch mal gesagt zu haben.
Der Nachtwächter

Guten Tag mein lieber Freund

Mittwoch, 20. April 2016

Oh, ein Qualitätsbetreff!

Guten Tag mein lieber Freund

Gute Nacht, mein dummer Spammer,

nun, deinen Ersatz für eine persönliche Anrede hast du schon im Betreff mitgeteilt. Du hättest lieber im Betreff mitteilen sollen, um was es in deiner Spam geht. Aber das machst du ja jetzt.

Jeg bruger dette medie til at informere dig om transaktionen for overfшrsel pе $ 21500000 (Twenty-en million fem hundrede tusinde dollars) i min bank i Kina til dig som en modtager. Det vil vжre 100% sikker, er den finansielle officer af den afdшde kunden.

Für dich aus dem angeblichen „China“, das die kyrillische Codepage verwendet, mag das alles gleich aussehen, aber ich muss dir leider mitteilen, dass die meisten Deutschen kein Dänisch können¹. Deine lächerliche Spam zur Einleitung eines Vorschussbetruges wird also ziemlich wirkungslos bleiben.

Ach ja, und die dänischen Zeichen sehen wie „ø“ und „æ“ aus, nicht wie „ш“ und „ж“. Frag mal ein elfjähiges Hackkind, wie man die Codepage im Content-Type-Header angibt. Und dann verwende da einfach mal eine andere Codepage als die 855, mit der du immer deine russischen Mails schreibst, du da hinten in China! Welche du nehmen solltest, kannst du übrigens in diesem Internet erfahren, das du leider nur zum Spammen verwendest, und nicht, um dich ein bisschen zu bilden. Ach, mit Bildung kannst du die Nutten nicht bezahlen, und deshalb spammst du lieber… gut, ich verstehe! :D

Dass es seit ein paar Jahrzehnten Unicode und das UTF-8-Encoding gibt, womit man derartige Probleme völlig vermeidet… ach! Woher sollst du das wissen? Im Puff erzählt es dir doch keiner. Und dass du dich aus eigenem Interesse mit der Technik auseinandersetzt, auf deren Grundlage du dein kriminelles Geschäftchen machen willst, wäre doch wirklich zu viel verlangt. Wenn du dir Mühe geben wolltest, könntest du ja gleich arbeiten gehen.

Kontakt venligst pе min private e-mail nedenfor for eventuelle spшrgsmеl og yderligere information.

Aha, wenn ich jetzt irgendwie an die ganz sicheren 2,15 Megadollar von dir verwaltetes, herrenloses Geld eines verstorbenen Kunden oder aber an weitere Lügen von dir kommen will, die ja beidesamt ganz sicher zu haben sind… tja, dann soll ich für meine Antwort deine private Mailadresse nehmen. Welche das ist, scheint dir in diesem Kontext eine völlig nebensächliche Angabe, so dass sich dieser Absatz wie eine Aufforderung zum Erraten einer Mailadresse liest. Aber dafür hast du etwas geschafft, was ich dir ob deiner sonstigen Stümperei gar nicht zugetraut hätte: Du hast einen Reply-to-Header in die Mail gebastelt bekommen. Das kann nicht jeder! Und weil du so ein Könner bist, könnte ich dir einfach antworten, indem ich auf „Antworten“ klicke, ohne, dass ich in eine Mailadresse in deiner Mail klicken müsste und fast schon, als sei alles ganz normal. Dein aus einer Spam eines deiner Kollegen übernommener Absatz mit dem Hinweis, dass der Absender der Spam gefälscht ist und dass man deshalb an eine andere, die angeblich „private“ Adresse antworten soll, ist also überflüssig und dumm.

Med venlig hilsen

Chin sang

e-post: chinsang147 (at) gmail (punkt) com

Нечего на зеркало пенять, коли рожа крива². Nur, damit du mal merkst, dass man auch ganz gut ohne dein Codepage-Problem leben könnte, indem man einfach UTF-8 verwendet. :D

Ich habe deine Spam gesehen, drüber gelacht und sie gelöscht.

¹Ich kann übrigens auch kein Dänisch. Ich kann es zwar halbwegs flott lesen (und dank der sehr „entspannten Aussprache“ der meisten Dänen deutlich weniger gut verstehen), aber ich habe es nie wirklich gelernt. Feinheiten und peinliche Stilfehler entgehen mir. Ich gehe davon aus, dass der dänische Text ähnlich schlecht sein wird, wie so mancher deutsche Text von Vorschussbetrügern, aber das entgeht mir.

²Ins Deutsche übelsetzt: Gib nicht dem Spiegel die Schuld daran, dass dein Gesicht schief ist.