Kategoriearchiv „Phishing“

Warning Notice: info@kaybeexports.com Verification Required!

Freitag, 7. Mai 2021

Das ist immerhin mal eine fast schon neue Phishing-Masche. Ich habe sie bis jetzt jedenfalls noch nicht in dieser Form gesehen, sondern nur als angeblich bevorstehende Schließung des E-Mail-Kontos. 🎣️

Zum Glück ist dieses spezielle Phishing so schlecht gemacht, dass hoffentlich niemand darauf reinfallen wird. Das fängt schon mit der falschen Mailadresse im Betreff an, die vermutlich entstanden ist, weil der Idiot von Spammer sein Skript und seine Vorlage nicht richtig verstanden hat und auch keine Lust hatte, es mal lokal zu testen, bevor er es auf das Internet loslässt. Tja, wenn ein Spammer sich Mühe geben wollte, brauchte er ja auch nicht zu spammen, sondern könnte gleich arbeiten gehen! 🛠️

Attention: Verification Required!

Attention: Verification Required!

Doppelt hält besser! 👍️

Your email account gammelfleisch@tamagothi.de has been reported for spam abuse.

Das kann gar nicht sein, denn ein solcher E-Mail-Account existiert gar nicht. Die gammelfleisch-Adresse ist – zusammen mit einigen anderen Mailadressen, die völlig spamverseucht sind – eine reine Weiterleitung auf einen Sammelaccount für E-Müll. Da ist kein eigenes Konto dahinter.

To avoid your email account being closed or terminated kindly login to verify ownership now.
Rectify below to receive suspended email

VERIFY gammelfleisch@tamagothi.de HERE NOW

Wer auf den Link klickt, wird mit der folgenden Möglichlichkeit konfrontiert, sein Mailkonto mit allem, was dazu gehört, an Kriminelle zu übergeben:

Eingabemaske für eine Mailadresse und ein Passwort, darunter eine Checkbox 'Remember me', darunter eine Klickfläche 'Login', darunter zwei angebliche Hilfetexte

Das ist eine sehr schlechte Idee. Diese in der Google-Cloud abgelegte Seite hat nichts mit dem E-Mail-Konto zu tun – und nur, um das klarzustellen: Die Domain tamagothi (punkt) de hat nichts mit Google zu tun, aber auch nicht im Geringsten. Die eingegebenen Daten gehen direkt an Kriminelle. Wenn es über die E-Mail-Adresse möglich ist, die Passwörter für Social-Media-Accounts, PayPal, Amazon und dergleichen zurückzusetzen, wird den Kriminellen mit dieser Übergabe des E-Mail-Kontos eine gesamte Online-Identität für allerlei Betrugsgeschäfte übergeben, die sie selbstverständlich auch missbrauchen werden, denn gewerbsmäßige Betrüger leben nun einmal vom Betrug. 🎃️

Die Anmeldung mit Benutzername und Passwort ist eine sehr wirksame Sicherheitsmaßnahme, aber nur, so lange das Passwort nicht jemandem anders verraten wird. So bald ein Dritter das Passwort kennt, ist es vorbei mit der Sicherheit. Aber so lange man sein Passwort geheimhält und ein gutes Passwort wählt, das niemand erraten kann, kann nichts passieren. 🛡️

Redirection To Domain Homepage May Occur If Successful.
tamagothi.de © 2021 All rights reserved

Nun, im Moment wird die Domain tamagothi (punkt) de nur von mir genutzt, und ich kann versichern, dass ich nicht das Copyright an diesem E-Müll habe. 😂️

Now: 5//2021 8:21:41 a.m.
Years: 21,2021,Twenty One,Twenty Twenty One
Months: 5,05,May,May
Days: 2,02,2nd,Second
WeekDays: 1,01,Sun,Sunday
Hours: 8,08,8,08
Minutes: 21,21
Seconds: 41,41
AM/PM: a,a.m.

Ja, Spammer, was willst du mir damit sagen? Hast du mal mit der Datumsformatierung experimentiert, ohne zu begreifen, was du da tust? Und hast du es dann gleich in deiner Spam dringelassen, weil es so schön technisch aussieht und du sogar selbst davon beeindruckt warst? Du bist eben ein Vollidiot! 💩️

Entf! 🗑️

Nachricht von Ihrem Kundenservice

Donnerstag, 8. April 2021

Abt.: Schlechtes Phishing

Von: paypal.de-4706127@kunde540.com

Das ist nicht PayPal. Das verwundert nicht weiter, denn die Mail ist ja auch gar nicht von PayPal, sondern wurde über einen von Amazon gemieteten Cloud-Server versendet. Aber wenn ein Spammer die Absenderadresse fälscht, und es dann so unüberzeugend tut, ahnt man, wie dumm er ist. 🤦‍♂️️

An: kunden@77servce.com

Das ist nicht die Empfängeradresse. Die Empfänger stehen alle im BCC:, damit nicht auffällt, dass diese Spam an ganz viele Empfänger geht. Deshalb ist sie ja auch so unpersönlich formuliert. 👤️

PayPal.

Ja, schon klar, und ich bin das Christkind. 😁️

Ihr (PayPal Konto) wurde gesperrt

Ihr Konto wurde aufgrund zu vieler erfolgloser Anmeldeversuche gesperrt. Um Ihr Konto wieder zu aktivieren, müssen Sie Ihre Daten innerhalb von 24 Stunden überprüfen

Aha, weil sich jemand immer wieder mit falschem Passwort angemeldet hat, wird mein Konto gesperrt und ich muss meine Daten überprüfen, und zwar ganz, ganz schnell. Das ist ja eine bestechende Logik! Wenn das stimmen würde, dann könnte jeder Mensch ganz leicht PayPal-Konten anderer Menschen und diverser Unternehmen sabotieren, indem er sich hinter einer VPN-Adresse verschanzt und immer wieder mit irgendwelchen Passwörtern dort anzumelden versucht (natürlich mit einem Skript). Das wäre so einfach, dass jedes Kind bei diesem „Sport“ mitmachen könnte. 👶️

Wie lange würde es wohl dauern, bis PayPal mit dieser unsinnigen Idee aufhörte, weil die Nutzer weglaufen oder… noch schlimmer… PayPal auf Schadenersatz wegen dieser Willkür verklagten? 🤔️

Jetzt Prüfen

Wer da klickt, lasse alle Hoffnung fahren! 👿️

Übrigens: Es gibt einen hundertprozentig wirksamen Schutz gegen Phishing, und er ist sehr einfach. Niemals in eine E-Mail klicken! Wenn man nicht in eine E-Mail klickt, kann einem kein Krimineller einen vergifteten Link in einer E-Mail unterschieben. Phishing, eine der häufigsten Betrugsformen im Internet, ist dann nicht mehr möglich. Stattdessen die Lesezeichen-Funktion des Webbrowsers benutzen! Falls man bei einer solchen E-Mail von PayPal nicht sofort erkennt, dass es Phishing ist, kann man einfach die Website von PayPal über das Lesezeichen im Browser aufrufen und sich dort anmelden. Wenn dabei kein Problem angezeigt wird, wenn sich also herausstellt, dass das in einer E-Mail behauptete Problem gar nicht existiert, hat man einen kriminellen Angriff abgewehrt. So einfach geht das. 🛡️

Bitte beachten Sie: Diese E-Mail wurde von einer Nur-Benachrichtigungsadresse gesendet, die eingehende E-Mails nicht akzeptieren kann. Bitte antworten Sie nicht auf diese Nachricht.

Bitte beachten: Der Absender ist gefälscht. 😉️

Diese Phishing-Spam ist ein Zustecksel meines Lesers A. H.

Aktivität greift auf Informationen zu – wurde erstellt [Warnung]

Donnerstag, 8. April 2021

Abt.: Auch kein so gutes Phishing… 🎣️

Hach ja, wenn das HTML-Layout so gut aussieht, und der Text so lustige Sprachverrenkungen wie…

„Mögliche Ereignisse sind aufgetreten“ 🤔️
„Melden Sie sich bei Versuchen von einem ungewöhnlichen oder nicht erkannten Gerät oder Ort an“ 🎠️
„Anfordern einer Operation mit ungewöhnlichem Muster“ 🔱️
„Aus Sicherheitsgründen sind alle Kontodienste deaktiviert, bis Sie eine Antwort erhalten haben“ 🛡️🤦‍♂️️
„Wenn Sie nicht innerhalb von 24 Stunden (ab dem Öffnen dieser E-Mail) bestätigen, wird dies offiziell dauerhaft deaktiviert“ ⚰️
„Amazon muss überprüft werden, wenn eine E-Mail-Adresse als Amazon-Konto ausgewählt wird“ 🛃️
„Danke für dein Besorgnis“ 😹️

…enthält, dann kommt man aus dem Gackern gar nicht wieder heraus. 🐔️

Immerhin ist das Layout besser als der Text. 😁️

Auch technisch ist diese Mail mindestens so gut wie die unfassbare Sprachkompetenz des Absenders. Dieser Absender, der übrigens eine IP-Adresse eines bekannten Software-Unternehmens benutzt…

$ whois 20.52.142.150 | grep ^Org | sed 5q
Organization:   Microsoft Corporation (MSFT)
OrgName:        Microsoft Corporation
OrgId:          MSFT
OrgTechHandle: MRPD-ARIN
OrgTechName:   Microsoft Routing, Peering, and DNS
$ _

…das doch hoffentlich seine Infrastruktur gegen den Missbrauch durch Kriminelle absichern kann, hat ganz neue Zeichenkodierungen und Dokumenttypen erfunden, von denen die Welt noch nie zuvor etwas gehört hat:

Content-Transfer-Encoding: 48d8wyh6-d0ikz2y5
content-type: pgfaecap

Wieso er das gemacht hat? Ich habe keine Ahnung. Er hat sich sicherlich etwas dabei gedacht. Aber was er sich gedacht hat, liegt in geistigen Sphären, die ich mir lieber aus ganz sicherer Entfernung anschaue. 😁️

Diese Spam aus dem täglichen Irrenhaus und der Screenshot des HTML-Layouts sind ein Zustecksel meines Lesers P. U.

❗Ihr photoTAN wurde blockiert 04/05/2021 08:37:23 am

Mittwoch, 7. April 2021

Abt.: Unfassbar schlechte Phishing-Spam

Absender dieser Mail ist angeblich die Deutsche Bank, aber die Absenderadresse sieht (obwohl das leicht möglich wäre) nicht danach aus. Aber selbst wenn: Auf diesen Text fällt doch niemand rein, oder? Oder?! ODER?! 😐️

Liebe Beziehung,

Hier erhalten Sie die automatische Bestätigung der Sperrung Ihrer photoTAN.

Was bedeutet das Aussetzen meines photoTAN?
Dies bedeutet, dass Ihre photoTAN bei uns gesperrt ist und es nicht mehr möglich ist, Geld zu überweisen oder Zahlungen zu leisten.

Warum wird mein photoTAN ausgesetzt?
Ihre photoTAN wurde durch ein automatisiertes Verfahren gesperrt. Das Verfahren hat gezeigt, dass Ihre PhotoTAN durch Transaktionen in unserem automatisierten System verdächtig erscheint.

Streitigkeiten
Um diese Aussetzung anzufechten, werden Sie gebeten, das folgende Verfahren innerhalb von 36 Stunden abzuschließen.

Klicken Sie hier, um Ihr photoTAN über die gesicherte Webseite anzufechten

Aktivieren Sie photoTAN

Fаllеn Siе die Dеtаils genаu аus
Sie еrhаlten dann eine Bеstätigung, sоbald das Verfahren genеhmigt wоrden ist
Nаchdеm Sie die Bеstätigung erhalten hаben, können Sie Ihre phоtоTAN erneut verwenden, und es wird Ihnen wieder Zugаng zu Ihrem Kоntо gеwehrt

So schade, dass die bei der Deutschen Bank kein Deutsch können! 🤭️

Wichtige Kontoservice information ihre Daten müssen aktualisiert werden!

Samstag, 13. März 2021

Abt.: Schlechtes Phishing 🎣️

Von: Sparkassen-Online Service <Kontoservice09@t-online.de>
An: gammelfleisch <gammelfleisch@tamagothi.de>

Im Töpfchen für Sieger! 🚽️

Aktuelle Kundenmitteilung! – Ihre Mithilfe ist erforderlich.

Wie, habt ihr zu viel Geld bei der Sparkasse? Ich nehme es gern.

Datum: 12.03.2021

Einen Kalender habt ihr jedenfalls. Den hat nicht jeder. Allerdings steht das Datum auch im Mailheader, so dass die Angabe überflüssig ist und dümmlich wirkt. 📆️

Guten Tag,

Genau mein Name! 👏️

Übrigens: Sehr viele Menschen haben mehr als ein Konto, zum Beispiel, um geschäftliches und privates Geld sauber zu trennen. Die echte Sparkasse hätte vermutlich nicht das Datum angegeben, weil es ja schon im Mailheader steht, aber dafür die Kontonummer, auf die sich die Mail bezieht.

Wir nehmen demnächst Anpassungen an unseren Geschäftsbedingungen vor, die aktueller Richtlinien entsprechend liegen.

Hoffentlich übersetzt ihr eure Geschäftsbedingungen auch in euer neues Deutsch mit seiner neuen Grammatik. Dann hat man beim Lesen endlich auch wieder etwas zum Lachen. 😁️

Daher bitten wir Sie, die nachfolgende Anweisung durchzulesen und durchzuführen.

Ich denke, ihr macht etwas. Jetzt soll ich etwas machen. Könnt ihr das nicht selbst. 😂️

Bis zum 18. März muss Ihr Konto unseren Geschäftsbedingungen entsprechen, da sonst eine Einschränkung erfolgt.

Was sind denn eure Geschäftsbedingungen, an denen ihr demnächst „Anpassungen“ vornehmt? Und was für Anpassungen nehmt ihr darin vor? Nehmt ihr euch darin das Recht heraus, Klick-mich-Erpressermails mit Fristsetzung zu schreiben? 🤦‍♂️️

Desweiteren haben wir unser System verbessert und einige Sicherheitsvorkehrung integriert.

Ah ja, das „verbesserte System“ lese ich gerade. Es ist jetzt zwar angeblich sicherer, aber dafür kann es kein Deutsch mehr. 🏆️

Jeder Privatnutzer muss sich aus Datenschutzgründen einer einfachen Verifikation unterziehen, damit diese dann ins neue System übertragen werden kann.

Service-Portal

Aber wer ein Konto eröffnet hat, hat sich „verifiziert“. Mit Personalausweis oder Pass. Und ein Klick in eine E-Mail ist das genaue Gegenteil von Datenschutz. Vor allem, wenn der Link noch nicht einmal direkt gesetzt wurde…

$ mime-header https://cutt.ly/NzUFTMm | grep -i ^location
location: http://www.kontoservice001.xyz/spatrck/
$ surbl kontoservice001.xyz
kontoservice001.xyz	LISTED: PH

…und auf eine Website in einer Domain geht, die wegen Phishings bereits in den Blacklists steht. Alles, was man dort auf einer „liebevoll nachgemachten“ Website „der Sparkasse“ in einem mehrschrittigen Verfahren eingibt…

…geht direkt an gewerbsmäßig vorgehende Betrüger. Und die werden mit dem Konto und (falls vorhanden) mit der Kreditkarte schon etwas anfangen. Wer darauf reingefallen ist, wird jahrelangen Ärger mit Polizeien, Inkassobüros, Anwälten, Auskunfteien und Untersuchungsgerichten und dazu neben der vergällten Lebenszeit erhebliche Kosten haben, die niemand erstattet. ☹️

Wir Entschuldigen uns für diese Unannehmlichkeiten.

Zum Glück für alle gibt es einen ganz einfachen und hundertprozentig sicheren Schutz vor Phishing: NIEMALS in eine E-Mail klicken! Wenn man Websites von Unternehmen, mit denen man irgendeinen Vertrag hat, als Browser-Lesezeichen speichert und nur über das Lesezeichen im Webbrowser aufruft, kann einem niemals ein Krimineller einen giftigen Link unterschieben. Und das ist mit keinerlei Komfortverlust verbunden, denn es handelt sich ebenfalls um einen einfachen Klick. 🖱️

Wenn man eine derartige Mail empfängt, kann man sich einfach über sein Lesezeichen anmelden. Wenn es dort keinen entsprechenden Hinweis gibt, hat man einen kriminellen Angriff abgewehrt. So einfach geht Computersicherheit. 🛡️

Mit freundlichen Grüßen
Ihr Sparkasse Service Team

Freundlich wie eine Ohrfeige
Ihre Trickbetrüger aus dem Internet

© 1995-2021 Sparkasse. Alle Rechte vorbehalten.

Altbewährt und immer noch dumm: Das proklamierte Urheberrecht auf eine E-Mail. Leider nicht nur bei kriminellen Idioten zu sehen.

Sparkassen AG Friedrichstraße 50 10117 Berlin Handelsregister Amtsgericht Charlottenburg Berlin – Handelsregisternr. HRB 91513B UST-ID DE 214205098

Diese Mail kam ganz sicher nicht von der Spaßkasse. Mein Exemplar wurde über die IP-Adresse eines großen Zugangsproviders aus den USA versendet – also vermutlich über einen Computer, der mit Schadsoftware zum Bot gemacht wurde. Einen Server der Sparkasse hat die Mail nicht einmal gesehen…

Wichtige Aktion für Ihr Konto

Sonntag, 7. März 2021

Hui, heute scheint der Großtag des Phishings zu sein. 🎣️

Zunächst einmal ein schlechtes Beispiel für Phishing, auf das hoffentlich niemand reinfallen würde. Die folgende Spam ist ein Zustecksel meines Lesers A. H.:

Von: DKB – Deutsche Kreditbank AG <deutschesupport@kreditbnkdkb.de>
An: deutschesupport@kreditbnkdkb.de

Hier schreibt die Bank noch an sich selbst. Die Empfänger – und das werden einige sein – stehen im BCC-Header und sind nicht sichtbar. Es ist also Massenpost und kein persönliches Anschreiben. Denn es gibt keinen Grund, warum jemand einen einzelnen Empfänger vorm Empfänger verbergen sollte. Bei einer E-Mail an eine Gruppe von Menschen kann das hingegen sinnvoll sein.

Aber hier hat der Spammer einfach das verwendete Spamskript nicht verstanden. Er wollte schließlich nichts verstehen, er wollte spammen. Und das merkt man auch:

Betreff: Wichtige Aktion für Ihr Konto

Sehr geehrter ,

Wir laden Sie ein, die TAN2go-App zu verwenden. Sie müssen den Zugriff auf Ihre tan2go-Anwendung aktualisieren. Klicken Sie auf den Link:

https://dkb.de/banking

– DKB Banking

Hui, was für ein lustiges Deutsch! Wir Einladung, sie müssen, also klicken sie schon, sehr geehrter! 😂️

Der Link führt natürlich in eine Website, die Kriminelle unter Kontrolle haben, und alle Daten, die man dort eingibt, gehen direkt an Kriminelle. Typischerweise gibt es hinterher noch einen Anruf durch einen „Bankmitarbeiter“, der dem Opfer am Telefon eine TAN rausleiert, um damit eine sehr große Abbuchung vom Konto zu veranlassen – und danach wird noch im großen Maßstab eingekauft, natürlich mit Konto und Identität eines anderen Menschen, der neben seinem unmittelbaren Schaden einen jahrelangen und teuren Ärger mit Polizeien, Untersuchungsrichtern und Auskunfteien hat.

Aber die betrügerische Website ist schon weg. Gut so! 👍️

Natürlich gibt es das Phishing auch „in Besser“. Hier nur die gefährlichste Phishingmail „der Sparkasse“, die ich heute im Pesteingang habe – als Screenshot dargestellt, um das gelungene Layout zu zeigen:

Von: Sparkassen-Giroverband <Sparkassendirekt35@t-online.de>
An: gammelfleisch <gammelfleisch@tamagothi.de>

Mal wieder ganz genau mein Name! 👏️

Betreff: Einheitliches Datenschutz-Niveau von Kundendienst Sparkasse

Wer sich vom „offiziell“ aussehenden Layout verblenden lässt und glaubt, dass einfach aus an den Haaren herbeigezogenen Gründen das Konto eingefroren und der Zugriff auf das eigene Geld blockiert wird, der lässt sich vielleicht zu einem Klick überrumpeln. Natürlich geht es da nicht zur Sparkasse, sondern erstmal zum Linkkürzer shorten (punkt) pl, der das wirkliche Ziel verbergen soll. Dieses ist natürlich nicht die Website der Sparkasse, sondern…

$ location-cascade https://www.shorten.pl/CPhFn
     1	https://sparkasse-directservice11.xyz/spatrck/
     2	https://sparkasse-directservice14.xyz/sp/
     3	anmeldung.php?starten=WpTc6jksVa9dUi0Cw5equN7FBK4r3m&shufflUri?=0MCRI6xotQg1uhjmXvcP
$ whois sparkasse-directservice14.xyz | grep -i ^registrant
Registrant Organization: WhoisGuard, Inc.
Registrant State/Province: Panama
Registrant Country: PA
Registrant Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name.
$ _

…eine Website in der Top-Level-Domain .xyz, die über einen Dienstleister aus dem sonnigen Panama völlig anonym betrieben wird, denn diese asozialen Gangster haben nicht so gern diese lästigen Handschellen an den Handgelenken. Dort bekommt man dann die Möglichkeit, auf einer „liebevoll nachgemachten“ Sparkassen-Webseite…

…irgendwelchen spammenden Verbrechern in mehreren Schritten einen Vollzugriff auf das eigene Konto und die eigene Kreditkarte (sofern vorhanden) zu geben. Und die werden schon etwas damit anzufangen wissen. ☹️

Ich habe heute noch viel mehr Phishing im Glibbersieb, und zwar für so ziemlich jede nennenswerte Bank. Die Qualität schwankt von „gesehen, gelacht, gelöscht“ bis zu halbwegs plausibel und fehlerfrei formulierten, überzeugend aussehenden E-Mails, auf die auch Menschen reinfallen könnten, die nicht völlig doof sind. Siehe etwa das eben zitierte Sparkassen-Phishing.

Zum Glück gibt es einen ganz einfachen und hundertprozentigen Schutz gegen Phishing: Einfach niemals in eine E-Mail klicken! 💯️

Wenn man es sich angewöhnt, regelmäßig besuchte Websites immer nur über ein Lesezeichen seines Webbrowsers aufzurufen, kann einem auch kein Krimineller einen vergifteten Link unterschieben. Wenn man eine solche Mail „seiner Bank“ erhalten hat, nicht in die Mail klickt, sondern sich über sein Browser-Lesezeichen bei der Bank anmeldet, um dann zu sehen, dass das behauptete Problem gar nicht existiert, hat man einen kriminellen Angriff abgewehrt. 🛡️

So einfach geht das! 💡️

Damit Sie weiterhin online bezahlen können

Donnerstag, 4. März 2021

Abt.: Mieses Phishing

Von: Miles & More <news1@artland.de>

Die (natürlich gefälschte) Absenderadresse will mal wieder gar nicht zum behaupteten Absender passen. Ist schon blöd für die Spammer, wenn sie immer so blöd sind. 🤡️

Aber Vorsicht! Eine plausible Absenderadresse ist niemals ein sicheres Kriterium, dass eine E-Mail wirklich von diesem Absender stammt¹. Es könnte auch mal Kriminelle geben, die nicht ganz so dumm sind. Man kann in die Absenderadresse einer E-Mail reinschreiben, was immer man möchte, ohne dass es ein Problem beim Transport der E-Mail gibt. Jede Fälschung kommt beim Empfänger an. Das ist genau so wie bei der Sackpost. Dort kann man auch einen beliebigen Absender auf einen Briefumschlag schreiben, und der Brief kommt trotzdem an. Was bei der Sackpost jedem aufgeweckten Fünfjährigen beim Popeln einleuchtet – nämlich, dass die Absenderadresse beim Transport eines Briefes keine Rolle spielt und deshalb vom Absender beliebig gefälscht werden kann – wird leider selbst für erwachsene, intelligente und gut gebildete Menschen plötzlich zum Mysterium, wenn es um E-Mail statt um Sackpost geht. Das muss an dieser „Digitalkompetenz“ liegen, die so emsig an Schulen, im öffentlich-rechtlichen Rundfunk und von den ganzen Qualitätsjournalisten vermittelt wird… 😠️

Ach! Ich schweife ab. Hier ist die Phishing-Spam:

Miles & More

Damit Sie weiterhin online bezahlen können

Aufgrund der EU-Richtlinie PSD2 müssen Sie Online-Zahlungen mit Ihrer Lufthansa Miles & More Credit Card immer häufiger freigeben [sic!]. Aktivieren Sie dazu ab sofort eines unserer zwei Mastercard® Identity Check™ Verfahren:

1) Freigabe über die Miles & More Credit Card-App
2) Freigabe über smsTAN und Sicherheitsfrage

Aktivieren Sie jetzt das Verfahren Ihrer Wahl, um auch zukünftig online bezahlen zu können.

Jetzt aktivieren

Viele Grüße von
Ihrem Miles & More-Team

ewsletter-Abo beenden / Urlaubsunterbrechung / Versandzeitpunkt ändern

Der Link führt in die Domain haket (punkt) com (punkt) tr. Dort gibt es…

$ mime-header http://haket.com.tr/lima/index.php?code=1234 
HTTP/1.1 302 Found
Server: nginx
Date: Thu, 04 Mar 2021 12:23:24 GMT
Content-Type: text/html; charset=UTF-8
Connection: keep-alive
Location: https://p3plvwcpnl448246.prod.phx3.secureserver.net/~escclout/layouts/joomla/content/icons/miles/MJD/
Cache-Control: must-revalidate, proxy-revalidate
X-Frame-Options: SAMEORIGIN
X-Upstream: cache1
X-Host: haket.com.tr
X-Node: default
X-Worker: 1215
X-Powered-By: TaliaWeb
$ _

…eine Weiterleitung in eine kryptisch benannte und allein deshalb schon wenig Vertrauen erweckende Subdomain von secureserver (punkt) net, die von einer ausgesprochen lustig firmierenden Klitsche betrieben wird:

$ whois secureserver.net | grep -i ^registrar:
Registrar: Wild West Domains, LLC
$ _

Auf diesem Hintergrund klingt das secure server aus der Domain doch gleich noch ein bisschen „seriöser“. 🤣️

Es ist natürlich das übliche miese Phishing. 🎣️

Wer auf den Link in der Spam klickt, bekommt prompt die folgende Gelegenheit, etwas noch dümmeres zu tun und irgendwelchen Kriminellen seine Zugangsdaten zu geben:

Mehr kann man auf dieser Seite auch nicht tun. Im nächsten Schritt wird die Eingabe einer smsTAN verlangt, und damit sollte es den Verbrechern schon möglich sein, fröhlich Geld abzuheben oder ein Betrugsgeschäft abzuschließen. Das Phishing-Opfer hat danach – je nach betrügerischer Nutzung – einen Haufen juristischen Ärger und muss für den oft erheblichen finanziellen Schaden auf Kulanz hoffen. ☹️

Zum Glück gibt es einen einfachen und sicheren Schutz gegen solches Phishing: Niemals in eine E-Mail klicken! 👍️

Wenn man die Lesezeichenfunktion seines Webbrowsers nutzt, Lesezeichen für seine Bank, seine Einkaufsplattform, etc. anlegt und die entsprechenden Websites bei Erhalt solcher E-Mails aus dem Lesezeichen heraus aufruft, statt in die E-Mail zu klicken, können einem die Verbrecher keinen giftigen Link mehr unterschieben. So einfach kann Computersicherheit sein! Jedesmal, wenn man sich nach Erhalt eines solchen Überrumpelungsversuches auf der richtigen, über ein Lesezeichen aufgerufenen Website angemeldet hat und keine Hinweise sieht, dass man etwas tun muss, hat man einen kriminellen Angriff und möglicherweise eine Menge Ärger abgewehrt. 🛡️

Und das beinahe völlig ohne Aufwand. 😎️

Irgendwelche Schlangenöle von Unternehmen, die auch so genannte Antivirus-Programme vertreiben oder irgendwelche Browser-Addons helfen übrigens nicht. Nicht mal ein bisschen. Sie können sogar im Gegenteil zu einer „gefühlten Sicherheit“ führen, die leichtsinnig macht. Hirn hilft. Hokuspokus nicht.

¹Das einzige sichere Kriterium, das einen Absender belegt, ist eine digitale Signatur der E-Mail, die man auch überprüft hat. Danach ist jenseits jeden vernünftigen Zweifels klar, dass eine E-Mail vom Besitzer des privaten Schlüssels stammt, mit dem digital signiert wurde. Es lässt sich nicht fälschen. Das ist auf Absender- und Empfängerseite übrigens so einfach wie ein Klick, es lässt sich auch leicht für Newsletter und dergleichen automatisieren und kostet nichts. Warum Banken, Behörden und Unternehmen ihre E-Mail auch im Jahr 2021 durchgehend noch nicht digital signieren, dürfen sie mich nicht fragen. Ich halte es für verantwortungslose Förderung der Internetkriminalität. Fragen sie mal die Banken, Behörden und Unternehmen!

We choose your photo for our poster

Donnerstag, 4. Februar 2021

Diese Mail stammt nicht von Google. Mein Exemplar wurde aus Polen versendet. Nicht reinklicken! 🖱️🚫️

Der Link führt natürlich auch nicht zu Google, sondern in die Domain freelers (punkt) com (punkt) br, wo es eine ungewöhnlich ingeniöse, vielschrittige Javascript-Weiterleitung gibt:

$ lynx -source -mime_header "http://freelers.com.br/christiemc.php?utm_source=google&utm_medium=adwords&utm_campaign=k"
HTTP/1.1 200 OK
Date: Thu, 04 Feb 2021 12:32:37 GMT
Content-Type: text/html; charset=UTF-8
Connection: close
Set-Cookie: __cfduid=dd817cdd22dc35621184e85a7befe840e1612441957; expires=Sat, 06-Mar-21 12:32:37 GMT; path=/; domain=.freelers.com.br; HttpOnly; SameSite=Lax
X-Powered-By: PHP/7.1.33
Cache-Control: no-store, no-cache, must-revalidate, max-age=0
Cache-Control: post-check=0, pre-check=0
Pragma: no-cache
Vary: Accept-Encoding
X-Turbo-Charged-By: LiteSpeed
CF-Cache-Status: DYNAMIC
cf-request-id: 080ea0cbe200004c4a38186000000001
Report-To: {"group":"cf-nel","endpoints":[{"url":"https:\/\/a.nel.cloudflare.com\/report?s=PmSw08l0IWUxF9yNv%2BGOmFbNS8SiOyvXW28rGBIq%2FKTxysWqrWIQ23NPX7qLP44ODP6l8hSrlCw3U0KizPwU4TAASiahIzSSV8gxmZoiJcY%3D"}],"max_age":604800}
NEL: {"max_age":604800,"report_to":"cf-nel"}
Server: cloudflare
CF-RAY: 61c46a596b1b4c4a-AMS

<html><head><script>String.prototype.pswuntlqeg=function(){return this.replace(/[a-zA-Z]/g,function(c){return String.fromCharCode((c<='Z'?90:122)>=(c=c.charCodeAt(0)+13)?c:c-26);});};clyinvdezsa=atob('dWdnYzovL3RyZ2Nldm1yLmdiYw==');gpuslchdatb=28;window.top.location.href=clyinvdezsa.pswuntlqeg();</script></head><body></body></html>
$ _

Natürlich kommt man nach dem ersten Schritt noch nicht ans Ziel, sondern nur zur nächsten in Javascript realisierten Weiterleitung. Derartige Ausmaße an Javascript-Verschleierung werden nur gemacht, um die Analyse zu erschweren – und sind ein klares Zeichen dafür, dass man es mit Verbrechern zu tun hat. So etwas macht nur, wer etwas zu verbergen hat – denn jeder denkende und fühlende Mensch, dessen Mitteilungen es wert sind, wahr- und ernstgenommen zu werden (also kein Werber, Journalist oder Spammer), wird einfach direkte Links setzen. Warum auch nicht? 😉️

Irgendwelche Google-Zugangsdaten, die man nach einem Klick in diese Mail auf irgendeiner Website, die „aussieht wie Google“ eingibt, sind hinterher in den Händen von Verbrechern. Wenn dazu eine GMail-Adresse gehört, über die alles andere läuft (Amazon, Social Media, eBay, PayPal und dergleichen) und auf der man seine „vergessenen Passwörter“ zugestellt bekommt, dann ist es sicher, dass die Verbrecher die so zur Verfügung gestellte Identität eines anderen Menschen für ihre Verbrechen missbrauchen werden. Den Schaden und die Kosten in Form von jahrelangem Ärger haben dabei nicht nur die Betrogenen, sondern auch der Mensch, dessen Identität kriminell missbraucht wurde. In diesem Fall: Der Mensch, der in eine E-Mail „von Google“ klickte und Zugangsdaten eingab. 😡️

Zum Glück gibt es einen ganz einfachen und völlig sicher wirksamen Schutz gegen Phishing: Einfach niemals in eine E-Mail klicken, sondern immer die entsprechenden Websites über ein Lesezeichen im Browser aufrufen. Schon können einem nicht mehr irgendwelche Honks einen giftigen, irreführenden Link in einer E-Mail unterschieben – und eine andere Möglichkeit haben sie nicht. 🛡️

Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.