Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Kategoriearchiv „Phishing“

Validation : Kundenservice Österreichische Gesundheitskasse

Montag, 4. November 2024

Ein Spezialexperte mit Umlautkompetenz! 🤦‍♂️️

Von: Ihre ausstehende Rückerstattung von ÖGK – Handeln Sie jetzt! <info@service.com>

Und einen lustigen Namen hat er auch. Mein Exemplar dieser Spam wurde aus der „Cloud“ von Google versendet. Einen Server im IP-Bereich der ÖGK hat sie niemals gesehen. Zum Glück wird auf diesen umlautzerschossenen Strunz…

Guten Morgen,

Sie haben eine ausstehende Rückerstattung von ÖGK. Ihr Transaktionsmanagement System erkennt, dass Sie zum Erhalt dieser Zahlung berechtigt sind.

Ihre Rückerstattung ist online möglich: 151,95 Euro

Registrationsnummer: 100027485569

Referenz: OGK-A7006W
Klicken Sie hier

Österreichische OGK.
Wienerbergstraße 15-19
1100 Wien
Tel. +43 50766-118000

…wohl niemand hereinfallen. Außer vielleicht, er oder sie heißt „Guten Morgen“ und kann selbst die Buchstaben seiner eigenen Muttersprache nicht richtig schreiben, findet dafür aber den Text „Click here“ in einer Mail unwiderstehlich.

So so, die „Österreichische OGK“ soll hier also schreiben. Ohne „Ö“. Der Link geht natürlich nicht zur Website der ÖGK, sondern führt in eine Domain…

$ surbl io.laminaba.sa.com
io.laminaba.sa.com	LISTED: ABUSE
$ lynx -dump https://io.laminaba.sa.com/.ll/ogk/ | sed -n 3,20p
   easy bank
     *

   VolLstandiger Name
   VERFALLSDATUM
   CVV

   Vollständiger Name ____________________

   Kartennummer ____________________

   Verfallsdatum
   [MM]
   [YY__]

   CVV ____________________

   (BUTTON) Nächste
$ _

…die schon wegen Spam, Spam und Spam auf allen Blacklists dieser Welt steht. Aus diesem Grund wurde übrigens auch diese Mail zumindest bei mir sehr sicher als Spam erkannt und aussortiert. Der grafische Browser für die Desktopumgebung sollte auffällig vor einer gefährlichen Website warnen, wenn doch mal jemand auf „Click here“ klickt, obwohl alles in dieser Spam beim bloßen Hinschauen wie eine Spam aussieht. Auf dieses Schlangenöl sollte man sich aber niemals verlassen, denn die Blacklists sind nicht so aktuell wie die kriminelle Wirklichkeit, sondern laufen mit ein paar Stunden bis Tagen Rückstand hinterher. Besser ist es, gar nicht erst in eine Mail zu klicken – und stattdessen die Website der ÖGK direkt aufzurufen und sich dort ganz normal anzumelden. Wenn man dann sieht, dass da nichts von den Behauptungen aus der Mail zu sehen ist, hat man einen dieser gefürchteten Cyberangriffe abgewehrt. So einfach geht das. Macht das! Klickt einfach nicht in Mails, und die Kriminellen können euch nicht so einfach einen giftigen Link unterschieben. 🛡️

Auf der verlinkten Website kann man übrigens nur eines: Irgendwelchen Kriminellen über ein anonymisierendes, technisches Medium den Vollzugriff auf eine Kreditkarte geben. Damit sie das Konto leerräumen und ein paar Betrugsgeschäfte mit der Kreditkarte machen können. Der Text „easy bank“ aus meiner Kommandozeilenmitschrift¹ ist übrigens ein alternativer Text für das Logo der ÖGK… warum sollte der Spammer sich auch Mühe geben, wenn er schnell das Phishing anpasst, um danach wieder an der Wodkaflasche zu nuckeln? Der schafft ja nicht einmal Umlaute. Und wenn er sich in seinem Leben noch irgendeine Mühe geben wollte, könnte er ja gleich arbeiten gehen.

Nicht entmutigen lassen, Spammer. Du hast halt eine Pechsträhne beim Denken und in der Datenverarbeitung. Vielleicht geht das ja wieder vorbei. 😁️

¹Natürlich zeige ich da nur das meiner Auffassung nach halbwegs Interessante… und weil ich neulich mal gefragt wurde, wie ich dafür eigentlich die entsprechenden Zeilenbereiche für sed herausbekomme, um in nachvollziehbarer Weise einen Ausschnitt zu zeigen: Ich lasse die Zeilen in einer Pipe auf nl -ba durchnummerieren, so dass ich sie mit Zeilennummern sehe.

Іmpоrtаnt: Vеrіfісаtiоn Nееdеd

Sonntag, 3. November 2024

⚠️ Phishingalarm! Nicht beklicken! 🎣️

Von: TrustWallet <hiher90274@nestvia.com>
An: gammelfleisch@tamagothi.de

Wer ist „TrustWallet“? Ah, ich sehe es schon: Ein Dienstleister, der mir anbietet, dass ich ihm mein ganzes Kryptogeld gebe, damit er es für mich verwaltet. Die Website dieses Ladens – bei der ich nach kurzem Durchklicken nicht einmal ein Impressum gefunden habe, obwohl die allen Ernstes wollen, dass ich ihnen mein Geld gebe – sorgt bei mir nicht für Vertrauen, sondern für das genaue Gegenteil. Bei solchen Spezialisten kann man sich den ganzen Kram mit dem dezentral organisierten Kryptogeld aber auch ganz einfach sparen und gleich zu Zentralbankswährung und den verachtenswerten Halsabschneidern des Bankgewerbes zurückkehren. Das hat zudem den großen Vorteil, dass es billiger ist, dass Transaktionen schneller gehen, dass das Zahlungsmittel allgemein akzeptiert wird, dass das Bankwesen gesetzlich reguliert ist und nicht nach Willkürherzenslust freidrehen kann, dass es keine heftigen Kursschwankungen gibt, die jedes Geschäft zum Kursrisiko machen… und, dass es nicht so eine absurde Energieverbrennung wie das miserabel skalierende Kryptogeld ist. Ja, es ist besser. Viel besser.

Ach, ihr wollt eh alle nur spekulieren? Ihr wollt das gar nicht als Zahlungsmittel nutzen, wofür es eigentlich gedacht war, aber leider völlig ungeeignet ist? Obwohl es überhaupt keinen anderen Anwendungsfall für Kryptogeld gibt? Hochspekulativ, nur davon ausgehend, dass der nächste Depp einen noch höheren Kurs bezahlen wird. Wie sagte es Buddha doch so schön: Gier ist die Ursache allen Leidens. Ich ergänze: Dummheit ist das, was daran hindert, die eigene Gier als schädlich und gefährlich zu erkennen. 😇️

Die Domain der Absenderadresse dieser Spam…

$ surbl nestvia.com
nestvia.com	LISTED: DM ABUSE
$ _

…steht wegen Spam und als Domain für Wegwerfadressen auf allen Blacklists dieser Welt. Wenn dir einer in einer Mail erzählt, dass er Finanzdienstleister ist, aber die Absenderadresse kommt aus einer Domain für Wegwerfadressen, dann ist klar, dass es Lüge ist.

Іmpоrtаnt: Vеrіfісаtiоn Nееdеd

Spammer, das hast du mir schon im Betreff gesagt. Es wird übrigens auch nicht interessanter, wenn du am Ende der Zeile rund 200 Leerzeichen schreibst, weil du offenbar keinen besseren Weg kennst, in einer HTML-formatierten Mail den gewünschten Abstand zum weiteren Text herzustellen. Dieser befindet sich übrigens in einem eigenen <div>, so dass das eine Kleinigkeit gewesen wäre. Aber CSS hattest du an deinem Volkshochschulkurs „HTML für Schrumpfhirne“ leider noch nicht. Das kommt vielleicht nächste Woche mal dran.

In der Spam verwendetes Logo

Hello,

We wanted to reach out as our records indicate that your account verification is still pending. Completing this process will ensure uninterrupted access to all features.

To continue enjoying our services, please take a moment to complete the verification process .

If you have any questions or need assistance, feel free to reach out to our support team. We‘re here to help you every step of the way.

Thank you for choosing us !

Complete verefication [sic!]

Na, vielleicht lernt der Spammer auch noch mal, wie man das Wort verification richtig schreibt. Das ist aber auch immer schwierig mit der Orthografie! Für seinen Betreff hat er es noch gekonnt. Ach, da hat er ja auch gerade angefangen, da war der Text auch noch nicht beinahe fertig, die Konzentration noch nicht im Eimer, der Mund nicht schon wieder nuckelnd an der leckeren Wodkaflasche und die Gedanken noch nicht wieder im Puff? Gut, dann kann man natürlich besser schreiben. Immer wieder erstaunlich, was für teilweise absurde Fehler ich in gut formulierten Spams gegen Ende des Textes sehe…

Mit Stable Diffusion erzeugtes BildDer Link geht nicht zur Website dieser in meinen Augen wenig vertrauenswürdigen Vertrauensgeldbeutel, deren Firmierung hier von Kriminellen missbraucht wird, sondern in eine Website unter der Kontrolle von Kriminellen. Für mich sieht das Ganze schon nach kurzem Reinschauen und ohne richtige Analyse (es ist Sonntag heute, und ich bin sehr müde heute) so aus, als sollten hier nicht nur die Zugangsdaten zum halböffentlich im Internet abgelegten Geldbeutel gephisht werden, weil Verbrecher nun einmal wie die Politiker lieber das Geld anderer Leute ausgeben, sondern als würde hier auch Schadsoftware verteilt werden. Es gibt nämlich unterschiedliche Weiterleitungen für verschiedene Betriebssysteme und Webbrowser, ganz so, als sollten unterschiedliche „Tricks“ in den endlosen und vorsätzlich schwer lesbar gemachten Javascriptwüsten angewendet werden. Vermutlich sind Kryptogeldspekulanten auch eine ganz gute Zielgruppe für Schadsoftware. Die sind so etwas ja geradezu gewohnt… 🤭️

Aus ständig aktuellem Anlass gibt es hier einen weiteren Link auf meine launigen Anmerkungen vom 5. September 2017 zum Reichwerden mit Bitcoinspekulation, die immer noch aktuell sind.

12 rroland st
australia, sy 2001, Australia

Grüß den Rroland von mir! 🤡️

Unsubscribe or Manage Preferences

Habe ich schon gemacht. Entf heißt die Taste. 🗑️

Zum Glück für uns alle gibt es einen hervorragenden und zuverlässigen Schutz gegen Phishing, was immer noch eine der häufigsten Betrugsformen im Internet ist: Niemals in eine E-Mail klicken! Stattdessen einfach für solche häufig besuchten Websites (wie zum Beispiel einen Kryptogelddienstleister) ein Lesezeichen im Webbrowser anlegen und diese Website nur noch über das Lesezeichen aufrufen! Wenn man dann so eine Mail empfängt und nicht sofort bemerkt, dass es Phishing ist, klickt man nicht und niemals auf den klicki-klicki Link, der sagt, dass man ihn ganz schnell mal klicken soll, sondern man öffnet den Webbrowser und ruft die Website über das Lesezeichen auf. So kann einem kein Verbrecher einen giftigen Link unterschieben. Wenn man die Website über das Lesezeichen aufgerufen hat, sich dort ganz normal angemeldet hat und von den Problemen aus der Mail überhaupt nicht die Rede ist, hat man einen dieser gefürchteten Cyberangriffe abgewehrt. So einfach geht das. Einfach nicht in Mails klicken. Macht das! 🛡️

Wenn diese Spammer verhungern, weil niemand mehr auf sie reinfällt, ist es jedenfalls kein Verlust für die Welt. Und auch die Mutter wird sich schnell zu trösten wissen.

Sichern Sie sich 100€ für Ihre nächste Bahnreise!

Samstag, 26. Oktober 2024

Nein, diese Mail kommt nicht von der Deutschen Bahn. Sie wurde über eine IP-Adresse aus der Türkei versendet. Auf meiner Mailadresse ist sie dreimal angekommen. Der Spammer ist nicht dazu imstande, aus seinen zusammengeramschten Daten die Dubletten zu entfernen, was jeder aufgeweckte Zwölfjährige mit Computererfahrung hinbekommen würde. Es ist ja kein so seltenes Problem, und es gibt gleich mehrere Möglichkeiten. Ich bevorzuge sort und uniq an der Kommandozeile, obwohl es für die nachgewachsene Generation aufdringlich nach den Siebziger Jahren schmeckt, aber ich habe auch schon mit Editoren gearbeitet, die so etwas klickiklicki konnten.

Der Absender…

Von: Deutsche Bahn Gutschein <deinbahnangebot@europe.com>

…ist nicht die Deutsche Bahn AG, denn diese würde wohl ihre eigene Domain verwenden, in der auch ihre Website läuft. Weia, erzählen die mir viel Zeug auf ihrer Website! Und bunt. Und mit Bildern. Der für vermutlich über fünfzig Prozent der Leser wichtigste Link „Zur Reiseauskunft auf bahn.de“ ist ganz nach unten in die Fußzeile der Seite gerutscht und damit beinahe unsichtbar, direkt neben den Dingen, die kein normaler Websitebesucher liest: Datenschutzverletzungserklärung, Impressum, AGB. Aber warum sollte die Deutsche Bahn AG, die höchst bundesbananig „privatisierte“ Aktiengesellschaft in einhundert Prozent Besitz der Bundesrepublik Deutschland, auch im Internet freundlicher mit ihren „Beförderungsfällen“ – das Wort „Kunde“ wäre angesichts der Behandlung durch die DB und ihre oft patzigen und inkompetenten Mitarbeiter ein Hohn¹ – umgehen als in der deprimierenden Wirklichkeit.

Der Text in dieser Spam ist kurz:

100€ BahnGutschein – Der perfekte Spar-Deal für Ihre nächste Reise

So so, „BahnGutschein“ mit BinnenMajuskel. Gibt es so etwas wirklich bei der Deutschen Bahn? Kann schon sein, bei denen gibts ja auch ein „GepäckCenter“, weil das nicht so international verständlich wie „Luggage Center“ ist und trotzdem viel besser und moderner als das klare Wort „Schließfächer“ klingt. Da weiß ich gar nicht mehr, ob ich beim „McClean“, wie die Deutsche Bahn die Toiletten ohne jede weitere Kennzeichung ihres Zwecks zu nennen pflegt, kacken oder kotzen gehen soll. 😁️

Oh, es ist mir unmöglich geworden, im Kontext der Deutschen Bahn nicht sehr spöttisch und ätzend zu werden. Gut, zur Spam.

An sich sollte dort für Menschen, die keine vernünftige Mailsoftware benutzen und so etwas deshalb aus dem Web nachladen, noch ein Bild sichtbar werden, aber ärgerlicherweise kann ich das hier nicht präsentieren…

$ curl -s "https://firebasestorage.googleapis.com/v0/b/project-2-fede5.appspot.com/o/25_10_24/1/1.png?alt=media&atoken=37ecc988-9c6d-44a7-8582-c883c84fe9e1"
{
  "error": {
    "code": 400,
    "message": "Invalid HTTP method/URL pair."
  }
}
$ _

…weil die Spammer es verpatzt haben. Von anderen Scheinumfragen und Gewinnspielen her weiß ich aber recht genau, wie es aussehen wird: Ein Foto eines Zuges, ein Logo der Deutschen Bahn, ganz tolle Anpreisung, hundert Prozent gratis. Der Link geht dann nach einer Weiterleitung über die Googlecloud in eine Domain, die nicht zur Deutschen Bahn gehört und…

$ surbl dbck.top-umfragen.de
dbck.top-umfragen.de	okay
$ host dbck.top-umfragen.de
dbck.top-umfragen.de has address 188.95.252.24
$ country 188.95.252.24
188.95.252.24 is from Spain (ES)
$ _

…noch nicht auf den einschlägigen Blacklists steht. Wer sich darauf verlässt, dass irgendwelches Schlangenöl im Webbrowser vor fiesen, kriminellen Websites schützt, ist einmal mehr verlassen, denn die Blacklists liegen immer einige Stunden hinter der kriminellen Wirklichkeit zurück. Der Webserver steht in Spanien und präsentiert die folgende, für die Datensammelei mit angeblichen Umfragen ziemlich typische Seite:

100% Gratis -- Geschenkgutschein -- 100,00 EUR -- Noch 12 Gutscheine übrig -- Nehmen Sie an unserer Umfrage teil und sichern Sie sich im Anschluss einer unserer 100€ Bahngutscheine. -- Samstag, 26.10.2024 -- Sind Sie bereit? -- Anfangen

Oh, habe ich eben „hundert Prozent gratis“ getippt. 😁️

Wenn man die Seite ein bisschen offen lässt, sorgt recht primitiver Javascriptcode dafür, dass die Anzahl der verbleibenden Gutscheine in unregelmäßigen Abständen immer kleiner wird. Aus 16 „übrigen“ Gutscheinen wird im Verlaufe von zwei Minuten nur noch einer. Dort bleibt die Zählung dann stehen, aber das wird die „Zielgruppe“ dieser Spammer nicht bemerken. Die sieht das, glaubt, dass ihre hundert Euro Flügel bekommen, macht dann ganz schnell und denkt nicht lange lästig nach. Wenn man die F5-Taste drückt oder im Browser auf das entsprechende Piktogramm zum Neuladen der dargestellten Seite klickt oder tappt (neudeutsch: Reload), fängt der Zähler wieder bei 16 an. Um zu erkennen, dass es sich hier um eine Lüge handelt, muss man also nur klicken können. 🖱️

Ich kann generell nur davor warnen, in eine E-Mail zu klicken oder sich solche Websites in einem normalen Webbrowser anzuschauen. Es ist Spam. Es sind Kriminelle. Dass diese Leute bösartig sind, bemerkt man schon an ihrer gleichermaßen hinterhältigen wie irreführenden Spam und an der irreführenden Webseite. Das sind keine harmlosen Spielkinder. Wenn die es irgendwie können und es sich lohnt, drücken die einem auch die neueste Kollektion von Schadsoftware auf den Rechner, und danach ist das Konto leer und die Kripo steht vor der Tür. Ich habe für so etwas eine virtuelle Maschine, deren sauberen Ausgangsstatus ich hinterher bequem wiederherstellen kann. Und ich benutze noch nicht einmal Microsoft Windows, das unangefochtene Lieblingsbetrübssystem der Internetkriminellen. Und noch etwas: Nicht einmal das alles ist völlig sicher. Es gibt keine hundertprozentige Sicherheit. Aber ich habe es hier „nur“ mit einfachen, schäbigen Verbrechern zu tun, nicht mit Gegnern, die einen hohen Aufwand treiben würden…

Für den Rest fasse ich mich kurz.

  1. Die banalen und sprachlich merkwürdig formulierten Fragen – Beispiel: „Wie häufig fahren Sie mit den Produkten der Deutschen Bahn“ – sind für Marktforschungszwecke irrelevant. Die Deutsche Bahn kennt ihre eigenen Fahrkartenverkäufe genau. Es ist eine Aktiengesellschaft. Die haben eine Buchführung, die weit über das Journal eines kleinen Kaufmannes hinausgeht.
  2. Am Ende gibt man bei solchen Scheinumfragen immer seinen Namen, seine Mailadresse, seine Telefonnummer, seine Anschrift und sein Geburtsdatum an, um seinen „Preis“ bekommen zu können. Diese Daten sind völlig für einen kriminellen Identitätsmissbrauch hinreichend und können zur Grundlage weiterer, personalisiert vorgetragener Betrugsversuche werden. Als vor einigen Wochen zum Beispiel mal personalisierte Phishingbriefe statt der üblichen Mailspam ankamen, waren vermutlich etliche Empfänger ein bisschen unvorsichtig und hatten hinterher ihren Schaden. Datenschutz ist Menschenschutz. Dass man sich nach einem Klick in eine E-Mail nicht wegen irgendwelcher leerer Versprechungen gegenüber irgendwelchen Unbekannten über ein technisches, anonymisierendes Medium datennackig macht, ist elementarer Selbstschutz im Internet. Wer das nicht versteht, sollte sich wirklich schnell ein anderes Hobby suchen. Bevor es richtig teuer und schädlich wird.
  3. Die eingesammelten Daten werden entweder von den Spammern selbst genutzt oder in den dunklen Ecken des Internet für eine Handvoll Bitcoin an andere Interessierte verkauft.
  4. Die angeblichen Preise oder Gutscheine gibt es nicht. Man bekommt nur Schaden, sonst nichts.

Diese ganzen Gewinnspiele und Umfragen aus der Spam sind Lüge. Es ist immer die gleiche Nummer. Bitte nicht darauf reinfallen!

¹Ergänzender Hinweis, leicht offtopic: Ich bin jahrzehntelang sehr viel und gern mit Zügen gefahren, weil es die bequemste und entspannendste Form des Reisens ist: Bequem hinsetzen, zurücklehnen und recht flott ankommen, während Deutschland an mir vorbeiscrollt. Ich habe es zwar nie nachgerechnet, aber dafür über die Jahre vermutlich viele zehntausend Deutsche Mark ausgegeben und weiß daher ziemlich genau, wovon ich rede. Dass ich Mitarbeitern der Deutschen Bahn das Tarifsystem der Deutschen Bahn mit seiner absolut irrationalen, vorsätzlich unlogischen und unheilbar gehirnzerfressenen Struktur nebst Ausnahme- und Sonderapparaten sowie zeitlich begrenzten Werbeaktionen immer wieder einmal teilweise erklären musste, weil sie sich selbst nicht damit auskannten, gehört zu meinen häufigeren Erfahrungen. Und das, obwohl es ihr einziger Job gewesen wäre: Das Produkt kennen, das man den Leuten verkauft. Statt nachzuschlagen oder mal auf ihre lustige Tastatur vor der Nase rumzutippen, werden sie patzig, arrogant, unhöflich und in einem Fall wurde es sogar mal beleidigend. Dabei war es völlig egal, ob ich in Hamburg, Bremen, Hannover, Köln, Essen, Frankfurt, Würzburg, Freiburg – sehr hübsch da, aber schade, dass die kein Deutsch sprechen können… – oder München war. Es änderte nur die mundartliche Einfärbung der gleichen Patzigkeit, Inkompentenz und Kundenverachtung. (Vom fraktal dysfunktionalen BRD-Reichshauptslum Berlin erwarte ich gar nichts anderes mehr als Kälte, Zerfall, Versagen und Rotzigkeit. Es würde mich im Alltag fürchterlich nerven, in so einer kaputten Stadt zu leben, in der gar nichts mehr funktioniert. Ich bin froh, dass ich da niemals mehr hin muss. Die vielen Leute, die es da toll finden und die mir das immer wieder gern mitgeteilt haben und mitteilen, werde ich deshalb auch nicht weiter in ihrem psychischen Schönsuff stören.) Apropos Kundenverachtung: Die Fahrkartenverkaufsautomaten kennt ihr, oder? Ich hätte mich für so eine Benutzerschnittstelle geschämt, wenn ich dafür verantwortlich gewesen wäre. Seit ich einen Lebensstandard habe, in dem ich mir das Bahnfahren nicht mehr leisten kann, könnte es sich theoretisch gebessert haben, aber in den vielen Jahren, in denen ich regelmäßig bahngefahren bin, wurde es im Laufe der Zeit nicht besser, sondern immer schlimmer. Jemanden vom Bahnhof abzuholen heißt mittlerweile für mich, dass ich eine zusätzliche Stunde für die normal gewordenen Verspätungen einplanen muss. Zum Ausgleich wurde inzwischen auch noch die Zuverlässigkeit abgeschafft, vermutlich, weil ausfallende Züge wenigstens nicht verspätet sind… und ja, ich kenne auch Zugfahren in Schweden, Dänemark, Italien, Schweiz, den Niederlanden und Frankreich. Nirgends war es jemals so mies wie hier. Und: Nirgends war es so teuer wie hier. Für die frühere DDR mit ihrer Deutschen Reichsbahn nebst ihrem teilweise museumsreifen Fuhrpark habe ich allerdings immer etwas Nachsicht und Respekt gehabt, weil es mir gar nicht so einfach vorkam, mit so einem Schrotthaufen noch einen brauchbaren und zuverlässigen Eisenbahnverkehr zu organisieren, und selbst dort waren die meist völlig unmotivierten Mitarbeiter deutlich besser. Na ja, und die Preise dafür waren halt nicht kostendeckend, sondern sozialistisch und die Münzen aus Aluminium.

Ihr Konto ist gesperrt!

Mittwoch, 9. Oktober 2024

Wer schreibt mir hier überhaupt?

Von: Kundenservice PaypaL <support@denvers.com>

Aha, dieses „PayPal“ aus dem Posteingang schreibt mir, dessen Mailadressen gar nicht in der Domain von PayPal liegen, in der PayPal auch seine Website hat. Dafür entspricht die Schreibweise der Firmierung auch nicht der Firmierung. Deshalb kommt diese Phishingspam auch nicht auf der Mailadresse an, die ich für PayPal nutze – ja, ich habe dafür eine eigene Mailadresse, die ich für nichts anderes verwende und niemals öffentlich kommuniziere, damit ich so einen Phishingversuch sofort und mühelos erkennen kann – sondern auf einer meiner anderen Mailadressen.

Ein Blick in den Header der Mail macht mir klar, dass sie über eine IP-Adresse aus der gequälten Ukraine versendet wurde.

PayPal Unveils New Logo and ‚Powering the People Economy‘ Campaign

Von mir aus! Ich sollte mir auch mal ein Logo geben und bei jeder möglichen und unmöglichen Gelegenheit unaufgefordert irgendeinen Quatsch über das erzählen, was ich so mache. Ach, ich will ja niemanden das Geld aus der Tasche ziehen? Na, dann habe ich das wohl nicht nötig.

Oh, da sollte auch noch ein albernes Bild aus dem Internet nachgeladen werden, damit ich da auch ein PayPal-Logo sehe und besser auf das Phishing reinfallen kann. Das Bild liegt natürlich nicht bei PayPal, sondern auf einem von Google, dem größten Kumpel und Komplizen des Spammers und Betrügers, betriebenen Server. Na gut, mache ich halt das alberne Bild auch noch rein, obwohl hoffentlich kein Mensch mehr beim Anschauen seiner Mails solche Bilder aus dem Web nachlädt. Das wäre auch sehr schlecht für die Privatsphäre, wenn jede dahergelaufene Mail zurückfunken könnte, dass sie angekommen ist und angeschaut wurde.

Mit dem Bild sieht die Phishingspam so aus:

Aus dem Web nachgeladenes PayPal-Logo aus der Spam, überlagert vom Schriftzug 'SPAM!'.

Sehr geehrter Kunde,

Mein Name stimmt ja genau so „gut“ wie meine Mailadresse, die ich immer bei PayPal benutze! 😃️

Mit Stable Diffusion erzeugtes BildEin bisschen einfache Sicherheit lohnt sich übrigens. Phishing gehört auch im Jahr 2024 immer noch zu den häufigsten Trickbetrugsformen im Internet. Wenn man für jedes Benutzerkonto bei irgendwelchen Unternehmen, bei denen es um Geld geht – also Banken, Zahlungsdienstleister, Auktionsplattformen, Handelsplattformen etc. – eine eigene Mailadresse für die Registrierung und den Mailverkehr benutzt, kann man ein Phishing sofort, sehr einfach und zweifelsfrei erkennen. Selbst, wenn man einmal aus anderen Gründen unter persönlichem Stress stehen sollte oder eine gesenkte Aufmerksamkeit hat. Und wenn man plötzlich ganz allgemeine Spam oder klares Phishing auf dieser eigens eingerichteten Adresse hat, weiß man genau, dass da wohl ein paar Daten abgeflossen sein werden und kann sich damit sofort an den Datenschutzbeauftragten wenden, der hoffentlich ganz schnell eine schrille Warnung veranlasst. Nicht, dass die Cracker und Betrüger noch reich werden!

Technischer Hinweis: In meinem Fall sind es übrigens Aliase und keine voll aufgeblasenen Mailkonten. Wie man sich bei beliebten Freemailern einen Alias einrichtet, kann man mit der Suchmaschine seines Vertrauens und sehr naheliegenden Suchbegriffen herausfinden. Wer sich selbst um einen Mailserver kümmert, wird sich erst recht zu helfen wissen. Wer bei einem Anbieter ist, bei dem man keinen Alias verwenden kann, wird nicht umhin kommen, stattdessen verschiedene Mailkonten zu verwenden – mit einer guten Mailsoftware ist das auch kein Problem. Ich würde dann aber eher empfehlen, denn Mailanbieter zu wechseln. Aliase sind viel zu praktisch, als dass man darauf ernsthaft verzichten möchte!

wir haben ungewöhnliche Aktivitäten in Ihrem Konto festgestellt und einen Zugriffsversuch von einem unbekannten Gerät blockiert.

Huch! 🙀️

Natürlich stimmt das nicht.

Es soll den Empfänger nur verunsichern, verängstigen und unter Stress setzen. Sehr ähnliche Mails kann man aber wirklich von PayPal bekommen, wenn man sich das erste Mal mit einem neu installierten Betrübssystem oder einem neuen Webbrowser bei PayPal anmeldet. Darin wird einem auch immer mitgeteilt, womit der Anmeldeversuch vorgenommen wurde. In meinem Fall war es in der letzten derartigen Mail „Desktop Chrome Linux 5.15.0″. So ist mir sofort klar, ob das mein eigener Anmeldeversuch ist, oder ob jemand betrügerisch aufs Konto zugreifen will. In diesem Fall war es mein eigener Anmeldeversuch. Ich hatte den Webbrowser gewechselt, weil jedes volle Fass irgendwann durch einen Tropfen zum Überlaufen gebracht wird. Und dass die Mozilla Foundation jetzt auch noch eine trojanische Spyware in den Kern des inzwischen verrotteten und unbenutzbaren Webbrowsers verbaut hat, gab dann den letzten Ausschlag bei mir. Ich habe es in meinem Leben schon mit mehr als genug Voyeuren zu tun, die sich trackend und überwachend überall reindrägeln und ihre asoziale Nase in lauter Dinge aus meinem Leben stecken wollen, die sie einen Scheißdreck angehen. Die Zustände im Überwachungskapitalismus sind fürchterlich, und ein Datenschutz im Sinne eines energisch durchgesetzten Menschenschutzes existiert schlicht nicht. Da kann ich nicht auch noch den Webbrowser als „Feind“ gebrauchen. Die Mozilla Foundation soll bitte ganz schnell sterben gehen! Ich hätte schon 2015 fliehen sollen!

Bitte schützen Sie Ihr Konto, indem Sie innerhalb von 24 Stunden auf den untenstehenden Link klicken. Andernfalls könnte Ihr Konto aus Sicherheitsgründen deaktiviert werden: Jetzt aktualisieren

So so, der im Fließtext folgende Link ist also untenstehend. 🤭️

Natürlich führt dieser Link nicht zu PayPal, sondern erstmal zu einer Webseite in der Domain checkout (punkt) shopify (punkt) com, wo sich ein undurchsteigbarer Wust von vorsätzlich nicht mehr menschenlesbar gemachtem Javascript um den Rest kümmert. Am Ende landet man auf der Website in einer Domain…

$ surbl client-service-hifrt.codeanyapp.com
client-service-hifrt.codeanyapp.com	LISTED: PH ABUSE
$ _

Mit Stable Diffusion erzeugtes Bild…die schon wegen Spam und Trickbetrugs auf allen Blacklists steht. Dort gibt es – die meisten modernen Webbrowser müssten eigentlich vorher sehr deutlich warnen, aber wer sich auf diese „gefühlte Sicherheit“ verlässt, ist verlassen, weil die Blacklists oft etwas Zeit benötigen und man gedrängt wird, schnell zu machen – ein „liebevoll“ nachgemachtes Login von „PayPal“, aber die dort eingegebenen Zugangsdaten gehen natürlich nicht zu PayPal, sondern zu einer Betrügerbande, die erst das Konto leerräumen und es anschließend für allerlei betrügerische Geschäfte benutzen wird. Dabei entsteht schnell ein fünfstelliger Schaden.

Zum Glück für uns alle kann man sich ganz einfach vor Phishing schützen, einer der häufigsten Trickbetrügereien im gegenwärtigen Internet: Niemals in eine E-Mail klicken! Stattdessen für solche Websites ein Lesezeichen im Browser anlegen und diese Websites nur noch über das Lesezeichen aufrufen. Wenn man so eine Mail wie diese mittelmäßige Phishingspam bekommen hat und sich unsicher ist, klickt man nicht etwa in die Mail, sondern ruft einfach die Website von PayPal über das Lesezeichen auf und meldet sich dort wie gewohnt an. So können einem nicht irgendwelche Kriminellen einen giftigen Link unterschieben. Wenn man nach der Anmeldung sieht, dass das in der Mail behauptete Problem gar nicht existiert, hat man einen dieser gefürchteten Cyberangriffe abgewehrt. So einfach geht das. Macht das! 🛡️

Einfach zu verwendende Lesezeichen im Webbrowser wurden nach meinem Wissen erstmals im Mosaic Netscape 0.9 beta aus dem Jahr 1994 implementiert. Seitdem sind auch Laien nicht mehr so wehrlos gegen Phishing. Schützt euer Geld und eure Nerven vor den Phishern, nutzt die Funktionen eurer Software! Und vor allem: Klickt niemals in eine E-Mail!

Dieser Prozess ist wichtig, um die regulatorischen Standards einzuhalten und Ihre Vermögenswerte zu schützen.

Sag ich doch. 🤭️

Vielen Dank für Ihre Geduld und Ihr Verständnis.

Oh, jetzt hatte ich weder Geduld noch Verständnis. Da hast du dich ja völlig umsonst bedankt, Phisher.

Mit freundlichen Grüßen,

So warm und freundlich!

Entf! 🗑️

Ihre 1&1 Rechnung

Dienstag, 24. September 2024

Aber ich habe gar nix mit 1&1 zu tun. Diese Mail kommt auch gar nicht von 1&1, was man übrigens schon…

Von: 1&1 Kundenservice <contact@inselhof-vineta.de>

…an der Absenderadresse sieht. Die folgende Mail ist keine „Rechnung“, wie der Betreff denken lassen soll, sie ist eine Spam:

1&1 Kundenservice

IHRE 1&1 RECHNUNG

Guten Tag Madeleine Klemm,

Zumindest in meinem Fall stimmt der Name nicht. Da stimmt noch nicht einmal das Geschlecht. Ich gehe aber davon aus, dass der Name nur ein Platzhalter ist und dass die Spammer zu vielen Mailadressen auch einen Namen haben. Der gegenwärtige Industriestandard des Datenschutzes macht es möglich.

Ihre neue Rechnung vom 23.09.2024 über 24,95 EUR liegt für Sie im 1&1 Control-Center bereit:

» Ihre 1&1 Rechnung

Der Link führt natürlich nicht in die Domain von 1&1, wo zum Beispiel auch die Website liegt, sondern in die Cloud von Amazon. Dort gibt es dann erstmal…

$ lynx -source https://loginihrerechnung.s3.amazonaws.com/NCHYUUF.html
<!DOCTYPE html>
<html>
<head>
   <title></title>
   <meta http-equiv="refresh" content="0; url = http://manalanabg.temp.swtest.ru/5440145/570757/dssdfsfezflu" />
</head>
$ _

…eine Weiterleitung zu einer Website in einer russischen Domain. Wenn ich den Link in diese Domain mit etwas anderem als einem aktuellen Desktopbrowser untersuchen will, bekomme ich regelmäßig eine Weiterleitung auf die Startseite von Google. Nur mit einem Desktopbrowser – ich empfehle für solche Experimente mit Links aus einer Spam mindestens die Verwendung einer virtuellen Maschine, denn es handelt sich um Websites von Kriminellen, auf denen man sich alles mögliche einfangen könnte – bekommt man eine andere Weiterleitung und auch etwas zu sehen, und zwar das hier:

Screenshot der Phishing-Site: Eine nachgemachte Anmeldung bei Ionos

Oh, Ionos ist 1&1? 😂️

Natürlich gehen die Anmeldedaten und alles, was man danach eingibt, direkt zu Trickbetrügern, die sich nicht einmal besonders viel Mühe gegeben haben. Es handelt sich um Phishing.

Sie möchten Ihre Rechnung lieber als Anhang per E-Mail erhalten? Das können Sie ganz einfach hier aktivieren.

Dieser Link führt wirklich in die Website von 1&1. Vermutlich wurde er aus einer echten Mail übernommen.

Den offenen Betrag buchen wir am 30.09.2024 von Ihrem Konto ab.

Klar doch! Macht mal, Spammer! 🤭️

Wussten Sie schon?

Alle wesentlichen Fragen rund um Rechnungen haben wir im 1&1 Hilfe-Center für Sie beantwortet. Dort finden Sie auch ein How-to-Video und hilfreiche Infos, z. B. zu Rechnungen nach einem Tarifwechsel.

Im 1&1 Control-Center oder per App (Android | iOS) können Sie außerdem:

Einzelverbindungsnachweise aktivieren oder
Vertragsdaten prüfen/aktualisieren

Ich wünsche Ihnen weiterhin viel Freude mit den Leistungen von 1&1.

Freundliche Grüße aus Montabaur

Ihr Jörg Schur

Jörg Schur

Leiter 1&1 Kundenservice

Ich nehme an, dieser ganze Teil und die darauf folgenden Texte, in denen es ganz viele Möglichkeiten gibt, einen Link zu klicken, wurden ebenfalls aus einer echten Mail übernommen.

Das ist eine weitere gute Gelegenheit, darauf hinzuweisen, dass es einen sehr einfachen und hundertprozentig sicheren Schutz vor Phishing gibt, einer der häufigsten Trickbetrugsformen im gegenwärtigen Internet: Niemals in eine E-Mail klicken! Wenn man nicht in eine E-Mail klickt, kann einem nicht so leicht jeder dahergelaufene Schurke einen giftigen Link unterschieben. Stattdessen für häufiger besuchte Websites, bei denen man ein Benutzerkonto hat, immer ein Lesezeichen im Webbrowser anlegen und diese Websites nur noch über das Lesezeichen aufrufen! Dann ganz normal dort anmelden. Die Behauptungen in solchen Spams lösen sich dabei immer in Wohlgefallen auf, denn auf der Website sieht man keine entsprechenden Hinweise. Und dann hat man einen dieser gefürchteten „Cyberangriffe“ abgewehrt. So einfach geht das! Macht das! 🛡️

Es ist natürlich nur eine Vermutung von mir, dass bei dieser Spam eine echte Mail von 1&1 als Vorlage diente, denn ich weiß nicht, wie die echten Mails aussehen und kenne auch niemanden, der Kunde bei 1&1 ist. Aber wenn diese Vermutung zutrifft, bin ich erschrocken darüber, wie sehr ein Internetdienstleister, der sicherlich jeden Tag etwas von der Kriminalität im Internet mitbekommt, seine Kunden daran gewöhnt, dass sie in E-Mail klicken. Statt sie davor zu warnen.

Telefonnummer aktualisieren – Rf:95538

Samstag, 21. September 2024

Was, ich kriege eine neue Telefonnummer? Von wen denn?

Von: ІNG <j1beaf8itdvs6lz@itcelaya.edu.mx>
An: undisclosed-recipients:;

Von jemanden mit dem Namen „ING“ – vermutlich war die Mutter geizig und wollte sich das „o“ für einen „Ingo“ einfach sparen – und mit einer ganz krummen Mailadresse, die ich noch nie gesehen habe. Aber dafür schreibt er gleich ganz viele Leute auf einmal an. Und alle haben sie Rf. 95538.

Die Mail wurde übrigens über eine US-amerikanischen IP-Adresse aus einem IP-Bereich von Google (jetzt als „Alphabet“ firmierend, der Name ändert sich, sonst ändert sich nix) versendet. Auf die sinnlose Abuse-Mail an Google verzichte ich. Es ist ein schöner Tag und ich mag heute keine Portion Kafka. 😉️

Ach ja, diese Mail wird klar als Spam erkannt. Mein rspamd hat ihr recht solide 17,43 Punkte gegeben, und bei mir gehts schon für fünf Punkte ins Tönnchen. Gut, es ist weit weg von den Rekorden um die 40 Punkte, die ich manchmal sehe, aber die Spamerkennung dürfte sicher genug sein. Deshalb wird auf diesen Phishingversuch kaum jemand reinfallen.

Wer in den Quelltext schaut, wird feststellen…

Screenshot eines Base64-codierten Teils einer E-Mail in einem Editor -- Unter dem Header scheinbar uninterpretierbarer Zeichensalat

…dass der Quelltext nicht direkt lesbar ist. Er wurde in Base64 codiert, was man eigentlich nur bei Binärdateien macht. Dabei werden jeweils sechs Bit auf ein darstellbares Zeichen in 7-Bit-ASCII abgebildet. Wenn man so etwas hört, wird hoffentlich klar, wie alt E-Mail schon ist. Es handelt sich bei dieser Codierung nicht um eine Verschlüsselung, denn sie kann problemlos umgekehrt werden. Deshalb markiere und kopiere ich diesen ganzen Text und greife zu den Hilfsmitteln, die mir mein freundliches und stets dienstbares Betriebssystem zur Verfügung stellt (nicht vor der Kommandozeile erschrecken, und ja, unixoide Betriebssysteme sehen immer etwas erschröcklich aus, wenn man nicht daran gewöhnt ist):

$ xsel -bo | base64 -d | tee mailtext.html | sed 10q
<html>
	<head>
		<title></title>
	</head>
	<body>
		<p>
			&nbsp;</p>
		<table class="rio_container" id="rio_container" style="font-family: inherit; font-size: 12px; font-weight: inherit; font-feature-settings: 'liga' 0; line-height: normal; border-collapse: collapse; font-style: inherit; background: #ffffff; width: 525px; margin: 0px auto; padding: 0px; outline: 0px; vertical-align: baseline; display: block;">
			<tbody style="margin: 0px; padding: 0px; border: 0px; outline: 0px; font-weight: inherit; font-style: inherit; font-family: inherit; vertical-align: baseline; display: block;">
				<tr style="margin: 0px; padding: 0px; border: 0px; outline: 0px; font-weight: inherit; font-style: inherit; font-family: inherit; vertical-align: baseline; display: block;">
$ file mailtext.html
mailtext.html: HTML document, ASCII text, with very long lines (13297), with CRLF line terminators
$ wc mailtext.html 
   19   296 16384 mailtext.html
$ echo 16384 / 1024 | bc -l
16.00000000000000000000
$ _

Hui, das sind genau 16 KiB HTML für diese Mail, deren Text (mit Leerzeichen und Steuerzeichen wie Zeilenumbrüchen) 1.916 Byte lang ist. Spam ist nur selten effizient und ressourcenschonend. Das hat sie mit einer anderen, sehr ähnlichen, aber leider legalen Erscheinung gemeinsam: der Reklame. Davon, dass der Spammer auch versucht hat, ein Logo der ING-DiBa über eine Data-URL einzubetten, so dass er die Base64-Codierung in dieser URL noch einmal Base64-codiert hat, fange ich jetzt gar nicht erst an, und erst recht zeige ich nicht, welche Akrobatik ich dafür an der Kommandozeile hatte (es sah nicht so unähnlich aus). Immerhin, der Absender ist dabei ein bisschen mit seinem Werkzeugkasten durcheinander gekommen und sein Logo war zerschossen. In meinem Zitat der Spam nehme ich mal ein Logo aus einer früheren Phishingspam für Kunden der ING-DiBa, damit es ungefähr so aussieht, wie der Spammer es gern gehabt hätte, aber wegen seiner technischen Unfähigkeit nicht hinbekommen hat. Vielleicht klappt es ja beim nächsten Mal ein bisschen besser:

Logo ING DiBa
Geschatzter Kunde,

Um die Sicherheit Ihres Kontos weiterhin zu gewährleisten, bitten wir Sie, Ihre Telefonnummer zu aktualisieren. Eine aktuelle Telefonnummer hilft uns, Sie bei wichtigen Kontoaktivitäten oder im Falle von Sicherheitsfragen schnell zu erreichen..

Bitte nehmen Sie sich einen Moment Zeit, um Ihre Telefonnummer zu überprüfen und zu aktualisieren. Dieser einfache Schritt trägt wesentlich zur Sicherheit Ihres Kontos bei.

Telefonnummer aktualisieren

Vielen Dank für Ihre schnelle Bearbeitung. Ihre Aufmerksamkeit hilft uns, Ihr Konto sicher und geschützt zu halten.

Mit freundlichen Grüßen,

Ihre ІNG-DіВа.

Datenschutzrichtlinien | AGB | Kontakt

Ja, der Spammer hat die letzten drei Links einfach weggelassen. Sein Text war ja schon fertig, seine Gedanken waren im Puff und der Wodka war lecker.

Natürlich führt der Link nicht zur ING-DiBa, sondern nach ein bisschen Weitergeleite – es ist ja Spam, da werden niemals direkte Links gesetzt, so wie das jeder denkende und fühlende Mensch machen würde, weil es einfacher und direkter ist – zu einer obskuren Webseite…

$ location-cascade https://boca.hozzt.com/~p4tcom/soon
     1	https://boca.hozzt.com/~p4tcom/soon/
     2	https://p4t.com.tr/-
     3	https://p4t.com.tr/-/
     4	de/mkfile.php?p=login
$ lynx -dump https://p4t.com.tr/-/de/mkfile.php?p=login | sed 14q
   [logo.png]

   5L63oa4gc-ci3bn8

   2A42n25ma6ec0l5cd46e68n5 2ma5i23tf 7Z62ue8g6eab0n26gd7sd7d18afetc6e5an1
   4Z7eu50g47a1bn85gddseen74udcmd2m8ee4fr9
   ____________________ 8L18ea3tecz9dt99ea f1fe03 dSd4t31efal90lcbe22n3
   cIedh3dr6cebcr6 dI2fN80G3 4I55B16A0cN5 /
   4D4beb9p92o34t42n7fu9fm15m27e25rf
   4Ia7nd8t1ce4bra7n6ae06t71b7baban00k62icdn2fg5 4P30I03N8
   ____________________ 2Bbci85t9bt0ae2 bb1aefda80c68h7at78e00n3 9S9ei1fe3
   1de2i99ef 3G39rf5o6ß- 8u6bnecd4
   8Kb7l6de31i6dn2bs64cd5hb0rf6eb9i37b95u0fn3fg08.1
   (BUTTON) Anmelden
$ _

…die von blinden und schwer körperbehinderten Menschen gar nicht genutzt werden könnte, weil sie neben dem Anmeldeformular nur Zeichensalat enthält. Aber keine Sorge, das stört den Spammer nicht weiter. In einem richtigen Webbrowser – ich mache so etwas aus Sicherheitsgründen in einer virtuellen Maschine – sieht die Webseite so aus:

Screenshot der Phishingseite im Browser

Alle Daten, die man dort eingibt, gehen direkt zu Trickbetrügern. Auf einer Telefonnummer, die man im nächsten Schritt angibt, wird man einen Anruf eines angeblichen Bankmitarbeiters erhalten, der „die Konfiguration abschließt“ oder einen ähnlichen Bullshit behauptet. Er bringt dann das Opfer dazu, eine betrügerische Transaktion zu bestätigen. Danach ist das Konto leergeräumt und bis an die Grenze überzogen, und das Opfer hat erstmal den Schaden.

Zum Glück für uns alle gibt es ein ganz einfaches und hundertprozentig wirksames Mittel gegen Phishing, einer der häufigsten Trickbetrugsformen im Internet: Niemals in eine E-Mail klicken! Wenn man nicht in eine Mail klickt, kann einem kein Krimineller so einen giftigen Link unterschieben. Stattdessen so etwas wie die Homepage der Bank immer über ein Browserlesezeichen aufrufen. Wenn man nach dem „Genuss“ einer derartigen Mail die Website der ING-DiBa über ein Browserlesezeichen aufruft, sich dort ganz normal anmeldet und im Folgenden feststellt, dass die in der Mail behaupteten Probleme gar nicht existieren (sonst bekäme man ja nach der Anmeldung einen Hinweis auf der Website angezeigt), kann man die Mail einfach löschen und sich angenehmeren Dingen zuwenden. So wehrt man einen dieser gefürchteten „Cyberangriffe“ ab. So einfach geht das. Macht das! 🛡️

Und vor allem: Erzählt auch anderen Menschen, wie man das macht! Schließlich wird jeder Mensch mit ein paar zehntausend Euro etwas besseres anzufangen wissen, als solchen Kriminellen den verfeinerten Lebensstil zu finanzieren. Sollen die Phisher doch verhungern!

Aus den Biotopen des Internetsumpfes

Aber diese Spam geht noch weiter, denn dem Spammer ist da wohl so ein kleiner Unfall mit der Zwischenablage passiert:

Klarna.

Dein sechsstelliger Code

Hallo! Dein sechsstelliger Code ist:

075386

Nutze diesen Code um die Verifizierung in der App oder auf der Webseite abzuschließen.

Gib diesen bitte nicht weiter. Mitarbeiter von Klarna werden dich niemals bitten, diesen Code per Telefon oder SMS zu bestätigen.

Dieser Code ist nun für 10 Minuten gültig.

Support

Bei Fragen hierzu kontaktiere uns gerne unter

Kundenservice

Du möchtest mehr über uns erfahren?

Besuche unsere Webseite unter https://www.klarna.com/de/

Klarna.

Klarna Bank AB (publ)
Handelsregister: SE556737-0431
USt-IdNr: SE556737043101
Vorstandsvorsitzender: Sebastian Siemiatkowski

Postanschrift Deutschland
Postfach 900162
90492 Nürnberg

Hauptsitz
Sveavägen 46
111 34 Stockholm
Schweden

klarna.com

Erfahre hier, wie du Betrugsversuche erkennen kannst. Du befürchtest, Opfer eines Betrugs geworden zu sein? Melde es umgehend unserem Kundenservice oder leite verdächtige E-Mails an phishing@klarna.com weiter.

Vermutlich hat der Phisher gerade die nächste Kampagne gegen Kunden der Klarna Bank (Firmierung mit Deppen Leer Zeichen) vorbereitet, als Ausgangsmaterial eine Originalmail der Klarna Bank (Firmierung mit Deppen Leer Zeichen) genommen und sich ein bisschen verheddert, weil er gleichzeitig noch seine ING-DiBa-Spam gemacht hat. Man macht aber auch immer komische Fehler, wenn man überarbeitet, unkonzentriert und betrunken ist! Aber vermutlich ist es dem Phisher egal, denn die sehr naiven Menschen, die er ums bitter verdiente Geld betrügen will, lesen gar nicht richtig, sondern klicken einfach drauflos. Und dann haben sie den Schaden.

So ein eindeutiges Anzeichen für einen Betrugsversuch hat man nur selten in der Spam.

Ihr Konto wurde vorübergehend gesperrt.

Dienstag, 17. September 2024

Abt.: Die Nuller Jahre möchten ihre schlechten Phishingspams zurückhaben

Oh, schön. Mit Punkt am Ende des Betreffs. Das habe ich lange nicht mehr gesehen. Menschen setzen da beinahe nie einen Punkt (andere Satzzeichen schon), aber Spammer, die ihr Skript nicht richtig verstehen, setzen da öfter mal einen Punkt. Nicht, weil sie das so wollen, sondern, weil sie ihr Skript nicht verstehen. Und auch den Rest habe ich lange nicht mehr gesehen, denn es ist ein altmodisches, unpersönlich vorgetragenes Phishing.

Von: Advanzia Bank <thevenue@oliverock.co.za>
An: undisclosed-recipients:;

Diese Spam geht an ganz viele Empfänger gleichzeitig. Sie ist so „persönlich“ wie ein Werbeprospekt, der in den Briefkasten geworfen wird.

Logo der Advanzia Bank

Ich habe kein Konto bei dieser Bank, und diese Bank hat keine Mailadresse von mir. Dieser Müll kommt bei allen Menschen an. Es ist Spam. Schrotmunition. Wird schon bei einigen treffen, wo es passt. Spam kostet den Spammer ja nichts.

Gentile cliente

Genau mein Name!

Sehr geehrter Kunde,

Ah, im zweiten Versuch klappt es gleich viel besser mit meinem Namen. 😁️

Es tut uns leid, Ihnen mitteilen zu müssen, dass Ihr Konto aus Sicherheitsgründen vorübergehend gesperrt wurde. Wir müssen Ihre Telefonnummer und Ihre E-Mail- Adresse in unserem Service bestätigen.

Eine richtige Bank wüsste nicht nur den Namen ihres Kunden und spräche ihn persönlich an, sondern sie würde auch die Kontonummer angeben, wenn ein Konto des Kunden betroffen ist. Erstaunlich viele Menschen unterhalten mehrere Konten, zum Beispiel, um ihren persönlichen Geldkram sauber vom Geldkram aus selbstständiger Tätigkeit zu trennen. Diese Leute vom Finanzamt können immer ganz schön garstig werden, wenn da etwas nicht so durchschaubar ist.

Aber diese Spezialbank aus dem Spameingang weiß ja nicht einmal, wie ihr angeblicher Kunde heißt.

Um Ihre Telefonnummer und Ihre E-Mail zu bestätigen, klicken Sie auf den folgenden Link:
Aktualisieren

Wer da klickt, lasse alle Hoffnung fahren! Der Link führt in eine Domain, die in Serbien gehostet wird, und der dort laufende Webserver…

$ host zaduzbinajankovicandjelkovic.rs
zaduzbinajankovicandjelkovic.rs has address 185.119.89.170
zaduzbinajankovicandjelkovic.rs mail is handled by 10 mf.unlimited.rs.
$ country 185.119.89.170
185.119.89.170 is from Serbia (RS) 
$ surbl zaduzbinajankovicandjelkovic.rs
zaduzbinajankovicandjelkovic.rs	okay
$ mime-header http://zaduzbinajankovicandjelkovic.rs/sarl/
HTTP/1.0 302 Found
Connection: close
x-powered-by: PHP/8.0.30
set-cookie: PHPSESSID=8th4gi0tjr1t2b734c7enm9f0i; path=/
expires: Thu, 19 Nov 1981 08:52:00 GMT
cache-control: no-cache, no-store, must-revalidate, max-age=0
pragma: no-cache
content-type: text/html; charset=UTF-8
location: https://google.com
content-length: 0
date: Tue, 17 Sep 2024 08:20:32 GMT
server: LiteSpeed
$ _

…schaut auch nach, ob ein „richtiger Webbrowser“ etwas von ihm haben möchte, oder ob es sich um kleine, schnell hingefummelte Skriptchen handelt, mit denen jemand wie ich ankommt, bevor er die Websites von Kriminellen auf seinen Browser und seinen persönlich genutzten Computer loslässt. Wer analyisieren will, ist diesen Phishern zu neugierig und wird einfach zu Google weitergeleitet. Interessanterweise wird ein Internet Explorer 10 – diesen gebe ich in meinem lange nicht mehr angefassten Skript mime-header als anfragenden Browser an – inzwischen sogar von Kriminellen als veraltet und verdächtig angesehen. Nun gut, dann muss ich das wohl mal wieder anpassen, dann kommt halt demnächst ein Chrome vorbei, der traurige Quasistandard im heutigen Web, weil es nichts anderes mehr zu geben scheint… da helfen auch die vielen lustigen Browsernamen nicht, hinter denen sich immer ein Chrome mit anderer Benutzerschnittstelle verbirgt. 😉️

Natürlich hat niemand solche Tricksereien am Webserver nötig, wenn er keine bösen Absichten hat. Insbesondere hat eine Bank solche Tricksereien nicht nötig. Wenn sie es dennoch macht – warum sollte sie? – würde ich dringend empfehlen, sich eine andere Bank zu suchen, weil das einfach verdächtig aussieht.

Ich habe es mal in einer virtuellen Maschine ausprobiert: Wenn man mit einem „richtigen Browser“, in diesem Fall mit einem Chromium, vorbeischaut, gibt es keine Weiterleitung zu Google, sondern diese reizende Phishingseite:

Screenshot der Phishing-Seite

So so, „Phishing E-Mails im Umlauf“. Auf einer klaren Phishingseite. Mit Deppen Leer Zeichen. Fühlt euch gewarnt und sicher! 😸️

Natürlich gehen alle Daten, die man hier angibt, nicht an die Bank, sondern an eine Betrügerbande. Das Konto wird leergeräumt, mit der Kreditkarte werden betrügerische Geschäfte gemacht, eventuell wird das Konto noch zur Verschleierung von kriminellen Geldflüssen genutzt. Wer darauf reinfällt, ist schlagartig pleite, wird zum Ziel von Ermittlungen und darf in den nächsten zwei Jahren immer wieder Polizeibeamten, Untersuchungsrichtern und Inkassobüros seine Geschichte erzählen. Als ob der finanzielle Verlust nicht schlimm genug wäre! ☹️

Zum Glück für uns alle gibt es ein einfaches und wirksames Mittel gegen Phishing, einer der häufigsten Betrugsformen im gegenwärtigen Internet: Niemals in eine E-Mail klicken! Wenn man nicht in eine Mail klickt, haben Kriminelle keine so einfache Möglichkeit, einem einen giftigen Link unterzuschieben. Stattdessen für häufig besuchte Websites Lesezeichen im Browser anlegen und diese Websites nur noch über diese Lesezeichen aufrufen. Wenn so eine Spam ankommt, und man ist sich nicht sicher, ob die nicht vielleicht doch echt sein könnte – Phishing gibt es auch mit persönlicher Ansprache und manchmal sogar mit Angabe der Kontonummer, nicht jeder ist angesichts des aktuellen Industriestandards des Datenschutzes so datensparsam wie ich – dann klickt man nicht in die Spam, sondern wechselt einfach zum Browser, ruft die Website über das Lesezeichen im Browser auf und meldet sich dort ganz normal an. Wenn sich dabei zeigt, dass das in der Spam behauptete Problem, etwa eine Kontosperrung, gar nicht existiert, hat man einen dieser gefürchteten „Cyberangriffe“ abgewehrt und kann die Spam löschen. So einfach geht das. Macht das! 🛡️

Das bisschen Vorsicht spart schnell einen fünfstelligen Geldbetrag, mit dem vermutlich jeder Mensch etwas besseres anzufangen weiß, als Kriminellen ihren verfeinerten Lebensstil zu finanzieren. Einmal ganz davon abgesehen, dass sich niemand seine begrenzte Lebenszeit mit dem ganzen Ärger versauen will, wenn seine Identität missbraucht wird.

Für weitere Informationen kontaktieren Sie uns immer unter folgenden Nummern: Kontakt Technische Beratung zum Online-Service meine.karte 49 (0)345 – 21973■■■ (Aus allen Netzen) Mo.-Sa., 8-19 Uhr Fragen zur gebührenfreien Mastercard Gold 0800 880 1■■■ (gebührenfrei aus dem deutschen Festnetz) 24 Stunden erreichbar 49 (0)345-21973■■■ (Aus dem Ausland oder Mobilfunk) 24 Stunden erreichbar

Ich habe die Nummern mal unbenutzbar gemacht.

Viele Grüße
dein KONTO-Service-Team

Hier spammt das Serviceteam noch selbst!

Diese E-Mail wurde von einer Adresse versendet, die ausschließlich für Benachrichtigungen genutzt wird und keine E-Mails empfangen kann.

Diese Mail ist eine Spam.

Bitte nutze die im Footer genannten.
konto (GmbH & Co KG), Werner-Str. 1-7, 22179 Hamburg AG Hamburg, HRA 62024, Persönlich haftend:
Verwaltungsgesellschaft advanziambH, Hamburg, AG Hamburg, HRB 13762 vertreten durch: Alexander Birken (Vorsitzender)

Mit Stable Diffusion generiertes BildOh, ich sehe schon wieder den Standardeffekt aus solcher Spam, der inzwischen selten geworden ist. Der eigentliche Text war fertig, der Spammer freute sich, dass er seine fünf Arbeitsminuten absolviert hatte und musste da nur noch den Standardkram drunterschreiben, damit die Spam auch „echt“ aussieht. Halt so etwas wie ein Mailimpressum, wie es in geschäftlicher Mail in der Bundesrepublik Deutschland angegeben werden muss. Die Aufmerksamkeit des Spammers war aber längst schon wieder im Puff, der Mund nuckelte schon gierig an der leckeren Wodkaflasche, und dann schlichen sich zum Ende der Spam viele kleine Fehlerchen ein. Zum Beispiel die Konto (GmbH & Co. KG). Weil der Spammer sich sagt: „Das liest doch eh keiner, da brauche ich mich nicht anzustrengen. Da klappe ich irgendeinen Rotz rein. Meine Opfer schauen da ganz bestimmt nicht hin, die interessieren sich ja nicht einmal dafür, wo mein Link hinführt“.

Aber immerhin bemerkt man so, dass der Text nicht aus einem angelernten neuronalen Netzwerk stammt.

Entf! 🗑️

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.