Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Kategoriearchiv „Phishing“

Unberechtigte Anmeldung auf Ihrem Amazon Konto

Mittwoch, 11. Juli 2018

Was? 😀

Meine Bestellungen | Mein Konto | Amazon.de

Ich nehme mal an, diese Texte waren in der Vorlage des Spammers (vermutlich eine echte Amazon-Mail) auch verlinkt. Aber er hat dann eben nicht den HTML-Quelltext übernommen, sondern den angezeigten Text. Tja, schon doof, wenn man doof ist. 😉

Hinweis

Echt, diese Mail soll mich auf etwas hinweisen? Da wäre ich ja gar nicht drauf gekommen. Was ist es denn, worauf mich die Spam hinweisen will?

Aktenzeichen # 238-416140-896957

Ah ja, auf eine für mich bedeutungslose Folge von Ziffern werde ich hingewiesen. Und außerdem…

Sehr geehrter Kunde,

…auf die Tatsache, dass ich Kunde bei „Amazon“ bin, obwohl ich davon noch gar nichts weiß. Mein Name ist dort, wo ich Kunde sein soll, allerdings nicht so bekannt. Aber hey, dafür gibts Ziffern. Fünfzehn Stück an der Zahl. Das ist echt eine Menge! Die sind doch fast so gut wie eine persönliche Ansprache. Und vor allem: Fast so persönlich. 😀

es wurde probiert, auf Ihr Kundenkonto zuzugreifen.

😯

Unser Sicherheitscenter hat einen unberechtigten Login auf Ihr Nutzerkonto festgestellt.
Im nachfolgenden Abschnitt finden Sie alle weiteren Details:

Hinweis:
unberechtigter Login

Datum:
Tuesday, den 10. July 2018

Uhrzeit:
11:46 (GMT-3)

Standort:
Rozhdestvenskiy Maydan, Russland

IP-Adresse:
124.96.63.109

Browser:
Firefox 51.0

Betriebssystem:
Windows 10

Was, ich benutze Windows 10? Und eine russische IP-Adresse? Gleich mal gucken, ob die wirklich russisch ist:

$ whois 124.96.63.109 | grep -i ^country
country:        JP
country:        JP
country:        JP
$ _

Die ist in Wirklichkeit japanisch, diese vom Spammer angegebene „russische“ IP-Adresse. Aber die Zielgruppe sind ja auch nicht Leute, die so etwas schnell überprüfen, sondern Leute, die sich schnell erschrecken lassen und glauben, sie wären gerade von irgendwelchen pösen Russen gehackt worden. Diese Leute…

Wenn es sich bei diesem versuchten Login um Sie handelt, müssen Sie nichts weiter tun.

Sollte es sich bei diesem versuchten Login jedoch nicht um Sie gehandelt haben, dann ist es umgehend nötig, Ihre Daten zu überprüfen und Ihr Nutzerkonto wiederherzustellen. Um mit der Verifizierung zu beginnen, klicken Sie bitte auf den nachfolgenden Link:

Vielen Dank für Ihr Verständnis!
Amazon.de

…sollen dann auf einen Link klicken. In einer Spam, die auch bei Menschen wie mir ankommt – ich habe noch nie einen Account bei einem in meinen Augen verachtenswerten Unternehmen wie Amazon gehabt und werde auch niemals einen haben.

Leider hat der Spammer, der es schon weiter oben nicht so mit den Links hatte, auch hier den Link vergessen. Da hilft es wohl nur noch, in den Quelltext der Spam zu schauen, um mal zu gucken, ob es einen Anhaltspunkt dafür gibt, wo die Reise hingegangen wäre:

[...]
<td style=3D"padding: 11px 18px 18px; width: 50%; line-height: 18px; f=
ont-family: Arial , sans-serif; font-size: 14px; vertical-align: top; =
background-color: rgb(239, 239, 239);"> <p style=3D"font: 13px/18px Ar=
ial , sans-serif; margin: 2px 0px 9px; font-size-adjust: none; font-st=
retch: normal;"> <a name=3D"7cd146f12b3e766585599fbbf38fa83f" class=3D=
"f99a133bf01a6b0027df524a62efad89" id=3D"53574fcb89df0e5cdbb43b12848ec=
043" href=3D"https://amazon.de.datenverify51.com/login.php" target=3D"=
_blank"><img name=3D"1336a9588b58e3e165890cc52ded74ef" class=3D"26ac64=
18003031b6432357d44e3bca1a" id=3D"cb623c8d009c0cf705eee0c82d30a5e1" st=
yle=3D"border: 0px currentColor; border-image: none; width: 205px;" al=
t=3D"" src=3D"https://amazon.de.datenverify51.com/button.png"></a></p>=
 </td>=20
[...]

Oh, der Spammer hat ja doch einen Link gesetzt – mithilfe eines extern referenzierten Bildes, das von einer anständigen Mailsoftware natürlich nicht einfach so nachgeladen wird. Sowohl Link als auch Bild liegen in der Domain amazon (punkt) de (punkt) datenverify51 (punkt) com, die natürlich nichts mit Amazon zu tun hat, sondern eine Subdomain von datenverify51 (punkt) com ist. Wer diese tolle Domain registriert hat, kann man im Lande des Datenschutzes natürlich nicht mehr auf einfache Weise herausbekommen:

$ whois datenverify51.com | grep WHOIS
   Registrar WHOIS Server: whois.PublicDomainRegistry.com
$ whois -h whois.PublicDomainRegistry.com datenverify51.com | grep ^Registrant | sed 7q
Registrant Name: GDPR Masked
Registrant Organization: GDPR Masked
Registrant Street: GDPR Masked GDPR Masked GDPR Masked 
Registrant City: GDPR Masked
Registrant State/Province: GDPR Masked
Registrant Postal Code: 00000
Registrant Country: GDPR Masked
$ _

Ist doch schön, dass die Daten von Phishern jetzt so gut geschützt werden! :mrgreen:

Immerhin lässt sich noch herausbekommen, dass der Server bei Domainfactory gehostet ist – und dort war die Administration offenbar schon über die Phishing-Spams unterrichtet und hat kurzerhand den Stecker gezogen. Gut so! Das spart mir meine übliche Mail… und ich hoffe mal, dass fürs Hosting Vorkasse genommen wurde. 😉

Dies ist eine automatisch versendete Nachricht. Bitte antworten Sie nicht auf dieses Schreiben, da die Adresse nur zur Versendung von E-Mails eingerichtet ist.

Nein, das ist eine Phishing-Spam mit gefälschtem Absender.

Der beste Schutz vor Phishing (und vor anderen Formen der Kriminalität, die mit E-Mail vorangetrieben werden) besteht darin, dass man sich angewöhnt, niemals in eine E-Mail zu klicken und Websites immer über ein Lesezeichen in seinem Browser aufzurufen. So kann man niemals auf irgendwelche von Verbrechern schnell aufgeschäumte Seiten gelangen, die „wie Amazon aussehen“ und bei denen man seine Login-Daten eingeben soll, nachdem einem ein kräftiger Schrecken eingejagt wurde. Wenn man dann nach dem Login auf der echten Amazon-Website kein Problem angezeigt bekommt, hat man einen kriminellen Angriff abgewehrt und sich möglicherweise einen Haufen Ärger erspart.

DSGVO: Cyberkriminelle nutzen Unsicherheit

Dienstag, 12. Juni 2018

Keine Spam, sondern ein Hinweis auf einen beachtenswerten Artikel der ARD-Tagesschau [dauerhaft archiverte Version] über Phishing-Mails zur DSGVO:

Die Datenschutzgrundverordnung spülte in den vergangenen Wochen eine wahre Flut immer gleicher E-Mails in die Postfächer: „Bitte bestätigen Sie, dass wir Ihnen auch weiterhin unsere Neuigkeiten zuschicken können“, hieß es da. Außer dieser gab es eine zweite Mail-Welle: Cyberkriminelle nutzten das Thema für sogenannte Phishing-Angriffe – das geschickte Abgreifen von Passwörtern

Bitte nicht darauf hereinfallen!

Generell niemals in eine E-Mail klicken und niemals einen Link aus einer E-Mail benutzen! Wer diese sehr einfach zu merkende Regel beherzigt, kann nicht von Kriminellen überrumpelt und „gephisht“ werden.

Der Absender einer E-Mail ist beliebig fälschbar, und leider benutzt praktisch niemand digitale Signaturen, die den Absender jenseits jedes vernünftigen Zweifels sicherstellen könnten, obwohl das kein Geld kosten würde und nur geringen Aufwand verursachte. Websites, bei denen man ein Benutzerkonto hat, bitte ausschließlich über die Lesezeichenfunktionen des Webbrowsers besuchen! Dies gilt insbesondere auf Websites, bei denen es direkt um Geld oder geldwerte Güter geht (Amazon, eBay, PayPal, Online-Banking etc.) und bei Websites, über deren Konten Logins auf anderen Websites möglich sind (Twitter, Facebook etc.). Diese einfache Vorsichtsmaßnahme kann eine Menge Ärger, Laufereien und Geld einsparen. Und es ist nicht schwierig, die Lesezeichen-Funktion (Freunde des Internet-Exploiters lesen hier: Favoriten) des Webbrowsers zu nutzen.

Ja, E-Mail ist ein praktisches Medium, aber es ermöglicht jedem Menschen im Internet, anderen Menschen irgendwelche beliebig formulierten und gestalteten Texte mit falschem Absender zuzustellen, voller giftiger Links oder Anhänge. Und das Internet ist leider auch voller Gestalten, die nur von ihrer Mutter vermisst würden, wenn es sie nicht gäbe. Also: Immer vorsichtig bleiben, und ganz besonders vorsichtig bei E-Mail!

Oder, um es mit der ARD-Tagesschau zu sagen, die in erfreulicher Klarheit ebenfalls das Wichtigste mitteilt:

Die gute Nachricht: Mit nur drei Schritten sind selbst gut gemachte Phishing-Mails keine Gefahr mehr: Bei unerwarteten Mails nie auf enthaltene Links klicken, keine angehängten Dateien öffnen und einfach nicht antworten

Ist doch gar nicht so schwierig. 😉

Versuchte Änderungen des PayPal-Kontos

Montag, 30. April 2018

Der Empfänger dieser Spam hatte gar kein PayPal-Konto. 😉

Aber diese Spam kommt ja auch nicht von PayPal. Obwohl der Absender so aussieht. Es ist nun einmal kinderleicht, einen falschen Absender für eine E-Mail anzugeben.

Versuchte Änderungen des PayPal-Kontos

Aber Spammer, das hast du schon im Betreff gesagt.

Guten Tag,

Immer eine gute Anrede für einen Kunden.

Es wurden kürzlich einige vergebliche Versuche unternommen, wichtige Informationen in Ihrem PayPal-Konto zu ändern. Diese Vorgänge können das Ändern des Passworts, der Standard-E-Mail-Adresse oder der Sicherheitsabfragen bzw. das Entfernen einer E-Mail-Adresse, das Hinzufügen eines geschäftlichen Logins oder das Schließen des Kontos betreffen.

Na, das ist doch gut, wenn diese Versuche „vergeblich“ waren. Warum waren sie eigentlich „vergeblich“. Kannte der Typ, der die Versuche gemacht hat, etwa mein Passwort nicht? Wie konnte er dann eine Änderung der von mir hinterlegten Daten ausprobieren? Der ist da doch gar nicht rangekommen. Der konnte sich doch gar nicht erst anmelden.

Schon die einfachste vom Text der Spam aufgeworfene Frage zeigt, dass die hier von einem Phisher hingestellte Situation Quatsch ist, der naive Empfänger einschüchtern und verängstigen soll, damit sie in eine Spam klicken und voller Angst ihre PayPal-Anmeldedaten auf einer Website von Betrügern preisgeben, am besten gefolgt von weiteren Daten zu Bankverbindung und/oder Kreditkarte, die bei PayPal schon längst bekannt sind.

Ihre Sicherheit, sowie Datenschutz im Allgemeinen, sind unsere höchste Priorität. Aus diesem Grund scannen wir regelmäßig alle Konten auf Fehler und Probleme. Bei der letzten Prüfung fiel jeodch Ihr konto, auf Grund von suspektem Verhalten, negativ auf. Deshalb haben wir Ihr Konto vorübergehend gesperrt.

Ich denke, da hat jemand einen Crack an meinem Konto versucht. Und jetzt ist mein Konto aufgefallen, weil es sich einfach von sich selbst aus irgendwie verhalten hat… 😀

Was muss ich jetzt machen?

Loggen Sie sich auf www.paypal.de (Hier Klicken) in Ihr PayPal-Konto ein..

Der Click-Here-Link geht allerdings nicht in die Domain von PayPal, sondern ist über den URL-Kürzer kutt (punkt) it maskiert. Mal schauen, wo die Reise hingeht:

$ lynx -mime_header https://kutt.it/nCoaBO | grep ^Location 
Location: https://www.kunden-0sicherhiet0-aktualiseren.de/pp/
$ _

Und nein, die bei der 1&1 Internet AG gehostete Website zu dieser am 23. April eingerichteten Domain ist nicht die Website von PayPal. Obwohl sie versucht, wie die Website von PayPal auszusehen:

Screenshot der Darstellung der Phishing-Seite im Browserfenster, man beachte das Schlösschen in der Adresszeile

Übrigens: Anders als viele Menschen immer noch denken, zeigt das Schlösschen in der Adresszeile des Browserfensters nicht etwa „Sicherheit“ an, sondern eine verschlüsselte Übertragung der Daten, bei welcher kein Dritter manipulieren oder mitlesen kann. Das kann zugegebenermaßen die Sicherheit erhöhen, und zwar deutlich. Wenn dieser verschlüsselte Datentransport aber dazu führt, dass Zugangsdaten für ein Konto bei einem Zahlungsdienstleister bei Kriminellen landen, sollte man sich nicht gerade „sicher“ fühlen, sondern ganz im Gegenteil.

Deshalb bitte einprägen und von keinem Jornalisten etwas anderes erzählen lassen: Das im Browserfenster angezeigte Schlösschen meint nicht Sicherheit, es meint Verschlüsselung!

Bestätigen Sie Ihre Daten und verifizieren Sie Ihr Nutzerkonto.

Überhaupt keine gute Idee. Schon der Klick in die E-Mail ist eine ganz schlechte Idee. Wer sich angewöhnt, für Websites, bei denen er ein Benutzerkonto hat, Lesezeichen im Browser anzulegen und diese Websites nur über diese Lesezeichen zu besuchen und niemals durch einen Klick in eine E-Mail, der ist vollkommen sicher vor Phishing. Selbst dann, wenn die Präsentation des Phishings einmal viel besser und überzeugender sein sollte als hier.

Generell gilt, dass E-Mail zwar ein praktisches, aber eben auch ein gefährliches Medium ist.

Viele Grüße

Ihr PayPal-Team

Mit Gruß von einer Verbrecherbande, die mit gephishten PayPal-Konten Betrugsgeschäfte macht.

Bitte antworten Sie nicht auf diese E-Mail. Um mit einem Mitarbeiter unseres Kundenservice zu sprechen, klicken Sie auf Hilfe und Kontakt.

Hilfe-Center | Konfliktlösungen | Sicherheits-Center

Angebliche Klickelinks, auf die man gar nicht klicken kann, wirken immer ganz besonders unterzeugend. Aber dass die Konzentration der Spammer nachlässt, wenn sie ihre eigentliche Botschaft fertig haben; dass die Gedanken bereits im Bordell sind, während die Finger noch die Phishing-Spam fertigtippen, das ist durchaus typisch.

Copyright © 1999–2018 PayPal. Alle Rechte vorbehalten.

PayPal (Europe) S.à r.l. et Cie, S.C.A., Société en Commandite par Actions. Eingetragener Firmensitz: 22-24 Boulevard Royal, L-2449 Luxembourg, RCS Luxembourg B 118 349

PayPal PPC000477:1.14:217072cb66ff2

Nein, PayPal hat mit dieser Spam nichts zu tun.

Diese Phishing-Spam ist ein Zustecksel meines Lesers M.S.

Warum man äußerst vorsichtig mit E-Mail ist

Donnerstag, 19. April 2018

Keine Spam, sondern nur ein Hinweis auf einen Golem-Artikel, der die Verbreitung eines Trojaners über E-Mail beschreibt:

Das Schadprogramm gibt sich als Entspannungssoftware aus, die das Gehirn beruhigen soll und kopiert Zugangsdaten für Facebook […] Die Ansprache erfolgt nach Angaben von Radware vermutlich über Phishing-Mails. In den Mails finden sich legitim aussehende Nachbildungen bekannter Webadressen, etwa aol.net und picc.com. Tatsächlich bieten diese Webseiten das beworbene Tool aber nicht an. Die Domains werden mit einer lange bekannten Methode verschleiert, dem sogenannten Punycode-Phishing. Dabei wird etwa die Adresse xn--80ak6aa92e.com als apple.com angezeigt, ohne dass Nutzer das einfach nachvollziehen können

Tatsächlich gibt es gegen diese Form der Überrumpelung einen einfachen Schutz, über den Golem leider nichts schreibt: Niemals in eine E-Mail klicken, sondern die entsprechenden Websites immer über ein Lesezeichen des Webbrowsers aufrufen (oder ihre Adressen von Hand in die Adresszeile des Browsers eingeben).

Dieses bisschen einfach anzuwendende Vorsicht bewahrt vor jedem Phishing und damit möglicherweise vor großen Schäden.

Internet! Vor jedem Klick auf einen Link: Gehirn benutzen!

Es ist Internet. E-Mail ist ein sehr praktisches Medium, aber das gilt leider auch für Kriminelle, die damit beliebige Dateien auf die Computer anderer Menschen bringen und Links verbreiten können. Der angegebene Absender einer E-Mail lässt sich mit Leichtigkeit beliebig fälschen. Jede E-Mail, die nicht digital signiert ist und deren digitale Signatur man nicht überprüft hat, ist als eine E-Mail von einem unbekannten und anonym bleibenden Absender zu betrachten, möglicherweise also auch als eine E-Mail von einem Kriminellen. Niemals einen Anhang in einer unsignierten E-Mail öffnen, dessen Zustellung nicht über einen anderen Kanal als E-Mail vorher vereinbart wurde; niemals in eine unsignierte E-Mail klicken. Auch nicht, wenn sie vom Chef, von einem Bekannten, von einem Kollegen, von der Bank oder vom Weihnachtsmann zu kommen scheint.

Das Antivirus-Schlangenöl hat gegen einen als kleines Spielprogramm getarnten Trojaner nichts genützt. Ein eingeschaltetes Gehirn und die bei E-Mail stets angemessene Vorsicht hätten die Übernahme des Computers durch Kriminelle verhindert.

Ihr Paypal Konto wurde gesperrt

Montag, 19. Februar 2018

Diese Phishing-Spam ist HTML-formatiert, und das wenig überzeugende Streben des kriminellen Phishers nach Design sieht so aus:

Screenshot der HTML-Darstellung der Spam in einer Mailsoftware

Ob das echte PayPal wohl so ein unvorteilhaftes grau auf blau für die Darstellung seines Logos wählen würde? Diese Spam hilft jedenfalls nicht beim Beantworten der Frage, denn sie kommt nicht von PayPal. Der Absender service (at) paypal (punkt) com ist gefälscht. Die Spam hat niemals einen Server von PayPal gesehen und wurde über einen großen „Cloud“-Dienstleister aus New York, USA, versendet. Der Dienstleister ist über den Missbrauch seiner Infrastruktur bereits informiert, und die Polizei hat bereits Ermittlungen aufgenommen. Es ist zwar schade, dass dabei erst einmal jemand ermittelt werden wird, dessen Daten von Verbrechern missbräuchlich angegeben wurden, aber ich kann das ja auch nicht ändern. So etwas ist übrigens der Grund, weshalb man immer äußerst sparsam mit seinen persönlichen Daten umgeht. Und zwar auch dort, wo man naiv glauben möchte, vertrauen zu können! Es gibt keinen anderen Datenschutz als strikte Datenvermeidung, die man selbst in die Hand nimmt. Jeder, der etwas anderes erzählt – auch Werber, Politiker und Journalisten – ist ein Lügner.

Wichtige Kundenmitteilung
Zum Datenabgleich

Da steht noch nicht einmal, um was es geht, nur, dass es irre und für extragroße Buchstaben wichtig ist, zum „Datenabgleich“ zu klicken.

Guten Tag,

Genau mein Name!

wegen ungewöhnlichen aktivitäten auf Ihrem Kundenkonto wurde dies von uns eingeschränkt

Ah ja! Sehr informativ! Und was waren diese „ungewöhnlichen Aktivitäten“? :mrgreen:

Ihre Bearbeitungsnummer lautet PaP-59-18916-4893

Hey, aber es gibt eine Nummer. Das ist ja fast so gut wie richtige Information. Sind ja auch Ziffern drin.

Bitte klicken Sie auf den oben genannten Link um einen Datenabgleich durchzuführen.

Und, hören davon die nicht näher bezeichneten „ungewöhnlichen Aktivitäten“ auf? Oder hat es irgendeinen anderen Sinn, wenn ich gegenüber „PayPal“ noch einmal lauter Daten angebe, die PayPal schon längst kennt? Und die übrigenes auch jemand längst kennte, der mein PayPal-Konto gehackt hätte und deshalb alle von mir angegebenen Daten hätte einsehen können?

Diese „Verifikationen durch Datenneueingabe“, die die Spammer in ihren dürftigen Geschichten immer haben wollen, sind doch ein sehr leicht durchschaubarer Bullshit.

Viel Einkaufsspaß mit sicheren Zahlungen wünscht PayPal!

Ich denke, ihr habt mich eingeschränkt?! Das ist ja, als ob man jemanden auf strikt kalorienreduzierte Diät setzte und guten Appetit mit den Keksen und dem Schokopudding wünschte… 😀

Wir bitten um Ihr Verständnis.

Nee, kriegt „ihr“ nicht.

Der Link ist natürlich nicht direkt gesetzt, sondern geht über einen mir bislang unbekannten Linkkürzer gg (punkt) gg. Leider war ich mit meiner Spamlektüre viel zu spät dran, und der Link ist dort bereits ungültig gemacht worden:

Screenshot der Hinweisseite, dass der Link entfernt wurde

Dafür vielen Dank von mir! Je schneller solche Verbrecher daran gehindert werden, irgendwelche Webdienste für ihr betrügerisches Handwerk zu benutzen, desto besser. Das „besser“ gilt natürlich auch für URL-Kürzer, die kein Interesse daran haben können, in die Reputation von „Helfern der Kriminellen“ zu kommen.

Sparkasse.de | Sicherheitsbenachrichtgung

Freitag, 26. Januar 2018

Aber ich bin doch gar nicht bei der Sparkasse… natürlich kommt diese Mail nicht von der Sparkasse. Es ist eine Phishing-Spam.

Von: „Service Team“ <info@support.com>

Der gefälschte Absender sieht mal wieder gar nicht sparkassig aus.

Sehr geehrte Sparkassen Kunden,

Genau mein Name!

aufgrund unserer neuen Nutzungsbedingungen ist eine Aktualisierung Ihrer Daten notwendig.

Was, Banken haben Nutzungsbedingungen? Ungefähr so wie Facebook? Und keine AGB? Und diese Bedingungsen werden ohne Mitteilung einfach so geändert, damit alle möglichen sehr geehrten Kunden jetzt in eine Spam klicken müssen.

Mit diesem Schritt möchten wir Ihre Sicherheit als Sparkassen Kunde erhöhen und Ihr Konto dadurch vor Missbrauchfällen schützen.

Aha! Trotzdem sind eure geänderten AGB (oder „Nutzungsbedingungen“) schlicht ungültig, wenn ihr sie nicht vorher mitgeteilt habt.

„Missbrauchfällen“ würde in einer richtigen Mail eines echten Kreditinstitutes niemals stehen. Das Deppen Leer Zeichen in „Sparkassen Kunde“ kann leider sehr wohl passieren… 🙁

Dazu bitten wir Sie die Anweisungen auf der verlinkten Sparkassen Seite zu folgen, damit Sie schnellstmöglich von der erhöhten Sicherheit profitieren können.

Genau, wenn man in eine Mail klickt, dann erzeugt das hokus pokus Sicherheit. Warum? Weil es in der Mail steht. Aber nur, wenn man „die Anweisungen folgt“.

Übrigens ist das genaue Gegenteil davon wahr: Wer sich niemals dazu hinreißen lässt, in eine E-Mail zu klicken, kann auf keine der häufigen Formen von Internetkriminalität reinfallen. Das spart viel Geld und Nerven. Deshalb sollte sich jeder Mensch angewöhnen, niemals in eine E-Mail zu klicken.

In diesem Fall könnte einfach die Sparkassen-Website aufgerufen werden. Nach einer gewohnten und problemlosen Anmeldung stellt man dabei ganz von allein fest, dass die behaupteten Probleme in der Phishing-Spam nicht existieren, denn sonst würde man ja auf der Website der Sparkasse darauf hingewiesen. Damit es auch wirklich einfach und bequem ist, Websites direkt aufzurufen, haben alle Webbrowser seit dem Mosaic Netscape 0.9 Beta aus dem Jahr 1994 eine praktische und leicht zu benutzende Lesezeichenfunktion.

Aktualisieren Sie bitte jetzt Ihre Daten, um eine Sperrung Ihres Kontos zu verhindern.

An meinen Daten hat sich doch gar nichts verändert… 😀

Eine Entsperrung kann nur gebührenpflichtig von einem Sachbearbeiter erledigt werden.

Aha, eine Nötigung versucht diese „Spaßkasse“ aus der wirren Phantasie eines Verbrechers auch noch.

Klicken Sie auf den unten stehenden Link, um die Aktualisierung zu starten.
Zur Aktualisierung

Der Link geht natürlich nicht zur Sparkasse, sondern zum URL-Kürzer Bitly. Und von dort dann auf einen anderen Kürzer. Und dann wird noch einige Male innerhalb der wenig Vertrauen erweckenden Domain www (punkt) sparkasse (punkt) de (strich) vorgangsnummer (strich) kda5 (punkt) bid, oder, um es genau zu sagen:

$ location-cascade http://bit.ly/2nb1Xfj
     1	http://shortennn.bid/?l=dm3gYLUy1
     2	http://www.sparkasse.de-vorgangsnummer-kda5.bid/portal/spar/kasse/
     3	https://www.sparkasse.de-vorgangsnummer-kda5.bid/portal/spar/kasse/
     4	/881388/D3Fwx1lgzSiGWer/09YXNC2nuafAFIb/423979446617/x5mU1oVyPWT8diq/n5Kt7xz6J0brLXk/
$ _

Dort gibt es dann eine Website, die mit einem bisschen Design so tut, als sei sie von der Sparkasse:

Screenshot der Phishing-Seite im Design der Sparkasse

Da helfen alle aus der Originalseite leicht kopierten Schlösschen und das ganze Gefasel vom „sicheren Anmelden“ nichts: Was immer man hier an Daten eingibt, geht direkt an Kriminelle – und es wird im nächsten Schritt noch viel mehr. Übrigens ist die Verbindung TLS-verschlüsselt, so dass der Webbrowser auch noch ein Schlösschen anzeigt. Immerhin: So kommt niemand außer den Kriminellen an die gephishten Daten. 😈

Wir bedanken uns im Voraus für Ihr Verständnis.

Danke für nichts!

Mit freundlichen Grüßen,
Ihre Sparkasse

Freundlich wie ein Fausthieb
Dein Phishing-Spammer

Diese Spam aus dem täglichen Wahnsinn des Posteinganges ist ein Zustecksel meines Lesers M.S.

Ihr Páypal Konto wurde eingeschränkt

Mittwoch, 10. Januar 2018

Huch, wie ist die denn durch den Spamfilter geflutscht?

Von: Paypál <service@paypal.com>

Der Absender ist gefälscht. Die Spam hat niemals einen Server von PayPal gesehen. Mein Exemplar dieser Phishing-Spam wurde übrigens über einen gemieteten Server eines Hosters aus den USA versendet. Natürlich mietet ein Verbrecher so einen Server nicht unter Angabe seines eigenen Namens und bezahlt ihn nicht mit seiner eigenen Kreditkarte, so dass vermutlich mal wieder einem Menschen, der bereits betrogen wurde, als kleine kriminelle „Zusatzleistung“ auch noch die Freude bevorsteht, dass gegen ihn wegen Betrugs ermittelt wird. 🙁

Lustig, dass „PayPal“ seine eigene Firmierung nicht richtig schreiben kann, so dass es nacheinander zu der Schreibweise „Páypal“ (im Betreff) und „Paypál“ (in der gefälschten Absenderadresse) kommt. Woran das liegt? Na, es liegt daran, dass diese Spam nicht von PayPal kommt.

Deshalb ist man ja auch sehr zurückhaltend mit der Preisgabe von Daten. Auch gegenüber irgendwelchen Unternehmen. Aber erst recht, wenn man in einer E-Mail dazu aufgefordert wird, auf irgendeiner Website Daten einzugeben.

Wir helfen Ihnen bei Problemen mit einer Transaktion.

Das ist ja nett! :mrgreen:

Wichtige Kundenmitteilung
Zum Datenabgleich

Ich komme später noch zum Link.

Guten Tag,

Dass diese Spammer aber auch immer so genau wissen, wie ich heiße!

leider müssen wir Ihnen mitteilen, dass wir Ihr Páypal Konto vorübergehend eingéschränkt haben. Um Ihr Konto wieder freizuschalten nutzen Sie bitte den oben angegebenen Link.

Ah, „eingeschränkt“ gibt es jetzt auch mit einem accent aigu. Vermutlich reicht dieses eine Wort in vielen Fällen schon aus, damit die betrügerische Spam nicht mehr durch den Spamfilter kommt, und deshalb denken sich die Verbrecher halt neue Schreibweisen aus.

Hier steht übrigens zwischen den Zeilen etwas ganz Wichtiges, wenn man sich vor Phishing schützen möchte. Wer nicht betrogen werden will und sich weiteren, teils jahrelangen Ärger ersparen möchte, der klickt natürlich niemals in eine E-Mail, sondern legt sich ein Lesezeichen im Webbrowser an und nutzt dieses. Ein Phisher hat nur eine Chance bei Menschen, welche die schlechte und gefährliche Angewohnheit haben, in E-Mails zu klicken – denn nur diese Menschen können vom Phisher mit einem Link auf die betrügerisch nachgeahmten Websites gelotst werden. Wer diese schlechte und gefährliche Angewohnheit hat, sollte sie sich unbedingt abgewöhnen.

Bitte halten Sie zum Datenabgleich Ihre Bankverbindung sowie Kreditkarten Daten zu Verfügung.

Ja, ist klar!

Das Deppen Leer Zeichen in „Kreditkarten Daten“ sollte allerdings auch begriffsstutzige Zeitgenossen aufmerksam machen, dass hier etwas nicht stimmt.

Bitte achten Sie darauf das Ihre Angaben mit denen bei uns hinterlegten übereinstimmen. Ansonsten besteht die Gefahr das Ihr Konto dauerhaft gesperrt wird.

Ja, ist klar!

Mit denen bei euch hinterlegten… 😀

Wir bitten um Ihr Verständnis.

Nein!

Übrigens, der Link.

Der geht natürlich nicht in die Domain von PayPal, sondern über den URL-Kürzer Bitly. Die Verwendung eines URL-Kürzers in einer HTML-formatierten Mail ist natürlich überflüssig, und außerdem würde PayPal so etwas niemals tun, weil damit die Geschäftsbeziehung gegenüber einem Dritten geoffenbart würde. Stattdessen würde PayPal einen direkten Link auf eine Website in seiner eigenen Domain setzen… außer manchmal… 🙁

Mal schauen, wo die Reise hingeht

$ lynx -mime_header http://bit.ly/2ErK3eI | grep ^Location
Location: https://paypal.de-sicherer-login.com/script.php
$ _

Aha, es geht in eine Subdomain der Domain de (strich) sicherer (strich) login (punkt) com, die zu…

$ dig paypal.de-sicherer-login.com

; <<>> DiG 9.10.3-P4-Ubuntu <<>> paypal.de-sicherer-login.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 5125
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;paypal.de-sicherer-login.com.	IN	A

;; ANSWER SECTION:
paypal.de-sicherer-login.com. 2741 IN	CNAME	de-si.5a55c254.2018.cbricdns.com.

;; AUTHORITY SECTION:
2018.cbricdns.com.	600	IN	SOA	ns-10.awsdns-01.com. awsdns-hostmaster.amazon.com. 1 7200 900 1209600 86400

;; Query time: 42 msec
;; SERVER: 127.0.1.1#53(127.0.1.1)
;; WHEN: Wed Jan 10 13:45:28 CET 2018
;; MSG SIZE  rcvd: 177

$ whois cbricdns.com | grep WHOIS
   Registrar WHOIS Server: whois.godaddy.com
$ whois -h whois.godaddy.com cbricdns.com | grep ^Registrant
Registrant Name: TJ Jung
Registrant Organization: Cloudbric Corp
$ _

…einer lustigen Domain eines Cloud-Anbieters und offenbar auch Dienstleisters für dynamisches DNS aufgelöst wird. Zum Glück für den Rest der Welt ist der Stecker bereits gezogen, so dass ich leider keinen Screenshot der aktuellen Phishing-Seite machen kann. Es wird sich jedoch um eine „liebevoll“ nachgemachte Login-Seite von PayPal gehandelt haben, die in ein paar weiteren Schritten eine Menge weiterer Daten für betrügerische „Geschäfte“ abfragt.

Aber wer niemals in eine E-Mail klickt, kann da ja gar nicht landen und auch nicht aus Versehen einer Betrügerbande Zugriff auf das PayPal-Konto, das Bankkonto und die Kreditkarte gewähren. Deshalb klickt man ja auch niemals in eine E-Mail

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.