Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Tagesarchiv für den 19. Mai 2017

Neues Authentifizierungsverfahren

Freitag, 19. Mai 2017

Keine Panik! Diese Mail kommt nicht von Amazon. Auch, wenn sie ein Amazon-Logo enthält. Jedes Kind kann eine derartige Grafik von „irgendwo aus dem Web“ mitnehmen und in eine HTML-formatierte Spam verbasteln.

Von: "Amazon.de" <service@amazon.co.uk>

Natürlich ist auch der Absender gefälscht. Wie der Spammer auf die Idee kommt, dass deutsche Kunden vom Support des britischen Amazon angeschrieben werden könnten, weiß ich nicht. Vielleicht macht Amazon das ja wirklich so. Das wäre zwar ein bisschen dumm, weil Amazon dann auf einer Mailadresse Schriftverkehr in vielen verschiedenen Sprachen bekäme, der erst einmal sortiert werden muss, und es wäre auch aus Kundensicht ein wenig verwirrend, aber was weiß ich, wie Amazon seinen Laden organisiert. Wahrscheinlicher ist es allerdings, dass der Spammer hier ein bisschen dumm ist. ;)

Logo: amazon.de
Guten Tag Tobias Rodde,

Ich will es mal so sagen: Der Empfänger hieß anders. Völlig anders. Woher der Spammer den Namen genommen hat, bleibt unklar. Ich halte es aber für möglich, dass etliche Empfänger dieser Phishing-Spam mit ihrem richtigen Namen angesprochen werden. Vermutlich ist dem Spammer beim Zusammenführen und Bereinigen seiner Datenbank die Zuordnung von Namen und Mailadressen ein bisschen durcheinandergeraten. Wenn er in den nächsten Tagen einen aufgeweckten Achtjährigen gefunden hat, der es für ihn richtig macht, wird dieses kleine Problemchen sicherlich beseitigt sein.

Aber ob dann der folgende Absatz eine gute Kundenansprache ist?

Diese E-Mail legt eine Reihe von Mindestanforderungen im Bereich der Sicherheit von Internetzahlungen fest. Die EBA-Leitlinien basieren auf den Vorschriften der Richtlinie 2007/64/EG2 („Zahlungsdiensterichtlinie“, „PSD“) über die Informationspflichten für Zahlungsdienste sowie die Pflichten von Zahlungsdienstleistern bei der Erbringung von Zahlungsdiensten . Überdies schreibt Artikel 10 Absatz 4 der PSD vor, dass Zahlungsinstitute über eine solide Unternehmenssteuerung sowie angemessene interne Kontrollmechanismen verfügen müssen.

Aha, und was hat der Kunde damit zu tun? Richtig: Nichts hat der Kunde damit zu tun, denn es betrifft ihn gar nicht. Weshalb steht es dann in der Spam? Richtig: Dieses von irgendwo abgeschriebene bürokratisch-juristische Geschwafel ohne jegliche Bedeutung für einen Kunden einer Internetklitsche hat genau eine Funktion. Es soll den Empfänger beeindrucken und einschüchtern.

Vielleicht freut sich der Amazon-Kunde ja auch darüber, dass sich Amazon (angeblich) im Mai des Jahres 2017 einmal dazu bequemt hat, sich um die Umsetzung einer EU-Richtlinie vom 11. November 2007 zu bemühen. Nein, diese literarisch ungenießbare EU-Juristenprosa braucht niemand zu lesen, aber auf der ersten Seite steht das Datum, und im Gegensatz zum dummen, asozialen und kriminellen Spammer, der hier ebenfalls in einer HTML-formatierten Spam darauf Bezug nimmt, gebe ich gern die Quellen an. Erfreulicherweise gibt es ja inzwischen so ein Internet, und natürlich sind die Veröffentlichungen des Amtsblattes der Europäischen Union auch dort verfügbar. ;)

Für Online-Zahlungen bedeutet dies, dass verpflichtend eine neue, sicherere Methode zur Kundenauthentifizierung eingeführt werden muss. Um die Sicherheit Ihrer Kundendaten zu gewährleisten ist ein Abgleich der hinterlegten Informationen obligatorisch.

Und, was hat der Kunde mit der Implementation einer neuen Methode zur Kundenauthentifizierung zu tun? Richtig: Nichts. Das ist eine Angelegenheit für Programmierer, und im Idealfall merkt der Kunde gar nichts davon.

Aber dem Spammer geht es mit seinem wirren Geschwurbel um etwas anderes, nämlich einen „Abgleich der hinterlegten Informationen“. Denn dem Opfer dieses Phishings soll glauben gemacht werden, dass es aus irgendeinem Grund (wissenschon, dummes EU-Recht) erforderlich sein soll, lauter Daten, die bei Amazon längst bekannt sind, noch einmal auf einer angeblichen Website von Amazon einzugeben. Natürlich gehen diese Daten nicht zu Amazon, sondern direkt zu gewerbsmäßigen Betrügern, was im Falle des Amazon-Logins sowie eventueller Kreditkarten- und Bankdaten sehr unangenehm für das Opfer dieses Phishings werden kann. Denn die Kriminalpolizei schläft nicht und wird schnell vor der Türe stehen, wenn sie dem Gelde zu den Verbrechern folgen will.

Übrigens: Es ist immer und ausnahmslos Unsinn, wenn man längst bekannte Daten wegen irgendeines Bullshits noch einmal eingeben soll. Diesen Unsinn kann man nur in Phishing-Spams lesen.

Bitte achten sie während des Authentifizierungsverfahrens auf mögliche Fehleingaben, sollten wir eine Abweichung zu den bei uns hinterlegten Daten feststellen, ist eine Sperrung Ihres Accounts unvermeidlich.

Das heißt zu gut Deutsch: „Wenn sie so doof sind, alle ihre bei Amazon bekannten Daten noch einmal einzugegeben, weil sie in einer Spam darum gebeten wurden, dann machen sie das wenigstens korrekt, damit unser Betrugsgeschäft reibungsloser läuft“. :mrgreen:

Konto bestätigen

Der Link geht auf eine Adresse, die über den URL-Kürzer bit.ly maskiert wurde, um Spamfiltern die Abfrage von Blacklists zu erschweren. Das richtige Amazon würde niemals mit einem solchen „Trick“ arbeiten.

Will ich doch mal nachschauen, wo die Reise hingeht:

$ lynx -mime_header "http://bit.ly/2qxUl9u" | grep "^Location"
Location: http://tinyurl.com/mvezu75
$ _

Aha, es geht von einem URL-Kürzer auf den nächsten URL-Kürzer. Der kürzt dann zwar nicht mehr, aber es soll ja auch die Spamfilterung erschwert und nicht wirklich gekürzt werden. Für solche Umleitungsorgien habe ich mir zum Glück mal ein kleines Skript¹ gemacht, weil sie eine Zeitlang in der Binäre-Optionen-Spam mit großer Penetranz genutzt wurden.

$ location-cascade "http://bit.ly/2qxUl9u"
301	http://bit.ly/2qxUl9u
301	http://tinyurl.com/mvezu75
301	http://judenurl.com/slowdownmonkey83
302	https://de-kundencenter-authentifizierung.com/wer/macht/parra/
Found	/795722/DEJApbOkS90MF8q/5VPeQwAXmqEjx6b/427610010560/oOkLqQjKN3YtwWp/sEN42eBULqQaMJF/
$ _

Oh, es geht in eine tolle, lange Domain, die von DE, Kundencenter und Authentifizierung faselt, aber nichts mit Amazon zu tun hat. Wer hat denn diese Domain registriert? Hui, ein whois offenbart, dass da bei der Registrierung richtige Adressdaten aus Dortmund angegeben wurden, mutmaßlich die Anschrift eines Menschen, dessen Identität von Kriminellen missbraucht wird und der jetzt mehrere Jahre seines Lebens Ärger mit dieser ganzen kriminellen Scheiße haben wird². Deshalb ist man immer sehr sparsam mit seinen persönlichen Daten und gibt diese niemals leichtfertig irgendwo an. Das mag in einer Zeit, in der überall erwartet wird, dass man naiv und unvorsichtig mit Daten umgeht, antiquiert wirken, aber wenn leichtgemachter gewerbsmäßiger Betrug auf Kosten des eigenen Lebens die neue Modernität ist, sollte niemand ein Problem damit haben, ein bisschen antiquiert zu sein. Natürlich kann man dann auch viele Angebote im gegenwärtigen Internet nicht nutzen, die erwarten, dass – oft ohne sachlichen oder technischen Grund – weit in die Privatsphäre hineinragende Daten eingegeben werden. Insbesondere rate ich strikt davon ab, das Geburtsdatum anzugeben. Es ist niemals erforderlich.

So, jetzt noch der Blick auf die Website… oh! Da gibt es jetzt noch eine Weiterleitung:

Screenshot einer Seite bei sedoparking.com, auf die jetzt weitergeleitet wird. -- de-kundencenter-authentifizierung.com -- Sie sind der Domain-Eigentümer und möchten wissen, wieso diese Domain anders als die anderen geparkten Domains aussieht? INFOS HIER...

Da hat wohl schon jemand den Stecker vom Server gezogen. Danke! ;)

Mit freundlichen Grüßen,
Ihr Amazon-Team

„Mein Amazon-Team“ ist das nur in einem sehr skurrilen Sinn des Wortes.

Mit dieser Servicemitteilung informieren wir Sie ?ber wichtige ?nderungen bez?glich Ihres Amazon Kontos.
Copyright © 1998-2017 Amazon.com. Alle Rechte vorbehalten.

Immer wieder das Gleiche bei den dummen Spammern. Sie haben ihre eigentliche Botschaft rübergebracht und sind sogar leidlich fehlerfrei durch die deutsche Sprache gestolpert, und am Ende der Nachricht sind die Gedanken schon wieder im Bordell und die Konzentration lässt nach. Und dann klappt es auf einmal auch mit den Umlauten nicht mehr…

Denn wenn sich der Spammer Mühe geben wollte, könnte er ja auch gleich arbeiten gehen.

Diese Spam ist ein Zustecksel meines Lesers M.S., der etwas vom „dümmsten aller Spammer“ dazu schrieb.

¹Nein, ich gewinne dafür keine Schönheitspreise. Aber es hat mir schon viel Handarbeit erspart, und ich hatte bis jetzt kein Bedürfnis, es besser zu machen.

²Ganz sicher wurden die Daten für etliche „Geschäfte“ benutzt. Warum ich die (leider leicht ermittelbare) Anschrift hier nicht auch noch zitiere, sollte jedem Leser klar sein: Da ist eine arme Seele wahrlich genug gestraft!