Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Neue Nachricht #1183807278

Dienstag, 13. Dezember 2022, 17:36 Uhr

Oh schön, der Spammer hat Nummern. Falls ihm mal sein Vorrat an Ziffernfolgen ausgeht, hier sind noch ein paar:

$ perl -e 'for (1 .. 6) { printf "Neue Nachricht #%d\n", rand(1e10); }'
Neue Nachricht #3765035081
Neue Nachricht #3152977180
Neue Nachricht #603718290
Neue Nachricht #5866291887
Neue Nachricht #2188202486
Neue Nachricht #1977180801
$ _

Das sollte erstmal reichen. 😁️

Ich hatte diese Spam heute öfter, und mit immer wechselnder Nummer. Natürlich ist ein Betreff nicht dazu da, irgendeine für den Empfänger sinnlose Nachrichtennummer zu zeigen, sondern dem Empfänger kurz klarzumachen, um was es in der Mail geht. Damit er leichter und besser seinen Posteingang abarbeiten kann. Solche Bullshit-Betreffs ohne Inhalt – ja, dass es eine Nachricht ist, habe ich schon gemerkt, sie liegt ja im Posteingang – sind ein typisches Kennzeichen für Spam und immer ein Hinweis, dass man den Müll ungelesen löschen kann. 🗑️

Von: DƘВ.de <oralhealth@acl.de>
An: Honigtopfadresse

Ich bin übrigens kein Kunde der DKB. Dieser Müll kommt völlig wahllos auf jeder Adresse an, die Spammer irgendwo einsammeln konnten. Einmal ganz davon abgesehen, dass die richtige DKB sicherlich ihre eigene Domain für eine Absenderadresse nutzen würde… aber das kann man beliebig und kinderleicht fälschen. Der Absender einer E-Mail kann einfach jede Absenderadresse eintragen, die er möchte, ohne dass das den Transport der Mail behindert. Ganz genau so, wie man auch auf einen Briefumschlag jeden beliebigen Absender schreiben kann. ✍️

Absenderadressen sind also kein ausreichendes Kriterium, sich vor Spam zu schützen. Eigentlich ist das Problem schon seit über dreißig Jahren gelöst, und die Software für diese Lösung ist schon seit sehr langer Zeit fertig, Frei, kostenlos und in jedem Umfeld leicht zu verwenden: Digitale Signatur von E-Mail. Aber aus einen nicht nachvollziehbaren, irrationalen und unfassbar dummen Grund weigern sich Banken, Unternehmen und Geschäftsleute aller Art (neben Behörden) seit Jahrzehnten, ihre E-Mail digital zu signieren, damit ein Empfänger die Möglichkeit hat, zu überprüfen, ob der Verfasser dieser E-Mail Zugriff auf einen bestimmten privaten Schlüssels hat. Offenbar haben Banken, Unternehmen und Geschäftsleute aller Art (neben Behörden) kein Interesse daran, den Phishing-Sumpf auszutrocknen und ihre Kunden dazu zu ermächtigen, niemals mehr mit dem häufigsten Trickbetrug im Internet hereingelegt werden zu können. Was das ständige Gefasel von „Sicherheit“ wert ist, mit dem gerade Banken ihre tief verachtete Kundschaft trotz dieser Verweigerung immer wieder einlullen, sollte auf diesem Hintergrund jeden Inhaber eines handelsüblichen Gehirnes klar sein. 🧠️

Eine Bank, die es auch in den Zwanziger Jahren des Einundzwanzigsten Jahrhunderts noch nicht hinbekommt, jede ihrer E-Mails digital zu signieren und ihre Kunden deutlich darüber zu informieren, dass alle E-Mails digital signiert sind und wie man diese digitale Signatur überprüft (gern auch mit einem eigenen Addon für die Mailsoftware, das eine solche Prüfung im Hintergrund automatisch ausführt und das Ergebnis auf eine für Betrüger nicht fälschbare Weise anzeigt, damit auch wirklich jeder Mensch damit klarkommt), kann sich in meinen Augen ihre ganzen Sicherheitsapps, Zusatzgeräte und lustigen Sicherheitsverfahren für die internetbasierte Fernkontoführung¹ in den Allerwertesten stecken! Sie liefert ihre Kunden schutzlos an Trickbetrüger aus, die eine unfassbar primitive, ja, geradezu kindische Methode des Trickbetrugs anwenden: Den Auftritt als „Ich bin deine Bank, und jetzt klick mal“. Kein Wunder, dass Phishing immer noch der häufigste Trickbetrug im Internet ist, obwohl die Masche einen ganz schönen Bart hat.

Logo

Oh, da sollte ein Logo erscheinen? Was denn für ein Logo? Mal in den Quelltext schauen². 🔍️

<p><img alt="Logo" class="CToWUd" src="https://www.bestattung-zadrobilek.at/logo.PNG" style="border-radius:6px; border:0px none; display:block; height:153px; line-height:inherit; object-fit:cover; text-decoration:none; width:204px" /></p>

Aha, extern eingebettet aus der Domain bestattung (strich) zadrobilek (punkt) at. Ich denke bei Banken auch immer gleich an den Bestatter! 😁️

Mein Dank geht übrigens an diesen Bestatter aus Österreich, der ganz schnell geschaltet hat und das von Kriminellen verwendete Logo einfach aus dem Web entfernt hat. Noch besser wäre natürlich das Ersetzen durch ein Bild gewesen, das deutlich auf den Betrugsversuch hinweist, aber das ist von einem kleinen Unternehmen vielleicht ein bisschen zu viel verlangt. Auf jeden Fall ist es hervorragend, wie schnell ihr da reagiert habt! Wenn das immer so liefe, wäre den Phishern das Leben schon viel schwerer gemacht. 👍️

Hallo,

Aber so genau hatte ich meinen Namen schon lange nicht mehr! 😂️

Viele Menschen haben übrigens mehr als ein Bankkonto, zum Beispiel, um Umsätze aus selbstständiger Tätigkeit sauber von ihrem persönlichen Kram zu trennen, weil diese Jungs vom Finanzamt manchmal ganz schön garstig sein können. Deshalb würde jede Bank eine Kontonummer nennen. Das kann der Phisher natürlich nicht, wenn er nicht gerade gute Daten eingekauft hat. Es ist also kein ausreichender Schutz, wenn man nur in E-Mail der Bank klickt, die die korrekte eigene Kontonummer enthält, aber eine angebliche E-Mail der Bank, die nicht die Kontonummer erwähnt, kann unbeklickt in die Rundablage. 🗑️

Sie haben eine neue Nachricht in Ihrem persönlichen Portal erhalten.
Folgen Sie dem Link, um sie anzuzeige

So schade, dass die Sache so unendlich wichtig ist, aber die „DKB“ leider kein Mailpapier mehr übrig hatte und deshalb nichts über diese überaus wichtige Sache sagen kann. Die hatte ja nicht einmal mehr genug Mailpapier für das Wort „anzuzeigen“. 😁️

Wer auf den Link klickt, hat verloren. Es fängt damit an, dass der Link natürlich nicht direkt gesetzt ist…

$ location-cascade https://carteraheroes.com/vdzc/
     1	https://ifurniturevn.com/dkb.de/
     2	https://utilify.me/hide-referrer/http://www.cpanel.com
     3	http://ww25.utilify.me/hide-referrer/http://www.cpanel.com?subid1=20221214-0259-3579-9512-2f0c5592afda
$ lynx -mime_header -source http://ww25.utilify.me/hide-referrer/http://www.cpanel.com?subid1=20221214-0259-3579-9512-2f0c5592afda
HTTP/1.1 200 OK
Server: openresty
Date: Tue, 13 Dec 2022 16:02:13 GMT
Content-Type: text/html; charset=UTF-8
Connection: close
Set-Cookie: parking_session=7290aa7c-84a9-3929-b824-18353db47750; expires=Tue, 13-Dec-2022 16:17:13 GMT; Max-Age=900; path=/; HttpOnly
X-Adblock-Key: MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBANDrp2lz7AOmADaN8tA50LsWcjLFyQFcb/P2Txc58oYOeILb3vBw7J6f4pamkAQVSQuqYsKx3YzdUHCvbVZvFUsCAwEAAQ==_KD7LHhfL11q/2+FqO9mkqb30wX3+qJoeftbnEu7ugchmORGZmIAty24YkJkPK5rsrqsrt9rrSqkQPrwsDedHEw==
Cache-Control: no-cache
Accept-CH: sec-ch-prefers-color-scheme
Critical-CH: sec-ch-prefers-color-scheme
Vary: sec-ch-prefers-color-scheme
Expires: Thu, 01 Jan 1970 00:00:01 GMT
Cache-Control: no-store, must-revalidate
Cache-Control: post-check=0, pre-check=0
Pragma: no-cache

<!doctype html><html data-adblockkey="MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBANDrp2lz7AOmADaN8tA50LsWcjLFyQFcb/P2Txc58oYOeILb3vBw7J6f4pamkAQVSQuqYsKx3YzdUHCvbVZvFUsCAwEAAQ==_KD7LHhfL11q/2+FqO9mkqb30wX3+qJoeftbnEu7ugchmORGZmIAty24YkJkPK5rsrqsrt9rrSqkQPrwsDedHEw=="><head><meta charset="utf-8"><meta name="viewport" content="width=device-width, initial-scale=1"><link rel="preconnect" href="https://www.google.com" crossorigin><link rel="dns-prefetch" href="https://parking.bodiscdn.com" crossorigin></head><body><div id="target" style='opacity: 0'></div><script>window.park = "eyJ1dWlkIjoiNzI5MGFhN2MtODRhOS0zOTI5LWI4MjQtMTgzNTNkYjQ3NzUwIiwicGFnZV90aW1lIjoxNjcwOTQ3MzMzLCJwYWdlX3VybCI6Imh0dHA6XC9cL3d3MjUudXRpbGlmeS5tZVwvaGlkZS1yZWZlcnJlclwvaHR0cDpcL1wvd3d3LmNwYW5lbC5jb20/c3ViaWQxPTIwMjIxMjE0LTAyNTktMzU3OS05NTEyLTJmMGM1NTkyYWZkYSIsInBhZ2VfbWV0aG9kIjoiR0VUIiwicGFnZV9yZXF1ZXN0Ijp7InN1YmlkMSI6IjIwMjIxMjE0LTAyNTktMzU3OS05NTEyLTJmMGM1NTkyYWZkYSJ9LCJwYWdlX2hlYWRlcnMiOnsidXNlci1hZ2VudCI6WyJMeW54XC8yLjkuMGRldi41IGxpYnd3dy1GTVwvMi4xNCBTU0wtTU1cLzEuNC4xIEdOVVRMU1wvMy42LjEzIl0sImFjY2VwdC1sYW5ndWFnZSI6WyJlbiJdLCJhY2NlcHQiOlsidGV4dFwvaHRtbCwgdGV4dFwvcGxhaW4sIHRleHRcL3NnbWwsICpcLyo7cT0wLjAxIl0sImhvc3QiOlsid3cyNS51dGlsaWZ5Lm1lIl19LCJob3N0Ijoid3cyNS51dGlsaWZ5Lm1lIiwiaXAiOiI5Mi43Ny44Ni44MCJ9";</script><script src="/js/parking.2.100.2.js"></script></body></html>
$ 

…und nach drei HTTP-Weiterleitungen in eine lustige Javascript-Weiterleitung geht. Diese führt allerdings nicht zur Phishing-Site, sondern zu einer Kauf-diese-Domain-Site von GoDaddy (bewusst nicht verlinkt). Da hat also ebenfalls jemand einen Stecker gezogen. 🔌️

Gefällt mir, wie schnell das diesmal gegangen ist. 👍️

Meistens geht es nicht so schnell. Aber zum Glück für uns alle gibt es ein ganz einfaches und absolut sicheres Mittel gegen Phishing: Niemals in eine E-Mail klicken! Wenn man nicht in E-Mail klickt, kann einem kein Trickbetrüger einen giftigen Link unterschieben. Einfach solche Websites wie die Website seiner Bank als Lesezeichen im Browser anlegen und nur noch über dieses Lesezeichen aufrufen! Wenn man eine „komische Mail“ von der Bank hat, einfach die Website der Bank über das Lesezeichen aufrufen und sich dort ganz normal anmelden. Wenn sich dabei zeigt, dass das Problem gar nicht existiert, hat man einen dieser gefürchteten Cyberangriffe abgewehrt (und sich möglicherweise eine Menge Geld und Ärger gespart). So einfach geht das. Macht das bitte! 🛡️

Vielen Dank,

Wofür bedankst du dich? 💩️

DƘВ

Oh, sind dem Spammer die normalen lateinischen Buchstaben ausgegangen, so dass er das „K“ als Unicode-Zeichen U+0198 schreiben musste? Oder hat er geglaubt, dass der mit dem Kürzel „DKB“ nicht durch die Spamfilter kommt? Wenn Letzteres stimmt, hätte er sich vielleicht seinen gefälschten Absender mal genauer anschauen sollen. Dann hätte er gesehen, dass er sich diesen Griff in die Trickkiste sparen kann. 🤦‍♂️️

Jetzt kannst du dich bei mir bedanken, Spammer! 😁️

¹So nenne ich das, was die professionellen Werbelügner als „Online-Banking“ bezeichnen, gern auch mit einem Deppen Leer Zeichen anstelle des Bindestrichs, weil sie mehr Englisch labern als sie überhaupt Deutsch können.

²Diese Mail ist Base64-codiert, und die einfachste Methode, das HTML sichtbar zu machen, ist es, die codierte Nachricht in der Quelltextansicht zu markieren, zu kopieren und xsel | base64 -d in einem Terminal zu tippen… wenn man ein unixoides Betrübssystem verwendet. Es gibt allerdings auch Websites, die das als Dienst anbieten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert