Im Betreff stand der richtige Vorname und Nachname des Empfängers.
Von: „Volksbank.de“ <soerenvogel@online.de>
Ja ja, mal wieder eine „Bank“, die keine eigene Domain für ihre E-Mail hat. Warum sollte der Spammer sich auch Mühe bei seinem Phishing geben. Wenn er sich Mühe geben wollte, könnte er ja gleich arbeiten gehen.
Diese Spam enthält keinen Text. Sie besteht nur aus einer eingebetteten Grafik, und diese sieht so aus:
![Volksbanken / Raiffeisenbanken -- Sehr geehrte Damen und Herren, in letzter Zeit kam es vermehrt zu sicherheitsrelevanten Problemen in Verbindung mit Kundendaten. Daher sind wir verpflichtet, entsprechende Maßnahmen zu ergreifen. Um die Sicherheit ihres Kundenkontos auch weiterhin gewährleisten zu können, bitten wir Sie ihre Kundendaten zu aktualisieren. -- Nach Abschluss des Vorgangs befindet sich ihr Kundenkonto automatisch auf dem aktuellen Stand der Sicherheitsbedingungen nach §§ 12-20 des Bundesdatenschutzgesetzes -- [Fortfahren] -- Vielen Dank für Ihr Verständnis -- Dies ist eine automatisch generierte Nachricht, bitte antworten Sie nicht auf diese E-Mail. -- Werbung -- Bundesverband der Deutschen Volksbanken und Raiffeisenbanken e.V. (BVR) / Schelligenstraße 8 / 10785 Berlin / Telefon / Telefax](http://spam.tamagothi.de/wp-content/uploads/2017/03/volksbank-phish.jpg)
Die gesamte Grafik ist verlinkt, also anklickbar. Der Link geht auf den URL-Kürzungsdienst von Google. Spätestens daran sollte jeder bemerken, dass es sich nicht um eine Mail von einer richtigen Bank handelt, denn warum sollte die auch einen indirekten Link setzen.
$ location-cascade https://goo.gl/8V3uLO 301 https://goo.gl/8V3uLO 302 http://331wte0aks.party/?l=c9Dz8U Found https://banking.de.volksbank-DJNKLVCVSF-volksbank.ru $ _
So weit die gewöhnliche Alltagskost des Spamgenießers. Jetzt einmal etwas, was ich nicht so oft erlebe
$ lynx -mime_header https://banking.de.volksbank-DJNKLVCVSF-volksbank.ru | grep '^Location' Location: banking-privateentry.php?entry=16YHFpxhnuPCN24Kgqf8ys73RevitI&trackid?=1sXr0nAcx2SwLfCYzTNZ $ _
Eine lokale Weiterleitung, die mich dann endlich zum Ziel bringt und mich mit dem neuesten Schrei des Phishings auf Volksbank-Kunden bekannt macht – aber genau in diesem Moment ist der Webserver der Phisher vom Netz gegangen. 🙂
Offenbar hat der Hoster keine Lust auf die kriminellen Machenschaften seines Kunden gehabt. Da scheint wohl auch jemand anders die Spam „behandelt“ und schließlich gemeldet zu haben. Gut so! Das erspart einigen hundert naiven Menschen, dass ihre Konten geplündert, ihre Kreditkarten von gewerbsmäßigen Betrügern benutzt und ihre persönlichen Daten bei Betrugsgeschäften aller Art angegeben werden – vor allem der Identitätsmissbrauch kann einem Menschen mehrere Jahre seines Lebens verhageln.
Ich wünsche der russischen Polizei viel Erfolg dabei, die Betrügerbande dingfest zu machen! Leider wird sie wohl zunächst einen Menschen ermitteln, dessen Identität und Kreditkarte von Betrügern missbraucht wurden… 🙁
Diese Spam ist ein Zustecksel meines Lesers M.S., der dazu trocken anmerkte, dass er „so viele Konten“ hat, dass er eine App brauchte, um sie alle verwalten zu können…
PayPal hat sich bei mir gemeldet, wegen einer Kontosperrung aus „Sicherheitsgründen“.
Ich habe die Klickediclick-Adresse mal mit whois und lynx -debug -mime_header untersucht:
Überraschung:
diesmal nicht .ru oder .ua sondern .gq (Äquatorialguinea).
Oh,
.gqhatte ich noch nie… 😀