Kategoriearchiv „Phishing“

Gibt es ein Datenleck bei PayPal oder eBay?

Donnerstag, 13. Februar 2014

Bevor ich erkläre, wie ich auf diese Frage komme, gibt es zunächst einmal eine ganz gewöhnlich anmutende Phishing-Spam.

Diese Mail sieht auf dem ersten Blick wie das ganz normale, dumme Phishing aus; etwas, das ich hier so oft erwähne, dass ich mich hier jeden längeren Kommentares zum Inhalt und zu den Schwächen der Mail enthalte [bis auf Kurzanmerkungen in eckigen Klammern]:

Betreff: Αktuаlіѕіегung dеѕ Kоntоѕtаtuѕ
Absender: ѕervісe (at) pауpаl (punkt) de <natalie (at) studionphotography (punkt) com> [natürlich gefälscht!]

Hallo Lieber Kunde! [sic!]

Bitte helfen Sie uns dabei, Ihr ΡауΡаl-Konto wieder in Ordnung zu bringen. [sic!] Bis dahin haben wir den Zugang zu Ihrem ΡауΡаl-Konto vorübergehend eingeschränkt.

Wo liegt das Problem?

Wir möchten, dass Sie einige Ihrer Kontoinformationen bestätigen. [sic! Das ist eine tolle „Begründung“!]

Was mache ich jetzt?

Loggen Sie sich in Ihr ΡауΡаl-Konto ein und gehen Sie auf die Seite Konfliktlösungen. Dort sehen Sie, welche Informationen wir genau von Ihnen brauchen – und können sie gleich einreichen. [sic!] Und Sie sehen auf einen Blick, welche Funktionen Ihres ΡауΡаl-Kontos Sie noch nutzen können. [sic!]

Viel Einkaufsspaß mit sichererereren Zahlungen wünscht ΡауΡаl!

Copyright © 2014 ΡауΡаl. Alle Rechte vorbehalten.

Jeder Mensch mit einem bisschen Erfahrung sollte diese Mail als eine Spam und einen sehr durchschnittlichen Phishing-Versuch erkennen können, wenn sie einmal durch den Spamfilter kommt. Allein schon an der lustigen Anrede… 😉

Die Links gehen im Original natürlich nicht zu PayPal, sondern auf kryptische Subdomains in der Domain pay4lo (punkt) com, die vorgestern unter Angabe einer in Google Maps nicht auffindbaren Anschrift registriert wurde, und zwar unter anderem unter der Angabe der bemerkenswerten E-Mail-Adresse test7000 (at) yahoo (punkt) com. An den Links hängt als URI-Parameter die base64-codierte E-Mail-Adresse des Empfängers; bei einem Klick wird dem Spammer also mitgeteilt, wo die Spam angekommen ist und beklickt wurde. Oder anders gesagt: Der neugierige Klick wird Folgen haben, ganz viele Folgen, jeden Tag ein Postfach voll…

So weit der leider normale Spam- und Phishing-Wahnsinn.

Datenleck?

Was diese Spams besonders und möglicherweise sehr gefährlich macht, ist etwas anderes.

Die mir vorliegende Spam – sie wurde mir übrigens von einem Leser „zugesteckt“ – ist keine „Streumunition“, sondern sehr gezielt. Sie ging an zwei verschiedene E-Mail-Adressen, die exklusiv für PayPal (um ganz unmissverständlich zu sein: für nichts anderes) verwendet wurden. Zudem wurden die PayPal-Konten mit den beiden verschiedenen E-Mail-Adressen gegenüber verschiedenen Geschäftspartnern auf eBay verwendet.

Eine dieser E-Mail-Adressen wurde vor kurzem stillgelegt, die andere hingegen wurde neu eingerichtet und bis zum Empfang dieser Spam nur für eine einzige Transaktion verwendet.

Es gibt neben dem Menschen, der diese E-Mail-Adresse eingerichtet hat, und PayPal also zurzeit niemanden, der überhaupt von der Existenz dieser Mailadresse weiß. Es handelt sich auch nicht um eine E-Mail-Adresse, die sich mit Leichtigkeit erraten lässt, also nicht um „vorname punkt nachname at kostenlos“, die sich bequem durch Verwendung einer Namensliste generieren und durchspammen lassen.

Und natürlich kam diese Phishing-Spam nur bei den beiden für PayPal verwendeten Adressen an. Und nirgends anders.

Und das erweckt den sehr starken Eindruck, dass bei eBay oder PayPal ein Datenleck vorliegen könnte. Das ist die einfachste Erklärung dafür, wie die Phisher an diese E-Mail-Adressen gekommen sein könnten. (Der Computer, der verwendet wurde, war „sauber“.)

Neben dieser einfachen und sich unmittelbar aufdrängenden Erklärung gibt es noch einige fernerliegende mögliche Erklärungen:

Der Geschäftspartner könnte auf ungeklärtem Weg an beide Adressen gekommen sein
Die Adresse wurde für eBay-Geschäfte benutzt. Alle Kommunikation lief über eBay. Dabei wird die Mailadresse maskiert. Selbst, wenn dabei die Mailadresse auf irgendeinem Wege übertragen und anschließend von einem Trojaner abgegriffen und an die Verbrecher gesendet wurde, wäre es dabei nicht zur Offenlegung beider Adressen gekommen, da diese gegenüber verschiedenen Partnern verwendet wurden. Das wirkt also unwahrscheinlich.
Es handelt sich um E-Mail-Abhördaten
Es ist ja keine Neuigkeit, dass nahezu der gesamte E-Mail-Verkehr von Geheimdiensten der Bundesrepublik Deutschland im Rechtsfreien Raum systematisch mitgelesen und überwacht wird¹, und zwar ohne, dass die Überwacher wirksam überwacht würden. Nicht, dass ich jedem besoldeten Volksüberwacher der Bundesrepublik Deutschland jetzt neben seiner undemokratischen Gesinnung und seiner emotionalen Verrohung auch noch niederste Motive unterstellen möchte, aber es wäre verhältnismäßig einfach, an dieser Stelle eine zentrale Datenbank sämtlicher aktiv benutzer E-Mail-Adressen zu erstellen, und zwar zusammen mit dem Kontext, gegenüber welchen Kommunikationspartnern diese Adressen verwendet werden. Dass solche Auswertungen vorgenommen werden, darf als sicher erachtet werden, sie legen schließlich Beziehungen offen, die in Ermittlungen „interessant“ werden könnten. Ich weiß jetzt natürlich nicht, wie hoch der Sold unserer „werten“ Volksüberwacher ist, aber ich glaube kaum, dass er so hoch ist, dass ein paar tausend oder zehntausend Euro von der Spam-Mafia von jedem Überwacher mit finanziellen Problemen abgelehnt würden, wenn er dafür nur eine… ähm… „dezentrale Sicherheitskopie“ dieser Daten weitergibt. Für Verbrecher ist eine solche Datensammlung in jedem Fall eine Goldgrube, die sogar sechsstellige Investitionen für die Datenbeschaffung plausibel erscheinen ließe, und meine Meinung von der „Ethik“ und vom Charakter eines Menschen, der an einer anlasslosen Totalüberwachung aller Menschen in der BRD beteiligt ist, kann sich hoffentlich jeder vorstellen. Sollte dies die Quelle der Mailadressen sein, wäre eine Situation eingetreten, in der die „Sicherheitspolitik“ unter dem Banner des „Supergrundrechtes“ eines früheren Innenministers Friedrich vor allem gefährlichen Verbrechern aus der Organisierten Kriminalität nützte, ansonsten das Leben der Mehrzahl der Menschen hingegen nicht nur unfreier, sondern auch unsicherer machte. Nicht, dass mich eine solche Entwicklung überraschen würde. Sie ist für mich absehbar. Nach den vielen Datenlecks bei Unternehmungen ist es nur eine Frage der Zeit, bis es zur „Veröffentlichung“ staatlicher Datensammlungen kommt.
Zufall
Natürlich kann es hin und wieder sehr unwahrscheinliche Zufälle geben. Mit „Zufällen“ kann man – wie mit dem Eingreifen Gottes oder der UFOnauten – alles „erklären“, und deshalb erklärt man dadurch nichts.

Was ist zu tun?

Zunächst erscheint es mir sinnvoll, die „Erklärung“ Zufall auszuschließen.

Deshalb meine Frage an alle Leser: Hat jemand vergleichbare Erfahrungen gemacht? Kam es in den letzten Tagen zu gezielten Phishing-Angriffen auf E-Mail-Adressen, die nur gegenüber PayPal und eBay verwendet wurden, also für keinerlei andere Kommunikation? Wenn das mehr als nur einmal geschehen ist, handelt es sich nicht um einen Einzelfall (und diese Aussage ist mein Beitrag zur Erhöhung der Anzahl veröffentlichter Tautologien im Internet). Dann immer noch Zufall anzunehmen, wäre absurd.

Hinweise auf solche Vorgänge können in den Kommentaren hinterlegt werden. Wer dabei seinen Namen und seine Mailadresse nicht angeben möchte, denke sich einfach etwas aus! Es gibt hier keine Registrierungen, Überprüfungen, Bestätigungsmails und dergleichen, schlimmstenfalls muss ich etwas von Hand freischalten, weil der überempfindliche Spamfilter angeschlagen hat. 😉

Tatsächlich wäre eine derartige Phishing-Welle sehr gefährlich.

Ich selbst gehe so vor, dass ich für jede Registrierung und jeden von mir verwendeten Webdienst eine eigene Mailadresse einrichte, um mich gegen Phishing zu schützen (und nach einem Datenleck bequem eine spamverseuchte Mailadresse stilllegen zu können), und ich empfehle genau diese Vorgehensweise auch jedem anderen Menschen. Das war bislang ein sehr wirksamer Schutz. Der Phisher, der die jeweils verwendete Mailadresse nicht kennen kann, hat selbt dann keine Chance mit seinen Überrumpelungen, wenn ihm eine gute Masche einfällt.

Eine angebliche „PayPal-Mail“, die an die Adresse geht, die ich nur in einem gecrackten Webforum verwendet habe, kann mich nun einmal nicht sonderlich alarmieren. 😉

Das sieht schon sehr anders aus, wenn sie an die richtige Adresse geht. Das, was ein Schutz war, verschafft dem Verbrecher nun einen Vorschuss an Glaubwürdigkeit, der schnell gefährlich werden kann – alles spricht auf einmal dafür, dass es sich um eine Mail von PayPal handelt. Da kann sogar eine nicht ganz so überzeugende Formulierung große Durchschlagkraft erzielen.

In diesem Fall war die Erkennung des Phishings noch einfach. Die unpersönliche Ansprache und kleine „Strokeligkeiten“ in der Formulierung (so so, „das Konto in Ordnung bringen“ und „Informationen einreichen“) erwecken sofort einen Verdacht. Gar nicht auszudenken, was passiert, wenn derartige Adressbestände auch noch mit Klarnamen zusammengeführt werden können (die Spammer arbeiten an diesem Problem) und die Phishing-Spams von jemanden verfasst werden, der glatt und trefflich formulieren kann. Eine Erfolgsquote von mindestens zwanzig Prozent wäre dann keine Überraschung, und es wären Erfolge bei Menschen, die bislang vorsichtig und intelligent vorgegangen sind. Ich mag da ein Vorurteil haben, aber ich gehe davon aus, dass bei diesen Menschen mehr Geld abzugreifen wäre…

Grundsätzlich kann ich im Moment nur eine erhöhte Vorsicht bei allen Mails von PayPal empfehlen. Ganz wichtig dabei: PayPal versendet niemals solche Mails mit der Aufforderung, bei PayPal längst bekannte Daten durch erneute Eingabe zu bestätigen. Es handelt sich immer um Phishing. Aber auch mit unverfänglicheren Anliegen empfiehlt es sich dringend, niemals in eine Mail zu klicken und sich der Gefahr auszusetzen, im „Eifer des Gefechtes“ seine Login-Daten einem Kriminellen zu verraten. Immer die Website von PayPal im Browser aufrufen und sich nur dort anmelden! Und ja: Das gleiche gilt für Banken, Versandhäuser, S/M-Anbieter², DHL, ach, es gilt einfach immer!

Meine Aufforderung an PayPal und eBay

Bitte untersucht diese Sache genau³! Sollte sich der hier dargelegte Verdacht bestätigen, dass ein Datenleck bei PayPal oder eBay vorgelegen hat, so dass gegenüber PayPal oder eBay verwendete Mailadressen „veröffentlicht“ wurden, so kann ich nur dazu raten, sofort aktiv und klärend an die Öffentlichkeit zu treten. Das sonst verlorene Vertrauen kommt so schnell nicht zurück.

Und das könnt ihr nicht wollen.

Ich hoffe allerdings sehr, dass ich hier nur „das Gras wachsen höre“.

¹BKA, BND und „Verfassungsschutz“ machen zurzeit in vollem Umfang wahr, was Stasi und Gestapo mangels technischer Möglichkeiten der herrschenden Klasse nur versprechen konnten. Und ja, Geheimdienstler mit deinem mechanischen Ohr am Datenstrom, der du hier auch an offenen Quellen mitliest: Du bist mein Feind. Warum? Weil du dich wie ein Feind aufführst, du Arsch! Du hast nicht das Recht, zu gehorchen, wenn dir solche Aufgaben übertragen werden! Du hast „nein“ zu sagen, oder du bist schuld. Lies mal ein Geschichtsbuch, du Menschenfeind! Und entschuldige bitte, dass ich dich einfach so duze, aber der Respekt gegenüber Gestalten wie dir geht mir ab.

²S/M ist meine Abk. für „social media“. Aus Gründen. Es hat nichts mit BDSM zu tun, wer aber daran denken musste, hat den von mir gewünschten Eindruck gewonnen.

³Ich werde euch gegenüber keine Angaben darüber machen, welcher eurer Kunden mir diese Information und die Phishing-E-Mail zugesteckt hat. Es ist für euch ein Leichtes, eine E-Mail an alle eure Nutzer zu schreiben, um weitere Betroffene zu finden und eine Vorstellung vom Ausmaß des Problemes zu bekommen. Tatsächlich gehört so eine Vorgehensweise zu den ernsthaften Versuchen einer Aufklärung, zu denen ich euch dringend rate. Alles andere wird, sollte es sich nicht um einen dummen Zufall handeln, dazu führen, dass ihr jedes Vertrauen bei euren Nutzern verliert. Und mit Geldtransfers Geschäfte zu machen, setzt voraus, dass vertraut wird.

Sparkasse Online-Konto aktualisieren

Montag, 10. Februar 2014

Heute scheint für die Spammer der Tag des Fett-Setzens zu sein. Diese Mail behauptet, von „Sparkasse-Deutschland“ zu kommen, und diese seltsame Sparkasse benutzt als (gefälschte) Absenderadresse sjlmg (at) mongol (punkt) net. Wenn man schon die Absenderadresse fälscht, könnte man es ja wenigstens überzeugend machen – aber warum sollte sich ein Spammer auch Mühe geben?!

Sehr geehrter Kunde,

Ich habe keine Ahnung, wie du heißt…

wir möchten Sie darauf hinweisen, dass der Zugang zu Ihrem Online-Konto in Kurze abläuft.

…aber ich möchte dir mitteilen, dass das Verfallsdatum für dein Konto ohne angegebene Kontonummer abgelaufen ist.

Um dieses weiterhin nützen zu können, bitten wir Sie Ihre Daten bei folgendem Link zu bestätigen:

Sparkasse Online-Konto aktualisieren

Damit du namenloser Kunde bei einem bislang völlig unbekannten Kreditinstitut dein Konto ohne Kontonummer weiterhin benutzen kannst, musst du deinem bislang völlig unbekannten Kreditinstitut auf einer „liebevoll“ im Sparkassen-Design gehaltenen Seite nur…

…genug Daten angeben, die jede Bank, mit der du es zu tun hast, bereits kennt. Warum du das tun sollst? Tja… ähm… um sie zu „bestätigen“. Wozu? Ach ja, wegen des Verfallsdatums des Zugangs, das erreicht wurde.

Die damit preisgegebene Identität werde ich für allerhand kriminelle „Geschäfte“ missbrauchen.

Anschließend wir Ihr Online-Konto automatisch wiederhergestellt und Sie werden von einem unserer Mitarbeiter kontaktiert.

Nach deiner gehorsamen und leichtgläubigen Datennacktmacherei vor mir gibts dann noch einen Anruf, um dir die weiteren Zugangsdaten für eine „technische Überprüfung“ rauszuleiern, damit ich dir schon vor dem Identitätsmissbrauch das Konto leerräumen kann. Deshalb sollst du ja auch die Telefonnummer angeben.

Beim Online-Banking haben Sie per Klick alles im Griff.

Mit dem komfortablen Online-Banking haben Sie schnellen und problemlosen Zugang zu Ihrem Girokonto. Bequem können Sie Überweisungen und Daueraufträge per Mausklick erledigen.

Das Online-Banking bietet aber noch viel mehr:

DIE VORTEILE AUF EINEM BLICK:

– Kontozugang rund um die Uhr
– Schneller Zugriff aufs Girokonto
– Online-Banking bequem vom Handy oder PC aus
– Flexibel in jedem Winkel der Welt
– Übersichtliche Kontoführung
– Hohe Sicherheitsstandards
– Kombinierbar mit Telefon-Banking

Um etwas Inhalt zu simulieren, erkläre ich dir, der du „Online-Banking“ schon so lange verwendest, dass dein Zugang übers Verfallsdatum gekommen ist, noch einmal in einem Reklamekurztext, was dieses ominöse „Online-Banking“ überhaupt ist.

Wir freuen uns sehr Sie weiterhin als unseren Online Konto Kunden [sic! Mit Deppen Leer Zeichen.] begrüßen zu dürfen!

Und jetzt noch mal ein bisschen simulierte Höflichkeit.

Mit freundlichen Grüßen,

Und noch mehr simulierte Höflichkeit.

Ihr Sparkasse Kundenservice

Und zum Schluss noch einmal die Behauptung, die Spam käme von irgendeiner Sparkasse. Diese Sparkasse hat kein Telefon, keine Website, keine E-Mail-Adresse, keine Geschäftsstelle, nix. Und wenn du Post von dieser Sparkasse bekommst, steht da niemals ein Name und eine Kontaktmöglichkeit eines Ansprechpartners drunter.

Also… wenn das jetzt nicht total überzeugend ist!

Fortsetzung blockiert !

Samstag, 8. Februar 2014

Hallo, lieber PayPal-Nutzer!

Wegen der sich haufenden Betrugsfalle [sic!] in unserem System bitten wir Sie darum, Ihre personlichen Daten zu bestatigen, um Ihr PayPal-Konto weiterhin zu nutzen. Die Information wird nur zur Bestatigung Ihrer Identitat benutzt. Um Ihr PayPal-Konto weiterhin zu nutzen, folgen Sie bitte dem unteren Link.

http (doppelpunkt) (doppelslash) paypal (punkt) com (punkt) de (punkt) sicherer (punkt) konto (punkt) data (strich) verify (punkt) su (slash) cgi-bin (slash)

Bitte antworten Sie nicht auf diese E-Mail. E-Mails an diese Adresse werden von uns nicht gelesen. Um mit einem Mitarbeiter unseres Kundenservice zu sprechen, loggen Sie sich in Ihr PayPal-Konto ein und klicken Sie unten auf „Kontakt“.

Copyright (c) 2014 PayPal. Alle Rechte vorbehalten.

PayPal (Europe) S.a r.l.et Cie, S.C.A.
Societe en Commandite par Actions
Sitz: 22-24 Boulevard Royal, L-2449 Luxemburg
RCS Luxemburg B 118 349

Soso, Paypal verwendet jetzt also die vor vier Tagen eingerichtete Domain data (strich) verify (punkt) su und schreibt als Absenderadresse in seine anonym formulierten Kundeninfos tote (punkt) abonnement (at) htp (strich) tel (punkt) de rein. Wo so viele lustige Domains verwendet werden, da können auch schon mal ein paar Umlaute wegfallen. Das wirkt ja mal wieder sehr überzeugend… 😀

Steuerlichen Bekannt – Rückerstattung

Mittwoch, 5. Februar 2014

Oh, ein Qualitätsbetreff! Das wird gewiss eine Qualitätsspam sein. Die gefälschte Absenderadresse ist Benachrichtigung (at) bundesfinanzministerium (punkt) de. Herr Schäuble ist vermutlich nicht amüsiert…

In die Mail ist – extern verlinkt – auch noch das Logo des Bundesministeriums für Finanzen eingebaut, einschließlich Hoheitszeichen.

Sehr geehrter Kunde, [sic!]

Nach den neuesten Berechnungen [sic!] des Einkommens Steuern [sic!], haben wir festgestellt, dass Sie Anspruch auf eine Rückerstattung von uns für einen Betrag von 300,00 € zu erhalten sind. [sic!]

Was sind die Schritte, um für meine Rückerstattungfolgen ? [sic!]

Eine Rückerstattung kann aus verschiedenen Gründen verzögert werden. Zum Beispiel die Vorlage ungültige [sic! Absatz endet hier.]

Datensätze [sic!] oder die Anwendung [sic!] nach Ablauf der Frist.

Wir bitten Sie, Ihre Bankdaten aktualisieren [sic!], so dass Ihre Rückerstattung so bald wie möglich gemacht werden [sic!], und Sie erlauben uns 3 Arbeitstage [sic!], um Ihre Situation zu verarbeiten. [sic!]

Ich schaue mir die Schritte zu folgen >>

Aus Gründen der Sicherheit und der Privatsphäre, ist dieser Link zur Einzelnutzung [sic! Bullshit!] und einer Dauer von 3 Tagen. [sic!]

Vielen Dank und akzeptieren Sie bitte, Frau, Herr, [sic!] Mit freundlichen Grüßen.

Bundesministerium der Finanze.

bundesfinanzministerium – respektiert ihre Privatsphäre
Die Vertraulichkeitsvereinbarung [sic!] finden Sie auf http://www.bundesfinanzministerium.de/

bundesfinanzministerium.de – Bundesministerium der Finanze [sic!] | 2014 Alle Rechte vorbehalten

Ich muss wohl nicht erwähnen, dass der Link in Wirklichkeit nicht etwa zur Website des Bundesministeriums für Finanzen, sondern in meinem Fall in die nicht so offiziell wirkende Domain africajobbrokers (punkt) com geht, was fast so erheiternd wie der Inhalt der Spam ist. Dort kann man seinen Namen, seine Anschrift, seine Telefonnummer, seine Mailadresse, sein E-Mail-Passwort [!], seine Kontonummer, die Antwort auf eine Geheimfrage, die Kreditkartennummer, das Ablaufdatum, die Kartenprüfziffer und sein Geburtsdatum eingeben – und mit einem Klick direkt an die Kriminellen senden.

Aber wer diese lustige Phishing-Spam nicht als Spam erkennt und unbeklickt löscht, der bekommt vermutlich nicht einmal ein Bankkonto eröffnet.

Apple-id aus Sicherheitsgründen deaktiviert!

Mittwoch, 22. Januar 2014

Keine Sorge, diese Mail bekommen auch Leute wie ich, die kein einziges Apple-Gerät herumliegen haben und keine Software von Apple nutzen, aber dafür ein paar Honigtopf-Mailadressen für die Harvester der Spammer unterhalten. Das liegt daran, dass diese Mail nicht von Apple kommt, sondern von Verbrechern…

Online kaufen | Händler finden | 0800 2000 136 [sic!]

Alle Links führen in die Domain www (punkt) newsletter (punkt) eu und enthalten eine eindeutige ID, die zu den Spammern zurückfunkt, dass die Spam angekommen ist und gelesen wird. Wer nicht dreißig bis fünfzig solcher „Nachrichten“ am Tag bekommen möchte, sollte besser nicht darauf klicken… 😉

Das darauf folgende, kleine Bild wird von der Apple-Homepage eingebettet, ich nehme es nicht ins Zitat auf, weil ich damit Urheberrechte verletzen würde. Kriminelle Spammer brauchen sich um so etwas eher keine Sorgen zu machen. Apple lege ich nahe, zum Schutz ihrer Kunden dieses Bild auf dem Server durch eine deutliche Warnung an ihre Kunden zu ersetzen, dass es sich um eine Phishing-Mail handelt.

Apple-id aus Sicherheitsgründen deaktiviert

Unser Spammerchen hat einfach den Betreff wiederholt, um den Eindruck von etwas mehr Inhalt zu erwecken…

Sehr geehrter Kunde,

…damit er um so leichter darüber hinweggehe, dass er an einen Unbekannten schreibt und deshalb eine sehr unpersönliche Anrede benutzen muss.

Ihre Apple-ID wurde aus Sicherheitsgründen deaktiviert!

Und nach dem Betreff und seiner Wiederholung vor der Anrede wird jetzt gleich nach der Anrede zum dritten Mal mit gleichen Worten gesagt, dass da irgendwelche nebulösen Sicherheitsgründe zur Sperrung eines Accounts geführt hätten. Der Autor dieses Kurztextes war sich allerdings nicht mit sich selbst einig darüber, wie er die Bezeichnung „Apple-ID“ zu schreiben hat, und so erheitert er seine unfreiwilligen Leser mit zwei verschiedenen Schreibweisen. Wenn er sich mit irgendetwas Mühe geben wollte, brauchte er ja auch nicht vom Phishing zu leben, der Spammer.

Es wurde von einer anderen IP-Adresse aus eine Anmeldung bei Ihrem Apple-Konto versucht.

Oder anders gesagt: Wer keine feste IP-Adresse von seinem Zugangsprovider zugewiesen bekommt – dafür muss man im Regelfall einen speziellen Vertrag haben und zusätzlich bezahlen – bekommt diese E-Mail nach jeder Neuzuweisung einer IP-Adresse. Viele ADSL-Nutzer würden somit jeden Tag eine derartige Mail bekommen.

Bestätigen Sie bitte noch heute Ihre Identität, andernfalls wird Ihr Konto deaktiviert, um den Schutz der Sicherheit und Integrität der Apple-Gemeinschaft zu gewährleisten.

Und wenn man jetzt nicht ganz schnell reagiert, wird das deaktivierte Konto deaktiviert. So wegen der Sicherheit und wegen der strukturellen Integrität des Warpkerns. Und wie bestätigt man jetzt seine „Identität“? Durch Vorlage eines Internet-Ausweises? Oder durch Einsenden einer eingescannten Geburtsurkunde? Nein, nichts von alledem:

Zur Bestätigung Ihrer Identität folgen Sie bitte dem unten stehenden Link:
Bestätigen >

Man bestätigt seine „Identität“, indem man in einer Spam rumklickt. Der Link geht natürlich nicht auf die Apple-Website, sondern wiederum in die windige Domain newsletter (punkt) eu. Von dort aus führt er über sportliche vier HTTP-Weiterleitungen schließlich in die betrügerische Domain accountapple (punkt) co, die ungefähr so viel mit Apple zu tun hat wie ein Kuhfladen mit einem Pfannkuchen. Diese Domain wurde gestern erst eingerichtet, sie wird bei 1&1 gehostet. Die dabei angegebenen Registrierungsdaten wurden mit an Sicherheit grenzender Wahrscheinlichkeit irgendwo anders durch Phishing oder aus offenen Quellen abgegriffen, missbrauchen also die Identität eines unbeteiligten Dritten, der demnächst unangenehme Briefe von der Kriminalpolizei bekommen wird und dazu Stellung beziehen muss.

Natürlich habe ich 1&1 eben die übliche Mail geschickt, und ich bin recht guter Dinge, dass die Phishing-Site zügig verschwinden wird… 😉

Copyright © 2014 Apple Inc. Alle Rechte vorbehalten.

Nein, Apple hat mit dieser Spam nichts zu tun.

Message sent to: mxxxxxt (at) hxxxxxu (punkt) de

Um den Eindruck von Inhalt zu erwecken, wiederholt der Spammer noch einmal, was im To:-Header der Mail steht.

Message sent from: Apple, olbrichstraße 1, Frankfurt, Baden-Wurttemberg – DE 60488

Ich persönlich habe zwar keine besonders gute Meinung von Apple, aber ich bin mir sicher, dass Apple sowohl mit der Groß-/Kleinschreibung als auch mit der richtigen Schreibweise des Bundeslandes „Baden-Württemberg“ klarkäme. 😀

To unsubscribe, click here

„Click here“, der dümmste und bei dummen Spammern beliebteste Linktext aller Zeiten, immer wieder eine Freude, ihn zu sehen.

Gekrönt wird diese konzentrierte Idiotie von einem eingebetteten Webbug, der zurückfunkt, dass die Mail auch betrachtet wurde und welcher Browser oder Mailclient mit welchem Betriebsystem dafür verwendet wurde – wenn man seine Mailsoftware so konfiguriert hat, dass eingebettete Bilder dargestellt werden. So verifizieren Kriminelle ihre Adressdatenbanken und bereiten folgende Angriffe vor.

Benachrichtigung Paypal Konto!

Dienstag, 21. Januar 2014

Wer andern eine Grube gräbt, sitzt nach langem Graben meist im Dunkeln…

PayPal – Bitte verifizieren Sie Ihre Identitat [sic!]

Hallo [sic!]

Innerhalb unserer Mabnahmen [sic!] zur Gefahrabwendung [sic!], regelmabig [sic!] Bildschirm Aktivitat [sic!] PayPal [sic!]. Wir bitten um Informationen uber [sic!] Sie aus dem wichtigen Grund [sic!]:

Unser System hat ungewohnliche [sic!] Gebuhren [sic!] fur eine Kreditkarte in Verbindung mit Ihrem PayPal-Konto festgestellt. Dies ist die letzte Benachrichtigung, sich bei PayPal [sic!]. Dies ist die letzte Benachrichtigung an bei PayPal anmelden [sic!]. Sobald Sie den Zugang [sic!] werden wir Mabnahmen [sic!], um den Zugang zu Ihrem Konto wieder [sic!].

Einmal verbunden, folgen die Anweisungen zur Aktivierung Ihres Kontos [sic!]! Vielen Dank fur [sic!] Ihr Verstehen [sic!], da wir der Account-Sicherheit zu gewahrleisten [sic!] arbeiten [sic!].

Das Vorgehensweise ist ganz einfach:

Klicken Sie auf den Link unten, um einen sicheren Internet-Browser zu offnen [sic!]. Bestatigen [sic!] Sie, dass Sie der Halter [sic!] des Kontos sind und folgen Sie den Instruktionen.

http (doppelpunkt) (doppelslash) paypal (punkt) com (punkt) de (punkt) cgi (strich) bin (punkt) webscr (punkt) cmd (strich) login (strich) submit (punkt) dispatch (punkt) account (strich) update (punkt) su (slash) cgi (strich) bin (slash)

Bitte nicht auf diese Meldung [sic!] antworten. Die unter dieser Adresse eingegangene Meldungen [sic!] werden nicht durchgesehen und darum bekommen keine Antwort [sic!]. Um Hilfe zu erhalten, Zeichen in Ihr PayPal-Konto [sic!] und klicken Sie auf den Zeiger Hilfe [sic!] in der oberen rechten Ecke jeder PayPal-Seite.

Mit freundlichen Gruben [sic!]
PayPal Account Review Department

Copyright (c) 1999-2014 PayPal. Alle Rechte vorbehalten.

Ohne Worte. 😀

Der Link geht natürlich – unerfahrene Webnutzer können es bei einer so epischen Liste von Subdomains leicht übersehen – in die Domain account-update.su, die nicht PayPal gehört, sondern erst vor einer Woche eingerichtet wurde. Die irreführende Behauptung, dass man mit einem Klick in eine Mail einen „sicheren Browser“ öffne, ist ansonsten so ziemlich die einzige Innovation dieser Phishing-Mail. Neben der innovativen Sprache und Rechtschreibung, versteht sich…

DKB – Konto gesperrt!

Dienstag, 24. Dezember 2013

*Sehr geehrter Kunde,*

Klingt auch mit Asterisken drumherum nicht persönlicher…

Unseren Daten zufolge, wurde ihre Onlinesitzung aus folgenden Grьnden unterbrochen:

1. Versuchtes Einloggen mit falschen Informationen.

2. UnsachgemдЯe Altualisierung ihres DKB Online-Banking Kontos.

Meinen Daten zufolge ist diese Spam aus folgenden Gründen völlig unglaubwürdig:

Unpersönliche Ansprache des angeblichen Kunden
Keine Bezugnahme, um welches Konto es sich handelt (manche Menschen haben mehrere)
Unfähigkeit, diese Pünktchen über Vokalen in deutschen Wörtern zu machen, stattdessen erscheinen lustige kyrillische Kringel
Gnadenlos dämliche Formulierung in „Unsachgemäße Aktualisierung“, die auch noch falsch geschrieben wurde, um es umso deutlicher zu machen
Gnadenlos dämliche Formulierung in „Unseren Daten zufolge“

Wir bitten sie, ihr DKB Konto wiederherzustellen und um ein endgьltiges Sperren ihres Kontos zu vermeiden.

Achtung, es ist weg, das Konto. Deshalb muss es „wiederhergestellt“ werden. Sonst wird das wegge Konto gesperrt.

Übrigens, nichts ist so lustig wie ein Absatzumbruch mitten im Satz, so dass einen Absatz später der folgende Satzstummel stehen bleibt:

Folgenden Link anzuclicken:

Schon mistig, wenn man die Sprache, in der man spammt, gar nicht versteht. 😀

DKB Deutsche KreditBank AG <http://www.enrichcosmo.com/tmsb/dkb/>

Wer DKB-Kunde ist und diese Adresse mit mit der Homepage seiner Bank verwechselt, verdient es kaum anders als betrogen zu werden.

© 2013 DKB Online-Banking Korporation. Alle Rechte vorbehalten.

Jede idiotische Phishing-Spam voller Vollpfosten-Formulierungen und technischer Fehler klingt gleich viel überzeugender, wenn dafür ein „geistiges Eigentum“ beansprucht wird. Nicht.

technische Stцrung

Freitag, 13. Dezember 2013

Die müssen aber wirklich Probleme mit der Technik haben, wenn sie nicht einmal die richtige Codepage mit den Umlauten angeben können.

Von: Sparkasse De <info (at) sparkasse (punkt) de>

Natürlich ist der Absender gefälscht. Damit das auch weniger erfahrene Zeitgenossen merken, haben die Spammer ein völlig neues Kreditinstitut namens „Sparkasse De“ erfunden. 😀

Sehr geehrter Kunde,

Wie der Empfänger wohl heißt? Der Spammer kann es in seiner millionenfachen Müllmail nicht wissen.

Als vorbeugende Ma?nahme [sic!] alle unsere Kunden sind erforderlich, um Bankkonto zu aktualisieren. [sic!] Bitte durch diesen Link gehen [sic!], um die Aktualisierung selbst zu tun. [sic!]

Sparkasse Bank sicherzustellen [sic!], dass System-Verifikation sorgen jeden Monat, um bessere Dienstleistungen f?r unsere Kunden valable [sic!] bereit zustellen [sic!].

http://sparkasse.de/online/updates

Wer durch diesen Link geht, lasse alle Hoffnung fahren! Anders, als es die Unfähigkeit der Spammer, Umlaute in die Mail zu bringen, vermuten lässt, handelt es sich hier um eine HTML-formatierte Mail. Der Link geht in die deutlich weniger Vertrauen einflößende Domain foxter (punkt) de (punkt) ru. Die Phishing-Site, die dort lag, ist inzwischen entfernt.

Nachdem Update [sic!] wird einer unserer Mitarbeiter Sie kontaktieren, um den gesamten Prozess zu vervollstandigen [sic!]. Wenn der Vorgang abgeschlossen ist,
werden Sie wie gewohnt ihr online-Banking [sic!] mit der Sparkasse verwenden k?nnen.

Und das beste daran: Man kann seine Fernkontoführung auch wie gewohnt nutzen, wenn man diesen Müll einfach löscht.

Wir wollen Ihnen im Voraus f?r Ihre Mitarbeit danken.

Gern geschehen, Spammer

Diese Mail aus der täglichen Spamhölle ist eine Zusendung meines Lesers Cassiel.

Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.