Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Your Account has been Limited On 12 August, 2019 ! – Case ID #628285

Dienstag, 13. August 2019, 13:30 Uhr

Vorab: Diese Mail kommt nicht von PayPal. Es ist eine Phishing-Spam. Bitte nicht den Anhang öffnen und beklicken, sondern die Mail löschen. Wer mir das nicht glaubt, kann sich ganz normal (zum Beispiel über ein Lesezeichen seines Webbrowsers) bei PayPal anmelden. Dabei zeigt sich, dass die Anmeldung völlig problemlos ist. Es gibt keine Meldung über irgendwelche „Beschränkungen“. Das Konto ist und bleibt vollständig nutzbar. Wenn man in die Spam – oder genauer: in das angehängte PDF geklickt hätte – sähe das natürlich ganz anders aus. Aber das wäre auch nicht die Website von PayPal gewesen. 😉

Die Spam ist sehr kurz:

Von: `support@paypal.com <maailappservwdbnk@potdetectors.com>
An: undisclosed-recipients:;

Open PDF File to Manage your PayPal Account !

Case ID : #628285

Spätestens jetzt sollte jedem Menschen mit einem kleinen bisschen Internet-Erfahrung völlig klar sein, dass diese Mail nicht von PayPal kommt:

  1. Der (gefälschte) Absender ist offensichtlich nicht PayPal.
  2. Die Mail geht nicht an einen einzelnen Empfänger, sondern an eine unbestimmte Anzahl von Empfängern.
  3. PayPal kennt Kunden mit Namen und spricht sie auch mit ihrem Namen an.
  4. In der Mail steht – neben einer wichtigtuerischen und für den Empfänger völlig bedeutungsleeren Zahl – nichts; und um zu erfahren, um was es überhaupt geht, muss man einen Anhang öffnen.

Gerade das Letztere, ein aussagelose Mail, die den Empfänger zum Öffnen eines Anhangs nötigt, um zu erfahren, um was es überhaupt geht, ist ein untrügliches Zeichen für gefährliche kriminelle Spam. Solche Anhänge sollte man auf gar keinen Fall öffnen. Niemals. In keiner Situation. Auch nicht, wenn man ein Antivirus-Programm hat. Auch nicht, wenn behauptet wird, dass man schwerwiegende Nachteile hat, wenn man sich nicht sofort kümmert. Auch nicht, wenn der Absender seriös aussieht – denn jeder kann jeden beliebigen Absender in jede Mail eintragen. Es ist hochgefährlich, solche Anhänge aufzumachen.

In diesem Fall…

$ ls -lh *.pdf
-rw-rw-r-- 1 elias elias 536K Aug 13 12:17 Limited-063372099.pdf
$ file *.pdf
Limited-063372099.pdf: PDF document, version 1.5
$ _

…handelt es sich allerdings um eine PDF-Datei mit einem völlig sinnlosen Dateinamen und einer beeindruckenden Größe von 536 KiB Stopfmasse fürs Mailpostfach.

Ich würde mich niemals darauf verlassen, dass man so eine Datei eines Verbrechers einfach im Acrobat Reader aufmachen kann – denn der… ähm… etwas überkomplexe Acrobat Reader hat eine beachtliche Sicherheitsgeschichte, und PDF-Dateien können JavaScript enthalten, also Programmcode des Dokumenterstellers, der beim Öffnen des Dokumentes ausgeführt wird. Ich persönlich importiere derartige PDFs von Spammern meistens mit Gimp, um einen Eindruck davon zu bekommen, wie sie aussehen. Und nicht einmal das ist völlig sicher. ⚠️

Das PDF-Dokument sieht so aus:

Your Account has been temporarily limited We want to help ensure PayPal is a more secure place to do business. We noticed some changes in your account that require further verification. During this time, you may not have access to certain account activities. -- Remove Limitation -- Click the button 'Remove Limitation' above to sign in to your account and verify your valid informations to make sure that your account is safe and all your payments are secure. -- Copyright © 1999-2019 ρayρal, Inc. All rights reserved. ρayρal is located at 2211 N. First St., San Jose, CA 95131. -- Please don't reply to this email. To get in touch with us, visit our support site.

Aha, es ist „PayPal“ nicht mehr möglich, direkt einen Link in eine E-Mail zu machen und deshalb macht PayPal jetzt Links in PDF-Anhängen. Vermutlich passt der Phishing-Müll so noch durch manche Spamfilter hindruch. 🤣

Natürlich geht dieser Link nicht zur Website von PayPal, sondern unter Nutzung eines URL-Kürzungsdienstes zur Verschleierung…

$ location-cascade http://gg.gg/esu3b
     1	https://account.removeelimitations-alert.limited45.com/?signin
     2	cgi-sys/suspendedpage.cgi
$ _

…in eine obskure Subdomain von limited45 (punkt) com, die nichts mit PayPal zu tun hat. Alle Daten, die man dort eingibt, gehen direkt an organisiert kriminelle Verbrecher.

Die Website dieser Domain ist inzwischen erfreulicherweise vom Hoster stillgelegt. Aber die laufende Nummer im Domainnamen zeigt ja schon, dass die Spammer wohl noch viele weitere Phishing-Sites offen haben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.