Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Kategoriearchiv „Phishing“

Deutsche Bank Telefon-Banking

Montag, 12. August 2013

Natürlich kommt die Mail mit dem gefälschten Absender banking (at) deutsche (strich) bank (punkt) de nicht von der Deutschen Bank, die sich wohl auch niemals so „ruppige“ Formulierungen im Kundenkontakt herausnehmen würde, sondern es handelt sich um eine kriminelle Spam.

Ob es sich um Phishing oder um die Zustellung von Schadsoftware handelt, kann ich nicht entscheiden. Leider (oder besser: zum Glück) haben die Spammer ein kleines Problemchen mit ihrem frischen Skript, und der im Text erwähnte Anhang fehlt. Das man sein Gestrokel mal testet, bevor man es auf das Internet loslässt, ist den Spammern zu viel Sorgfalt und Mühe, die sie lieber eingespart haben. Deshalb hier nur das Zitat der aufwändig HTML-formatierten Spam – das flatterhafte Layout durch unnötige explizite Zeilenumbrüche ist aus dem Original:

Guten Tag, [sic!]

Unser System hat festgestellt [sic!], dass Ihr Telefon-Banking PIN aus Sicherheitsgründen
geändert werden muss. Bitte benutzen Sie dieses Formular
um die Änderung Ihres Telefon-Banking PIN kostenfrei zu ändern [sic!].
Andernfalls müssen wir Ihr Konto mit 6,99€ belasten
und die Änderung schriftlich über den Postweg bei Ihnen einfordern [sic!].

Ihren Telefon-Banking PIN können Sie hier oder wie folgt ändern:

1. Öffnen Sie die Datei in Ihrem Emailanhang und wählen Sie „öffnen mit“ aus! [sic!]
2. Füllen Sie alle Daten aus und klicken Sie dann auf „Daten absenden“!
3. Ihr Telefon-Banking PIN aktiviert sich nach 5-7 Werktagen.

Für weitere Fragen steht unser Online Support unter direkt (at) deutsche (strich) bank (punkt) de gerne für Sie zur Verfügung

Mit freundlichen Grüßen

Deutsche Bank AG
Taunusanlage 12
60325 FRANKFURT AM MAIN (für Briefe und Postkarten: 60262)

Tel.: +49 69 910-00
Fax: +49 69 910-34 225
deutsche (punkt)bank (at) db (punkt) com

Zum Vergrößerung des Genusses möchte ich für jene Menschen, die HTML lesen können, nur ein Zitat des HTML-Quelltextes dieser Spam bringen – es handelt sich um das eingebettete Logo der Deutschen Bank, dessen URL ich hier gekürzt habe:

<img src="https://www.deutsche-bank.de/..." alt="Bitte dr&auml;cken Sie Bilder anzeigen" title="Deutsche Bank" border="0" height="16" width="138">

Wenn man – wie ich – sein Mailprogramm zum Schutz vor Webbugs so konfiguriert, dass es bei der Anzeige der Mail keine Grafiken aus dem Internet nachlädt, sieht man anstelle des Logos den sehr überzeugenden, sofort an die Deutsche Bank denken lassenden Text „Bitte dräcken Sie Bilder anzeigen“. 😉

Hach ja, Spammer sind manchmal schon lustig…

Diese Spam ist ein Zustecksel meines Lesers H.G.

Sparkasse Kundendienst

Samstag, 3. August 2013

Die Mail kommt natürlich nicht von irgendeiner Sparkasse…

Sehr geehrter Kunde,

Hallo Sparkassen-Kunde, dessen Namen wir leider nicht kennen und der vielleicht auch häufiger einmal gar kein Sparkassen-Kunde ist…

Die Sparkasse arbeitet derzeit an technischen Arbeiten in der Abteilung Internet Banking.

…die Phisher spammen gerade an dummen Phishing-Spams in der Abteilung Naive Mailempfänger.

Dieser Abschnitt befasst sich mit der Installation einer neuen Software zur Sicherung Ihres Internet-Banking-Kontos. Mit diesem Service wird die Bank Ihr Konto vor Spam, Cyberkriminalismus und unberechtigtem Zugriff auf Ihr Konto durch Dritte schützen.

Es geht dabei wie üblich darum, dass Verbrecher lieber mit dem Geld anderer Leute bezahlen. Weil das nicht so toll klingt, denken sich die Verbrecher etwas anderes für ihre geistig minderbemittelten Spamtexte aus. Zum Beispiel, dass das Konto vor Spam geschützt wird. 😯

Um diesen Service zu nutzen, empfehlen wir Ihnen den Link unten anzu-klicken [sic!] und die erforderlichen Informationen für die Aktualisierung einzureichen.

Also seien sie so doof, dass sie der „Sparkasse“ alles sagen, was die richtige Sparkasse schon längst über sie weiß und wundern sie sich nicht eine einzige Sekunde lang darüber…

http://otschool.one-tech.info/login/Sicherheit/e-banking/sparkasse/

…dass sie das gar nicht auf der Website der Sparkasse tun sollen.

Nach Abschluss der Vervollständigung Ihrer Daten wird Ihr Internet-Banking-Konto automatisch aktualisiert. Zusätzlich wird sich einer unserer Mitarbeiter mit Ihnen in Verbindung setzen um das Sicherheitsupdate fertigzustellen.

Nach Abschluss der Datenübertragung an die Verbrecher wird ihr Konto automatisch geplündert. Zusätzlich wird vielleicht sogar jemand unter einer angegebenen Telefonnummer anrufen und sie mit weiterem Bullshit übern Tisch ziehen.

Wir bedanken uns für Ihr Vertrauen und verbleiben

Wir bedanken uns für Ihre Leichtgläubigkeit und verbleiben

Mit freundlichen Grüßen,
Sparkasse.de
Sparkasse Kundendienst

Mit Vorfreude auf Ihr Geld
Unverlinkte Internetadresse
Ihre Phishing-Spammer

Diese miese Phishing-Spam ist ein Zustecksel meines Lesers Ben…

Schützen Sie Ihre Postbank Card Online

Sonntag, 28. Juli 2013

So wird das niemals etwas mit dem Phishing! Eine HTML-formatierte E-Mail mit derart lustig gesetzten Absätzen und teilweise so heiterem Deutsch kann wohl kaum jemand ernst nehmen:

Sie haben diese E-Mail erhalten, weil wir gute Gründe zu glauben, dass Ihre VISA-Kreditkarte hatte kürzlich

kompromittiert haben. Um jegliche betrügerische Aktivitäten zu verhindern sind wir verpflichtet, eine Untersuchung in dieser Angelegenheit einzuleiten.

Wenn Ihre Account-Informationen nicht innerhalb der nächsten 72 Stunden aktualisiert, dann werden wir davon ausgehen,

Ihre Kreditkarte betrügerisch ist und ausgesetzt werden. Wir entschuldigen uns für diese Unannehmlichkeit zu entschuldigen,

aber der Zweck dieser Prüfung ist es, sicherzustellen, dass Ihre VISA Konto wurde nicht in betrügerischer Absicht verwendet und um Betrug zu bekämpfen.

Vielen Dank für Ihre prompte Aufmerksamkeit in dieser Angelegenheit. Bitte haben Sie Verständnis, dass dies eine Sicherheitsmaßnahme soll helfen,

schützen Sie und Ihr Konto ist.

Login Secure : https://banking.postbank.de/rai/login

Wie schon gesagt, es ist eine HTML-formatierte Mail. Der Link geht natürlich zu einer völlig anderen Adresse, auch ganz ohne HTTPS, aber dafür mit einer „liebevoll“ nachgemachten Postbank-Anmeldeseite:

Screenshot der betrügerischen Website

Wer da – trotz der lustig formulierten Phishing-Mail – vom abgekupferten Design verblendet ist und deshalb seine Anmeldedaten eingibt und „Absenden“ klickt, übermittelt diese direkt an Kriminelle. Zum Glück macht ein einfacher Blick in die Adresszeile des Browsers klar, dass es sich nicht um die Website der Postbank handelt, so dass ich mich immer wieder darüber wundere, dass noch jemand auf solches Phishing reinfällt. Wer schon einmal auf der Site der Postbank ist, kann ja auch gleich einen Blick in die aktuellen Sicherheitshinweise werfen, dort ist zurzeit eine sehr ähnliche Phishing-Mail erwähnt. Die wichtigsten Hinweise in diesem Text, der leider morgen schon durch einen anderen Text ersetzt sein könnte (weshalb ich hier auch auf eine dauerhaft archivierte Version verlinke), sind diese:

  • Die Postbank fordert ihre Kunden niemals per E-Mail auf, ihre Telefon-Banking PIN oder andere persönliche Daten zu ändern. Werden Sie sofort misstrauisch, wenn Sie eine solche E-Mail erhalten und informieren Sie uns. Vor allem aber: Geben Sie niemals Dritten Ihre PIN bekannt!
  • Folgen Sie keinesfalls Links in E-Mails, deren Quelle Ihnen unbekannt ist oder die Ihnen nicht vertrauenswürdig erscheint und öffnen Sie grundsätzlich keine Dateianhänge bei solchen E-Mails.

Das ist auch schon fast alles, was man zum Thema Phishing wissen muss – und es gilt übrigens auch für jede andere Bank, auch wenn die Werbetexter der Postbank nichts von der Existenz anderer Banken wissen wollen. 😉

Nur eine wichtige Ergänzung scheint mir erforderlich: Den meisten Menschen ist die Quelle jeder E-Mail unbekannt, die sie empfangen. Der Absender einer E-Mail lässt sich beliebig fälschen. Wer nicht gerade ein heiteres Blögchen über Spam führt, schaut sich auch nicht die Mail-Header an und weiß im Regelfall nicht einmal, was das ist. Digitale Signatur ist unüblich. Es gibt im Alltag für die große Mehrzahl der Menschen keine Mail mit halbwegs sicher bekannter Quelle. Der Stil, in dem die Postbank in diesem „Sicherheitshinweis“ die Verantwortung mehr als nur ein bisschen hinterhältig auf ihre Kunden abschiebt, aber selbst nichts dafür tut, dass ihre Kunden überhaupt eine Chance haben, die Quelle einer E-Mail sicherzustellen – zum Beispiel durch digitale Signatur der Mail – ist schon ein bisschen widerlich und kundenverachtend.

Übrigens scheint auch der unbeholfene Phisher zu wollen, dass sich seine Opfer fürs Thema Phishing interessieren. Deshalb hat er in seiner nachgebauten Login-Seite den folgenden Hinweis hinterlegt:

Aktueller Sicherheitshinweis -- Neue Phishing-Mails im Umlauf: So versuchen Betrüger, an Ihre Kontodaten zu gelangen. Jetzt informieren

Wie fürsorglich! :mrgreen:

Sicherheit Netzwerk-Update

Mittwoch, 10. Juli 2013

Bei den vielen guten Phishing-Versuchen der letzten Tage bin ich froh, dass es Phishing auch noch in mies, sprachkrank und dumm gibt. Zum Beispiel in dieser Mail mit dem gefälschten Absender sicherheitsgruppe (at) web (punkt) osu (punkt) cz, der schon darauf hindeutet, dass der Phisher zu glauben scheint, dass eine Mail von der Sparkasse echter wirkt, wenn er keine Absenderadresse der Sparkasse benutzt.

Dieser Phisher hat es aber nicht nur verabsäumt, seinen Mailexperten zur Rate zu ziehen, auch sein Deutschexperte schien gerade nicht greifbar zu sein:

Freitag 05 Juli, 2013, -- Sehr geehrter Kunde, -- Aufgrund der hohen Malware-Angriff auf unsere Datenbank haben wir unsere SSL, um unbefugten Zugriff auf verbesserte Ihrem Online-Bankkonto. -- Mit diesem Verfahren können Sie Ihr Konto vorübergehend deaktiviert werden. Wir bitten Sie, und aktualisieren Sie Ihre Online-Verifizierung Details zur dauerhaften Abschaltung von Ihrem Online-Banking-Konto zu vermeiden.. -- aktualisieren und überprüfen Sie Ihr Konto. -- Mit freundlichen Grüßen, --Sparkassen-Finanzportal GmbH -- Sparkasse Bank Germany Sparkasse Erlangen Hugenottenplatz 5 91054 Erlangen www.sparkasse.de

Natürlich kann man dieses Prachtbeispiel für die Folgen fortgeschrittener cerebraler Zerbröselung von der mir bislang völlig unbekannten „Sparkasse Bank Germany“ aus Erlangen auch bekommen, wenn man gar nichts mit Erlangen zu tun hat.

Freitag 05 Juli, 2013,

Normalerweise fangen die Fehler ja erst in der Anrede an, aber diese mit einem Komma abgeschlossene Mischung aus US-amerikanischer und deutscher Datumsangabe zeigt bereits, dass sich hier jemand nicht die große Mühe gibt.

Sehr geehrter Kunde,

Wir bekommen alle jeden Tag echte Briefe von irgendwelchen Unternehmen, bei denen wir Kunde sind und in denen wir als „Sehr geehrter Kunde“ angesprochen werden. Nicht.

Aufgrund der hohen Malware-Angriff auf unsere Datenbank haben wir unsere SSL, um unbefugten Zugriff auf verbesserte Ihrem Online-Bankkonto.

Ich versuche mal zu verstehen, was der Absender dieses Textes mit seinen unbeholfenen Worten ausdrücken will:

  • Es gibt Malware-Angriffe auf die Datenbank der Sparkasse Bank Germany. Das heißt also, dass es Computer mit installierter Malware gibt, die einen Zugriff auf den Datenbankservercluster der SBG (ich kürze das jetzt mal lieber ab) haben. Diese Computer müssten in den Geschäftsräumen der SBG stehen, denn von außen kommt man da nicht ran.
  • Und deshalb hat die SBG irgendwas mit „ihre SSL“ gemacht, um unbefugten Zugriff aufs Online-Konto zu verbessern, statt das hausinterne Problem zu lösen.

Das ist eine bemerkenswert einleuchtende Strategie aus Monty Pythons Handbuch für die Formulierung mieser Phishing-Mails. :mrgreen:

Mit diesem Verfahren können Sie Ihr Konto vorübergehend deaktiviert werden.

Und weil die so rumpatzen, haben Kunden ein Problem, das sie nur lösen können…

Wir bitten Sie, und aktualisieren Sie Ihre Online-Verifizierung Details zur dauerhaften Abschaltung von Ihrem Online-Banking-Konto zu vermeiden..

aktualisieren und überprüfen Sie Ihr Konto.

…wenn sie in eine… ähm… merkwürdig formulierte Mail klicken, woraufhin sich wundersamerweise ein Browserfenster auftut, in dem eine Seite erscheint, die in ihrem Aussehen so tut, als sei sie eine Seite der SGB, in welcher dann noch einmal alles eingegeben werden muss, was die SBG eh schon weiß, weil sie wegen „ihrer SSL“ so vergesslich geworden ist.

Der Link führte übrigens in die Domain 2476 (punkt) ir – Kunden der SBG sollen offenbar glauben, dass ihre Kontonummer im Domainnamen verschlüsselt ist.

Mit freundlichen Grüßen,

Sparkassen-Finanzportal GmbH

Mit winkendem Gruß von der Übersetzerfront

Eine Gesellschaft mit (deutlich) beschränkter Hoffnung

Sparkasse Bank Germany
Sparkasse Erlangen
Hugenottenplatz 5
91054 Erlangen
www.sparkasse.de

Immerhin ist es den unbekannten Absendern gelungen, die Adresse einer existierenden Sparkassenfiliale zu verwenden, wenn das auch nicht gerade nach der Zentrale mit großem Rechenzentrum aussieht. Für gewöhnlich völlig uninformierte Spamleser führen diesen teilweisen Treffer darauf zurück, dass den Spammern eine echte Mail dieser Filiale als Vorlage für ihre lustige Reise ins Land unbekannter Sprachen diente.

Diese gnadenlos doofe Phishing-Spam ist ein Zustecksel von S.S.

Informationen bezüglich Ihres PayPal-Kontos

Freitag, 5. Juli 2013

Endlich habe ich auch einmal eine Mail mit einer Klarnamen-Ansprache – und ich kann wegen der verwendeten Mailadresse ganz genau sagen, wo dieser Name herkommt: Er kommt aus dem Impressum einer Website. Die Mailadresse wird von mir an keiner anderen Stelle verwendet.

Die Daten für die Mails mit namentlicher Ansprache scheinen also wirklich aus diversen Quellen zusammengeführt zu werden. Eine Quelle sind dabei gesetzlich erzwungene Angaben auf Websites. Oder, um es mal etwas schärfer zu sagen: Die absurde, in der BRD geltende Impressumspflicht auch auf privaten Websites arbeitet direkt der organisierten Internet-Kriminalität zu. Ob sie darüber hinaus für irgendjemanden irgendeinen Vorteil hat? Außer vielleicht für Abmahnanwälte und sonstige Juratrolle, die nicht extra whois tippen müssen, um eine ladefähige Anschrift zu erhalten?

Ach! 🙁

Ich bitte zu beachten, wie gut diese Phishing-Mail formuliert wurde. Auch ihr Layout entspricht dem, was ein PayPal-Kunde gewohnt ist. Ich halte diese Spam für sehr gefährlich.

Sehr geehrter Herr Elias Schwerdtfeger,

In der Tat, so heiße ich!

im Rahmen unserer aktuellen Sicherheitsprüfungen haben wir bezüglich Ihres PayPal-Kontos einige Unstimmigkeiten entdeckt. Um alle Unstimmigkeiten zu klären, ist es nötig Sie als eindeutigen Inhaber zu ermitteln.

Moment mal, ihr könnt mich anmailen und ihr sprecht von „meinem Konto“, aber ihr haltet es für nötig, mich als „eindeutigen Inhaber“ zu ermitteln. Wegen irgendwelcher nicht einmal angedeuteter „Unstimmigkeiten“ Das klingt jetzt aber doof und wenig überzeugend. Man könnte auch von einer „Unstimmigkeit“ sprechen…

Wie geht es jetzt weiter?

Na, ist doch klar: Ich lösche den Müll. Aber nein, das kann ein Spammer mir doch nicht empfehlen

Bitte klicken Sie auf „Konfliktlösungen“. Dort ist ganz genau beschrieben, weshalb wir diese Prüfung durchführen und welche Informationen wir von Ihnen benötigen.

Konfliktlösungen

Wer auf den Link – der übrigens mit CSS im Stile einer Schaltfläche gestaltet wurde – klickt, landet nicht auf der PayPal-Website, sondern auf einer Site unter der Domain paypal (strich) konflikt45920 (punkt) net.

Die Phishing-Seite ist inzwischen vom Netz. Man hätte dort – genau wie bei früheren Versionen der Phishing-Masche – Gelegenheit erhalten, Kriminellen die Login-Daten zum PayPal-Konto und im zweiten Schritt alle für einen Betrug erforderlichen Kreditkartendaten zu geben. Die Frage, warum man Daten noch einmal eingeben soll, die PayPal schon längst bekannt sind, soll man sich dabei natürlich nicht stellen. Schon nach dem angeblichen „Login“ können die Verbrecher das PayPal-Konto beliebig missbrauchen.

Wer darauf reingefallen ist, sollte sofort sein Passwort ändern und sich mit PayPal in Verbindung setzen. Wer im folgenden Schritt Kreditkartendaten angegeben hat, sollte ebenfalls sofort Kontakt mit seiner kontoführenden Bank aufnehmen und seine Kreditkarte sperren lassen.

Vielen Dank für Ihr Verständnis und Ihre Mithilfe in dieser Angelegenheit.

Herzliche Grüße,
Ihr PayPal-Team

Das ausgesprochen patzig und formelhaft wirkende „vielen Dank“ in einem solchen Kontext ist die letzte Schwäche dieser Phishingmail.

Copyright © 1999-2013 PayPal. Alle Rechte vorbehalten. PayPal (Europe) S.à r.l. et Cie, S.C.A., Société en Commandite par Actions. Eingetragener Firmensitz: 22-24 Boulevard Royal, L-2449 Luxembourg RCS Luxembourg B 118 349.

Nein, diese Spam kommt nicht von PayPal. Aber es ist eine verdammt gute Phishing-Mail, auf die viele arglosere Menschen hereinfallen können.

Übrigens: Würde PayPal (und jeder andere Dienstleister) dazu übergehen, alle seine Mails digital zu signieren, so dass jeder Empfänger in die Lage versetzt wäre, sich davon überzeugen zu können, dass Mails wirklich von PayPal kommen und inhaltlich unverändert sind; würde PayPal (und jeder andere Dienstleister) einen solchen Schritt mit Aufklärung und Unterstützung seiner Kunden in Sachen PGP begleiten, so dass nach kurzer Zeit wenigstens jeder Kunde von dieser Möglichkeit gehört hat… ja, dann würde dem Phishing ganz schnell das Wasser abgegraben, und niemand würde diese Form der Kriminalität vermissen, außer vielleicht drei Handvoll Verbrecher, die nur ihre Mutter liebhaben kann. Aber vermutlich ist PayPal (und jeder andere Dienstleister) mit dem Einsatz einer seit fünfzehn Jahren verfügbaren Technik überfordert und bedarf der kompetenten technischen Unterstützung, und vermutlich ist wegen der Wirtschaftskrise nicht das Geld dafür übrig, kompetente Fachleute für die Implementation einer kryptografischen Signatur der versendeten E-Mail zu bezahlen. Dass PayPal (und jedem anderen Dienstleister) die Kunden und ihre möglichen finanziellen Schäden scheißegal sind, möchte doch niemand annehmen, oder?

Das sähe ja wie Kundenverachtung aus… :mrgreen:

Mitteilung

Freitag, 28. Juni 2013

Gefälschte Absenderadresse dieses hingestümperten Versuchs ohne besondere Überzeugungskraft ist noreply (at) commerz (punkt) de – tja, Spammer, wenn du schon einen Absender fälschst, dann könntest du doch eigentlich auch gleich die richtige Domain der Commerzbank nehmen. Ach, solche Gedanken hast du dir nicht gemacht, weil es dir zu mühsam war, sich Gedanken zu machen? Ich verstehe. Das merkt man deiner Phishingmail aber auch an…

Sehr geehrter Kunde,

Hallo Kunde, deinen Namen kennen wir nicht.

Wir möchten Sie darüber informieren, dass Ihr Konto von einem nicht autorisierten Computer zugegriffen wurde.

Wir unterschieden hier zwischen autorisierten und nicht-autorisierten Computern. Da müssen sie schon aufpassen, an was für einem Rechner sie sich einloggen, um ihre Fernkontoführung machen. Wenn der nicht autorisiert ist, schrillen bei uns alle Alarmglocken – ihre Anmeldedaten sind uns hingegen egal

Bitte besuchen Sie uns bestätigen, dass Sie der Inhaber des Kontos sind.

https://www.commerzbank.de/

Also seien sie bitte so doof und geben noch einmal sämtliche Daten ein, die bei der Commerzbank schon längst bekannt sind. Wundern sie sich nicht darüber, dass dabei in der Adresszeile ihres Browser nichts von „Commerzbanking“ steht, sondern mdsideas (punkt) com und geben sie ihre PIN und ihre gesamten Kreditkartendaten auf einer „liebevoll“ nachgemachten Commerzbank-Site ein. Wir plündern dann ihr Konto und lassen es uns richtig gut gehen!

Danke

Ihre Phisher mit der miesen Masche.

Wer darauf reingefallen ist, obwohl das wegen der miesen Machart der Spam schwierig ist, sollte sich sofort mit seiner Bank in Verbindung setzen – bei der Gelegenheit könnte man auch mal fragen, warum eigentlich kein Wort der Warnung über die laufende Phishing-Masche auf der Startseite der Commerzbank-Homepage steht und ob man das als Zeichen interpretieren soll, dass es der Commerzbank gleichgültig ist, wenn ihre Kunden betrogen werden. Immerhin muss ich der Commerzbank zugute halten, dass sie eine Grundaufklärung über Phishing auf ihrer Website leistet, was leider nicht der Regelfall ist.

Kontoinformаtionen аktuаlisieren

Sonntag, 9. Juni 2013

Absender Paypal mietze911 (at) gmx (punkt) net

Das ist bestimmt wieder eine echte Qualitätsspam! 😀

Natürlich kommt diese Mail nicht von Paypal. Und natürlich ist dieser Absender gefälscht. Aber wenn man schon einen Absender fälscht, könnte man doch eigentlich auch eine halbwegs überzeugende Adresse nehmen, oder? Zu kleinen intellektuellen Leistung dieser Überlegung war der dumme Spammer entweder nicht willens oder nicht imstande.

Lieber Kunde,

Aber so ein lieber Kunde! :mrgreen:

Wir аrbeitet [sic!] fortlаufend аn der Gewährleistung der Sicherheit. Dаzu werden die Konten in unserem System regelmäßig überрrüft.

Vor meinem inneren Auge wuselt die „Abteilung für die Gewährleistung der Sicherheit“ ameisenhaft durch den Serverpark PayPals und prüft einfach anlasslos immer wieder zyklisch alle Konten durch. Mit einem Sicherheitsgewährleistungsprüfgerät.

Kürzlich hаben wir Ihr Konto geрrüft und benötigen weitere Informаtionen, dаmit wir Ihnen einen sicheren Service аnbieten können.

Leider sind die Prüfungen so gut, dass man als Kunde etwas davon mitbekommt. Man bekommt nämlich tolle Mails von GMX… sorry… „PayPal“, in denen man dazu aufgefordert wird, „PayPal“ noch einmal lauter Dinge zu sagen, die PayPal schon längst weiß. Vermutlich wird die Datenbank von PayPal zur „Gewährleistung der Sicherheit“ einmal ratzekahl durchgelöscht – nur die Kontostände bleiben erhalten. Und wenn man das nicht tut…

Solаnge uns diese Informаtionen nicht zur Verfügung stehen, ist Ihr Zugаng zu vertrаulichen Kontofunktionen eingeschränkt. [sic!]

…wird der Zugang zu vertraulichen Kontofunktionen eingeschränkt. Ob die wohl so vertraulich sind, dass noch niemand etwas davon mitbekommen hat?

Wir möchten Ihren Zugаng schnellstmöglich wiederherstellen und entschuldigen uns für diese Unаnnehmlichkeit.

Klicken Sie bitte hier um diese Beschränkung аufheben zu können

Der Link führt natürlich nicht zu paypal (punkt) de, sondern auf die Domain 6qt3p6kz (punkt) pe43 (punkt) com, die gleich weniger vertrauenswürdig aussieht. In der URI ist die Base64-codierte Mailadresse des Empfängers enthalten, damit die Spammer auch wissen, dass die Mail ankommt – und um diese Mailadresse in der nach einer Weiterleitung erscheinenden, „liebevoll“ nachgebauten PayPal-Loginseite einzutragen¹:

Screenshot der PayPal-Phishingseite mit der eingetragenen Mailadresse

Natürlich habe ich mir für meinen Test erlaubt, eine andere Mailadresse anzuhängen².

So braucht man nur noch sein Passwort einzugeben und auf „Einloggen“ klicken, um den Verbrechern vollen Zugriff aufs PayPal-Konto zu gewähren.

Aber warum, zum Henker, warum sollte man das tun?

Wаrum ist mein Kontozugriff eingeschränkt?

Ihr Kontozugriff wurde аus dem folgenden Grund eingeschränkt:
Wir möchten überрrüfen, dаß sich niemаnd ohne Ihre Erlаubnis Zugriff zu Ihrem Konto verschаft hаt.

Ach so, deshalb. :mrgreen:

Coрyright © 1999-2013. аlle Rechte vorbehаlten.

Eine Spam (oder auch jede gewerbliche E-Mail), die deklariert, dass sie irgendjemandes „geistiges Eigentum“ ist, wirkt gleich mindestens eine Größenordnung lächerlicher – oder wird so ein Hinweis neuerdings auch unter jeden Brief, jeden Kontoauszug, jede Reklame gestempelt?

¹Grundsätzlich ist von jedem Klick in eine Spam abzuraten, denn die Seiten der Kriminellen sind immer gefährlich. Den Screenshot habe ich mit einem Browser in einer virtuellen Maschine gemacht. Eine alternative und sehr sichere Möglichkeit ist die Verwendung eines Webdienstes zum Anfertigen von Screenshots – wer neugierig ist, kann sich damit leicht einen Eindruck verschaffen, ohne dass Kriminelle im Browser rummachen können.

²Wer noch nicht weiß, wie das geht: man 1 base64

Sehr geehrter Kunde

Donnerstag, 6. Juni 2013

Ja, das war wirklich der Betreff dieser HTML-formatierten Phishing-Mail, die angeblich von „Sparkasse“ mit der gefälschten Absenderadresse konto (at) sparkasse (punkt) de kommt. Ist doch schön, dass das Konto eine Mail schickt… :mrgreen:

Dass diese Mail nicht von der Sparkasse kommt, sollte auch für intellektuell etwas unbewaffnete Leser leicht zu erkennen sein. Die inhaltliche und sprachliche Gestaltung dieses prosaischen Werkes eines unbekannten Stümpers erfüllt wieder einmal die im Phishing üblichen qualitativen Maßstäbe, einschließlich keck eingestreuter kryrillischer Zeichen, weil der Spammer in seiner technischen Unwissenheit schlicht zu doof ist, einen Umlaut in eine HTML-Mail zu kriegen. Wer das für eine Mail von einer Sparkasse hält, der verwechselt auch einen Kuhfladen mit einer Pizza.

Hier zum Genuss eine Wiedergabe des neuesten Gefechtes an der Idiotiefront in seiner prächtigen Einheit aus Inhalt und Gestalt – und ja, der gesamte Text ist fett gesetzt:

Sehr geehrter Kunde,

Bitte beachten Sie, dass Ihr Online-Zugang zu Ihrem Konto in Kьrze ablдuft. Fьr diesen Dienst ohne Unterbrechung fortzusetzen, klicken Sie auf das Symbol unten fьr eine manuelle Aktualisierung Ihres Kontos.
http://onlinebanking/sparkasse.de

Nach Abschluss der Anweisungen zum Konto zu aktualisieren, wird Ihr Online-Zugang zu Ihrem Konto automatisch wiederhergestellt werden und keine weitere Aktion wird von Ihnen verlangt werden. Sie werden durch der konto-abteilung fьr weitere Informationen zum status ihres kontos kontakiert.

Beim Online-Banking haben Sie per Klick alles im Griff.

Mit dem komfortablen Online-Banking haben Sie schnellen und problemlosen Zugang zu Ihrem Girokonto. Beim Online-Banking erledigen Sie Ьberweisungen und Dauerauftrдge bequem per Mausklick. Online-Banking bietet aber noch viel mehr

DIE VORTEILE VON ONLINE-BANKING AUF EINEN BLICK:
Ш Kontozugang rund um die Uhr
Ш Schneller Zugriff aufs Girokonto
Ш Online-Banking bequem vom PC aus
Ш Flexibel in jedem Winkel der Welt
Ш Ьbersichtliche Kontofьhrung
Ш Hohe Sicherheitsstandards beim Online-Banking
Ш Online-Banking kombinierbar mit Telefon-Banking

Respektvoll,
Kundendienst.

Übrigens: Der scheinbare Link auf die nicht existente (und für jeden Menschen mit mehr als zwei Wochen Internet-Erfahrung als fehlerhaft erkennbare) Domain onlinebanking geht in Wirklichkeit – es ist eine HTML-Mail, da lässt sich jeder Text mit jedem Link unterlegen – auf die Domain mit dem bemerkenswerten Namen webxxx00000 (strich) ruckkopplung (punkt) freeserver (punkt) me. Die dort kostenlos gehostete „Website der Sparkasse“ ist allerdings inzwischen verschwunden… 😉

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.