Kategoriearchiv „Phishing“

Neue Mitteilung

Montag, 4. Mai 2020

Abt.: PayPal-Phishing für Dumme 🤦

Von: PP Service <mail@wolfram-schultz.de>

Der Absender ist natürlich gefälscht, aber er sieht trotzdem nicht nach PayPal aus. Vielleicht hat der Spammer beim nächsten Mal ja mehr Glück beim Denken. 🍀

Aber selbst wenn: Es ist schon sehr schade für die Phishing-Ambitionen der Betrügerbanden, wenn der HTML-Trick mit dem Verstecken von sinnlos eingestreuten Buchstaben nicht nur bei den Anwendern einer guten und sicher konfigurierten Mailsoftware, sondern irgendwann auch in den leider immer noch viel zu beliebten Webmailern nicht mehr funktioniert. Den Screenshot habe ich eben gerade im Webmailer von Gmail gemacht. 🙃

Ich hoffe, dass die Betrüger jetzt verhungern! 💀

Aber das steht leider nicht zu befürchten, und deshalb gilt weiterhin: Niemals in eine E-Mail klicken, sondern stattdessen die Websites immer über ein Lesezeichen des Webbrowsers aufrufen! Mit dieser sehr einfachen Vorsichtsmaßnahme ist man völlig sicher vor Phishing, denn die Betrüger haben keine andere Möglichkeit, jemanden auf ihre Betrugssites zu locken, als durch die Zustellung eines Links.

Diese Vorsicht ist wirksam, bequem und kostet nichts. 🛡️

Neue Mitteilung

Dienstag, 21. April 2020

Das ist mal wieder ein Qualitätsbetreff, aber es gibt nur schlecht gemachtes Phishing. Davon gibt es im Moment mal wieder eine Menge, nachdem ich es monatelang kaum gesehen und noch weniger vermisst habe.

Natürlich kommt diese Mail nicht von PayPal.

Wie man sich kostenlos und völlig sicher vor Phishing schützt, habe ich schon gestern anlässlich eines ganz schlechten Phishings auf Sparkassen-Kunden erklärt und werde es heute nicht wiederholen. Zusammenfassung: Klickt nicht in E-Mails, sondern benutzt ein Lesezeichen in eurem Browser, und ihr seid davor sicher! 🛡️

Deshalb gibt es hier nur den Text der Phishing-Spam mit ein paar fröhlichen Anmerkungen dazu, wie zurzeit die Phishing-Spams aussehen. Teile dieser Anmerkungen können etwas technisch werden, aber es lohnt sich. 🕵️

Von: PP Service <mail@wolfram-schultz.de>

Die Absenderadresse ist zwar gefälscht, aber die Domain dieser Mailadresse sieht nicht einmal so ähnlich wie die Domain von PayPal aus. Natürlich würde das richtige PayPal eine Absenderadresse @paypal.com verwenden, und das wäre für Spammer auch kinderleicht zu fälschen gewesen, aber viele Spammer leiden eben unter diesem erbärmlichen Hirnmangel, gegen den es keine Medikamente gibt. Da wird das Denken dann schnell zum Glücksspiel. 🎰

Betreff: Neue Mitteilung

Stimmt, es ist eine neue Mitteilung. Sie liegt in der automatisch aussortierten Spam, wo sie auch hingehört. 🚮

Denkende und fühlende Menschen schreiben in einen Betreff, um was es in der Mail geht; Spammer, Werber und andere Idioten hingegen versuchen mit dummen Formulierungen eine große Wichtigkeit ihrer intelligenzfrei verfassten Kommunikationsversuche zu simulieren, werden dabei aber oft völlig nichtssagend. Die Ergebnisse reichen dann von der Wiederholung des Absendernamens über „Dringend“ und „Nachricht“ bis hin zu irgendwelchen bedeutungslosen Löffeln Buchstabensuppe. Und oft werden auch ausgerechnet die Wörter weggelassen, falsch geschrieben oder durch dadaistisch anmutende Synonyme ersetzt, um die es eigentlich geht. Fortgeschrittene Spammer setzen dazu noch ein paar Emojis in den Betreff, die im Pesteingang um Aufmerksamkeit schreien sollen. 🚑💰🔔

Was bei diesen Spammern fortgeschritten ist? Der käsige Hirnzerfall natürlich. Sonst leider nichts. 🧠🧀

Die nächste Kleinigkeit bemerken die meisten Menschen gar nicht, weil sie sich nicht den Quelltext der Mail anschauen:

Das PayPal-Logo stammt nicht von der Website von PayPal und es ist auch nicht ein Bestandteil der E-Mail, sondern…

Auszug aus dem Quelltext der Spam mit der hervorgehobenen Einbettung des Logos

…es wird aus der Wikipedia eingebettet.

Natürlich würde das richtige PayPal so etwas nicht tun, werden dadurch doch Informationen darüber, wann PayPal-Kunden ihre E-Mail von PayPal lesen, an einen Dritten offenbart. Und das ist nun einmal das genaue Gegenteil von Datenschutz.

Menschen mit sicher konfigurierter Mailsoftware, die niemals externe Grafiken aus dem Internet anzeigt (oder noch besser: niemals HTML-Mail in ihrer HTML-Formatierung darstellt, sondern sie auf den reinen Text reduziert), sehen hier nur einen Platzhalter für das Logo, als ob das Bild nicht vorhanden wäre.

Aber Menschen mit sicher konfigurierter Mailsoftware bekommen auch eine sehr lustige Darstellung des Textes präsentiert – Achtung! Gut festhalten:

SRehjr cgeGehirtLe KKukndaino, bseShr TgeGehqrtcer NKuVndle,

aAufCgrIunbd dgeäTndverateNr ENubtzVunbgsvbeTdifngYunigeBn qstLehVt reiOne PAkEtuQalAisJieXruang ZIhVrejr
gDaFteen Wank. vDimesxe KMaßnYahome CisMt hauDs DSiMchperMhelitysgerüngdeon WzwLinwgehnd HerJfoRrdZertliOchC.

SKleicbkedn oSive Ddamfür haujf edern Lunftern YstWehYenPdeRn dBuittqon eunGd GbeTfodlgVen ISiee tdiQe
PnoYtwgenRdiNgetn dScOhrHitZteT. WGeVbeXn zSiXe jdaebeKi BIhlre ZDaiteqn UvoellcstädndXig xunFd xkomrrVekft sanh.

NWetitzer izu APaoyPVal

MUit qfrueugndcliDchHen XGrüßeun,
IXhr GPaTyPnal eKucndlenjsezrvIicZe

🤣👍🏆🤣

Was ist hier passiert?

Es ist eigentlich ganz einfach. Der Spammer lebt nun mal davon, dass seine Spam möglichst oft ankommt und möglichst selten automatisch aussortiert wird. Und jeder Spamfilter wirft eine Mail mit typischen Phishing-Phrasen und angeblichen Links zu PayPal, die dann aber zu irgendwelchen URL-Kürzer wie hier url (punkt) cn gehen, automatisch in den Müll. 🗑️

Es ist also für die gewerbsmäßigen Betrüger etwas schwierig geworden, einen Phishing-Text zu schreiben, der überhaupt noch ankommt, aber dabei auch so plausibel klingt, dass er nicht selbst noch bei den naivsten Lesern zu unwiderstehlichen Ausbrüchen spontaner Heiterkeit führt. 🤡

Da hat sich der Spammer gesagt: Ich mache meinen Text einfach so kaputt, dass er nicht mehr lesbar ist. Ich mache eine HTML-formatierte Spam, streue aber lauter sinnlose Zeichen ein, die ich mit einem ansonsten völlig sinnlosen, aber in HTML-formatierter E-Mail sinnloserweise dennoch möglichen Trick unsichtbar mache. Der Empfänger mit unsicher konfigurierter Mailsoftware sieht diese sinnlosen Zeichen nicht, sehr wohl aber der Spamfilter, wenn er den Text parst. Und so stehen aus der Sicht des Spamfilters keinerlei typische Phishing-Phrasen in meiner Spam, aber für die Empfänger aus meiner Zielgruppe, die keine sicher konfigurierte Mailsoftware verwenden, weil ihnen Privatsphäre, Computersicherheit und der Schutz vor solchen Tricks völlig egal sind, sieht es dann so aus:

Sehr geehrte Kundin, sehr geehrter Kunde,

aufgrund geänderter Nutzungsbedingungen steht eine Aktualisierung Ihrer
Daten an. Diese Maßnahme ist aus Sicherheitsgründen zwingend erforderlich.

Klicken Sie dafür auf den unten stehenden Button und befolgen Sie die
notwendigen Schritte. Geben Sie dabei Ihre Daten vollständig und korrekt an.

Weiter zu PayPal

Mit freundlichen Grüßen,
Ihr PayPal Kundenservice

Natürlich geht der Link nicht zu PayPal. Stattdessen wird der URL-Kürzungsdienst url (punkt) cn verwendet, der mir beim Versuch, auf seiner Website einen Ansprechpartner für die Abuse-Meldung zu finden, leider nur eine Fehlermeldung im bronzezeitlichen Schriftsystem der führenden Kultur des kommenden Zeitalters präsentiert hat. Trotz der Fehlermeldung auf der Startseite…

$ mime-header https://url.cn/5UbaPME
HTTP/1.1 302 Found
Server: nginx
Date: Tue, 21 Apr 2020 12:16:58 GMT
Content-Type: text/html
Content-Length: 0
Connection: keep-alive
Location: http://financeden.ru/?TofSpL9HKr

$ _

…funktioniert die Weiterleitung leider einwandfrei. Und wie man sieht, wird dabei auch gleich eine eindeutinge ID angehängt, die wohl für jeden Empfänger dieser Spam anders aussieht, so dass die Spammer wissen, unter welchen Mailadressen ihre Spam ankommt, gelesen wird und schließlich sogar beklickt wird. Der Dienstleister mit der Domain url (punkt) cn scheint also massenhafte Kürzungen von URLs über eine API anzubieten, die selbst dann noch funktionieren, wenn auf der Startseite nicht einmal mehr ein Impressum sichtbar wird. Man könnte auch statt des Wortes „Dienstleister“ das klarere Wort „Komplize“ benutzen.

Weil ich diese Spam nicht selbst auf einer meiner Mülladressen empfangen habe, sondern sie mir von meinem Leser A.H. zugesteckt wurde, sehe ich mal von einem Screenshot der Phishing-Seite ab – und habe eben natürlich auch die eindeutige ID ausgetauscht. Wenn man die Phishing-Site mit anderen IDs aufruft…

$ mime-header http://financeden.ru/?1234567890
HTTP/1.1 503 Service Unavailable
Server: nginx/1.14.0 (Ubuntu)
Date: Tue, 21 Apr 2020 12:26:57 GMT
Content-Type: text/html; charset=UTF-8
Connection: keep-alive

$ _

…gibt es nur eine weiße Seite und einen Fehler. Mit diesem Trick wollen die Spammer Analysen erschweren, damit ihre fürs Phishing benutzte Domain…

$ surbl financeden.ru
financeden.ru	okay
$ _

…nicht auf den Blacklists landet. Denn dann würden viele Nutzer moderner Browser eine deutliche Warnung vor dem Phishing sehen, wenn sie die Seite aufrufen, und das wäre ja schlecht fürs Geschäft dieser Verbrecher. Und das wollen diese Verbrecher eben nicht.

So, jetzt aber in den Müll damit! 😉

hier drüben, um eine Deaktivierung zu vermeiden.

Montag, 20. April 2020

Abt.: Unfassbar schlechtes Phishing 🎣

Sie haben eine neue Benachrichtigung erhalten

Um die betrügerische Verwendung von Konten Im Internet zu verhindern, verfügt die Sparkasse Bank über ein neues Zahlungskontrollsystem.

Dieser Service ist kostenlos. Unser System hat festgestellt, dass Ihr „smsTAN“ Dienst nicht vollständig aktiviert ist. Klicken Sie auf den sicheren Link. um es zu aktivieren:

Jetzt aktivieren

Ver danken Ihnen firr lhr vertrauen.
herzlich.

ÜBER UNS | UNSERE GESCHICHTEN | APP HERUNTERLADEN

© 2020Alle Rechte vorbehalten. Sparkasse

Sparkasse introduces mobile payment | Kloepfel Consulting GmbH

So so, eure Geschichten! 😀

Wer auf den Link klickt, hat natürlich verloren und landet nach einer Weiterleitung (Werber und Betrüger setzen niemals direkte Links) bei der Website in der Domain anmelden (strich) sparkasse (punkt) com, die nichts mit der Sparkasse zu tun hat und deren Domain…

$ whois anmelden-sparkasse.com | grep -i ^registrant | sed 6q
Registrant Name: Registration Private
Registrant Organization: Domains By Proxy, LLC
Registrant Street: DomainsByProxy.com
Registrant Street: 14455 N. Hayden Road
Registrant City: Scottsdale
Registrant State/Province: Arizona
$ _

…über einen Dienstleister aus dem sonnigen Arizona völlig anonym registriert wurde. Alle Daten, die man dort eingibt, gehen direkt an Kriminelle. 🙁

Die Phishing-Seite ist allerdings inzwischen nach Meldung vom Hoster entfernt worden. Gefällt mir. 👍

Und zum Glück für uns alle gibt es einen ganz einfachen, kostenlosen und hundertprozentig wirksamen Schutz vor Phishing: Niemals in eine E-Mail klicken. Wenn man Websites wie die Website seiner Bank über ein Lesezeichen im Browser aufruft, statt in E-Mails zu klicken, haben kriminelle Spammer keine Möglichkeit, einen auf die betrügerische Website zu locken. Spätestens nach der Anmeldung auf der richtigen Sparkassen-Site ist klar, dass das Gefasel von irgendwelchen Problemen mit den Konto oder irgendwelchen unbedingt erforderlichen Sicherheitsmaßnahmen unsinnig ist, denn solche Informationen würden einem ja auch nach der ganz normalen Anmeldung angezeigt. 🔔

Und das Beste an diesem Schutz ist, dass er auch mit eBay, Amazon, Facebook, PayPal und dergleichen funktioniert. Dass diese Unternehmen (und viele Banken) weiterhin E-Mails mit Links zum Anklicken versenden, halte ich übrigens für verantwortungslos und kriminalitätsfördernd, und zwar insbesondere bei PayPal. 🙁

Und ja, es gibt besseres und gefährlicheres Phishing als dieses Exemplar einer sehr dummen und schlecht gemachten Phishing-Spam. Ich hatte auch schon derartige Mails mit namentlicher Anrede, intelligent formuliertem Inhalt und korrektem Deutsch statt „firr lhr vertrauen herzlich“. 😂

Hört auf in E-Mails zu klicken, wenn diese nicht digital signiert sind und der Absender nicht nach Überprüfung der Signatur jenseits jeden vernünftigen Zweifels bekannt und vertrauenswürdig ist – völlig egal, ob es sich um Links oder um Anhänge handelt – und ihr seid vor dem größten Teil der kriminellen Angriffe sicher! So einfach ist das. 🛡️

Ein Antivirus-Programm wird dafür nicht benötigt. Und wenn man damit einen Identitätsmissbrauch abgewehrt hat, dann hat man sich eine Menge Kosten und jahrelangen Ärger erspart. Mit dem eingesparten Geld und der eingesparten beschränkten Lebenszeit wird sicherlich jeder Mensch etwas Besseres anfangen können. 🍀

Und das ist es doch wert! 😉

Vor allem, weil die Nutzung von Lesezeichen im Browser so einfach ist. Man könnte sich einen einfachen Merkspruch über den Computer hängen:

Wer nie in seine E-Mail klickt,
Der hat richtig durchgeblickt
Und die Verbrecher weggeschickt.

Ach, ich werde albern. Ich weiß… 🤡

Fwd: Statement Amazon Information: PDG5735P – [ Mail Support ] Take your time to verify your account [ FWD ]

Mittwoch, 8. April 2020

Abt: Achtung, Phishing! 🎣

Nein, diese Spam kommt nicht von Amazon. Amazon würde sicher auch seine eigene Domain für seine Mailadressen verwenden:

Von: Amazon.com ‍ <norplyinqqames-accountsummar33312484@depoinaja02.net>
Antwort an: mails@report-6789045.com

Wenn man schon den Absender fälscht, könnte man es auch überzeugender machen. Aber wenn man schon Spammer sein will, möchte man ja nicht so anstrengend das Gehirn benutzen.

Billing Report : 411-525-546-ID23525

Dieser sinnlos abgeschriebene Löffel Buchstabensuppe soll offenbar eine persönliche Ansprache ersetzen, obwohl er für mich ungefähr so bedeutungsvoll wie die zehn Ziffern an der tausendsten Nachkommastelle von π ist.

Moment…

$ echo "scale=1010; 4*a(1)" | bc -l | tail -1 | sed "s/^.*\(..........\)$/\1/g"
3809525720
$ _

…die zehn Ziffern an der tausendsten Nachkommastelle von π sind für mich noch bedeutsamer als dieser Bullshit, denn ich habe mich dazu hinreißen lassen, sie schnell zu ermitteln. Für eine dumme, wichtig aussehen wollende Kryptozeichenfolge in einer Spam würde ich mir eine vergleichbare Mühe nicht machen.

Please do not reply; replies are not monitored.

Bitte nicht antworten. Das liest eh keiner.

Open Attachments that have been sent

Bitte einfach in der Spam rumklicken und den Anhang aufmachen. Leider haben sie bei Amazon gerade einen Mangel an Mailpapier und können deshalb nicht im Text der E-Mail sagen, um was es geht.

Customer Amazon.com

Ja, du mich auch! 👅

So so, alles weitere steht also im Anhang. Dieser ist ein 113 KiB großes PDF-Dokument, das auch aussieht, und zwar so:

Aha, die übliche Phishing-Aufforderung: Klick auf den Klickelink und sag dem angeblichen „Amazon“ mal eben alles nochmal, was das richtige Amazon schon längst weiß, und wenn du das nicht schnell machst, dann werden alle laufenden Bestellungen abgebrochen und dein Amazon-Konto ist für immer weg. Dass diese dummen Computer bei „Amazon“ und vergleichbaren Internet-Klitschen aber auch immer wieder die Kundendaten vergessen! 🤖

Der Klickelink geht natürlich nicht zu Amazon, es ist ja Phishing, sondern er geht auf ein Redirect-Skript bei Tumblr [!], wo man dann auf den URL-Kürzer parg (punkt) co weitergeleitet wird. Die Leute bei parg (punkt) co waren nach einer einfachen Mail an die abuse-Adresse so freundlich, diesen klaren Missbrauch ihres URL-Kürzungsdienstes sofort zu unterbinden und sich mit einer E-Mail bei mir für den Hinweis zu bedanken. Das hat nicht einmal eine Minute gedauert. So sieht das aus, wenn ein Unternehmen ernsthaft etwas gegen Spam und Internetkriminalität tun will. Wenn es doch nur immer so liefe! 😉

Nach wie vor gibt es einen ganz einfachen und hundertprozentig wirksamen Schutz vor Phishing: Niemals in eine E-Mail klicken. Wer niemals in eine Mail (oder in einen Anhang einer Mail) klickt, sondern die Amazon-Website immer aus einem Lesezeichen seines Webbrowsers aufruft, kann auch gar keinen giftigen Link von einem Verbrecher untergeschoben bekommen. Nach einer ganz normalen Anmeldung bei Amazon sieht man dann, dass die behaupteten Probleme gar nicht existieren und man weiß, dass man wieder einen kriminellen Angriff angewehrt hat. Dieses kleine bisschen Vorsicht verhindert, dass das Amazon-Konto für betrügerische Machenschaften missbraucht wird und dass es zu einem Missbrauch der Identität kommt, der einem leicht mehrere Jahre Lebenszeit verhagelt und viele tausend Euro Folgekosten nach sich ziehen kann. 😰

Seid bitte immer so vorsichtig! Klickt niemals in E-Mail! Auch nicht, wenn ihr in der E-Mail aufgefordert werdet, einen Anhang zu öffnen, in dem ihr dann klicken sollt. 😉

Ab dem 20.02.2020 können Sie Ihre Karte NICHT mehr verwenden.

Donnerstag, 20. Februar 2020

Abt.: Schlechtes Phishing 🎣

So einen dummen Phishing-Versuch hatte ich ja schon lange nicht mehr in meinem Mülleingang. Diesmal von einer angeblichen Advanzia Bank, bei der ich natürlich nicht Kunde bin – schließlich ist das eine Spam und geht an jede Mailadresse, die irgendwie in die Hände von Verbrechern gekommen ist.

In diesem Fall wurde die Adresse einfach „im Web mitgenommen“. Obwohl sie für menschliche Leser dort gar nicht sichtbar ist. Hier schreibt ein dummes Skript an mit Harvestern im Web eingesammelte Mailadressen. 🤖

Advanzia Bank S.A.

Willkommen bei Ihrer Bank!

Aber ich sitze doch an meinem Spameingang. 🚽

Ab dem 20.02.2020 können Sie Ihre Karte NICHT mehr verwenden. Sie müssen das neue Web-Sicherheitssystem aktivieren.

Aha, das neue Web-Sicherheitssystem. Muss ja ein ganz sicheres Sicherheitssystem sein. Sogar „meine Karte“ hat jetzt Web. Wozu sonst sollte sie ein neues Web-Sicherheitssystem benötigen? 💳🤦

Sobald Sie Ihre Kontoinformationen aktualisiert haben, funktioniert das Konto normal.

Vorher übrigens auch. Das Problem existiert nicht. Es wird vom Spammer nur behauptet, um den Empfänger zu einem Klick in die Spam zu verleiten. Es gibt einen ganz einfachen Schutz gegen Phishing, der darin besteht, niemals in eine E-Mail zu klicken. So können einem irgendwelche Betrüger nicht ihre Betrügerlinks unterjubeln. Wenn man es sich angewöhnt, solche Websites wie die Website einer Bank ausschließlich über ein Lesezeichen im Webbrowser aufzurufen, ist man vor einer der wichtigsten Betrugsmaschen im gegenwärtigen Internet vollumfänglich geschützt. Und das kann einem schnell mehrere tausend Euro und zwei Jahre unangenehm mit Rechtssachen verhagelter Lebenszeit ersparen, denn einmal gephishte Konten – natürlich auch Konten bei Amazon und eBay – werden von solchen Betrügern für jede nur erdenkliche Form des Betrugs verwendet.

Wer mir das nicht glauben möchte, weil ich nur ein dahergelaufener Blogger bin, der frage bitte einfach mal bei der Polizei. 👮

Der gesamte Vorgang dauert nur 3 Minuten. Sie sollten jetzt Maßnahmen ergreifen, um das Problem so schnell wie möglich zu lösen.

Bitte Überprüfen Sie Ihre Kontodaten , indem Sie unten auf den Link klicken :

Klicken Sie hier , um Ihr Konto zu bestätigen.

Ich bin ja mal gespannt, ob ich noch die Zeit erlebe, in der man den dummen Sprachstummel „Click here“ nicht mehr in E-Mail liest. 🖱️

Bis dahin bleibt diese Phrase ein gutes Kriterium für die Spamfilterung. Kein fühlendes Wesen und niemand, dessen Mitteilungen es wert sind, gelesen zu werden, schreibt „Click here“ in seine E-Mail. Das tun nur Idioten, Werber und Spammer. Es gibt dabei keine einzige Fehlerkennung. 🚮

Wer da trotzdem klickt, lasse alle Hoffnung fahren! Der Link führt in die Domain ngu (punkt) kiev (punkt) ua, die einem gewissen Andrej¹ aus der Ukraine gehört und nicht der Advanzia Bank. Dort wird man mit der folgenden Phishing-Site konfrontiert:

Natürlich ist Andrej ein Spammer und hat es deshalb nicht so mit der Gründlichkeit bei seinen Betrügereien – wenn er sich Mühe geben wollte, könnte er ja auch gleich arbeiten gehen. Deshalb sind die Umlaute zerschossen, weil der Webserver kein UTF-8 als Encoding für die Inhalte im Header angibt. Die Frage, wie man das entweder durch eine Direktive in der .htaccess oder noch einfacher durch ein META-Tag im HTML-Quelltext korrigiert, könnte vermutlich jeder aufgeweckte Elfjährige mit technischem Interesse beantworten, aber Andrej ist das alles egal. Der will nichts verstehen. Der will Computer nur zum Spammen und Betrügen benutzen.

Wir bedanken uns für Ihre Mitarbeit.

Oh, wie nett. Dieser „Dank“ ist ja fast so freundlich und höflich wie ein Kackhäufchen vor der Haustür. 💩

Advanzia.S.A.Finanz Kundenservice Deutschland.
Copyright 2020 All Rights Reserved.

Solche Sprüche unter einer Mail sind schon extrem albern in der normalen Kommunikation. Sie sind so albern, dass ich Unternehmen, die so einen rechtlich wirkungslosen, auf Lesereinschüchterung abzielenden Strunz unter ihre Mail schreiben, nicht mehr ernstnehmen kann. Und nein, ich meine jetzt nicht den kleinen, selbstständigen Kaufmann, der in der BRD mit ihrem absurd überregulierten Internet kaum noch wissen kann, was im E-Mail-Verkehr rechtlich erforderlich ist und was nicht. Dass der manchmal dumme Entscheidungen trifft, ist nicht das Problem. Jedenfalls nicht seines, sondern eher eines von Regierung und Rechtsprechung. Aber wenn eine Unternehmung mit einer gewissen Größe, sagen wir mal, so ab fünfzig Mitarbeiter, neben den verpflichtenden Impressumsangaben einen derartigen Bullshit-Müll drunterschreibt, ist das peinlich und lächerlich. Und mit dem Nicht-mehr-Ernstnehmen geht bei mir regelmäßig eine Meidung und eine Neigung zum Spott einher. 🖕

¹Es ist so gut wie sicher, dass alle Angaben zum Domaineigentum falsch sind. Betrüger mögen es nicht, im Gefängnis zu sitzen.

PhotoTAN-Upgrade.

Montag, 10. Februar 2020

Oh, ein Phishing-Versuch. Das hatte ich lange nicht mehr. Und dann so ein schlecht gemachter, durchschaubarer, dummer Phishing-Versuch. 🎣

Von: Deutsche Bank <CFACDBGFGGCH@staaonline.org>

Hey, Spammer, da kannst du den Absender schon beliebig fälschen, und dann schreibst du da so eine unglaubwürdige Absenderadresse der „Deutschen Bank“ rein. Ich bin ja froh, dass du so doof bist, denn so fallen viel weniger Leute auf dein Phishing rein. Das ist zwar nicht so toll für dich, weil du dann nicht so viel Geld mit Betrügereien verdienen kannst, aber das ist halt dein Problem. Es ist schon dumm, wenn man dumm ist. 🧟

Konto gesperrt.
Bitte aktualisieren Sie die photoTAN-Methode zum Entsperren.

PhotoTAN entsperren.

Deutsche Bank @ 2020 db.com

Immerhin, die Jahreszahl stimmt. Das schafft nicht jeder! 🗓️

Der tolle Link…

$ location-cascade http://dgd4ghcecde0ccccbgfcci4s8gdcicc2cfffbficfbabfgccd2ceia620idb.staaonline.org/bWFyZ3JldEBob3JyaWJpbGUtZGljdHUuZGU=
     1	http://deutschebank.de.entechsolutions.in/deutschebank.de
     2	http://deutschebank.de.entechsolutions.in/deutschebank.de/
     3	lag.php
$ _

…geht natürlich nicht zur Deutschen Bank, sondern in eine Subdomain der wenig Vertrauen erweckenden indischen Domain entechsolutions (punkt) in, deren E-Mail…

$ host entechsolutions.in
entechsolutions.in has address 103.21.58.15
entechsolutions.in mail is handled by 1 aspmx.l.google.com.
entechsolutions.in mail is handled by 5 alt1.aspmx.l.google.com.
entechsolutions.in mail is handled by 5 alt2.aspmx.l.google.com.
entechsolutions.in mail is handled by 10 alt3.aspmx.l.google.com.
entechsolutions.in mail is handled by 10 alt4.aspmx.l.google.com.
$ _

…direkt bei Google landet, und nicht etwa bei der Deutschen Bank. Auf Google können sich Spammer und Trickbetrüger eben verlassen, das ist ein guter Freund und Komplize. 🤝

Die in der Spam verlinkte Phishing-Website sieht auch aus, und zwar so:

Warum der Inhalt der Seite nicht zentriert ist und sowohl rechts als auch unten ganz komisch aufhört? Warum in meinem Browser auf einmal typische Schriftarten aus Microsoft Windows verwendet werden können? Nun, die Antwort auf diese naheliegenden Fragen lässt sich durch einen Blick in den HTML-Quelltext der Phishing-Seite leicht finden. 🤦

<body background="Banca_files/bg.png" style="background-repeat: no-repeat; height: 635px;" class="fbIndex UIPage_LoggedOut _2gsg _xw8 _5p3y chrome webkit win x1 Locale_fr_FR" dir="ltr">

Ja, die lustigen, vom Spammer offenbar nicht verstandenen CSS-Klassen stehen da wirklich im Quelltext. Der kann sich ja auch nicht mit allem auskennen, der Spammer. Hauptsache, er kennt sich mit Spam aus. 🗑️

Statt das komplizierte HTML der originalen Deutsche-Bank-Website zu übernehmen, hat diese zertifizierte Blitzbirne von Spammer einfach einen Screenshot gemacht, diesen als Hintergrundgrafik für seine Phishing-Seite verwendet und seine Eingabefelder – vermutlich nach einer kleinen Messung in einem Grafikprogramm, vielleicht aber auch durch dummes Gestrokel – mit CSS absolut über die entsprechenden Bereiche positioniert. Und wenn das Browserfenster dann mal keine Breite von 1360 Pixel hat, sieht die Darstellung halt ein bisschen unschön aus. Aber immerhin hat sich unsere spammende und phishende Blitzbirne dadurch viel Mühe erspart, und ihr wisst ja, wenn Spammer sich Mühe geben wollten, könnten sie ja auch gleich arbeiten gehen. 😫

Ich hoffe, dass der schmierige Betrüger verhungert, weil er niemanden mehr findet, der auf seine miesen Nummern reinfällt! 💀

Übrigens gibt es einen ganz einfachen, kostenlosen und – im Gegensatz zu irgendwelchen Schlangenölen – sehr wirksamen Schutz gegen Phishing: Niemals in eine E-Mail klicken! Wenn man es sich angewöhnt, die jeweiligen Websites direkt im Webbrowser aufzurufen, statt in die E-Mail zu klicken, können einem nicht mehr irgendwelche Verbrecher einen Link unterjubeln. Zum Glück haben die Webbrowser seit dem Mosaic Netscape 0.95 beta aus dem Jahr 1994 (örks¹!) diese praktische Lesezeichenfunktion, so dass es ebenfalls nur ein einfacher Klick ist, wenn man sich erstmal ein Lesezeichen angelegt hat. Nutzt diese Funktion, klickt nicht mehr in E-Mails und ihr seid völlig sicher vor Phishing. Und übrigens auch vor der ebenfalls auf diesem Weg untergejubelten Schadsoftware. 💡

¹Wer Interesse daran hat, alte und uralte Webbrowser runterzuladen, wird bei evolt.org fündig.

Der Einweisungsprozess ist obligatorisch

Mittwoch, 27. November 2019

Wie, Spammer, du willst dich einweisen lassen? Ich begrüße das sehr. 🚑

Von: DeutscheBank <test@tkskorus.ru>

Von Deutsches Bank aus Russland. 😀

Ich bin natürlich kein Kunde der Deutschen Bank. Diese Spam geht wahllos an alle möglichen Adressen, und da sind auch ein paar Kunden dabei. Und einige sind vielleicht sogar so naiv, dass sie auf dieses recht plumpe Phishing reinfallen. Spam kostet leider nichts. Fünf Millionen Spams raussenden, drei Leute fallen rein: Für den Spammer bedeutet das, dass er drei Bankkonten für betrügerische Geschäfte aller Art zur Verfügung hat. 🎣

Sehr geehrter Kunde,

Genau mein Name! 👏

Ihr Konto bei der Deutschen Bank ist gesperrt.

Die echte Deutsche Bank hätte mich nicht nur namentlich angesprochen, sondern auch die Kontonummer angegeben. Denn es gibt gar nicht so wenige Kunden, die mehrere Konten haben. Aber wenn ein Spammer eine Kontonummer reinschreibt, dann ist ja keiner mehr alarmiert – bis auf die eine arme Seele vielleicht, die wirklich das Konto mit dieser Nummer hat.

Spätestens jetzt, also nach dem zweiten Satz der Spam, sollte jedem Menschen klar sein, dass es keine Mail der Deutschen Bank ist. Also muss es wohl etwas anderes sein. Selbst, wer ein Wort wie Phishing noch nie gehört hat, sollte spätestens jetzt wissen, dass es sich um einen Betrugsversuch handelt… und auf die Löschtaste klicken, tappen oder drücken. 🗑️

Aber nun kommt auch der unterhaltsame Teil. Hier wird die Frage beantwortet, wie sich so ein Spammer eigentlich vorstellt, in welcher Weise Bankhäuser ihre E-Mail formulieren. Der lustige Effekt bei der Antwort auf diese Frage kommt auch ein Stückweit daher, dass der Spammer gar kein Deutsch kann, denn sonst hätte das doch ein bisschen anders geklungen:

Warum?
Sie haben den Anweisungsprozess nicht abgeschlossen.
Der Einweisungsprozess ist obligatorisch und hilft Ihnen dabei, eine Operation ohne Hilfe der technischen Abteilung durchzuführen.
Dies erzeugt eine zufällige Online-Operation (Simulation).
Wenn der Vorgang abgeschlossen ist, wird Ihr Konto wieder normal.

Hier ausfüllen.

🤣

Deutsche Bank @ 2019Technische Abteilung.

Übrigens gibt es einen wirksamen, niemals versagenden Schutz gegen das Phishing, auch in Situationen, wo die Verbrecher zur Mailadresse einen Namen und vielleicht sogar eine Kontonummer kennen und Deutsch können: Niemals in eine E-Mail klicken! Wenn man sich angewöhnt, wichtige Websites nur über Lesezeichen im Browser aufzurufen und eine Mail von der Bank, einem Händler, einem Dienstleister bekommen hat, dann ruft man die Website einfach aus dem Browser heraus über das Lesezeichen auf und meldet sich dort an. So können einem Spammer nicht „irgendeine Website“ unterjubeln, und man wird nicht einmal zum Opfer, wenn man müde, betrunken, gestresst oder aus anderen Gründen unvorsichtig ist. Nach der Anmeldung wird man auch auf der jeweiligen Website über bestehende Probleme informiert, und wenn das nicht der Fall ist, hat man einen Betrugsversuch abgewehrt. 🛡️

Re: tamagothi.de Server shutdown notification!

Dienstag, 22. Oktober 2019

Oh, ich fahre den Server runter? Das weiß ich ja noch gar nicht. Und heute ist es ein „shutdown“, kein „shutdow“. Mal reinschauen.

Von: tamagothi.de <gerhard.fettweis@tu-dresden.de>
An: gammelfleisch@tamagothi.de

Mit gefälschter Absenderadresse in das Spamklo… ähm… Töpfchen für Sieger gezielt und sehr gut getroffen. 🚽

Update Your Email Account!

Attention: gammelfleisch@tamagothi.de

Our record indicates your email account is not updated which may lead to the deactivation of your email account within 24hours.

Please take a minute to Verify your mailbox now in order to avoid the closing down of
your email account and keep enjoying our services.

Natürlich kommt diese Spam nicht von meinem Mailserverchen, sondern von einem Kriminellen – und wenn ich auf den Link klicke, geht es auch nicht in die Domain tamagothi (punkt) de, sondern zu einer gecrackten Website, in der ein einfaches Formular abgelegt wurde, in dem ich mein E-Mail-Passwort eingeben und direkt an Kriminelle senden kann. Es ist Phishing. 🎣

In vielen Fällen kann man nur mit dem Zugriff auf die E-Mail eine komplette Online-Person übernehmen, selbst wenn für jeden Dienst ein anderes Passwort verwendet wurde. Ein einfacher Blick in das Postfach zeigt, welche Dienste verwendet werden (das lässt sich auch bequem automatisieren). Wenn man dort die Passwörter zurücksetzt, gehen die Mails mit den Bestätigungslinks an das übernommene Postfach, also zu Verbrechern. Natürlich sind auch beliebige Registrierungen mit der fremden Mailadresse möglich. So können Leute, die besser mit einer Gefängniszelle bedient wären, im Internet als jemand anders auftreten und ihre „Geschäfte“ machen. Die Ermittler klingeln schließlich bei jemanden an der Tür, der auf ein einfaches Phishing reingefallen ist – und dieser Identitätsmissbrauch kann einem jahrelangen Ärger bereiten und viel Geld und Lebenszeit kosten, die man nicht wieder zurückbekommt.

Zum Glück gibt es einen sehr einfachen und wirksamen Schutz gegen Phishing: Einfach niemals in eine E-Mail klicken! So können einem die Verbrecher nicht mehr „irgendwelche Links“ unterjubeln. Stattdessen immer die entsprechende Website mit einem dafür angelegten Lesezeichen im Webbrowser aufrufen und sich dort wie gewohnt anmelden! Wenn es Probleme gibt, die Handeln erfordern, bekommt man es auch dort mitgeteilt. Und da ein Lesezeichen im Webbrowser genau so einfach mit einem Klick zu verwenden ist wie ein Link, gibt es dabei keinen Komfortverlust. Man kann nur nicht mehr zum Phishing-Opfer werden.

Generell sollte man E-Mail mit äußerstem Misstrauen behandeln. Es ist ein praktisches Medium, aber leider auch für die Nutzung durch weniger angenehme Menschen – und eine Absenderadresse lässt sich kinderleicht fälschen, so dass es auch wie eine E-Mail von einem Freund, Kollegen oder Chef aussehen kann. Ein Klick in eine E-Mail oder das Öffnen eines Anhanges ist oft keine gute Idee. So lange sich die Menschen weigern, ihre E-Mail digital zu signieren – was wirklich nicht so schwierig ist – gibt es für den Empfänger keine Möglichkeit, zu überprüfen, von wem eine E-Mail kommt und ob sie inhaltlich unverändert ist. Die Weigerung der Menschen, eine nunmehr fast dreißig Jahre alte und kostenlos verfügbare Technik einfach mal zu benutzen, hat ein Paradies für Kriminelle geschaffen. Aber sich Antivirus-Schlangenöl andrehen lassen! 🤦

Sincerely,
The Active Directory Team.

Hat Microsoft mir geschrieben? Ohne Microsoft-Reklame? 😂

The message was sent from automated mail system. Please don’t reply to this message.
Privacy | Legal

Ja, ihr könnt mich auch mal!

Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Kategoriearchiv „Phishing“

Neue Mitteilung

Neue Mitteilung

hier drüben, um eine Deaktivierung zu vermeiden.

Fwd: Statement Amazon Information: PDG5735P – [ Mail Support ] Take your time to verify your account [ FWD ]

Ab dem 20.02.2020 können Sie Ihre Karte NICHT mehr verwenden.

PhotoTAN-Upgrade.

Der Einweisungsprozess ist obligatorisch

Re: tamagothi.de Server shutdown notification!