Huch, wie ist der durch den Spamfilter gekommen? 😳️
Das ist aber gar nicht meine Kontonummer. Das ist einfach nur eine dumme, nichtssagende Zahl, die wichtig aussehen soll. 😲️
Hier, Spammer, falls dir mal die Zahlen ausgehen sollten, habe ich noch ein paar für dich:
$ dd if=/dev/urandom bs=128 count=1 status=none | od -t u4 | grep ^0 | sed 's/^[0-9]*//' | sed '/^\s*$/d' 678833137 3307597006 2110545298 1711929173 2198112715 2845491887 3089455191 3210608469 1334168282 692298548 1899785088 2239988468 2363933478 786093215 1558580625 2349771621 502410973 317901923 3410975472 1306771283 2392766034 1282006350 1701288045 4196992841 758670286 1910113399 1542585680 2517794707 2723965317 2240300840 2615993977 3739712224 $ _
Voll die wichtigen Nummern! 😁️
Von: Sparkasse Kundenservice <sicherheitshinweis@sparkasse.de>
Diese Spam ist nicht von der Sparkasse. Der Absender ist gefälscht. Mein Exemplar dieser Spam wurde in Frankreich abgesendet.
Immerhin versteht es dieser Spammer, die Mailadresse so zu fälschen, dass es überzeugend aussieht. Jetzt steht er „nur“ noch vor der Aufgabe, seine Phishing-Spam so zu formulieren, dass es überzeugend klingt. Wollen wir doch mal schauen, ob ihm auch das gelungen ist:
Aktualisierung unseres Online Banking Systems
Werter Kunde*in
um die verwendung des Online Banking Systems zu vereinfachen haben wir Updates getätigt
Um die neuen Funktionen freizuschalten bitten wir Sie, sich bald in Ihren Account einzuloggen.
Dies können Sie gemütlich über den QR Code.Vielen Dank für Ihre Kooperation
Mit freundlichen Grüßen
Ihr Sparkassen TeamSparkassen 2021
Diese lustige Spam aus der lodernden Hirnhölle eines Phishing-Betrügers enthält gleich mehrere Innovationen des Genres Phishing-Spam:
- Schlecht gemachte und nicht dudenkonforme Genderschreibweise in der Ansprache. Damit es nicht wie „Werter Kundein“ rüberkommt, müsste man sich wesentlich stärker verrenken, also das Adjektiv ebefalls „gendern“ und sich für das Nomen „Kunde*in“ etwas völlig anderes einfallen lassen oder das „e“ einfach weglassen. Vermutlich wird sich mehr als die Hälfte der Sparkassenkunden beim Anblick des etwas besseren „Werte*r Kund*in“ nicht besonders wertgeschätzt fühlen. Solche Schwierigkeiten sind ja auch der Grund dafür, weshalb geschlechtertrennende Sprache außerhalb universitärer Zirkel höherer Töchter, lustiger Politsekten und des gebührenfinanzierten Rundfunks praktisch bedeutungslos ist und hoffentlich auch bleibt.
- Wenn die Spaßkasse ihre Systeme aktualisiert, müssen die Kundys¹ also tätig werden. Wer das glaubt, der startet auch sein Windows neu, weil ich für mein Linux einen neuen Kernel gekriegt habe.
- Auf Phishing reinzufallen, ist die neue Gemütlichkeit!
- Aber der absolute Brummer an dieser Spam ist die Verwendung eines QR-Codes statt eines Links. Der ist für die vielen Menschen, die einen richtigen Computer benutzen, natürlich ziemlich unbrauchbar. Und für die anderen vielen Menschen, die ihre E-Mail auf einem unsicheren Computer, auf dem andere darüber entscheiden, welche Software darauf ausgeführt wird, ist er auch unbrauchbar – außer, sie nehmen ihr Zweithandy, um einen QR-Code zu scannen, der auf ihrem Handy angezeigt wird. Ich weiß nicht, was dieses lustige Spammy sich dabei gedacht hat, aber ich vermute, dass es nicht besonders viel war.
Natürlich ist ein QR-Code in einer Mail genau so gefährlich wie ein Link in einer Mail. Wer die Website seiner Bank immer nur über ein Browser-Lesezeichen aufruft, ist vor dieser Kriminalitätsform völlig sicher, weil ihm niemand einen giftigen Link unterschieben kann. Einfach die Website über das Lesezeichen aufrufen, sich normal anmelden und feststellen, dass das in der Spam behauptete Problem gar nicht existiert, und schon wurde einer dieser gefährlichen „Cyberangriffe“ abgewehrt. 🛡️
So einfach geht das. Und vor allem: So gemütlich ist das. 👍️
¹Die Genderschreibweise mit sächlichem grammatikalischen Geschlecht und -y-Suffix (mit Plural auf -s) ist so ziemlich die einzige derartige Schreibweise, die bequem sprechbar ist, sich gut ins Schriftbild einfügt und nicht völlig verkrampft klingt. Leider spielen diese drei Merkmale für die journalistisch-universitären Beglückungsexpertys an der Unterleibsfront keine Rolle.
[…] Phishing von sparkassen-kunden mit QR-kohds. So verblödet, wie die leute inzwischen sind, halten die sicher auch ihre händikamera auf den bildschirm, weil sie glauben, dass sei sicherer als ein klick. 🤦♂️️ […]
Punkt 4 lässt sich für (halb-)versierte User leicht umgehen.
* Sie lesen ihre Mails im Browser auf einem Computer.
* Dort haben sie ein AddOn installiert, das QR-Codes decodieren kann.
* Dieses bietet dann auch meistens die Möglichkeit, auf einen evtl. eingebetteten Link zu klicken. (Gerade getestet, funktioniert.)
* Oder sie lesen ihre Mails auf dem Smartphone im Browser.
* Es gibt so einige Smartphone-Apps, die auch dort lokal einen QR-Code abgreifen können. (Ungetestet)
Man braucht also nicht zwingend ein zweites Gerät, um einen QR-Code auszulesen.