Da steht ja wirklich alles mögliche im Betreff: Die Empfängeradresse, Datum, Uhrzeit (in einer obskur falschen Zeitzone und in falscher Sprache) und dass es sich bei der Mail um eine „Benachrichtigung“ handelt. Vor allem auf Letzteres wäre ich bei einer Mail ja gar nicht gekommen. Angesichts des Übermaßes an Emojis hätte ich eher vermutet, dass es sich um einen Intelligenztest für die „Generation Teletubbie“ handelt. Die verstehen dann vielleicht auch, was die lustige und völlig nichtssagende Nummer lD#4121504 vor dem lustigen Datum bedeuten soll. 🤔️

Wer schreibt denn?

Von: 📦 UPS© <info@jang.com>
An: gammelfleisch@tamagothi.de

So so, „UPS“ schreibt. So schade, dass die keine eigene Domain für ihre Mailadressen haben. Aber hey, dafür haben sie ein Emoji vor ihrer Firmierung! Wie jede Unternehmung, die ernst genommen werden möchte. 😆️

Apropos „ernstnehmen“ und so… es folgt der Text der Spam:

PAKET WARTEN

Hallo GAMMELFLEISCH,
✉️ E-mail : gammelfleisch@tamagothi.de

Gammelfleisch Sie haben (1) Paket in unserem Lager.

Leider konnten wir Ihr Postpaket nicht rechtzeitig zustellen, da Ihre Adresse nicht korrekt ist.

Aber meine Mailadresse steht drauf, oder was? 🤣️🤣️🤣️

Bitte antworten Sie uns mit der korrekten Lieferadresse. ✍️ Hier✍️

Natürlich ist der Link nicht direkt gesetzt, wie das jeder normale Mensch und jedes seriöse Unternehmen tun würde. Stattdessen gibt es eine kleine Weiterleitungskette. Nicht, dass diese lästigen Spamfilter zu schnell lernen und der ganze Kram automatisch in den Müll sortiert wird. 🤖️

$ location-cascade "http://dl255.dinaserver.com/2754347Mn7226128SD543692941Tx14100yW1har175595Ny"
     1	https://www.trivecommerce.com/4HM9B62/21HJC2SL/?sub1=2754347&sub2=12b-2754347-7226128-175595-14100-543692941
     2	https://www.lpredirect.com/24QSBG/GJC4BF2/?source_id=2173&sub1=2c92deb2c74e41eaa26ae2b01ad23ee7
     3	https://leahfarra.me/QSaFSLqD2t/?encoded_value=24QSBG&sub1=2c92deb2c74e41eaa26ae2b01ad23ee7&sub2=&sub3=&sub4=&sub5=7649&source_id=2173
     4	https://leahfarra.me/?encoded_value=24QSBG&sub1=2c92deb2c74e41eaa26ae2b01ad23ee7&sub2=&sub3=&sub4=&sub5=7649&source_id=2173
$ surbl leahfarra.me
leahfarra.me	okay
$ _

Funktioniert doch! Die Phishingsite ist noch nicht auf den Blacklists. Wäre ja auch schade fürs Geschäft der Spammer, wenn die Opfer eine deutliche Warnung ihres Webbrowsers statt eines gefährlichen Datensammel- und Phishingversuchs sehen würden. 🎣️

Natürlich ist die Website nicht von UPS. Wer auf einen der vielen Links klickt, kann das sogar durch bloßes Hinschauen sehen, ohne extra in die Adresszeile seines Webbrowsers gucken zu müssen:

Woran man das sieht?

1. Das Logo ist nicht das Logo von UPS, sondern von einer vermutlich daherfantasierten Klitsche namens „Liefern“. 😅️
2. Es gibt kein Impressum. 🔍️
3. Unten steht etwas kontrastarm der Text: „Diese Website ist nicht mit UPS oder einer ähnlichen Marke verbunden oder wird von dieser unterstützt und erhebt keinen Anspruch darauf, die Marken, Handelsnamen oder Rechte zu repräsentieren oder zu besitzen, die mit den Produkten verbunden sind, die Eigentum ihrer jeweiligen Eigentümer sind, die dies tun diese Website nicht besitzen, unterstützen oder fördern“. Das ist zwar übertrieben verschwurbelt formuliert, aber immer noch klar genug. Ich fasse es mal zusammen: Das hier ist nicht UPS, auch wenn in der Spam von UPS die Rede war! Das in der Spam war Lüge. 🤥️

Wer das alles vor Augen hat und nicht sofort den Browsertab schließt, kann natürlich mit einem dummen Klick „das Paket verfolgen“ und in den nächsten Schritten ein paar lustige Daten angeben, um die Liefergebühr mit der Kreditkarte zu bezahlen, damit das Paket auch ankommt. (Nach der Lieferadresse, von der in der Spam als Hinderungsgrund die Rede war, wird gar nicht mehr gefragt.) Ich habe mir mal Daten vom Fake Name Generator erzeugen lassen, um noch ein paar Screenshots zu bringen:

Natürlich funktioniert das Bezahlen nicht. Und die ganzen eingegebenen Daten landen direkt bei kriminellen Spammern. Mit der Identität und der Kreditkarte eines anderen Menschen kann man schon ganz „schöne“ Betrugsgeschäfte machen. 😕️

Das Paket gibt es natürlich nicht. Es hat nie existiert. 🕳️

Auf die Angabe einer Sendungsnummer in der Mail, die man dann auf der echten UPS-Website verfolgen könnte, haben die Spammer diesmal verzichtet. In der Vergangenheit ist dabei beinahe immer sofort klar geworden, dass das Paket gar nicht existiert. Das ist natürlich schlecht fürs Betrügergeschäft, wenn man nicht genug Opfer hat. Also gibt es nur noch einen Link. Und damit man den Link auch wirklich findet, kann man den ganzen Text anklicken. Sonst klickt das mögliche Opfer noch daneben! Und das wäre ja schlecht fürs Betrügergeschäft, wenn die letzten Leute, die darauf reinfallen, auch noch danebenklicken. Deshalb ist alles ein Link. Und wer als mögliches Opfer nicht lesen kann, versteht ja vielleicht die Emojis. 😎️

Zum Klicken war leider noch nie jemand zu dumm. 🖱️🚫️

Das Gleiche gilt für die Tätigkeit, die sich auf „klicken“ reimt. 😉

Beste grüße,

UPS Belohnung

Die Belohnung grüßt mich! 👋️

Update address

Das Deutsch ist ausgegangen. Und nein, das ist kein Link, obwohl es aussieht, als wäre es als Link gedacht gewesen. Denn unverlinkt ist es einfach nur so ein peinlicher Sprachstummel, der da kontextlos unter der Spam hängt. 🤭️

Entf! 🗑️