Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Kategoriearchiv „Phishing“

Ihr Kundenkonto wurde deaktiviert!

Mittwoch, 22. November 2017

Wo denn?

Von: "AMAZ0N.de" <keine-antwort@amz-unit.de>

Aha, beim Amazon, das sich nicht mit einem Buchstaben „O“, sondern mit einer Null schreibt. Und das komische Domains für seine Mail verwendet.

Oder schnell zusammengefasst: Diese Mail kommt ganz sicher nicht von Amazon.

Diese Spam ist ein Zustecksel von M.S. (Danke!), und er hat mir versichert, Amazon noch nie genutzt zu haben. Wahrscheinlich kommt die Spam auf etlichen Adressen an.

Guten Tag,

Wie häufig (aber keineswegs immer) beim Phishing gibt es eine unpersönliche Ansprache, die…

leider müssen wir Ihnen mitteilen, dass Ihre zuletzt aufgegebene Bestellung annulliert werden musste. Unser internes Sicherheitssystem hat einen unbefugten Kontozugriff feststellen können. Um weitere Betrugsversuche und kriminelle Aktivitäten zu vermeiden, wurde Ihr Kundenkonto temporär deaktiviert.

…von einer absurden Kurzgeschichte aus dem jenseits der Phishing-Spam literatisch wenig fruchtbaren Genre security fiction gefolgt wird. Irgendein unerklärtes Computerzauberding hat irgendwas festgestellt und gesperrt, weil es aussah wie eine kriminelle Tätigkeit. Damit diese Erzählung aus der nicht unter übermäßigem Lichteinfall leidenden Hirngruft eines Spammers ein wenig an „Glaubwürdigkeit“ gewinnt, werden einige für den Empfänger dieser Mail völlig sinnlose Daten mit angegeben, nämlich…

Provider: encoLine GmbH
IP-Adresse: 54.152.170.14
Region: Berlin

…die Firmierung eines angeblichen Providers, eine IP-Adresse im Besitz von Amazon und eine Ortsbezeichnung. Das klingt technisch und geheimnisvoll. Security fiction eben. Muss nicht plausibel sein.

Und damit soll dem Empfänger dieser Spam genug „Grund“ gegeben sein…

Klicken Sie bitte auf „Hier bestätigen“, um ein kostenfreien Datenabgleich durchzuführen und Ihr Konto wieder freizuschalten.
Hier bestätigen

…seinen Amazon-Kontozugang (nebst seiner Anschrift, seines Geburtsdatums und seiner Kreditkartennummer) mit den Datenbanken der Organisierten Kriminalität „abzugleichen“. Einfach in die Spam klicken!

Der Link führt natürlich nicht in die Domain amazon (punkt) com und auch nicht in die Domain amazon (punkt) de, sondern in die Domain amazon (strich) zertifikat (punkt) ru, die sich ein spammender Halunke…

$ whois -H amazon-zertifikat.ru | sed -e "/^%/d"

domain:        AMAZON-ZERTIFIKAT.RU
nserver:       dorthy.ns.cloudflare.com.
nserver:       hal.ns.cloudflare.com.
state:         REGISTERED, DELEGATED, VERIFIED
person:        Private Person
registrar:     R01-RU
admin-contact: https://partner.r01.ru/contact_admin.khtml
created:       2017-11-08T13:43:36Z
paid-till:     2018-11-08T13:43:36Z
free-date:     2018-12-09
source:        TCI

Last updated on 2017-11-22T13:36:32Z

$ _

…vor zwei Wochen geholt hat, um diese Nummer durchzuziehen. Dort kann man im „liebevoll“ nachgemachten Amazon-Design zunächst seine Login-Daten, darauffolgend seine Anschrift, sein Geburtsdatum und seine Telefonnummer und schließlich noch die Kreditkartennummer und die Kontonummer angeben. Und damit man auch wirklich so dumm ist, das zu machen, gibt es noch eine kleine Freundlichkeit zum Abschluss:

Sofern Ihr Kundenkonto nicht innerhalb der nächsten fünf Werktage von Ihnen validiert werden sollte, wird eine automatische Sperrung und Löschung Ihres Kundekontos ausgeführt. Bei einer manuellen Wiederherstellung Ihres Kundenkontos wird eine pauschale Bearbeitungsgebühr in Höhe von 88,90 EUR in Rechnung gestellt.

Dafür, dass angeblich ein Mitarbeiter von „Amazon“ den Job von „Amazon“ erledigt und sich um die Pflege der Kundendatenbank kümmert, werden in dieser mies geschriebenen security fiction neunzig Øre in Rechnung gestellt. Ich habe schon Handwerker erlebt, die für deutlich anstrengendere Arbeit als eine Datenbanksuche, einen Klick auf eine Checkbox und einen abschließenden Klick auf eine Speichern-Schaltfläche viel geringere Rechnungen geschrieben haben.

Niemals auf die plumpen Phishing-Maschen reinfallen! Auch nicht, wenn diese Mails deutlich besser als das hier vorliegende Exemplar sind! Wie das geht? Indem man sich angewöhnt, niemals in eine E-Mail zu klicken. Die Website von Amazon kann auch direkt aufgerufen werden, und wenn dort kein entsprechender Hinweis angezeigt wird, hat man mit seiner Vorsicht einen kriminellen Angriff abgewehrt und sich möglicherweise – wenn die ganzen angegebenen Daten auch noch für einen kriminellen Identitätsmissbrauch verwendet werden – mehrere Jahre Ärger erspart.

EU société à responsabilité limitée, 4 rue Plaetis, L-3787 Luxemburg. Stammkapital: EUR 31081. RCS Luxemburg
Registernummer: B 169489 Gewerbeerlaubnisnummer: 144190 Umsatzsteueridentifikationsnummer: LU 2413191

So so, rd. 31.000 Øre Stammkapital. :D

Verifizierung Ihres Paypal Kontos notwendig

Montag, 20. November 2017

Aha, die Kriminellen brauchen mal wieder ein paar Konten anderer Leute für ihre „Geschäfte“. Denn PayPal (oder eine beliebige andere Bank) hat nichts davon, wenn ich lauter Daten noch einmal eingebe, die dort schon längst bekannt sind. Was soll das „verifizieren“?

Von: PayPal <info@pp-checkout04.trade>

Ja, schon klar: Der Absender sieht voll nach PayPal aus! Wenn man schon den Absender fälscht, könnte man es auch überzeugend machen… wenn man ein Gehirn hätte. Da hilft dann auch das „liebevoll“ nachgebaute Layout nicht mehr:

Screenshot des Layouts der Phishing-Spam

Ich habe diese Spam auch mit Umlauten, die nicht aussehen, als seien sie missverstandenes UTF-8, weil der Spammer das falsche Encoding angegeben hat. Natürlich kann ich dem Reiz eines im Gestaltungseifer übernommenen PayPal-Layouts mit schweren technischen Mängeln beim Text der Mail nicht widerstehen. Für die folgenden Zitate nehme ich allerdings eine Spam mit korrekten Umlauten, denn nur die erste Generation dieser heutigen Flut hat den Fehler gehabt. Das mit der Sorgfalt haben die Spammer mal wieder nicht so, und deshalb testen sie nicht, bevor sie ihre Strokelskripten auf ein wehrloses Internet loslassen. Sonst könnten die Spammer ja auch gleich arbeiten gehen.

Bitte niemals vom Layout beeindrucken lassen! Jedes Kind kann das Layout der HTML-formatierten Mail eines beliebigen Unternehmens oder einer Bank übernehmen und da einen anderen Text reinsetzen. Das einzige, was Gewissheit über den Absender einer E-Mail geben könnte, wäre die digitale Signatur dieser Mail, die man auch beim Empfang überprüft. Leider sind weder Banken noch Klitschen wie PayPal daran interessiert, den Phishing-Sumpf auszutrocknen, indem sie ihre E-Mail digital signieren und ihre Nutzer darüber informieren und durch regelmäßige Information dazu anleiten, ein solches Sicherheitsmerkmal im Alltag sinnvoll zu nutzen. Das würde übrigens noch nicht einmal Geld kosten und wäre nicht mit großem Aufwand verbunden. Es wird aus reinem Desinteresse unterlassen. Die einzigen, deren Leben dadurch einfacher wird, sind Verbrecher aller Art. Stattdessen lässt man sich bei den Banken und bei PayPal von Werbefirmen Vorlagen für HTML-formatierte Mail erstellen, die dann einen Trickbetrug oder ein Phishing psychologisch noch weiter vereinfacht, indem das Layout von irgendwelchen Halunken übernommen werden kann. Das ist ganz schön dumm und kundenverachtend.

So weit, so schlecht… :(

Nun zum Text:

Aktuelle Kundenmitteilung! – Ihre MIthilfe [sic!] ist erforderlich.

Ach, eine Mail ist eine aktuelle Mitteilung. Da wäre ich nicht drauf gekommen. Und wer eine Mail schreibt, will etwas von mir. Da wäre ich ebenfalls nicht drauf gekommen.

Datum: 20.11.2017

Das Datum steht im Mailheader und ist deshalb im Text der Mail eine überflüssige Angabe, die niemanden nützt.

Guten Tag,

Als angeblicher „Kunde“ würde ich immer mit meinem Namen angesprochen.

leider müssen wir Sie auf Grund von Angriffen auf unsere Infrastruktur auffordern Ihre persönlichen Adress- und Zahlungsdaten zu bestätigen.

Aha, das „PayPal“ aus der hirnverhungerten Phantasie der Spammer hat also ein Problem, das es zu meinem Problem machen will. Was war denn das für ein Angriff? Hat sich „PayPal“ einen Erpressungstrojaner gefangen, der die gesamte Datenbank gefressen hat, so dass sämtliche Daten noch einmal eingegeben werden müssen? Und gibt es keine Datensicherung? Unvorstellbar. Außerdem hätte ich dann bereits die Insolvenz des Ladens mitbekommen, denn PayPal ist seine Datenbank. Wenn die Daten aber allesamt noch da sind, welchen Nutzen sollte es für „PayPal“ haben, dass ich die Daten noch einmal auf einer Website eingebe?

Man muss nicht länger als eine Minute darüber nachdenken, um zu erkennen, dass die Behauptungen in irgendwelchen Phishing-Spams absurde Blenderei sind. Wer nach dem Nachdenken vorm Klick immer noch Unsicherheit spürt, kann sich ja einfach mal an der richtigen PayPal-Website wie gewohnt anmelden und schauen, ob es dort ein Problem gibt. Wenn es das nicht gibt, wurde durch diese leicht zu erbringende Vorsicht ein Phishing-Angriff abgewehrt, was eine Menge Geld und Ärger erspart hat.

Bitte beachten Sie das die angegebenen Daten mit den hinterlegten Daten übereinstimmen. Sollte dies nicht der fall [sic!] sein sind wir verpflichtet [sic! Komma fehlt.] eine postalische Legitimation durchzuführen.

Was ist eine „postalische Legitimation“. :mrgreen:

Wichtig: Wenn Sie Kreditkarten Daten [sic! Deppen Leer Zeichen.] in Ihrem Kundenkonto hinterlegt haben ist es zwingend erforderlich dieser [sic!] auch zu verifizieren.

Klar, denn auf Kreditkarten sind die Verbrecher immer ganz heiß.

Weiter zur Verifizierung

Der wichtigste Tipp gegen Phishing und gegen den größten Teil der sonstigen Internet-Kriminaltät ist durchschlagend wirksam und verblüffend einfach: NIEMALS in eine E-Mail klicken! Wer direkt die Website von PayPal mit seinem Webbrowser aufruft – diese Webbrowser haben übrigens seit dem Mosaic Netscape 0.95 beta aus dem Herbst des Jahres 1994 eine ausgesprochen praktische Lesezeichenfunktion – stellt dabei fest, dass das vom Spammer postulierte Problem gar nicht besteht. Denn sonst würde man ja auch auf der Website darauf hingewiesen.

Natürlich führt der Link nicht in die Domain der PayPal-Website, sondern zu einem über den Linkkürzer bitly verschleierten Ziel. PayPal hätte einen solchen Mummenschanz nicht nötig, sondern würde einen direkten Link setzen. Ein Verbrecher hat das sehr wohl nötig. Erwartungsgemäß führt dieser Link dann auch…

$ lynx -mime_header http://bitly.com/2hO2hBt | grep "^Location"
Location: https://pp-secure-de-2017.com/script.php
$ _

…zur Website in der viel weniger Vertrauen erweckenden Domain pp (strich) secure (strich) de (strich) 2017 (punkt) com, der man nur beim Hinschauen ansieht, dass sie mit paypal (punkt) com nichts zu tun hat. Alle Daten, die man dort eingibt, gehen direkt an Verbrecher. Sie werden auf jede nur erdenkliche Weise für kriminelle Geschäfte verwendet.

Nehmen Sie zur Kenntnis, dass es sich hierbei ledglich um eine Präventivmaßnahme handelt um zukünftig eine erhöhte Sicherheit für Sie und Ihre persönlichen Daten gewährleisten zu können.

So so, es erhöht also die Sicherheit meiner persönlichen Daten, wenn sie öfter einmal ohne sachlichen Grund irgendwohin übertragen werden? :shock:

Ein bisschen von dem Kraut, das die Spammer geraucht haben müssen, hätte ich jetzt auch gern.

Mit freundlichen Grüßen
Ihr PayPal Service Team

Freundlich wie ein Schlag ins Gesicht
Deine Phishing-Spammer

Dies ist eine automatisch versendete Nachricht. Bitte antworten Sie nicht auf dieses Schreiben.
Wenn Sie eine Frage haben, wenden Sie sich bitte an unseren Kundendienst.

Stimmt, die Nachricht wurde „automatisch versendet“. :mrgreen:

© 1999-2017 PayPal. Alle Rechte vorbehalten.

Und ein Copyright hat sie auch noch. Da lache ich ja vor Angst, wenn ich ein Vollzitat ins Web stelle!

Handelsregisternummer: R.C.S. Luxembourg B 118 349 – Conseil de gérance der PayPal (Europe) S.à r.l.

Lustige Handelsregisternummern haben die in Luxemburg. :mrgreen:

Die AGB von PayPal ändern sich

Donnerstag, 2. November 2017

Vorab: Es geht hier nicht um eine Spam, sondern um eine echte E-Mail von PayPal. Diese ist allerdings ausgesprochen dumm und ein Beitrag PayPals dazu, dass sich das kriminelle Phishing nach Login-Daten von PayPal-Nutzern auch in Zukunft lohnen wird.

Diese E-Mail von PayPal ist echt (nur die schwarzen Balken sind von mir):

Screenshot der Ansicht der PayPal-Mail im Thunderbird

Ebenso echt ist die Warnung von Thunderbird, dass diese Nachricht ein Betrugsversuch sein könnte. Diese Warnung hat auch einen guten Grund. Sämtliche Links in der Mail von PayPal gehen nicht auf die Website in der Domain von PayPal, sondern stattdessen in die Domain paypal (strich) communication (punkt) com. Das ist sehr dumm von PayPal, und diese Dummheit ist sehr gefährlich für naive PayPal-Kunden.

Denn so trägt die E-Mail von PayPal alle Kennzeichen einer Phishing-Spam.

PayPal-Kunden gewöhnen sich durch dumme E-Mails wie diese daran, dass eine echte E-Mail von PayPal „aussieht wie eine Phishing-Spam“, weil Links aus der E-Mail in andere Domains gehen. Sie werden so auch daran gewöhnt, in derartige E-Mails zu klicken – was im Falle eines echten Phishings auf eine „liebevoll“ nachgemachte PayPal-Seite in einer anderen Domain führen würde, wo man Gelegenheit erhält, Kriminellen die Zugangsdaten zum PayPal-Konto zuzustecken, damit diese Leute ihre „Geschäfte“ über dieses Konto machen können.

Mir als denkenden Menschen ist es ja schon unbegreiflich, warum eine E-Mail von PayPal nicht standardmäßig digital signiert ist, um jedem Empfänger wenigstens die Möglichkeit zu gewähren, diese digitale Signatur zu überprüfen und damit den Absender und den unverfälschten Inhalt der E-Mail jenseits jedes vernünftigen Zweifels sicherzustellen. Verbunden mit einer sinnvollen Aufklärung der Kunden (und vielleicht sogar der Erstellung von Addons für beliebte E-Mail-Software, die dann die Signatur überprüfen) könnte eine solche Maßnahme wie keine zweite einen Phishing-Sumpf austrocknen, der übrigens auch die Reputation PayPals als die eines „sicheren Zahlungsdienstleisters“ beschädigt. Erfreulicherweise würde eine digitale Signatur von E-Mail noch nicht einmal Geld kosten, aber Schäden in einer derzeit nur PayPal genauer bekannten Größenordnung abzuwenden helfen.

PayPal ist dazu nicht bereit. PayPal scheint wichtigere Anliegen und Pläne als den Kampf gegen die Internetkriminalität zu haben. Das ist schade. Leider kann ich es auch nicht ändern. PayPal könnte es ändern. Aber dort hat man ja leider wichtigere Anliegen und Pläne. Ja, ich werde etwas ätzend, ich merke es ja selbst…

Aber wenn man die E-Mail schon nicht digital signiert, obwohl das kein Geld kostete und mit relativ geringem Aufwand durchführbar wäre, dann kann man doch wenigstens die verlinkten Seiten in der eigenen Domain halten, die jedem PayPal-Kunden vertraut sein sollte.

Ich kann durchaus verstehen, wenn man die Website unter www (punkt) paypal (punkt) com leicht durchschaubar halten möchte und sie deshalb nicht mit solchen Texten „vollmachen“ mag. Aber auch dafür gibt es eine einfache, kostenlose und weisere Lösung, nämlich die Verwendung einer anderen Subdomain. Die Links aus einer derartigen E-Mail würden dann zum Beispiel in eine dafür vorgesehene Domain tos (punkt) paypal (punkt) com gehen, und es wäre klar, dass diese Domain vom Betreiber der Domain paypal (punkt) com eingerichtet wurde. Neben der Kostenlosigkeit eines solchen Vorgehens hätte dies sogar noch einen weiteren Vorteil: Die DNS-Konfiguration für eine zweite Domain würde wegfallen, an ihre Stelle träte eine einzige zusätzliche Zeile in der Konfigurationsdatei für die Domain paypal (punkt) com.

Es hätte also nur Vorteile, wenn man es so machte. Und man müsste schon ein bisschen dumm sein, wenn man es anders machte – etwa so, wie PayPal es hier in seiner E-Mail mit der Mitteilung geänderter AGB vorgemacht hat.

Vor allem, weil ein Mailclient den Empfänger dann auch gleich in rotesten Alarmfarben vor Phishing warnt, weil es nicht nur dumm wäre, sondern auch wie Phishing aussähe. Oh, es wäre ja nicht nur dumm. Der Konjunktiv ist eine Möglichkeitsform, aber diese E-Mail ist bittere Realität. Es ist dumm. Egal, aus welchem Blickwinkel man es betrachtet, sieht es bei genauerem Hinschauen nur immer dümmer aus.

Und es nützt nur der Organisierten Kriminalität.

Sonst hat niemand einen Nutzen davon. Ganz im Gegenteil.

Ich sage ja: Es ist dumm. Es ist gefährlich und unverantwortlich dumm, was PayPal hier tut. Und es wäre gut für alle, wenn PayPal klüger vorginge.

Leider ist diese Dummheit bei PayPal regelmäßig und offenbar völlig beabsichtigt. Meinem Offenen Brief vom 10. Januar 2014 habe ich auch heute kein weiteres Wort hinzuzufügen.

Bitte verifizieren Sie Ihre Daten

Mittwoch, 1. November 2017

Von: Amazøn.de <de.sec-team@ama-sec-team10.site>

So so, von Amazøn. Das ist bestimmt das dænische Amazon. :D

Mittwoch, 1. November 2017

Immerhin, das Datum stimmt.

Neue Mitteilung von Ihrem Kudenservice

Und wenn man „Kundenservice“ als eine Bande von Verbrechern versteht, die ihren „Kunden“ mit Trickbetrügereien das Geld aus der Tasche ziehen will, dann stimmt das auch. :mrgreen:

Guten Tag,

Mein Name ist auch so richtig gut getroffen.

Nach §5-7 des BDSG sind wir verpflichtet, Ihre Daten auf Integrität zu prüfen und dem Sachverhalt nach zu aktualisieren. Hierzu bitten wir Sie ihgrere Daten in einem kurzen Datenabgleich zu bestätigen.

Daten verifizieren

Aha, falsch eingegebene Daten noch einmal falsch eingeben lassen ist das neue „auf Integrität prüfen“. Der Link geht natürlich nicht zu Amazon oder Amazøn, sondern in die wenig vertrauenerweckende Domain secure (strich) ama (strich) encrypted (punkt) gdn. Natürlich wird ein TLS-Zertifikat verwendet, so dass ein Schlösschen in der Adresszeile erscheint und ein zeitgenössischer Webbrowser nicht wegen des Absendens unverschlüsselter Informationen warnt. So viel nur zu dem Thema, dass ein derartiges Schlangenöl davor schützt, zum Opfer von Kriminellen zu werden. Sicheren Schutz gewährt hingegen ein gut funktionierendes Gehirn.

Da es zu dieser Domain keine Website mehr gibt – ein warmer Dank an den Hoster, der einfach den Stecker gezogen hat! – kann ich keinen Screenshot der Phishing-Seite machen. Dass es sich nicht um Amazon handelt, bemerkt man freilich, wenn man in die Adresszeile seines Webbrowsers schaut.

Mit freunergerdlichen Grüßen
Ihr Kundenservice

Mit was für Grüßen?! :shock:

Dies ist eine automatisch versendete Hinweis. Bitte antworten Sie nicht auf diregerese Nachricht, da die EMail Adresse nur zur zum Verschicken von Mails eingerichtet ist.

So so, „diregerese Nachricht“ und „freunergerdlichen Grüße“. Da war der wesentliche Text für das kriminelle Vorhaben fertig geschrieben, es musste nur noch der übliche Formalkram drunter, und schon sind die Gedanken wieder im Bordell und die Konzentration lässt nach…

Verifiedbyvisa

Freitag, 29. September 2017

VerifiedbyvisaVerifiedbyvisa

Hallo Gast Visa Europe,

Ihre Kreditkarte wurde ausgesetzt, weil wir ein Problem festgestellt, auf Ihrem Konto.

Wir haben zu bestimmen, dass jemand Ihre Karte ohne Ihre Erlaubnis verwendet haben. Für Ihren Schutz haben wir Ihre Kreditkarte aufgehangen. Um diese Suspension aufzuheben Klicken Sie hier und folgen Sie den Staat zur Aktualisierung der Informationen in Ihrer Kreditkarte.

Vermerk: Wenn diese nicht vollständig ist, werden wir gezwungen sein, Ihre Karte aussetzen

Wir bedanken uns für Ihre Zusammenarbeit in dieser Angelegenheit.

Dossier n: PP-1124-075-997

Danke,
Kunden-Support-Service.
Copyright 1999-2017 VerifedbyVisa. Tous droit r?serves.

Ohne Worte.

Kontoeinschränkung – Bitte bestätigen Sie Ihre Daten

Freitag, 11. August 2017

Das ist mal ein bisschen anders…

Von: „PayPal Service Team“ <service.team@paypal.de>

Sollte diese Nachricht nicht richtig angezeigt werden, klicken Sie bitte hier

Natürlich ist der Absender gefälscht, und zwar zur Abwechslung einmal so, dass naive Menschen wirklich daran glauben können, die Mail käme von PayPal. Und natürlich ist da nicht mehr in der Spam, was dargestellt werden könnte. Der Link führt auch nicht zu PayPal, sondern er ist über den beliebten URL-Kürzer Bitly maskiert, um Spamfiltern die Arbeit zu erschweren.

PayPal würde niemals einen Link auf die eigene Website in einer E-Mail über Bitly kürzen. Zum einen gibt es dafür keinen technischen Grund, die Textlänge in einer E-Mail ist ja nicht beschränkt, und sollten kürzere Links (etwa für die umbruchlose Darstellung in einer Reintextmail – die vorliegende Spam ist HTML-formatiert, so dass sich das Problem gar nicht stellt) doch einmal gewünscht sein, so könnte PayPal nahezu mühelos einen eigenen Weiterleitungsdienst für eigene Zwecke implementieren. Und zum zweiten würde PayPal damit die Zugriffe seiner Kunden auf die PayPal-Website für einen Dritten, nämlich Bitly, trackbar machen. So etwas ist eine ganz schlechte Idee, wenn es um Geld geht. So etwas macht mit Sicherheit niemand, der einen Zahlungsdienst anbietet.

Der so maskierte Link führt nach der Weiterleitung durch Bitly…

$ lynx --mime-header http://bit.ly/2ftsROw | grep ^Location
Location: http://paypal.de-account-aktualisierung.gdn/
$ _

…schließlich in eine Website in eine Subdomain von de (strich) account (strich) aktualisierung (punkt) gdn, die natürlich nicht die Domain von PayPal ist. Die Subdomain paypal kann darüber nur bei Menschen hinwegtäuschen, die überhaupt keine technischen Kenntnisse mehr haben… oh… das sind wohl beinahe alle Menschen aus der „Generation Smartphone“. Jeder, der eine Domain verwaltet, kann dort beliebige Subdomains einrichten.

Ich hätte ja gern meinen obligatorischen Screenshot der mutmaßlichen Phishing-Site¹ gemacht, aber…

$ host paypal.de-account-aktualisierung.gdn
paypal.de-account-aktualisierung.gdn has address 136.243.175.176
$ ping -c 16 -W 5 136.243.175.176
PING 136.243.175.176 (136.243.175.176) 56(84) bytes of data.

--- 136.243.175.176 ping statistics ---
16 packets transmitted, 0 received, 100% packet loss, time 14996ms

$ _

…der von den Spammern gemietete Server scheint schon abgeklemmt worden zu sein. Dafür einen warmen Dank an die Hetzner Online GmbH. So schnell müsste das immer gehen! ;)

Grundsätzlich gelten jedoch drei Dinge, denn so viel Glück wird man nicht immer haben:

  1. PayPal versendet solche E-Mails nicht. Die E-Mail von PayPal ist ohne weiteres Geklicke lesbar. PayPal ist dazu imstande, eine E-Mail zu verfassen, in der man den Text auch lesen kann. Jeder aufgeweckte Achtjährige ist nämlich dazu imstande. Warum sollte PayPal im Kontakt zu seinen Kunden hinter dieses Niveau zurückfallen?
  2. PayPal wird niemals einen Link auf die eigene Website über einen externen Kürzer wie Bitly maskieren und damit ohne technischen Grund einem Dritten eine Datensammlung über den Zugriff auf die Website eines Finanzdienstleisters ermöglichen. So etwas machen wirklich nur Spammer, die verhindern wollen, dass die von ihnen benutzten Domains binnen weniger Viertelstunden auf den einschlägigen Blacklists stehen, so dass ihre Spams nicht mehr ankommen.
  3. Wenn man sich angewöhnt, niemals in eine E-Mail zu klicken, sondern einfach die jeweilige Website direkt aufzurufen – die Webbrowser haben zu diesem Zweck seit 1994 eine ausgesprochen praktische Lesezeichenfunktion – dann kann man nicht auf Phishing über eine E-Mail hereinfallen und fängt sich übrigens auch nicht so leicht Schadsoftware ein, weil man keine Websites von spammenden Verbrechern besucht. Wenn es ein Problem bei PayPal, Amazon, eBay, Facebook, etc. gibt, dann wird man auf den jeweiligen Websites nach der Anmeldung deutlich darauf hingewiesen. Es besteht kein Grund, in die E-Mail zu klicken, aber es ist gefährlich.

Diese Spam ist ein Zustecksel meines Lesers M.S. – Danke!

¹Es ist nicht sicher, dass es sich hier um Phishing handelt – im Moment ist wieder sehr viel Schadsoftware unterwegs, die ebenfalls in kurz gefassten E-Mails, dort allerdings meist als Anhang, transportiert wird.

Validierung notwendig

Donnerstag, 22. Juni 2017

Von: „Amazon.de“ <info@amazon.eu>

Wie immer in der Spam ist der Absender gefälscht.

Amazon.de-Logo

Auch wie man Grafiken in einer Spam verwendet, um beim Opfer einen falschen Eindruck zu erwecken, hat der Absender durchschaut.

Datum: 21.06.2017

Damit auch etwas Wahres in der Spam steht, hat der Spammer das Datum hineingeschrieben. Das ist zwar völlig unnötig und dumm, weil es auch im Mailheader steht, aber es sieht so schön förmlich aus und es ist so einfach. Außerdem macht Amazon es auch.

Guten Tag Tobias Rodde,

In der mir vorliegenden Spam stimmte die namentliche Ansprache nicht. In vielen anderen Fällen wird sie stimmen. Die Spammer haben eine große, zusammengetragene Datenbank aus Zuordnungen von Namen zu E-Mail-Adressen. Wo sie diese Daten herhaben? Aus vielen Quellen.

Es gelten neue Mindestanforderungen für die Sicherheit von Internetzahlungen § 21 II AgNwV Aus diesem Grund sind wir dazu verpflichtet, Ihre Idendität [sic!] in regelmäßigen Abständen zu überprüfen.

Nun, eine Verordnung, die ihre gegenwärtig gültige Fassung am 15. Oktober 2009 erhalten hat und am 31. Oktober 2009 in Kraft getreten ist¹, ist nicht wirklich „neu“. Aber der Spammer vertraut darauf, dass Menschen von einer derartigen Behauptung so eingeschüchtert sind, dass sie einfach vergessen, wozu man Internet-Suchmaschinen benutzen kann. Solche Leute stören sich auch nicht am Wort „Idendität“ neben der kryptischen Abk. für eine für den Online-Handel mit Gütern irrelevante Verordnung.

Achten Sie während der Überprüfung auf die richtige Eingabe Ihrer Daten, sollte das System Abweichungen zu den bereits hinterlegten Daten feststellen wird Ihr Amazon-Konto automatisch aus Datenschutzrechtlichen Gründen gesperrt. Sobald dieser Fall eintritt, ist eine Legitimation Ihrer Daten nur noch über den Postweg möglich.

Oh, der Rechtschreibbeauftragte ist mal kurz pinkeln gegangen.

Bitte nicht vertippen! Offenbar sind inzwischen viele der Menschen, die auf plumpes Phishing reinfallen, nicht mehr dazu imstande, ihre Anschrift, ihre Bankdaten und ihre Kreditkartennummer nebst allen Angaben halbwegs unfallfrei in eine Webseite einzugeben, die so aussieht, als käme sie von Amazon. Und das ist natürlich ärgerlich für den Phisher, wenn er zwar genug naive Opfer gefunden hat, aber dennoch seine Betrugsgeschäfte nicht durchziehen kann.

Da stellt sich nur noch eine Frage: Warum sollte man das tun?

Warum ist das notwendig?

Dieser Schritt ist notwendig, damit wir Sie als rechtmäßigen Inhaber Ihres Amazon-Kontos identifizieren können. Wir möchten dadurch auch verhindern, dass Dritte Zugang zu Ihrem Amazon-Konto erlangen und finanzielle Schäden verursachen.

Richtig, damit sich keine Betrüger des Amazon-Zuganges bemächtigen können. Sagt ein Betrüger in einer Phishing-Spam. Und das Beste an dieser „Identifikation“ als „rechtmäßiger Inhaber“ ist, dass ein behaupteter Betrüger, der sich des Zuganges bemächtigt hat, völlig sicher und zuverlässig als „rechtmäßiger Inhaber“ erkannt würde, weil er ja alle diese Daten einsehen konnte. Dieses vom Spammer behauptete Verfahren ist also noch sinnloser und dümmer als ein Virenschutz durch ein Heiligenbild, das man auf seinem Rechner aufklebt. Denn beim Heiligenbild schließe ich die mögliche Wirkung nicht aus… :mrgreen:

Weiter zur Bestätigung

Der Link ist indirekt über den URL-Kürzungsdienst bit (punkt) ly gesetzt. Amazon hätte so einen Umweg über einen Drittanbieter in einer HTML-formatierten E-Mail nicht nötig, denn es gibt keinen Grund, darin einen Link zu kürzen. Außerdem unterhält Amazon einen eigenen Linkkürzungsdienst, der sicherlich auch von Amazon benutzt würde, wenn der Bedarf bestünde.

Spammer haben es aber immer nötig, die Zieladresse ihrer giftigen, betrügerischen Links zu verbergen, denn die Spamfilter lernen relativ schnell, was Phishing-Seiten sind. Und das ist schlecht für einen Spammer, der davon lebt, dass seine Spams auch bei den Opfern ankommen.

Mal schauen, wo die Reise hingeht, wenn jemand auf den Link klickt:

$ location-cascade http://bit.ly/2tNK8Eh
301	http://bit.ly/2tNK8Eh
302	http://f3892.easyurl.net/
Found	http://chundmeinweed.com/radjesh1
$ lynx -mime_header http://chundmeinweed.com/radjesh1 | grep "^Location"
Location: https://amazon.de-kundeninfo-datavalidierung.com/wer/macht/parra/
$ _

Es geht in die Subdomain amazon der etwas unhandlichen Domain de (strich) kundeninfo (strich) datavalidierung (punkt) com, die natürlich nichts mit Amazon zu tun hat und erst vorgestern unter Angabe einer mutmaßlich missbrauchten Identität eines früheren Opfers dieser Phisher aus Schelsig (Hessen) eingerichtet wurde.

Die Phishing-Seite ist – die Spam ist ja inzwischen doch schon ein paar Stündchen alt – zum Glück bereits aus dem Internet entfernt. ;)

Wer einen Eindruck davon bekommen möchte, wie gegenwärtiges Phishing von Amazon-Zugängen (die dann für Betrugsgeschäfte aller Art missbraucht werden) aussieht, kann sich die Screenshots zu meiner Amazon-Phishingmail vom 5. Juni anschauen. Ich bin mir übrigens sehr sicher, dass diese Phishing-Spam von der gleichen Bande stammt und dass die hier verwendete Phishing-Seite genau so ausgesehen hätte, wenn sie noch verfügbar gewesen wäre.

Vielen Danke ihr ,
Ihr Amazon – Team

Hach ja, zum Ende der Spam nimmt die Konzentration des Rechtschreibbeauftragten doch immer sehr ab, weil die Gedanken schon wieder im Bordell sind und das ganze Geld aus Betrugsgeschäften bei Koks und Nutten verprassen…

Diese Phishing-Spam ist ein Zustecksel meines Lesers M.S., der übrigens kein Amazon-Nutzer ist oder werden möchte.

¹Ich habe eine Archivversion verlinkt, um den heutigen Stand zu dokumentieren, falls sich diese Verordnung in nächster Zeit einmal verändern sollte. Die jeweils aktuell gültige Fassung gibt es natürlich beim Bundesministerium für Justiz.

Ihr Nutzerkonto wurde eingeschränkt!

Montag, 5. Juni 2017

Von: Amazon.de <info@htimmermann.de>

Hey, Spammer! Wenn du schon einen Absender fälschst, dann kannst du es doch wenigstens überzeugend machen. So sieht doch jeder mit einem Minimum an Erfahrung noch vor dem eigentlichen Lesen, dass diese Mail in den Müll kann.

amazon.deSonntag, 04. Juni 2017
Bestellung: #287-705990652-528517669

Das Datum steht auch im Mailheader und wird dem Empfänger angezeigt (die Spam ist von gestern, 14:24 Uhr), und die wichtigtuerische Nummer ist nichtssagend. In eine E-Mail ein Datum hineinzuschreiben, ist gnadenlos dumm.

Sehr geehrter Kunde,

Wenn ich Kunde bei Amazon wäre – was ich nicht bin – dann wüsste Amazon auch einen Namen von mir und würde mich persönlich ansprechen. Spätestens jetzt ist klar, dass die Mail in den Müll kann.

Ihre Bestellung über 691,98 EUR bei Apple wurde storniert.

Aber ich habe gar nichts bestellt… :shock:

Die Prüfung Ihrer Bestellung hat ergeben, dass diese Transaktion möglicherweise nicht von Ihnen authorisiert wurde. Da es zu mehreren Unstimmigkeiten kam, haben wir diese Transaktion storniert und Ihr Amazon Konto vorrübergehend eingeschränkt.

Aha, es war ja auch gar nicht „von mir authorisiert“. Wie macht man das bei Amazon? Dass die mit digitalen Signaturen arbeiten, kann ich mir eher weniger vorstellen (obwohl es wünschenswert wäre), also kann es sich nur um Bullshit handeln – oder um die blühende Fantasie eines spammenden Idioten bei der Formulierung seiner Strunztexte. Der Idiot macht dann auch gleich weiter und faselt nebulös von „mehreren Unstimmigkeiten“, ohne auch nur eine Einzelheit anzudeuten. Und wegen diesem fluffigen Wölkchen aus schwafelhaften Behauptungen in einer Spam ist mein „Amazon Konto“ mit echtem Deppen Leer Zeichen jetzt erst einmal gesperrt. Und wenn ich das ändern will, erfordert das…

Weitere Details zu ihrer Bestellung, sowie weitere erforderliche Schritte, um die Einschränkung Ihres Kontos aufzuheben, finden Sie unten stehend.

…dass ich etwas tun muss. Wie immer beim Phishing.

Hui, „unten stehend“ – solche bürokratiepapiernen Ausdrucksweisen sind auch nicht gerade Hirn benutzend. Dieser unpersönlich-autoritäre Stil zieht sich noch weiter durch die Spam. Ich hoffe mal für Amazon, dass man dort bessere Formulierungen in der Ansprache der Kunden verwendet.

Wichtiger Tipp gegen Phishing: Wenn man eine solche E-Mail bekommt und sich nicht sofort völlig sicher ist, dass es sich um eine Spam handelt: Niemals in die E-Mail klicken. (Das ist übrigens eine gute generelle Regel für jede nicht digital signierte oder explizit vorher verabredete E-Mail.) Einfach die entsprechende Website (hier ist es Amazon, es sind aber auch gern Banken, eBay und alles, wo Geld umgesetzt oder gekauft wird¹) wie gewohnt im Browser aufrufen und dann dort anmelden! Dabei wird sofort klar, ob das in der Mail behauptete Problem vorliegt. Wenn sich das in der E-Mail behauptete Problem beim Besuch der Website nämlich nicht in den Weg stellt, hat man einen Phishing-Versuch erfolgreich abgewehrt, und es war überhaupt nicht weiter schwierig. Diese leicht zu erlernende Vorsicht kann – es gibt tatsächlich besser gemachtes Phishing als diese Spam – leicht eine Menge Geld und Ärger ersparen.

Einzelheiten Ihrer Bestellung

Bestellung: #287-705990652-528517669
aufgegeben am 3. Juni 2017

Apple iPhone 7 Smartphone (11,9 cm (4,7 Zoll), 32GB interner Speicher, iOS 10) matt-schwarz

Zustand: Neu
Verkauft von: Apple
Versand durch: Amazon

EUR 684,99
Zwischensumme: EUR 684,99
Verpackung und Versand: EUR 6,99
Endbetrag: EUR 691,98
Gewählte Zahlungsart: Bankeinzug

Hui, der Spammer kann Tabellen in eine HTML-formatierte Spam fummeln. Das kann aber nicht jeder! :D

Leider war nach dieser anstrengenden und hirnenden HTML-Arbeit die verfügbarbare Sorgfalt des Spammers erschöpft, die Gedanken des Spammers wandten sich dem Nachmittag im Bordell zu und deshalb geht die bis jetzt ziemlich unauffällige Rechtschreibung ein bisschen verloren.

Um Ihr Nutzerkonto weiterwhin [sic!], wie gewohnt, [sic! Kommafehler.] nutzen zu können, ist eine kurze Überprüfung Ihrer Identitätit [sic!] notwendig. Um eine weitere unautohorisierte [sic!] Nutzung zu vermeiden, ist dieser Schritt notwendig [sic! Doppelt gemoppelt.].

Meine Daten bestätigen

Neben der normalen Authorisierung (zum Beispiel durch Benutzername und Passwort) gibt es jetzt auch die Autohorisierung und „Überprüfung der Identitätit“ durch erneute Eingabe von Daten bei einem Laden, der diese Daten doch schon längst hat. Der Link auf dem Klickeknöpfchen ist über den URL-Kürzungsdienst bit (punkt) ly maskiert, aber erfreulicherweise…

$ mime-header "http://bit.ly/2qU5BcQ"
http://bit.ly/2qU5BcQ
  HTTP/1.1 302 Found
  Server: nginx
  Date: Mon, 05 Jun 2017 11:16:12 GMT
  Content-Type: text/html; charset=utf-8
  Content-Length: 211
  Connection: close
  Cache-Control: private, max-age=90
  Location: https://bitly.com/a/warning?hash=2qU5BcQ&url=https%3A%2F%2Fwww.secure-verify-amaz-on-kundensicherheit.com%2Faz_script%2F
$ _

…hat schon jemand den Missbrauch des Dienstes an bit (punkt) ly gemeldet, und deshalb gibt es dort eine deutliche Warnseite statt einer stillen Weiterleitung auf eine Betrugsseite von Phishern:

Screenshot der Warnseite von bit.ly für eine als Spam gemeldete URL

Danke dafür! ;)

Ohne dieses beherzte Einschreiten von bit (punkt) ly würden die Opfer des Phishings mit einer „liebevoll“ nachgemachten Amazon-Anmeldeseite in der Domain secure (strich) verify (strich) amaz (strich) on (strich) kundensicherheit (punkt) com konfrontiert und erhielten die Möglichkeit, dort ihre Amazon-Anmeldung und ein paar weitere Daten an Verbrecher zu verraten. Das sieht dann so aus:

Anmeldeseite

Preisgabe der Zugangsdaten zur Amazon-Website. Diese sind bereits für einen Betrüger missbrauchbar.

Meldeanschrift und Geburtsdatum angeben

Preisgabe der Meldeanschrift und des Geburtsdatums – dies sind übrigens Daten, die für einen kriminellen Identitätsmissbrauch völlig hinreichend sind, und sie gehen an gewerbsmäßige Betrüger.

Kreditkartendaten und Kontoverbindung

Preisgabe der Bankverbindung, zusammen mit einem kinderleicht missbrauchbaren Vollzugriff auf die Kreditkarte.

Wer durch diese drei Schritte gegangen ist, hat ein Problem für die nächsten Jahre, denn mit diesen Daten, mit der Kreditkarte und der Bankverbindung werden alle nur erdenklichen Betrugsgeschäfte gemacht. Ich empfehle unbedingt, Strafanzeige zu erstatten und Kontakt mit der Bank aufzunehmen, um weiteren Schaden abzuwenden.

Sie werden zum Schluss an die Konfliktlösung von Amazon.de weitergeleitet. Wir bitten Sie, insofern Sie diese Bestellung nicht getätigt haben, um weitere Schwierigkeiten zu vermeiden, diesen Schritt durchzuführen.

Oh, jetzt ist das Deutsch der Spam aber ein bisschen verschroben.

Wir hoffen auf Ihr Verständnis und verbleiben. [sic! Unpassender Punkt.]

mit freundlichen Grüßen
Amazon.de

Hoffen könnt ihr auf mein Verständnis, so lange ihr wollt. :D

So, und jetzt noch ein länglich formuliertes Augenpulver, dass der Spammer vermutlich aus einer echten Mail von Amazon rauskopiert hat:

Artikel mit dem Hinweis „Versand durch Amazon“ werden bei einem Drittanbieter gekauft, aber von einem unserer Logistikzentren an Sie verschickt. hierzu zählen auch Artikel, die sie über Amazon.de Warehouse Deals erwerben. Warehouse Deals ist ein Handelsname der Amazon Eu S.à.r.l..

Wir weisen darauf hin, dass Verkäufer möglicherweise zusätzliche Informationen, wie beispielsweise die Ust-Identifikationsnummer anfragen werden, um korrekte Rechnungen ausstellen zu können.

Bitte beachten Sie: Diese E-Mail dient lediglich der Bestätigung des Einganges Ihrer Bestellung und stellt noch keine Annahme Ihres Angebotes auf Abschluss eines Kaufvertrages dar. Ihr Kaufvertrag für einen Artikel kommt zu stande, wenn wir Ihre Bestellung annehmen, indem wir Ihnen eine E-Mail mit der Benachrichtigung zusenden, dass der Artikel an Sie abgeschickt wurde.

Aha! Eine E-Mail, die mich über eine vorübergehende Sperrung meines „Amazon Kontos“ mit dem Deppen Leer Zeichen informiert, dient „lediglich der Bestätigung des Einganges meiner Bestellung“. Gegen Ende ihrer Spam werden die Spammer oft ein wenig nachlässig, weil ihre Gedanken sich schon damit zu beschäftigen beginnen, wo sie das Geld anderer Leute verprassen können.

Dies ist eine automatisch versendete Nachricht. Bitte antworten Sie nicht auf dieses Schreiben, da die Adresse nur zur Versendung von E-Mails eingerichtet ist.

Dies ist eine millionenfach versendete Spam mit gefälschtem Absender.

¹Auch Social-Media-Sites wie Facebook, Twitter und dergleichen sind bei Phishern beliebt, weil sie es zum einen ermöglichen, bei den Kontakten einen Betrug der Marke „Ich sitze hier in Paris fest, wurde beklaut, Geld weg, keine Papiere, kannst du mir kurz über Western Union dreihundert Euro senden, damit ich hier wegkomme, ich zahle sie dir nächste Woche zurück“ einzuleiten und zum anderen ermöglichen, bei Betrugsgeschäften unter falscher Identität aufzutreten – insbesondere, wenn man sich bei anderen Dienstleistern im Web „bequem“ über Twitter, Facebook, Google anmeldet, statt jedesmal ein anderes Passwort zu benutzen.