Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Kategoriearchiv „Phishing“

Ihre_Sparkasse

Montag, 22. Juni 2020

Abt.: Schlecht gemachtes Phishing 🎣

Nein, diese Mail kommt nicht von der Sparkasse. Weil der Spammer ziemlich doof ist, sieht man das sogar schon…

Von: Service-Portal <assistance@appwala.com>

…an seiner Absenderadresse, die aus einer völlig anderen Domain kommt. Das ist ziemlich dumm, denn dieser Absender ist gefälscht. 🤦

Und, was schreibt der dumme Spammer?

Sehr geehrter Kunde,

Genau mein Name! 👏

Die echte Spaßkasse würde mich nicht nur namentlich ansprechen, sondern sogar noch erwähnen, auf welche Kontonummer sich ihre Mitteilung bezieht. Ein erheblicher Anteil der Kunden hat mehr als ein Konto, etwa, um die Privatkasse und das Geld aus selbstständiger geschäftlicher Tätigkeit sauber voneinander zu trennen.

Laufgrund […]

🏃

[…] der aktuellen Situation mit dem Virus empfiehlt Sparkasse Ihnen, zu Hause zu bleiben und alle Bankgeschäfte sicher online im Internet durchzuführen. Es ist auch sehr wichtig, dass Sparkasse immer aktuelle Informationen hat und Sie im richtigen Moment kontaktieren kann. Wir empfehlen Ihnen dringend, die aktuellen Kontaktdaten und sonstigen Daten zu aktualisieren und zu bestätigen, indem Sie auf die Schaltfläche unten klicken.
Aktualisieren

Aber Sparkasse hat doch meine Mailadresse und kann mich kontaktieren. :mrgreen:

Wer auf dem Link klickt, landet natürlich nicht bei der Spaßkasse, sondern bei einer „liebevoll“ nachgemachten Website, auf der man sich erst anmelden kann, um anschließend sämtliche Daten noch einmal einzugeben, die der Spaßkasse schon längst bekannt sind. Alle Eingaben landen direkt bei Betrügern. Deshalb klickt man ja auch nicht in eine E-Mail, sondern ruft Websites über ein Lesezeichen im Webbrowser auf. 🛡️

Mit freundlichen grüßen
Ihre Sparkasse.

👋

© 2020 Dies ist eine automatisch generierte Nachricht bitte antworten Sie nicht an diese E-mail-Adresse.

Stimmt, die Spam wurde automatisch generiert. Und zwar millionenfach. 🖱️

Herzallerliebst die Deklaration eines Copyrights ohne Angabe des „geistigen Eigentümers“. Fast so wertvoll wie ein kleines Steak. 🤡

Dringend: Sie verlieren tamagothi.de auf 15.06.2020

Montag, 15. Juni 2020

Diese Phishing-Spam ist ein Zustecksel meines Lesers M. T., und ursprünglich stand eine von ihm benutzte und bei Strato gehostete Domain im Betreff. Ich möchte diese Domain hier nicht nennen, um sie nicht mit Spam in Verbindung zu bringen.

Diese E-Mail ist nicht von Strato! Es ist Phishing. 🎣

Auf keinen Fall darauf reinfallen! Nicht in die Mail klicken! Wer darauf reingefallen ist: Sofort Kreditkarte sperren lassen und Strafanzeige erstatten, um weitere Schäden zu verhindern!

Von: Strato AG <info@kabriaa.me>

Aha, die „Strato AG“ benutzt für ihre E-Mail-Adressen nicht ihre eigene Domain? Ich meine ja nur, Spammer, wenn du schon den Absender fälschst, dann könntest du es eigentlich auch gut und überzeugend machen… ach, wenn du dir Mühe geben wolltest, dann könntest du ja auch gleich arbeiten gehen, ich verstehe! 🤡

Sehr geehrter Kunde,

Genau mein Name! 👏

Natürlich würde ein Unternehmen wie Strato seine Kunden persönlich ansprechen.

Wir informieren Sie darüber, dass Ihr Konto aufgrund einer
Verlängerungsbenachrichtigung vorübergehend gesperrt wurde.

Häh? 😂

Vorübergehend gesperrt weil über eine Verlängerung benachrichtigt wurde? Das ist ja mal eine interessante „Begründung“.

Unser Abrechnungssystem hat festgestellt, dass dieser Dienst abgelaufen und nicht erneuert ist.

Aber so ein intelligentes Abrechnungssystem! 🤖

Und, um was geht es überhaupt?

– Domain Namens: tamagothi.de

Ach, um meine Domainnamens geht es. Bei Stratodingens. 😂

Von hier aus zu erneuern: https://strato.de/rechnung/tamagothi.de

Dieser Link führt nicht zur Website von Strato. Die E-Mail sieht zwar wie eine Textmail aus, ist aber in Wirklichkeit eine HTML-Mail. Die scheinbare URL ist nur ein Linktext, und der Link führt in Wirklichkeit in die Domain renew (punkt) 2020orbust (punkt) org. Wer eine gute Mailsoftware benutzt, wird beim Klick auf einen derartigen Link deutlich gewarnt:

Widersprüchlicher Link entdeckt -- Der aufgerufene Link gehört zu einer anderen Seite, als der Link-Text vermuten lässt. Dies wird manchmal verwendet um aufzuzeichnen, ob Sie den Link geöffnet haben. Es könnte sich aber auch um Betrug handeln. -- Der Link-Text zeigte eine Verlinkung von strato.de an, aber renew.2020orbust.org wird abgerufen. -- [renew.2020orbust.com trotzdem aufrufen] -- [Cancel] -- [strato.de aufrufen]

Wer seine E-Mail im Webbrowser macht, muss auf solche Sicherheitsnetze verzichten. Ohne jede Warnung gibt es nach dem Klick eine „liebevoll“ nachgemachte Strato-Seite, auf der man sich in drei Schritten datennackt machen soll:

  1. Die Login-Daten für Strato. Damit stellt man Verbrechern und Betrügern eine Website anderer Leute und Mailadressen in der Domain anderer Leute zur Verfügung, die für Betrugsgeschäfte benutzt werden. Wenn die Kriminalpolizei schließlich ermittelt, gerät man als Domainbesitzer selbst unter Tatverdacht – und außerdem dürften sich schnell eine Menge zivilrechtlicher Ansprüche ansammeln. Die Betrüger bleiben hingegen in Sicherheit. Wer nur diesen einen Schritt gemacht hat, muss bereits unbedingt handeln und mindestens durch eine Änderung seines Passwortes dafür sorgen, dass die Domain nicht missbraucht werden kann.
  2. Name, Anschrift, Telefon, Geburtsdatum und weitere persönliche Angaben. Diese Daten werden für Identitätsmissbrauch in Betrugsgeschäften verwendet, und man hat jahrelang Ärger damit.
  3. Kreditkartendaten. Wer diese eingibt, stellt Betrügern sein Bankkonto zur Verfügung, und diese geben gern das Geld anderer Leute aus.

Das ist eine Menge Ärger, wenn man mal einen kurzen Moment unvorsichtig war. 🙁

Aber zum Glück gibt es ein einfaches und hundertprozentig wirksames Mittel gegen Phishing und den damit verbundenen teuren und zeitraubenden Ärger: Einfach niemals in eine E-Mail klicken. Dann solange man nicht in eine E-Mail klickt, kann einem kein Betrüger so leicht einen vergifteten Link unterschieben. Wer sich nach dem „Genuss“ dieser E-Mail ganz normal bei Strato angemeldet hat, ohne dazu in diese Mail zu klicken – die Webbrowser haben diese praktischen Lesezeichen – wird sofort bemerkt haben, dass das in der E-Mail behauptete Problem gar nicht existiert, denn sonst würde er ja darauf hingewiesen. Und damit wurde ein Betrugsversuch erfolgreich abgewehrt. 👍

Bei Nichtzahlung oder Unkenntnis werden Ihre Dienste innerhalb eines Zeitraums vollständig eingestellt 48 Stunden gemäß den in unseren Verträgen festgelegten Bedingungen.

Und damit auch die richtige Panik aufkommt und auf den Giftlink geklickt wird, gibt es eine sittenwidrig kurze Frist von zwei Tagen. Je panischer das Opfer, desto erfolgreicher der Betrug.

Mit freundlichen Grüßen

Kerstin Schröder
STRATO Customer Care

Kontakt: www.strato.de/faq
Website: www.strato.de

STRATO AG
Pascalstraße 10
10587 Berlin, Germany

Wie schon gesagt: Strato hat mit dieser Spam nichts zu tun. Es handelt sich um Phishing. Ich kann meine Briefe auch mit „Norbert Weihnachtsmann“ unterschreiben und einen falschen Absender auf den Umschlag schreiben. 🎅

Allerdings empfehle ich Strato dringend, seine Kunden auf die laufende Phishing-Welle deutlich hinzuweisen und einen klaren Hinweis auf der Startseite der Strato-Website und auf der Kunden-Login-Seite zu platzieren. Diese Maßnahme kann erhebliche Schäden bei Strato-Kunden verhindern. Ja, ich weiß, dass das nicht so schön aussieht, wenn man seinen Leistungskatalog anpreist und dazu steht eine Warnung, die gar nicht bunt und flutsch und hyper-hyper (würg!) aussieht. Aber wenn man seine Kunden in Stich lässt, sieht das halt auch nicht so schön aus. Zurzeit gibt es auf der Strato-Website nicht einmal einen derartigen Hinweis, wenn man sich dazu bequemt, die ganze Reklame durchzuscrollen und den Link auf „Allgemeine Infos – Sicherheit“ zu klicken, und dort wäre der Hinweis schon sehr versteckt und würde kaum gefunden. Manchmal sind Werber sehr schlechte Berater… 🙁

Ach ja, apropos H.P. Baxxter:mrgreen:

Nachtrag: Inzwischen hat Strato einen entsprechenden Hinweis auf seiner Website, zwar etwas in den FAQ versteckt, aber immerhin überhaupt. Screenshot. 😉

Weiterer Nachtrag: Strato stellt zurzeit die E-Mails mit dem giftigen Link nicht mehr an eine bei Strato gehostete Mailadresse zu. Das ist eine sehr wirksame Maßnahme, die ich so noch nie bei einem großen Hoster erlebt habe. Dafür hat sich Strato ein Lob verdient. 👍

Wichtige Konto information, wir benötigen ihre Hilfe

Donnerstag, 4. Juni 2020

Abt.: Schlechtes Phishing

Von: <Paypal-Scal.de> <info@vxcfvdfvfds.de>

Hier fängt die Heiterkeit ja schon beim Betrachten des (gefälschten) Absenders an. Eine Domain, die aussieht, als sei die Katze mal über die Tastatur gegangen, soll jetzt also „PayPal“ sein? Und dann diese herrliche Idee, einfach den Namen ebenfalls in eckigen Klammern anzugeben, damit man ihn mit der Absenderadresse verwechselt. Das muss ein richtig pfiffiger Intelligenzallergiker sein! 🐒

An: gammelfleisch <gammelfleisch@tamagothi.de>

Im Töpfchen für Sieger! 🏆

Dieser Müll geht an jede Mailadresse, die man irgendwie im Web einsammeln kann, also auch an meine Kontaktadresse für Linktausch-Angebote und unseriöse Geschäftsvorschläge, die als einzige Mailadresse im Impressum dieses Blogs ganz direkt mit einem Harvester-Skript ausgelesen werden kann. 💩

Kundenmitteilung – Ihre Eingabe ist erforderlich.

Ja, eine E-Mail ist eine Mitteilung. Das hat der Spammer in einem kurzen Lichtblick in seinem Gehirnchen ganz richtig erkannt! 💡

Datum: 03.06.2020

Ja, gestern war der dritte Juni. Auch das ist ganz richtig. Und damit haben sich die richtigen Angaben in dieser Spam auch schon erschöpft. 🗓️

Sehr geehrte Damen und Herren,

Aber ganz genau mein Name! 👍

Angesichts eines kürzlichen Systemwechsels wollen wir die Kontodaten unserer Kunden überprüfen. Gehen Sie die Schritte auf unserer Website durch, zu der Sie durch Anklicken der Schaltfläche unten gelangen.

Aha! Was für einen „Systemwechsel“ meint ihr denn? Seid ihr von Windows auf CP/M umgestiegen? Das würde auch diese ganz besondere Performance der PayPal-Website ein bisschen erklären. 🐌

Ach egal, ich soll klicki-klicki in eine Spam klicken und Eingaben auf einer Website machen, die mir ein Spammer verlinkt hat. Es wäre zwar extrem dumm, dafür in eine Spam zu klicken, statt PayPal über ein Lesezeichen aufzurufen (und dabei zu bemerken, dass neben dem Datum nichts aus den Behauptungen in dieser Spam stimmt), aber damit ich so dumm werde…

Falls Sie nicht antworten, entstehen Ihnen möglicherweise Bearbeitungskosten, welche aus einer manuellen Prüfung mit dem PostIdent-Verfahren resultieren.

…werden mir Kosten in Aussicht gestellt, wenn ich nicht dumm bin. 💸

Ich wills mal so sagen: In Wirklichkeit ist es umgekehrt. Dummheit wird teuer. Deshalb klickt man ja auch nicht und niemals in eine E-Mail, sondern benutzt immer und ausnahmslos ein Lesezeichen in seinem Webbrowser. Das ist genau so bequem, einfach und mausklick. Und kein Betrüger kann einem mehr mit so einer Spam einen Dreckslink auf eine Phishing-Website unterjubeln. 🖱️

Diese ganz einfachste Maßnahme ist der wirksamste Schutz gegen Phishing. Selbst, wenn die Spam mal viel besser sein sollte. Macht das einfach! 😉

Und macht nicht so etwas:

Klicken Sie dafür auf den unten stehenden Button und befolgen Sie die notwendigen Schritte. Geben Sie dabei Ihre Daten vollständig und korrekt an.

Zum Benutzerlogin

Natürlich ist der Link nicht direkt gesetzt, es ist ja eine Spam. Er führt nach einer kleinen Kaskade von Umleitungen über teilweise russische Domains…

$ location-cascade http://bit.do/fFKTM
     1	http://www.bulletkrug.ru//P4pAyl54
     2	http://www.bulletkrug.ru/P4pAyl54/
     3	https://pp-prozess-vorgang.net/?t=39UkcNIykAKxippxykHPyOsIVg3NoJ6s
     4	https://pp-prozess-vorgang.net/?4Q3TkgVIrgc0nY3w1CiagDNdOODTrHLW5T0N6CYD5XtlzVggafBxrrxpVVQIYhN728Frq7qOP9UyArdCtAma3utol7kWRQjvf1SppyOJoDMEVVDX7nbwemab40JdcalW&s=6vs3ag35iov7k7q08n6ajj6fu1&s=6vs3ag35iov7k7q08n6ajj6fu1
$ _

…nicht etwa zur Website in der Domain von PayPal, sondern auf irgendeine Domain mit Vorgangs-Prozessen oder Prozess-Vorgängen, wenn nicht gar zu einem Verfahren, Ablauf oder Workflow. Die Idioten, die sich solche Domains ausdenken, hätten also noch viele Domains frei, wenn sie in Zukunft nicht nur doppelt gemoppelt sein wollten, sondern einfach dreifach Spezialfach. 🎓

Am Ende landet man dann auf einer Website im „liebevoll“ kopierten PayPal-Design, auf der man genau die Daten noch einmal eingeben soll, die PayPal schon längst kennt, ganz so, als ob PayPal sie vergessen hätte und nicht wüsste, was eine Datensicherung ist – nur, dass sie diesmal bei Betrügern landen. 💩

Ich hätte den Missbrauch jetzt gern an den URL-Kürzer bit (punkt) do gemeldet, aber leider muss ich dafür ein Webformular benutzen. Und wenn ich dieses Webformular absende, gibt es einen „Internal Server Error“, weil diese zertifizierten Blitzbirnen von Anbietern eines Webdienstes zur URL-Kürzung nicht dazu imstande sind, eine fehlerfreie Website zu machen. Aber vielleicht wollen sie auch nicht immer diese lästige Post von Leuten, die nur Arbeit machen. 🛠️

Aber Verbrecher freuen sich halt drüber. Ich glaube, bit (punkt) do kann schon mal auf die Blacklist. 🗑️

Mit Freundlichen Grüßen
Ihr Paypal Team
.

Freundlich wie eine Ohrfeige
Dein Phishing-Spammer
Mit sinnlosem Punkt unter der Grußformel

Wichtige information

Samstag, 30. Mai 2020

Abt.: Ganz schlechtes Phishing

Obwohl diese Phishingspam wirklich nicht gut gemacht ist und in ihrer Einheit aus Stil und Sprache für große Heiterkeit bei mir gesorgt hat, halte ich sie für gefährlich, da sie auch durch empfindlich eingestellte Spamfilter hindurchkommt. Deshalb vorab ganz deutlich: Nein, diese E-Mail kommt nicht von der Sparkasse.

Von: Ihre_Sparkasse <assist@vitamind310000.com>

Der Absender hat sich nicht die Mühe gegeben, seine gefälschte Absenderadresse so zu fälschen¹, dass es wenigstens ein bisschen danach aussieht, als käme diese Spam von der Sparkasse. So ist sofort klar, dass es eine Spar von der Spamkasse ist – und einfach ungelesen gelöscht werden kann. 🛑

Den meisten Menschen war das schon beim Betreff klar. Denn denkende und fühlende Wesen schreiben in einem Betreff nicht 🚨WICHTIG!🚨 rein, sondern machen klar, um was es in der E-Mail geht. 😉

Spätestens der Text dieser Spam sollte klar machen, dass hier nicht die Sparkasse schreibt, denn dort können die Menschen Deutsch und klingen nicht wie ein Clown nach der Inhalation von Lachgas. 🤡

Sehr geehrter Kunde,,
Aufgrund der aktuellen Situation mit dem Coronavirus empfiehlt Sparkasse Ihnen, zu Hause zu bleiben und alle Bankgeschäfte sicher online im Internet durchzuführen. Es ist auch sehr wichtig, dass Sparkasse immer aktuelle Informationen hat und Sie im richtigen Moment kontaktieren kann. Wir empfehlen Ihnen dringend, die aktuellen Kontaktdaten und sonstigen Daten zu aktualisieren und zu bestätigen, indem Sie auf die Schaltfläche unten klicken.
Daten zu aktualisieren
Mit freundlichen Grüßen, Ihre Sparkasse.
© © 2020 Sparkassen-Finanzportal

Einmal ganz davon abgesehen, dass die richtige Sparkasse schreiben würde, um welches Konto es sich handelt. Denn sehr viele ihrer Kunden unterhalten mehr als ein Konto, etwa, um Einkünfte aus selbstständiger Tätigkeit sauber von ihrem Privatkram zu trennen.

Der Link aus der Spam führt natürlich nicht zur Sparkasse, sondern in eine Website in einer obskuren Domain, wo es nichts als eine Weiterleitung…

$ mime-header https://kundenportal.page.link/die_sparkasse
HTTP/2 302 
content-type: application/binary
cache-control: no-cache, no-store, max-age=0, must-revalidate
pragma: no-cache
expires: Mon, 01 Jan 1990 00:00:00 GMT
date: Sat, 30 May 2020 11:46:49 GMT
location: https://sparkassen-finanzportal.top/prufen/private/data
content-length: 0
content-security-policy: script-src ‚nonce-VyLvdsLwWT4J1iSamUexXQ‘ ‚unsafe-inline‘;object-src ‚none‘;base-uri ’self‘;report-uri /_/DurableDeepLinkUi/cspreport;worker-src ’self‘
server: ESF
x-xss-protection: 0
x-frame-options: SAMEORIGIN
x-content-type-options: nosniff
alt-svc: h3-27=“:443″; ma=2592000,h3-25=“:443″; ma=2592000,h3-T050=“:443″; ma=2592000,h3-Q050=“:443″; ma=2592000,h3-Q049=“:443″; ma=2592000,h3-Q048=“:443″; ma=2592000,h3-Q046=“:443″; ma=2592000,h3-Q043=“:443″; ma=2592000,quic=“:443″; ma=2592000; v=“46,43″

$ whois sparkassen-finanzportal.top | grep -i ^creation
Creation Date: 2020-05-28T20:10:02Z
$ _

…in eine Website in einer erst vorgestern eingerichteten Domain gibt, die irgendwie nach „Sparkasse“ klingen soll. Dort bekommt man eine „liebevoll“ nachgemachte Login-Seite im Sparkassen-Design präsentiert:

Screenshot der Phishing-Site

Alle Daten, die man dort in einem mehrschrittigen Verfahren eingibt – begonnen mit der Anmeldung, weiter über die Anschrift bis hin zu Konto- und Kreditkartendaten – gehen direkt an gewerbsmäßig vorgehende Betrüger. Wer darauf reingefallen ist, hat jahrelangen Ärger mit seiner missbrauchten Identität, diversen Inkassoklitschen, Ermittlungen der Staatsanwaltschaft wegen aller möglichen Delikte, Einträgen bei der Schufa und anderen Auskunfteien und dergleichen mehr. Das Geld, das man dabei verliert, erstattet einem keine kulante Bank. 💸

Zum Glück gibt es ein ganz einfaches und hundertprozentig wirksames Mittel gegen Phishing: Niemals in eine E-Mail klicken! Wenn man Websites – wie etwa die seiner Bank – immer über ein Lesezeichen im Browser aufruft, kann einem niemals von Trickbetrügern ein „vergifteter Link“ untergeschoben werden. Nach einer ganz normalen Anmeldung stellt man fest, dass das in einer obskuren E-Mail behauptete Problem gar nicht existiert und löscht die Spam. So einfach ist es, einen kriminellen Angriff abzuwehren und sich selbst vor einigen tausend Euro Verlust und mehreren Jahren verhagelter Lebenszeit zu bewahren.

Also macht das! Man kann nämlich mit seinem Geld und seiner beschränkten Lebenszeit etwas Besseres anfangen. 😉

¹Man kann jede beliebige Absenderadresse in eine E-Mail eintragen, ganz ähnlich, wie man auch jeden Absender auf einen Briefumschlag schreiben kann. Für den Transport der E-Mail spielt der Absender keine Rolle.

Neue Mitteilung

Montag, 4. Mai 2020

Abt.: PayPal-Phishing für Dumme 🤦

Von: PP Service <mail@wolfram-schultz.de>

SRehjr cgeGehirtLe KKukndaino, bseShr TgeGehqrtcer NKuVndle, -- aAufCgrIunbd dgeäTndverateNr ENubtzVunbgsvbeTdifngYunigeBn qstLehVt reiOne PAkEtuQalAisJieXruang ZIhVrejr -- gDaFteen Wank. vDimesxe KMaßnYahome CisMt hauDs DSiMchperMhelitysgerüngdeon WzwLinwgehnd HerJfoRrdZertliOchC. -- SKleicbkedn oSive Ddamfür haujf edern Lunftern YstWehYenPdeRn dBuittqon eunGd GbeTfodlgVen ISiee tdiQe -- PnoYtwgenRdiNgetn dScOhrHitZteT. WGeVbeXn zSiXe jdaebeKi BIhlre ZDaiteqn UvoellcstädndXig xunFd xkomrrVekft sanh. -- NWetitzer izu APaoyPVal -- MUit qfrueugndcliDchHen XGrüßeun, -- IXhr GPaTyPnal eKucndlenjsezrvIicZe

Der Absender ist natürlich gefälscht, aber er sieht trotzdem nicht nach PayPal aus. Vielleicht hat der Spammer beim nächsten Mal ja mehr Glück beim Denken. 🍀

Aber selbst wenn: Es ist schon sehr schade für die Phishing-Ambitionen der Betrügerbanden, wenn der HTML-Trick mit dem Verstecken von sinnlos eingestreuten Buchstaben nicht nur bei den Anwendern einer guten und sicher konfigurierten Mailsoftware, sondern irgendwann auch in den leider immer noch viel zu beliebten Webmailern nicht mehr funktioniert. Den Screenshot habe ich eben gerade im Webmailer von Gmail gemacht. 🙃

Ich hoffe, dass die Betrüger jetzt verhungern! 💀

Aber das steht leider nicht zu befürchten, und deshalb gilt weiterhin: Niemals in eine E-Mail klicken, sondern stattdessen die Websites immer über ein Lesezeichen des Webbrowsers aufrufen! Mit dieser sehr einfachen Vorsichtsmaßnahme ist man völlig sicher vor Phishing, denn die Betrüger haben keine andere Möglichkeit, jemanden auf ihre Betrugssites zu locken, als durch die Zustellung eines Links.

Diese Vorsicht ist wirksam, bequem und kostet nichts. 🛡️

Neue Mitteilung

Dienstag, 21. April 2020

Das ist mal wieder ein Qualitätsbetreff, aber es gibt nur schlecht gemachtes Phishing. Davon gibt es im Moment mal wieder eine Menge, nachdem ich es monatelang kaum gesehen und noch weniger vermisst habe.

Natürlich kommt diese Mail nicht von PayPal.

Wie man sich kostenlos und völlig sicher vor Phishing schützt, habe ich schon gestern anlässlich eines ganz schlechten Phishings auf Sparkassen-Kunden erklärt und werde es heute nicht wiederholen. Zusammenfassung: Klickt nicht in E-Mails, sondern benutzt ein Lesezeichen in eurem Browser, und ihr seid davor sicher! 🛡️

Deshalb gibt es hier nur den Text der Phishing-Spam mit ein paar fröhlichen Anmerkungen dazu, wie zurzeit die Phishing-Spams aussehen. Teile dieser Anmerkungen können etwas technisch werden, aber es lohnt sich. 🕵️

Von: PP Service <mail@wolfram-schultz.de>

Die Absenderadresse ist zwar gefälscht, aber die Domain dieser Mailadresse sieht nicht einmal so ähnlich wie die Domain von PayPal aus. Natürlich würde das richtige PayPal eine Absenderadresse @paypal.com verwenden, und das wäre für Spammer auch kinderleicht zu fälschen gewesen, aber viele Spammer leiden eben unter diesem erbärmlichen Hirnmangel, gegen den es keine Medikamente gibt. Da wird das Denken dann schnell zum Glücksspiel. 🎰

Betreff: Neue Mitteilung

Stimmt, es ist eine neue Mitteilung. Sie liegt in der automatisch aussortierten Spam, wo sie auch hingehört. 🚮

Denkende und fühlende Menschen schreiben in einen Betreff, um was es in der Mail geht; Spammer, Werber und andere Idioten hingegen versuchen mit dummen Formulierungen eine große Wichtigkeit ihrer intelligenzfrei verfassten Kommunikationsversuche zu simulieren, werden dabei aber oft völlig nichtssagend. Die Ergebnisse reichen dann von der Wiederholung des Absendernamens über „Dringend“ und „Nachricht“ bis hin zu irgendwelchen bedeutungslosen Löffeln Buchstabensuppe. Und oft werden auch ausgerechnet die Wörter weggelassen, falsch geschrieben oder durch dadaistisch anmutende Synonyme ersetzt, um die es eigentlich geht. Fortgeschrittene Spammer setzen dazu noch ein paar Emojis in den Betreff, die im Pesteingang um Aufmerksamkeit schreien sollen. 🚑💰🔔

Was bei diesen Spammern fortgeschritten ist? Der käsige Hirnzerfall natürlich. Sonst leider nichts. 🧠🧀

Die nächste Kleinigkeit bemerken die meisten Menschen gar nicht, weil sie sich nicht den Quelltext der Mail anschauen:

PayPal-Logo

Das PayPal-Logo stammt nicht von der Website von PayPal und es ist auch nicht ein Bestandteil der E-Mail, sondern…

Auszug aus dem Quelltext der Spam mit der hervorgehobenen Einbettung des Logos

…es wird aus der Wikipedia eingebettet.

Natürlich würde das richtige PayPal so etwas nicht tun, werden dadurch doch Informationen darüber, wann PayPal-Kunden ihre E-Mail von PayPal lesen, an einen Dritten offenbart. Und das ist nun einmal das genaue Gegenteil von Datenschutz.

Menschen mit sicher konfigurierter Mailsoftware, die niemals externe Grafiken aus dem Internet anzeigt (oder noch besser: niemals HTML-Mail in ihrer HTML-Formatierung darstellt, sondern sie auf den reinen Text reduziert), sehen hier nur einen Platzhalter für das Logo, als ob das Bild nicht vorhanden wäre.

Aber Menschen mit sicher konfigurierter Mailsoftware bekommen auch eine sehr lustige Darstellung des Textes präsentiert – Achtung! Gut festhalten:

SRehjr cgeGehirtLe KKukndaino, bseShr TgeGehqrtcer NKuVndle,

aAufCgrIunbd dgeäTndverateNr ENubtzVunbgsvbeTdifngYunigeBn qstLehVt reiOne PAkEtuQalAisJieXruang ZIhVrejr
gDaFteen Wank. vDimesxe KMaßnYahome CisMt hauDs DSiMchperMhelitysgerüngdeon WzwLinwgehnd HerJfoRrdZertliOchC.

SKleicbkedn oSive Ddamfür haujf edern Lunftern YstWehYenPdeRn dBuittqon eunGd GbeTfodlgVen ISiee tdiQe
PnoYtwgenRdiNgetn dScOhrHitZteT. WGeVbeXn zSiXe jdaebeKi BIhlre ZDaiteqn UvoellcstädndXig xunFd xkomrrVekft sanh.

NWetitzer izu APaoyPVal

MUit qfrueugndcliDchHen XGrüßeun,
IXhr GPaTyPnal eKucndlenjsezrvIicZe

🤣👍🏆🤣

Was ist hier passiert?

Es ist eigentlich ganz einfach. Der Spammer lebt nun mal davon, dass seine Spam möglichst oft ankommt und möglichst selten automatisch aussortiert wird. Und jeder Spamfilter wirft eine Mail mit typischen Phishing-Phrasen und angeblichen Links zu PayPal, die dann aber zu irgendwelchen URL-Kürzer wie hier url (punkt) cn gehen, automatisch in den Müll. 🗑️

Es ist also für die gewerbsmäßigen Betrüger etwas schwierig geworden, einen Phishing-Text zu schreiben, der überhaupt noch ankommt, aber dabei auch so plausibel klingt, dass er nicht selbst noch bei den naivsten Lesern zu unwiderstehlichen Ausbrüchen spontaner Heiterkeit führt. 🤡

Da hat sich der Spammer gesagt: Ich mache meinen Text einfach so kaputt, dass er nicht mehr lesbar ist. Ich mache eine HTML-formatierte Spam, streue aber lauter sinnlose Zeichen ein, die ich mit einem ansonsten völlig sinnlosen, aber in HTML-formatierter E-Mail sinnloserweise dennoch möglichen Trick unsichtbar mache. Der Empfänger mit unsicher konfigurierter Mailsoftware sieht diese sinnlosen Zeichen nicht, sehr wohl aber der Spamfilter, wenn er den Text parst. Und so stehen aus der Sicht des Spamfilters keinerlei typische Phishing-Phrasen in meiner Spam, aber für die Empfänger aus meiner Zielgruppe, die keine sicher konfigurierte Mailsoftware verwenden, weil ihnen Privatsphäre, Computersicherheit und der Schutz vor solchen Tricks völlig egal sind, sieht es dann so aus:

Sehr geehrte Kundin, sehr geehrter Kunde,

aufgrund geänderter Nutzungsbedingungen steht eine Aktualisierung Ihrer
Daten an. Diese Maßnahme ist aus Sicherheitsgründen zwingend erforderlich.

Klicken Sie dafür auf den unten stehenden Button und befolgen Sie die
notwendigen Schritte. Geben Sie dabei Ihre Daten vollständig und korrekt an.

Weiter zu PayPal

Mit freundlichen Grüßen,
Ihr PayPal Kundenservice

Natürlich geht der Link nicht zu PayPal. Stattdessen wird der URL-Kürzungsdienst url (punkt) cn verwendet, der mir beim Versuch, auf seiner Website einen Ansprechpartner für die Abuse-Meldung zu finden, leider nur eine Fehlermeldung im bronzezeitlichen Schriftsystem der führenden Kultur des kommenden Zeitalters präsentiert hat. Trotz der Fehlermeldung auf der Startseite…

$ mime-header https://url.cn/5UbaPME
HTTP/1.1 302 Found
Server: nginx
Date: Tue, 21 Apr 2020 12:16:58 GMT
Content-Type: text/html
Content-Length: 0
Connection: keep-alive
Location: http://financeden.ru/?TofSpL9HKr

$ _

…funktioniert die Weiterleitung leider einwandfrei. Und wie man sieht, wird dabei auch gleich eine eindeutinge ID angehängt, die wohl für jeden Empfänger dieser Spam anders aussieht, so dass die Spammer wissen, unter welchen Mailadressen ihre Spam ankommt, gelesen wird und schließlich sogar beklickt wird. Der Dienstleister mit der Domain url (punkt) cn scheint also massenhafte Kürzungen von URLs über eine API anzubieten, die selbst dann noch funktionieren, wenn auf der Startseite nicht einmal mehr ein Impressum sichtbar wird. Man könnte auch statt des Wortes „Dienstleister“ das klarere Wort „Komplize“ benutzen.

Weil ich diese Spam nicht selbst auf einer meiner Mülladressen empfangen habe, sondern sie mir von meinem Leser A.H. zugesteckt wurde, sehe ich mal von einem Screenshot der Phishing-Seite ab – und habe eben natürlich auch die eindeutige ID ausgetauscht. Wenn man die Phishing-Site mit anderen IDs aufruft…

$ mime-header http://financeden.ru/?1234567890
HTTP/1.1 503 Service Unavailable
Server: nginx/1.14.0 (Ubuntu)
Date: Tue, 21 Apr 2020 12:26:57 GMT
Content-Type: text/html; charset=UTF-8
Connection: keep-alive

$ _

…gibt es nur eine weiße Seite und einen Fehler. Mit diesem Trick wollen die Spammer Analysen erschweren, damit ihre fürs Phishing benutzte Domain…

$ surbl financeden.ru
financeden.ru	okay
$ _

…nicht auf den Blacklists landet. Denn dann würden viele Nutzer moderner Browser eine deutliche Warnung vor dem Phishing sehen, wenn sie die Seite aufrufen, und das wäre ja schlecht fürs Geschäft dieser Verbrecher. Und das wollen diese Verbrecher eben nicht.

So, jetzt aber in den Müll damit! 😉

hier drüben, um eine Deaktivierung zu vermeiden.

Montag, 20. April 2020

Abt.: Unfassbar schlechtes Phishing 🎣

Logo: Sparkasse

Sie haben eine neue Benachrichtigung erhalten

Um die betrügerische Verwendung von Konten Im Internet zu verhindern, verfügt die Sparkasse Bank über ein neues Zahlungskontrollsystem.

Dieser Service ist kostenlos. Unser System hat festgestellt, dass Ihr „smsTAN“ Dienst nicht vollständig aktiviert ist. Klicken Sie auf den sicheren Link. um es zu aktivieren:

Jetzt aktivieren

Ver danken Ihnen firr lhr vertrauen.
herzlich.

ÜBER UNS | UNSERE GESCHICHTEN | APP HERUNTERLADEN

© 2020Alle Rechte vorbehalten. Sparkasse

Sparkasse introduces mobile payment | Kloepfel Consulting GmbH

So so, eure Geschichten! 😀

Wer auf den Link klickt, hat natürlich verloren und landet nach einer Weiterleitung (Werber und Betrüger setzen niemals direkte Links) bei der Website in der Domain anmelden (strich) sparkasse (punkt) com, die nichts mit der Sparkasse zu tun hat und deren Domain…

$ whois anmelden-sparkasse.com | grep -i ^registrant | sed 6q
Registrant Name: Registration Private
Registrant Organization: Domains By Proxy, LLC
Registrant Street: DomainsByProxy.com
Registrant Street: 14455 N. Hayden Road
Registrant City: Scottsdale
Registrant State/Province: Arizona
$ _

…über einen Dienstleister aus dem sonnigen Arizona völlig anonym registriert wurde. Alle Daten, die man dort eingibt, gehen direkt an Kriminelle. 🙁

Die Phishing-Seite ist allerdings inzwischen nach Meldung vom Hoster entfernt worden. Gefällt mir. 👍

Und zum Glück für uns alle gibt es einen ganz einfachen, kostenlosen und hundertprozentig wirksamen Schutz vor Phishing: Niemals in eine E-Mail klicken. Wenn man Websites wie die Website seiner Bank über ein Lesezeichen im Browser aufruft, statt in E-Mails zu klicken, haben kriminelle Spammer keine Möglichkeit, einen auf die betrügerische Website zu locken. Spätestens nach der Anmeldung auf der richtigen Sparkassen-Site ist klar, dass das Gefasel von irgendwelchen Problemen mit den Konto oder irgendwelchen unbedingt erforderlichen Sicherheitsmaßnahmen unsinnig ist, denn solche Informationen würden einem ja auch nach der ganz normalen Anmeldung angezeigt. 🔔

Und das Beste an diesem Schutz ist, dass er auch mit eBay, Amazon, Facebook, PayPal und dergleichen funktioniert. Dass diese Unternehmen (und viele Banken) weiterhin E-Mails mit Links zum Anklicken versenden, halte ich übrigens für verantwortungslos und kriminalitätsfördernd, und zwar insbesondere bei PayPal. 🙁

Und ja, es gibt besseres und gefährlicheres Phishing als dieses Exemplar einer sehr dummen und schlecht gemachten Phishing-Spam. Ich hatte auch schon derartige Mails mit namentlicher Anrede, intelligent formuliertem Inhalt und korrektem Deutsch statt „firr lhr vertrauen herzlich“. 😂

Hört auf in E-Mails zu klicken, wenn diese nicht digital signiert sind und der Absender nicht nach Überprüfung der Signatur jenseits jeden vernünftigen Zweifels bekannt und vertrauenswürdig ist – völlig egal, ob es sich um Links oder um Anhänge handelt – und ihr seid vor dem größten Teil der kriminellen Angriffe sicher! So einfach ist das. 🛡️

Ein Antivirus-Programm wird dafür nicht benötigt. Und wenn man damit einen Identitätsmissbrauch abgewehrt hat, dann hat man sich eine Menge Kosten und jahrelangen Ärger erspart. Mit dem eingesparten Geld und der eingesparten beschränkten Lebenszeit wird sicherlich jeder Mensch etwas Besseres anfangen können. 🍀

Und das ist es doch wert! 😉

Vor allem, weil die Nutzung von Lesezeichen im Browser so einfach ist. Man könnte sich einen einfachen Merkspruch über den Computer hängen:

Wer nie in seine E-Mail klickt,
Der hat richtig durchgeblickt
Und die Verbrecher weggeschickt.

Ach, ich werde albern. Ich weiß… 🤡

Fwd: Statement Amazon Information: PDG5735P – [ Mail Support ] Take your time to verify your account [ FWD ]

Mittwoch, 8. April 2020

Abt: Achtung, Phishing! 🎣

Nein, diese Spam kommt nicht von Amazon. Amazon würde sicher auch seine eigene Domain für seine Mailadressen verwenden:

Von: Amazon.com ‍ <norplyinqqames-accountsummar33312484@depoinaja02.net>
Antwort an: mails@report-6789045.com

Wenn man schon den Absender fälscht, könnte man es auch überzeugender machen. Aber wenn man schon Spammer sein will, möchte man ja nicht so anstrengend das Gehirn benutzen.

Billing Report : 411-525-546-ID23525

Dieser sinnlos abgeschriebene Löffel Buchstabensuppe soll offenbar eine persönliche Ansprache ersetzen, obwohl er für mich ungefähr so bedeutungsvoll wie die zehn Ziffern an der tausendsten Nachkommastelle von π ist.

Moment…

$ echo "scale=1010; 4*a(1)" | bc -l | tail -1 | sed "s/^.*\(..........\)$/\1/g"
3809525720
$ _

…die zehn Ziffern an der tausendsten Nachkommastelle von π sind für mich noch bedeutsamer als dieser Bullshit, denn ich habe mich dazu hinreißen lassen, sie schnell zu ermitteln. Für eine dumme, wichtig aussehen wollende Kryptozeichenfolge in einer Spam würde ich mir eine vergleichbare Mühe nicht machen.

Please do not reply; replies are not monitored.

Bitte nicht antworten. Das liest eh keiner.

Open Attachments that have been sent

Bitte einfach in der Spam rumklicken und den Anhang aufmachen. Leider haben sie bei Amazon gerade einen Mangel an Mailpapier und können deshalb nicht im Text der E-Mail sagen, um was es geht.

Customer Amazon.com

Ja, du mich auch! 👅

So so, alles weitere steht also im Anhang. Dieser ist ein 113 KiB großes PDF-Dokument, das auch aussieht, und zwar so:

Hello, -- We have place a hold on your Amazon account and all pending orders. We took this action the billing information you provided did not match the information on file with the card issuer. -- To resolve this issue, please verify now with the billing name, address, and telephone number registered to your payment card. If you recently moved, you may need to update this information with the card issuer. -- [Update Now] -- If you are unable to complete the verification process within 24hours, all pending orders will be cancelled. You will not be able to access your account until this process has been completed. We ask that you not open new account as any new order you place may be delayed. -- We hope to see you again soon, -- Amazon TeamSupport -- Amazon Services. Inc. is a subsidiary of Amazon.com. Inc. Amazon.com is a registered trademark of Amazon.com, Inc. This message was produced and distributed by Amazon Services Inc.. 410 Terry Ave. North. Seattle. WA 98109-5210

Aha, die übliche Phishing-Aufforderung: Klick auf den Klickelink und sag dem angeblichen „Amazon“ mal eben alles nochmal, was das richtige Amazon schon längst weiß, und wenn du das nicht schnell machst, dann werden alle laufenden Bestellungen abgebrochen und dein Amazon-Konto ist für immer weg. Dass diese dummen Computer bei „Amazon“ und vergleichbaren Internet-Klitschen aber auch immer wieder die Kundendaten vergessen! 🤖

Der Klickelink geht natürlich nicht zu Amazon, es ist ja Phishing, sondern er geht auf ein Redirect-Skript bei Tumblr [!], wo man dann auf den URL-Kürzer parg (punkt) co weitergeleitet wird. Die Leute bei parg (punkt) co waren nach einer einfachen Mail an die abuse-Adresse so freundlich, diesen klaren Missbrauch ihres URL-Kürzungsdienstes sofort zu unterbinden und sich mit einer E-Mail bei mir für den Hinweis zu bedanken. Das hat nicht einmal eine Minute gedauert. So sieht das aus, wenn ein Unternehmen ernsthaft etwas gegen Spam und Internetkriminalität tun will. Wenn es doch nur immer so liefe! 😉

Nach wie vor gibt es einen ganz einfachen und hundertprozentig wirksamen Schutz vor Phishing: Niemals in eine E-Mail klicken. Wer niemals in eine Mail (oder in einen Anhang einer Mail) klickt, sondern die Amazon-Website immer aus einem Lesezeichen seines Webbrowsers aufruft, kann auch gar keinen giftigen Link von einem Verbrecher untergeschoben bekommen. Nach einer ganz normalen Anmeldung bei Amazon sieht man dann, dass die behaupteten Probleme gar nicht existieren und man weiß, dass man wieder einen kriminellen Angriff angewehrt hat. Dieses kleine bisschen Vorsicht verhindert, dass das Amazon-Konto für betrügerische Machenschaften missbraucht wird und dass es zu einem Missbrauch der Identität kommt, der einem leicht mehrere Jahre Lebenszeit verhagelt und viele tausend Euro Folgekosten nach sich ziehen kann. 😰

Seid bitte immer so vorsichtig! Klickt niemals in E-Mail! Auch nicht, wenn ihr in der E-Mail aufgefordert werdet, einen Anhang zu öffnen, in dem ihr dann klicken sollt. 😉

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.