Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Kategoriearchiv „Phishing“

Phishing im Fediverse (Mastodon)

Samstag, 2. August 2025

So sieht aktuelles Phishing auf Mastodon aus:

@Mxxxie 🚨 URGENT: ACCOUNT VERIFICATION REQUIRED! -- Hey there! -- We’ve tightened up security, and now everyone needs to verify their account. Yours is still on the "unverified" list—but don’t sweat it, this’ll only take a sec! --CLICK HERE NOW: -- 🔗 https://verify.9113432.icu/8T3F7xxx2B6 -- ⏰ MOVE FAST! Ignore this, and soon you won’t even be able to sneeze without restrictions! -- Thanks for helping us keep Mastodon secure! -- — The Mastodon Team

(Die Anonymisierung im Screenshot ist von mir, ich habe auch den Link unbrauchbar gemacht.)

Solche Aufforderungen werden automatisiert von Bots getrötet, wenn man Beiträge verfasst hat. Natürlich handelt es sich um Spam. Weder Mastodon als ganzes noch der jeweilige Podmin haben etwas damit zu tun. Alle Daten, die man angibt, gehen zu Verbrechern; alle Software, die man von dort herunterlädt, kommt von Verbrechern. Bitte niemals darauf hereinfallen. Es gibt im Fediverse keine Verifikationen. Diese wären wegen der dezentralen Struktur und der offenen Protokolle auch recht sinnlos. Man benötigt gar nicht viel technisches Hintergrundwissen, um von solchen Versuchen einen Anfall gebieterischer Heiterkeit zu bekommen. Trotzdem fallen Menschen darauf herein. Mir wurde mitgeteilt, dass man sich über die Scheckkarte „verifiziert“, alternativ sei auch PayPal und Google Pay möglich… aber ich habe das nicht überprüft.

Ihre Kundeninformationen im August. #757429584317

Mittwoch, 30. Juli 2025

Oh toll, mit Nummer, das muss wohl so richtig wichtig sein. Wenn jetzt wenigstens auch noch der Trick mit der Sprache funktionieren würde:

Sehr geehrte Damen und Herren,

Ja, eines von beiden bin ich.

W bis zum heutigen Tage haben Sie den notwendigen vertraglichen Anpassungen noch nicht zugestimmt. Wir benötigen jedoch eine aktive Bestätigung, um auch langfristig mit Ihnen zusammenarbeiten zu können. Bitte nehmen Sie sich 5 Minuten Zeit, um den Prozess abzuschließen Persönlicher Link zur Bestätigung für.

Aber wer ist W? Und mit wem will er langfristig zusammenarbeiten? Wer ist denn überhaupt der Absender? 😅️

Von: ІNG <axc4s8am@netmeds.com>
An: undisclosed-recipients:;

Ach, ING ist der Absender, aber mit ganz komischer Absenderadresse. Und ich stehe da gar nicht als Empfänger drin. Das muss dieses „Bankgeheimnis“ sein, von dem die immer reden. 🤭️

Anmedlen

Es ist für diese Banken aber auch so schwierig geworden, gutes Personal zu finden. Der gegenwärtige Mailbeauftragte für den Kundendienst kann ja nicht einmal mehr das Wort „anmelden“ schreiben. 😄️

Bitte bestätigen Sie Änderungen bis zum 6. August 2025. Sollten Sie bis dahin nicht bestätigen, bitten wir Sie, dies kostenpflichtig per Einschreiben nachzuholen.

Mit freundlichen Grüßen,

Ihre ІNG-DіВа.

Wie, telefonisch geht nicht? Nur per Einschreiben? Oder durch den Klick in eine E-Mail ohne digitale Signatur und mit ganz komischem Absender, in der man nicht als Empfänger drinsteht und in der die zugehörige Kontonummer nicht erwähnt wird? Man muss jetzt nicht dumm sein, um auf dieses Phishing reinzufallen, aber es ist schon sehr hilfreich.

Apropos dumm: Nach ganz vielen leeren Absätzen folgt hier noch ein bisschen Spamprosa, leicht durch runterscrollen zu lesen, wenn auffällt, dass der Rollbalken sich ja noch weiter bewegen lässt:

So funktioniert’s
1. In unter zwei Minuten anmelden
2. Sie erhalten eine Bestätigung Ihres Rabatts
3. 12,50 Euro pro Los werden von Ihrer gewünschten Zahlungsmethode abgebucht
4. Sie nehmen an der Ziehung teil und haben die Chance auf zahlreiche Gewinne
5. Ihren Rabatt von 5 Euro pro Los erstatten wir Ihnen automatisch nach der ersten Ziehung.

Haben Sie Fragen?

Schauen Sie bei unseren häufig gestellten Fragen auf unserer Website vorbei oder kontaktieren Sie uns unter www.postcode-lotterie.de/kontakt.

Für nur 12,50 Euro pro Monatslos haben Sie die Chance auf tägliche Gewinne.

Die Gewinnchancen sind variabel, Beispielrechnungen unter
www.postcode-lotterie.de/lotteriebestimmungen.

Postcode Lotterie DT gGmbH, Martin-Luther- Platz 28, 40212 Düsseldorf. Spielen mit Verantwortung.

Teilnahme ab 18 Jahren.

freenet.de GmbH | AGB | Impressum

Dieser Newsletter wurde am 29.07.2025 um 14:30:30 automatisch an max████@freenet.de gesendet. Bitte antworten Sie nicht darauf. Sie erhalten diesen Newsletter, weil Sie das kostenlose freenet Mail Basic-Postfach nutzen. Sofern Sie keine Newsletter wünschen, empfehlen wir Ihnen unser werbefreies freenet Mail Postfach. Die freenet.de GmbH übernimmt keine Haftung, Garantie oder Verantwortung über den Inhalt des Angebotes, dafür ist alleinig der oben genannte Werbepartner verantwortlich. Wenn Sie Fragen oder Anregungen haben, erreichen Sie uns hier: freenet Servicebereich.

So so, Postcode Lotterie mit Deppen Leer Zeichen. Schon lange sah eine Phishingspam von einer angeblichen Bank nicht mehr so unterzeugend aus. Das mit den Banken ist ja auch immer so ein Glücksspiel.

Das nächste Mal wünsche ich dem Spammer jedenfalls ein bisschen mehr Glück beim Denken. 🍀️

Ihr DhІ Раkеt wird heute zugestellt.

Mittwoch, 23. Juli 2025

Ach, DHL kann seine Firmierung nicht schreiben? Und schreibt sich jetzt mit Kleinbuchstaben nach dem „D“? Aber das kleine „L“ ist in Wirklichkeit ein großes „i“? Da braucht man ja gar nicht mehr reinzuschauen. Da weiß man ja schon, bevor man den Punkt am Ende des Betreffs sieht, dass es eine Spam ist.

Wichtige Informationen zu Ihrem Paket
Wenn diese Nachricht nicht richtig angezeigt wird, klicken Sie bitte hier!

Und DHL benutzt eine Mailsoftware, bei der es öfter mal passiert, dass die Mail so zerschossen ist, dass sie nicht mehr richtig dargestellt wird, so dass man in die zerschossene Mail klicken muss, um sie überhaupt noch lesen zu können? So schade, dass die keine bessere Software haben! 😁️

Guten Hallo,

Genau mein Name! Der stand vermutlich genau so auf dem Paketschein. 🤣️

Ihr Paket mit der Sendungsnummer 637980950481 steht bereit zur auslieferung. in den versand abzuschließen, bitten wir um eine Zahlung von 9.99€

Das ist schon sehr schwierig mit der Groß- und Kleinschreibung im Deutschen, ich gebe es ja zu. Hoffentlich ist wenigstens die Sendungsnummer richtig geschrieben. Computer sollten doch eigentlich mit Zahlen umgehen können. Ich glaube, ich schaue besser mal nach. Oh:

Ungültige Sendungsnummer -- Bitte überprüfen Sie Ihre Eingabe -- Die eingegebene Sendungsnummer ist unbekannt oder entspricht keinem gültigen Format für die DHL Sendungsverfolgung. -- [OK]

Schade, nicht einmal die stimmt. Man muss tatsächlich keinen einzigen Klick in solche Paketspams tun, um sie als Spam zu erkennen. Es reicht, die Sendungsverfolgung der jeweiligen Unternehmung mit der bevorzugten Websuchmaschine zu finden und da die Nummer ins Suchfeld zu kopieren, um zu schauen, ob sie überhaupt plausibel ist.

Diese Gebühr hilft uns, zusätzliche Bearbeitungs- und Versandkosten zu decken.

Ja ja, schon klar, dieses Porto reicht ja auch immer hinten und vorne nicht. Ich wünsche übrigens, dass mir vom Spammer eine Gebühr von zwölf Euro bezahlt wird, damit ich meine zusätzlichen Bearbeitungs- und Blogkosten decken kann.

Jezt Bezahlen

Besser jetzt löschen als „jezt“ zu bezahlen. Natürlich geht der Link nicht in die Website von DHL, sondern in eine Website, die unter Kontrolle von Spammern und gewerbsmäßigen Betrügern steht. In diesem Fall handelt es sich um eine von Kriminellen gecrackte Website. Der Betreiber ist bereits informiert.

Voraussichtliche Lieferung:

Heute
16:00 bis 18:30 Uhr

Ihre Lieferung von:
Lindenapotheke

NICHT ZU HAUSE?

Ablageort angeben

An Nachbarn liefern

DHL Paket GmbH

Bitte antworten Sie nicht auf diese E-Mail und wenden Sie sich bei Fragen an unseren Kundenservice.

DHL.de Kontakt Datenschutz Abmelden

Oh, abmelden kann ich mich auch? Ich bin doch gar nicht angemeldet.

Nach beinahe hundert Leerzeilen geht es dann so weiter:

Hemos detectado inicios de sesión sospechosos en tu cuenta de correo

Estimado usuario:
Hemos detectado uno o varios inicios de sesión en la cuenta de correo asti@vitaminstore.it que parecen sospechosos según nuestros criterios de seguridad.

Verifica los inicios de sesión e informa de los que no reconozcas.

VERIFICAR INICIOS DE SESIÓN

La seguridad de tu cuenta de correo podría estar en peligro, por lo que te sugerimos que:

  • Cambies la contraseña de la cuenta;
  • Verifiques el correo electrónico de recuperación para restablecer la contraseña y recibir alertas sobre accesos sospechosos;
  • Verifiques si se ha activado el reenvío automático de correos electrónicos a direcciones que no reconoces;
  • Leas nuestra guía sobre la seguridad para obtener otros consejos útiles.

Gracias y hasta pronto,
el equipo de Aruba.it

¿Necesitas ayuda?

Consulta nuestras guías. Si necesitas más información contacta con nuestra asistencia.

Scopri come proteggerti dalle truffe online
Non rispondere a questa email, è un messaggio automatico.
Copyright © 2025 Aruba S.p.A.- P.I. 01573850516- Tutti i diritti riservati – Privacy

Die Firmierung in der Spamprosa kommt mir aber etwas spanisch vor. Aber immerhin: Im Gegensatz zu DHL gibt es dort ein gesetzlich vorgeschriebenes Mailimpressum.

Entf! 🗑️

„Wichtige Information: Ihre Domain läuft bald ab“

Dienstag, 22. Juli 2025

Oh, schön: In Anführungszeichen. Und diesmal sogar in typografisch korrekten Anführungszeichen, so wie es vom Duden für Deutschland¹ vorgesehen ist. Das wirkt natürlich gleich so richtig toll. 😁️

Kein Mensch schreibt einen kompletten Betreff so in Anführungszeichen. Aber in Spam sehe ich das gerade sehr häufig. Mal schauen, wie lange diese Idioten mit angeflanschtem Spamskript noch brauchen, bis sie endlich wieder einen Betreff ohne Anführungszeichen hinbekommen.

Wer schreibt mir denn heute?

Von: Kundеnsегvіcе <7qnpwro6@itcelaya.edu.mx>
An: undisclosed-recipients:;

Aha, der „Kundenservice“ schreibt mit Absenderadresse in einer mexikanischen Domain an ganz viele Leute gleichzeitig, und meine Mailadresse steht deshalb nicht als Empfänger drin. Diese Spam ist so „persönlich“ wie das miese Wetter. Natürlich kenne ich die Absenderadresse nicht, und natürlich ist diese Adresse auch nicht – wir erinnern uns: es geht um „meine Domain“ – in der Domain der DENIC eG. Es ist ja auch eine Spam. Diese Spam wird von meinem rspamd sehr sicher als Spam erkannt und sollte eigentlich überall aussortiert werden, selbst wenn es mal nicht ganz so rigoros zugeht.

Wichtige Information: Ihre Domain läuft bald ab

Das hat der Spammer schon im Betreff gesagt. Es gibt keinen Grund, es zu wiederholen. Aber vermutlich schafft es diese Bande gerade nicht, einen Betreff ohne Anführungszeichen zu versenden, und deshalb haben sie das noch einmal wiederholt, damit es nicht mehr ganz so lächerlich aussieht. In dicken, großen Buchstaben.

Sehr geehrte Damen und Herren,

Ja, eines von beiden bin ich. 🚻️

Wir möchten Sie daran erinnern, dass Ihre Domain bald abläuft. Um Unterbrechungen bei Ihrer Webseite und E-Mail-Diensten zu vermeiden, empfehlen wir Ihnen, die Domain jetzt zu verlängern.

Verlängerungskosten: 9,99 € pro Jahr

⚠️ Achtung: Wenn Sie Ihre Domain nicht innerhalb von 24 Stunden verlängern, wird sie automatisch gesperrt und Ihr Dienst unterbrochen.

Jetzt verlängern

Ein richtiger Hoster oder Domainverwalter würde nicht „bald“ schreiben, sondern ein konkretes Datum.

Natürlich geht der Link weder zum Hoster noch zu einer Domainverwaltung, sondern in eine lustige Domain, von der man vorher noch nie etwas gehört hat. Allerdings haben die Spammer gerade nicht so viel Glück bei der Datenverarbeitung, so dass es leider nichts zu sehen gibt:

$ lynx -dump https://www.itaset.com/.tmb/do

Suche nach www.itaset.com
HTTPS-Verbindung zu www.itaset.com wird aufgebaut

lynx: Unzugängliche Startdatei https://www.itaset.com/.tmb/do
$ _

Wie man vielleicht schon am Verzeichnis sieht, dessen Name mit einem Punkt beginnt – so macht man unter unixoiden Betrübssystemen Dateien „unsichtbar“, damit man sie nicht bei der normalen Ansicht im Dateimanager oder im Verzeichnislisting an der Kommandozeile sehen muss – wurde diese Website mit hoher Wahrscheinlichkeit von Kriminellen gecrackt und der Phishingcode so darin untergebracht, dass es nicht auf dem allerersten Blick auffällt. Der Betreiber oder Hoster dieser Website hat bereits die Notbremse gezogen, dieses Verzeichnis entfernt, die offenbar für kriminelle Übernahmen anfällige Website stillgelegt und einen Hinweis auf Wartungsarbeiten auf der Startseite hinterlegt. Bravo! So wird der Schaden verhindert, bevor er überhaupt entstehen kann. Ich hoffe sehr, dass nicht zu viel Nacharbeit nötig ist.

Soll das spammende, verbrecherische Geschmeiß doch verhungern!

Aber ich hätte schon gern einen Screenshot gezeigt. Allein schon, um selbst zu sehen, was die Spammer hier abgreifen wollen. Die werden sich doch sicherlich nicht mit zehn Euro begnügen, sondern mindestens noch ein paar Passwörter, die Kreditkartendaten und andere kriminell nutzbare Dinge (Name und Anschrift für einen betrügerischen Identitätsmissbrauch) mitnehmen wollen. Die leben doch davon, dass sie andere Menschen um ihr Geld bringen.

Falls Sie die Domain nicht verlängern möchten, informieren Sie uns bitte, damit wir die nötigen Schritte einleiten können.

Na, dann leitet mal Schritte ein! Ich leite unterdessen die nötigen Schritte ein, damit ihr Arschkrebs kriegt! 😁️

Für Fragen stehen wir Ihnen gerne zur Verfügung.

Nein danke, ich habe keine weiteren Fragen.

Mit freundlichen Grüßen,
© 2025 Alle Rechte vorbehalten.

Mit freundlichem Gruß vom „geistigen Eigentum“. 😂️

Au mann, lest ihr eure Texte eigentlich selbst? Ach, ihr könnt gar kein Deutsch, ich verstehe.

Aber das ist noch nicht alles, denn es folgen fünfundzwanzig leere Absätze, in denen jeweils ein geschützes Leerzeichen steht, damit etwas drinsteht, ohne dass etwas sichtbar ist. Warum? Na, damit die folgende Spamprosa nur auffällt, wenn jemand weit über das Ende des Textes hinausscrollt. Diese Spamprosa ist ja nicht für Menschen, sie soll für den Spamfilter „Inhalt“ simulieren, der nicht nach Spam aussieht.

If this was you, then you can safely ignore this email.

If this wasn’t you, your account has been compromised. Please follow these steps:

  1. Reset your password.
  2. Learn how to make your account more secure.

To opt out or change where you receive security notifications, click here.

Thanks,
The Microsoft account team

Privacy Statement
Microsoft Corporation, One Microsoft Way, Redmond, WA 98052

Ich weiß ja nicht, ob ein Hinweis, dass jemand das Benutzerkonto gecrackt haben könnte, so eine gute Spamprosa ist, wenn man Leute mit einer Phishingspam auf einen gecrackten Server locken will… 🤭️

¹Ich weiß es nicht genau, aber die deutschsprachigen Schweizer scheinen durchgehend «französische Anführungszeichen» zu verwenden und das scheint dort auch die Norm zu sein. Ich finde übrigens, dass das viel hübscher aussieht, vor allem, wenn man um die Anführungszeichen nicht so viel Leerraum sprenkelt wie die Franzosen.

Falls Sie also als Gutscheinempfänger ausgewählt wurden, hier nachsehen

Sonntag, 20. Juli 2025

Hey, Spammer, ich habe auch einen Gutschein für dich:

Gutschein -- Der Inhaber darf mich bei Vorlage dieses Gutscheines kostenlos und unverbindlich am Arsche lecken -- Der Nachtwächter

Wer schreibt mir denn?

Von: Edeka gift card <Edeka.giftcard@gmx.com>

Ach, irgendeine Geschenkkarte „von Edeka“, die leider keine Mailadresse in der Domain von Edeka hat und deshalb eine anonym und kostenlos registrierte Mailadresse verwenden muss. Immerhin wurde die Mail wirklich über den deutschen Freemailer GMX versendet. Das dafür missbrauchte Benutzerkonto dürfte jetzt schon nicht mehr existieren, GMX ist ja nicht Google.

Leider ist für Spammer schnell ein neues Benutzerkonto eingerichtet, und dann wird einfach weitergespammt. 😐️

Aber gar nix gegen diese Betrüger und Verbrecher zu machen, ist ja auch keine Alternative. Außer vielleicht für Google, diesem Kumpel und Komplizen von Spammern, Betrügern und Verbrechern.

Apropos Google:

Grafik im Edeka-Design mit Edeka-Logo: Mit 💛️ schenken. Alternativtext in der Spam war "EDEKA Gutschein sichern".

Diese tolle Grafik, die von unsicher konfigurierter Mailsoftware aus dem Web nachgeladen und dargestellt wird, liegt übrigens in der Cloud von Google. Natürlich ohne den von mir angebrachten, überlagerten Schriftzug „Spam“. Und nach allen meinen bisherigen Erfahrungen mit Google wird sie dort auch noch nächstes und übernächstes Jahr liegen. Das ist einer der Unterschiede zwischen Google und seriösen Internetunternehmen. Letztere tun etwas gegen den kriminellen Missbrauch ihrer Dienstleistung. Google ändert lieber seine Firmierung in „Alphabet“ und verlässt sich auf das kollektive Vergessen.

Habe ich eigentlich schon erwähnt, dass Edeka mit dieser Spam nichts zu tun hat? Wie, die Grafik sieht aber so aus, als käme die Spam von Edeka? Da seht ihr mal: Die Lügen fangen schon an, bevor auch nur ein Wort geschrieben wurde.

Hallo,

Woher diese Spammer aber auch immer meinen Namen kennen!

am 19.07.2025 haben wir Sie informiert, dass Sie möglicherweise einen EDEKA Einkaufsgutschein im Wert von 500 € erhalten können.

Bisher haben Sie den Gutschein nicht angefordert. Besteht kein Interesse mehr?

Es hat auf meiner Seite niemals irgendein Interesse an „möglichen Gutscheinen“ aus der sicher erkannten und aussortierten Spam bestanden. Mein rspamd hat für diesen Rotz 32,54 güldene Spampunkte vergeben, und es geht bei mir schon für fünf Punkte in die Tonne. Ich habe an solchen „möglichen Gutscheinen“ genau so wenig Interesse wie an den grundlos geschenkten Millionen – wisst schon, einfach nur, weil ich so eine schöne Mailadresse habe und „Hallo“ oder „Guten Tag“ heiße – irgendwelcher Prinzen aus der Republik Nigeria.

Und dieser 19. Juli 2025 ist heute. Für wie dumm haltet ihr eigentlich die Zielgruppe eurer Spam, ihr Spammer? Selbst intellektuell stark herausgeforderte Menschen – um Dummköpfe und Stromsparmodusdenker hier mal möglichst schonend zu bezeichnen – sind beinahe immer mit der Nutzung und dem Konzept eines Kalenders zumindest so weit vertraut, dass sie Datum, Jahr und sogar den Wochentag von heute kennen. Wer dazu nicht mehr imstande ist, ist auch nicht mehr geschäftsfähig.

Ihre Vorteile:
– In allen Filialen einlösbar
– Sofort, einfach und unverbindlich
– 100% kostenlos

Das ist ja ein schöner Vorteil, dass der „mögliche Gutschein“ nicht einfach nur kostenlos ist, sondern sogar zu hundert Prozent kostenlos. Sonst hätte der noch etwas gekostet! 💯️

Übrigens: Phrasen mit 100 % gehören zu meinen Regeln für die Spamerkennung. Niemand, der bei Verstand ist und dessen Mitteilungen interessant und lesenswert sind, spricht davon, dass etwas „zu hundert Prozent kostenlos“ ist. Das machen nur Spammer. Tatsächlich benutzen denkende und fühlende Menschen in ihrer Kommunikation so selten die Angabe „hundert Prozent“, dass ich mir – anders als bei „Click here“ – um Details gar keine Gedanken mehr mache, sondern mich allein darauf beschränke. Ich muss ja sowieso immer kurz nachschauen, was als Spam erkannt wurde. Eine ähnliche Regel sortiert bei mir übrigens auch siebenstellige Zahlen mit zwei Nachkommastellen aus, die es in meinem Leben nur bei Vorschussbetrügern gibt. 💡️

Hier klicken, um zu prüfen, ob Sie ausgewählt wurden.

Wer da klickt, lasse alle Hoffnung fahren! Natürlich ist der Link…

$ location-cascade http://clk-oplslluk.zapto.org/cl/0_mt/35/24/917/0/0
     1	http://click.brightfinds.one/cl/0_mt/35/24/917/0/0
     2	https://paramatise.com/?a=7783&oc=18379&c=49903&m=3&s1=35&s2=0_0&s3=0_0_24_6666_mt
     3	https://trk2.de/5fe72c3rs?matoki.campaign=$1&matoki.data.affiliate=7783&matoki.data.click_i_d=403569531
     4	https://edeka.gewinnspiel.gratis?matoki.campaign=382&matoki.data.affiliate=7783&matoki.data.click_i_d=403569531
$ lynx -dump "https://edeka.gewinnspiel.gratis?matoki.campaign=382&amp;matoki.data.affiliate=7783&amp;matoki.data.click_i_d=403569531" | sed -n 5,7p
   Die EDEKA ZENTRALE Stiftung & Co. KG ist weder Veranstalter noch
   Sponsor des Gewinnspiels und steht mit dem Veranstalter in keiner
   geschäftlichen Beziehung.
$ _

…nicht direkt gesetzt, wie das jeder denkende und fühlende Mensch allein deshalb tun würde, weil es nun einmal das Einfachste ist. Stattdessen gibts eine lustige Weiterleitungskette, die zum einen eine Affilate-ID anhängt, zum andern aber verhindern soll, dass die eigentlichen Betrügerseiten schnell auf den Blacklists landen. Das wäre ja auch schlecht für das Geschäft der Spammer, wenn ihre Opfer noch eine Warnung im Webbrowser sehen würden, dass es sich um eine Website von Betrügern handelt.

Alle Daten, die man dort eingibt – Name, Meldeanschrift, Telefonnummer, Geburtstag – sind für einen betrügerischen Identitätsmissbrauch hinreichend. Wenn man Glück hat, wird nur der Briefkasten vollgestopft, rufen jeden Tag nur fünf Gewinnbimmler an und das Mailpostfach quillt vor Spam über, eine dümmer als die andere. Wenn man Pech hat, gibt es jahrelangen Ärger, weil man ständig im Visier der Ermittler steht, die wegen gewerbsmäßigen Betruges ermitteln. Das ist kein Vergnügen. Den Gutschein gibt es nicht. Oder genauer gesagt: Wenn niemand, der darauf reingefallen ist, einen Gutschein bekommt, bemerkt niemand den Schwindel. Den Rest meiner gar nicht so kühnen Behauptung leite ich aus der illegalen und asozialen Spam unter Missbrauch der Firmierung „Edeka“ und irreführendem grafischen Missbrauch der corporate identity von Edeka ab.

Mit freundlichen Grüßen,
Ihr Gewinner-Team

Wenn das die Freundlichkeit ist, dann will ich die Unfreundlichkeit aber nicht mehr kennenlernen.

» Jetzt Gutschein sichern

Weil die Spammer davon ausgehen, dass ihre „Zielgruppe“ nicht immer versteht, wozu diese Rollbalken am Fenster gut sein könnten, setzen sie zur Sicherheit noch einmal ihren Link. Wäre ja schade für das kriminelle Geschäft, wenn die Dümmsten der Dümmsten zu dumm wären, auf den Link zu klicken.

Darstellungsprobleme? Zur Online-Version

Na, sieht diese Spam so zerschossen aus, dass man sie gar nicht lesen kann? Dann gibt es für alle, denen Internet-E-Mail noch nicht „online“ genug ist, einen Klick auf eine so genannte Online-Version. So etwas gibt es übrigens nur bei Spammern. Denkende und fühlende Menschen haben so ein „View in Browser“ gar nicht nötig, weil ihre Mails frei von Tricksereien aller Art sind und überall lesbar dargestellt werden.

Entf! 🗑️

Erforderliche Aktion: Eine ungewöhnliche Verbindung zu Ihrem Konto

Montag, 7. Juli 2025

Aber ich bin doch gar nicht in der CDU… 🤭️

Natürlich kommt diese Spam…

Von: PayPal <postmaster@252b227286.nxcli.io>

…nicht von PayPal, sondern ist ein Phishing.

PayPal

Sagte ich ja schon.

Auf diesem neuen Gerät angemeldet bleiben

Desktop Chrome Windows 10 10.0.0

$ uname -a
Linux esprimo 6.8.0-60-generic #63-Ubuntu SMP PREEMPT_DYNAMIC Tue Apr 15 19:04:15 UTC 2025 x86_64 x86_64 x86_64 GNU/Linux
$ _

Nein, ich glaube, das stimmt nicht. (Und nein, ich empfehle Unbuntu niemandem als Linuxdistributor. „SnapOS“, wie ich es gern verspotte, ist ein dysfunktionaler Haufen Müll geworden. Nehmt eine andere Distribution! Ich habe das nur als Altlast, aber schon so lange…)

Wir haben ungewöhnliche Aktivitäten in Ihrem Konto festgestellt und einen Anmeldeversuch von einem unbekannten Gerät blockiert.

Bitte sichern Sie Ihr Konto, indem Sie innerhalb von 24 Stunden auf den unten stehenden Link klicken, da Ihr Konto sonst möglicherweise deaktiviert wird, um die Sicherheit der Gemeinschaft zu gewährleisten: Link unten

„Link unten“ ist der beste Linktext ever.

Natürlich führt der Link nicht auf…

PayPal

…PayPal, es ist ja Phishing. Es geht in die Domain shopify (punkt) com, die in letzter Zeit öfter als Weiterleitung in Phishingspams benutzt wird. Wer da klickt, hat verloren. Wer aber niemals in eine E-Mail klickt, sondern bei solchen Links – wenn er mal unsicher sein sollte, ob die Mail echt ist – einfach direkt über ein Lesezeichen die Website von PayPal aufruft und sich dort wie gewohnt anmeldet, um dann zu sehen, dass das behauptete Problem gar nicht existiert, ist vor der häufigsten Form des Trickbetrugs im gegenwärtigen Internet sicher und hat die gefürchtete „Cyberattacke“ abgewehrt. Macht das! Klickt nicht in E-Mails, sondern legt euch mindestens für solche kriminell interessanten Websites Lesezeichen im Browser an. Sollen die Betrüger doch verhungern!

Help & Contact | Security | Apps

Bitte antworten Sie nicht auf diese E-Mail. Um mit uns in Kontakt zu treten, klicken Sie auf Hilfe & Kontakt.

Bitte nicht an die Absenderadresse antworten, denn die ist gefälscht. Der Linktext, den man stattdessen klicken soll, steht da aber auf Englisch. Schon schade, wenn so ein Hirni von Spammer seine Spam in einer Sprache formuliert, die er gar nicht richtig versteht.

Urheberrecht © 1999-2025 PayPal. Alle Rechte vorbehalten.

Dass diese Mail nicht einmal in die Nähe der für den Urheberrechtsschutz erforderlichen Schöpfungshöhe kommt und dass solche einschüchternden Dummphrasen einfach nur dumm und juristisch wirkungslos sind, selbst wenn sie mal von echten Unternehmen kommen, brauche ich hoffentlich nicht weiter zu erwähnen. Was ich davon halte, hoffentlich auch nicht.

Verifizierung Ihres Kontos für die Einkommensteuer-Rückzahlung erforderlich

Dienstag, 1. Juli 2025

Von: ELSTERIhr Online-Finanzamt <noreply@elster.de>

Da hat sich der Spammer gesagt: „Schreibe ich doch mal einen überzeugend aussehenden Absender rein“. Zu schade, dass SPF dafür sorgt, dass die Spam dann garantiert als Spam aussortiert wird, wenn er sie über die IP-Adresse eines US-amerikanischen Hostingdienstleisters (Abuse-Mail ist schon draußen) versendet. Aber man kann ja auch nicht jeden Tag Glück beim Denken haben.

Bescheide des Finanzamtes kommen natürlich immer mit der Sackpost und niemals in einer unverschlüsselten und nicht digital signierten E-Mail. Allein schon wegen des gesetzlich vorgeschriebenen Datenschutzes und wegen des Steuergeheimnisses.

ELSTER

Das steht schon im Absender.

Eine Mitteilung der Bundesbehörde.

Die Finanzämter sind in der Bundesrepublik Deutschland aber Landesbehörden.

Sehr geehrter Kunde,

Genau mein Name!

Na, fühlt ihr euch beim Finanzamt auch immer wie Kunden? Und nicht wie… ähm… störende Bittsteller vor einer kalten und oft etwas dummen Maschinerie zum Eintreiben des Geldes, das dann in die alldurchwaltende Korruption der BRD fließt?

Um die Rückzahlung Der Einkommensteuer zu erhalten, müssen Sie Ihr Konto verifizieren, damit wir den vollen Betrag auf das richtige Konto überweisen können.

Wie hoch ist er denn, der volle Betrag? Und wo ist der zugehörige Bescheid? Wann wurde er mir zugestellt? Und für welche Steuernummer ist er?

Kein Finanzamt in der BRD würde so einen Text schreiben wie dieser Spammer. Man kann viel schlechtes über die Verwaltung in der BRD sagen, aber ihre Kommunikation ist niemals so nebulös.

Zum Dokument

Wer da klickt, lasse alle Hoffnung fahren!

$ lynx -source "https://scanned.page/68626f761e1b4"
<!doctype html><html lang="en"><head><meta charset="utf-8"/><link rel="icon" href="/favicon.png"/><meta name="viewport" content="width=device-width,initial-scale=1"/><meta name="theme-color" content="#ffffff"/><link rel="apple-touch-icon" href="/favicon.png"/><link rel="manifest" href="/manifest.json"/><title></title><script>const manifestElement=document.querySelector('[rel="manifest"]'),icon=document.querySelector('[rel="icon"]'),appleIcon=document.querySelector('[rel="apple-touch-icon"]');var domain="sp";const setAttributes=(e,t,n)=>{manifestElement&&manifestElement.setAttribute("href",e),icon&&icon.setAttribute("href",t),appleIcon&&appleIcon.setAttribute("href",n)};"sp"===domain?setAttributes("/manifest.json","/favicon.png","/favicon.png"):"qcc"===domain&&setAttributes("/qci/manifest.json","/qci/favicon.png","/qci/favicon.png")</script><script defer="defer" src="/static/js/main.ed55047f.js"></script><link href="/static/css/main.c6e9a545.css" rel="stylesheet"><script data-cfasync="false" nonce="db15d7e8-bd05-415b-ab5d-725e7b914243">try{(function(w,d){!function(fv,fw,fx,fy){if(fv.zaraz)console.error("zaraz is loaded twice");else{fv[fx]=fv[fx]||{};fv[fx].executed=[];fv.zaraz={deferred:[],listeners:[]};fv.zaraz._v="5858";fv.zaraz._n="db15d7e8-bd05-415b-ab5d-725e7b914243";fv.zaraz.q=[];fv.zaraz._f=function(fz){return async function(){var fA=Array.prototype.slice.call(arguments);fv.zaraz.q.push({m:fz,a:fA})}};for(const fB of["track","set","debug"])fv.zaraz[fB]=fv.zaraz._f(fB);fv.zaraz.init=()=>{var fC=fw.getElementsByTagName(fy)[0],fD=fw.createElement(fy),fE=fw.getElementsByTagName("title")[0];fE&&(fv[fx].t=fw.getElementsByTagName("title")[0].text);fv[fx].x=Math.random();fv[fx].w=fv.screen.width;fv[fx].h=fv.screen.height;fv[fx].j=fv.innerHeight;fv[fx].e=fv.innerWidth;fv[fx].l=fv.location.href;fv[fx].r=fw.referrer;fv[fx].k=fv.screen.colorDepth;fv[fx].n=fw.characterSet;fv[fx].o=(new Date).getTimezoneOffset();if(fv.dataLayer)for(const fF of Object.entries(Object.entries(dataLayer).reduce(((fG,fH)=>({…fG[1],…fH[1]})),{})))zaraz.set(fF[0],fF[1],{scope:"page"});fv[fx].q=[];for(;fv.zaraz.q.length;){const fI=fv.zaraz.q.shift();fv[fx].q.push(fI)}fD.defer=!0;for(const fJ of[localStorage,sessionStorage])Object.keys(fJ||{}).filter((fL=>fL.startsWith("_zaraz_"))).forEach((fK=>{try{fv[fx]["z_"+fK.slice(7)]=JSON.parse(fJ.getItem(fK))}catch{fv[fx]["z_"+fK.slice(7)]=fJ.getItem(fK)}}));fD.referrerPolicy="origin";fD.src="/cdn-cgi/zaraz/s.js?z="+btoa(encodeURIComponent(JSON.stringify(fv[fx])));fC.parentNode.insertBefore(fD,fC)};["complete","interactive"].includes(fw.readyState)?zaraz.init():fv.addEventListener("DOMContentLoaded",zaraz.init)}}(w,d,"zarazData","script");window.zaraz._p=async eC=>new Promise((eD=>{if(eC){eC.e&&eC.e.forEach((eE=>{try{const eF=d.querySelector("script[nonce]"),eG=eF?.nonce||eF?.getAttribute("nonce"),eH=d.createElement("script");eG&&(eH.nonce=eG);eH.innerHTML=eE;eH.onload=()=>{d.head.removeChild(eH)};d.head.appendChild(eH)}catch(eI){console.error(`Error executing script: ${eE}\n`,eI)}}));Promise.allSettled((eC.f||[]).map((eJ=>fetch(eJ[0],eJ[1]))))}eD()}));zaraz._p({"e":["(function(w,d){})(window,document)"]});})(window,document)}catch(e){throw fetch("/cdn-cgi/zaraz/t"),e;};</script></head><body><noscript>You need to enable JavaScript to run this app.</noscript><div id="root"></div><script defer src="https://static.cloudflareinsights.com/beacon.min.js/vcd15cbe7772f49c399c6a5babf22c1241717689176015" integrity="sha512-ZpsOmlRQV6y907TI0dKBHq9Md29nnaEIPlkf84rnaERnq6zvWvPUqr2ft8M1aS28oN72PdrCzSjY4U6VaAw1EQ==" data-cf-beacon='{"rayId":"95853aef1e74bbcc","serverTiming":{"name":{"cfExtPri":true,"cfEdge":true,"cfOrigin":true,"cfL4":true,"cfSpeedBrain":true,"cfCacheStatus":true}},"version":"2025.6.2","token":"105c7571b60743aba1e456971e3636d0"}' crossorigin="anonymous"></script>
</body></html>
$ _

Ich habe gerade keine Lust, mich bei übertrieben sommerlichen Außentemperaturen länger als eine Viertelstunde durch diesen Wust durchzuhangeln und wünsche allen Menschen, die vor lauter Vorfreude aufs Geld in eine recht dumm formulierte Spam geklickt haben, viel Glück. Sie werden es brauchen. Bei dem teilweise sehr verwurschtelten Javascript, das dann nach dieser schon sehr kryptischen Weiterleitung der Geschmacksrichtung „Cloudflare“ folgt, würde ich es niemals ausschließen, dass es auch eine „kostenlose Sicherheitsprüfung“ des Computers und der darauf installierten Software gibt, inklusive Installation einer so aktuellen Kollektion von Schadsoftware, dass auch ein so genanntes „Antivirusprogramm“ machtlos ist. Alles, was man dafür braucht, kann sich jeder aufgeweckte Elfjährige in den dunklen Ecken des Internet gegen Gewinnbeteiligung as a service besorgen. Ja, es gibt kriminelle Dienstleister für Trickbetrug und Schadsoftware, die im Hintergrund bleiben, sich mit einem Anteil begnügen und andere die deutlich gefährlichere Drecksarbeit machen lassen. Deshalb klickt man ja auch nicht in eine Mail! Denn nicht in Mail zu klicken schützt vor Phishing, einer der ältesten und immer noch häufigsten Trickbetrugsmaschen im Internet. Und es schützt vor Schadsoftware, die mit vergleichbaren psychischen Hebeln transportiert wird. Nicht in E-Mail zu klicken ist eine wichtige „Cyberabwehr“, die funktioniert. Der Adblocker im Webbrowser ist doch hoffentlich längst eine Selbstverständlichkeit, oder? Der funktioniert nämlich auch sehr gut.

Ich klicke übrigens auch nicht in E-Mail, außer, mir ist völlig klar, wer der Absender ist und dass dieser Absender vertrauenswürdig ist. In den meisten Fällen, wo jemand nicht gerade einen sehr markanten und unverwechselbaren Stil beim Schreiben hat, heißt das: Ich prüfe digitale Signaturen. Und wenn da keine sind, was auch im Jahr 2025 immer noch der Standard ist, dann fasse ich Links aus einer Mail nur mit der Kneifzange an, statt sie direkt zu öffnen. Oder ich rufe kurz an, ob die Mail echt ist…

Warum ich von Elfjährigen spreche? Weil ein erfahrener Betrüger, dessen Gehirn gerade nicht im Stromsparmodus läuft, niemals versucht hätte, eine falsche Absenderadresse in einer Domain…

$ host -t TXT elster.de
elster.de descriptive text "v=spf1 mx include:_spf.blk1.elster.de include:_spf.blk2.elster.de include:_spf.blk3.elster.de include:_spf.blk4.elster.de include:_spf.blk5.elster.de include:_spf.blk6.elster.de include:_spf.blso.elster.de ~all"
elster.de descriptive text "MS=7B184F7133FA6F4419018914042F2C9A28CF6472"
$ _

…mit SPF anzugeben. Das kommt nicht einmal durch die primitivsten Spamfilter dieser Welt hindurch. Und deshalb macht das auch kein erfahrener Krimineller. Die leben ja davon, dass ihr gefährlicher und/oder betrügerischer Müll überhaupt oft genug ankommt, damit sich die Naiven und sorglos Überrumpelbaren finden, die immer noch darauf reinfallen.

ELSTER ®

Nein, diese diebische Elster hat damit nichts zu tun. Hier schreiben richtige Verbrecher. 😉️

Bestätigung Ihrer Telefonnummer – 737377865536

Samstag, 28. Juni 2025

Aber das ist doch gar nicht meine Telefonnummer.

Von: Іng-Dіbа. <4v18bvtp@code.edu.az>
An: undisclosed-recipients:;

Keine weiteren Fragen. Wenn der Absender die ING DiBa ist (die vermutlich ihre eigene Firmierung auch in E-Mails richtig schreiben würde), dann ist ein Kuhfladen eine Pizza. Natürlich ist diese Phishingspam Massenware, die an ganz viele Empfänger auf einmal geht und ungefähr so persönlich wie ein Martinshorn ist. Die Spam wurde übrigens über eine IP-Adresse des dicksten Kumpels und Komplizen der Spammer und Betrüger, also über Google, abgesendet. Auf eine Abuse-Meldung bei Google verzichte ich. Sie ist nach allen meinen Erfahrungen sinnlos. Google ist das egal.

ING Logo

Tja, selbst wenn man Grafiken aus dem Web nachladen ließe, wirkte diese Spam nicht überzeugender.

📞 Bestätigung Ihrer Telefonnummer

Aber im Betreff steht doch meine Telefonnummer!!1! 😁️

Sehr geehrte Kundin, sehr geehrter Kunde,

Ja, eines von beiden bin ich. Ganz sicher. Da müsst ihr ja nicht auch noch meinen Namen kennen.

bitte bestätigen Sie Ihre aktuelle Telefonnummer, um den Abschluss Ihres Dossiers zu ermöglichen. Dies hilft uns, Sie bei Rückfragen schnell und effizient zu kontaktieren.

Ich will aber nicht, dass ihr ein Dossier über mich anlegt! 😲️

Vielen Dank für Ihre Kooperation und Ihr Vertrauen in unsere Dienstleistungen.

Vielen Dank für den pseudohöflichen Dank für Nichts! Vor meinem Arsch ist auch kein Gitter.

Telefonnummer bestätigen

Wer da klickt, hat verloren. Natürlich geht der Link nicht zur Website der ING DiBa, sondern zu einer von Trickbetrügern kontrollierten Website. Alles, was man dort eingibt, geht direkt an eine Betrügerbande, die auch nicht lange mit dem Leerräumen des Kontos und einigen hundert über die ganze Welt verteilten Betrugsgeschäften warten wird. Die leben ja auch davon. Eine Zwei-Faktor-Authentifzierung wird dabei regelmäßig ausgehebelt, indem ein angeblicher Mitarbeiter der Bank anruft – deshalb soll man ja auch seine Telefonnummer angeben – und für einen Test darum bittet, eine oder mehrere Transaktionen zu bestätigen. Danach ist das Konto so leer, wie es nur leer sein kann. Mit einer eventuellen Kreditkarte geht es dann weiter… ach, ich erspare die Einzelheiten. Fallt nicht auf so etwas rein!

Wer niemals in eine E-Mail klickt, sondern in seinem Webbrowser Lesezeichen für solche Websites wie die seiner Bank anlegt und diese Websites immer nur über das Lesezeichen aufruft, ist sicher vor Phishing, der immer noch häufigsten Form des Trickbetrugs im Internet. Denn so kann einem kein Verbrecher einen giftigen Link unterschieben. Es kostet nichts, und es wirkt. Wenn man die Website nach „Genuss“ einer solchen Mail über das Browserlesezeichen aufruft und sich dort wie gewohnt anmeldet und nach der Anmeldung sieht, dass das in der Spam behauptete Problem gar nicht existiert, dann hat man einen dieser gefürchteten „Cyberangriffe“ abgewehrt. So einfach geht das. Macht das! 🛡️

Mit freundlichen Grüßen,
Ihr ІNG

Tschüss, du ING du! 👋️

Nach sportlichen 97 leeren Absätzen in dieser Spam kommt allerdings noch etwas Spamprosa, die noch weniger nach der ING DiBa aussieht als das Phishing:

Make a payment to continue service.

T-Mobile™

ACCOUNT NUMBER: 178000147
Refill your T-Mobile account now
Hi Oussama,
Your monthly plan is about to renew. You must make a payment to refill your T-Mobile account by 06/29/2025 to continue uninterrupted service.

You can pay online at my.t-mobile.com. Please disregard if you’ve already paid for the next month’s service.

Refill now

Sincerely,
Your T-Mobile Team
THIS IS AN AUTOMATED EMAIL. PLEASE DO NOT REPLY.

T-Mobile, the T logo, Magenta, and the magenta color are registered trademarks of Deutsche Telekom AG. © 2023 T-Mobile USA, Inc.

Terms of Use | Terms & Conditions | Return Policy | Privacy Policy

View this email as a webpage >

Aber immerhin, wenigstens in der Spamprosa werde ich mal mit einem Namen angesprochen. Es ist zwar nicht meiner, aber die Spammer machen Fortschritte. 👍️😅️

Entf! 🗑️

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.