Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Kategoriearchiv „Phishing“

Sparkasse.de | Sicherheitsbenachrichtgung

Freitag, 26. Januar 2018

Aber ich bin doch gar nicht bei der Sparkasse… natürlich kommt diese Mail nicht von der Sparkasse. Es ist eine Phishing-Spam.

Von: „Service Team“ <info@support.com>

Der gefälschte Absender sieht mal wieder gar nicht sparkassig aus.

Sehr geehrte Sparkassen Kunden,

Genau mein Name!

aufgrund unserer neuen Nutzungsbedingungen ist eine Aktualisierung Ihrer Daten notwendig.

Was, Banken haben Nutzungsbedingungen? Ungefähr so wie Facebook? Und keine AGB? Und diese Bedingungsen werden ohne Mitteilung einfach so geändert, damit alle möglichen sehr geehrten Kunden jetzt in eine Spam klicken müssen.

Mit diesem Schritt möchten wir Ihre Sicherheit als Sparkassen Kunde erhöhen und Ihr Konto dadurch vor Missbrauchfällen schützen.

Aha! Trotzdem sind eure geänderten AGB (oder „Nutzungsbedingungen“) schlicht ungültig, wenn ihr sie nicht vorher mitgeteilt habt.

„Missbrauchfällen“ würde in einer richtigen Mail eines echten Kreditinstitutes niemals stehen. Das Deppen Leer Zeichen in „Sparkassen Kunde“ kann leider sehr wohl passieren… :(

Dazu bitten wir Sie die Anweisungen auf der verlinkten Sparkassen Seite zu folgen, damit Sie schnellstmöglich von der erhöhten Sicherheit profitieren können.

Genau, wenn man in eine Mail klickt, dann erzeugt das hokus pokus Sicherheit. Warum? Weil es in der Mail steht. Aber nur, wenn man „die Anweisungen folgt“.

Übrigens ist das genaue Gegenteil davon wahr: Wer sich niemals dazu hinreißen lässt, in eine E-Mail zu klicken, kann auf keine der häufigen Formen von Internetkriminalität reinfallen. Das spart viel Geld und Nerven. Deshalb sollte sich jeder Mensch angewöhnen, niemals in eine E-Mail zu klicken.

In diesem Fall könnte einfach die Sparkassen-Website aufgerufen werden. Nach einer gewohnten und problemlosen Anmeldung stellt man dabei ganz von allein fest, dass die behaupteten Probleme in der Phishing-Spam nicht existieren, denn sonst würde man ja auf der Website der Sparkasse darauf hingewiesen. Damit es auch wirklich einfach und bequem ist, Websites direkt aufzurufen, haben alle Webbrowser seit dem Mosaic Netscape 0.9 Beta aus dem Jahr 1994 eine praktische und leicht zu benutzende Lesezeichenfunktion.

Aktualisieren Sie bitte jetzt Ihre Daten, um eine Sperrung Ihres Kontos zu verhindern.

An meinen Daten hat sich doch gar nichts verändert… :D

Eine Entsperrung kann nur gebührenpflichtig von einem Sachbearbeiter erledigt werden.

Aha, eine Nötigung versucht diese „Spaßkasse“ aus der wirren Phantasie eines Verbrechers auch noch.

Klicken Sie auf den unten stehenden Link, um die Aktualisierung zu starten.
Zur Aktualisierung

Der Link geht natürlich nicht zur Sparkasse, sondern zum URL-Kürzer Bitly. Und von dort dann auf einen anderen Kürzer. Und dann wird noch einige Male innerhalb der wenig Vertrauen erweckenden Domain www (punkt) sparkasse (punkt) de (strich) vorgangsnummer (strich) kda5 (punkt) bid, oder, um es genau zu sagen:

$ location-cascade http://bit.ly/2nb1Xfj
     1	http://shortennn.bid/?l=dm3gYLUy1
     2	http://www.sparkasse.de-vorgangsnummer-kda5.bid/portal/spar/kasse/
     3	https://www.sparkasse.de-vorgangsnummer-kda5.bid/portal/spar/kasse/
     4	/881388/D3Fwx1lgzSiGWer/09YXNC2nuafAFIb/423979446617/x5mU1oVyPWT8diq/n5Kt7xz6J0brLXk/
$ _

Dort gibt es dann eine Website, die mit einem bisschen Design so tut, als sei sie von der Sparkasse:

Screenshot der Phishing-Seite im Design der Sparkasse

Da helfen alle aus der Originalseite leicht kopierten Schlösschen und das ganze Gefasel vom „sicheren Anmelden“ nichts: Was immer man hier an Daten eingibt, geht direkt an Kriminelle – und es wird im nächsten Schritt noch viel mehr. Übrigens ist die Verbindung TLS-verschlüsselt, so dass der Webbrowser auch noch ein Schlösschen anzeigt. Immerhin: So kommt niemand außer den Kriminellen an die gephishten Daten. :twisted:

Wir bedanken uns im Voraus für Ihr Verständnis.

Danke für nichts!

Mit freundlichen Grüßen,
Ihre Sparkasse

Freundlich wie ein Fausthieb
Dein Phishing-Spammer

Diese Spam aus dem täglichen Wahnsinn des Posteinganges ist ein Zustecksel meines Lesers M.S.

Ihr Páypal Konto wurde eingeschränkt

Mittwoch, 10. Januar 2018

Huch, wie ist die denn durch den Spamfilter geflutscht?

Von: Paypál <service@paypal.com>

Der Absender ist gefälscht. Die Spam hat niemals einen Server von PayPal gesehen. Mein Exemplar dieser Phishing-Spam wurde übrigens über einen gemieteten Server eines Hosters aus den USA versendet. Natürlich mietet ein Verbrecher so einen Server nicht unter Angabe seines eigenen Namens und bezahlt ihn nicht mit seiner eigenen Kreditkarte, so dass vermutlich mal wieder einem Menschen, der bereits betrogen wurde, als kleine kriminelle „Zusatzleistung“ auch noch die Freude bevorsteht, dass gegen ihn wegen Betrugs ermittelt wird. :(

Lustig, dass „PayPal“ seine eigene Firmierung nicht richtig schreiben kann, so dass es nacheinander zu der Schreibweise „Páypal“ (im Betreff) und „Paypál“ (in der gefälschten Absenderadresse) kommt. Woran das liegt? Na, es liegt daran, dass diese Spam nicht von PayPal kommt.

Deshalb ist man ja auch sehr zurückhaltend mit der Preisgabe von Daten. Auch gegenüber irgendwelchen Unternehmen. Aber erst recht, wenn man in einer E-Mail dazu aufgefordert wird, auf irgendeiner Website Daten einzugeben.

Wir helfen Ihnen bei Problemen mit einer Transaktion.

Das ist ja nett! :mrgreen:

Wichtige Kundenmitteilung
Zum Datenabgleich

Ich komme später noch zum Link.

Guten Tag,

Dass diese Spammer aber auch immer so genau wissen, wie ich heiße!

leider müssen wir Ihnen mitteilen, dass wir Ihr Páypal Konto vorübergehend eingéschränkt haben. Um Ihr Konto wieder freizuschalten nutzen Sie bitte den oben angegebenen Link.

Ah, „eingeschränkt“ gibt es jetzt auch mit einem accent aigu. Vermutlich reicht dieses eine Wort in vielen Fällen schon aus, damit die betrügerische Spam nicht mehr durch den Spamfilter kommt, und deshalb denken sich die Verbrecher halt neue Schreibweisen aus.

Hier steht übrigens zwischen den Zeilen etwas ganz Wichtiges, wenn man sich vor Phishing schützen möchte. Wer nicht betrogen werden will und sich weiteren, teils jahrelangen Ärger ersparen möchte, der klickt natürlich niemals in eine E-Mail, sondern legt sich ein Lesezeichen im Webbrowser an und nutzt dieses. Ein Phisher hat nur eine Chance bei Menschen, welche die schlechte und gefährliche Angewohnheit haben, in E-Mails zu klicken – denn nur diese Menschen können vom Phisher mit einem Link auf die betrügerisch nachgeahmten Websites gelotst werden. Wer diese schlechte und gefährliche Angewohnheit hat, sollte sie sich unbedingt abgewöhnen.

Bitte halten Sie zum Datenabgleich Ihre Bankverbindung sowie Kreditkarten Daten zu Verfügung.

Ja, ist klar!

Das Deppen Leer Zeichen in „Kreditkarten Daten“ sollte allerdings auch begriffsstutzige Zeitgenossen aufmerksam machen, dass hier etwas nicht stimmt.

Bitte achten Sie darauf das Ihre Angaben mit denen bei uns hinterlegten übereinstimmen. Ansonsten besteht die Gefahr das Ihr Konto dauerhaft gesperrt wird.

Ja, ist klar!

Mit denen bei euch hinterlegten… :D

Wir bitten um Ihr Verständnis.

Nein!

Übrigens, der Link.

Der geht natürlich nicht in die Domain von PayPal, sondern über den URL-Kürzer Bitly. Die Verwendung eines URL-Kürzers in einer HTML-formatierten Mail ist natürlich überflüssig, und außerdem würde PayPal so etwas niemals tun, weil damit die Geschäftsbeziehung gegenüber einem Dritten geoffenbart würde. Stattdessen würde PayPal einen direkten Link auf eine Website in seiner eigenen Domain setzen… außer manchmal:(

Mal schauen, wo die Reise hingeht

$ lynx -mime_header http://bit.ly/2ErK3eI | grep ^Location
Location: https://paypal.de-sicherer-login.com/script.php
$ _

Aha, es geht in eine Subdomain der Domain de (strich) sicherer (strich) login (punkt) com, die zu…

$ dig paypal.de-sicherer-login.com

; <<>> DiG 9.10.3-P4-Ubuntu <<>> paypal.de-sicherer-login.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 5125
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;paypal.de-sicherer-login.com.	IN	A

;; ANSWER SECTION:
paypal.de-sicherer-login.com. 2741 IN	CNAME	de-si.5a55c254.2018.cbricdns.com.

;; AUTHORITY SECTION:
2018.cbricdns.com.	600	IN	SOA	ns-10.awsdns-01.com. awsdns-hostmaster.amazon.com. 1 7200 900 1209600 86400

;; Query time: 42 msec
;; SERVER: 127.0.1.1#53(127.0.1.1)
;; WHEN: Wed Jan 10 13:45:28 CET 2018
;; MSG SIZE  rcvd: 177

$ whois cbricdns.com | grep WHOIS
   Registrar WHOIS Server: whois.godaddy.com
$ whois -h whois.godaddy.com cbricdns.com | grep ^Registrant
Registrant Name: TJ Jung
Registrant Organization: Cloudbric Corp
$ _

…einer lustigen Domain eines Cloud-Anbieters und offenbar auch Dienstleisters für dynamisches DNS aufgelöst wird. Zum Glück für den Rest der Welt ist der Stecker bereits gezogen, so dass ich leider keinen Screenshot der aktuellen Phishing-Seite machen kann. Es wird sich jedoch um eine „liebevoll“ nachgemachte Login-Seite von PayPal gehandelt haben, die in ein paar weiteren Schritten eine Menge weiterer Daten für betrügerische „Geschäfte“ abfragt.

Aber wer niemals in eine E-Mail klickt, kann da ja gar nicht landen und auch nicht aus Versehen einer Betrügerbande Zugriff auf das PayPal-Konto, das Bankkonto und die Kreditkarte gewähren. Deshalb klickt man ja auch niemals in eine E-Mail

31 Dec 2017-Mailbox Service Warning

Montag, 1. Januar 2018

Bitte nicht darauf reinfallen. Es handelt sich um eine Phishing-Spam! Diese Spam geht an jede Mailadresse, die Spammer im Web einsammeln können.

Dear gammelfleisch,

Nicht immer ist das, was im Namensteil der Mailadresse steht, ein guter Name für eine Anrede. :D

Your email account will Expire on 2 Jan 2018,
If you want to continue using your email address: gammelfleisch@tamagothi.de
You will need to verify immediately to prevent your account from terminating

Schon klar, die läuft einfach so ab, die Mailadresse, außer natürlich, ich „verifiziere“ sie. Und das geschieht selbst noch bei mir, obwohl diese Mailadresse auf einem Server existiert, den ich selbst verwalte. Großes Kino im kleinen Köpfchen des Spammers!

Aber selbstverständlich richtet sich dieses Phishing an technisch Ahnungslose, die damit überrumpelt werden sollen, dass sie Zugangsdaten an Kriminelle geben. Und statt einer Erklärung gibt es im Zeitalter des IMAP-Postfaches und des Webmailers noch eine hübsche Horrorvision…

All messages and files will be lost if you do not immediately verify

…dass mit dem vom Spammer behaupteten Ablauf der Mailadresse alles verloren geht. (Wohl dem, der eine richtige Mailsoftware verwendet und deshalb auch noch eine lokale Kopie herumliegen hat!) Und deshalb soll man jetzt ganz schnell…

Verify Now

…klicki klicki auf Linki Linki machen.

Der Link geht zur Website in eine Domain…

$ whois aslantaxservices.com | grep WHOIS
   Registrar WHOIS Server: whois.godaddy.com
$ whois -h whois.godaddy.com aslantaxservices.com | grep ^Registrant
Registrant Name: Ernesto Sanchez
Registrant Organization: Aslan Tax Services Inc.
$ _

…die nicht von einem Administrator meines Mailpostfaches (also von mir selbst) betrieben wird. Wer darauf klickt, bekommt nach dem üblichen Weiterleitungsapparat die folgende Möglichkeit präsentiert, Kriminellen ein Passwort zu seiner Mailadresse zu geben, während eine in Javascript realisierte Uhr die Mailadresse wegtickt und auf diesem Weg versucht, zusätzlichen psychischen Stress zu erzeugen, damit es auch nicht zum Nachdenken vor einer solchen Dummheit kommt:

Screenshot der Phishing-Seite

Übrigens: Ein Passwort ist eine durchaus gute und schon lange vor dem Internetzeitalter vielfach bewährte Sicherheitsmaßnahme, die aber nur funktionieren kann, wenn man das Passwort ausschließlich dort benutzt, wo es einen identifiziert und niemals gegenüber einem Dritten preisgibt. Deshalb sollte man Passwörter niemals auf irgendwelchen Websites eingeben, sondern nur dort, wo das jeweilige Passwort gilt; und auf gar keinen Fall sollte man jemals ein Passwort auf Seiten angeben, die im Browser dargestellt werden, nachdem man einen Link in einer Mail angeklickt hat. Wenn man das mit einem gut gewählten Passwort kombiniert, hat man viel dafür getan, dass die eigenen Zugangsdaten nicht von Betrügerbanden missbraucht werden. Diese können sich übrigens oft diverse weitere Konten aneignen, nachdem sie die Mailadresse gepwnt haben. Beinahe überall kann man sich eine Mail zusenden lassen, nachdem man sein Passwort vergessen hat, um sich ein neues Passwort zu geben. Und einer Betrügerbande liegt viel daran, bei ihren betrügerischen Geschäften unter der Identität eines anderen Menschen zu agieren, der dann ins Visier der Ermittler gerät, während die Betrüger selbst anonym bleiben.

Der sicherste Schutz gegen Phishing ist es immer noch, dass man sich angewöhnt, niemals in eine E-Mail zu klicken. Webbrowser haben ausgesprochen praktische Lesezeichenfunktionen, und so kann man die entsprechenden Websites auch sehr bequem direkt aufrufen, ohne dass irgendwelche Phisher eine Gelegenheit erhalten, einen irrezuführen und zu überrumpeln.

This service is free of charge.

Schon klar! :mrgreen:

tamagothi.de provider! © 2017 All rights reserved

Mit Gruß vom Provider, der völlig namenlos als „All rights reserved“ firmiert. Aber dafür mit Ausrufezeichen. Sehr unterzeugend.

Verifizierung Ihres Kontos notwendig

Montag, 25. Dezember 2017

Huch, wie ist denn die durch den Spamfilter geflutscht?

Von: Páypal <info@paypal-deutschland.de>

Natürlich ist der Absender gefälscht. Und natürlich würde PayPal seine eigene Firmierung richtig schreiben. Die Spam wurde auch nicht über das Netzwerk PayPals versendet, sondern über eine IP eines großen US-amerikanischen „Cloud“-Anbieters. Natürlich ist meine Abuse-Meldung schon draußen, aber es dürften auch schon ein paar hunderttausend dieser Spams draußen sein. Da die Dienste mit hoher Wahrscheinlichkeit unter Missbrauch den Identität und der Kreditkartendaten eines anderen Menschen gemietet wurden, ist leider auch in den totalüberwachten USA nicht davon auszugehen, dass die Spammer dingfest gemacht werden und für die nächsten Jahre ein Zimmer mit erfreulich stabilen Gittern in den Fenstern bekommen. Dafür wird der Mensch, dessen Identität missbraucht wurde, eine Menge Ärger haben… und das ist auch der Grund, warum man äußerst sparsam mit kriminell missbrauchbaren persönlichen Daten wie Name, Meldeanschrift und Geburtsdatum umgeht.

Wir helfen Ihnen bei Problemen mit einer Transaktion.

PayPal
Wichtige Kundenmitteilung

Hier geht’s zur Verifikation

Guten Tag,
leider müssen wir Sie auf Grund von Angriffen auf unsere Infrastruktur auffordern Ihre persönlichen Adress- und Zahlungsdaten zu bestätigen.

Bitte achten Sie darauf das Ihre Angaben mit dennen bei uns hinterlegten übereinstimmen. Ansosten besteht die Gefahr das Ihr Konto vorübergehend eingeschränkt wird.

Hilfe Kontakt Sicherheit Gebühren Info-Center PayPal-App herunterladen:
Download on the App Store Download on Google Play

Sicherheitshinweis: Sie erkennen Spoof oder Phishing-E-Mails oftmals schon in der Anrede. PayPal wird Sie immer mit Ihrem Vor- und Nachnamen anschreiben. Mehr zu Phishing finden Sie unter www.paypal.de/phishing.
Diese PayPal-Benachrichtigung wurde an Sie gesendet, weil gammelfleisch@tamagothi.de in Ihren E-Mail-Einstellungen unter „Neues von PayPal“ den Erhalt aktiviert haben. Um diese Einstellungen zu ändern, klicken Sie hier. Änderungen werden innerhalb von zehn Tagen wirksam.

Copyright © 1999-2017 PayPal. Alle Rechte vorbehalten. PayPal (Europe) S.à r.l. et Cie, S.C.A., Société en Commandite par Actions. Eingetragener Firmensitz: 22-24 Boulevard Royal, L-2449 Luxembourg RCS Luxembourg B 118 349.

[Im der Spam steht eine andere Mailadresse als gammelfleisch@tamagothi.de]

Ich fasse mich kurz. Die Mail kommt nicht von PayPal. Das erkennt man ja oftmals schon an der unpersönlichen Anrede „Guten Tag“, wie es der Spammer selbst aus einer originalen PayPal-Mail herauskopiert hat. Warum sollte so ein Verbrecher auch über den weiteren Text in seiner Spam nachdenken, wenn er das Wichtigste schon geschrieben hat? Wenn er nachdenken wollte, könnte er ja auch gleich arbeiten gehen und müsste nicht spammen. :mrgreen:

Der Link zur angeblichen „Verifikation“ geht nicht in die Domain von PayPal, sondern ist über Bitly maskiert, damit die Spamfilter…

$ lynx -mime_header http://bit.ly/2BzkaZ9 | grep ^Location
Location: https://paypal.de-security-login-05.trade/script.php
$ _

…nicht die fürs Phishing verwendete Domain mit dem wenig Vertrauen erweckenden Namen de (strich) security (strich) login (strich) 05 (punkt) trade erlernen. Diese Domain wird…

$ whois de-security-login-05.trade | grep ^Registrant 
Registrant Name: WhoisGuard Protected
Registrant Organization: WhoisGuard, Inc.
Registrant Street: P.O. Box 0823-03411
Registrant Street:
Registrant Street:
Registrant City: Panama
Registrant State/Province: Panama
Registrant Postal Code:
Registrant Country: PA
Registrant Phone: +507.8365503
Registrant Phone Ext:
Registrant Fax: +51.17057182
Registrant Fax Ext:
Registrant Email: e717ee1dcf814b2cacf61b6b4b794b86.protect@whoisguard.com
$

…selbstverständlich wieder über einen bei Verbrechern sehr beliebten Dienstleister aus dem sonnigen Panama völlig anonym betrieben. Was immer man dort an Daten eingibt, geht direkt an eine Betrügerbande.

Wie man sich vor Phishing schützen kann, obwohl PayPal auch weiterhin alles dafür tut, dass seine Kunden leicht auf Phishing hereinfallen können? Das ist eigentlich ganz einfach: Niemals in eine E-Mail klicken, und der Phisher hat keine Chance. Einfach im Webbrowser ein Lesezeichen (Nutzer von Microsoft-Browsern lesen hier: einen Favoriten) für die Homepage von PayPal anlegen. Wenn eine solche E-Mail ankommt, nicht hineinklicken, sondern die Website direkt aufrufen und sich dort anmelden. Wichtige Hinweise werden auch auf der Website direkt nach der Anmeldung angezeigt, und das gilt nicht nur für PayPal. Und wenn es dort keine angezeigten Probleme gibt, hat man mit seiner Vorsicht einen kriminellen Angriff abgewehrt und sich selbst eine Menge Ärger und Lauferei erspart, und möglicherweise sogar den Verlust einiger tausend Euro. Das sollte es doch wert sein… ;)

Also: Niemals in eine E-Mail klicken, und Phishing ist keine Gefahr mehr.

Verifizierung Ihres Amazon Kontos notwendig

Samstag, 9. Dezember 2017

Oh, wie schön. Ein Deppen Leer Zeichen gleich im Betreff. Aber ich habe gar kein Amazon-Konto.

Von: Amázon <info@amaz-check09.bid>

Und Amazon kann seine eigene Firmierung nicht mehr richtig schreiben, so dass es zur Schreibweise „Amázon“ kommt. Das ist aber schade, nachdem die Marke „Amazon“ mit so hohem Aufwand eingeführt wurde. :mrgreen:

Wer es immer noch nicht gemerkt hat: Diese E-Mail ist nicht von Amazon, sondern eine Spam. Amazon versendet solche Mails nicht. Absender dieser Spam sind Kriminelle, die an die Zugangsdaten anderer Menschen kommen wollen, um mit diesen Zugangsdaten Betrugsgeschäfte zu machen.

Samstag, 09. Dezember 2017

In der Tat, das Datum stimmt. Es hätte aber auch im Mailheader gestanden und ist somit eine völlig überflüssige Angabe, die offenbar nur Eindruck machen soll. Kein fühlender, bewusster Mensch schreibt das aktuelle Datum in eine E-Mail.

Neue Meldung von Ihrem Kundenservice

So so, von meinem Kundenservice. Und, was soll mir diese Zeile Text nun sagen? Dass ich eine „Meldung“ von Leuten vor mir habe, die so tun, als seien sie Amazon, habe ich schon längst mitbekommen.

Sehr geehrter Kunde,

Das ist nicht so ganz mein Name. :D

wegen einer Gesetzesänderung sind wir verpflichtet Ihre Adressdaten sowie Ihre Zahlungsdaten zu überprüfen und eventuell zu aktualisieren.

Oh, eine Gesetzesänderung? Welches Gesetz wurde denn geändert, und wann wurde die Gesetzesänderung durch Veröffentlichung im Bundesgesetzblatt gültig? Das ist eine HTML-formatierte Mail, ihr könntet sogar die entsprechende Ausgabe verlinken. Aber ihr gebt noch nicht einmal ein Gesetz an, geschweige denn einen Paragrafen, sondern sprecht in allgemeinstmöglicher Form von einer Gesetzesänderung, die euch zum Handeln nötigt.

Und jetzt schickt ihr sicherlich jemanden bei mir vorbei, der sämtliche von mir angegebenen Daten verifiziert und aktualisiert, indem er sich entsprechende Dokumente von mir vorlegen lässt, mit meinen Angaben vergleicht, Änderungen und Unstimmigkeiten sorgfältig notiert und das Ergebnis seiner Bemühungen mit seiner Unterschrift bestätigt. Darauf freue ich mich schon. Endlich gibt es wieder Arbeit in Deutschland! :D

Aber nein:

Bitte gehen Sie für weitere Informationen auf den nachfolgenden Link und führen Sie die Verifikation Ihres Kontos durch.

Anstelle eines Verfahrens, das einen wirklichen Nutzen für die Prüfung (so hieß die „Verifizierung“ oder „Verifikation“, als man hier noch Deutsch sprach) der Daten haben könnte, gebt ihr mir einfach die Gelegenheit, eventuelle Falschangaben noch einmal zu machen und euch dabei alle möglichen Daten mitzuteilen, die ihr schon längst kennt. Das ist – wenn ihr wirklich Amazon wäret – ein völlig unnützer Aufwand, der niemanden etwas bringt. Es würde nur etwas bringen, wenn ihr nicht Amazon wäret und diese Daten für kriminelle Geschäfte missbrauchen würdet.

Weiter zur Verifizierung

Der Link geht natürlich nicht in die Website von Amazon. Wo der Link hingeht, wurde über den URL-Kürzer Bitly verschleiert – ein Vorgehen, dass völlig sinnlos wäre, wenn die Mail von Amazon käme. Es ist ja genug Platz in der Mail. Es ist nur sinnvoll, wenn Spamfilter ausgetrickst werden sollen. Bei Bitly gibt es dann eine Weiterleitung…

$ lynx -mime_header http://bitly.com/2y9vSqQ | grep ^Location:
Location: https://amazon.de-update.com/script.php
$ _

…in eine Subdomain der wenig Vertrauen erweckenden Domain de (strich) update (punkt) com, die mit Amazon nichts zu tun hat und…

$ whois de-update.com | grep WHOIS
   Registrar WHOIS Server: whois.PublicDomainRegistry.com
$ whois -h whois.publicdomainregistry.com de-update.com | grep ^Registrant
Registrant Name: Domain Admin
Registrant Organization: Privacy Protect, LLC (PrivacyProtect.org)
Registrant Street: 10 Corporate Drive   
Registrant City: Burlington
Registrant State/Province: MA
Registrant Postal Code: 01803
Registrant Country: US
Registrant Phone: +1.8022274003
Registrant Phone Ext: 
Registrant Fax: 
Registrant Fax Ext: 
Registrant Email: contact@privacyprotect.org
$ _

…über einen Dienstleister anonym betrieben wird. Alles, was man auf der zu Phishing-Zwecken „liebevoll“ nachgemachten Amazon-Website angibt…

Screenshot der Anmeldemaske der Phishing-Site

…geht nicht etwa zu Amazon, sondern direkt an Verbrecher. Wer darauf reinfällt, holt sich erheblichen, oft jahrelangen Ärger in sein Leben, wenn seine Identität für Betrugsgeschäfte aller Art kriminell missbraucht wird.

Für mögliche Unannehmlichkeiten entschuldigt sich das Team von Amazon.de und schenkt Ihnen nach erfolgreicher Verifizierung einen Gutschein in Höhe von 15 Euro. Die Versendung des Gutschein Codes kann einige Stunden dauern.

Das ist neu im Phishing. Ein Appell an die dumme und verdummende Gier. Ich befürchte, dass das funktioniert.

Mit freundlichen Grüßen
Ihr Kundenservice von Amazon.de

Freundlich wie eine Ohrfeige
Deine Betrügerbande

Dies ist eine automatisch versendete Hinweis. Bitte antworten Sie nicht auf diesen Hinweis, da die Adresse nur zur zum Versand von E-Mails eingerichtet ist.

Es ist mal wieder wie so oft in der Spam: Die eigentliche Botschaft ist geschrieben, die Gedanken der Verbrecher sind schon wieder im Bordell und es schleichen sich kleine Fehlerchen ein. Zum Beispiel eine grammatische Geschlechtsumwandlung zu „die Hinweis“. :D

Wie man sich vor Phishing schützt? Das ist im Grunde ganz einfach. Man höre damit auf, in E-Mails zu klicken! Die Webbrowser haben seit 1994 eine ausgesprochen praktische Lesezeichenfunktion, so dass man häufig besuchte Websites sehr einfach und sogar ohne einen Tastendruck immer wieder ansteuern kann, nachdem man sie als Lesezeichen gesetzt hat. (Nutzer von Microsoft-Browsern lesen hier „Favoriten“ und „Favorit“.) Wenn man die Websites ausschließlich über die Lesezeichen seines Browsers ansteuert und folglich niemals durch einen Klick in einer E-Mail, haben die Phisher keine Chance. Im Falle dieser Spam hieße das: Statt eines Klicks auf den Link in der Spam würde die Website von Amazon direkt aufgerufen, was ebenfalls nur ein Klick ist. Wenn auf Seiten Amazons wirklich etwas vorläge, würde es einem auch auf der Website von Amazon angezeigt. Und wenn das nicht der Fall ist, hat man mit dieser Vorsicht einen kriminellen Angriff abgewehrt.

So lange die großen Internetunternehmen (und die Kreditinstitute) sich – übrigens ohne vernünftigen oder auch nur nachvollziehbaren Grund – weigern, ihre E-Mail digital zu signieren, ihre Kunden über Bedeutung und Prüfung einer digitalen Signatur aufzuklären und damit den Phishing-Sumpf auszutrocknen, gibt es keinen anderen Schutz vor Phishing als diesen einen. Leider werden die Unternehmen nicht dafür in Haftung genommen, dass sie ein Umfeld schaffen, in dem diese betrügerische Kriminalität extrem einfach in der Durchführung ist.

Ihr Kundenkonto wurde deaktiviert!

Mittwoch, 22. November 2017

Wo denn?

Von: "AMAZ0N.de" <keine-antwort@amz-unit.de>

Aha, beim Amazon, das sich nicht mit einem Buchstaben „O“, sondern mit einer Null schreibt. Und das komische Domains für seine Mail verwendet.

Oder schnell zusammengefasst: Diese Mail kommt ganz sicher nicht von Amazon.

Diese Spam ist ein Zustecksel von M.S. (Danke!), und er hat mir versichert, Amazon noch nie genutzt zu haben. Wahrscheinlich kommt die Spam auf etlichen Adressen an.

Guten Tag,

Wie häufig (aber keineswegs immer) beim Phishing gibt es eine unpersönliche Ansprache, die…

leider müssen wir Ihnen mitteilen, dass Ihre zuletzt aufgegebene Bestellung annulliert werden musste. Unser internes Sicherheitssystem hat einen unbefugten Kontozugriff feststellen können. Um weitere Betrugsversuche und kriminelle Aktivitäten zu vermeiden, wurde Ihr Kundenkonto temporär deaktiviert.

…von einer absurden Kurzgeschichte aus dem jenseits der Phishing-Spam literatisch wenig fruchtbaren Genre security fiction gefolgt wird. Irgendein unerklärtes Computerzauberding hat irgendwas festgestellt und gesperrt, weil es aussah wie eine kriminelle Tätigkeit. Damit diese Erzählung aus der nicht unter übermäßigem Lichteinfall leidenden Hirngruft eines Spammers ein wenig an „Glaubwürdigkeit“ gewinnt, werden einige für den Empfänger dieser Mail völlig sinnlose Daten mit angegeben, nämlich…

Provider: encoLine GmbH
IP-Adresse: 54.152.170.14
Region: Berlin

…die Firmierung eines angeblichen Providers, eine IP-Adresse im Besitz von Amazon und eine Ortsbezeichnung. Das klingt technisch und geheimnisvoll. Security fiction eben. Muss nicht plausibel sein.

Und damit soll dem Empfänger dieser Spam genug „Grund“ gegeben sein…

Klicken Sie bitte auf „Hier bestätigen“, um ein kostenfreien Datenabgleich durchzuführen und Ihr Konto wieder freizuschalten.
Hier bestätigen

…seinen Amazon-Kontozugang (nebst seiner Anschrift, seines Geburtsdatums und seiner Kreditkartennummer) mit den Datenbanken der Organisierten Kriminalität „abzugleichen“. Einfach in die Spam klicken!

Der Link führt natürlich nicht in die Domain amazon (punkt) com und auch nicht in die Domain amazon (punkt) de, sondern in die Domain amazon (strich) zertifikat (punkt) ru, die sich ein spammender Halunke…

$ whois -H amazon-zertifikat.ru | sed -e "/^%/d"

domain:        AMAZON-ZERTIFIKAT.RU
nserver:       dorthy.ns.cloudflare.com.
nserver:       hal.ns.cloudflare.com.
state:         REGISTERED, DELEGATED, VERIFIED
person:        Private Person
registrar:     R01-RU
admin-contact: https://partner.r01.ru/contact_admin.khtml
created:       2017-11-08T13:43:36Z
paid-till:     2018-11-08T13:43:36Z
free-date:     2018-12-09
source:        TCI

Last updated on 2017-11-22T13:36:32Z

$ _

…vor zwei Wochen geholt hat, um diese Nummer durchzuziehen. Dort kann man im „liebevoll“ nachgemachten Amazon-Design zunächst seine Login-Daten, darauffolgend seine Anschrift, sein Geburtsdatum und seine Telefonnummer und schließlich noch die Kreditkartennummer und die Kontonummer angeben. Und damit man auch wirklich so dumm ist, das zu machen, gibt es noch eine kleine Freundlichkeit zum Abschluss:

Sofern Ihr Kundenkonto nicht innerhalb der nächsten fünf Werktage von Ihnen validiert werden sollte, wird eine automatische Sperrung und Löschung Ihres Kundekontos ausgeführt. Bei einer manuellen Wiederherstellung Ihres Kundenkontos wird eine pauschale Bearbeitungsgebühr in Höhe von 88,90 EUR in Rechnung gestellt.

Dafür, dass angeblich ein Mitarbeiter von „Amazon“ den Job von „Amazon“ erledigt und sich um die Pflege der Kundendatenbank kümmert, werden in dieser mies geschriebenen security fiction neunzig Øre in Rechnung gestellt. Ich habe schon Handwerker erlebt, die für deutlich anstrengendere Arbeit als eine Datenbanksuche, einen Klick auf eine Checkbox und einen abschließenden Klick auf eine Speichern-Schaltfläche viel geringere Rechnungen geschrieben haben.

Niemals auf die plumpen Phishing-Maschen reinfallen! Auch nicht, wenn diese Mails deutlich besser als das hier vorliegende Exemplar sind! Wie das geht? Indem man sich angewöhnt, niemals in eine E-Mail zu klicken. Die Website von Amazon kann auch direkt aufgerufen werden, und wenn dort kein entsprechender Hinweis angezeigt wird, hat man mit seiner Vorsicht einen kriminellen Angriff abgewehrt und sich möglicherweise – wenn die ganzen angegebenen Daten auch noch für einen kriminellen Identitätsmissbrauch verwendet werden – mehrere Jahre Ärger erspart.

EU société à responsabilité limitée, 4 rue Plaetis, L-3787 Luxemburg. Stammkapital: EUR 31081. RCS Luxemburg
Registernummer: B 169489 Gewerbeerlaubnisnummer: 144190 Umsatzsteueridentifikationsnummer: LU 2413191

So so, rd. 31.000 Øre Stammkapital. :D

Verifizierung Ihres Paypal Kontos notwendig

Montag, 20. November 2017

Aha, die Kriminellen brauchen mal wieder ein paar Konten anderer Leute für ihre „Geschäfte“. Denn PayPal (oder eine beliebige andere Bank) hat nichts davon, wenn ich lauter Daten noch einmal eingebe, die dort schon längst bekannt sind. Was soll das „verifizieren“?

Von: PayPal <info@pp-checkout04.trade>

Ja, schon klar: Der Absender sieht voll nach PayPal aus! Wenn man schon den Absender fälscht, könnte man es auch überzeugend machen… wenn man ein Gehirn hätte. Da hilft dann auch das „liebevoll“ nachgebaute Layout nicht mehr:

Screenshot des Layouts der Phishing-Spam

Ich habe diese Spam auch mit Umlauten, die nicht aussehen, als seien sie missverstandenes UTF-8, weil der Spammer das falsche Encoding angegeben hat. Natürlich kann ich dem Reiz eines im Gestaltungseifer übernommenen PayPal-Layouts mit schweren technischen Mängeln beim Text der Mail nicht widerstehen. Für die folgenden Zitate nehme ich allerdings eine Spam mit korrekten Umlauten, denn nur die erste Generation dieser heutigen Flut hat den Fehler gehabt. Das mit der Sorgfalt haben die Spammer mal wieder nicht so, und deshalb testen sie nicht, bevor sie ihre Strokelskripten auf ein wehrloses Internet loslassen. Sonst könnten die Spammer ja auch gleich arbeiten gehen.

Bitte niemals vom Layout beeindrucken lassen! Jedes Kind kann das Layout der HTML-formatierten Mail eines beliebigen Unternehmens oder einer Bank übernehmen und da einen anderen Text reinsetzen. Das einzige, was Gewissheit über den Absender einer E-Mail geben könnte, wäre die digitale Signatur dieser Mail, die man auch beim Empfang überprüft. Leider sind weder Banken noch Klitschen wie PayPal daran interessiert, den Phishing-Sumpf auszutrocknen, indem sie ihre E-Mail digital signieren und ihre Nutzer darüber informieren und durch regelmäßige Information dazu anleiten, ein solches Sicherheitsmerkmal im Alltag sinnvoll zu nutzen. Das würde übrigens noch nicht einmal Geld kosten und wäre nicht mit großem Aufwand verbunden. Es wird aus reinem Desinteresse unterlassen. Die einzigen, deren Leben dadurch einfacher wird, sind Verbrecher aller Art. Stattdessen lässt man sich bei den Banken und bei PayPal von Werbefirmen Vorlagen für HTML-formatierte Mail erstellen, die dann einen Trickbetrug oder ein Phishing psychologisch noch weiter vereinfacht, indem das Layout von irgendwelchen Halunken übernommen werden kann. Das ist ganz schön dumm und kundenverachtend.

So weit, so schlecht… :(

Nun zum Text:

Aktuelle Kundenmitteilung! – Ihre MIthilfe [sic!] ist erforderlich.

Ach, eine Mail ist eine aktuelle Mitteilung. Da wäre ich nicht drauf gekommen. Und wer eine Mail schreibt, will etwas von mir. Da wäre ich ebenfalls nicht drauf gekommen.

Datum: 20.11.2017

Das Datum steht im Mailheader und ist deshalb im Text der Mail eine überflüssige Angabe, die niemanden nützt.

Guten Tag,

Als angeblicher „Kunde“ würde ich immer mit meinem Namen angesprochen.

leider müssen wir Sie auf Grund von Angriffen auf unsere Infrastruktur auffordern Ihre persönlichen Adress- und Zahlungsdaten zu bestätigen.

Aha, das „PayPal“ aus der hirnverhungerten Phantasie der Spammer hat also ein Problem, das es zu meinem Problem machen will. Was war denn das für ein Angriff? Hat sich „PayPal“ einen Erpressungstrojaner gefangen, der die gesamte Datenbank gefressen hat, so dass sämtliche Daten noch einmal eingegeben werden müssen? Und gibt es keine Datensicherung? Unvorstellbar. Außerdem hätte ich dann bereits die Insolvenz des Ladens mitbekommen, denn PayPal ist seine Datenbank. Wenn die Daten aber allesamt noch da sind, welchen Nutzen sollte es für „PayPal“ haben, dass ich die Daten noch einmal auf einer Website eingebe?

Man muss nicht länger als eine Minute darüber nachdenken, um zu erkennen, dass die Behauptungen in irgendwelchen Phishing-Spams absurde Blenderei sind. Wer nach dem Nachdenken vorm Klick immer noch Unsicherheit spürt, kann sich ja einfach mal an der richtigen PayPal-Website wie gewohnt anmelden und schauen, ob es dort ein Problem gibt. Wenn es das nicht gibt, wurde durch diese leicht zu erbringende Vorsicht ein Phishing-Angriff abgewehrt, was eine Menge Geld und Ärger erspart hat.

Bitte beachten Sie das die angegebenen Daten mit den hinterlegten Daten übereinstimmen. Sollte dies nicht der fall [sic!] sein sind wir verpflichtet [sic! Komma fehlt.] eine postalische Legitimation durchzuführen.

Was ist eine „postalische Legitimation“. :mrgreen:

Wichtig: Wenn Sie Kreditkarten Daten [sic! Deppen Leer Zeichen.] in Ihrem Kundenkonto hinterlegt haben ist es zwingend erforderlich dieser [sic!] auch zu verifizieren.

Klar, denn auf Kreditkarten sind die Verbrecher immer ganz heiß.

Weiter zur Verifizierung

Der wichtigste Tipp gegen Phishing und gegen den größten Teil der sonstigen Internet-Kriminaltät ist durchschlagend wirksam und verblüffend einfach: NIEMALS in eine E-Mail klicken! Wer direkt die Website von PayPal mit seinem Webbrowser aufruft – diese Webbrowser haben übrigens seit dem Mosaic Netscape 0.95 beta aus dem Herbst des Jahres 1994 eine ausgesprochen praktische Lesezeichenfunktion – stellt dabei fest, dass das vom Spammer postulierte Problem gar nicht besteht. Denn sonst würde man ja auch auf der Website darauf hingewiesen.

Natürlich führt der Link nicht in die Domain der PayPal-Website, sondern zu einem über den Linkkürzer bitly verschleierten Ziel. PayPal hätte einen solchen Mummenschanz nicht nötig, sondern würde einen direkten Link setzen. Ein Verbrecher hat das sehr wohl nötig. Erwartungsgemäß führt dieser Link dann auch…

$ lynx -mime_header http://bitly.com/2hO2hBt | grep "^Location"
Location: https://pp-secure-de-2017.com/script.php
$ _

…zur Website in der viel weniger Vertrauen erweckenden Domain pp (strich) secure (strich) de (strich) 2017 (punkt) com, der man nur beim Hinschauen ansieht, dass sie mit paypal (punkt) com nichts zu tun hat. Alle Daten, die man dort eingibt, gehen direkt an Verbrecher. Sie werden auf jede nur erdenkliche Weise für kriminelle Geschäfte verwendet.

Nehmen Sie zur Kenntnis, dass es sich hierbei ledglich um eine Präventivmaßnahme handelt um zukünftig eine erhöhte Sicherheit für Sie und Ihre persönlichen Daten gewährleisten zu können.

So so, es erhöht also die Sicherheit meiner persönlichen Daten, wenn sie öfter einmal ohne sachlichen Grund irgendwohin übertragen werden? :shock:

Ein bisschen von dem Kraut, das die Spammer geraucht haben müssen, hätte ich jetzt auch gern.

Mit freundlichen Grüßen
Ihr PayPal Service Team

Freundlich wie ein Schlag ins Gesicht
Deine Phishing-Spammer

Dies ist eine automatisch versendete Nachricht. Bitte antworten Sie nicht auf dieses Schreiben.
Wenn Sie eine Frage haben, wenden Sie sich bitte an unseren Kundendienst.

Stimmt, die Nachricht wurde „automatisch versendet“. :mrgreen:

© 1999-2017 PayPal. Alle Rechte vorbehalten.

Und ein Copyright hat sie auch noch. Da lache ich ja vor Angst, wenn ich ein Vollzitat ins Web stelle!

Handelsregisternummer: R.C.S. Luxembourg B 118 349 – Conseil de gérance der PayPal (Europe) S.à r.l.

Lustige Handelsregisternummern haben die in Luxemburg. :mrgreen:

Die AGB von PayPal ändern sich

Donnerstag, 2. November 2017

Vorab: Es geht hier nicht um eine Spam, sondern um eine echte E-Mail von PayPal. Diese ist allerdings ausgesprochen dumm und ein Beitrag PayPals dazu, dass sich das kriminelle Phishing nach Login-Daten von PayPal-Nutzern auch in Zukunft lohnen wird.

Diese E-Mail von PayPal ist echt (nur die schwarzen Balken sind von mir):

Screenshot der Ansicht der PayPal-Mail im Thunderbird

Ebenso echt ist die Warnung von Thunderbird, dass diese Nachricht ein Betrugsversuch sein könnte. Diese Warnung hat auch einen guten Grund. Sämtliche Links in der Mail von PayPal gehen nicht auf die Website in der Domain von PayPal, sondern stattdessen in die Domain paypal (strich) communication (punkt) com. Das ist sehr dumm von PayPal, und diese Dummheit ist sehr gefährlich für naive PayPal-Kunden.

Denn so trägt die E-Mail von PayPal alle Kennzeichen einer Phishing-Spam.

PayPal-Kunden gewöhnen sich durch dumme E-Mails wie diese daran, dass eine echte E-Mail von PayPal „aussieht wie eine Phishing-Spam“, weil Links aus der E-Mail in andere Domains gehen. Sie werden so auch daran gewöhnt, in derartige E-Mails zu klicken – was im Falle eines echten Phishings auf eine „liebevoll“ nachgemachte PayPal-Seite in einer anderen Domain führen würde, wo man Gelegenheit erhält, Kriminellen die Zugangsdaten zum PayPal-Konto zuzustecken, damit diese Leute ihre „Geschäfte“ über dieses Konto machen können.

Mir als denkenden Menschen ist es ja schon unbegreiflich, warum eine E-Mail von PayPal nicht standardmäßig digital signiert ist, um jedem Empfänger wenigstens die Möglichkeit zu gewähren, diese digitale Signatur zu überprüfen und damit den Absender und den unverfälschten Inhalt der E-Mail jenseits jedes vernünftigen Zweifels sicherzustellen. Verbunden mit einer sinnvollen Aufklärung der Kunden (und vielleicht sogar der Erstellung von Addons für beliebte E-Mail-Software, die dann die Signatur überprüfen) könnte eine solche Maßnahme wie keine zweite einen Phishing-Sumpf austrocknen, der übrigens auch die Reputation PayPals als die eines „sicheren Zahlungsdienstleisters“ beschädigt. Erfreulicherweise würde eine digitale Signatur von E-Mail noch nicht einmal Geld kosten, aber Schäden in einer derzeit nur PayPal genauer bekannten Größenordnung abzuwenden helfen.

PayPal ist dazu nicht bereit. PayPal scheint wichtigere Anliegen und Pläne als den Kampf gegen die Internetkriminalität zu haben. Das ist schade. Leider kann ich es auch nicht ändern. PayPal könnte es ändern. Aber dort hat man ja leider wichtigere Anliegen und Pläne. Ja, ich werde etwas ätzend, ich merke es ja selbst…

Aber wenn man die E-Mail schon nicht digital signiert, obwohl das kein Geld kostete und mit relativ geringem Aufwand durchführbar wäre, dann kann man doch wenigstens die verlinkten Seiten in der eigenen Domain halten, die jedem PayPal-Kunden vertraut sein sollte.

Ich kann durchaus verstehen, wenn man die Website unter www (punkt) paypal (punkt) com leicht durchschaubar halten möchte und sie deshalb nicht mit solchen Texten „vollmachen“ mag. Aber auch dafür gibt es eine einfache, kostenlose und weisere Lösung, nämlich die Verwendung einer anderen Subdomain. Die Links aus einer derartigen E-Mail würden dann zum Beispiel in eine dafür vorgesehene Domain tos (punkt) paypal (punkt) com gehen, und es wäre klar, dass diese Domain vom Betreiber der Domain paypal (punkt) com eingerichtet wurde. Neben der Kostenlosigkeit eines solchen Vorgehens hätte dies sogar noch einen weiteren Vorteil: Die DNS-Konfiguration für eine zweite Domain würde wegfallen, an ihre Stelle träte eine einzige zusätzliche Zeile in der Konfigurationsdatei für die Domain paypal (punkt) com.

Es hätte also nur Vorteile, wenn man es so machte. Und man müsste schon ein bisschen dumm sein, wenn man es anders machte – etwa so, wie PayPal es hier in seiner E-Mail mit der Mitteilung geänderter AGB vorgemacht hat.

Vor allem, weil ein Mailclient den Empfänger dann auch gleich in rotesten Alarmfarben vor Phishing warnt, weil es nicht nur dumm wäre, sondern auch wie Phishing aussähe. Oh, es wäre ja nicht nur dumm. Der Konjunktiv ist eine Möglichkeitsform, aber diese E-Mail ist bittere Realität. Es ist dumm. Egal, aus welchem Blickwinkel man es betrachtet, sieht es bei genauerem Hinschauen nur immer dümmer aus.

Und es nützt nur der Organisierten Kriminalität.

Sonst hat niemand einen Nutzen davon. Ganz im Gegenteil.

Ich sage ja: Es ist dumm. Es ist gefährlich und unverantwortlich dumm, was PayPal hier tut. Und es wäre gut für alle, wenn PayPal klüger vorginge.

Leider ist diese Dummheit bei PayPal regelmäßig und offenbar völlig beabsichtigt. Meinem Offenen Brief vom 10. Januar 2014 habe ich auch heute kein weiteres Wort hinzuzufügen.