Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Kategoriearchiv „Leserpost“

Bestellung erfolgreich

Freitag, 17. Februar 2017

Was habe ich denn bestellt?

hören Sie. Von 100 Beta-Testern, haben mir 87 bestätigt, täglich bis zu 2000 € einzukassieren.

Habe ich Beta-Tester für Reichwerdmethdoen bestellt? Oder habe ich gar ganz normale Binäre-Optionen-Spam bestellt?

Ich biete das kostenlose Exemplar nun weiteren 50 Testern, die mir ihre Gewinne bestätigen können.

Aha, es gibt ein „kostenloses Exemplar“ einer namenlosen Sache. Wie immer streng limitiert, nur an fuffzich Leute, weil man Dateien nur so schwierig kopieren kann.

Sie wurden exklusiv von einem der Tester eingeladen.

Jemand, der keinen Namen hat, hat mich, der ich in der Spam mit „hören sie“ angesprochen wurde, zu irgendetwas eingeladen, was bis jetzt auch keinen Namen hat, sondern nur auf eine noch nicht geklärte Weise in 87% der Fälle 2000 Øre am Tag einbringt.

Um was es sich handelt?

Nun, diese Frage kann man auf zweierlei Weise beantworten. Man kann…

>> Kostenloses Test Exemplar sichern

…auf den Klickelink klicken, oder man kann sehen, dass es sich hier um eine Spam handelt und daran bemerken, dass es ein Betrug ist.

Der Spammer hat sich hier übrigens einen bemerkenswerten kleinen „Spaß“ erlaubt. Die Zieladresse des Links ist http://@bkrrayo.ru. Natürlich gibt es kein @ in Domainnamen, aber in einer URL kann man vor dem Domainnamen einen Nutzernamen und ein Passwort angeben, die durch @ vom Domainnamen abgetrennt werden, und diese Angaben können auch leer sein. Vermutlich glaubt der Spammer allen Ernstes, dass auf diese Weise seine Wegwerfdomain falsch in die Blacklists eingetragen wird, so dass er nicht so viele Domains wie beim letzten Betrugsfischzug registrieren muss. Nun ja, an irgendetwas muss man ja glauben, selbst als Spammer. Dinge werden aber nicht dadurch wahr, dass man sie glaubt:

$ surbl bkrrayo.ru
bkrrayo.ru	LISTED: ABUSE
$ _

Natürlich wurde diese Wegwerfdomain für den Link in der Spam…

$ whois bkrrayo.ru | grep '^created'
created:       2017.02.15
$ _

…vorgestern ganz frisch eingerichtet und wird auch schnell wieder weggeworfen. Binnen zweier Tage auf eine derartige Liste zu kommen, ist ein bemerkenswerter „sportlicher“ Erfolg, der auf mehrere Millionen Spams hindeutet. Der Trick mit dem @ hat gar nichts gebracht. :mrgreen:

Aber eigentlich ist es egal. Die Domain dient nur für eine schnell in PHP gecodete Weiterleitung…

$ lynx -mime_header 'http://@bkrrayo.ru' | sed '/^ *$/q'
HTTP/1.1 302 Found
Date: Fri, 17 Feb 2017 13:26:22 GMT
Server: Apache/2.2.15 (CentOS)
X-Powered-By: PHP/5.3.3
Location: http://link.trackinglink247.club/aff_c?offer_id=409&aff_id=7403
Content-Length: 0
Connection: close
Content-Type: text/html; charset=UTF-8

$ _

…die zudem die Funktion hat, die angehängte Affiliate-ID in den Spams zu verbergen. Danach geht es dann zu einem alten Bekannten – aber nicht, ohne dass es noch ein paar leckere, krümelige Cookies mit auf den Weg gibt:

$ lynx -mime_header 'http://link.trackinglink247.club/aff_c?offer_id=409&aff_id=7403'
HTTP/1.1 302 Found
Cache-Control: no-cache, no-store, must-revalidate
Content-Type: text/html; charset=iso-8859-1
Date: Fri, 17 Feb 2017 13:29:39 GMT
Expires: Sat, 26 Jul 1997 05:00:00 GMT
Location: http://swiss-methode.xyz/?clickid=1022c95682ff14d953d03fa7ddb894&aid=7403&cid=swissmethodv3
P3P: CP="NOI CUR OUR NOR INT"
Pragma: no-cache
Server: nginx/1.7.9
Set-Cookie: enc_aff_session_409=ENC02424-1022c95682ff14d953d03fa7ddb894-7403-409-0-0-0-0-DE-0-_-_-_-_-_-_-188.96.221.98-20170217082939-_-30345134733A622512372B6554440B194410090C5446582F584A065E11571A5A7C58737050734F4001; expires=Fri, 17 Mar 2017 13:29:39 GMT; path=/;
Set-Cookie: ho_mob=eyJtb2JpbGVfZGV2aWNlX21vZGVsIjoiQnJvd3NlciIsIm1vYmlsZV9kZXZpY2VfYnJhbmQiOiJMeW54IiwibW9iaWxlX2NhcnJpZXIiOiI/IiwidXNlcl9hZ2VudCI6Ikx5bngvMi44LjlkZXYuOCBMaWJ3d3ctRk0vMi4xNCBTU0wtTU0vMS40LjEgR05VVExTLzMuNC45IiwiYWNjZXB0X2xhbmd1YWdlIjoiZGUiLCJjb25uZWN0aW9uX3NwZWVkIjoieGRzbCJ9; expires=Mon, 13 Jan 2020 00:09:39 GMT; path=/;
tracking_id: 1022c95682ff14d953d03fa7ddb894
X-Robots-Tag: noindex, nofollow
Content-Length: 283
Connection: Close

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>302 Found</title>
</head><body>
<h1>Found</h1>
<p>The document has moved <a href="http://swiss-methode.xyz/?clickid=1022c95682ff14d953d03fa7ddb894&amp;aid=7403&amp;cid=swissmethodv3">here</a>.</p>
</body></html>
$ _

Die Website mit der „Swiss Methode“ eines angeblichen „Max Fischer“ hat sich in den letzten 112 Tagen nicht verändert; insbesondere sind in den letzten 112 Tagen keine neuen angeblichen Jubelpostings auf Facebook und keine neuen angeblichen Jubelfiepser auf Twitter hinzugekommen – obwohl diese immer noch angeblich vor nur zwei bis drei Minuten abgelassen wurden. Man könnte ja beinahe denken, diese „LIVE TWITTER UND FACEBOOK FEEDS, DIE MINUTE FÜR MINUTE AKTUALISIEREN“ seien eine Lüge, was übrigens kein gutes Licht auf die anderen lustigen Behauptungen auf dieser Seite würfe. :mrgreen:

Dass hier im Verlaufe mehrerer Monate nicht die geringsten Überarbeitungen vorgenommen und nicht einmal kleine Fehler¹ korrigiert wurden, belegt wieder einmal, dass so ein Spammer sich meist keine besondere Mühe mit seinem Betrug gibt. Denn wenn sich ein Spammer Mühe geben wollte, könnte er doch gleich arbeiten gehen und brauchte nicht andere Menschen zu bescheißen.

Aber das Gute an dieser Faulheit ist, dass ich keinen neuen Screenshot von der betrügerischen, mit asozialer und illegaler Spam beworbenen Website machen muss und einfach auf meinen alten Screenshot verweisen kann.

Vergessen Sie nicht, es stehen lediglich 50 Testexemplare zur Verfügung.

Nur so lange der Vorrat reicht! Extrem schwierig kopierbare Software, die übrigens für jeden, der sie benutzt, im Webbrowser läuft! :mrgreen:

Sichern Sie sich Ihr Exemplar, während es für Sie kostenlos ist.

Nicht nachdenken, schnell klicken! Sonst kriegt das Geschenk – laut Betreff der Mail meine „erfolgreiche Bestellung“ – Flügel und flattert einfach so weg.

(Handeln Sie schnell! Sichern Sie sich einen Platz, bevor jemand anderes es tut)

Denn bei den ganzen Reichwerdmethoden aus der Spam herrscht knallharter Wettbewerb. Die nehmen fast niemanden. Deshalb spammen die ja auch so viel… :mrgreen:

Vom Newsletter abmelden? HIER

Du mich auch, Spammer!

Diese Spam ist ein Zustecksel meines Lesers B.G.

¹Weil auch Spammer hier mitlesen, sage ich nicht, wo die Fehler sind. Ich möchte solchen Leuten nicht noch einmal Hilfestellung bei der Korrektur ihres optisch aufgeblähten Kurztextes auf einer Betrugswebsite leisten.

Nachricht von Ihrem Online-Kundenservice

Mittwoch, 25. Januar 2017

Aha! Und welcher „Online-Kundenservice“? Von wem? Ist es die Bank, ist es das Bordell, ist es der preiswerte Segnungsbot der lokalen neuevangelikalen Seelenfänger?

Von: "service (at) barclaycard (punkt) de" <service (at) barclaycard (punkt) de>

Richtig, es ist der „Online-Kundenservice“, der im Namensfeld des Absenders einfach seine Mailadresse wiederholt.

Natürlich ist die Absenderadresse gefälscht. Jeder kann Absenderadressen von E-Mail fälschen. Es ist tatsächlich genau so einfach, als ob man einen ausgedachten Absender auf einen Briefumschlag schriebe.

Aber die Phishing-Masche ist diesmal ein bisschen originell.

Sehr geehrter Herr Vorname Nachname,

Immerhin, der Name stimmt. (Es ist nicht meiner, diese Spam wurde mir zugesteckt.) Wer ebenfalls diese Spam bekommen hat und sich darüber wundert, wo die Spammer seinen Namen her haben, lese bitte hier weiter!

wir haben uns dazu entschieden unseren Teil zur Bekämpfung von terroristischen Organisation beizutragen.

Und der „Kundenservice“ dort – es ist bis jetzt nicht einmal klar, wer der Absender sein soll – hat extratolle geschäftliche Entscheidungen getroffen, die gar nichts mit seinem eigentlichen Geschäft zu tun haben! Nicht, dass dieser „Service“ noch anfängt, seine Kunden zu beschießen, statt sie zu bescheißen… :mrgreen:

Ach ja, übrigens: Das deutsche Wort für „Kundenservice“ ist „Kundendienst“. ;)

Unser neues Sicherheitssystem überprüft in regelmäßigen Abständen ob Sie der legitime Eigentümer der Kreditkarte sind.

Aber das braucht ihr doch gar nicht zu überprüfen, ich habe doch einen Vertrag mit euch, der mich zu legitimen Besitzer macht.

Ein besserer Satz ist euch echt nicht eingefallen, um die paar Millionen Empfänger dieser Spam dazu zu bringen, ihre Kreditkartendarten an irgendwelche Verbrecher zu geben?

Dies soll dabei helfen der widerrechtlichen Benutzung ihrer Kreditkarte vorzubeugen und so die Finanzierung von terroristischen Organisationen zu bekämpfen.

Genau, terroristische Organisationen finanzieren sich über geklaute Kreditkarten und nicht über indirekte Geldflüsse aus Saudi-Arabien! Da muss man aber ganz schön angstdumm geworden sein, bis man auf diesen Vorwand eines Phishers reinfällt.

Sollte das System Abweichungen mit den bei uns hinterlegen Informationen erkennen, sind wir gezwungen ihre Kreditkarte vorerst zu sperren.

Das ist ja ein ganz hochsicheres Sicherheitsverfahren! Einfach noch einmal die Daten eingeben, die bei euch eh schon bekannt sind! Und jemand, der sich des Kontos bemächtigt hat, konnte sich alle diese Daten schon anschauen und sie sogar verändern.

Übrigens: Es gibt Menschen mit mehr als einer Kreditkarte. Es gibt diese Menschen gar nicht mal so selten. Jeder, der gewerbliche und private Gelder trennt, könnte zwei Kreditkarten haben. In einer echten Mail stünde immer eine Kreditkartennummer.

Weiter zur Überprüfung

Genau, und die verlinkte Adresse geht über den URL-Kürzer bit.ly. Mal schauen, wo die Reise hingeht:

$ location-cascade http://bit.ly/2jc6idv
301	http://bit.ly/2jc6idv
301	http://tinyurl.com/z6k7tw7
301	http://judenurl.com/ubler
302	http://banking.barclaycard.de-online-kundenservice-f2v6vgbfdkvfldb.info/barc/card/veri/
Found	/813662/SpBucPC3LVztnHi/glDZ7Eh8OSCVxnd/760531619330/aj8QpCxIFwm4buB/83tNo4lGQsRYSUr/
$ _

Es geht – nach Verwendung dreier URL-Kürzer hintereinander – in die in ihrer Dämlichkeit epische Domain de (strich) online (strich) kundenservice (strich) f2v6vgbfdkvfldb (punkt) info, von der eine Subdomain verwendet wird, damit ein irreführender Eindruck entsteht.

Mit freundlichen Grüßen
Ihr Barclaycard Kundenservice

Um es einmal mit den Worten des Menschen, der mir diese Spam zugesteckt hat, zu sagen: „Ich habe gar keine Barclaycard“. ;)

Ja, das ist Schrotmunition. Diese Mail wird wahllos versendet, es kostet die Spammer ja nichts (oder nicht viel). Wenn auch nur ein paar Handvoll Menschen ihre Daten auf irgendeiner in einer Spam verlinkten Website eingeben, weil sie in einer Spam dazu aufgefordert wurden, hat es sich für die Verbrecher gelohnt. Um Terroristen wird es sich bei denen zwar eher nicht handeln, aber um niederträchtige Halunken allemal.

Diese Phishing-Spam ist ein Zustecksel meines Lesers M. S.

Laufendes Phishing von Google-Mail-Accounts

Montag, 16. Januar 2017

Symbolbild: Wurm als Köder am AngelhakenDies ist keine Spam, sondern ein Hinweis auf eine laufende Form des Phishings, auf die erstaunlich viele Menschen hereinzufallen scheinen – und natürlich die Aufforderung, nicht darauf hereinzufallen.

Wenn sie den Webmailer eines Freemail-Providers benutzen – ich empfehle ihnen übrigens dringend die Benutzung einer guten Mailsoftware – dort auf ein Bild oder einen Link in einer empfangenen E-Mail klicken und daraufhin aufgefordert werden, sich neu einzuloggen… bis dahin kennen sie das Muster sicher schon… dann achten sie nicht nur darauf, dass wirklich accounts.google.com in der Adresszeile ihres Webbrowsers steht, sondern auch darauf, dass diese Adresszeile nicht mit data: beginnt! [Der Link geht auf einen englischen Text.]

Technisch betrachtet haben die Phisher ihre Phishing-Seite nicht irgendwo im Web abgelegt, sondern einfach in Form einer Data-URL eingebettet, die sich in der Adresszeile des Browsers so präsentiert, dass ein täuschender Eindruck erweckt wird.

Von einer kommenden Ausweitung des Verfahrens auf andere Freemail-Anbieter, auf Social-Media-Sites und auf das Phishing von Bankdaten gehe ich aus.

Deshalb nochmal: Niemals Zugangsdaten in ein Browserfenster eingeben, dessen angezeigte Adresse mit data: beginnt! Noch besser und sicherer ist es freilich, wenn man sich niemals irgendwo anmeldet, nachdem man einen Link in einer Mail, einem Tweet oder in sonst etwas prinzipiell Spambarem geklickt hat, sondern stattdessen immer die Startseite des entsprechenden Webdienstes von Hand aufruft (Browser haben dafür eine praktische Lesezeichen-Funktion), um sich dort dann eventuell anzumelden. Wenn dabei auf einmal keine Anmeldung mehr nötig ist, hat man einen Phishing-Versuch abgewehrt. Diese an sich sehr einfache, aber leider etwas unbequeme Vorsichtsregel hätte übrigens auch diese neue Form des Phishings verhindert.

Hinweis via @benediktg@gnusocial.de

Would you accept this new position with Facebook?

Montag, 31. Oktober 2016

Nein, diese Spam kommt nicht von Facebook. Sie hat nie einen Server von Facebook gesehen.

Facebook Has Hired You
Congratulations gammelfleisch@tamagothi.de¹

It is with great pleasure that we inform you of this amazing employment opportunity with one of the best companies in the world.

Date: October 31st
Salary: 75/hr – $ 90,000 a year
Hours: You Decide

Response needed no later then Saturday. Only (2) spots remain

Accept position

Begin Now – Triple Your Salary

If this opportunity doesn’t interest you then please tell us by access this. Thanks and have wa wonderful weekend. You deserve the rest.
Products-2-Profit-Academy 8984_Cottage | Canyone_Drive Cedar+Hills Utah-84062

By going to these will completely end. 8984-Cottage-Canyone-Drive Cedar_Hills|Utah-84062-

Alle Links gehen in die Domain uxso (punkt) stream, die in SURBL bereits…

$ surbl uxso.stream
uxso.stream	LISTED: ABUSE
$ _

…für massenhafte Spam bekannt ist. Natürlich hängt an jedem Link eine eindeutige ID, so dass ein neugieriger Klick den Spammern mitteilt, dass die Spam ankommt und beklickt wird. Leider liefert das Skript der Spammer nur eine weiße Seite, wenn man es ohne eindeutige ID aufruft, und auf Veränderungen der ID reagiert es mit einem internen Serverfehler. Deshalb kann ich nicht sagen, um was für einen Beschiss es sich hier handelt, aber sicher ist, dass Facebook nichts damit zu tun hat. Hier wird einfach nur die Reputation eines in meinen Augen schon äußerst unseriösen Unternehmens mit fragwürdigen, grenzkriminellen Geschäftsmethoden abgestaubt und von Leuten für irgendwelche mailgetriebenen Geldmachnummern eingespannt, die noch wesentlich unseriöser sind.

Einen Job gibt es dort ganz sicher nicht. Jedenfalls keinen legalen.

¹Hier stand ursprünglich die Mailadresse des richtigen Empfängers. Danke, Frank, für dieses Zustecksel aus dem täglichen Irrsinn.

Domainregistrierung 2016 / 2017

Mittwoch, 14. September 2016

Bitte auf gar keinen Fall auf diese Spam reinfallen! Sie wird von Spamfiltern (noch) nicht sicher als Spam erkannt.

Von: .DE Deutsche Domain <info31 (at) deutschewebhost (punkt) com>
An: .DE Deutsche Domain <info31 (at) deutschewebhost (punkt) com>

Die Spam ist nicht an den Mailempfänger adressiert, sondern der Empfänger steht unsichtbar im BCC:-Header. Das bedeutet, dass diese Mail an mehrere Empfänger gegangen ist, und es passt gar nicht dazu, dass einer Einzelperson für eine Dienstleistung eine Rechnung zugestellt wurde.

Die Domains in der TLD .de werden übrigens nicht von einer obskuren „DE Deutsche Domain“ verwaltet, sondern von der DENIC eG. Spätestens jetzt ist klar, dass es sich um eine illegale und asoziale Spam handelt, die einfach in die virtuelle Mülltonne geworfen werden kann.

Sehr geehrte Frau / Herr,

Unternehmen, mit denen man einen Vertrag hat, sprechen ihre Kunden namentlich an.

Nachfolgend die Einzelheiten zu der Domainregistrierung für 2016 / 2017.

Für welche Domain? Ich verwalte mehrere. (Und nein, das ist keineswegs ungewöhnlich, sondern ein sehr häufiger Fall.)

Aber wenn der Spammer in seine Spam eine Domain wie tamagothi.de reinschreibt, dann wird sogar noch den naivsten Empfängern seines dummen Textes sofort klar, dass es nichts mit ihnen zu tun hat, dass es vermutlich Spam ist und dass sie die Spam einfach löschen können. Deshalb muss der Spammer – wenn er nicht weitere Daten zu seinem Opfer hat, mit denen er etwas Eindruck von Vertragsverhältnis schindet – anonym formulieren.

Wir hoffen, Sie ausreichend informiert zu haben.

Es soll ja Menschen geben, die sich einfach klar ausdrücken und nicht mehr zu hoffen brauchen, dass es ausreicht. :mrgreen:

Mit freundlichen Grüssen

Der – zugegebenermaßen recht entbehrliche – Buchstabe „ß“ fand sich wohl nicht auf der „deutschen“ Tastatur dieses Spammers.

Birgit Hoffmann

Kundendienst
DE Deutsche Domain
info@deutschedomain.com

Nach diesem grandiosen Abschluss ist gar nichts klar oder ausreichend. Insbesondere weiß niemand, um was zum hackenden Henker es hier eigentlich geht. An der Mail hängt noch ein Anhang, auf den in der Mail kein Bezug genommen wurde; es handelt sich um…

$ ls -lh Rechnung\ 232417.pdf 
-rw-rw-r-- 1 elias elias 1,4M Sep 14 11:29 Rechnung 232417.pdf
$ file Rechnung\ 232417.pdf 
Rechnung 232417.pdf: PDF document, version 1.5
$ _

…ein 1,4 MiB großes PDF-Dokument, das mit seinem Dateinamen den Eindruck erweckt, eine Rechnung zu sein.

Da es sich um eine Spam handelt, kann ich nur strikt davon abraten, das PDF in einem normalen PDF-Viewer oder gar in Adobes Acrobat zu öffnen. PDF-Dokumente können Javascript und eingebettete Inhalte (wie etwa Flash- oder Java-Applets) enthalten, die bei der Darstellung ausgeführt werden, und der Acrobat hat eine erhebliche Sicherheitsgeschichte. Auch, wenn zurzeit kein einziges Antivirus-Schlangenöl in diesem Dokument eine Schadsoftware erkennt, ist es gefährlich, eine solche Datei aus einer Spam zu öffnen.

Eine einfache (aber auch nicht völlig gefahrlose) Möglichkeit, sich das PDF trotzdem anzuschauen, ist es, das PDF in ein Grafikprogramm wie Gimp zu importieren. Dabei werden nur die sichtbaren Bereiche des Dokumentes in ein Bild umgewandelt, es kommt nicht zur Ausführung von eventuell enthaltenem Code. Warum das immer noch ein bisschen gefährlich ist? Nun, die Bibliotheken, mit denen PDFs geparst und in eine Grafik gezeichnet werden, könnten einen frisch gefundenen und noch unbehobenen Fehler enthalten, der von Kriminellen ausgebeutet wird. Wer ganz sicher gehen will, verwendet eine Betriebssysteminstallation in einer virtuellen Maschine.

Nachdem ich so wortreich klar gemacht habe, dass Spam gefährlich ist, ist die Zeit für den Anhang gekommen:

So sieht der Mailanhang aus

„Zahlen sie völlig grundlos an eine Unternehmung, mit der sie keinerlei Vertrag haben und die nicht einmal ihren Namen als Rechnungsempfänger einträgt, 195 Euro, und zwar binnen 14 Tagen“. Die Spammer gehen offenbar davon aus, dass von den mutmaßlich mehrere Millionen Empfängern mindestens ein Promille so dumm sein wird, auf diese Masche reinzufallen – und das wären schon mehrere tausend. Wenn es nur dreitausend sind, so kommt auf dem Konto mit der angegebenen IBAN in den nächsten Tagen mehr als eine halbe Million Euro an – Geld, das sicherlich nicht lange auf diesem Konto liegen bleibt, sondern von einem über Spam angeworbenen „Finanztransferagenten“ schnell abgeholt und weiterbefördert wird, um schließlich von anonym bleibenden Verbrechern für Koks und Nutten verprasst zu werden.

Man kann wirklich etwas Besseres mit den 195 Euro anfangen. Fallen Sie nicht auf diese Spam herein, und sagen Sie anderen Menschen weiter, was es mit dieser Spam auf sich hat! Von den gesparten rd. zweihundert Euro können Sie mir ja zwei Euro spenden, die ich dann für Lakritz, Kaffee, Kuchen, Zigaretten und Domainkosten verprassen werde… ;)

Diese Spam ist ein Zustecksel meines Lesers A.H. Danke!

Spam per Banküberweisung

Montag, 4. Juli 2016

Sicher, die meiste Spam kommt immer noch über E-Mail. Aber: Unermüdlich denken sich Spammer neue Wege aus, an bislang unerwarteten Stellen die Aufmerksamkeit der Menschen an sich zu reißen und so die Menschen zu überrumpeln. Die neueste Idee einiger Spammer ist Spam per Banküberweisung.

SEPA-GUTSCHRIFT 1605485 Bitte rufen Si e uns an: 0211-867xxxx CODADEFXXX DE30360400xxxxxxxxxxxxxxx GFKL Collections GmbH

Bitte auf so etwas nicht hereinfallen und auf gar keinen Fall anrufen! Besser die angegebene Telefonnummer mit einer kurzen Beschreibung der Vorgehensweise der Spammer an die Bundesnetzagentur melden! Das geht schnell und einfach. Wer spammt, führt niemals etwas Gutes im Schilde.

Via @benediktg@gnusocial.de.

Sparda Bank – Aktueller Sicherheitshinweis

Samstag, 28. Mai 2016

Aber ich bin da doch gar nicht. Ach, ist ja auch eine Spam.

Lange kein Phishing mehr gehabt.

Sparda Bank – Aktueller Sicherheitshinweis

Das steht doch schon im Betreff.

Sehr geehrter Kunde, Grüße von Ihrer Sparda-Bank!

Genau mein Name!

Spätestens an dieser Stelle sollte jeder bemerken, dass es sich um eine Spam handelt. Eine echte E-Mail der Sparda-Bank würde nämlich immer…

  1. …den Kunden persönlich und namentlich ansprechen; und
  2. …möglichst früh im Text angeben, auf welchen Vertrag oder welches Konto sich die E-Mail bezieht, denn viele Kunden haben mehrere Konten oder laufende Darlehen oder dergleichen.

Nur kann sich der Spammer halt keine Kontonummer ausdenken, die bei jedem Empfänger passt. Aber „sehr geehrter Kunde“ passt immer.

Wir haben festgestellt, dass Sie Ihre persönlichen Daten bis heute nicht bestätigt haben.

Aha, darum geht es also in einem „aktuellen Sicherheitshinweis“. Und ich dachte schon, da steht drin, dass die Geldautomaten heute im Jackpot-Modus laufen und dass man eventuell überschüssige ausgegebene Banknoten doch bitte zur Filiale bringen soll, um riesige Geldverluste bei der Bank seines Vertrauens zu vermeiden. ;)

Aber das Beste an diesem Phishing-Trick ist: Wie, jetzt erst wollen die meine Daten? Nicht schon, als ich angeblich Kunde geworden bin? Haben die mir einfach Geld gegeben, ohne sich ein Ausweisdokument von mir zeigen zu lassen?

Diese Phisher denken sich doch immer wieder so richtig extratolle Gründe aus, um Leute dazu zu bringen, dass sie ihr Konto Kriminellen zur Verfügung stellen.

Tatsächlich hat es aber für die Sicherheit überhaupt keinen Wert, wenn man gegenüber einer Bank (oder sonstigen Unternehmung) lauter Daten noch einmal angibt, die der Bank (oder sonstigen Unternehmung) längst bekannt sind. Die einzigen, die an solchen Angaben Interesse haben können und die deshalb solche Angaben einfordern, sind gewerbsmäßig agierende Betrüger, die sich für die Datenakquise als Bank (oder sonstige Unternehmung) ausgeben, um danach mit dem Geld anderer Leute mal so richtig groß einkaufen zu gehen.

Um Ihnen weiterhin einen sicheren Service anbieten zu können, ist die Bestätigung Ihrer persönlichen Daten notwendig. Ihr Nutzerkonto wurde temporär gesperrt.

Wie bitte? Was hat die Korrektmeit „meiner persönlichen Daten“ mit der Sicherheit der Dienstleistung einer Bank zu tun? Die hätte auch sicher zu sein, wenn ich nur als Daisy Duck aus Entenhausen bekannt wäre.

Nach Abschluss der Bestätigung wird Ihr Nutzerkonto automatisch freigeschaltet.
Die Bestätigung können Sie über den unten ausgeführten Button starten.

Die gleichen Leute, die im vorigen Absatz von „Sicherheit“ gefaselt haben, erzählen jetzt, dass ich die „Sicherheit“ durch einen Klick in eine nicht digital signierte E-Mail herstellen kann, wie sie mir jeder der potenziell acht Milliarden Internetteilnehmer zusenden könnte. Das sind Spezialexperten für Sicherheit! Und damit wirklich ein paar Naive so dumm sind, dass sie darauf reinfallen…

Kommen Sie dieser E-Mail innerhalb 14 Tagen nicht nach, ist die Freischaltung nur über den Postweg möglich. Dabei wird eine Bearbeitungsgebühr in Höhe von 79,95€ fällig, welche wir anschließend von Ihrem Konto abbuchen werden.

…werden in ein paar Tagen angeblich grundlos achtzig Euro fällig, weil man auf eine E-Mail nicht reagiert – was ja auch daran liegen könnte, dass die Zustellung gescheitert ist, dass die E-Mail als Spam aussortiert wurde oder dass sie an eine wegen Spamverseuchung nicht mehr aktiv genutzte E-Mail-Adresse geht. Deshalb kommen derartige Fristsetzungen aus Gründen der Rechtssicherheit ja auch nicht über E-Mail, sondern immer mit der Sackpost.

Jetzt anmelden

Der Link führt natürlich nicht zur Website der Sparda-Bank, sondern zum Server mit der IP-Adresse 190.123.45.36 (nein, es wird im Link keine Domain verwendet), der im sonnigen Panama gehostet ist. Alles, was man dort an Daten eingibt, geht direkt an Verbrecher.

Immerhin hat der Hoster schnell auf die Abuse-Mail reagiert. Der von den Phishern angemietete Server ist bereits vom Netz. Vermutlich wird jetzt ein anderer Server irgendwo auf der Welt verwendet.

Wir bitten Sie die Umstände zu entschuldigen und bedanken uns bei Ihnen für Ihr Verständnis.

Oh, so ein pseudohöflicher Dank nach einer unverschämten Belästigung ist genau das, was in mir immer das akute Bedürfnis nach negativem sozialen Feedback in Form eines eingeschlagenen Fressbrettes auslöst. Leider hat der Idiot von Spammer dieses kleine Juwel der Kundenverachtung aus echten Texten echter Unternehmungen abgeschrieben – ich durfte derartige Unverschämtheiten jedenfalls immer wieder einmal lesen. Bei jemanden, der kein Masochist ist, sollten derartige Phrasen nur dazu führen, dass man Verträge so schnell wie möglich (und im Zweifelsfall unter Vorwand) kündigt und derart kundenverachtende Klitschen mit ihrer Arschlochsprache fortan vollständig meidet.

Mit freundlichen Grüßen
Ihre Sparda Bank

Mit intelligenzverachtenden Grüßen
Dein Phishing-Spammer

Diese Spam ist ein Zustecksel meines Lesers M.S.

Hallo eBay, ist noch alles knusper bei euch‽

Freitag, 15. April 2016

Nutzer der Handy-App von eBay¹ können den folgenden Hinweis in ihrer App sehen:

Screenshot der eBay-App. Im unteren Bereich ist ein Overlay mit folgendem Text eingeblendet: 'Helfen Sie uns, Ihr eBay-Konto zu schützen (Link) Bestätigen Sie Ihre persönlichen Daten'.

Helfen Sie uns, Ihr eBay-Konto zu schützen
Bestätigen Sie Ihre persönlichen Daten

Es handelt sich hier nicht um einen Phishing-Versuch.

Ich war mir auf dem ersten Blick völlig sicher, dass es Phishing ist, und meine einzige Frage war, wie die Phisher es wohl geschafft hätten, ihre Phishing-Einleitung als Overlay in die eBay-App einzublenden. (Ich halte es nicht für unmöglich, dass Kriminelle solche Möglichkeiten finden und ausnutzen – Smartphones sind leider sehr gefährliche und für kriminelle Versuche sehr offene Geräte.)

Ich habe mich (zum Glück) getäuscht.

Diese Meldung kommt wirklich von eBay. Und diese Meldung ist wirklich sehr dumm gestaltet, denn sie drückt bei ihren Empfängern auf die gleichen psychologischen Knöpfe wie typische Phishing-Mails:

  1. Bereits bekannte Kundendaten sollen noch einmal bestätigt werden;
  2. dies soll nicht etwa über einen von der Mitteilung unabhängigen Aufruf der eBay-Website, sondern über einen Link geschehen; und
  3. es ist wegen „der Sicherheit“, wegen „des Schutzes des Kontos“ erforderlich.

Das ist – wenn man einmal von dem von Phishern gern angewendeten zusätzlichen Druckmittel einer Fristsetzung oder aufkommender Kosten absieht – genau die gleiche Ausdrucksweise, mit der Menschen sonst dazu gebracht werden sollen, ihre Konten und persönlichen Daten der Organisierten Kriminalität zur Verfügung zu stellen, indem sie die Zugangsdaten in schnell aufgeschäumten Webseiten im Design der entsprechenden Unternehmen eingeben und absenden. (In jüngerer Zeit wird auch häufig ein HTML-Dokument an die E-Mail angehängt, das man ausfüllen und absenden soll – mit gleichem Ergebnis.)

Auch die unter diesem Link hinterlegte Seite sieht so aus, wie ich es von der ersten Seite eines Phishing-Versuches gewohnt bin, der zunächst Accountdaten haben will, bevor weitere Dateneingaben (Anschrift, Bankverbindung, Kreditkarte) erschlichen werden [die unkenntliche Telefonnummer im Screenshot ist nicht von eBay]:

Screenshot der eBay-Seite zur Datenbestätigung -- Helfen Sie uns, Ihr eBay-Konto zu schützen -- Für noch mehr Sicherheit vergewissern Sie sich bitte, dass Ihre personenbezogenen Daten auf dem aktuellen Stand sind. -- E-Mail -- Mobiltelefon

Und genau das führt eBay gegenüber seinen Kunden als gewöhnliche Form der Kommunikation von eBay zum Kunden ein. Ganz so, als sei das Problem mit Phishing noch nicht groß genug; als müsse man seine Kunden zudem daran gewöhnen, dass genau die gleichen Kommunikationsmuster aus typischen Betrugsmails eine gewöhnliche Form der geschäftlichen Kommuniaktion seien und den Betrug auf diese Weise mit Autorität und Glaubwürdigkeit „aufladen“.

Das erschwert die sichere Erkennung von Phishing und zerstört den Schutz durch einen mit ungewöhnlichen Vorgängen und Aufforderungen aufkommenden Verdacht.

Die Folgen dieser dummen Entscheidung eBays werden nicht lange auf sich warten lassen – arglose Nutzer werden vermehrt auf Phishing-Mails hereinfallen, da sie ihren Stil für einen authentischen eBay-Stil halten. Dies gilt in besonderer Weise, als dass den Kriminellen eine sehr umfangreiche Datenbank mit Mailadressen und Accountdaten zur Verfügung steht, die bei eBay benutzt wurden oder noch werden. (Siehe zur Vorgeschichte dieses Datenlecks meine vorsichtig formulierte Mutmaßung hier auf Unser täglich Spam, als auf einmal hochgefährliches eBay- und PayPal-Phishing in Mail an exklusiv für eBay und PayPal benutzte Mailadressen auftauchte.)

eBay führt sich gerade wie ein Freund und Förderer der Organisierten Kriminalität auf; ganz so, als wollte eBay Phishing zu einem Erfolgsrezept für gewerbsmäßige Betrüger machen.

Das ist schlecht. Und es sollte geändert werden.

Von eBay.

So schnell wie möglich, am besten sofort!

¹Ein Dank für die Screenshots und den Hinweis geht an meinen Leser M.S.