Kategoriearchiv „Phishing“

Dein neues iPhone 16 Plus wartet auf Dich.

Samstag, 14. Juni 2025

Aber ich will gar keinen Taschencomputer, dessen Hersteller mir das Recht vorenthalten will, diejenige Software darauf auszuführen, die ich für gut und richtig halte. Was soll ich denn mit so einem Mist? Und überhaupt: Wer schreibt mir hier?

Von: АррІе <eat3nxuu@celaya.tecnm.mx>

So so, Apple soll das sein. Die Mailadresse passt zwar nicht, aber dafür schreibt sich Apple jetzt auch mit einem großen „i“ statt eines kleinen „L“. Obwohl, „Appie“ wäre auch eine gute Firmierung. Aber da würde Apple sicherlich etwas gegen unternehmen, vor allem, wenn man die so vorsätzlich verwechselbar schreibt. 🤭️

Die Spam wurde übrigens aus dem IP-Bereich von Google, dem größten Kumpel und Komplizen des Spammers und Betrügers, versendet. Von einer Abuse-Meldung sehe ich ab. Es ist nach allen meinen Erfahrungen sinnlos. Google unternimmt nichts gegen Spammer und Betrüger. Google lastet den Arbeitsaufwand uns allen auf und sackt noch mehr Reibach ein. Google ist selbst Spam, und genau so asozial wie Spam. Daran ändert auch die Umbenennung zu „Alphabet“ nichts.

Dass eine angebliche „Mail von Apple“ allerdings vom Mitbewerb kommt, ist schon mehr als nur ein bisschen lächerlich. Nun ja, die Zielgruppe dieser Spam bemerkt es nicht. Dafür müsste man ja in die Mailheader schauen.

Apple Logo

Eigentlich sollte hier ein Bild erscheinen, aber ich lade keine Grafiken aus dem Web nach. Für Genießer und Freunde der spontanen Heiterkeit zeige ich hier aber gern mal den zugehörigen Quelltext der HTML-formatierten Spam:

<img alt="Apple Logo" height="auto" src="https://upload.wikimedia.org/wikipedia/commons/f/fa/Apple_logo_black.svg" width="80" />

Oh, „Apple“ hostet sein eigenes Firmenlogo in der Wikipedia? 😂️

Sie haben gewonnen! 🎉

Ich habe nirgends mitgespielt. Und vor allem: Ich habe nirgends meine Mailadresse angegeben. Schon gar nicht bei Apple.

Herzlichen Glückwunsch! Ihre E-Mail-Adresse wurde aus allen Teilnehmern in Deutschland ausgewählt und Sie haben ein neues iPhone 16 Plus gewonnen 📱.

Um Ihr iPhone zu erhalten, geben Sie bitte jetzt Ihre vollständige Lieferadresse ein. Nach Abschluss erhalten Sie eine E-Mail mit einer Bestätigung und einer Sendungsverfolgungsnummer für Ihre Lieferung 📦.

⏳ Dieses Angebot ist gültig bis zum 19. Juni 2025. Verpassen Sie nicht Ihre Chance!

Jetzt Lieferadresse eingeben

Immer wieder lustig, diese lustigen Phisher. Ich habe schon längst gewonnen, weil ich so eine schöne Mailadresse habe, aber ich darf jetzt nicht meine Chance verpassen. Und deshalb muss ich einmal so datennackt ziehen, dass es sogar für einen betrügerischen Identitätsmissbrauch ausreicht. Zusammen mit einer Einwilligung, dass ich über die Sackpost, auf meiner Mailadresse und am Bimmelfon mit Reklame belästigt werden darf. Das wird dann verkauft. Wir alle lieben das doch, wenn jeden Tag fünf Gewinnbimmler anrufen und der schöne Liebesbrief nie ankommt, weil er unbeachtet und ungelesen mit den zwanzig täglichen Reklameschrieben im Müll landet, während das Mailpostfach von Reklamelügen halbseidener, mit Spammern zusammenarbeitender Geschäftemacher überquillt. Genau das Richtige für Leute, die noch nicht genug Spam haben.

Wer auf den Link klickt, hat natürlich verloren. Wenn ich mit meinem normalen Kommandozeilenapparat analysieren will, gibt es eine unmittelbare Weiterleitung zur Homepage eines mittelgroßen deutschen Telekomanbieters, aber wenn ich – bitte nicht einfach nachmachen, für solche Experimente mit den Websites von Kriminellen halte ich eine virtuelle Maschine vor, und nicht einmal das ist wirklich sicher – mit einem „richtigen“ Desktopbrowser aufrufe, dann sehe ich die folgende Webseite in einer Subdomain von zauberportal (punkt) com, eine Domain, die übrigens eigens über einen Anonymisierungsdienstleister¹ registriert wurde:

Einmal ganz davon abgesehen, dass niemand solche Tricksereien nötig hat, wenn er kein Krimineller ist: Eben hatte ich doch noch gewonnen, und jetzt soll ich erstmal am Spiel teilnehmen, in dem ich längst gewonnen habe? Wie dumm muss man sein, um darauf reinzufallen?

Alle Daten, die man eingibt, gehen direkt an Kriminelle. Die „Einwilligung“, dass diese Daten von undurchsichtigen und gewiss mehr als nur halbseidenen „Partnern“ des Veranstalters für beliebige Reklamezwecke genutzt werden dürfen, wird erzwungen, wenn man auf „Weiter“ klickt.² Natürlich muss man auch im zweiten Schritt noch seine Anschrift, seine Telefonnummer und sein Geburtsdatum offenbaren.

© 2025 АррІе Inc. Alle Rechte vorbehalten.
Diese Nachricht ist informativ und stellt kein offizielles Angebot von АррІе dar.

Hier steht übrigens wieder „Appie“, nur mit großgeschriebenem „i“. Ansonsten zitiere ich mal die Fußzeile aus der Phishing-Seite dieser Betrüger:

Dies ist ein Gewinnspiel der Bluereen Media LTD. Die abgebildete Marke ist weder Veranstalter noch Sponsor dieses Gewinnspiels und steht mit der Bluereen Media LTD in keiner geschäftlichen Beziehung.

Keine weiteren Worte.

Phishing in allen nur erdenklichen Formen ist eine der häufigsten Formen des Trickbetrugs im Internet – und auch eine der ältesten. Es läuft aber immer noch, und im Moment läuft mal wieder eine Menge davon. Zum Glück kann sich davor sehr wirksam schützen, indem man niemals in eine E-Mail klickt. Dann kann einem auch kein Betrüger einen giftigen Link unterschieben. Aber Menschen, die allen Ernstes daran glauben, dass Apple seine überteuerten Gängel- und Technikverhinderungscomputer verschenkt, wenn man nur eine schöne Mailadresse hat, werden von solchen Hinweisen wohl auch nicht mehr erreicht. Etwas Verstand und seine alltagspraktische Benutzung ist ebenfalls ein sehr wichtiger Beitrag zur Computersicherheit. Beides, sowohl das Unbeklicktlassen von E-Mail als auch das Benutzen des Verstandes am Computer, kostet übrigens kein Geld und kann schnell tausende bis zehntausende Euro Schaden und langanhaltenden Ärger vermeiden. Beides ist auch viel wirksamer als alle Antivirusprogramme und alles sonstige Schlangenöl für Computersicherheit.

¹Bitte nicht falsch verstehen: Wenn man als Privatperson eine Website betreiben möchte und seine Privatsphäre vor Stalkern, Doxxern, Fanatikern und vergleichbar destruktiven Zeitgenossen schützen möchte, kann das eine völlig sinnvolle und sogar empfehlenswerte Maßnahme sein. Wenn man aber eine gewerbsmäßig betriebene Website macht, die sowieso impressumspflichtig ist, dann ist das einfach nur sinnlos, außer man plant, nur kriminelle Geschäfte zu machen und sich dabei vor dem Zugriff durch die Polizei zu schützen…

²Für solche Experimente benutze ich Daten aus dem Fake Name Generator, die garantiert auch nicht zufällig mit Daten wirklich lebender Menschen übereinstimmen.

Schnelle Aktion erforderlich, um Ihr Konto aktiv zu halten 🔑

Freitag, 13. Juni 2025

Rabmer wünscht ein frohes Weihnachtsfest und alles Gute für 2025.‌

Sind ja nur noch 195 Tage, bis schon wieder Weihnachten ist. Huch, ich muss rasch noch Geschenke kaufen! 🎄️

Wird diese Nachricht nicht richtig dargestellt, klicken Sie bitte hier.

Ich klicke dann aber lieber auf den Klickeknopf, auf dem „Löschen“ steht. Dann ist das Problem auch behoben. E-Mail von denkenden und fühlenden Menschen erregt zwar öfter mal aus inhaltlichen Gründen mein Missfallen, wird aber immer richtig dargestellt. Das Kunststück, „nicht richtig dargestellte“ E-Mail zu verfassen, bleibt nur den Spammern und Werbern vorbehalten. Pack eben, das schon mit dem Design von Mails an meiner Aufmerksamkeit zerren will. Aber vielen Dank noch einmal für das explizite „Click here“ im Text der Spam. Diesen dümmstmöglichen Stummelspruch schreiben auch nur Werber und Spammer, niemals denkende und fühlende Menschen oder auch nur gebildete Amöben mit einer Spur von Sprachgefühl. Zwischenzeitlich war mal über zwei Jahre lang meine durch Mehrsprachigkeit etwas überkomplizierte Click-here-Regel die eine Regel, die den Großteil meiner Spam dorthin befördert hat, wo er hingehört: In die eklige Sondermülltonne. Es hat in der ganzen Zeit nicht eine einzige „echte“ Mitteilung eines denkenden und fühlenden Menschen erwischt.

Platzhalter

Bester! Spamtext! Ever! 🤣️

Das sollte ich hier auch mal machen:

Platzhaltergrafik, sehr dada

Ja, ich weiß, in DIN-Schrift hätte es noch besser, überzeugender und professioneller ausgesehen. Aber so finde ich es ansprechender und ästhetisch reizvoller. Akzidenz Grotesk ist die hübscheste Schriftartfamilie, die ich je gesehen habe (tatsächlich noch vor Helvetica), wenn man sich nicht daran stört, dass sie etwas vom ganz besonderen „Charme“ der Sechziger und frühen Siebziger Jahre mit sich trägt. Ich nenne mein Werk „Platzhalter“. 😁️

(Und ja, ich weiß, ich hätte das auch in HTML und CSS machen können, und ich weiß natürlich auch, wie man so etwas macht, aber weil ich niemanden meine Schriftarten in den Browser reindrücken und aufzwingen will, hätte ich dann keine Kontrolle über die Schriftart gehabt und das hätte mir leicht die Proportionen ein bisschen zerschossen. Warum ich nicht über Schriftarten auf Unser täglich Spam bestimmen will? Weil ich diese Website vorsätzlich so schlicht wie möglich halte, weil sie schnell sein soll, weil die Texte nicht erst nach einem Schriftartdownload und nervigem temporären Absatzneuformatierungsgeruckel richtig dargestellt werden sollen und weil ich davon überzeugt bin, dass die meisten Menschen, die in ihrem Webbrowser bestimmte Schriftarten eingestellt haben, dafür auch einen guten Grund haben, sei es die Ästhetik oder einfach nur eine etwas bessere Lesbarkeit. Nicht jeder Mensch kann gut sehen. Nicht jeder Mensch kann jede Schriftart gut lesen.¹ Ich finde es übrigens schade und teilweise sogar erbärmlich, dass so eine Nachdenklichkeit beim Webdesign völlig aus der Mode gekommen ist, dass mir jede Furz- und Wiesenwebsite und jede Website mit politisch-journalistischen Inhalten ihre eigene Typografie reindrücken will. Ja, ich meine auch FAZ und Spiegel. Es hat immer irgendeinen Grund, weshalb sich jemand Schriftarten im Browser einstellt. Das zu respektieren, ist ein Stück Barrierefreiheit.)

Hallo ,

Aber ganz genau mein Name!

wir möchten Sie kurz daran erinnern:

Ja, dann macht es doch einfach, statt mir im pseudohöflichen Tonfall zu erzählen, was ihr wollt.

Ihr Konto war in letzter Zeit inaktiv.

Geht doch!

Welches Konto ist es denn? Wer seid ihr überhaupt. Dass Spammer in ihren hirnlosen Phishingspams nicht meinen Namen kennen und mich deshalb „Hallo“, „Lieber Kunde“ oder „Guten Tag“ nennen, das kenne ich ja schon seit Jahrzehnten. Aber dass sie nicht einmal mehr nennen, was sie selbst zu sein vorgeben wollen, das ist schon sehr dumm. Was steht denn im Absender der Spam?

Von: Clever Reach <marketing@rabmer.at>

Da habe ich noch nie etwas von gehört. Aber ich scheine ja auch nicht die Zielgruppe dieses Phishings zu sein.

Um sicherzustellen, dass alles weiterhin reibungslos funktioniert und keine Unterbrechungen entstehen, müssen Sie sich nur einmal einloggen.

🔒 Es sind keine weiteren Schritte notwendig.

Ihre Daten sind weiterhin vollständig geschützt – dies ist lediglich eine Routineüberprüfung, um Ihr Konto aktiv zu halten.

Jetzt einloggen

Wer da klickt, hat verloren. Natürlich ist das Phishing. Wenn man sich „anmeldet“, haben hinterher Trickbetrüger das Benutzerkonto. Alle Daten, die man anschließend noch eingibt, sind hinterher ebenfalls in der Hand von Trickbetrügern.

Bei Fragen oder Unterstützungsbedarf steht Ihnen unser Support-Team jederzeit gerne zur Verfügung.

Das ist aber nett! Vor meinem Arsch ist auch kein Gitter.

Vielen Dank, dass Sie unsere Plattform nutzen.

Mache ich doch gar nicht. 🙃️

Mit freundlichen Grüßen
CleverReach GmbH & Co. KG | HRA 4020 Oldenburg (Oldb.)
//CRASH-Gebäude | Schafjückenweg 2 | 26180 Rastede | Deutschland
+49 (0) 4402 97■■■ – 00 | Fax: +49 (0) 4402 97■■■ – 99

Ich habe die Telefonnummer im Zitat mal unkenntlich gemacht. Die armen Seelen, die dort gerade am Apparat sitzen, sind für heute schon gestraft genug.

Vertreten durch: CleverReach Verwaltungs GmbH | HRB 210079 Oldenburg (Oldb.)
//CRASH-Gebäude | Schafjückenweg 2 | 26180 Rastede | Deutschland
Management: Sebastian Strzelecki & Jens Klibingat, Sebastian Schwarz
Aufsichtsrat: Rolf Hilchner & Heinz-Wilhelm Bogena

Da sage noch mal jemand, dass Spams kein E-Mail-Impressum hätten! Gut, das hat hier nichts mit dem Absender zu tun, aber ist formal korrekt und wäre rechtssicher, wenn es stimmte. Spam ist Lüge. Nichts darin stimmt. Genau wie die Reklame.

Übrigens: Diese Mail hat neben dem HTML-formatierten Teil auch einen Teil mit reinem Text für Leute wie mich, die ihre Mailsoftware kein HTML in einer E-Mail darstellen lassen. Der Text sieht dann so aus:

Ihr E-Mail Programm unterstützt leider keine HTML E-Mails.

Hier finden Sie diesen Newsletter online:
[Überlange Adresse von mir entfernt]
–
Wenn Sie diese E-Mail nicht mehr empfangen mchten, können Sie diese kostenlos abbestellen:
[Überlange Adresse von mir entfernt] –
Rabmer Management & Beteiligungs GmbH
Carina Panholzer
Bruckbachweg 23
4203 Altenberg
Österreich

072307■■■
office@rabmer.at

Wenn Sie diese E-Mail (an: sag@ich.net) nicht mehr empfangen möchten, können Sie diese hier kostenlos abbestellen.

Die Telefonnummer habe ich wieder unkenntlich gemacht. Ich hoffe mal, dass weitere Worte nicht mehr erforderlich sind. Aber immerhin: Ein Mailimpressum! 😂️

Entf! 🗑️

¹Menschen mit stärker ausgeprägter Leseschwäche verwechseln zum Beispiel sehr leicht ähnlich aussehende Zeichen und nutzen deshalb am Computer spezielle Schriftarten, in denen die Buchstaben zwar nicht mehr so schön aussehen, aber dafür viel klarer unterscheidbar sind. Das erhöht ihre Lesegeschwindigkeit deutlich und reduziert die Anstrengung, die sie sonst fürs Lesen aufwänden müssen. Das betrifft einige Prozent der Menschen weltweit, und diese Menschen sind nicht etwa dumm, sie können nur nicht so gut lesen (und bleiben deshalb oft auch ungebildet und uninformiert, sind lebenslang unsicher, wenn sie selbst schreiben sollen und können schon froh darüber sein, wenn sie keine Analphabeten geworden sind). Gut, dass man relativ einfach etwas Abhilfe schaffen kann! Denn genau dafür ist die Technik da: Dass sie uns dient. Nicht umgekehrt.

Einkommensteuer-Rückzahlung: Bitte verifizieren Sie Ihr Konto

Donnerstag, 12. Juni 2025

⚠️ Diese Mail kommt nicht von Elster und nicht von einem Finanzamt der Bundesrepublik Deutschland. Es ist eine Spam. Nicht darauf reinfallen! ⚠️

Von: noreply@elster.de
An: gammelfleisch@tamagothi.de

Die Absenderadresse ist gefälscht. Die E-Mail wurde in Wirklichkeit über die IP-Adresse eines Hosting-Dienstleisters aus den USA versendet, der hoffentlich Vorkasse genommen hat, denn sonst wird er von diesen Betrügern kein Geld mehr sehen.

Natürlich wurde diese Mail allein wegen gescheiterter SPF-Überprüfung in den Müll sortiert, und das sollte auch überall so laufen. Klar, DKIM scheitert auch. Wenn ich nicht so neugierig wäre, was sich im Spamfilter verfängt, hätte ich diesen Phishingversuch gar nicht erst gesehen. 😉️

ELSTER

Eine Mitteilung der Bundesbehörde.

Oh, eine Bundesbehörde, die eine Elster ist? 🤭️

Sehr geehrter Kunde,

Und dann kennt die nicht einmal meinen Namen oder gar meine Steuernummer? Stattdessen spricht sie mich als „Kunden“ an? Na, ist hier schon einmal jemand von seinem Finanzamt als „Kunde“ angesprochen worden?

Um die Rückzahlung Der [sic!] Einkommensteuer zu erhalten, müssen Sie Ihr Konto verifizieren, damit wir den vollen Betrag auf das richtige Konto überweisen können.

Zum Dokument

Natürlich führt der Link weder zu einer Elster noch zu einem Finanzamt, es ist ja eine Spam – und wer darauf geklickt, hat den Spammern zudem noch mitgeteilt, dass die Spam angekommen ist, gelesen wurde und sogar beklickt wurde. Ich kann das hier nur so freizügig untersuchen, weil es eine eh schon spamverseuchte Mailadresse betrifft:

$ mime-header "https://t.dripemail2.com/c/eyJhY2NvdW50X2lkIjoiMzY2MzI3NCIsImRlbGl2ZXJ5X2lkIjoiMGhqd240cWJpeW5xa3pkMXB1dW8iLCJ1cmwiOiJodHRwczovL3d3dy1lbHN0ZXIuYXV0aC1udmlkZW50aWZpYW50LmNvbS8ifQ"
HTTP/1.1 307 Temporary Redirect
Date: Thu, 12 Jun 2025 10:20:33 GMT
Content-Length: 0
Connection: close
Location: https://www-elster.auth-nvidentifiant.com/
$ surbl www-elster.auth-nvidentifiant.com
www-elster.auth-nvidentifiant.com	okay
$ dig auth-nvidentifiant.com | grep -v "^;" | grep IN
auth-nvidentifiant.com.	521	IN	SOA	clayton.ns.cloudflare.com. dns.cloudflare.com. 2375034244 10000 2400 604800 1800
$ _

Alle Daten, die man auf der verlinkten Website angibt, gehen direkt an Trickbetrüger. Die lustige Domain der Phisher steht leider noch nicht auf allen einschlägigen Blacklists, so dass man von Sicherheitsschlangenöl im Webbrowser nicht gewarnt wird. Die Verbrecher sind eben immer ein bisschen voraus, man kann sich auf so einen Schutz nicht verlassen. Allerdings haben die Betrüger ihr DNS über Cloudflare gemacht, und ich weiß aus Erfahrung, dass Cloudflare recht schnell tätig wird, wenn man ihnen eine Abuse-Meldung wegen Phishing oder Vorschussbetrug, den beiden häufigsten Trickbetrugsformen im gegenwärtigen Internet, schickt. Schon jetzt wird wohl jeder eine Warnung sehen, dass die Seite wegen Phishingverdachts gemeldet wurde, wenn er auf den Link aus dieser Spam klickt – und müsste sich explizit weiterklicken, um zur betrügerischen Website zu kommen. Nicht vollkommen, aber besser als nichts. Es kann aber auch nicht jede Klitsche so gleichgültig wie Google sein…

(Nein, ich mag Cloudflare nicht wirklich. Verstehe bitte niemand ein kleines Lob von mir als eine Reklame! Ja, die Konfigdateien für BIND 9 sind ein Krampf im Arsch, und die Syntax hat sich mutmaßlich jemand ausgedacht, der nach zwanzig Jahren als Folterknecht auch mal etwas wirklich Böses tun wollte, so dass man wirklich leicht und erstmal unbemerkt einen Fuckup allererster Güteklasse baut, was ich auch schon selbst geschafft habe, aber so schwierig ist es am Ende auch wieder nicht. Wenn gefühlt zwei Drittel der Namensauflösung im Internet über einen einzigen Anbieter laufen, ist das durchaus ein Problem.)

Aber eigentlich sollte niemand diese Spam in seinem normalen Posteingang sehen. Sie wird schon von banal konfigurierten Spamfiltern aussortiert, weil die gefälschte Mailadresse in der Domain elster (punkt) de am SPF scheitert.

ELSTER ®

Zahlungsreferenz: monisnap

So so, monisnap. Da ahnt man ja schon, dass da wohl auch ein Vorschussbetrug der Marke „Senden sie uns die Bearbeitungsgebühr über einen anonymen Dienstleister irgendwo in die weite Welt“ inszeniert werden soll. Das Problem scheint bei Moni nicht wirklich unbekannt zu sein. 😅️

Wenn man gar nicht erst in eine Mail klickt, kann einem niemand so leicht einen vergifteten Link unterschieben. Das Finanzamt kommuniziert nicht per E-Mail, es kennt die Namen der Leute, die es anschreibt und es würde eine Steuernummer nennen. Wenn man sich trotz so starker Anzeichen für einen Trickbetrug unsicher ist und nicht gleich für eine Nachfrage beim Finanzamt anrufen möchte, liefert auch eine Websuche schnell klare Warnzeichen, zum Beispiel diesen Hinweis der „Cybersicherheitsagentur“ Baden-Württemberg. Wer davon nicht genug gewarnt wird, wird vermutlich auch nicht von mir erreicht. Entschuldigt bitte meine Anführungszeichen um diese Behördenbezeichnung, aber jedes derartige Wort mit „Cyber“ finde ich dermaßen dumm, dass ich schon lange nicht mehr darüber lachen kann. Die Verbrechensformen, die man damit bezeichnet, um den verbreiteten digitalen Analphabetismus von Politik, Verwaltung und Polizeien in der Bundesrepublik Deutschland zu dokumentieren, haben nicht einmal in einem skurillen Sinn etwas mit Kybernetik zu tun. Tatsächlich ist es eine relativ neue und politikgeborene Wortschöpfung, um sprachlich die politisch erwünschte und zunehmend erzwungene Internetnutzung – diese heißt dann „digital“, „Digitalisierung“, „elektronisch“, etc. – von jenen kriminellen Nutzungsformen zu unterscheiden, denen man damit die Türen öffnet. Weil die Leute, die so reden, nicht einmal den Unterschied zwischen digitaler und analoger Technik erklären können. (Vorsicht, dieser Link zur einem unbeholfenen Sprechakt der hessischen Digitalministerin macht großes Aua im Kopf!) Und alle plappern es nach. Es ist zum Fremdschamsterben dumm.

Aber es gibt auch Lichtblicke. Das Landeskriminalamt Niedersachsen spricht stattdessen in der öffentlichen Kommunikation von Internetkriminalität, was ein viel besseres Wort ist. Die haben wohl auch schon eine ähnliche Spam gehabt, und ich zitiere hier mal aus dem den völlig vernünftigen und gut formulierten Hinweis:

Generelle Hinweise:

Sollten Sie eine Mail im Aussehen von ELSTER bekommen haben, dann haben Sie diezbezüglich zuvor auch etwas selbst initiiert (z.B. gerade Elster genutzt und Ihre Steuererklärung abgeschickt). Sollten Sie unsicher sein, so klicken Sie niemals auf einen Link einer solchen Mail. Nutzen Sie die Ihnen bekannte und echte Adresse www.elster.de bzw. https://www.elster.de/eportal/start . Alternativ steht Ihnen auch die offizielle App MeinELSTER+ vom bayerischen Landesamt für Steuern zur Verfügung. Dort können Sie auch Ihren Posteingang prüfen.

In Formularen von Elster werden Sie nicht auf diese Weise (siehe oben) kontaktiert. Lesen Sie in Ruhe den gezeigten Absender. Ggf. können Sie dort bereits die Fälschung erkennen

Klickt nicht, niemals und unter keinen Umständen in E-Mail (außer, ihr kennt den Absender persönlich und die Mail ist digital signiert oder ihr habt über einen anderen Kanal rückgefragt), und schon gar nicht, wenn es um Geld geht! Wenn ihr es doch mal getan habt, und auf einmal einen Datenstriptease machen, euch anmelden oder euch registrieren sollt, gebt nichts ein und schließt den Browsertab! Bank- und Kreditkartendaten schon gar nicht! Lasst die Betrüger einfach verhungern!

🛡 Action Required: Wallet Verification Needed

Montag, 9. Juni 2025

Aber ich habe gar kein Kryptogeld.

Von: Metamask Support <didiet.darmawan@centrin.net.id>

Ja, ist schon klar! Und ich bin der Osterhase.

An: undisclosed-recipients:;

Aha, für ganz viele Empfänger gleichzeitig. Na, es ist ja auch ein Phishing. Hunderttausend Spams raus, wenn fünfzig Leute darauf reinfallen, hat es sich für die Trickbetrüger gelohnt.

🦊 MetaMask Wallet Verification Notice

Dear MetaMask User,

Bin ich nicht. Trotzdem kommt dieser Müll bei mir an. Weil es Spam ist.

We’ve noticed that your MetaMask wallet has not yet been verified. To help ensure the safety of your account and uninterrupted access, please complete the verification process.

⚠️ Please note: All unverified wallets will be suspended on June 10, 2025.

Verify Your Wallet

Oh geil, mit einer Nötigung der Marke „klick jetzt, oder wir lassen dich ab morgen nicht mehr an dein Geld“. Ich glaube nicht, dass es auch nur einen Staat auf der Welt gibt, in dem so etwas nicht strafbar wäre. MetaMask würde das nicht tun.

Der Link läuft über einen Linkkürzer und…

$ location-cascade https://url.gsb.gov.zm/sFm4jjKw-L
     1	http://block-chain-ltd.com/ds/finance
     2	https://block-chain-ltd.com/ds/finance
     3	https://block-chain-ltd.com/ds/finance/
$ _

…führt natürlich nicht zu MetaMask, sondern auf eine Website, die unter der Kontrolle von Kriminellen steht. Alles, was man dort eingibt, geht direkt an Kriminelle. Das Geld in der Wallet ist weg.

Blockchain Ltd.! Kann man sich mal weieder gar nicht ausdenken, so einen Bullshit wie in dieser Domain. 😂️

Deshalb klickt man ja auch niemals in E-Mail, sondern legt sich für solche Websites Lesezeichen im Browser an und ruft diese Websites nur über das Lesezeichen auf. So kann einem kein Trickbetrüger einen giftigen Link unterschieben. Wenn man sich angemeldet hat und keinen Hinweis auf das angebliche Problem sieht, dann hat man einen dieser gefürchteten Cyberangriffe abgewehrt. So einfach geht das. Macht das!

Thank you for your prompt attention to this matter.

Vielen Dank für diesen Dank für Nichts. Vor meinem Arsch ist auch kein Gitter!

If you need assistance, our support team is available to help you.

Sincerely,
The MetaMask Support Team

Das ist ja nett, dass mir sogar geholfen wird, wenn ich zu dumm zur Bedienung eines Webbrowsers bin.

© 2025 MetaMask, Inc. All rights reserved.

Nein, MetaMask hat mit dieser Spam nichts zu tun. Mein Exemplar dieser Spam wurde aus Indonesien versendet.

You are receiving this message because you‘re a registered MetaMask user.

Nein, das bin ich nicht. Ich habe gar kein Kryptogeld.

Unsubscribe | Privacy Policy

Wer klickt, um die Spam abzubestellen, hat verloren. Löschen und gut!

Ungewöhnliche Aktivitäten auf Ihrem Konto

Mittwoch, 4. Juni 2025

Wie, hat mir jemand Geld überwiesen? Wer schreibt denn da überhaupt?

Von: Paypal <postmaster@897b924d7e.nxcli.io>

Keine weiteren Fragen. Es ist denn auch das ganz normale Phishing:

Ungewöhnliche Aktivitäten auf Ihrem Konto

Wir möchten Sie darüber informieren, dass wir ungewöhnliche Aktivitäten auf Ihrem PayPal-Konto festgestellt haben. Um die Sicherheit Ihres Kontos und Ihrer Gelder zu gewährleisten, bitten wir Sie, Ihre Identität zu bestätigen, um sicherzustellen, dass keine unbefugte Nutzung vorliegt.

Jetzt prüfen

Natürlich führt der Link nicht zu Paypal, sondern über eine obskure Weiterleitungskette schließlich auf eine Seite, die so tut, als sei sie PayPal. Dort soll man sich dann anmelden. Die Anmeldedaten, die man dort eingibt, gehen direkt an Trickbetrüger.

Zum Glück gibt es einen ganz einfachen und völlig kostenlosen Schutz gegen Phishing, die immer noch häufigste Form des Trickbetrugs im Internet: Niemals in eine E-Mail klicken!

Stattdessen für Websites wie die von PayPal ein Lesezeichen im Webbrowser anlegen, und die Website nur noch über das Lesezeichen aufrufen. So kann einem niemand so leicht einen vergifteten Link unterschieben. Wenn man nach dem Empfang so einer Spam doch einmal unsicher werden sollte, einfach PayPal über das Lesezeichen aufrufen und sich dort ganz normal anmelden. Wenn man dabei keinen Hinweis auf das angebliche Problem sieht, hat man einen dieser gefürchteten Cyberangriffe abgewehrt und sich eine Menge langwährenden und teuren Ärger erspart, denn natürlich werden mit dem gephishten Konto allerlei Betrugsgeschäfte gemacht, und man ist nicht nur sein Geld los, sondern gerät auch ins Visier der Ermittler. Das kann auch für robuste Nerven eine ganz schöne Last werden.

Aber die Abwehr geht ganz einfach. Nicht in die Mail klicken! Browserlesezeichen nutzen! Ausgecybert! Macht das einfach! 🛡️

Darüber hinaus benutze ich selbst für derartige kriminell attraktiven Websites, bei denen direkt Geld verschoben werden kann, jeweils eine eigene Mailadresse, die ich für nichts anderes verwendet und die niemand anders kennt. Auch das ist sehr einfach und kostet nichts. Selbst einige Freemail-Anbieter bieten ihren Nutzern die Möglichkeit, Aliasadressen einzurichten, die man dann so als zusätzliches Sicherheitsnetz gegen Phishing nutzen kann. Eine Mail „von PayPal“ an eine andere Mailadresse kann ich sofort als Betrug erkennen und löschen. Selbst, wenn ich darin namentlich angesprochen und auf originellere Weise ausgetrickst werde.

Damit man in der Spam auch ja nicht auf den falschen Link klickt, haben die Spammer…

Hilfe & Kontakt | Sicherheit | Apps

…ein paar Links einfach weggelassen.

Und jetzt die Realsatire des Tages. Was eben so passieren kann, wenn man als Betrüger, der mutmaßlich nicht einmal Deutsch kann, einfach den Text einer Originalmail von PayPal übernimmt:

PayPal tut alles, was es kann, um Sie vor betrügerischen E-Mails zu schützen. PayPal wird Sie immer mit Ihrem Vor- und Nachnamen anschreiben. Wie Sie Phishing-Mails erkennen

🤦‍♂️️😂️

Bitte antworten Sie nicht auf diese E-Mail. Wenn Sie uns kontaktieren möchten, klicken Sie auf Hilfe & Kontakt.

Sie sind sich nicht sicher, warum Sie diese E-Mail erhalten haben? Mehr erfahren

Bloß keine Links setzen, die das Betrugsopfer abhalten könnten!

Copyright © 1999-2025 PayPal. All rights reserved.

PayPal (Europe) S. à r.l. et Cie, S.C.A. Société en commandite par actions.
Registered office: 22-24 Boulevard Royal, L-2449 Luxemburg.
RCS Luxemburg B 118 349

PayPal RT000465:en_DE(de-DE):1 .1.0:f560728c975fa

Nein, PayPal hat mit dieser Spam nichts zu tun.

Verlängerung Ihres photoTAN-Zertifikats erforderlich, von СоmmегzВаnk Mitteilung

Sonntag, 25. Mai 2025

So so, „von CommerzBank Mitteilung“.

Sehr geehrter Kunde,

Genau mein Name! Und vor allem: Genau meine Kontonummer!

Wir verbessern die Funktion,,СоmmегzВаnk PhotoTAN“ zur Absicherung Ihrer Transaktionen, insbesondere Ihrer Zahlungen und Überweisungen.

Das ist ja schön! Und was habe ich damit zu tun, wenn ihr auf euren Servern etwas verbessert? Richtig: Nichts habe ich damit zu tun. Aber das hier ist natürlich Phishing, und das richtet sich an naive und informationstechnisch völlig ungebildete Menschen, also an Opfer des contentindustriellen Qualitätsjournalismus. Wenn die Leute aus dieser „Zielgruppe“ ein Wort wie „Zertifikat“ lesen, verfallen sie sofort in gläubige Ehrfurcht.

Zum Aktualisieren halten Sie bitte Ihren Photo-TAN Aktivierungsbrief griffbereit und tun Sie dies, indem Sie sich anmelden:

Jetzt Aktualisieren

Natürlich führt der Link nicht zur Website der Commerzbank, sondern auf eine Website, die nur über die IP-Adresse des Servers erreichbar ist, weil dem Betrüger sogar DNS zu viel Aufwand war. Der Hoster ist bereits informiert, die betrügerische Website ist schon weg. Das kenne ich ja gar nicht, dass es am Sonntagmorgen so schnell geht.

Phishing ist immer noch die häufigste Form des Trickbetrugs im Internet. Zum Glück für uns alle gibt es ein ganz einfaches, kostenloses und hundertprozentig wirksames Mittel dagegen: Niemals in eine E-Mail klicken! Stattdessen einfach Lesezeichen im Webbrowser für jede Website anlegen, bei der man ein Benutzerkonto hat und diese Websites nur noch über dieses Lesezeichen aufrufen. Dann kann einem kein Verbrecher mehr einen giftigen Link unterschieben. Wenn man so eine Mail wie diese erhalten hat und sich unsicher ist, einfach die Website der Bank über das Lesezeichen aufrufen und sich dort ganz normal anmelden. Wenn man nach der Anmeldung keinen Hinweis auf das angebliche Problem sieht, hat man einen dieser gefürchteten „Cyberangriffe“ abgewehrt. So einfach geht das. Macht das! 🛡️

Leiter Service.

Ich brauche gerade keine Leitern. 🤭️

Viele Grüße
Ihre СоmmегzВаnk.

Die richtige Commerzbank würde übrigens ihre Firmierung auch richtig schreiben.

Bitte antworten Sie nicht auf diese E-Mail, da sie automatisch erstellt wurde.

Oh, ein fast wahrer Satz in einer Spam? Das ist selten! 😁️

So, es geht aber – nach rd. achtzig dekorativen Leerzeilen – noch weiter, denn da gibt es auch noch Spamprosa, damit dieser Müll es vielleicht mal durch Spamfilter schafft:

eBay

Toyota Sequoia: 4 new matches today

2018 Toyota Sequoia SR5
Buy it now: US $34,495.00
Located in Pasco, Washington

2023 Toyota Sequoia 4WD TRD P…
Buy it now: US $102,980.00
100% positive Feedback

2017 Toyota Sequoia Platinum
Price: $30,197.00
Located in Houston, Texas

2023 Toyota Sequoia TRD Pro S…
Price: $99,995.00
100% positive Feedback

Similar items you may be interested in

2003 Toyota Sequoia SR5
2003 Toyota Sequoia SR5
Buy it now: £13,707.30

2016 Toyota Sequoia Limited 8 Pas Lea…
2016 Toyota Sequoia Limited 8…
Buy it now: £23,792.39

See all results

Turn off emails for this search ➔

Is this email helpful?
Yes, this email is helpful
No, this email is not helpful

Shop anywhere with the eBay app
Download the eBay app from the App Store for iOS devices
Get the eBay app for Android

Follow us
Facebook icon
Twitter icon
Pinterest icon
Instagram icon

Update your email preferences

You‘re receiving this email based on your eBay account preferences. To change which emails you receive from eBay, go to Communication Preferences in My eBay.

Email reference ID: [#64e7b04a8d0e424ea2eaec7fc5e8ce25#]

We don’t check replies to this email address, so please don’t reply to this message. If you have a question, go to Help & Contact.

eBay sent this message to kanmi fafemi (kanmi123). Learn more about account protection. eBay is committed to your privacy. Learn more about our User Privacy Notice and User Agreement.

This email was sent by eBay (UK) Limited, which may use affiliates to provide eBay services. If you reside outside the United Kingdom, please refer to the User Agreement for the contact data of your contracting party.

©1995‌-2023 eBay Inc., eBay (UK) Limited, registered in England and Wales with number 03726028, registered office at 1 More London Place, London, SE1 2AF, United Kingdom

Schon lustig, wenn die Spamprosa ein Mailimpressum hat, der eigentliche Spamtext fürs Phishing hingegen nicht. 😅️

Letzte Benachrichtigung – Ihr Konto wird deaktiviert

Mittwoch, 21. Mai 2025

Was, meines? 😲️

Christine Langer, Sie haben eine Zahlung gesendet.

Wohl eher nicht. 😅️

Ich nehme mal an, dass der angegebene Name bei Menschen, die nicht ganz so datensparsam wie ich leben, öfter mal stimmt. Eine Phishing-Spam mit namentlicher Anrede ist schon recht gefährlich.

PayPal

Wohl kaum. Ich habe zwar einen Account bei PayPal, aber ich benutze dafür eine Mailadresse, die ich für nichts anderes benutze und die deshalb nicht so leicht für Phisher herauszubekommen ist. Das ist eine sehr einfache zusätzliche Sicherheitsmaßnahme, die ich nur empfehlen kann. Natürlich ging diese Spam nicht an diese spezielle Mailadresse. Aber ich bin ja auch nicht Christine. 😁️

Man muss auch nicht besonders schlau sein, um zu erkennen, dass diese Spam nicht von PayPal kommt. In diesem Fall reicht ein Blick auf den Absender:

Von: Paypal.at, <support@yusufco.com>

Die Absenderadresse liegt nicht in der Domain von PayPal.

Und jetzt folgt das ganz normale dumme Phishing der Marke: „Klick in die Spam, oder wir schließen den Konto, stoppen alle laufenden Zahlungen und du darfst deinem Geld hinterherrennen“.

Sicherheitsmeldung – Konto steht vor Schließung

Ihr Konto wurde aufgrund mehrfacher Sicherheitsverletzungen automatisch eingeschränkt. Unser System hat unübliche Aktivitäten festgestellt.

Falls keine Verifizierung innerhalb von 24 Stunden erfolgt, wird das Konto dauerhaft geschlossen und alle Transaktionen gestoppt.

Diese Maßnahme ist endgültig. Nach Ablauf der Frist ist keine Wiederherstellung mehr möglich.

Identität bestätigen

Natürlich geht der Link nicht in die Website von PayPal. Stattdessen geht es in die Domain flowto (punkt) it, und dort gibt es…

$ location-cascade "https://flowto.it/elPWWLBnJx?fc=0"
     1	https://flowcode.com/p/elPWWLBnJx?fc=0
     2	https://serviceenloggen.help/pp/c/
     3	deny.php
$ lynx -dump https://serviceenloggen.help/pp/c/deny.php
serviceenloggen.help

   This domain is registered at NameSilo. If you are the owner, start
   administering it at [1]NameSilo.com. If this is not your domain,
   [2]find similar names that work for you.

   Diese Webseite wurde vom Domain Inhaber dynamisch generiert, der das
   Sedo [3]Domain Parking Programm nutzt. Die auf dieser Seite
   automatisiert bereitgestellten Werbeanzeigen kommen von dritter Seite
   und stehen mit Domain-Inhaber oder Sedo in keiner Beziehung.
   [4]Privacy Policy

Verweise

   1. https://www.namesilo.com/
   2. https://www.namesilo.com/domain/search-domains?query=serviceenloggen.help
   3. https://www.sedo.com/services/parking.php3
   4. https://serviceenloggen.help/pp/c/deny.php
$ _

…eine Weiterleitung zur Website in einer Domain, die inzwischen wohl nicht mehr unter der Kontrolle der Trickbetrüger steht. Gut so! Sonst gibt da noch jemand seine Zugangsdaten für PayPal ein. 🎣️

Einmal mehr muss ich mit dem Standardhinweis langweilen:

Zum Glück für uns alle gibt es einen sehr einfachen und zuverlässigen Schutz gegen Phishing, die immer noch häufigste Form des Trickbetrugs im Internet: Niemals in eine E-Mail klicken! Denn wenn man nicht in eine E-Mail klickt, kann einem kein Betrüger so leicht einen giftigen Link unterschieben. Stattdessen für häufig besuchte Websites, bei denen man einen Account hat, Lesezeichen im Webbrowser anlegen und diese Websites nur über diese Lesezeichen aufrufen. Wenn man dann einmal eine „komische Mail“ empfängt und sich nicht sicher ist, ob sie echt ist, ruft man einfach die Website über das Browser-Lesezeichen auf und meldet sich ganz normal an. Wenn man dabei feststellt, dass das in der Mail behauptete Problem gar nicht exisitert, hat man einen dieser gefährlichen Cyberangriffe abgewehrt. So einfach geht das. Macht das! 🛡️

Diese Nachricht wurde automatisch erstellt. Bitte antworten Sie nicht.

Ja, das stimmt sogar mal. 🤭️

PayPal

© 1999–2025 PayPal. Alle Rechte vorbehalten.
PayPal (Europe) S.à r.l. et Cie, S.C.A. – 22-24 Boulevard Royal, L-2449 Luxemburg

Aber das stimmt jetzt schon wieder nicht mehr.

Update App-Service erforderlich =12718

Mittwoch, 14. Mai 2025

Oh schön, mit Nummer. Was das für eine Nummer ist? Weiß ich nicht. Die Lottozahlen sind es jedenfalls nicht, und die Temperatur für morgen wird es auch nicht sein.

Wer schreibt mir überhaupt?

Von: Аdvаnzіа Ваnk АG <e8mg5v@inbox.groovehq.com>

Ein Unternehmen, mit dem ich noch nie etwas zu tun hatte, schreibt mir. Deshalb ist die lustige Nummer wohl auch keine Kontonummer. Und mit was für einer tollen Absenderadresse die mir mal wieder schreiben!

Wichtige Aktualisierung Ihres Advanzia-Kontos

Guten Tag,

wir möchten Sie darüber informieren, dass Ihr Advanzia-Konto dringend aktualisiert werden muss, um die Sicherheit zu gewährleisten.

Bitte führen Sie diese Aktualisierung innerhalb von 24 Stunden durch. Andernfalls wird Ihr Zugang aus Sicherheitsgründen vorübergehend deaktiviert.

Sicherheits-Update starten

Mit freundlichen Grüßen,

Ihr Advanzia-Team

Das ist natürlich das übliche billige Phishing, inklusive der für Phishingspams typischen Nötigung der Marke „Mach schnell und denk nicht nach, sonst wird es entweder teuer oder wir lassen dich nicht mehr an dein Geld“. Die Advanzia Bank mit ihrem hippen Deppen Leer Zeichen in der Firmierung hat damit nichts zu tun. Der Link führt auf eine Website von Trickbetrügern. Alles, was man dort eingibt, geht direkt an eine gut eingespielte Betrügerbande, die nur Minuten braucht, um richtig Schaden zu machen. Das anschließende Telefongespräch mit einem „Mitarbeiter“ vom „Serviceteam“, dass man zum Testen eine Transaktion bestätigen soll, führt man auch mit einem Trickbetrüger. Das Konto wird leergeräumt. Die Kreditkarte wird für Betrugsgeschäfte benutzt. Der Schaden kann fünfstellig werden. Der anschließende Ärger kann jahrelang gehen.

Zum Glück kann man sich ganz einfach vor Phishing, der immer noch häufigsten Form des Trickbetruges im Internet, schützen: Niemals in eine E-Mail klicken! Stattdessen für solche Websites wie die Website der Bank ein Lesezeichen im Webbrowser anlegen und diese Websites nur noch über das Lesezeichen aufrufen. Dann kann einem kein Betrüger so leicht einen giftigen Link unterschieben. Und das Beste daran: Es geht ohne jeden Komfortverlust, denn in beiden Fällen klickt man ja einfach nur. Macht das!

Oh, die Mail hat auch noch eine Fußzeile?

– New User
⚡️ Proudly sent via Groove!

Dem Trickbetrüger, der da irgendeine kostenlose Dienstleistung für Spam missbraucht, ist es sogar zu viel Mühe, sich einen besseren Namen als „New User“ für seinen Wegwerfaccount auszudenken. Ja, ist klar! Wenn er sich Mühe geben wollte, brauchte er ja auch nicht zu spammen, sondern könnte gleich arbeiten gehen.