Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Kategoriearchiv „Leserpost“

Kontoeinschränkung – Bitte bestätigen Sie Ihre Daten

Freitag, 11. August 2017

Das ist mal ein bisschen anders…

Von: „PayPal Service Team“ <service.team@paypal.de>

Sollte diese Nachricht nicht richtig angezeigt werden, klicken Sie bitte hier

Natürlich ist der Absender gefälscht, und zwar zur Abwechslung einmal so, dass naive Menschen wirklich daran glauben können, die Mail käme von PayPal. Und natürlich ist da nicht mehr in der Spam, was dargestellt werden könnte. Der Link führt auch nicht zu PayPal, sondern er ist über den beliebten URL-Kürzer Bitly maskiert, um Spamfiltern die Arbeit zu erschweren.

PayPal würde niemals einen Link auf die eigene Website in einer E-Mail über Bitly kürzen. Zum einen gibt es dafür keinen technischen Grund, die Textlänge in einer E-Mail ist ja nicht beschränkt, und sollten kürzere Links (etwa für die umbruchlose Darstellung in einer Reintextmail – die vorliegende Spam ist HTML-formatiert, so dass sich das Problem gar nicht stellt) doch einmal gewünscht sein, so könnte PayPal nahezu mühelos einen eigenen Weiterleitungsdienst für eigene Zwecke implementieren. Und zum zweiten würde PayPal damit die Zugriffe seiner Kunden auf die PayPal-Website für einen Dritten, nämlich Bitly, trackbar machen. So etwas ist eine ganz schlechte Idee, wenn es um Geld geht. So etwas macht mit Sicherheit niemand, der einen Zahlungsdienst anbietet.

Der so maskierte Link führt nach der Weiterleitung durch Bitly…

$ lynx --mime-header http://bit.ly/2ftsROw | grep ^Location
Location: http://paypal.de-account-aktualisierung.gdn/
$ _

…schließlich in eine Website in eine Subdomain von de (strich) account (strich) aktualisierung (punkt) gdn, die natürlich nicht die Domain von PayPal ist. Die Subdomain paypal kann darüber nur bei Menschen hinwegtäuschen, die überhaupt keine technischen Kenntnisse mehr haben… oh… das sind wohl beinahe alle Menschen aus der „Generation Smartphone“. Jeder, der eine Domain verwaltet, kann dort beliebige Subdomains einrichten.

Ich hätte ja gern meinen obligatorischen Screenshot der mutmaßlichen Phishing-Site¹ gemacht, aber…

$ host paypal.de-account-aktualisierung.gdn
paypal.de-account-aktualisierung.gdn has address 136.243.175.176
$ ping -c 16 -W 5 136.243.175.176
PING 136.243.175.176 (136.243.175.176) 56(84) bytes of data.

--- 136.243.175.176 ping statistics ---
16 packets transmitted, 0 received, 100% packet loss, time 14996ms

$ _

…der von den Spammern gemietete Server scheint schon abgeklemmt worden zu sein. Dafür einen warmen Dank an die Hetzner Online GmbH. So schnell müsste das immer gehen! ;)

Grundsätzlich gelten jedoch drei Dinge, denn so viel Glück wird man nicht immer haben:

  1. PayPal versendet solche E-Mails nicht. Die E-Mail von PayPal ist ohne weiteres Geklicke lesbar. PayPal ist dazu imstande, eine E-Mail zu verfassen, in der man den Text auch lesen kann. Jeder aufgeweckte Achtjährige ist nämlich dazu imstande. Warum sollte PayPal im Kontakt zu seinen Kunden hinter dieses Niveau zurückfallen?
  2. PayPal wird niemals einen Link auf die eigene Website über einen externen Kürzer wie Bitly maskieren und damit ohne technischen Grund einem Dritten eine Datensammlung über den Zugriff auf die Website eines Finanzdienstleisters ermöglichen. So etwas machen wirklich nur Spammer, die verhindern wollen, dass die von ihnen benutzten Domains binnen weniger Viertelstunden auf den einschlägigen Blacklists stehen, so dass ihre Spams nicht mehr ankommen.
  3. Wenn man sich angewöhnt, niemals in eine E-Mail zu klicken, sondern einfach die jeweilige Website direkt aufzurufen – die Webbrowser haben zu diesem Zweck seit 1994 eine ausgesprochen praktische Lesezeichenfunktion – dann kann man nicht auf Phishing über eine E-Mail hereinfallen und fängt sich übrigens auch nicht so leicht Schadsoftware ein, weil man keine Websites von spammenden Verbrechern besucht. Wenn es ein Problem bei PayPal, Amazon, eBay, Facebook, etc. gibt, dann wird man auf den jeweiligen Websites nach der Anmeldung deutlich darauf hingewiesen. Es besteht kein Grund, in die E-Mail zu klicken, aber es ist gefährlich.

Diese Spam ist ein Zustecksel meines Lesers M.S. – Danke!

¹Es ist nicht sicher, dass es sich hier um Phishing handelt – im Moment ist wieder sehr viel Schadsoftware unterwegs, die ebenfalls in kurz gefassten E-Mails, dort allerdings meist als Anhang, transportiert wird.

Grüße an euch im Namen unseres Herrn Jesus Christus,

Donnerstag, 3. August 2017

Wie, der ist jetzt auch unter die Spammer gegangen?

Ich bin Frau Monika Andreas, ich bin 63 Jahre alt aus Großbritannien,

Na, wenn du mich schon nicht kennst und nicht anreden kannst, ist es ja schön, dass du erstmal sagst, wer du bist. Schade nur, dass es nicht stimmt. Denn sonst…

Eine Witwe leidet unter langjähriger Krankheit (Krebs)

…gäbe es die erfreuliche Aussicht, dass du demnächst deine langjährige betrügerische Erfah… ähm… deine langjährige Krankheit in einem erfreulichen Sterbeprozess beendetest, erfüllt von deinen eigenen Zellen, die von der Idee unbegrenzten Wachstums beseelt sind und dich wegfräßen.

Ich bin verheiratet zu Spät Dr. Andreas Horst,<

Na, noch scheinst du ja zu leben. Also kannst du nicht zu spät verheiratet sein. :mrgreen:

(Natürlich meint sie den verstorbenen Dr. Horst, aber woher soll das miese Übersetzungsprogramm das denn wissen.)

Mein Mann hat die Summe abgelegt (USD $4.900.000,00) Mit einer der Bank hier

Das ist gewiss die bekannte britische Anonymnous-Bank, die in Großbritannien die Konten in US-Dollar führt.

Ich möchte diesen Fonds in dein Land übertragen Für Nächstenliebe Arbeit und helfen die weniger privilegierten

Das ist doch schön. Und deshalb schreibst du irgendeine Mailadresse eines dir völlig Unbekannten an, es geht ja nur um so etwas Unwichtiges wie ein paar Millionen Dollar. Aus lauter Nächstenliebe und Hilfsbereitschaft. Wir kennen das ja alle aus unserer Alltagserfahrung, dass uns in der Stadt ein wildfremder Mensch anspricht, uns eine 500-Euro-Banknote in die Hand drückt, uns sagt, dass wir damit etwas tun sollen… und dann einfach weggeht und uns mit dem schönen, großen lila Lappen in der Gegend rumstehen lässt. Und natürlich nichts kontrolliert oder so. Wer hätte das noch nicht erlebt? :mrgreen:

Natürlich gibt es die Millionen nicht. Die sind nur Köder. Es ist Vorschussbetrug. Wer anbeißt, hat immer die Millionen (und einen fürstlichen Anteil für seinen „Aufwand“, falls er doch nicht bescheißen will) vor Augen, darf aber eine Vorleistung nach der anderen abdrücken. Hier ein Hunnie für eine Beglaubigung, dort dreihundert Euro für irgendeinen Bullshit, noch mal siebenhundert Euro für eine Versicherung, da noch sechzig Euro für diesen Schein, und da noch sechzig Euro für jenen Schein. Das Geld kann man natürlich niemals einfach auf ein Konto überweisen, man kann auch niemals einfach einen Scheck ausschreiben, sonst würden bei den Betrügern ja die Handschellen klacken, wenn sie sich das Geld abholen – stattdessen geht alles immer nur vollständig anonym über Western Union und Konsorten. Das Geld von ihren gleichzeitig „behandelten“ zehn bis fünfzehn Opfern trägt die gut einspielte und am Telefon durchaus überzeugend aufführende Bande dann ins nächste Bordell.

Nicht zu übersehen ists, dass diese sicherlich nicht total verarmte Witwe sich nicht die paar Euro für einen richtigen Dolmetscher leisten kann, und deshalb eine Ausdrucksweise verwendet, bei der Kurt Schwitters Freudensprüge über den Sieg des Merz machen würde.

Ich habe diese Entscheidung getroffen weil ich kein Kind habe das dieses Geld erben wird,

Kontaktieren Sie mich für weitere Nähere<

Och nö! So richtig weiter nah dran will ich da gar nicht.

Frau Monika Andreas,

Die ausgedachten Namen wechseln, die Geschichten sind immer die gleichen.

Diese Spam aus dem Irrenhaus des Vorschussbetruges ist ein Zustecksel meines Lesers liu-yan.

Your account on XNXX.COM

Dienstag, 1. August 2017

Diese Spam ist ein Zustecksel meiner Leserin C.K. – und nein, die hat dort keinen Account. Die Website in der im Betreff und im Mailtext benannten Domain sollte auf gar keinen Fall besucht werden¹.

Welcome to XNXX.COM !

Nichts ist so unerfreulich wie ein Willkommensgruß aus einer Spam.

Thank you for registering at XNXX.COM, your account has been activated.

Die Empfängerin dieser Mail kennt diese Website nicht und hat sich dort gewiss nicht registriert.

You can go to https://account.xnxx.com/account to log into your account.

Man kann die Mail aber auch einfach löschen.

Your account information is shown below for reference purposes.

Login : xxxxxx@gmail.com

Aha, die Information zum Account ist also einfach die Mailadresse, die angemailt wurde. Eine sehr informative Information.

The last step is the validation of your email address. For that, please visit this URL:
https://account.xnxx.com/account/email/validate?[ID entfernt]

Herzlichen Glückwunsch. Wer darauf klickt, teilt dem Absender dieser Mail mit, dass die Mailadresse aktiv benutzt wird und dass sogar in komische Mails, die an diese Adresse gehen, hineingeklickt wird. Und, was gäbe es dort überhaupt?

Screenshot der verlinkten Website mit allerlei pornografischen Darstellungen

Die schwarzen Balken sind von mir.

Aha, Rubbelfilmchen gibt es dort. Und zwar solche Rubbelfilmchen, für die sich nach Auffassung der Versender dieser Spam ohne derartige Spam niemand interessieren würde. Wie die Betreiber zu dieser Auffassung gekommen sind, weiß ich natürlich nicht, aber es liegt ganz sicher nicht daran, dass dort niemand abgezockt oder mit Schadsoftware konfrontiert wird.

Die Empfängerin dieser Spam hat übrigens kein Interesse an Pornografie gehabt.

Thanks and enjoy

Nichts zu danken!

All the best,
XNXX.COM Team.

Ihr mich auch!

If you haven’t created this account, click on this link to delete it:
https://account.xnxx.com/account/delete/[ID entfernt]/

Hier erhält der Empfänger – oder in diesem Fall: die Empfängerin – noch eine weitere Möglichkeit, Spammern mitzuteilen, dass die Spam ankommt, gelesen wird und sogar beklickt wird. Das wird Folgen haben. Jeden Tag ein Postfach voll.

Account reference: xxxxxxxxx
IP: 157.50.10.50

Ich habe die Empfängerin (sie wohnt in Hannover) gefragt, ob sie ein VPN oder Tor verwendet. Sie tut es nicht. Von daher ist es sehr unwahrscheinlich, dass sie ohne ihr Wissen mal kurz nach Indien geflogen ist, um sich dort bei einem windigen Pornografie-Anbieter zu registrieren und wieder zurückzufliegen. Die in den Spams angegebenen IP-Adressen sind also einfach ausgedacht, und zwar noch nicht einmal gut ausgedacht. Und genau das gleiche gilt mit an Sicherheit grenzender Wahrscheinlichkeit für…

Lazarská 1718/3 – 110 00 Praha 1 – Czech Republic

…diese Anschrift, die so tut, als sei sie ein Impressum.

Von einem Besuch dieser Website, die nach Meinung ihrer Betreiber ohne Spam niemanden interessieren würde, rate ich strikt ab.

¹Wer Pornografie haben möchte, findet eine Menge unbedenklicherer Anbieter, die keine Spam nötig haben. Ich empfehle YouPorn, werde hier allerdings aus Jugendschutzgründen keinen Link setzen. (Ich lege Wert darauf, Unser täglich Spam auch weiterhin so zu halten, dass ein Zwölfjähriger sich hier umschauen kann, denn auch Kinder empfangen Spam.) Die Website ist nicht schwierig zu finden. Wer nach dem Namen einen Punkt setzt und danach als TLD die Abkürzung für eine kommerzielle Domain, kann sie gar nicht verfehlen. Und danach kann gerubbelt werden, bis die Nille qualmt. Viel Spaß!

Sie haben schwere Schuld auf die Grundsteuer

Freitag, 28. Juli 2017

Diese Spam aus dem Irrenhaus des Posteinganges ist ein Zustecksel meiner Leserin M.K. – an der Spam hing noch ein Anhang, der vermutlich das reinste Gift ist. Aber der Text der Spam kitzelt so fürcherlich im Gehirne, dass man gar nicht zum Anhang kommt… ach, hier ist er:

Lieber Bürger,

Ich heiße aber „Liebe Steuernummer“.

Mein Name ist Günther Brown, ich bin der amtliche Vertreter der deutschen Steuerbehorde [sic!], Abteilung der Immobiliensteuer

Wie, du bist der amtliche Vertreter einer Behörde. Die nennt man in der BRD übrigens Beamte. Und die deutsche Steuerbehörde nennt man Finanzamt. Du hast doch nicht etwa einen englischen Betrugstext mit Google übersetzt, du Schlingel von Spammer, du!

Meine Abteilung ist haftbar [sic!], die Staatsangehörigen zu informieren, ihnen das Steuersystem zu erklären, sie in allen Angelegenheit im Zusammenhang mit Steuerprozeduren, Schulden, Zahlungen usw. zu unterstutzen [sic!].

So so, haftbar bist du also dafür. Na, dann hafte mal schön. :mrgreen:

In Ihrem Fall muss ich Ihnen Bescheid geben, dass Sie namhafte Schulde [sic!] auf Vermogenssteuer [sic!] haben. Das heißt, es gibt eine schwere Schuld [sic!] auf die Grundsteuer [sic!]. im Regelfall ignorieren wir solche Schulden fur 4-6 Monate [sic!], aber in Ihrer Situation, die Verzögerungszeit beträgt 7 Kalendermonate [sic!]. deshalb mussen wir geeignete Maßnahmen ergreifen [sic!], um die Lage zu korrigieren.

Aber „Günther Brown“, weißt du denn gar nicht, was in der Bundesrepublik passiert, wenn man Steuerschulden hat? Dann gibt es keine Mail, sondern es kommt der Zoll und es wird gepfändet.

Speziell für Ihre Bequemlichkeit [sic!] haben unsere Spezialisten [sic!] einen individuellen Bericht vorbereitet. Er enthält alle Informationen über das Besteuerungsverfahren auf Grundsteuer [sic!], auf Ihre Schulden (einschließlich Gesamtsumme) [sic!], sowie eine Tabelle der ausstehenden Betrage [sic!] fur jeden Monat der Periode der Schulden [sic!].

Der Bericht befindet sich in der angehängten Datei

Aber „Günther Brown“, weißt du denn gar nicht, wie in der Bundesrepublik ein Steuerbescheid zugestellt wird? Er wird mit der Sackpost zugestellt.

bitte sehr lesen Sie das Dokument in der nahen Zukunft [sic!]. Nach dem Empfang diesen Bericht [sic!] haben Sie einen Tag [sic!], um mit Ihrem Wirtschaftsprufer [sic!] zu kontaktieren und ihm die Daten in diesem Bericht erhalten zu mitteilen [sic!], um das Problem zu lösen. im anderen Fall konnen erhebliche Sanktionen (Bußgelder und Strafen) folgen.

Aber „Günther Brown“, hat dein Deutschexperte dich jetzt verlassen? Oder ist die leckere Flasche Wodka bei ihm so eingefahren, dass er nur noch hirnrissiges Gestammel von sich gibt, das selbst von einem manifest Schwachsinnigen sofort als hirnrissiges Gestammel erkannt würde?

Menschen, die nicht manifest schwachsinnig sind, wissen natürlich, dass es keine Fristsetzungen von einem Tag gibt – und schon gar nicht bei einem Zustellungsweg, bei dem rechtlich gar keine Zustellung erfolgen kann. Fristen werden immer mit ausdrücklicher Nennung des Fristablaufdatums gesetzt, um eine Wirksamkeit entfalten zu können.

Mit besten Grüßen,

Gunther Braun [sic!],
Abteilung fur Grundsteuer,
Die Steuerbehörde Deutschlands [sic!]

Aber „Günther Brown“, du heißt ja Gunther Braun. :lol:

Validierung notwendig

Donnerstag, 22. Juni 2017

Von: „Amazon.de“ <info@amazon.eu>

Wie immer in der Spam ist der Absender gefälscht.

Amazon.de-Logo

Auch wie man Grafiken in einer Spam verwendet, um beim Opfer einen falschen Eindruck zu erwecken, hat der Absender durchschaut.

Datum: 21.06.2017

Damit auch etwas Wahres in der Spam steht, hat der Spammer das Datum hineingeschrieben. Das ist zwar völlig unnötig und dumm, weil es auch im Mailheader steht, aber es sieht so schön förmlich aus und es ist so einfach. Außerdem macht Amazon es auch.

Guten Tag Tobias Rodde,

In der mir vorliegenden Spam stimmte die namentliche Ansprache nicht. In vielen anderen Fällen wird sie stimmen. Die Spammer haben eine große, zusammengetragene Datenbank aus Zuordnungen von Namen zu E-Mail-Adressen. Wo sie diese Daten herhaben? Aus vielen Quellen.

Es gelten neue Mindestanforderungen für die Sicherheit von Internetzahlungen § 21 II AgNwV Aus diesem Grund sind wir dazu verpflichtet, Ihre Idendität [sic!] in regelmäßigen Abständen zu überprüfen.

Nun, eine Verordnung, die ihre gegenwärtig gültige Fassung am 15. Oktober 2009 erhalten hat und am 31. Oktober 2009 in Kraft getreten ist¹, ist nicht wirklich „neu“. Aber der Spammer vertraut darauf, dass Menschen von einer derartigen Behauptung so eingeschüchtert sind, dass sie einfach vergessen, wozu man Internet-Suchmaschinen benutzen kann. Solche Leute stören sich auch nicht am Wort „Idendität“ neben der kryptischen Abk. für eine für den Online-Handel mit Gütern irrelevante Verordnung.

Achten Sie während der Überprüfung auf die richtige Eingabe Ihrer Daten, sollte das System Abweichungen zu den bereits hinterlegten Daten feststellen wird Ihr Amazon-Konto automatisch aus Datenschutzrechtlichen Gründen gesperrt. Sobald dieser Fall eintritt, ist eine Legitimation Ihrer Daten nur noch über den Postweg möglich.

Oh, der Rechtschreibbeauftragte ist mal kurz pinkeln gegangen.

Bitte nicht vertippen! Offenbar sind inzwischen viele der Menschen, die auf plumpes Phishing reinfallen, nicht mehr dazu imstande, ihre Anschrift, ihre Bankdaten und ihre Kreditkartennummer nebst allen Angaben halbwegs unfallfrei in eine Webseite einzugeben, die so aussieht, als käme sie von Amazon. Und das ist natürlich ärgerlich für den Phisher, wenn er zwar genug naive Opfer gefunden hat, aber dennoch seine Betrugsgeschäfte nicht durchziehen kann.

Da stellt sich nur noch eine Frage: Warum sollte man das tun?

Warum ist das notwendig?

Dieser Schritt ist notwendig, damit wir Sie als rechtmäßigen Inhaber Ihres Amazon-Kontos identifizieren können. Wir möchten dadurch auch verhindern, dass Dritte Zugang zu Ihrem Amazon-Konto erlangen und finanzielle Schäden verursachen.

Richtig, damit sich keine Betrüger des Amazon-Zuganges bemächtigen können. Sagt ein Betrüger in einer Phishing-Spam. Und das Beste an dieser „Identifikation“ als „rechtmäßiger Inhaber“ ist, dass ein behaupteter Betrüger, der sich des Zuganges bemächtigt hat, völlig sicher und zuverlässig als „rechtmäßiger Inhaber“ erkannt würde, weil er ja alle diese Daten einsehen konnte. Dieses vom Spammer behauptete Verfahren ist also noch sinnloser und dümmer als ein Virenschutz durch ein Heiligenbild, das man auf seinem Rechner aufklebt. Denn beim Heiligenbild schließe ich die mögliche Wirkung nicht aus… :mrgreen:

Weiter zur Bestätigung

Der Link ist indirekt über den URL-Kürzungsdienst bit (punkt) ly gesetzt. Amazon hätte so einen Umweg über einen Drittanbieter in einer HTML-formatierten E-Mail nicht nötig, denn es gibt keinen Grund, darin einen Link zu kürzen. Außerdem unterhält Amazon einen eigenen Linkkürzungsdienst, der sicherlich auch von Amazon benutzt würde, wenn der Bedarf bestünde.

Spammer haben es aber immer nötig, die Zieladresse ihrer giftigen, betrügerischen Links zu verbergen, denn die Spamfilter lernen relativ schnell, was Phishing-Seiten sind. Und das ist schlecht für einen Spammer, der davon lebt, dass seine Spams auch bei den Opfern ankommen.

Mal schauen, wo die Reise hingeht, wenn jemand auf den Link klickt:

$ location-cascade http://bit.ly/2tNK8Eh
301	http://bit.ly/2tNK8Eh
302	http://f3892.easyurl.net/
Found	http://chundmeinweed.com/radjesh1
$ lynx -mime_header http://chundmeinweed.com/radjesh1 | grep "^Location"
Location: https://amazon.de-kundeninfo-datavalidierung.com/wer/macht/parra/
$ _

Es geht in die Subdomain amazon der etwas unhandlichen Domain de (strich) kundeninfo (strich) datavalidierung (punkt) com, die natürlich nichts mit Amazon zu tun hat und erst vorgestern unter Angabe einer mutmaßlich missbrauchten Identität eines früheren Opfers dieser Phisher aus Schelsig (Hessen) eingerichtet wurde.

Die Phishing-Seite ist – die Spam ist ja inzwischen doch schon ein paar Stündchen alt – zum Glück bereits aus dem Internet entfernt. ;)

Wer einen Eindruck davon bekommen möchte, wie gegenwärtiges Phishing von Amazon-Zugängen (die dann für Betrugsgeschäfte aller Art missbraucht werden) aussieht, kann sich die Screenshots zu meiner Amazon-Phishingmail vom 5. Juni anschauen. Ich bin mir übrigens sehr sicher, dass diese Phishing-Spam von der gleichen Bande stammt und dass die hier verwendete Phishing-Seite genau so ausgesehen hätte, wenn sie noch verfügbar gewesen wäre.

Vielen Danke ihr ,
Ihr Amazon – Team

Hach ja, zum Ende der Spam nimmt die Konzentration des Rechtschreibbeauftragten doch immer sehr ab, weil die Gedanken schon wieder im Bordell sind und das ganze Geld aus Betrugsgeschäften bei Koks und Nutten verprassen…

Diese Phishing-Spam ist ein Zustecksel meines Lesers M.S., der übrigens kein Amazon-Nutzer ist oder werden möchte.

¹Ich habe eine Archivversion verlinkt, um den heutigen Stand zu dokumentieren, falls sich diese Verordnung in nächster Zeit einmal verändern sollte. Die jeweils aktuell gültige Fassung gibt es natürlich beim Bundesministerium für Justiz.

Contact Person: Mr. André David

Dienstag, 13. Juni 2017

Man kann in eine E-Mail natürlich hineinschreiben, um was es geht. Das hat den Vorteil, dass der Empfänger auch weiß, um was es geht. Man kann es allerdings auch lassen, und dann entsteht ein Text wie der Folgende:

we have made an effort to contact you many time but you are not responding? contact office with below

FULL NAME…
COUNTRY/HOME ADDRESS…
CITY/POSTAL CODE…
OCCUPATION…
MOBILE PHONE NUMBER…
AGE/SEX.

DHL INTERNATIONAL OFFICE BENIN EXPRESS.
DHL Delivery Services Company
Contact Person: Mr. André David

Ohne weitere Worte.

Dieses Ausstellungsstück aus dem Beklopptenbrutschrank des Postfaches ist ein Zustecksel meines Lesers liu yang.

Neues Authentifizierungsverfahren

Freitag, 19. Mai 2017

Keine Panik! Diese Mail kommt nicht von Amazon. Auch, wenn sie ein Amazon-Logo enthält. Jedes Kind kann eine derartige Grafik von „irgendwo aus dem Web“ mitnehmen und in eine HTML-formatierte Spam verbasteln.

Von: "Amazon.de" <service@amazon.co.uk>

Natürlich ist auch der Absender gefälscht. Wie der Spammer auf die Idee kommt, dass deutsche Kunden vom Support des britischen Amazon angeschrieben werden könnten, weiß ich nicht. Vielleicht macht Amazon das ja wirklich so. Das wäre zwar ein bisschen dumm, weil Amazon dann auf einer Mailadresse Schriftverkehr in vielen verschiedenen Sprachen bekäme, der erst einmal sortiert werden muss, und es wäre auch aus Kundensicht ein wenig verwirrend, aber was weiß ich, wie Amazon seinen Laden organisiert. Wahrscheinlicher ist es allerdings, dass der Spammer hier ein bisschen dumm ist. ;)

Logo: amazon.de
Guten Tag Tobias Rodde,

Ich will es mal so sagen: Der Empfänger hieß anders. Völlig anders. Woher der Spammer den Namen genommen hat, bleibt unklar. Ich halte es aber für möglich, dass etliche Empfänger dieser Phishing-Spam mit ihrem richtigen Namen angesprochen werden. Vermutlich ist dem Spammer beim Zusammenführen und Bereinigen seiner Datenbank die Zuordnung von Namen und Mailadressen ein bisschen durcheinandergeraten. Wenn er in den nächsten Tagen einen aufgeweckten Achtjährigen gefunden hat, der es für ihn richtig macht, wird dieses kleine Problemchen sicherlich beseitigt sein.

Aber ob dann der folgende Absatz eine gute Kundenansprache ist?

Diese E-Mail legt eine Reihe von Mindestanforderungen im Bereich der Sicherheit von Internetzahlungen fest. Die EBA-Leitlinien basieren auf den Vorschriften der Richtlinie 2007/64/EG2 („Zahlungsdiensterichtlinie“, „PSD“) über die Informationspflichten für Zahlungsdienste sowie die Pflichten von Zahlungsdienstleistern bei der Erbringung von Zahlungsdiensten . Überdies schreibt Artikel 10 Absatz 4 der PSD vor, dass Zahlungsinstitute über eine solide Unternehmenssteuerung sowie angemessene interne Kontrollmechanismen verfügen müssen.

Aha, und was hat der Kunde damit zu tun? Richtig: Nichts hat der Kunde damit zu tun, denn es betrifft ihn gar nicht. Weshalb steht es dann in der Spam? Richtig: Dieses von irgendwo abgeschriebene bürokratisch-juristische Geschwafel ohne jegliche Bedeutung für einen Kunden einer Internetklitsche hat genau eine Funktion. Es soll den Empfänger beeindrucken und einschüchtern.

Vielleicht freut sich der Amazon-Kunde ja auch darüber, dass sich Amazon (angeblich) im Mai des Jahres 2017 einmal dazu bequemt hat, sich um die Umsetzung einer EU-Richtlinie vom 11. November 2007 zu bemühen. Nein, diese literarisch ungenießbare EU-Juristenprosa braucht niemand zu lesen, aber auf der ersten Seite steht das Datum, und im Gegensatz zum dummen, asozialen und kriminellen Spammer, der hier ebenfalls in einer HTML-formatierten Spam darauf Bezug nimmt, gebe ich gern die Quellen an. Erfreulicherweise gibt es ja inzwischen so ein Internet, und natürlich sind die Veröffentlichungen des Amtsblattes der Europäischen Union auch dort verfügbar. ;)

Für Online-Zahlungen bedeutet dies, dass verpflichtend eine neue, sicherere Methode zur Kundenauthentifizierung eingeführt werden muss. Um die Sicherheit Ihrer Kundendaten zu gewährleisten ist ein Abgleich der hinterlegten Informationen obligatorisch.

Und, was hat der Kunde mit der Implementation einer neuen Methode zur Kundenauthentifizierung zu tun? Richtig: Nichts. Das ist eine Angelegenheit für Programmierer, und im Idealfall merkt der Kunde gar nichts davon.

Aber dem Spammer geht es mit seinem wirren Geschwurbel um etwas anderes, nämlich einen „Abgleich der hinterlegten Informationen“. Denn dem Opfer dieses Phishings soll glauben gemacht werden, dass es aus irgendeinem Grund (wissenschon, dummes EU-Recht) erforderlich sein soll, lauter Daten, die bei Amazon längst bekannt sind, noch einmal auf einer angeblichen Website von Amazon einzugeben. Natürlich gehen diese Daten nicht zu Amazon, sondern direkt zu gewerbsmäßigen Betrügern, was im Falle des Amazon-Logins sowie eventueller Kreditkarten- und Bankdaten sehr unangenehm für das Opfer dieses Phishings werden kann. Denn die Kriminalpolizei schläft nicht und wird schnell vor der Türe stehen, wenn sie dem Gelde zu den Verbrechern folgen will.

Übrigens: Es ist immer und ausnahmslos Unsinn, wenn man längst bekannte Daten wegen irgendeines Bullshits noch einmal eingeben soll. Diesen Unsinn kann man nur in Phishing-Spams lesen.

Bitte achten sie während des Authentifizierungsverfahrens auf mögliche Fehleingaben, sollten wir eine Abweichung zu den bei uns hinterlegten Daten feststellen, ist eine Sperrung Ihres Accounts unvermeidlich.

Das heißt zu gut Deutsch: „Wenn sie so doof sind, alle ihre bei Amazon bekannten Daten noch einmal einzugegeben, weil sie in einer Spam darum gebeten wurden, dann machen sie das wenigstens korrekt, damit unser Betrugsgeschäft reibungsloser läuft“. :mrgreen:

Konto bestätigen

Der Link geht auf eine Adresse, die über den URL-Kürzer bit.ly maskiert wurde, um Spamfiltern die Abfrage von Blacklists zu erschweren. Das richtige Amazon würde niemals mit einem solchen „Trick“ arbeiten.

Will ich doch mal nachschauen, wo die Reise hingeht:

$ lynx -mime_header "http://bit.ly/2qxUl9u" | grep "^Location"
Location: http://tinyurl.com/mvezu75
$ _

Aha, es geht von einem URL-Kürzer auf den nächsten URL-Kürzer. Der kürzt dann zwar nicht mehr, aber es soll ja auch die Spamfilterung erschwert und nicht wirklich gekürzt werden. Für solche Umleitungsorgien habe ich mir zum Glück mal ein kleines Skript¹ gemacht, weil sie eine Zeitlang in der Binäre-Optionen-Spam mit großer Penetranz genutzt wurden.

$ location-cascade "http://bit.ly/2qxUl9u"
301	http://bit.ly/2qxUl9u
301	http://tinyurl.com/mvezu75
301	http://judenurl.com/slowdownmonkey83
302	https://de-kundencenter-authentifizierung.com/wer/macht/parra/
Found	/795722/DEJApbOkS90MF8q/5VPeQwAXmqEjx6b/427610010560/oOkLqQjKN3YtwWp/sEN42eBULqQaMJF/
$ _

Oh, es geht in eine tolle, lange Domain, die von DE, Kundencenter und Authentifizierung faselt, aber nichts mit Amazon zu tun hat. Wer hat denn diese Domain registriert? Hui, ein whois offenbart, dass da bei der Registrierung richtige Adressdaten aus Dortmund angegeben wurden, mutmaßlich die Anschrift eines Menschen, dessen Identität von Kriminellen missbraucht wird und der jetzt mehrere Jahre seines Lebens Ärger mit dieser ganzen kriminellen Scheiße haben wird². Deshalb ist man immer sehr sparsam mit seinen persönlichen Daten und gibt diese niemals leichtfertig irgendwo an. Das mag in einer Zeit, in der überall erwartet wird, dass man naiv und unvorsichtig mit Daten umgeht, antiquiert wirken, aber wenn leichtgemachter gewerbsmäßiger Betrug auf Kosten des eigenen Lebens die neue Modernität ist, sollte niemand ein Problem damit haben, ein bisschen antiquiert zu sein. Natürlich kann man dann auch viele Angebote im gegenwärtigen Internet nicht nutzen, die erwarten, dass – oft ohne sachlichen oder technischen Grund – weit in die Privatsphäre hineinragende Daten eingegeben werden. Insbesondere rate ich strikt davon ab, das Geburtsdatum anzugeben. Es ist niemals erforderlich.

So, jetzt noch der Blick auf die Website… oh! Da gibt es jetzt noch eine Weiterleitung:

Screenshot einer Seite bei sedoparking.com, auf die jetzt weitergeleitet wird. -- de-kundencenter-authentifizierung.com -- Sie sind der Domain-Eigentümer und möchten wissen, wieso diese Domain anders als die anderen geparkten Domains aussieht? INFOS HIER...

Da hat wohl schon jemand den Stecker vom Server gezogen. Danke! ;)

Mit freundlichen Grüßen,
Ihr Amazon-Team

„Mein Amazon-Team“ ist das nur in einem sehr skurrilen Sinn des Wortes.

Mit dieser Servicemitteilung informieren wir Sie ?ber wichtige ?nderungen bez?glich Ihres Amazon Kontos.
Copyright © 1998-2017 Amazon.com. Alle Rechte vorbehalten.

Immer wieder das Gleiche bei den dummen Spammern. Sie haben ihre eigentliche Botschaft rübergebracht und sind sogar leidlich fehlerfrei durch die deutsche Sprache gestolpert, und am Ende der Nachricht sind die Gedanken schon wieder im Bordell und die Konzentration lässt nach. Und dann klappt es auf einmal auch mit den Umlauten nicht mehr…

Denn wenn sich der Spammer Mühe geben wollte, könnte er ja auch gleich arbeiten gehen.

Diese Spam ist ein Zustecksel meines Lesers M.S., der etwas vom „dümmsten aller Spammer“ dazu schrieb.

¹Nein, ich gewinne dafür keine Schönheitspreise. Aber es hat mir schon viel Handarbeit erspart, und ich hatte bis jetzt kein Bedürfnis, es besser zu machen.

²Ganz sicher wurden die Daten für etliche „Geschäfte“ benutzt. Warum ich die (leider leicht ermittelbare) Anschrift hier nicht auch noch zitiere, sollte jedem Leser klar sein: Da ist eine arme Seele wahrlich genug gestraft!