Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Ihr Páypal Konto wurde eingeschränkt

Mittwoch, 10. Januar 2018, 14:00 Uhr

Huch, wie ist die denn durch den Spamfilter geflutscht?

Von: Paypál <service@paypal.com>

Der Absender ist gefälscht. Die Spam hat niemals einen Server von PayPal gesehen. Mein Exemplar dieser Phishing-Spam wurde übrigens über einen gemieteten Server eines Hosters aus den USA versendet. Natürlich mietet ein Verbrecher so einen Server nicht unter Angabe seines eigenen Namens und bezahlt ihn nicht mit seiner eigenen Kreditkarte, so dass vermutlich mal wieder einem Menschen, der bereits betrogen wurde, als kleine kriminelle „Zusatzleistung“ auch noch die Freude bevorsteht, dass gegen ihn wegen Betrugs ermittelt wird. 🙁

Lustig, dass „PayPal“ seine eigene Firmierung nicht richtig schreiben kann, so dass es nacheinander zu der Schreibweise „Páypal“ (im Betreff) und „Paypál“ (in der gefälschten Absenderadresse) kommt. Woran das liegt? Na, es liegt daran, dass diese Spam nicht von PayPal kommt.

Deshalb ist man ja auch sehr zurückhaltend mit der Preisgabe von Daten. Auch gegenüber irgendwelchen Unternehmen. Aber erst recht, wenn man in einer E-Mail dazu aufgefordert wird, auf irgendeiner Website Daten einzugeben.

Wir helfen Ihnen bei Problemen mit einer Transaktion.

Das ist ja nett! :mrgreen:

Wichtige Kundenmitteilung
Zum Datenabgleich

Ich komme später noch zum Link.

Guten Tag,

Dass diese Spammer aber auch immer so genau wissen, wie ich heiße!

leider müssen wir Ihnen mitteilen, dass wir Ihr Páypal Konto vorübergehend eingéschränkt haben. Um Ihr Konto wieder freizuschalten nutzen Sie bitte den oben angegebenen Link.

Ah, „eingeschränkt“ gibt es jetzt auch mit einem accent aigu. Vermutlich reicht dieses eine Wort in vielen Fällen schon aus, damit die betrügerische Spam nicht mehr durch den Spamfilter kommt, und deshalb denken sich die Verbrecher halt neue Schreibweisen aus.

Hier steht übrigens zwischen den Zeilen etwas ganz Wichtiges, wenn man sich vor Phishing schützen möchte. Wer nicht betrogen werden will und sich weiteren, teils jahrelangen Ärger ersparen möchte, der klickt natürlich niemals in eine E-Mail, sondern legt sich ein Lesezeichen im Webbrowser an und nutzt dieses. Ein Phisher hat nur eine Chance bei Menschen, welche die schlechte und gefährliche Angewohnheit haben, in E-Mails zu klicken – denn nur diese Menschen können vom Phisher mit einem Link auf die betrügerisch nachgeahmten Websites gelotst werden. Wer diese schlechte und gefährliche Angewohnheit hat, sollte sie sich unbedingt abgewöhnen.

Bitte halten Sie zum Datenabgleich Ihre Bankverbindung sowie Kreditkarten Daten zu Verfügung.

Ja, ist klar!

Das Deppen Leer Zeichen in „Kreditkarten Daten“ sollte allerdings auch begriffsstutzige Zeitgenossen aufmerksam machen, dass hier etwas nicht stimmt.

Bitte achten Sie darauf das Ihre Angaben mit denen bei uns hinterlegten übereinstimmen. Ansonsten besteht die Gefahr das Ihr Konto dauerhaft gesperrt wird.

Ja, ist klar!

Mit denen bei euch hinterlegten… 😀

Wir bitten um Ihr Verständnis.

Nein!

Übrigens, der Link.

Der geht natürlich nicht in die Domain von PayPal, sondern über den URL-Kürzer Bitly. Die Verwendung eines URL-Kürzers in einer HTML-formatierten Mail ist natürlich überflüssig, und außerdem würde PayPal so etwas niemals tun, weil damit die Geschäftsbeziehung gegenüber einem Dritten geoffenbart würde. Stattdessen würde PayPal einen direkten Link auf eine Website in seiner eigenen Domain setzen… außer manchmal… 🙁

Mal schauen, wo die Reise hingeht

$ lynx -mime_header http://bit.ly/2ErK3eI | grep ^Location
Location: https://paypal.de-sicherer-login.com/script.php
$ _

Aha, es geht in eine Subdomain der Domain de (strich) sicherer (strich) login (punkt) com, die zu…

$ dig paypal.de-sicherer-login.com

; <<>> DiG 9.10.3-P4-Ubuntu <<>> paypal.de-sicherer-login.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 5125
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;paypal.de-sicherer-login.com.	IN	A

;; ANSWER SECTION:
paypal.de-sicherer-login.com. 2741 IN	CNAME	de-si.5a55c254.2018.cbricdns.com.

;; AUTHORITY SECTION:
2018.cbricdns.com.	600	IN	SOA	ns-10.awsdns-01.com. awsdns-hostmaster.amazon.com. 1 7200 900 1209600 86400

;; Query time: 42 msec
;; SERVER: 127.0.1.1#53(127.0.1.1)
;; WHEN: Wed Jan 10 13:45:28 CET 2018
;; MSG SIZE  rcvd: 177

$ whois cbricdns.com | grep WHOIS
   Registrar WHOIS Server: whois.godaddy.com
$ whois -h whois.godaddy.com cbricdns.com | grep ^Registrant
Registrant Name: TJ Jung
Registrant Organization: Cloudbric Corp
$ _

…einer lustigen Domain eines Cloud-Anbieters und offenbar auch Dienstleisters für dynamisches DNS aufgelöst wird. Zum Glück für den Rest der Welt ist der Stecker bereits gezogen, so dass ich leider keinen Screenshot der aktuellen Phishing-Seite machen kann. Es wird sich jedoch um eine „liebevoll“ nachgemachte Login-Seite von PayPal gehandelt haben, die in ein paar weiteren Schritten eine Menge weiterer Daten für betrügerische „Geschäfte“ abfragt.

Aber wer niemals in eine E-Mail klickt, kann da ja gar nicht landen und auch nicht aus Versehen einer Betrügerbande Zugriff auf das PayPal-Konto, das Bankkonto und die Kreditkarte gewähren. Deshalb klickt man ja auch niemals in eine E-Mail

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert