Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Kategoriearchiv „Phishing“

Erforderliche Aktion: Eine ungewöhnliche Verbindung zu Ihrem Konto

Montag, 7. Juli 2025

Aber ich bin doch gar nicht in der CDU… 🤭️

Natürlich kommt diese Spam…

Von: PayPal <postmaster@252b227286.nxcli.io>

…nicht von PayPal, sondern ist ein Phishing.

PayPal

Sagte ich ja schon.

Auf diesem neuen Gerät angemeldet bleiben

Desktop Chrome Windows 10 10.0.0

$ uname -a
Linux esprimo 6.8.0-60-generic #63-Ubuntu SMP PREEMPT_DYNAMIC Tue Apr 15 19:04:15 UTC 2025 x86_64 x86_64 x86_64 GNU/Linux
$ _

Nein, ich glaube, das stimmt nicht. (Und nein, ich empfehle Unbuntu niemandem als Linuxdistributor. „SnapOS“, wie ich es gern verspotte, ist ein dysfunktionaler Haufen Müll geworden. Nehmt eine andere Distribution! Ich habe das nur als Altlast, aber schon so lange…)

Wir haben ungewöhnliche Aktivitäten in Ihrem Konto festgestellt und einen Anmeldeversuch von einem unbekannten Gerät blockiert.

Bitte sichern Sie Ihr Konto, indem Sie innerhalb von 24 Stunden auf den unten stehenden Link klicken, da Ihr Konto sonst möglicherweise deaktiviert wird, um die Sicherheit der Gemeinschaft zu gewährleisten: Link unten

„Link unten“ ist der beste Linktext ever.

Natürlich führt der Link nicht auf…

PayPal

…PayPal, es ist ja Phishing. Es geht in die Domain shopify (punkt) com, die in letzter Zeit öfter als Weiterleitung in Phishingspams benutzt wird. Wer da klickt, hat verloren. Wer aber niemals in eine E-Mail klickt, sondern bei solchen Links – wenn er mal unsicher sein sollte, ob die Mail echt ist – einfach direkt über ein Lesezeichen die Website von PayPal aufruft und sich dort wie gewohnt anmeldet, um dann zu sehen, dass das behauptete Problem gar nicht existiert, ist vor der häufigsten Form des Trickbetrugs im gegenwärtigen Internet sicher und hat die gefürchtete „Cyberattacke“ abgewehrt. Macht das! Klickt nicht in E-Mails, sondern legt euch mindestens für solche kriminell interessanten Websites Lesezeichen im Browser an. Sollen die Betrüger doch verhungern!

Help & Contact | Security | Apps

Bitte antworten Sie nicht auf diese E-Mail. Um mit uns in Kontakt zu treten, klicken Sie auf Hilfe & Kontakt.

Bitte nicht an die Absenderadresse antworten, denn die ist gefälscht. Der Linktext, den man stattdessen klicken soll, steht da aber auf Englisch. Schon schade, wenn so ein Hirni von Spammer seine Spam in einer Sprache formuliert, die er gar nicht richtig versteht.

Urheberrecht © 1999-2025 PayPal. Alle Rechte vorbehalten.

Dass diese Mail nicht einmal in die Nähe der für den Urheberrechtsschutz erforderlichen Schöpfungshöhe kommt und dass solche einschüchternden Dummphrasen einfach nur dumm und juristisch wirkungslos sind, selbst wenn sie mal von echten Unternehmen kommen, brauche ich hoffentlich nicht weiter zu erwähnen. Was ich davon halte, hoffentlich auch nicht.

Verifizierung Ihres Kontos für die Einkommensteuer-Rückzahlung erforderlich

Dienstag, 1. Juli 2025

Von: ELSTERIhr Online-Finanzamt <noreply@elster.de>

Da hat sich der Spammer gesagt: „Schreibe ich doch mal einen überzeugend aussehenden Absender rein“. Zu schade, dass SPF dafür sorgt, dass die Spam dann garantiert als Spam aussortiert wird, wenn er sie über die IP-Adresse eines US-amerikanischen Hostingdienstleisters (Abuse-Mail ist schon draußen) versendet. Aber man kann ja auch nicht jeden Tag Glück beim Denken haben.

Bescheide des Finanzamtes kommen natürlich immer mit der Sackpost und niemals in einer unverschlüsselten und nicht digital signierten E-Mail. Allein schon wegen des gesetzlich vorgeschriebenen Datenschutzes und wegen des Steuergeheimnisses.

ELSTER

Das steht schon im Absender.

Eine Mitteilung der Bundesbehörde.

Die Finanzämter sind in der Bundesrepublik Deutschland aber Landesbehörden.

Sehr geehrter Kunde,

Genau mein Name!

Na, fühlt ihr euch beim Finanzamt auch immer wie Kunden? Und nicht wie… ähm… störende Bittsteller vor einer kalten und oft etwas dummen Maschinerie zum Eintreiben des Geldes, das dann in die alldurchwaltende Korruption der BRD fließt?

Um die Rückzahlung Der Einkommensteuer zu erhalten, müssen Sie Ihr Konto verifizieren, damit wir den vollen Betrag auf das richtige Konto überweisen können.

Wie hoch ist er denn, der volle Betrag? Und wo ist der zugehörige Bescheid? Wann wurde er mir zugestellt? Und für welche Steuernummer ist er?

Kein Finanzamt in der BRD würde so einen Text schreiben wie dieser Spammer. Man kann viel schlechtes über die Verwaltung in der BRD sagen, aber ihre Kommunikation ist niemals so nebulös.

Zum Dokument

Wer da klickt, lasse alle Hoffnung fahren!

$ lynx -source "https://scanned.page/68626f761e1b4"
<!doctype html><html lang="en"><head><meta charset="utf-8"/><link rel="icon" href="/favicon.png"/><meta name="viewport" content="width=device-width,initial-scale=1"/><meta name="theme-color" content="#ffffff"/><link rel="apple-touch-icon" href="/favicon.png"/><link rel="manifest" href="/manifest.json"/><title></title><script>const manifestElement=document.querySelector('[rel="manifest"]'),icon=document.querySelector('[rel="icon"]'),appleIcon=document.querySelector('[rel="apple-touch-icon"]');var domain="sp";const setAttributes=(e,t,n)=>{manifestElement&&manifestElement.setAttribute("href",e),icon&&icon.setAttribute("href",t),appleIcon&&appleIcon.setAttribute("href",n)};"sp"===domain?setAttributes("/manifest.json","/favicon.png","/favicon.png"):"qcc"===domain&&setAttributes("/qci/manifest.json","/qci/favicon.png","/qci/favicon.png")</script><script defer="defer" src="/static/js/main.ed55047f.js"></script><link href="/static/css/main.c6e9a545.css" rel="stylesheet"><script data-cfasync="false" nonce="db15d7e8-bd05-415b-ab5d-725e7b914243">try{(function(w,d){!function(fv,fw,fx,fy){if(fv.zaraz)console.error("zaraz is loaded twice");else{fv[fx]=fv[fx]||{};fv[fx].executed=[];fv.zaraz={deferred:[],listeners:[]};fv.zaraz._v="5858";fv.zaraz._n="db15d7e8-bd05-415b-ab5d-725e7b914243";fv.zaraz.q=[];fv.zaraz._f=function(fz){return async function(){var fA=Array.prototype.slice.call(arguments);fv.zaraz.q.push({m:fz,a:fA})}};for(const fB of["track","set","debug"])fv.zaraz[fB]=fv.zaraz._f(fB);fv.zaraz.init=()=>{var fC=fw.getElementsByTagName(fy)[0],fD=fw.createElement(fy),fE=fw.getElementsByTagName("title")[0];fE&&(fv[fx].t=fw.getElementsByTagName("title")[0].text);fv[fx].x=Math.random();fv[fx].w=fv.screen.width;fv[fx].h=fv.screen.height;fv[fx].j=fv.innerHeight;fv[fx].e=fv.innerWidth;fv[fx].l=fv.location.href;fv[fx].r=fw.referrer;fv[fx].k=fv.screen.colorDepth;fv[fx].n=fw.characterSet;fv[fx].o=(new Date).getTimezoneOffset();if(fv.dataLayer)for(const fF of Object.entries(Object.entries(dataLayer).reduce(((fG,fH)=>({…fG[1],…fH[1]})),{})))zaraz.set(fF[0],fF[1],{scope:"page"});fv[fx].q=[];for(;fv.zaraz.q.length;){const fI=fv.zaraz.q.shift();fv[fx].q.push(fI)}fD.defer=!0;for(const fJ of[localStorage,sessionStorage])Object.keys(fJ||{}).filter((fL=>fL.startsWith("_zaraz_"))).forEach((fK=>{try{fv[fx]["z_"+fK.slice(7)]=JSON.parse(fJ.getItem(fK))}catch{fv[fx]["z_"+fK.slice(7)]=fJ.getItem(fK)}}));fD.referrerPolicy="origin";fD.src="/cdn-cgi/zaraz/s.js?z="+btoa(encodeURIComponent(JSON.stringify(fv[fx])));fC.parentNode.insertBefore(fD,fC)};["complete","interactive"].includes(fw.readyState)?zaraz.init():fv.addEventListener("DOMContentLoaded",zaraz.init)}}(w,d,"zarazData","script");window.zaraz._p=async eC=>new Promise((eD=>{if(eC){eC.e&&eC.e.forEach((eE=>{try{const eF=d.querySelector("script[nonce]"),eG=eF?.nonce||eF?.getAttribute("nonce"),eH=d.createElement("script");eG&&(eH.nonce=eG);eH.innerHTML=eE;eH.onload=()=>{d.head.removeChild(eH)};d.head.appendChild(eH)}catch(eI){console.error(`Error executing script: ${eE}\n`,eI)}}));Promise.allSettled((eC.f||[]).map((eJ=>fetch(eJ[0],eJ[1]))))}eD()}));zaraz._p({"e":["(function(w,d){})(window,document)"]});})(window,document)}catch(e){throw fetch("/cdn-cgi/zaraz/t"),e;};</script></head><body><noscript>You need to enable JavaScript to run this app.</noscript><div id="root"></div><script defer src="https://static.cloudflareinsights.com/beacon.min.js/vcd15cbe7772f49c399c6a5babf22c1241717689176015" integrity="sha512-ZpsOmlRQV6y907TI0dKBHq9Md29nnaEIPlkf84rnaERnq6zvWvPUqr2ft8M1aS28oN72PdrCzSjY4U6VaAw1EQ==" data-cf-beacon='{"rayId":"95853aef1e74bbcc","serverTiming":{"name":{"cfExtPri":true,"cfEdge":true,"cfOrigin":true,"cfL4":true,"cfSpeedBrain":true,"cfCacheStatus":true}},"version":"2025.6.2","token":"105c7571b60743aba1e456971e3636d0"}' crossorigin="anonymous"></script>
</body></html>
$ _

Ich habe gerade keine Lust, mich bei übertrieben sommerlichen Außentemperaturen länger als eine Viertelstunde durch diesen Wust durchzuhangeln und wünsche allen Menschen, die vor lauter Vorfreude aufs Geld in eine recht dumm formulierte Spam geklickt haben, viel Glück. Sie werden es brauchen. Bei dem teilweise sehr verwurschtelten Javascript, das dann nach dieser schon sehr kryptischen Weiterleitung der Geschmacksrichtung „Cloudflare“ folgt, würde ich es niemals ausschließen, dass es auch eine „kostenlose Sicherheitsprüfung“ des Computers und der darauf installierten Software gibt, inklusive Installation einer so aktuellen Kollektion von Schadsoftware, dass auch ein so genanntes „Antivirusprogramm“ machtlos ist. Alles, was man dafür braucht, kann sich jeder aufgeweckte Elfjährige in den dunklen Ecken des Internet gegen Gewinnbeteiligung as a service besorgen. Ja, es gibt kriminelle Dienstleister für Trickbetrug und Schadsoftware, die im Hintergrund bleiben, sich mit einem Anteil begnügen und andere die deutlich gefährlichere Drecksarbeit machen lassen. Deshalb klickt man ja auch nicht in eine Mail! Denn nicht in Mail zu klicken schützt vor Phishing, einer der ältesten und immer noch häufigsten Trickbetrugsmaschen im Internet. Und es schützt vor Schadsoftware, die mit vergleichbaren psychischen Hebeln transportiert wird. Nicht in E-Mail zu klicken ist eine wichtige „Cyberabwehr“, die funktioniert. Der Adblocker im Webbrowser ist doch hoffentlich längst eine Selbstverständlichkeit, oder? Der funktioniert nämlich auch sehr gut.

Ich klicke übrigens auch nicht in E-Mail, außer, mir ist völlig klar, wer der Absender ist und dass dieser Absender vertrauenswürdig ist. In den meisten Fällen, wo jemand nicht gerade einen sehr markanten und unverwechselbaren Stil beim Schreiben hat, heißt das: Ich prüfe digitale Signaturen. Und wenn da keine sind, was auch im Jahr 2025 immer noch der Standard ist, dann fasse ich Links aus einer Mail nur mit der Kneifzange an, statt sie direkt zu öffnen. Oder ich rufe kurz an, ob die Mail echt ist…

Warum ich von Elfjährigen spreche? Weil ein erfahrener Betrüger, dessen Gehirn gerade nicht im Stromsparmodus läuft, niemals versucht hätte, eine falsche Absenderadresse in einer Domain…

$ host -t TXT elster.de
elster.de descriptive text "v=spf1 mx include:_spf.blk1.elster.de include:_spf.blk2.elster.de include:_spf.blk3.elster.de include:_spf.blk4.elster.de include:_spf.blk5.elster.de include:_spf.blk6.elster.de include:_spf.blso.elster.de ~all"
elster.de descriptive text "MS=7B184F7133FA6F4419018914042F2C9A28CF6472"
$ _

…mit SPF anzugeben. Das kommt nicht einmal durch die primitivsten Spamfilter dieser Welt hindurch. Und deshalb macht das auch kein erfahrener Krimineller. Die leben ja davon, dass ihr gefährlicher und/oder betrügerischer Müll überhaupt oft genug ankommt, damit sich die Naiven und sorglos Überrumpelbaren finden, die immer noch darauf reinfallen.

ELSTER ®

Nein, diese diebische Elster hat damit nichts zu tun. Hier schreiben richtige Verbrecher. 😉️

Bestätigung Ihrer Telefonnummer – 737377865536

Samstag, 28. Juni 2025

Aber das ist doch gar nicht meine Telefonnummer.

Von: Іng-Dіbа. <4v18bvtp@code.edu.az>
An: undisclosed-recipients:;

Keine weiteren Fragen. Wenn der Absender die ING DiBa ist (die vermutlich ihre eigene Firmierung auch in E-Mails richtig schreiben würde), dann ist ein Kuhfladen eine Pizza. Natürlich ist diese Phishingspam Massenware, die an ganz viele Empfänger auf einmal geht und ungefähr so persönlich wie ein Martinshorn ist. Die Spam wurde übrigens über eine IP-Adresse des dicksten Kumpels und Komplizen der Spammer und Betrüger, also über Google, abgesendet. Auf eine Abuse-Meldung bei Google verzichte ich. Sie ist nach allen meinen Erfahrungen sinnlos. Google ist das egal.

ING Logo

Tja, selbst wenn man Grafiken aus dem Web nachladen ließe, wirkte diese Spam nicht überzeugender.

📞 Bestätigung Ihrer Telefonnummer

Aber im Betreff steht doch meine Telefonnummer!!1! 😁️

Sehr geehrte Kundin, sehr geehrter Kunde,

Ja, eines von beiden bin ich. Ganz sicher. Da müsst ihr ja nicht auch noch meinen Namen kennen.

bitte bestätigen Sie Ihre aktuelle Telefonnummer, um den Abschluss Ihres Dossiers zu ermöglichen. Dies hilft uns, Sie bei Rückfragen schnell und effizient zu kontaktieren.

Ich will aber nicht, dass ihr ein Dossier über mich anlegt! 😲️

Vielen Dank für Ihre Kooperation und Ihr Vertrauen in unsere Dienstleistungen.

Vielen Dank für den pseudohöflichen Dank für Nichts! Vor meinem Arsch ist auch kein Gitter.

Telefonnummer bestätigen

Wer da klickt, hat verloren. Natürlich geht der Link nicht zur Website der ING DiBa, sondern zu einer von Trickbetrügern kontrollierten Website. Alles, was man dort eingibt, geht direkt an eine Betrügerbande, die auch nicht lange mit dem Leerräumen des Kontos und einigen hundert über die ganze Welt verteilten Betrugsgeschäften warten wird. Die leben ja auch davon. Eine Zwei-Faktor-Authentifzierung wird dabei regelmäßig ausgehebelt, indem ein angeblicher Mitarbeiter der Bank anruft – deshalb soll man ja auch seine Telefonnummer angeben – und für einen Test darum bittet, eine oder mehrere Transaktionen zu bestätigen. Danach ist das Konto so leer, wie es nur leer sein kann. Mit einer eventuellen Kreditkarte geht es dann weiter… ach, ich erspare die Einzelheiten. Fallt nicht auf so etwas rein!

Wer niemals in eine E-Mail klickt, sondern in seinem Webbrowser Lesezeichen für solche Websites wie die seiner Bank anlegt und diese Websites immer nur über das Lesezeichen aufruft, ist sicher vor Phishing, der immer noch häufigsten Form des Trickbetrugs im Internet. Denn so kann einem kein Verbrecher einen giftigen Link unterschieben. Es kostet nichts, und es wirkt. Wenn man die Website nach „Genuss“ einer solchen Mail über das Browserlesezeichen aufruft und sich dort wie gewohnt anmeldet und nach der Anmeldung sieht, dass das in der Spam behauptete Problem gar nicht existiert, dann hat man einen dieser gefürchteten „Cyberangriffe“ abgewehrt. So einfach geht das. Macht das! 🛡️

Mit freundlichen Grüßen,
Ihr ІNG

Tschüss, du ING du! 👋️

Nach sportlichen 97 leeren Absätzen in dieser Spam kommt allerdings noch etwas Spamprosa, die noch weniger nach der ING DiBa aussieht als das Phishing:

Make a payment to continue service.

T-Mobile™

ACCOUNT NUMBER: 178000147
Refill your T-Mobile account now
Hi Oussama,
Your monthly plan is about to renew. You must make a payment to refill your T-Mobile account by 06/29/2025 to continue uninterrupted service.

You can pay online at my.t-mobile.com. Please disregard if you’ve already paid for the next month’s service.

Refill now

Sincerely,
Your T-Mobile Team
THIS IS AN AUTOMATED EMAIL. PLEASE DO NOT REPLY.

T-Mobile, the T logo, Magenta, and the magenta color are registered trademarks of Deutsche Telekom AG. © 2023 T-Mobile USA, Inc.

Terms of Use | Terms & Conditions | Return Policy | Privacy Policy

View this email as a webpage >

Aber immerhin, wenigstens in der Spamprosa werde ich mal mit einem Namen angesprochen. Es ist zwar nicht meiner, aber die Spammer machen Fortschritte. 👍️😅️

Entf! 🗑️

Achtung: Verdächtige Vorgänge in Ihrem Konto.

Mittwoch, 25. Juni 2025

Lebt es, das Konto?

Natürlich lebt es nicht. Es ist das ganz gewöhnliche und etwas ermüdende Phishing, das immer noch gut genug zu funktionieren scheint, so dass ich es jeden Tag sehe. Weil immer noch Menschen darauf reinfallen und den Schaden haben. Phishing ist eine sehr alte und eigentlich auch sehr primitive Betrugsmasche im Internet. Zumindest sollte jeder Mensch wissen, was das ist und wie man sich dagegen schützt. Leider weiß es nicht jeder Mensch. Nicht einmal jeder gebildete Mensch.

Von: PaypaI <postmaster@fbf2e49655.nxcli.io>

Das ist nicht PayPal. Die würden sich auch nicht „Paypai“ nennen, denn der letzte Buchstabe ist kein kleines „L“, sondern ein großes „i“. Das ist übrigens völlig unnötig. Man kann jeden belieben Namen vor die Mailadresse schreiben. Diese Angabe dient nicht für den Transport der Mail, sondern als Hinweis an den Empfänger. Vermutlich hat der Spammer das noch nicht verstanden, denn dass er seine Spam absichtlich verdächtiger als nötig machte, wäre ja dumm. Obwohl… die meisten Spammer sind ziemlich dumm.

Ungewöhnliche Aktivitäten auf Ihrem Konto

Das steht aber schon im Betreff. Und es wird durch die Wiederholung mit leicht abgewandelten Wörtern nicht intelligenter und auch nicht informativer.

Wir möchten Sie darüber informieren, dass wir ungewöhnliche Aktivitäten auf Ihrem PayPal-Konto festgestellt haben. Um die Sicherheit Ihres Kontos und Ihrer Gelder zu gewährleisten, bitten wir Sie, Ihre Identität zu bestätigen, um sicherzustellen, dass keine unbefugte Nutzung vorliegt.

Jetzt prüfen

Wer da klickt, hat verloren. Der Link führt nämlich nicht in die Domain von PayPal, sondern in die nicht so vertrauenerweckende Domain antai (punkt) cloudaccess (punkt) host. Alle Daten, die man dort eingibt, gehen direkt an Trickbetrüger, die nach der scheinbaren „Anmeldung“ das Konto leerräumen und für Betrugsgeschäfte missbrauchen. Regelmäßig werden bei dieser Masche auch Kreditkartendaten abgefragt, damit der Schaden noch größer wird. Am Ende ist man nicht nur einen oft fünfstelligen Betrag losgeworden, den man sich nicht zurückholen kann, sondern hat auch noch jahrelangen Ärger mit Rechtsanwälten, Polizeien, Inkassoklitschen, Auskunfteien. Das ist sehr belastend und unerfreulich. Und mit dem Geld weiß hoffentlich jeder Mensch etwas besseres anzufangen, als so einem kriminellen Geschmeiß den verfeinerten Lebensstil zu finanzieren.

Zum Glück für uns alle gibt es einen einfachen und hundertprozentig sicheren Schutz gegen Phishing, die häufigste Betrugsmasche im Internet: Niemals, niemals, niemals in eine E-Mail klicken! Wenn man nicht in eine Mail klickt, kann einem kein Verbrecher so einfach einen giftigen Link unterschieben.

Stattdessen für Websites wie etwa die von PayPal ein Lesezeichen im Webbrowser anlegen und diese Website nur noch über das Lesezeichen aufrufen. Wenn man so eine Mail empfangen hat und nicht sofort bemerkt, dass es Spam ist, dann ruft man PayPal einfach über das Lesezeichen im Browser auf und meldet sich dort wie gewohnt an. Wenn es dort keinen Hinweis auf das angebliche Problem gibt, hat man einen dieser gefährlichen Cyberangriffe abgewehrt. So einfach geht das. Macht das! 🛡️

wer gern noch mehr Sicherheit hätte, wo es um Geld geht: Einfach für PayPal, die Bank und andere Unternehmen, bei denen man für Betrüger interessante Accounts hat, jeweils eine eigene Mailadresse verwenden, die man nirgends anders benutzt! Wenn niemand anders diese Adresse kennt, wird sie auch nicht irgendwann „veröffentlicht“ und empfängt deshalb auch keine Phishingspams. Ich mache das schon seit Jahren, und ich habe noch nie eine Phishingmail auf die „richtigen“ Mailadressen bekommen. (Ich habe eine eigene Mailadresse für jedes Ding im Web, bei dem ich ein Benutzerkonto habe und mich mit meiner Mailadresse registrieren musste.) Auch dieser Schutz ist sehr einfach und kostet nichts. Selbst Freemailer bieten oft Alias-Adressen an, die man auf diese Weise für den besseren Phishingschutz nutzen kann. Schaut einfach mal nach, wie das geht – oder fragt den Support! Danach könnt ihr jeder Mail ansehen, ob sie möglicherweise echt ist, indem ihr auf die Empfängeradresse schaut. Aber Achtung! Trotzdem nicht einfach reinklicken! Es ist nicht so ein guter Schutz, wie er mit digitalen Signaturen möglich wäre, die uns leider von allen Unternehmen im Internet seit Jahrzehnten verweigert werden, obwohl sie die Unternehmen nichts kosten würden. 😐️

Hilfe & Kontakt | Sicherheit | Apps

Oh, da hat der Spammer wohl die Links vergessen. 🤭️

PayPal tut alles, was es kann, um Sie vor betrügerischen E-Mails zu schützen. PayPal wird Sie immer mit Ihrem Vor- und Nachnamen anschreiben. Wie Sie Phishing-Mails erkennen

Oh, da hat der Spammer wohl noch einen Link vergessen. Aber das mit dem Vor- und Nachnamen hat er nicht verstanden, weil er gar kein Deutsch kann, und deshalb dringelassen. Das ist aber schlecht für das betrügerische Geschäftsmodell! 😅️

Bitte antworten Sie nicht auf diese E-Mail. Wenn Sie uns kontaktieren möchten, klicken Sie auf Hilfe & Kontakt.

Oh, der Spammer ist sehr vergesslich mit den Links. Ich will mal hoffen, dass dieses Textfragment nicht aus einer echten Mail von PayPal kopiert wurde. Denn mit solchen Click-here-Links würde PayPal seine Kunden an die typischen Machenschaften der Phisher gewöhnen. Und das wäre doch sehr dumm.

Sie sind sich nicht sicher, warum Sie diese E-Mail erhalten haben? Mehr erfahren

Der Spammer ist sich nicht sicher, wozu er sein Gehirn erhalten hat und klickt jetzt schon seit einem halben Monat auf einen fettgesetzten Text und wartet darauf, dass ein Keks aus dem Computer kommt. 😁️

Copyright © 1999-2025 PayPal. All rights reserved.

PayPal (Europe) S. à r.l. et Cie, S.C.A. Société en commandite par actions.
Registered office: 22-24 Boulevard Royal, L-2449 Luxemburg.
RCS Luxemburg B 118 349

PayPal RT000465:en_DE(de-DE):1 .1.0:f560728c975fa

Nein, diese Mail kommt nicht von PayPal. Sie wurde über die IP-Adresse eines Hosters aus den USA versendet, der hoffentlich Vorkasse genommen hat, denn sonst wird er kein Geld mehr für seine Dienstleistung sehen. Die Abuse-Mail ist draußen.

Verpasse nicht deine Temu-Prämie #D21449

Freitag, 20. Juni 2025

Huch, wie kam dieser Müll durch den Spamfilter? 😲️

Ich war noch nie auf der Website von Temu, habe dort keinen Account und natürlich erst recht noch nie etwas dort gekauft. Ich habe überhaupt keinen Bedarf an fabrikneuen Müll aus der Waste Economy.

Von: Special <store+91858567502@t.shopifyemail.com>
Antwort an: Special <jeremseliah@gmail.com>

Ach, das ist ja auch gar nicht von Temu. Und die Antwort soll über eine anonym und kostenlos eingerichtete Mailadresse beim dicksten Kumpel und Komplizen des Betrügers, bei Googles GMail, laufen.

Mehr muss man nicht sehen, um diesen Müll zu löschen, wenn er nicht automatisch als Spam erkannt wird. Aber ein bisschen Spaß muss ja auch mal sein. Also rein in die Spam!

Vielen Dank für Ihre Teilnahme! -- Als Dankeschön für Ihre Zeit haben Sie exklusiven Zugang zu unserer limitierten Temu Mystery Box -- Jetzt nur 1,99 € statt 59,99 € -- ⚠️ Nur noch 2 Stück verfügbar! -- [Jetzt ihre Box sichern] -- *Nur Versandkosten werden berechnet. Angebot gültig solange der Vorrat reicht. -- Diese Seite steht in keiner Verbindung zu Temu und dient ausschließlich zu Promotionszwecken

Aber ich habe gar nicht teilgenommen.

Das Bild wird ausnahmsweise mal nicht aus dem Web nachgeladen, sondern ist ein als Data-URL hinterlegtes, Base64-codiertes PNG-Bild mit einer originalen Dateigröße von 623,1 KiB. Die Mail hat dadurch eine Größe von 882,9 KiB bekommen, was eine ganz schöne Stopfmasse für so ein Mailpostfach ist. Vor allem, wenn das Bild auch noch so unfassbar mies aussieht.

In diesem Bild gibt es übrigens auch ein schnuckeliges Detail. Ich speichere das mal in etwas besserer JPG-Qualität, damit der Text nicht völlig unlesbar wird. Er ist schon bei verlustfreier Kompression sehr schwierig zu lesen. Hier kommt der spammige Sehkrafttest des Tages:

Nahezu unlesbarer Text aus der Grafik oben: Diese Seite steht in keiner Verbindung zu Temu und dient ausschließlich zu Promotionszwecken

Ja, ich schreibe das ja schon hin, denn ich konnte diese extrem kontrastarme Zeile selbst kaum lesen, trotz meines Hochskalierens im Grafikprogramm:

Diese Seite steht in keiner Verbindung zu Temu und dient ausschließlich zu Promotionszwecken

Ohne weitere Worte.

Bislang haben die Spammer in solchen Spams ja nur blinde und schwer körperbehinderte Menschen ausgeschlossen, die Texte in Grafiken nicht lesen können. Inzwischen schließen sie auch Sehende aus. Ich finde ja, dass das ein Schritt in die richtige Richtung ist. Aber leider machen sie es noch nicht mit dem gesamten Text in solchen Quatschbildern. 😁️

Und nein, das sieht nicht nur unseriös und vorsätzlich betrügerisch aus, das ist unseriös und vorsätzlich betrügerisch. Es ist ja auch eine Spam. Von Trickbetrügern. Die einen falschen Eindruck erwecken wollen. Alle Daten, die jemand eingegeben hat, nachdem er auf dieses Phishing reingefallen ist und geklickt hat, gehen direkt an eine Trickbetrügerbande. Das gilt für den Login zu Temu, den man vermutlich eintippen soll. Das gilt aber auch für die Kreditkartendaten, mit denen man die rd. zwei Euro „Nur Versandkosten“ bezahlen soll. Über die Kreditkarte wird schnell das Konto völlig leergeräumt, anschließend werden noch Betrugsgeschäfte auf der ganzen Welt damit gemacht. Man verliert eine Menge Geld, und kriegt „zum Ausgleich dafür“ jahrelangen Ärger, weil man immer wieder zum Ziel von Ermittlungen der Kriminalpolizei wird. Ein schier unendlicher Spaß! 😐️

Das ist auch mal eine Art Überraschungspaket. Es ist ja nicht jede Überraschung so angenehm wie ein Paket voll mit billigem Tinnef, oder, wie es Werber zu nennen pflegen, eine „Mystery Box“.

So, und jetzt noch zum Text. Die Spam hat auch etwas Text, der wohl eher so als sinnlose Spamprosa gemeint ist. Denn eine Mail, die nur aus einem Bild besteht, kommt durch Spamfilter nur selten hindurch, und das wäre doch schlecht für das „Geschäftsmodell“ eines Trickbetrügers.

Mein Shop Rechnung #D21449

Schließe deinen Einkauf ab

Schließe deinen Einkauf ab
oder Zu unserem Shop

Bestellübersicht

pels × 2 Kostenlos

Zwischensumme €0,00
Versand €0,00
Geschätzte Steuern €0,00
Gesamt €0,00 EUR

Kundeninformationen

Lieferadresse Roger
Rechnungsadresse Roger

Falls du Fragen hast, antworte auf diese E-Mail oder kontaktiere uns unter jeremseliah@gmail.com.

Nein danke, alle meine Fragen sind erschöpfend beantwortet. Es ist alles Roger.

Entf! 🗑️

Dein neues iPhone 16 Plus wartet auf Dich.

Samstag, 14. Juni 2025

Aber ich will gar keinen Taschencomputer, dessen Hersteller mir das Recht vorenthalten will, diejenige Software darauf auszuführen, die ich für gut und richtig halte. Was soll ich denn mit so einem Mist? Und überhaupt: Wer schreibt mir hier?

Von: АррІе <eat3nxuu@celaya.tecnm.mx>

So so, Apple soll das sein. Die Mailadresse passt zwar nicht, aber dafür schreibt sich Apple jetzt auch mit einem großen „i“ statt eines kleinen „L“. Obwohl, „Appie“ wäre auch eine gute Firmierung. Aber da würde Apple sicherlich etwas gegen unternehmen, vor allem, wenn man die so vorsätzlich verwechselbar schreibt. 🤭️

Die Spam wurde übrigens aus dem IP-Bereich von Google, dem größten Kumpel und Komplizen des Spammers und Betrügers, versendet. Von einer Abuse-Meldung sehe ich ab. Es ist nach allen meinen Erfahrungen sinnlos. Google unternimmt nichts gegen Spammer und Betrüger. Google lastet den Arbeitsaufwand uns allen auf und sackt noch mehr Reibach ein. Google ist selbst Spam, und genau so asozial wie Spam. Daran ändert auch die Umbenennung zu „Alphabet“ nichts.

Dass eine angebliche „Mail von Apple“ allerdings vom Mitbewerb kommt, ist schon mehr als nur ein bisschen lächerlich. Nun ja, die Zielgruppe dieser Spam bemerkt es nicht. Dafür müsste man ja in die Mailheader schauen.

Apple Logo

Eigentlich sollte hier ein Bild erscheinen, aber ich lade keine Grafiken aus dem Web nach. Für Genießer und Freunde der spontanen Heiterkeit zeige ich hier aber gern mal den zugehörigen Quelltext der HTML-formatierten Spam:

<img alt="Apple Logo" height="auto" src="https://upload.wikimedia.org/wikipedia/commons/f/fa/Apple_logo_black.svg" width="80" />

Oh, „Apple“ hostet sein eigenes Firmenlogo in der Wikipedia? 😂️

Sie haben gewonnen! 🎉

Ich habe nirgends mitgespielt. Und vor allem: Ich habe nirgends meine Mailadresse angegeben. Schon gar nicht bei Apple.

Herzlichen Glückwunsch! Ihre E-Mail-Adresse wurde aus allen Teilnehmern in Deutschland ausgewählt und Sie haben ein neues iPhone 16 Plus gewonnen 📱.

Um Ihr iPhone zu erhalten, geben Sie bitte jetzt Ihre vollständige Lieferadresse ein. Nach Abschluss erhalten Sie eine E-Mail mit einer Bestätigung und einer Sendungsverfolgungsnummer für Ihre Lieferung 📦.

⏳ Dieses Angebot ist gültig bis zum 19. Juni 2025. Verpassen Sie nicht Ihre Chance!

Jetzt Lieferadresse eingeben

Immer wieder lustig, diese lustigen Phisher. Ich habe schon längst gewonnen, weil ich so eine schöne Mailadresse habe, aber ich darf jetzt nicht meine Chance verpassen. Und deshalb muss ich einmal so datennackt ziehen, dass es sogar für einen betrügerischen Identitätsmissbrauch ausreicht. Zusammen mit einer Einwilligung, dass ich über die Sackpost, auf meiner Mailadresse und am Bimmelfon mit Reklame belästigt werden darf. Das wird dann verkauft. Wir alle lieben das doch, wenn jeden Tag fünf Gewinnbimmler anrufen und der schöne Liebesbrief nie ankommt, weil er unbeachtet und ungelesen mit den zwanzig täglichen Reklameschrieben im Müll landet, während das Mailpostfach von Reklamelügen halbseidener, mit Spammern zusammenarbeitender Geschäftemacher überquillt. Genau das Richtige für Leute, die noch nicht genug Spam haben.

Wer auf den Link klickt, hat natürlich verloren. Wenn ich mit meinem normalen Kommandozeilenapparat analysieren will, gibt es eine unmittelbare Weiterleitung zur Homepage eines mittelgroßen deutschen Telekomanbieters, aber wenn ich – bitte nicht einfach nachmachen, für solche Experimente mit den Websites von Kriminellen halte ich eine virtuelle Maschine vor, und nicht einmal das ist wirklich sicher – mit einem „richtigen“ Desktopbrowser aufrufe, dann sehe ich die folgende Webseite in einer Subdomain von zauberportal (punkt) com, eine Domain, die übrigens eigens über einen Anonymisierungsdienstleister¹ registriert wurde:

Screenshot der betrügerischen, spambeworbenen Gewinnspiel-Website

Einmal ganz davon abgesehen, dass niemand solche Tricksereien nötig hat, wenn er kein Krimineller ist: Eben hatte ich doch noch gewonnen, und jetzt soll ich erstmal am Spiel teilnehmen, in dem ich längst gewonnen habe? Wie dumm muss man sein, um darauf reinzufallen?

Alle Daten, die man eingibt, gehen direkt an Kriminelle. Die „Einwilligung“, dass diese Daten von undurchsichtigen und gewiss mehr als nur halbseidenen „Partnern“ des Veranstalters für beliebige Reklamezwecke genutzt werden dürfen, wird erzwungen, wenn man auf „Weiter“ klickt.² Natürlich muss man auch im zweiten Schritt noch seine Anschrift, seine Telefonnummer und sein Geburtsdatum offenbaren.

© 2025 АррІе Inc. Alle Rechte vorbehalten.
Diese Nachricht ist informativ und stellt kein offizielles Angebot von АррІе dar.

Hier steht übrigens wieder „Appie“, nur mit großgeschriebenem „i“. Ansonsten zitiere ich mal die Fußzeile aus der Phishing-Seite dieser Betrüger:

Dies ist ein Gewinnspiel der Bluereen Media LTD. Die abgebildete Marke ist weder Veranstalter noch Sponsor dieses Gewinnspiels und steht mit der Bluereen Media LTD in keiner geschäftlichen Beziehung.

Keine weiteren Worte.

Phishing in allen nur erdenklichen Formen ist eine der häufigsten Formen des Trickbetrugs im Internet – und auch eine der ältesten. Es läuft aber immer noch, und im Moment läuft mal wieder eine Menge davon. Zum Glück kann sich davor sehr wirksam schützen, indem man niemals in eine E-Mail klickt. Dann kann einem auch kein Betrüger einen giftigen Link unterschieben. Aber Menschen, die allen Ernstes daran glauben, dass Apple seine überteuerten Gängel- und Technikverhinderungscomputer verschenkt, wenn man nur eine schöne Mailadresse hat, werden von solchen Hinweisen wohl auch nicht mehr erreicht. Etwas Verstand und seine alltagspraktische Benutzung ist ebenfalls ein sehr wichtiger Beitrag zur Computersicherheit. Beides, sowohl das Unbeklicktlassen von E-Mail als auch das Benutzen des Verstandes am Computer, kostet übrigens kein Geld und kann schnell tausende bis zehntausende Euro Schaden und langanhaltenden Ärger vermeiden. Beides ist auch viel wirksamer als alle Antivirusprogramme und alles sonstige Schlangenöl für Computersicherheit.

¹Bitte nicht falsch verstehen: Wenn man als Privatperson eine Website betreiben möchte und seine Privatsphäre vor Stalkern, Doxxern, Fanatikern und vergleichbar destruktiven Zeitgenossen schützen möchte, kann das eine völlig sinnvolle und sogar empfehlenswerte Maßnahme sein. Wenn man aber eine gewerbsmäßig betriebene Website macht, die sowieso impressumspflichtig ist, dann ist das einfach nur sinnlos, außer man plant, nur kriminelle Geschäfte zu machen und sich dabei vor dem Zugriff durch die Polizei zu schützen…

²Für solche Experimente benutze ich Daten aus dem Fake Name Generator, die garantiert auch nicht zufällig mit Daten wirklich lebender Menschen übereinstimmen.

Schnelle Aktion erforderlich, um Ihr Konto aktiv zu halten 🔑

Freitag, 13. Juni 2025

Rabmer wünscht ein frohes Weihnachtsfest und alles Gute für 2025.‌

Sind ja nur noch 195 Tage, bis schon wieder Weihnachten ist. Huch, ich muss rasch noch Geschenke kaufen! 🎄️

Wird diese Nachricht nicht richtig dargestellt, klicken Sie bitte hier.

Ich klicke dann aber lieber auf den Klickeknopf, auf dem „Löschen“ steht. Dann ist das Problem auch behoben. E-Mail von denkenden und fühlenden Menschen erregt zwar öfter mal aus inhaltlichen Gründen mein Missfallen, wird aber immer richtig dargestellt. Das Kunststück, „nicht richtig dargestellte“ E-Mail zu verfassen, bleibt nur den Spammern und Werbern vorbehalten. Pack eben, das schon mit dem Design von Mails an meiner Aufmerksamkeit zerren will. Aber vielen Dank noch einmal für das explizite „Click here“ im Text der Spam. Diesen dümmstmöglichen Stummelspruch schreiben auch nur Werber und Spammer, niemals denkende und fühlende Menschen oder auch nur gebildete Amöben mit einer Spur von Sprachgefühl. Zwischenzeitlich war mal über zwei Jahre lang meine durch Mehrsprachigkeit etwas überkomplizierte Click-here-Regel die eine Regel, die den Großteil meiner Spam dorthin befördert hat, wo er hingehört: In die eklige Sondermülltonne. Es hat in der ganzen Zeit nicht eine einzige „echte“ Mitteilung eines denkenden und fühlenden Menschen erwischt.

Platzhalter

Bester! Spamtext! Ever! 🤣️

Das sollte ich hier auch mal machen:

Platzhaltergrafik, sehr dada

Ja, ich weiß, in DIN-Schrift hätte es noch besser, überzeugender und professioneller ausgesehen. Aber so finde ich es ansprechender und ästhetisch reizvoller. Akzidenz Grotesk ist die hübscheste Schriftartfamilie, die ich je gesehen habe (tatsächlich noch vor Helvetica), wenn man sich nicht daran stört, dass sie etwas vom ganz besonderen „Charme“ der Sechziger und frühen Siebziger Jahre mit sich trägt. Ich nenne mein Werk „Platzhalter“. 😁️

(Und ja, ich weiß, ich hätte das auch in HTML und CSS machen können, und ich weiß natürlich auch, wie man so etwas macht, aber weil ich niemanden meine Schriftarten in den Browser reindrücken und aufzwingen will, hätte ich dann keine Kontrolle über die Schriftart gehabt und das hätte mir leicht die Proportionen ein bisschen zerschossen. Warum ich nicht über Schriftarten auf Unser täglich Spam bestimmen will? Weil ich diese Website vorsätzlich so schlicht wie möglich halte, weil sie schnell sein soll, weil die Texte nicht erst nach einem Schriftartdownload und nervigem temporären Absatzneuformatierungsgeruckel richtig dargestellt werden sollen und weil ich davon überzeugt bin, dass die meisten Menschen, die in ihrem Webbrowser bestimmte Schriftarten eingestellt haben, dafür auch einen guten Grund haben, sei es die Ästhetik oder einfach nur eine etwas bessere Lesbarkeit. Nicht jeder Mensch kann gut sehen. Nicht jeder Mensch kann jede Schriftart gut lesen.¹ Ich finde es übrigens schade und teilweise sogar erbärmlich, dass so eine Nachdenklichkeit beim Webdesign völlig aus der Mode gekommen ist, dass mir jede Furz- und Wiesenwebsite und jede Website mit politisch-journalistischen Inhalten ihre eigene Typografie reindrücken will. Ja, ich meine auch FAZ und Spiegel. Es hat immer irgendeinen Grund, weshalb sich jemand Schriftarten im Browser einstellt. Das zu respektieren, ist ein Stück Barrierefreiheit.)

Hallo ,

Aber ganz genau mein Name!

wir möchten Sie kurz daran erinnern:

Ja, dann macht es doch einfach, statt mir im pseudohöflichen Tonfall zu erzählen, was ihr wollt.

Ihr Konto war in letzter Zeit inaktiv.

Geht doch!

Welches Konto ist es denn? Wer seid ihr überhaupt. Dass Spammer in ihren hirnlosen Phishingspams nicht meinen Namen kennen und mich deshalb „Hallo“, „Lieber Kunde“ oder „Guten Tag“ nennen, das kenne ich ja schon seit Jahrzehnten. Aber dass sie nicht einmal mehr nennen, was sie selbst zu sein vorgeben wollen, das ist schon sehr dumm. Was steht denn im Absender der Spam?

Von: Clever Reach <marketing@rabmer.at>

Da habe ich noch nie etwas von gehört. Aber ich scheine ja auch nicht die Zielgruppe dieses Phishings zu sein.

Um sicherzustellen, dass alles weiterhin reibungslos funktioniert und keine Unterbrechungen entstehen, müssen Sie sich nur einmal einloggen.

🔒 Es sind keine weiteren Schritte notwendig.

Ihre Daten sind weiterhin vollständig geschützt – dies ist lediglich eine Routineüberprüfung, um Ihr Konto aktiv zu halten.

Jetzt einloggen

Wer da klickt, hat verloren. Natürlich ist das Phishing. Wenn man sich „anmeldet“, haben hinterher Trickbetrüger das Benutzerkonto. Alle Daten, die man anschließend noch eingibt, sind hinterher ebenfalls in der Hand von Trickbetrügern.

Bei Fragen oder Unterstützungsbedarf steht Ihnen unser Support-Team jederzeit gerne zur Verfügung.

Das ist aber nett! Vor meinem Arsch ist auch kein Gitter.

Vielen Dank, dass Sie unsere Plattform nutzen.

Mache ich doch gar nicht. 🙃️

Mit freundlichen Grüßen
CleverReach GmbH & Co. KG | HRA 4020 Oldenburg (Oldb.)
//CRASH-Gebäude | Schafjückenweg 2 | 26180 Rastede | Deutschland
+49 (0) 4402 97■■■ – 00 | Fax: +49 (0) 4402 97■■■ – 99

Ich habe die Telefonnummer im Zitat mal unkenntlich gemacht. Die armen Seelen, die dort gerade am Apparat sitzen, sind für heute schon gestraft genug.  

Vertreten durch: CleverReach Verwaltungs GmbH | HRB 210079 Oldenburg (Oldb.)
//CRASH-Gebäude | Schafjückenweg 2 | 26180 Rastede | Deutschland
Management: Sebastian Strzelecki & Jens Klibingat, Sebastian Schwarz
Aufsichtsrat: Rolf Hilchner & Heinz-Wilhelm Bogena

Da sage noch mal jemand, dass Spams kein E-Mail-Impressum hätten! Gut, das hat hier nichts mit dem Absender zu tun, aber ist formal korrekt und wäre rechtssicher, wenn es stimmte. Spam ist Lüge. Nichts darin stimmt. Genau wie die Reklame.

Übrigens: Diese Mail hat neben dem HTML-formatierten Teil auch einen Teil mit reinem Text für Leute wie mich, die ihre Mailsoftware kein HTML in einer E-Mail darstellen lassen. Der Text sieht dann so aus:

Ihr E-Mail Programm unterstützt leider keine HTML E-Mails.

Hier finden Sie diesen Newsletter online:
[Überlange Adresse von mir entfernt]

Wenn Sie diese E-Mail nicht mehr empfangen mchten, können Sie diese kostenlos abbestellen:
[Überlange Adresse von mir entfernt] –
Rabmer Management & Beteiligungs GmbH
Carina Panholzer
Bruckbachweg 23
4203 Altenberg
Österreich

072307■■■
office@rabmer.at

Wenn Sie diese E-Mail (an: sag@ich.net) nicht mehr empfangen möchten, können Sie diese hier kostenlos abbestellen.

Die Telefonnummer habe ich wieder unkenntlich gemacht. Ich hoffe mal, dass weitere Worte nicht mehr erforderlich sind. Aber immerhin: Ein Mailimpressum! 😂️

Entf! 🗑️

¹Menschen mit stärker ausgeprägter Leseschwäche verwechseln zum Beispiel sehr leicht ähnlich aussehende Zeichen und nutzen deshalb am Computer spezielle Schriftarten, in denen die Buchstaben zwar nicht mehr so schön aussehen, aber dafür viel klarer unterscheidbar sind. Das erhöht ihre Lesegeschwindigkeit deutlich und reduziert die Anstrengung, die sie sonst fürs Lesen aufwänden müssen. Das betrifft einige Prozent der Menschen weltweit, und diese Menschen sind nicht etwa dumm, sie können nur nicht so gut lesen (und bleiben deshalb oft auch ungebildet und uninformiert, sind lebenslang unsicher, wenn sie selbst schreiben sollen und können schon froh darüber sein, wenn sie keine Analphabeten geworden sind). Gut, dass man relativ einfach etwas Abhilfe schaffen kann! Denn genau dafür ist die Technik da: Dass sie uns dient. Nicht umgekehrt.

Einkommensteuer-Rückzahlung: Bitte verifizieren Sie Ihr Konto

Donnerstag, 12. Juni 2025

⚠️ Diese Mail kommt nicht von Elster und nicht von einem Finanzamt der Bundesrepublik Deutschland. Es ist eine Spam. Nicht darauf reinfallen! ⚠️

Von: noreply@elster.de
An: gammelfleisch@tamagothi.de

Die Absenderadresse ist gefälscht. Die E-Mail wurde in Wirklichkeit über die IP-Adresse eines Hosting-Dienstleisters aus den USA versendet, der hoffentlich Vorkasse genommen hat, denn sonst wird er von diesen Betrügern kein Geld mehr sehen.

Natürlich wurde diese Mail allein wegen gescheiterter SPF-Überprüfung in den Müll sortiert, und das sollte auch überall so laufen. Klar, DKIM scheitert auch. Wenn ich nicht so neugierig wäre, was sich im Spamfilter verfängt, hätte ich diesen Phishingversuch gar nicht erst gesehen. 😉️

ELSTER

Eine Mitteilung der Bundesbehörde.

Oh, eine Bundesbehörde, die eine Elster ist? 🤭️

Sehr geehrter Kunde,

Und dann kennt die nicht einmal meinen Namen oder gar meine Steuernummer? Stattdessen spricht sie mich als „Kunden“ an? Na, ist hier schon einmal jemand von seinem Finanzamt als „Kunde“ angesprochen worden?

Um die Rückzahlung Der [sic!] Einkommensteuer zu erhalten, müssen Sie Ihr Konto verifizieren, damit wir den vollen Betrag auf das richtige Konto überweisen können.

Zum Dokument

Natürlich führt der Link weder zu einer Elster noch zu einem Finanzamt, es ist ja eine Spam – und wer darauf geklickt, hat den Spammern zudem noch mitgeteilt, dass die Spam angekommen ist, gelesen wurde und sogar beklickt wurde. Ich kann das hier nur so freizügig untersuchen, weil es eine eh schon spamverseuchte Mailadresse betrifft:

$ mime-header "https://t.dripemail2.com/c/eyJhY2NvdW50X2lkIjoiMzY2MzI3NCIsImRlbGl2ZXJ5X2lkIjoiMGhqd240cWJpeW5xa3pkMXB1dW8iLCJ1cmwiOiJodHRwczovL3d3dy1lbHN0ZXIuYXV0aC1udmlkZW50aWZpYW50LmNvbS8ifQ"
HTTP/1.1 307 Temporary Redirect
Date: Thu, 12 Jun 2025 10:20:33 GMT
Content-Length: 0
Connection: close
Location: https://www-elster.auth-nvidentifiant.com/
$ surbl www-elster.auth-nvidentifiant.com
www-elster.auth-nvidentifiant.com	okay
$ dig auth-nvidentifiant.com | grep -v "^;" | grep IN
auth-nvidentifiant.com.	521	IN	SOA	clayton.ns.cloudflare.com. dns.cloudflare.com. 2375034244 10000 2400 604800 1800
$ _

Alle Daten, die man auf der verlinkten Website angibt, gehen direkt an Trickbetrüger. Die lustige Domain der Phisher steht leider noch nicht auf allen einschlägigen Blacklists, so dass man von Sicherheitsschlangenöl im Webbrowser nicht gewarnt wird. Die Verbrecher sind eben immer ein bisschen voraus, man kann sich auf so einen Schutz nicht verlassen. Allerdings haben die Betrüger ihr DNS über Cloudflare gemacht, und ich weiß aus Erfahrung, dass Cloudflare recht schnell tätig wird, wenn man ihnen eine Abuse-Meldung wegen Phishing oder Vorschussbetrug, den beiden häufigsten Trickbetrugsformen im gegenwärtigen Internet, schickt. Schon jetzt wird wohl jeder eine Warnung sehen, dass die Seite wegen Phishingverdachts gemeldet wurde, wenn er auf den Link aus dieser Spam klickt – und müsste sich explizit weiterklicken, um zur betrügerischen Website zu kommen. Nicht vollkommen, aber besser als nichts. Es kann aber auch nicht jede Klitsche so gleichgültig wie Google sein…

(Nein, ich mag Cloudflare nicht wirklich. Verstehe bitte niemand ein kleines Lob von mir als eine Reklame! Ja, die Konfigdateien für BIND 9 sind ein Krampf im Arsch, und die Syntax hat sich mutmaßlich jemand ausgedacht, der nach zwanzig Jahren als Folterknecht auch mal etwas wirklich Böses tun wollte, so dass man wirklich leicht und erstmal unbemerkt einen Fuckup allererster Güteklasse baut, was ich auch schon selbst geschafft habe, aber so schwierig ist es am Ende auch wieder nicht. Wenn gefühlt zwei Drittel der Namensauflösung im Internet über einen einzigen Anbieter laufen, ist das durchaus ein Problem.)

Aber eigentlich sollte niemand diese Spam in seinem normalen Posteingang sehen. Sie wird schon von banal konfigurierten Spamfiltern aussortiert, weil die gefälschte Mailadresse in der Domain elster (punkt) de am SPF scheitert.

ELSTER ®

Zahlungsreferenz: monisnap

So so, monisnap. Da ahnt man ja schon, dass da wohl auch ein Vorschussbetrug der Marke „Senden sie uns die Bearbeitungsgebühr über einen anonymen Dienstleister irgendwo in die weite Welt“ inszeniert werden soll. Das Problem scheint bei Moni nicht wirklich unbekannt zu sein. 😅️

Wenn man gar nicht erst in eine Mail klickt, kann einem niemand so leicht einen vergifteten Link unterschieben. Das Finanzamt kommuniziert nicht per E-Mail, es kennt die Namen der Leute, die es anschreibt und es würde eine Steuernummer nennen. Wenn man sich trotz so starker Anzeichen für einen Trickbetrug unsicher ist und nicht gleich für eine Nachfrage beim Finanzamt anrufen möchte, liefert auch eine Websuche schnell klare Warnzeichen, zum Beispiel diesen Hinweis der „Cybersicherheitsagentur“ Baden-Württemberg. Wer davon nicht genug gewarnt wird, wird vermutlich auch nicht von mir erreicht. Entschuldigt bitte meine Anführungszeichen um diese Behördenbezeichnung, aber jedes derartige Wort mit „Cyber“ finde ich dermaßen dumm, dass ich schon lange nicht mehr darüber lachen kann. Die Verbrechensformen, die man damit bezeichnet, um den verbreiteten digitalen Analphabetismus von Politik, Verwaltung und Polizeien in der Bundesrepublik Deutschland zu dokumentieren, haben nicht einmal in einem skurillen Sinn etwas mit Kybernetik zu tun. Tatsächlich ist es eine relativ neue und politikgeborene Wortschöpfung, um sprachlich die politisch erwünschte und zunehmend erzwungene Internetnutzung – diese heißt dann „digital“, „Digitalisierung“, „elektronisch“, etc. – von jenen kriminellen Nutzungsformen zu unterscheiden, denen man damit die Türen öffnet. Weil die Leute, die so reden, nicht einmal den Unterschied zwischen digitaler und analoger Technik erklären können. (Vorsicht, dieser Link zur einem unbeholfenen Sprechakt der hessischen Digitalministerin macht großes Aua im Kopf!) Und alle plappern es nach. Es ist zum Fremdschamsterben dumm.

Aber es gibt auch Lichtblicke. Das Landeskriminalamt Niedersachsen spricht stattdessen in der öffentlichen Kommunikation von Internetkriminalität, was ein viel besseres Wort ist. Die haben wohl auch schon eine ähnliche Spam gehabt, und ich zitiere hier mal aus dem den völlig vernünftigen und gut formulierten Hinweis:

Generelle Hinweise:

Sollten Sie eine Mail im Aussehen von ELSTER bekommen haben, dann haben Sie diezbezüglich zuvor auch etwas selbst initiiert (z.B. gerade Elster genutzt und Ihre Steuererklärung abgeschickt). Sollten Sie unsicher sein, so klicken Sie niemals auf einen Link einer solchen Mail. Nutzen Sie die Ihnen bekannte und echte Adresse www.elster.de bzw. https://www.elster.de/eportal/start . Alternativ steht Ihnen auch die offizielle App MeinELSTER+ vom bayerischen Landesamt für Steuern zur Verfügung. Dort können Sie auch Ihren Posteingang prüfen.

In Formularen von Elster werden Sie nicht auf diese Weise (siehe oben) kontaktiert. Lesen Sie in Ruhe den gezeigten Absender. Ggf. können Sie dort bereits die Fälschung erkennen

Klickt nicht, niemals und unter keinen Umständen in E-Mail (außer, ihr kennt den Absender persönlich und die Mail ist digital signiert oder ihr habt über einen anderen Kanal rückgefragt), und schon gar nicht, wenn es um Geld geht! Wenn ihr es doch mal getan habt, und auf einmal einen Datenstriptease machen, euch anmelden oder euch registrieren sollt, gebt nichts ein und schließt den Browsertab! Bank- und Kreditkartendaten schon gar nicht! Lasst die Betrüger einfach verhungern!