Wie konnte dieses miese Phishing durch den Spamfilter kommen? Die Spammer üben sich in neuen Formulierungen, denn sie leben davon, dass ihre Spams ankommen.

Von: IONOS Kontoservice <martin@samy2000x.de>

Kenne ich nicht. 👤️

Liebe Kundin, lieber Kunde,

Ich bin zwar entweder Männlein oder Weiblein, aber eines bin ich ganz sicher nicht: Kunde. Das wüsste ich. Und vor allem: Dann würde ich die (hier natürlich gefälschte) Absenderadresse kennen. 😉️

Gemäß unserer neuen Nutzerbestimmungen überprüfen wir in regelmäßigen Abständen die Passwörter unserer Kunden um zu gewährleisten das diese noch den aktuellen Sicherheitsstandards entsprechen. Ihr Konto wurde von unserem System für eine Überprüfung ausgewählt und ist bis zur Durchführung nur eingeschränkt nutzbar.

Oh, „Nutzerbestimmungen“ habt ihr. Ihr bestimmt über eure Nutzer. 😀️

Aber der Vorwand für das Phishing ist völliger Quatsch. Man muss nicht einmal viel Verständnis haben, um zu erkennen, dass es sich um völligen Quatsch, um Lüge, um Phishing handelt. 🤥️

Keine Klitsche, die Wert auf die Einhaltung von Datenschutzgesetzen legt, speichert Passwörter im Klartext. Sie werden mit einem Verfahren verschlüsselt, das sich nicht rückgängig machen lässt – im Grunde ganz ähnlich, wie man die Quersumme einer Zahl bildet, aus der sich die ursprüngliche Zahl auch nicht mehr herleiten lässt, nur mit weniger Überschneidungen bei verschiedenen Passwörtern und mit mehr kryptografischem Anspruch. Man spricht von einem „kryptografischen Hash“ oder kurz von einem „Hash“. Der rechnerische Aufwand, aus dem gespeicherten Hash ein Passwort zu generieren, mit dem man sich anmelden könnte, wenn der Hash einmal „veröffentlicht“ wird, ist ungefähr so groß wie das Durchprobieren aller möglichen Passwörter, also hoffnungslos. 👍️

Wenn Cracker einmal an eine Datenbank kommen, versuchen sie auch nicht, die Passwörter wiederherzustellen, sondern benutzen Wörterbücher und Listen beliebter Passwörter, um schwache Passwörter wie 123456, qwertz oder linsensuPPe zu erraten. Das ist oft mehr als nur ein bisschen erfolgreich, und alles, was der Cracker dafür braucht, ist schon lange fertig programmiert und kann einfach verwendet werden. Zum Glück muss man dem Computer ja nicht Händchenhalten, wenn er Daten verarbeitet. ✅️

Wenn Passwortrichtlinien durchgesetzt werden, geht es darum, dass man Anwender zum Verwenden möglichst guter Passwörter drängt. Dafür fordert man Anwender mit schwachem Passwort auf, ein besseres Passwort zu benutzen und erklärt ihnen im Idealfall auch noch, was ein besseres Passwort wäre und warum das so wichtig ist. Nun kennt ein seriöser Diensteanbieter die Passwörter der Anwender aber gar nicht, weil er sie ja nirgends im Klartext vorliegen hat. Deshalb kann er nicht einfach Anwender mit schwachem Passwort anmailen. 🤔️

Und deshalb bekommt man solche Aufforderungen niemals mit einer E-Mail – außer von halbseidenen Anbietern, die Passwörter im Klartext speichern. 📬️

Die typische Vorgehensweise ist eine andere: Das Passwort des Anwenders ist bei einer Anmeldung bekannt, er hat es ja angegeben und es wird ja gehasht – und kann serverseitig mit einer ähnlichen Software überprüft werden, wie sie auch von den Crackern benutzt wird. Wenn das Passwort schwach ist, wird der Anwender dazu aufgefordert, sein Passwort zu ändern, bevor er weitermachen kann. Vorteil: Es werden nur Menschen „belästigt“, bei denen ein Handlungsbedarf besteht, und nicht „in regelmäßigen Abständen“ alle Nutzer damit „belästigt“, dass…

Bitte klicken Sie auf den folgenden Button, um sich einer kurzen Passwortüberprüfung zu unterziehen. Der Vorgang dauert nur wenige Sekunden und ist vollautomatisiert. Nach erfolgreicher Überprüfung können Sie Ihr Konto wieder uneingeschränkt nutzen.
> weiter

…sie in eine E-Mail klicken sollen, was übrigens sehr dumm ist¹. 🖱️🤦‍♂️️

Nur, wenn man in E-Mails klickt, kann man auf Phishing reinfallen – zum Beispiel auf dieses Phishing hier. Wer aber Websites, bei denen er ein Nutzerkonto hat – und insbesondere die Websites von Banken, Online-Händlern und anderen Dienstleistern, die mit „richtigem Geld“ umgehen sowie Websites, die mit „echten Sozialkontakten“ zu tun haben – immer über ein Lesezeichen seines Webbrowsers aufruft, und niemals in eine E-Mail (oder einen WhatsApp-Status oder dergleichen) klickt, um sie aufzurufen, hat einen hundertprozentig wirksamen Schutz gegen Phishing, eine der häufigsten kriminellen Angriffsformen im gegenwärtigen Internet. Warum? Weil die Verbrecher keine Möglichkeit mehr haben, ihm einen vergifteten Link unterzuschieben. 💡️

Einfach die Website, bei der es angeblich Probleme gibt, über ein Browserlesezeichen aufrufen. Wenn es wirklich Probleme gibt, wird man dies gleich nach der Anmeldung mitgeteilt bekommen, und wenn nicht, hat man mit sehr geringem Aufwand einen kriminellen Angriff abgewehrt. So einfach kann Computersicherheit sein! 🛡️

In diesem Sinne:

Bleiben Sie gesund!

Lassen sie Phisher einfach verhungern! Niemand würde dieses Geschmeiß vermissen, wenn es nicht mehr da wäre. 😇️

Mit freundlichen Grüßen,
IONOS Kontoservice

Freundlich wie eine Ohrfeige
Ihr mieser Phisher 🎣️

¹Einmal ganz davon abgesehen, dass „Klicken sie hier“ und „der Vorgang ist vollautomatisch und sie brauchen gar nichts zu tun“ zwei Aussagen sind, die einander widersprechen. Aber wenn Spammer sich Mühe mit ihrer Spam geben würden, könnten sie ja auch gleich arbeiten gehen. 🛠️