Ganz kurz nur, denn alles weitere ist schon geschrieben: Diese Mails sind keine Rechnungen oder Mahnungen, und sie kommen auch nicht von Host Europe. Es handelt sich um Phishing.
Aber wer hier mitliest, klickt doch hoffentlich nicht mehr in E-Mails, oder? ODER?
Wer schreibt mir hier überhaupt?
Von: Kundenservice PaypaL <support@denvers.com>
Aha, dieses „PayPal“ aus dem Posteingang schreibt mir, dessen Mailadressen gar nicht in der Domain von PayPal liegen, in der PayPal auch seine Website hat. Dafür entspricht die Schreibweise der Firmierung auch nicht der Firmierung. Deshalb kommt diese Phishingspam auch nicht auf der Mailadresse an, die ich für PayPal nutze – ja, ich habe dafür eine eigene Mailadresse, die ich für nichts anderes verwende und niemals öffentlich kommuniziere, damit ich so einen Phishingversuch sofort und mühelos erkennen kann – sondern auf einer meiner anderen Mailadressen.
Ein Blick in den Header der Mail macht mir klar, dass sie über eine IP-Adresse aus der gequälten Ukraine versendet wurde.
PayPal Unveils New Logo and ‚Powering the People Economy‘ Campaign
Von mir aus! Ich sollte mir auch mal ein Logo geben und bei jeder möglichen und unmöglichen Gelegenheit unaufgefordert irgendeinen Quatsch über das erzählen, was ich so mache. Ach, ich will ja niemanden das Geld aus der Tasche ziehen? Na, dann habe ich das wohl nicht nötig.
Oh, da sollte auch noch ein albernes Bild aus dem Internet nachgeladen werden, damit ich da auch ein PayPal-Logo sehe und besser auf das Phishing reinfallen kann. Das Bild liegt natürlich nicht bei PayPal, sondern auf einem von Google, dem größten Kumpel und Komplizen des Spammers und Betrügers, betriebenen Server. Na gut, mache ich halt das alberne Bild auch noch rein, obwohl hoffentlich kein Mensch mehr beim Anschauen seiner Mails solche Bilder aus dem Web nachlädt. Das wäre auch sehr schlecht für die Privatsphäre, wenn jede dahergelaufene Mail zurückfunken könnte, dass sie angekommen ist und angeschaut wurde.
Mit dem Bild sieht die Phishingspam so aus:
Sehr geehrter Kunde,
Mein Name stimmt ja genau so „gut“ wie meine Mailadresse, die ich immer bei PayPal benutze! 😃️
Ein bisschen einfache Sicherheit lohnt sich übrigens. Phishing gehört auch im Jahr 2024 immer noch zu den häufigsten Trickbetrugsformen im Internet. Wenn man für jedes Benutzerkonto bei irgendwelchen Unternehmen, bei denen es um Geld geht – also Banken, Zahlungsdienstleister, Auktionsplattformen, Handelsplattformen etc. – eine eigene Mailadresse für die Registrierung und den Mailverkehr benutzt, kann man ein Phishing sofort, sehr einfach und zweifelsfrei erkennen. Selbst, wenn man einmal aus anderen Gründen unter persönlichem Stress stehen sollte oder eine gesenkte Aufmerksamkeit hat. Und wenn man plötzlich ganz allgemeine Spam oder klares Phishing auf dieser eigens eingerichteten Adresse hat, weiß man genau, dass da wohl ein paar Daten abgeflossen sein werden und kann sich damit sofort an den Datenschutzbeauftragten wenden, der hoffentlich ganz schnell eine schrille Warnung veranlasst. Nicht, dass die Cracker und Betrüger noch reich werden!
Technischer Hinweis: In meinem Fall sind es übrigens Aliase und keine voll aufgeblasenen Mailkonten. Wie man sich bei beliebten Freemailern einen Alias einrichtet, kann man mit der Suchmaschine seines Vertrauens und sehr naheliegenden Suchbegriffen herausfinden. Wer sich selbst um einen Mailserver kümmert, wird sich erst recht zu helfen wissen. Wer bei einem Anbieter ist, bei dem man keinen Alias verwenden kann, wird nicht umhin kommen, stattdessen verschiedene Mailkonten zu verwenden – mit einer guten Mailsoftware ist das auch kein Problem. Ich würde dann aber eher empfehlen, denn Mailanbieter zu wechseln. Aliase sind viel zu praktisch, als dass man darauf ernsthaft verzichten möchte!
wir haben ungewöhnliche Aktivitäten in Ihrem Konto festgestellt und einen Zugriffsversuch von einem unbekannten Gerät blockiert.
Huch! 🙀️
Natürlich stimmt das nicht.
Es soll den Empfänger nur verunsichern, verängstigen und unter Stress setzen. Sehr ähnliche Mails kann man aber wirklich von PayPal bekommen, wenn man sich das erste Mal mit einem neu installierten Betrübssystem oder einem neuen Webbrowser bei PayPal anmeldet. Darin wird einem auch immer mitgeteilt, womit der Anmeldeversuch vorgenommen wurde. In meinem Fall war es in der letzten derartigen Mail „Desktop Chrome Linux 5.15.0″. So ist mir sofort klar, ob das mein eigener Anmeldeversuch ist, oder ob jemand betrügerisch aufs Konto zugreifen will. In diesem Fall war es mein eigener Anmeldeversuch. Ich hatte den Webbrowser gewechselt, weil jedes volle Fass irgendwann durch einen Tropfen zum Überlaufen gebracht wird. Und dass die Mozilla Foundation jetzt auch noch eine trojanische Spyware in den Kern des inzwischen verrotteten und unbenutzbaren Webbrowsers verbaut hat, gab dann den letzten Ausschlag bei mir. Ich habe es in meinem Leben schon mit mehr als genug Voyeuren zu tun, die sich trackend und überwachend überall reindrägeln und ihre asoziale Nase in lauter Dinge aus meinem Leben stecken wollen, die sie einen Scheißdreck angehen. Die Zustände im Überwachungskapitalismus sind fürchterlich, und ein Datenschutz im Sinne eines energisch durchgesetzten Menschenschutzes existiert schlicht nicht. Da kann ich nicht auch noch den Webbrowser als „Feind“ gebrauchen. Die Mozilla Foundation soll bitte ganz schnell sterben gehen! Ich hätte schon 2015 fliehen sollen!
Bitte schützen Sie Ihr Konto, indem Sie innerhalb von 24 Stunden auf den untenstehenden Link klicken. Andernfalls könnte Ihr Konto aus Sicherheitsgründen deaktiviert werden: Jetzt aktualisieren
So so, der im Fließtext folgende Link ist also untenstehend. 🤭️
Natürlich führt dieser Link nicht zu PayPal, sondern erstmal zu einer Webseite in der Domain checkout (punkt) shopify (punkt) com, wo sich ein undurchsteigbarer Wust von vorsätzlich nicht mehr menschenlesbar gemachtem Javascript um den Rest kümmert. Am Ende landet man auf der Website in einer Domain…
$ surbl client-service-hifrt.codeanyapp.com client-service-hifrt.codeanyapp.com LISTED: PH ABUSE $ _
…die schon wegen Spam und Trickbetrugs auf allen Blacklists steht. Dort gibt es – die meisten modernen Webbrowser müssten eigentlich vorher sehr deutlich warnen, aber wer sich auf diese „gefühlte Sicherheit“ verlässt, ist verlassen, weil die Blacklists oft etwas Zeit benötigen und man gedrängt wird, schnell zu machen – ein „liebevoll“ nachgemachtes Login von „PayPal“, aber die dort eingegebenen Zugangsdaten gehen natürlich nicht zu PayPal, sondern zu einer Betrügerbande, die erst das Konto leerräumen und es anschließend für allerlei betrügerische Geschäfte benutzen wird. Dabei entsteht schnell ein fünfstelliger Schaden.
Zum Glück für uns alle kann man sich ganz einfach vor Phishing schützen, einer der häufigsten Trickbetrügereien im gegenwärtigen Internet: Niemals in eine E-Mail klicken! Stattdessen für solche Websites ein Lesezeichen im Browser anlegen und diese Websites nur noch über das Lesezeichen aufrufen. Wenn man so eine Mail wie diese mittelmäßige Phishingspam bekommen hat und sich unsicher ist, klickt man nicht etwa in die Mail, sondern ruft einfach die Website von PayPal über das Lesezeichen auf und meldet sich dort wie gewohnt an. So können einem nicht irgendwelche Kriminellen einen giftigen Link unterschieben. Wenn man nach der Anmeldung sieht, dass das in der Mail behauptete Problem gar nicht existiert, hat man einen dieser gefürchteten Cyberangriffe abgewehrt. So einfach geht das. Macht das! 🛡️
Einfach zu verwendende Lesezeichen im Webbrowser wurden nach meinem Wissen erstmals im Mosaic Netscape 0.9 beta aus dem Jahr 1994 implementiert. Seitdem sind auch Laien nicht mehr so wehrlos gegen Phishing. Schützt euer Geld und eure Nerven vor den Phishern, nutzt die Funktionen eurer Software! Und vor allem: Klickt niemals in eine E-Mail!
Dieser Prozess ist wichtig, um die regulatorischen Standards einzuhalten und Ihre Vermögenswerte zu schützen.
Sag ich doch. 🤭️
Vielen Dank für Ihre Geduld und Ihr Verständnis.
Oh, jetzt hatte ich weder Geduld noch Verständnis. Da hast du dich ja völlig umsonst bedankt, Phisher.
Mit freundlichen Grüßen,
So warm und freundlich!
Entf! 🗑️
Aber ich habe gar nix mit 1&1 zu tun. Diese Mail kommt auch gar nicht von 1&1, was man übrigens schon…
Von: 1&1 Kundenservice <contact@inselhof-vineta.de>
…an der Absenderadresse sieht. Die folgende Mail ist keine „Rechnung“, wie der Betreff denken lassen soll, sie ist eine Spam:
1&1 Kundenservice
IHRE 1&1 RECHNUNG
Guten Tag Madeleine Klemm,
Zumindest in meinem Fall stimmt der Name nicht. Da stimmt noch nicht einmal das Geschlecht. Ich gehe aber davon aus, dass der Name nur ein Platzhalter ist und dass die Spammer zu vielen Mailadressen auch einen Namen haben. Der gegenwärtige Industriestandard des Datenschutzes macht es möglich.
Ihre neue Rechnung vom 23.09.2024 über 24,95 EUR liegt für Sie im 1&1 Control-Center bereit:
Der Link führt natürlich nicht in die Domain von 1&1, wo zum Beispiel auch die Website liegt, sondern in die Cloud von Amazon. Dort gibt es dann erstmal…
$ lynx -source https://loginihrerechnung.s3.amazonaws.com/NCHYUUF.html <!DOCTYPE html> <html> <head> <title></title> <meta http-equiv="refresh" content="0; url = http://manalanabg.temp.swtest.ru/5440145/570757/dssdfsfezflu" /> </head> $ _
…eine Weiterleitung zu einer Website in einer russischen Domain. Wenn ich den Link in diese Domain mit etwas anderem als einem aktuellen Desktopbrowser untersuchen will, bekomme ich regelmäßig eine Weiterleitung auf die Startseite von Google. Nur mit einem Desktopbrowser – ich empfehle für solche Experimente mit Links aus einer Spam mindestens die Verwendung einer virtuellen Maschine, denn es handelt sich um Websites von Kriminellen, auf denen man sich alles mögliche einfangen könnte – bekommt man eine andere Weiterleitung und auch etwas zu sehen, und zwar das hier:
Oh, Ionos ist 1&1? 😂️
Natürlich gehen die Anmeldedaten und alles, was man danach eingibt, direkt zu Trickbetrügern, die sich nicht einmal besonders viel Mühe gegeben haben. Es handelt sich um Phishing.
Sie möchten Ihre Rechnung lieber als Anhang per E-Mail erhalten? Das können Sie ganz einfach hier aktivieren.
Dieser Link führt wirklich in die Website von 1&1. Vermutlich wurde er aus einer echten Mail übernommen.
Den offenen Betrag buchen wir am 30.09.2024 von Ihrem Konto ab.
Klar doch! Macht mal, Spammer! 🤭️
Wussten Sie schon?
Alle wesentlichen Fragen rund um Rechnungen haben wir im 1&1 Hilfe-Center für Sie beantwortet. Dort finden Sie auch ein How-to-Video und hilfreiche Infos, z. B. zu Rechnungen nach einem Tarifwechsel.
Im 1&1 Control-Center oder per App (Android | iOS) können Sie außerdem:
• Einzelverbindungsnachweise aktivieren oder
• Vertragsdaten prüfen/aktualisierenIch wünsche Ihnen weiterhin viel Freude mit den Leistungen von 1&1.
Freundliche Grüße aus Montabaur
Ihr Jörg Schur
Jörg Schur
Leiter 1&1 Kundenservice
Ich nehme an, dieser ganze Teil und die darauf folgenden Texte, in denen es ganz viele Möglichkeiten gibt, einen Link zu klicken, wurden ebenfalls aus einer echten Mail übernommen.
Das ist eine weitere gute Gelegenheit, darauf hinzuweisen, dass es einen sehr einfachen und hundertprozentig sicheren Schutz vor Phishing gibt, einer der häufigsten Trickbetrugsformen im gegenwärtigen Internet: Niemals in eine E-Mail klicken! Wenn man nicht in eine E-Mail klickt, kann einem nicht so leicht jeder dahergelaufene Schurke einen giftigen Link unterschieben. Stattdessen für häufiger besuchte Websites, bei denen man ein Benutzerkonto hat, immer ein Lesezeichen im Webbrowser anlegen und diese Websites nur noch über das Lesezeichen aufrufen! Dann ganz normal dort anmelden. Die Behauptungen in solchen Spams lösen sich dabei immer in Wohlgefallen auf, denn auf der Website sieht man keine entsprechenden Hinweise. Und dann hat man einen dieser gefürchteten „Cyberangriffe“ abgewehrt. So einfach geht das! Macht das! 🛡️
Es ist natürlich nur eine Vermutung von mir, dass bei dieser Spam eine echte Mail von 1&1 als Vorlage diente, denn ich weiß nicht, wie die echten Mails aussehen und kenne auch niemanden, der Kunde bei 1&1 ist. Aber wenn diese Vermutung zutrifft, bin ich erschrocken darüber, wie sehr ein Internetdienstleister, der sicherlich jeden Tag etwas von der Kriminalität im Internet mitbekommt, seine Kunden daran gewöhnt, dass sie in E-Mail klicken. Statt sie davor zu warnen.
Was, ich kriege eine neue Telefonnummer? Von wen denn?
Von: ІNG <j1beaf8itdvs6lz@itcelaya.edu.mx>
An: undisclosed-recipients:;
Von jemanden mit dem Namen „ING“ – vermutlich war die Mutter geizig und wollte sich das „o“ für einen „Ingo“ einfach sparen – und mit einer ganz krummen Mailadresse, die ich noch nie gesehen habe. Aber dafür schreibt er gleich ganz viele Leute auf einmal an. Und alle haben sie Rf. 95538.
Die Mail wurde übrigens über eine US-amerikanischen IP-Adresse aus einem IP-Bereich von Google (jetzt als „Alphabet“ firmierend, der Name ändert sich, sonst ändert sich nix) versendet. Auf die sinnlose Abuse-Mail an Google verzichte ich. Es ist ein schöner Tag und ich mag heute keine Portion Kafka. 😉️
Ach ja, diese Mail wird klar als Spam erkannt. Mein rspamd hat ihr recht solide 17,43 Punkte gegeben, und bei mir gehts schon für fünf Punkte ins Tönnchen. Gut, es ist weit weg von den Rekorden um die 40 Punkte, die ich manchmal sehe, aber die Spamerkennung dürfte sicher genug sein. Deshalb wird auf diesen Phishingversuch kaum jemand reinfallen.
Wer in den Quelltext schaut, wird feststellen…
…dass der Quelltext nicht direkt lesbar ist. Er wurde in Base64 codiert, was man eigentlich nur bei Binärdateien macht. Dabei werden jeweils sechs Bit auf ein darstellbares Zeichen in 7-Bit-ASCII abgebildet. Wenn man so etwas hört, wird hoffentlich klar, wie alt E-Mail schon ist. Es handelt sich bei dieser Codierung nicht um eine Verschlüsselung, denn sie kann problemlos umgekehrt werden. Deshalb markiere und kopiere ich diesen ganzen Text und greife zu den Hilfsmitteln, die mir mein freundliches und stets dienstbares Betriebssystem zur Verfügung stellt (nicht vor der Kommandozeile erschrecken, und ja, unixoide Betriebssysteme sehen immer etwas erschröcklich aus, wenn man nicht daran gewöhnt ist):
$ xsel -bo | base64 -d | tee mailtext.html | sed 10q <html> <head> <title></title> </head> <body> <p> </p> <table class="rio_container" id="rio_container" style="font-family: inherit; font-size: 12px; font-weight: inherit; font-feature-settings: 'liga' 0; line-height: normal; border-collapse: collapse; font-style: inherit; background: #ffffff; width: 525px; margin: 0px auto; padding: 0px; outline: 0px; vertical-align: baseline; display: block;"> <tbody style="margin: 0px; padding: 0px; border: 0px; outline: 0px; font-weight: inherit; font-style: inherit; font-family: inherit; vertical-align: baseline; display: block;"> <tr style="margin: 0px; padding: 0px; border: 0px; outline: 0px; font-weight: inherit; font-style: inherit; font-family: inherit; vertical-align: baseline; display: block;"> $ file mailtext.html mailtext.html: HTML document, ASCII text, with very long lines (13297), with CRLF line terminators $ wc mailtext.html 19 296 16384 mailtext.html $ echo 16384 / 1024 | bc -l 16.00000000000000000000 $ _
Hui, das sind genau 16 KiB HTML für diese Mail, deren Text (mit Leerzeichen und Steuerzeichen wie Zeilenumbrüchen) 1.916 Byte lang ist. Spam ist nur selten effizient und ressourcenschonend. Das hat sie mit einer anderen, sehr ähnlichen, aber leider legalen Erscheinung gemeinsam: der Reklame. Davon, dass der Spammer auch versucht hat, ein Logo der ING-DiBa über eine Data-URL einzubetten, so dass er die Base64-Codierung in dieser URL noch einmal Base64-codiert hat, fange ich jetzt gar nicht erst an, und erst recht zeige ich nicht, welche Akrobatik ich dafür an der Kommandozeile hatte (es sah nicht so unähnlich aus). Immerhin, der Absender ist dabei ein bisschen mit seinem Werkzeugkasten durcheinander gekommen und sein Logo war zerschossen. In meinem Zitat der Spam nehme ich mal ein Logo aus einer früheren Phishingspam für Kunden der ING-DiBa, damit es ungefähr so aussieht, wie der Spammer es gern gehabt hätte, aber wegen seiner technischen Unfähigkeit nicht hinbekommen hat. Vielleicht klappt es ja beim nächsten Mal ein bisschen besser:
Geschatzter Kunde,Um die Sicherheit Ihres Kontos weiterhin zu gewährleisten, bitten wir Sie, Ihre Telefonnummer zu aktualisieren. Eine aktuelle Telefonnummer hilft uns, Sie bei wichtigen Kontoaktivitäten oder im Falle von Sicherheitsfragen schnell zu erreichen..
Bitte nehmen Sie sich einen Moment Zeit, um Ihre Telefonnummer zu überprüfen und zu aktualisieren. Dieser einfache Schritt trägt wesentlich zur Sicherheit Ihres Kontos bei.
Vielen Dank für Ihre schnelle Bearbeitung. Ihre Aufmerksamkeit hilft uns, Ihr Konto sicher und geschützt zu halten.
Mit freundlichen Grüßen,
Ihre ІNG-DіВа.
Datenschutzrichtlinien | AGB | Kontakt
Ja, der Spammer hat die letzten drei Links einfach weggelassen. Sein Text war ja schon fertig, seine Gedanken waren im Puff und der Wodka war lecker.
Natürlich führt der Link nicht zur ING-DiBa, sondern nach ein bisschen Weitergeleite – es ist ja Spam, da werden niemals direkte Links gesetzt, so wie das jeder denkende und fühlende Mensch machen würde, weil es einfacher und direkter ist – zu einer obskuren Webseite…
$ location-cascade https://boca.hozzt.com/~p4tcom/soon 1 https://boca.hozzt.com/~p4tcom/soon/ 2 https://p4t.com.tr/- 3 https://p4t.com.tr/-/ 4 de/mkfile.php?p=login $ lynx -dump https://p4t.com.tr/-/de/mkfile.php?p=login | sed 14q [logo.png] 5L63oa4gc-ci3bn8 2A42n25ma6ec0l5cd46e68n5 2ma5i23tf 7Z62ue8g6eab0n26gd7sd7d18afetc6e5an1 4Z7eu50g47a1bn85gddseen74udcmd2m8ee4fr9 ____________________ 8L18ea3tecz9dt99ea f1fe03 dSd4t31efal90lcbe22n3 cIedh3dr6cebcr6 dI2fN80G3 4I55B16A0cN5 / 4D4beb9p92o34t42n7fu9fm15m27e25rf 4Ia7nd8t1ce4bra7n6ae06t71b7baban00k62icdn2fg5 4P30I03N8 ____________________ 2Bbci85t9bt0ae2 bb1aefda80c68h7at78e00n3 9S9ei1fe3 1de2i99ef 3G39rf5o6ß- 8u6bnecd4 8Kb7l6de31i6dn2bs64cd5hb0rf6eb9i37b95u0fn3fg08.1 (BUTTON) Anmelden $ _
…die von blinden und schwer körperbehinderten Menschen gar nicht genutzt werden könnte, weil sie neben dem Anmeldeformular nur Zeichensalat enthält. Aber keine Sorge, das stört den Spammer nicht weiter. In einem richtigen Webbrowser – ich mache so etwas aus Sicherheitsgründen in einer virtuellen Maschine – sieht die Webseite so aus:
Alle Daten, die man dort eingibt, gehen direkt zu Trickbetrügern. Auf einer Telefonnummer, die man im nächsten Schritt angibt, wird man einen Anruf eines angeblichen Bankmitarbeiters erhalten, der „die Konfiguration abschließt“ oder einen ähnlichen Bullshit behauptet. Er bringt dann das Opfer dazu, eine betrügerische Transaktion zu bestätigen. Danach ist das Konto leergeräumt und bis an die Grenze überzogen, und das Opfer hat erstmal den Schaden.
Zum Glück für uns alle gibt es ein ganz einfaches und hundertprozentig wirksames Mittel gegen Phishing, einer der häufigsten Trickbetrugsformen im Internet: Niemals in eine E-Mail klicken! Wenn man nicht in eine Mail klickt, kann einem kein Krimineller so einen giftigen Link unterschieben. Stattdessen so etwas wie die Homepage der Bank immer über ein Browserlesezeichen aufrufen. Wenn man nach dem „Genuss“ einer derartigen Mail die Website der ING-DiBa über ein Browserlesezeichen aufruft, sich dort ganz normal anmeldet und im Folgenden feststellt, dass die in der Mail behaupteten Probleme gar nicht existieren (sonst bekäme man ja nach der Anmeldung einen Hinweis auf der Website angezeigt), kann man die Mail einfach löschen und sich angenehmeren Dingen zuwenden. So wehrt man einen dieser gefürchteten „Cyberangriffe“ ab. So einfach geht das. Macht das! 🛡️
Und vor allem: Erzählt auch anderen Menschen, wie man das macht! Schließlich wird jeder Mensch mit ein paar zehntausend Euro etwas besseres anzufangen wissen, als solchen Kriminellen den verfeinerten Lebensstil zu finanzieren. Sollen die Phisher doch verhungern!
Aber diese Spam geht noch weiter, denn dem Spammer ist da wohl so ein kleiner Unfall mit der Zwischenablage passiert:
Dein sechsstelliger Code
Hallo! Dein sechsstelliger Code ist:
075386
Nutze diesen Code um die Verifizierung in der App oder auf der Webseite abzuschließen.
Gib diesen bitte nicht weiter. Mitarbeiter von Klarna werden dich niemals bitten, diesen Code per Telefon oder SMS zu bestätigen.
Dieser Code ist nun für 10 Minuten gültig.
Support
Bei Fragen hierzu kontaktiere uns gerne unter
Du möchtest mehr über uns erfahren?
Besuche unsere Webseite unter https://www.klarna.com/de/
Klarna.
Klarna Bank AB (publ)
Handelsregister: SE556737-0431
USt-IdNr: SE556737043101
Vorstandsvorsitzender: Sebastian SiemiatkowskiPostanschrift Deutschland
Postfach 900162
90492 NürnbergHauptsitz
Sveavägen 46
111 34 Stockholm
SchwedenErfahre hier, wie du Betrugsversuche erkennen kannst. Du befürchtest, Opfer eines Betrugs geworden zu sein? Melde es umgehend unserem Kundenservice oder leite verdächtige E-Mails an phishing@klarna.com weiter.
Vermutlich hat der Phisher gerade die nächste Kampagne gegen Kunden der Klarna Bank (Firmierung mit Deppen Leer Zeichen) vorbereitet, als Ausgangsmaterial eine Originalmail der Klarna Bank (Firmierung mit Deppen Leer Zeichen) genommen und sich ein bisschen verheddert, weil er gleichzeitig noch seine ING-DiBa-Spam gemacht hat. Man macht aber auch immer komische Fehler, wenn man überarbeitet, unkonzentriert und betrunken ist! Aber vermutlich ist es dem Phisher egal, denn die sehr naiven Menschen, die er ums bitter verdiente Geld betrügen will, lesen gar nicht richtig, sondern klicken einfach drauflos. Und dann haben sie den Schaden.
So ein eindeutiges Anzeichen für einen Betrugsversuch hat man nur selten in der Spam.
Abt.: Die Nuller Jahre möchten ihre schlechten Phishingspams zurückhaben
Oh, schön. Mit Punkt am Ende des Betreffs. Das habe ich lange nicht mehr gesehen. Menschen setzen da beinahe nie einen Punkt (andere Satzzeichen schon), aber Spammer, die ihr Skript nicht richtig verstehen, setzen da öfter mal einen Punkt. Nicht, weil sie das so wollen, sondern, weil sie ihr Skript nicht verstehen. Und auch den Rest habe ich lange nicht mehr gesehen, denn es ist ein altmodisches, unpersönlich vorgetragenes Phishing.
Von: Advanzia Bank <thevenue@oliverock.co.za>
An: undisclosed-recipients:;
Diese Spam geht an ganz viele Empfänger gleichzeitig. Sie ist so „persönlich“ wie ein Werbeprospekt, der in den Briefkasten geworfen wird.
Ich habe kein Konto bei dieser Bank, und diese Bank hat keine Mailadresse von mir. Dieser Müll kommt bei allen Menschen an. Es ist Spam. Schrotmunition. Wird schon bei einigen treffen, wo es passt. Spam kostet den Spammer ja nichts.
Gentile cliente
Genau mein Name!
Sehr geehrter Kunde,
Ah, im zweiten Versuch klappt es gleich viel besser mit meinem Namen. 😁️
Es tut uns leid, Ihnen mitteilen zu müssen, dass Ihr Konto aus Sicherheitsgründen vorübergehend gesperrt wurde. Wir müssen Ihre Telefonnummer und Ihre E-Mail- Adresse in unserem Service bestätigen.
Eine richtige Bank wüsste nicht nur den Namen ihres Kunden und spräche ihn persönlich an, sondern sie würde auch die Kontonummer angeben, wenn ein Konto des Kunden betroffen ist. Erstaunlich viele Menschen unterhalten mehrere Konten, zum Beispiel, um ihren persönlichen Geldkram sauber vom Geldkram aus selbstständiger Tätigkeit zu trennen. Diese Leute vom Finanzamt können immer ganz schön garstig werden, wenn da etwas nicht so durchschaubar ist.
Aber diese Spezialbank aus dem Spameingang weiß ja nicht einmal, wie ihr angeblicher Kunde heißt.
Um Ihre Telefonnummer und Ihre E-Mail zu bestätigen, klicken Sie auf den folgenden Link:
Aktualisieren
Wer da klickt, lasse alle Hoffnung fahren! Der Link führt in eine Domain, die in Serbien gehostet wird, und der dort laufende Webserver…
$ host zaduzbinajankovicandjelkovic.rs zaduzbinajankovicandjelkovic.rs has address 185.119.89.170 zaduzbinajankovicandjelkovic.rs mail is handled by 10 mf.unlimited.rs. $ country 185.119.89.170 185.119.89.170 is from Serbia (RS) $ surbl zaduzbinajankovicandjelkovic.rs zaduzbinajankovicandjelkovic.rs okay $ mime-header http://zaduzbinajankovicandjelkovic.rs/sarl/ HTTP/1.0 302 Found Connection: close x-powered-by: PHP/8.0.30 set-cookie: PHPSESSID=8th4gi0tjr1t2b734c7enm9f0i; path=/ expires: Thu, 19 Nov 1981 08:52:00 GMT cache-control: no-cache, no-store, must-revalidate, max-age=0 pragma: no-cache content-type: text/html; charset=UTF-8 location: https://google.com content-length: 0 date: Tue, 17 Sep 2024 08:20:32 GMT server: LiteSpeed $ _
…schaut auch nach, ob ein „richtiger Webbrowser“ etwas von ihm haben möchte, oder ob es sich um kleine, schnell hingefummelte Skriptchen handelt, mit denen jemand wie ich ankommt, bevor er die Websites von Kriminellen auf seinen Browser und seinen persönlich genutzten Computer loslässt. Wer analyisieren will, ist diesen Phishern zu neugierig und wird einfach zu Google weitergeleitet. Interessanterweise wird ein Internet Explorer 10 – diesen gebe ich in meinem lange nicht mehr angefassten Skript mime-header als anfragenden Browser an – inzwischen sogar von Kriminellen als veraltet und verdächtig angesehen. Nun gut, dann muss ich das wohl mal wieder anpassen, dann kommt halt demnächst ein Chrome vorbei, der traurige Quasistandard im heutigen Web, weil es nichts anderes mehr zu geben scheint… da helfen auch die vielen lustigen Browsernamen nicht, hinter denen sich immer ein Chrome mit anderer Benutzerschnittstelle verbirgt. 😉️
Natürlich hat niemand solche Tricksereien am Webserver nötig, wenn er keine bösen Absichten hat. Insbesondere hat eine Bank solche Tricksereien nicht nötig. Wenn sie es dennoch macht – warum sollte sie? – würde ich dringend empfehlen, sich eine andere Bank zu suchen, weil das einfach verdächtig aussieht.
Ich habe es mal in einer virtuellen Maschine ausprobiert: Wenn man mit einem „richtigen Browser“, in diesem Fall mit einem Chromium, vorbeischaut, gibt es keine Weiterleitung zu Google, sondern diese reizende Phishingseite:
So so, „Phishing E-Mails im Umlauf“. Auf einer klaren Phishingseite. Mit Deppen Leer Zeichen. Fühlt euch gewarnt und sicher! 😸️
Natürlich gehen alle Daten, die man hier angibt, nicht an die Bank, sondern an eine Betrügerbande. Das Konto wird leergeräumt, mit der Kreditkarte werden betrügerische Geschäfte gemacht, eventuell wird das Konto noch zur Verschleierung von kriminellen Geldflüssen genutzt. Wer darauf reinfällt, ist schlagartig pleite, wird zum Ziel von Ermittlungen und darf in den nächsten zwei Jahren immer wieder Polizeibeamten, Untersuchungsrichtern und Inkassobüros seine Geschichte erzählen. Als ob der finanzielle Verlust nicht schlimm genug wäre! ☹️
Zum Glück für uns alle gibt es ein einfaches und wirksames Mittel gegen Phishing, einer der häufigsten Betrugsformen im gegenwärtigen Internet: Niemals in eine E-Mail klicken! Wenn man nicht in eine Mail klickt, haben Kriminelle keine so einfache Möglichkeit, einem einen giftigen Link unterzuschieben. Stattdessen für häufig besuchte Websites Lesezeichen im Browser anlegen und diese Websites nur noch über diese Lesezeichen aufrufen. Wenn so eine Spam ankommt, und man ist sich nicht sicher, ob die nicht vielleicht doch echt sein könnte – Phishing gibt es auch mit persönlicher Ansprache und manchmal sogar mit Angabe der Kontonummer, nicht jeder ist angesichts des aktuellen Industriestandards des Datenschutzes so datensparsam wie ich – dann klickt man nicht in die Spam, sondern wechselt einfach zum Browser, ruft die Website über das Lesezeichen im Browser auf und meldet sich dort ganz normal an. Wenn sich dabei zeigt, dass das in der Spam behauptete Problem, etwa eine Kontosperrung, gar nicht existiert, hat man einen dieser gefürchteten „Cyberangriffe“ abgewehrt und kann die Spam löschen. So einfach geht das. Macht das! 🛡️
Das bisschen Vorsicht spart schnell einen fünfstelligen Geldbetrag, mit dem vermutlich jeder Mensch etwas besseres anzufangen weiß, als Kriminellen ihren verfeinerten Lebensstil zu finanzieren. Einmal ganz davon abgesehen, dass sich niemand seine begrenzte Lebenszeit mit dem ganzen Ärger versauen will, wenn seine Identität missbraucht wird.
Für weitere Informationen kontaktieren Sie uns immer unter folgenden Nummern: Kontakt Technische Beratung zum Online-Service meine.karte 49 (0)345 – 21973■■■ (Aus allen Netzen) Mo.-Sa., 8-19 Uhr Fragen zur gebührenfreien Mastercard Gold 0800 880 1■■■ (gebührenfrei aus dem deutschen Festnetz) 24 Stunden erreichbar 49 (0)345-21973■■■ (Aus dem Ausland oder Mobilfunk) 24 Stunden erreichbar
Ich habe die Nummern mal unbenutzbar gemacht.
Viele Grüße
dein KONTO-Service-Team
Hier spammt das Serviceteam noch selbst!
Diese E-Mail wurde von einer Adresse versendet, die ausschließlich für Benachrichtigungen genutzt wird und keine E-Mails empfangen kann.
Diese Mail ist eine Spam.
Bitte nutze die im Footer genannten.
konto (GmbH & Co KG), Werner-Str. 1-7, 22179 Hamburg AG Hamburg, HRA 62024, Persönlich haftend:
Verwaltungsgesellschaft advanziambH, Hamburg, AG Hamburg, HRB 13762 vertreten durch: Alexander Birken (Vorsitzender)
Oh, ich sehe schon wieder den Standardeffekt aus solcher Spam, der inzwischen selten geworden ist. Der eigentliche Text war fertig, der Spammer freute sich, dass er seine fünf Arbeitsminuten absolviert hatte und musste da nur noch den Standardkram drunterschreiben, damit die Spam auch „echt“ aussieht. Halt so etwas wie ein Mailimpressum, wie es in geschäftlicher Mail in der Bundesrepublik Deutschland angegeben werden muss. Die Aufmerksamkeit des Spammers war aber längst schon wieder im Puff, der Mund nuckelte schon gierig an der leckeren Wodkaflasche, und dann schlichen sich zum Ende der Spam viele kleine Fehlerchen ein. Zum Beispiel die Konto (GmbH & Co. KG). Weil der Spammer sich sagt: „Das liest doch eh keiner, da brauche ich mich nicht anzustrengen. Da klappe ich irgendeinen Rotz rein. Meine Opfer schauen da ganz bestimmt nicht hin, die interessieren sich ja nicht einmal dafür, wo mein Link hinführt“.
Aber immerhin bemerkt man so, dass der Text nicht aus einem angelernten neuronalen Netzwerk stammt.
Entf! 🗑️
Keine Spam, aber ein im Kontext interessanter Hinweis auf einen aktuellen Artikel bei Golem. Ich schreibe ja manchmal, nein, eigentlich sogar ziemlich häufig, dass man mit durchgehender Nutzung von digitalen Signaturen den gesamten Phishingsumpf hätte trockenlegen können. Das wäre zurzeit nicht der Fall, wenn die leider sehr populäre und im geschäftlichem Umfeld allgegenwärtige Mailsoftware Microsoft Outlook verwendet wird, denn bei Nutzung dieser Software können die Anwender von Kriminellen beliebig getäuscht werden [Archivversion]:
Die besagte Sicherheitswarnung taucht in der Regel auf, wenn Outlook-Nutzer eine E-Mail von einem Absender erhalten, mit dem sie zuvor gar nicht oder nur selten korrespondiert haben. „Sie erhalten nicht oft E-Mails von xyz@beispiel.com. Erfahren Sie, warum dies wichtig ist“ […] Wie aus dem Bericht von Certitude hervorgeht, bettet Outlook diese Warnung allerdings im HTML-Code als Table-Element unmittelbar vor dem Textkörper der E-Mail ein. Durch CSS-Regeln innerhalb der Mail gelang es den Forschern, sowohl die Schrift- als auch die Hintergrundfarbe der Meldung auf Weiß zu ändern und die Warnung dadurch effektiv unsichtbar zu machen.
Das Verstecken der Phishing-Warnung war den Certitude-Forschern allerdings noch nicht genug. Daher untersuchten sie, ob sich per HTML und CSS auch vortäuschen ließ, dass die empfangene E-Mail verschlüsselt oder signiert ist. Und sie hatten Erfolg: „Signed By [Absender]“ steht über einer Mail, deren Screenshot die Forscher in ihrem Blog teilten. Daneben die entsprechenden Symbole – ein Schloss und ein rotes Siegel.
Microsoft ist der Auffassung, dass es sich nicht um eine Sicherheitslücke handelt, wenn ein Angreifer mit relativ einfachen Mitteln einen völlig falschen Eindruck beim Empfänger erwecken kann – und lässt das bekannte Problem einfach offen. Schon seit Monaten. Mit Schloss und Siegel. 🔐️🛡️✅️
Ich bin da natürlich völlig anderer Auffassung. Ein optischer Sicherheitshinweis, der von einem Angreifer nach Belieben ausgeblendet oder hinreichend gut simuliert werden kann, ohne dass ein naiver Anwender das auf dem ersten Blick erkennen könnte, hat für die Sicherheit nicht nur überhaupt keinen Wert, sondern macht sogar die damit versprochene Sicherheit völlig zunichte und verkehrt sie in ihr Gegenteil. „Aber natürlich, Cheffe! Ich habe auf den Link geklickt, die Datei geöffnet und den Zugangscode eingegeben. Das wollten sie doch so. Die Mail war doch von ihnen signiert.“ ist alles andere als ein undenkbares Szenario und kann einen fürchterlichen Schaden verursachen. Hinterher, wenn ein ganzes Unternehmensnetzwerk von Kriminellen übernommen wurde, heißt es in den Medien in der üblichen Albernheit der journalistischen Berichterstattung „Cyber Cyber“ und es gibt Symbolbilder von Maskierten im dunklen Zimmer, die wie die Hypnotisierten auf Matrix-Bildschirmschoner gucken, aber Microsoft ist mehr als nur ein bisschen dafür mitverantwortlich, was natürlich niemals so klar benannt wird.
Wenn sie am Arbeitsplatz Microsoft Outlook verwenden müssen – ich hoffe, dass die meisten Menschen privat eine andere gute Mailsoftware benutzen, aber ich befürchte, diese Hoffnung hat genau so einen geringen Wert wie die Sicherheitsfunktionen von Microsoft Outlook – seien sie also vorsichtig und klicken Sie auf gar keinen Fall in eine E-Mail, ohne sich vorher über einen anderen Kanal als E-Mail (zum Beispiel durch ein Telefongespräch) davon überzeugt zu haben, dass sie wirklich vom scheinbaren Absender kommt!
Generell besteht der beste und wirksamste Schutz vor Phishing darin, niemals in eine E-Mail zu klicken und häufig aufgerufene Websites – des Händlers, des Dienstleisters, der Bank – nur über dafür angelegte Lesezeichen im Webbrowser aufzurufen. Ach ja, und auch niemals das Handy auf eine Sackpost mit QR-Code halten, auch nicht, wenn sie scheinbar von der Bank kommt! Dann kann einem auch kein Verbrecher so leicht einen giftigen Link unterschieben.
Hier geht es nicht um eine Spam, sondern um eine aktuelle Mitteilung des Landeskriminalamtes Niedersachsen:
Jede Person, die Mails bekommt, bekommt auch ständig Spammails. Einige mehr, einige weniger. Neben zahlreichen ungewollten Werbemails landen auch immer wieder gefährliche Phishingmails, die vorgeben, von einer Bank zu stammen, in den Mail-Postfächern. Die Täter versenden diese Mails massenhaft an zahlreiche Empfänger gleichzeitig. Dabei können die Mail von schlecht gemacht bis professionell sein. Mal enthalten die Mails keine persönlichen Daten, andere dagegen sprechen die Empfänger bereits persönlich an. Viele Mails enthalten dann offizielle Logos von Banken. Nicht selten bekommt man dann solche Phishingmails von „Banken“, bei denen man nicht einmal Kunde ist oder die voller gravierender Rechtschreibfehler sind. Noch gefährlicher wird es aber, wenn die Täter weitere persönliche Daten kennen und diese in die Mail personalisiert und vollkommen automatisiert einbauen. Da kann dann bereits in einfachen Versionen der Name des Empfängers und die zugehörige Bank stimmen.
Dass diese Gefahr besteht, wissen aber auch die Bankkunden, da inzwischen vielseitig vor den Gefahren gewarnt wird. Die Täter wissen dies ebenfalls und ändern in Teilen die Strategie von Phishingmails. Diese werden nun seit einiger Zeit per Briefpost verschickt (Zur Zeit noch wenige bekanntgewordene Einzelfälle).
Der Bankkunde erhält plötzlich und unerwartet einen Brief mit korrekter postalischer Anschrift und dem Logo/der Anschrift der tatsächlich zugehörigen Bank
Die ziemlich gut gemachten Briefe – Abbildungen gibt es drüben beim LKA Niedersachsen – enthalten einen QR-Code, den man mit seinem Smartphone scannen soll.
Bitte auch mit Briefpost vorsichtig sein. Auch, wenn sie mit namentlicher Ansprache und sogar von der richtigen Bank kommt. Die Kriminellen haben leider jede Menge Daten zur Verfügung. Datenschutz wäre Menschenschutz gewesen, aber leider hat in der Praxis der Bundesrepublik Deutschland ein Autokennzeichen mehr wirksam durchgesetzten Datenschutz als ein Mensch.
Im Orignal stand eine andere Mailadresse, die auch als Empfängeradresse eingetragen war. Die Behauptung in der Spam stmmt nicht. Es handelt sich um Phishing. 🎣️
Wenn man in die Mail klickt und auf der sich öffnenden Website sein Mailpasswort eingibt, hat man dieses Passwort an Kriminelle gegeben. Macht das nicht. Es macht sehr viel Ärger und kann sehr teuer werden.
Von: tamagothi.de <info@lomesqqz.ooguy.com>
$ host lomesqqz.ooguy.com | sed 1q lomesqqz.ooguy.com has address 98.142.240.228 $ host tamagothi.de | sed 1q tamagothi.de has address 92.205.191.235 $ _
Eigentlich sieht man ja auch schon an den Hostnamen, dass das völlig verschiedene Rechner sind. Aber offenbar haben inzwischen viele Menschen „benutzerfreundliche“ Mailsoftware, die solche technischen Details wie die Mailadresse des Absenders einfach versteckt, wenn der auch einen Namen angibt, und dann funktioniert so ein Schwindel wie in diesem Beispiel leider auch. So genannte „Benutzerfreundlichkeit“ durch Verstecken technischer Details ist sehr häufig freundlich gegenüber Kriminellen, bringt aber überhaupt keinen Vorteil für den Benutzer.
Ihr Mailbox „gammelfleisch@tamagothi.de“ Passwort läuft ab!
Aha, es läuft ab. 💡️
Das Passwort für Ihre Mailbox gammelfleisch@tamagothi.de ist abgelaufen.
Oder ist es schon abgelaufen? 🤔️
Ein neues Passwort wird vom System generiert.
Sie werden genau 3 Stunden nach dem Öffnen dieser E-Mail automatisch abgemeldet.
Und, mit welchem Passwort soll ich mich danach anmelden? Mein Passwort ist ja abgelaufen. Oder es läuft ab. Oder es riecht schon komisch. 🙀️
Es wird empfohlen, weiterhin Ihr aktuelles Passwort zu verwenden.
Dann lasst es doch gleich so! 😅️
Lesen diese Phisher ihre Texte eigentlich selbst? Ach, die können gar kein Deutsch… 🤡️
Um Ihr aktuelles Passwort weiterhin zu verwenden, verwenden Sie bitte die Schaltfläche unten.
Natürlich führt der Link nicht in die Domain tamagothi.de, sondern in eine deutlich fragwürdigere Domain, die…
$ surbl pub-869696bd13e3413389dfb4a3ed703a2c.r2.dev pub-869696bd13e3413389dfb4a3ed703a2c.r2.dev okay $ _
…leider noch nicht auf jeder Blacklist steht. Aber das ist jetzt nur noch eine Frage der Zeit und wird sich vermutlich in wenigen Stunden ändern. Dort kann man dann…
…sein Mailpasswort an einer anderen Stelle als gegenüber dem Mailserver angeben, damit Verbrecher ein Mailkonto übernehmen können – woran oft viele weitere kriminell „nutzbare“ Dinge hängen, etwa Social-Media-Kanäle, Accounts bei Amazon, eBay und vergleichbaren Websites, betrügerisch ausbeutbare persönliche Kontakte.
Man wendet die angedrohte Nichtzugänglichkeit seines Mailpostfaches also nicht ab, indem man auf so eine Spam reagiert, sondern man verursacht sie. Denn während eine Bande von gewerbsmäßigen Betrügern schnell, gut eingespielt und konzentriert (sie haben nicht so viel Zeit dazu) bei einer Website nach der anderen die entsprechenden Mechanismen für „Ich habe mein Passwort vergessen“ auslöst und einen Großteil des digitalen Lebens eines anderen Menschen übernimmt, ist das Postfach schon längst gepwnt und für seinen eigentlichen Nutzer völlig unzugänglich. Wenn die Betrüger so an einen Account bei Amazon oder eBay kommen, wird ebenfalls sehr schnell (sie haben nicht so viel Zeit dazu, aber das sagte ich ja schon) ein bis zu sechsstelliger Schaden durch betrügerische Geschäfte im Namen eines anderen Menschen angerichtet. Und bei diesem anderen Menschen, beim Phishingopfer, schaut dann ein paar Tage später die Kriminalpolizei vorbei. Mit Hausdurchsuchungsbefehl. Wegen Verdachts auf gewerbsmäßigen Betrug. Und danach hat man ganz viel und sehr nachhaltigen Ärger.
Deshalb gibt man nicht auf irgendeiner Website ein Passwort für eine andere Website ein!
Es gibt zum Glück für uns alle ein einfaches und sehr wirksames Mittel gegen Phishing, was immer noch eine der häufigsten Betrugsformen im Internet ist: Niemals in eine E-Mail klicken! Wenn man nicht in eine E-Mail klickt, kann einem kein Verbrecher so leicht einen giftigen Link unterschieben. Stattdessen Lesezeichen im Webbrowser anlegen und Websites, bei denen man einen Account hat, nur über diese Lesezeichen aufrufen. Wer sich zum Beispiel nicht selbst um den Betrieb eines Mailservers kümmert, sondern einen Account bei einem Dienstleister hat und so eine Mail bekommt: Einfach die Website des Dienstleisters über das Lesezeichnen aufrufen und sich dort ganz normal anmelden. Wenn es dabei keinen Hinweis auf ein derartiges Problem gibt, hat man einen dieser gefürchteten Cyberangriffe abgewehrt und sich möglicherweise viele zehntausend Euro und jahrelangen Ärger gespart. So einfach geht das! Macht das! 🛡️
Schlangenöl hilft nicht. Meine „Kindersicherung“ für den Webbrowser kannte die Phishing-Website noch nicht. Wer sich darauf verlässt, fällt rein. 😐️
E-Mail wird von tamagothi.de generiert E-Mail-Server für gammelfleisch@tamagothi.de
Was bitte? 😵💫️
Entf! 🗑️