Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Kategoriearchiv „Phishing“

Die andere Seite der Internet-Kriminalität…

Freitag, 31. Mai 2013

Keine Spam, nur ein Zitat eines Heise-Artikels, eine Leseempfehlung, ein Link, eine kurze Meinungsäußerung:

Heise Security konfrontierte Mastercard mit der E-Mail und der Phishingseite. Mastercard warnt weder auf seinen Webseiten vor solchen Betrugsversuchen noch wurde eine aktuelle Warnung ausgesprochen. Das Unternehmen reagierte nicht auf die Anfrage.

Weiterlesen bei Heise Online: Phishing und verseuchter Spam – Betrug fast ohne Makel

Von mir nur ganz kurz dazu…

Unternehmungen, deren Kunden in dieser Weise von aktuellen, hochgefährlichen Phishing-Kampagnen der organisierten Internet-Kriminaltät betroffen sind und die nicht einmal einen auffällig platzierten Warnhinweis auf ihrer Website unterbringen wollen, um zu verhindern, dass ihre Kunden zu Opfern perfider krimineller Maschen werden, sind die andere Seite des Erfolgs der Kriminalität. Der Arbeitsaufwand, einen solchen gut sichtbaren Hinweis auf die eigene Website zu bringen, liegt deutlich unter einer Stunde, und der persönliche Nutzwert solcher Hinweise für die Kunden liegt deutlich über dem sonst gepflegten, gleichermaßen glatten wie psychisch manipulativen und Nichts sagenden Reklameton solcher Websites. Im Unterlassen solcher Hinweise spiegelt sich eine bemerkenswerte Gleichgültigkeit gegenüber den eigenen Kunden und ihren eventuellen Schäden. „Bemerkenswert“ bedeutet übrigens, dass es wert ist, dass man es bemerke und sich gut merke, damit man es über die ganze, breit verabreichte Reklame niemals vergesse. Verträge sind übrigens kündbar.

AKTUALISIEREN SIE IHR KONTO

Donnerstag, 30. Mai 2013

Sparkasse Erlangen
Hugenottenplatz 5
91054 Erlangen
29-05-2013

Toll! Mit einer IP-Adresse aus Indonesien versendet!

Sehr geehrter Kunde,

Hallo Unbekannter, …

Seit Montag, 25. März 2013, arbeiten wir mit einem neuen Sicherheitssystem. Dieses neue System stellt sicher, dass es keinen Missbrauch auf Ihrem Konto geben kann , zB durch bösartige Software oder einen Virus auf Ihrem Computer installiert warden kann. Um sicherzustellen, dass Ihr Konto von unserem neuen System geschützt wird, Um diesen Service nutzen zu können, empfehlen wir Ihnen, das sie auf den untenstehenden Link klicken und geben Sie Ihre Informationen zu überprüfung ein. Sobald Sie dies getan haben, wird Ihr Konto mit der neuen Sicherheits-Software aktualisiert .

…wir sitzen jetzt schon wieder seit Tagen an ein paar neuen Formulierungen für unsere Phishing-Mails. Aber jetzt hat einer unserer Komiker mal eine zündende Idee gehabt. Diesmal ändern wir zwar auch wieder unser Sicherheitssystem, wie wir das immer in unseren Mails tun. Das neue daran: Wir machen das auf unseren Computern, damit ihr Konto keine Viren mehr bekommt, die dann einfach so von ihrem Konto auf ihren Computer rüberhüpfen. Damit das funktioniert, müssen sie uns aber eine ganze Menge Sachen sagen, die wir schon wissen.

Unsere Mail ist HTML-formatiert, und der Link…

http://Sparkasse-online-sicherheit.de

…geht natürlich nicht auf die tolle angegebene Domain, die auch schon nicht die Website irgendeiner Sparkasse ist, sondern zu karpinsk (strich) edu (punkt) ru (slash) www (punkt) sparkasse (punkt) de (slash) index (punkt) html. Als Erlanger Sparkasse, die ihre Spam über Indonesien versendet, benutzen wir selbstverständlich eine russische Domain für unsere Website. Das Web ist eben international. :mrgreen:

[Die Phishing-Seite in dieser Domain existiert jetzt nicht mehr. Danke!]

Was wir dann mit ihren Zugangsdaten machen? Ist doch klar, wir…

VORSICHT, Nach dem Ausfüllen der angeforderten Informationen wird Sie per Telefon von einem unserer Mitarbeiter sie kontaktieren um die Installation abzuschließen zu koennen. Denken Sie daran, das Sparkasse Erlangen Bank, um Ihre Sicherheit und Schutz verpflichtet ist. Vielen Dank für Ihre Zeit und Zusammenarbeit.

…rufen sie an und leiern ihnen noch ein paar TANs am Telefon raus, damit wir auch unsere Geschäftchen machen können. Mit dem Geld anderer Leute ist das für uns viel billiger.

Mit freundlichen Grüßen,
Sparkasse Erlangen

Mit phishigen Grüßen
Die Mafia

© Sparkasse Erlangen 1998-2013. Alle Rechte vorbehalten.

Solche Mails wirken viel echter, wenn auch noch ein Urheberrecht darauf beansprucht wird. :mrgreen:

Sparkasse Konto Nachrichten

Mittwoch, 29. Mai 2013

Ich hätte aber lieber die Sportnachrichten. :mrgreen:

Schlechtes Phishing

Angeblicher Absender dieser Mail ist onlinedat (at) sparkasse (punkt) de. Natürlich ist der Absender gefälscht und diese Mail kommt nicht von der Sparkasse. Die Sparkasse würde auch kaum ihre Kunden mit einer Mail anschreiben, die sie über einen in den USA gemieteten Server versendet.

Sehr geehrter Kunde,

Ja, manchmal bin ich Kunde. Zum Beispiel, wenn ich ein Brot kaufe.

Ihr Online-Banking-Konto wurde eingeschrankt

Huch! Und warum das? Und unter welchem Namen führe ich das Konto? Mit welcher Kontonummer? Bei welchem Kreditinstitut? Und seit wann heißt das Produkt dieses Kreditinstutes „Online-Banking-Konto“? Und warum gibt es keine Umlaute?

Klicken Sie auf den folgenden Link, um alle blockierten Zugriff [sic!] wiederherzustellen.

Anmelden

Und ja nicht darüber wundern, dass der Link gar nicht zur Sparkasse geht! Und bloß nicht die Frage stellen, warum die Sperrung eines Kontos aufgehoben wird, wenn man „der Sparkasse“ lauter Dinge sagt…

Screenshot der Phishing-Seite

…die die Sparkasse schon längst weiß! Einfach einen notdürftig als „Kontoupdate“ verlarvten Datenstriptease machen und an die organisierte Kriminalität weiterleiten! Nicht darüber wundern, dass die zwar vom „Online-Banking-Konto“ sprechen, aber die Daten einer Kreditkarte haben wollen!

Au weia, Phisher, früher habt ihr euch aber auch mehr Mühe gegeben…

Customer Care Account Dept.
© sparkasse.de 2013 Alle Rechte vorbehalten.

Nein, der miese Phish ist nicht alles

Was in diesem Zitat übrigens untergeht: Damit ist die Mail noch lange nicht zu Ende. Der Spammer scheint nämlich der Meinung zu sein, dass eine HTML-Mail erst dann so richtig HTML wird, wenn da auch noch eine Menge aus normaler Lesersicht zunächst völlig unsichtbares JavaScript dranhängt, und so hat er sich entschlossen, die folgenden Skriptversuche zu machen:

Auszug aus dem Quelltext der Spam

Der im Screenshot sichtbare Bereich macht ungefähr ein Viertel des gesamten Codeumfangs aus.

Natürlich wird ein vernünftig konfigurierter Mailclient niemals JavaScript in einer E-Mail ausführen. Aber dieses kleine Beispiel aus der täglichen Spamhölle zeigt einmal mehr, warum man gar nicht vorsichtig genug sein kann, wenn man es mit Spam zu tun hat und warum man auch lächerliche Spam niemals unterschätzen darf. Hier sollen JavaScript-Fragmente von allen möglichen Stellen im Internet abgeholt und lokal ausgeführt werden. Es ist davon auszugehen – nein, ich habe mir das jetzt nicht in allen seinen blutigen Einzelheiten angeschaut – dass auf diesem Wege versucht wird, aktuelle Schadsoftware zu installieren.

Und deshalb benutzt man einen vernünftig konfigurierten Mailclient (ich empfehle „normalen“ Anwendern den Thunderbird, und zwar immer auf aktuellem Stand), bei dem in der Standardkonfiguration die Ausführung solcher Versuche vollkommen auszuschließen ist. Ich weiß gar nicht, mit welcher Software oder mit welchem Webmailer ein derartiger Angriff erfolgversprechend wäre. Aber es muss dermaßen unsichere Software geben, sonst gäbe es nämlich diese Spam nicht. Die Verbrecher sind, was solche Dinge betrifft, auf dem neuesten Stand. Sie leben davon.

Angesichts der Tatsache, dass das Phishing geradezu lächerlich schlecht ist, vermute ich sogar, dass eine im Hintergrund laufende Installation von Schadsoftware der eigentliche Zweck dieser Mail ist – und das Phishing eher eine Nebensache, gar nicht so wichtig für die Absender. Ein Empfänger mit verwundbarer Mailsoftware sieht diese Spam, schaut eine Sekunde drauf, lacht womöglich noch darüber, löscht sie und vergisst sie… und ist damit bereits infiziert.

Konto-Status

Donnerstag, 2. Mai 2013

Leer?

PayPal

Ach nein, die schon wieder. Heute sogar mit Link auf die richtige PayPal-Seite, weil das Phishing stattfindet, indem man den Anhang im Browser öffnet, ausfüllt und die Daten an Verbrecher sendet. Allerdings hat diesmal – anders als noch vor ein paar Wochen – auch der Deutschexperte der Phisher einen Blick auf den Text geworfen und den gröbsten Sprachmüll daraus entfernt.

Lieber PayPal Kunde,

Lieber Unbekannter,

Aufgrund der jüngsten betrügerischen Aktivitäten haben wir ein neues Online-Sicherheitssystem für den maximalen Schutz der persönliche Daten unserer Kunden gestartet.

wir nennen uns PayPal. Und wir haben eine technische Änderung durchgeführt. Wir haben jetzt ein neues Online-Sicherheitssystem, das funktioniert, indem man eine Mailadresse und ein Passwort eingibt – also genau so wie das alte.

Nach dieser Tatsache, wird Ihnen angeboten, ihr PayPal-Konto zu aktualisieren.

Und weil wir so eine große, unwälzende und vor allem fantastische technische Änderung gemacht haben, haben sie ein Problem und bekommen von uns das Angebot, etwas tun zu müssen. Tatsache ist, dass das eine der dümmsten „Begrüdungen“ ist, die mir als Phisher einfallen konnten. Oder sind sie schon einmal mit ihrem Personalausweis zur Sparkasse gegangen, weil dort eine interne Software angepasst wurde? :mrgreen:

Um Ihr PayPal-Konto zu aktualisieren, liegt Ihnen in Ihrer E-Mail Adresse ein Formular zur Verfügung.

Auch mein Deutschexperte weiß leider nicht, wie man in einigermaßen verständlichen und wohlklingendem Deutsch beschreibt, dass die Mail einen Anhang hat. Er ist halt genau so ein Experte wie ich und…

Bitte laden Sie das Formular aus, rufen Sie über Ihren Internet-Browser und folgen Sie den Anweisungen auf dem Bildschirm.

…deshalb der Meinung, dass „ausladen“ der richtige Terminus für das Speichern eines Mailanhanges ist.

Hinweis: Das Formular muss in einem modernen Browser geöffnet werden, dassJavaScript aktiviert hat. (z.B. Internet Explorer, Mozilla Firefox).

Ich bin ja selbst so ein Spezialexperte. Deshalb habe ich das Wort „JavaScript“ mit dem Download-Link auf die Laufzeitumgebung für Java verlinkt. Das klingt so ähnlich, und ich habe mir leider nicht genug technisches Verständnis angeeignet, um eine im Browser laufende Skriptsprache von einer plattformunabhängigen Programmiersprache unterscheiden zu können. Das macht aber nichts, denn wer meiner holprig formulierten Spam Glauben schenkt, der weiß so etwas auch nicht.

Warum das mit dem JavaScript so wichtig ist? Na, weil ich lieber nicht direkt in das angehängte HTML-Formular reinschreibe, wo die eingegebenen Daten schließlich hingehen. Solche Betrugsseiten sind ja sonst in Windeseile bei jedem Spamfilter dieser Welt bekannt, und mein Betrugsversuch käme gar nicht mehr bei den Opfern an. Stattdessen drücke ich mich lieber ein bisschen indirekter aus:

Ausschnitt aus dem Anhang der Spam mit verborgener Zieladresse für das HTML-Formular

Wer das „dechiffriert“, stellt fest, dass die Daten nicht an PayPal gehen, sondern an die URL http (doppelpunkt) (doppelslash) familyaffair (punkt) co (punkt) za (slash) admin (slash) logout.php in der TLD Sambias. Da hat mein krimineller Kollege von den Crackern nebenan eine Sicherheitslücke ausgenutzt und diesen Server verwenden wir jetzt eben nach Herzenslust für unsere kriminellen Geschäftchen.

[Den Betreiber der Website habe ich eben mit einer Mail unterrichtet. Ich hoffe mal vorsichtig, dass der Mailserver dort nicht auch kompromittiert ist und dass nur eine Sicherheitslücke im dort verwendeten CMS für den Upload einer Datei ausgenutzt werden konnte.]

Nach Abschluss dieser Phase wird die Aktualisierung Ihres PayPal-Kontos normal funktionieren.

Nachdem sie sich nicht darüber gewundert haben, dass „PayPal“ lauter Daten von ihnen wissen will, die PayPal längst weiß und deshalb brav alle Daten zu Kriminellen übermittelt haben, wird ihr PayPal-Konto so gut funktionieren, wie es vorher auch funktioniert hat.

Wir entschuldigen uns für die Unannehmlichkeiten und danken Ihnen für Ihre Zeit.
Für weitere Informationen kontaktieren Sie bitte den Kundenservice.

Wir tun höflich und sind Phishing-Arschlöcher.

Mit freundlichen Grüßen,
PayPal-Team.

Mit mechanischem Lächeln
Dein Phishing-Dummspammer

Copyright © 1999-2013 PayPal. Alle Rechte vorbehalten.

Natürlich wird für jede E-Mail ein Urheberrecht deklariert. Einfach, weil das so irre beeindruckend klingt. Und so professionell.

PayPal (Europe) S.à r.l.et Cie, S.C.A.
Société en Commandite par Actions
Registered office: 22-24 Boulevard Royal, L-2449 Luxemburg
RCS Luxemburg B 118 349
PayPal Email ID PP59

Nein, PayPal hat mit der Mail nichts zu tun…

Dieses kleine Meisterwerk des Phishings ist eine Einsendung von I. M.-S., die es nicht nur mit Mails versteht, eine einfache Spamdose sehr glücklich zu machen. Danke nochmal.

Battle.net Kontonummer Untersuchung

Montag, 22. April 2013

Warnung! Vor dem Weiterlesen sämtliche Getränke aus dem Mundraum entfernen, um eine Verschmutzung oder Beschädigung persönlich genutzter Datenverarbeitungsanlagen durch herausgeprustete Flüssigkeit zu vermeiden.

Greetings!

Empfänger, ich weiß nicht wer du bist. Und Deutsch ist auch nicht meine Stärke.

Vor kurzem erhalten das Problem der Kontoinvasion schlechter und schlechter [sic!], die die Ausrüstungen und die virtuelle Currency des enormen Spielers [sic!] verursachen, die gestohlen werden. Dieses Schaden streng den Nutzen von Massenspielern [sic!], verursacht auch unsere Firma verlieren viele Kunden.

Habe ich eigentlich schon erwähnt, dass Deutsch nicht meine Stärke ist?

Unsere wieder gestohlen zu werden Firma [sic!] muss einige Messen ergreifen [sic!], unseren allgemeinen Nutzen zu schützen [sic!], um die Sicherheit die Rechnungsprüfungen des Massenspielers zu verbessern und fest widersteht dem Konto [*rofl!*]. Durch die Forschung und die Untersuchung unsere Firma xxx [sic!] zu den Kunden, treffen wir die folgenden Entscheidungen: wir starten ein Paket aktualisierten beweglichen Authenticator Battle.net und der dynamischen Codeschutzkarte [sic!], das die eingedrungenen Konten [sic!] effektiv verhindern kann. Wir schicken den Spielern dieses Paket des CodeSchutzsystems kostenlos.

Habe ich eigentlich schon erwähnt, dass meine vorgeschobenen Gründe, warum du in eine Phishing-Mail klicken sollst, genau so intellektuell unbewaffnet wie mein Deutsch sind?

offnen Sie bitte diese Verbindung:
https (doppelpunkt) (doppelslash) eu (punkt) battle (punkt) net (slash) login (slash) en (fragezeichen) ref (gleich) http (prozent) 3A (prozent) 2F (prozent) 2Feu (punkt) battle (punkt) net (prozent) 2Fwow (prozent) 2Fen (prozent) 2Findex (ampersand) app (gleich) com (strich) wow

Hast du eigentlich schon gemerkt, dass das eine HTML-formatierte Mail ist? Oder um es in Deutsch meine zu sagen, dass das Mail Format in HTML erhalten hat, getroffen die Entscheidung wir, Link zu andere Website gehen als aussieht auf das erste Blick? Denn dieser Link geht in Wirklichkeit in die Domain eu (punkt) eu (strich) batt1e (strich) net (strich) kontonummer (strich) untersuchung (punkt) net, der man sonst ja auf dem ersten Blick ansehen würde, dass sie nichts mit battle.net zu tun hat. Zumal man „Battle“ ja auch mit einem „L“ und nicht mit einer „1″ schreibt. Dass der Domaininhaber eine sehr… ähm… nummerische Mailadresse und ansonsten offensichtlich komplett gefälschte Registrierungsdaten angegeben hat, verrät ein schnelles whois an der Kommandozeile

Wer klickt, kann auf einer „liebevoll“ nachgemachten Battle.net-Site…

Screenshot der Phishing-Site für Battle.net

…den Phishern seine Login-Daten mitteilen. Und die werden damit schon etwas anzufangen wissen.

Wenn Ihr Konto die Kontrolle erfolgreich führt [sic!], schicken wir Ihnen dieses Paket dynamischen beweglichen Authenticator Battle.net [sic!] in Form von E-Mail

In 3 Tage nachdem Sie die E-Mail empfangend [sic!], wenn Sie nicht Ihre Informationen einreichen, wir rechtes [sic!] haben, zum Ihres Kontos zu sperren [sic!], wird jeder Spieler gezwungen, die Sicherheit des Kontos zu schützen. Sie müssen zusammen mit, das ganzes Verhalten bestimmt zu werden uns arbeiten [sic!], von Destruktive Spielen [sic!] unten zu knacken [WTF?!]. Wenn Sie bereits Authenticator Ihr Konto hatten, missachten Sie bitte diese automatische Mitteilung.

Viele Greetings,

Diese großartige Spam erreicht trotz allem Bemühens um angemessenen sprachlichen Ausdruck nur müde zweieinhalb Punkte auf der nach oben offenen Zinker-Skala… 😀

Diese Mail wurde mir von einem Leser zugesendet. Es ist übrigens das erste Mal, dass ich ein Phishing auf Anmeldedaten von Spieleanbietern (in diesem Fall: Blizzard) in einer Spam sehe. Offenbar sind die virtuellen Items und Credits der Spielewelt mittlerweile auf einem Graumarkt wertvoll genug geworden, dass sich solche Angriffe für die Kriminellen lohnen. Aber so lange derartiges Phishing so lächerlich gemacht wird, ist nicht davon auszugehen, dass auch nur ein einziger Empfänger darauf reinfällt. Jedenfalls nicht auf diese „deutsche“ Version.

Vorname Nachname, Mitteilung zu Ihrem Kunden-Konto!

Freitag, 19. April 2013

Anstelle von „Vorname Nachname“ steht der Name des Empfängers. Die Mail mit dem gefälschten Absender hilfe (at) paypal (strich) community (punkt) com kommt natürlich nicht von PayPal. PayPal versendet solche Mails nicht:

PalPal Konfliktlösung -- Guten Tag , Ihr Konto wurde vorübergehend limitiert! Bearbeitungsnummer: PP-8500401 Weitere Informationen finden Sie hier -- Jetzt lesen -- Bei Fragen steht Ihnen unser Kundenservice von Mo.-Fr. 8.30 bis 19.00 Uhr und Sa.-So. 9.00 bis 19.30 Uhr unter der Telefonnummer 0180 500 66 27 zur Verfügung (für Anrufe aus dem Festnetz fallen maximal 14 Cent/Min. an, aus Mobilfunknetzen sind es maximal 42 Cent/Min.)

Im Original stand nach der Anrede „Hallo“ noch der Vorname und der Nachname.

Der Link liegt auf dem etwas peinlichen Schloss und dem Schild mit der Beschriftung „Jetzt lesen“. Er ist über den URL-Kürzer tinyurl (punkt) com maskiert und führt auf eine „liebevoll“ nachgemachte PayPal-Login-Seite in der Domain sslpp (strich) hilfe (punkt) konflikte (strich) kunden (punkt) com:

Screenshot der Phishing-Seite

Dass das nicht die Website von PayPal ist, brauche ich hoffentlich nicht weiter zu erwähnen, und dass die dort angegebenen Anmelde- und Kreditkartendaten direkt in die Hände der organisierten Internet-Kriminalität gehen, sollte auch weniger intellektuell begabten Mitmenschen einleuchten. Wer nur einen einzigen Blick in die Adressleiste seines Browsers wirft, sieht sofort, dass es nicht PayPal ist.

PayPal versendet übrigens niemals E-Mails mit der Aufforderung, irgendwelche Bullshit-Verifizierungen zu machen. PayPal kennt die angegebenen Daten bereits. Die einzigen, die den PayPal-Login, die Postanschrift, das Geburtsdatum, die Bankverbindung und die Kreditkartendaten nicht kennen, sind die Verbrecher, die Identitäten missbrauchen wollen und mit dem Geld anderer Leute ihre „Geschäfte“ machen wollen. Wer auf diese Phishing-Nummern hereinfällt, darf sich nicht nur über sein geplündertes Konto und den folgenden Schriftverkehr mit seiner Bank ärgern, sondern auch über allerhand hässliche Briefe mit Rechnungen und Mahnungen (die bestellten Waren gehen an ebenfalls gephishte Packstation-Accounts) und über jede Menge neuer Bekannter bei Polizeien, Staatsanwaltschaften und Untersuchungsgerichten, die wegen gewerbsmäßigen Betruges ermitteln. In der Folge gibt es zwei bis drei Jahre hässlichen Schriftverkehr, vielleicht die eine oder andere Hausdurchsuchung, Schufa-Einträge, gegen die man vorgehen muss und dergleichen unangenehmes Zeug mehr.

Diese Phishing-Spam ist gut gelungen und durch die Erwähnung des Namens zusätzlich gefährlich. Sie hat allerdings immer noch deutliche Schwächen, die es jedem möglich machen, die Spam zu erkennen:

  1. Vorname und Nachname stehen im Betreff
    Es ist objektiv sinnlos, den Empfänger einer E-Mail an seine persönliche Mailadresse im Betreff namentlich anzusprechen. Der Empfänger weiß, dass er gemeint ist, weil die Mail in seinem Postfach liegt. Niemand würde das tun.
  2. Der Betreff ist „komisch“
    Ein Zahlungsdienstleister wie PayPal macht also „Mitteilung zu Ihrem Kunden-Konto“? Nicht zum PayPal-Konto? Das „müffelt“ ein wenig. Unternehmen würden darauf achten, dass ihre Kommunikation unmissverständlich ist. Vor allem in Kontexten, in denen es um Geld geht.
  3. Guten Tag Vorname Nachname
    So etwas wie „Herr“ oder „Frau“ vor dem Namen fehlt. Kein Unternehmen würde seine Kunden so ansprechen.
  4. Der Absender
    Wie peinlich ist das? Einen Absender fälschen, aber dann nicht einmal einen mit einer Adresse @paypal (punkt) com nehmen. Wenn man schon den Absender fälscht… :mrgreen:
  5. tinyurl (punkt) com stinkt
    PayPal hat es niemals nötig, einen Link auf die eigene Website mit einem URL-Kürzungsdienst zu verschleiern. Kein Unternehmen, das seine Kunden anmailt, hat das nötig. Nur Spammer haben es nötig, um sich mit diesem „Trick“ an den Spamfiltern vorbeizumogeln. Wo der Link hinführt, sieht man übrigens in seiner Mailsoftware, indem man auf die Statusleiste schaut, wenn der Mauszeiger über dem Link ist. Wenn da in so einem Fall nicht die Website des Unternehmens steht, ist es immer Phishing.
  6. Die Bearbeitungsnummer ist überflüssig
    Zum Hinweis „Ihr Konto wurde limitiert“ (als ob es das nicht immer irgendwie wäre) gibt es keinerlei Begründung oder auch nur eine Andeutung der Gründe. Weitere Informationen soll man nach einem angeblichen Login erhalten. Die Angabe einer kryptischen Bearbeitungsnummer ist in diesem Kontext für den Empfänger der Mail sinnlos; der gesamte Vorgang könnte und würde direkt auf der Website dargestellt werden. Diese sinnlose Nummer dient also nur zur psychologischen Einschüchterung (du kommst nicht an dein Geld und du bist damit jetzt für uns nur noch eine Nummer). Jedes Unternehmen würde so etwas im Umgang mit seinen Kunden hoffentlich vermeiden. Phishing-Spammer wissen hingegen ganz genau, dass ein bisschen Angst viel Verstand ausschaltet und so unvernünftiges Verhalten fördert, und sie nutzen dieses Wissen.
  7. Mailadresse
    Im speziellen Fall dieser Mail haben die Spammer eine Adresse angemailt, die gegenüber PayPal gar nicht verwendet wurde. Wer es sich angewöhnt, für jeden „wichtigen“ Dienst eine eigene, ansonsten völlig unbenutzte Mailadresse zu verwenden, hat sich gegen dieses Phishing erfolgreich geschützt. Der Aufwand für diesen Schutz, der einem schnell einige Jahre juristischen Ärger für einen unbedachten Moment der Unvorsicht ersparen kann, liegt im Bereich weniger Minuten pro eingerichteter Mailadresse und ist damit sehr empfehlenswert. Übrigens kann man diese Phishing-Mail auch bekommen, wenn man gar kein PayPal-Kunde ist.
  8. Der Begriff „Konfliktlösung“ ist seltsam
    Welches Unternehmen würde in seiner Kommunikation mit dem Kunden (also nicht intern) einen derartigen Begriff für eine seiner Stellen benutzen? Dieses Wort macht einen recht unvorteilhaften Eindruck eines konfliktträchtigen Daseins als Kunde. Die in die Mail eingebettete, externe Grafik mit diesem Begriff kommt übrigens nicht aus der PayPal-Website, sondern sie wird vom anonym nutzbaren Freehoster image (strich) upload (punkt) de eingebunden. Zurzeit kann sie dort noch betrachtet werden. Meine Abuse-Mail ist schon draußen, und ich hoffe, dass diese Grafik schnell verschwindet. Ich habe in meiner Mail übrigens darum gebeten, die Grafik nicht einfach zu löschen, sondern sie durch eine auffällige Grafik mit einem deutlichen Hinweis auf das Phishing zu ersetzen, um den Schaden durch diese Mails zu beschränken. Dieses Vorgehen werde ich in Zukunft jedem Imagehoster nahelegen, dessen Dienst von solchen Verbrechern missbraucht wird, und ich empfehle das anderen zur Nachahmung. Aber es wäre vermutlich schon viel gewonnen, wenn öfter einmal mit einer Mail auf den Missbrauch anonym nutzbarer Dienste im Web hingewiesen würde…
  9. „Genießer“ merken es in jedem Fall
    Wer sich die Mailheader anschaut, bemerkt, dass diese Mail nicht von PayPal kommt. Stattdessen wird im Header die Domain hausrattreff (punkt) de verwendet.

Doch trotz dieser Schwächen: Phishing wird besser. Arglose und unerfahrene Menschen können auf diese Spam hereinfallen. Die namentliche Ansprache macht die Spam gefährlich. Die Spammer scheinen inzwischen eine Zuordnung von Mailadressen zu Namen aus vielen Quellen zusammengestellt zu haben. Derartige Datenbanken sind unter Kriminellen im Umlauf und werden benutzt.

Es wäre an den Geschäftstreibenden im Internet, die Situation zu verbessern. Die konsequente Verwendung digital signierter Mails in der Kommunikation und die Aufklärung der Kunden über Zweck und Nutzung digitaler Signaturen würde den Phishern schon nach kurzer Zeit das Wasser abgraben und einen kriminellen Sumpf mit monströsen Umsätzen vollständig trockenlegen. Warum PayPal nicht digital signiert? Warum es niemand tut? Ich habe darauf nur eine Antwort: Weil die „Sicherheit“ vor allem ein Wort der Werbeabteilungen ist, und nicht etwa ein Streben im Sinne der Kunden. Mittelbar ist jeder Geschäftstreibende, der seine Mail nicht digital signiert, an der Seuche des Phishings und an den Schäden bei seinen von Verbrechern übertölpelten Kunden mitschuldig.

Diese Spam wurde mir von meinem Leser Cassiel zugesendet.

Laden Sie das Formular aus und bestätigen Sie Ihre PayPal

Dienstag, 16. April 2013

(Gefälschter) Absender: PayPal-Service <contact (at) client (punkt) de>
Empfänger: Recipients <contact (at) client (punkt) de>

Bitte überprüfen Sie Ihre Angaben. Dazu haben wir ein befestigt zu bilden, um diese E-Mail. Bitte laden Sie das Formular aus und befolgen Sie die Anweisungen auf dem Bildschirm.

Hinweis: Das Formular muss in einem modernen Browser, der hat geöffnet werden JavaScript-fähigen (zB: Internet Explorer 7, Firefox 3, Safari 3, Opera 9)

Wir bitten diese Informationen zu verifizieren und schützen Sie Ihre Identität. Dies ist, um die illegale Tätigkeit zu verhindern PayPal-Konten.

Bitte nicht auf diese Email antworten.

Wir entschuldigen uns für etwaige Unannehmlichkeiten, die möglicherweise verursacht. Mit freundlichen Grüßen, PayPal Security Team.

Ohne Worte.

Sicherheitsmassnahmen

Mittwoch, 10. April 2013

Die Preis für die bis jetzt beste „persönliche“ Anrede des Jahres bekommt dieses Prachtexemplar der Gattung Phishing-Mail, das ich gern völlig unkommentiert belasse, um den tiefen Scharfsinn und die gewandte Sprache des Textes nicht zu beschädigen und den Sinn für die Einheit von inhaltlicher Größe und gestalterischer Exzellenz zu schärfen. Es handelt sich übrigens um eine HTML-formatierte Mail, die es gar nicht so schwer machen würde, einen Buchstaben wie „ü“ als &uuml; zu codieren. Aber das weiß ja jeder aufgeweckte Achtjährige.

Alle Zeilenumbrüche kommen aus dem Original.

Sehr geehrte Visa/MasterCard,

Aufgrund einer automatischen Kalibrierung in Ihren Kundendaten
Vergleichen Statistiken, die Gefahr
Classified Nichtzahlung f�r Ihr Konto zu �berdurchschnittlich

Um weiterhin die einfache Nutzung Ihrer Visa/MasterCard Konto
bitten wir Sie, Daten – als Sicherheit gegen Verluste – bei uns neu
registrieren.

Sie k�nnen Ihre Daten mit Hilfe des beigef�gten Formulars.

Wir entschuldigen uns f�r eventuelle Unannehmlichkeiten entschuldigen
Vorgehensweise ist nicht auf den zunehmenden Betrug
erforderlich.

Mit freundlichen Gr��en,
Ihre Visa/MasterCard Kunde

Das „beigefügte Formular“ ist eine HTML-Datei, in der man eine Menge Daten eingeben kann, die das kontoführende Institut schon längst kennt…

Screenshot der angehängten Phishing-Seite

…um sie mit einem dummen Klick direkt an die Mafia zu übermitteln. Wo die Daten hingehen, möchten die Absender aber lieber nicht direkt in den Mailanhang reinschreiben, damit ihre Drecksmail auch manchmal noch durch einen Spamfilter kommt. Stattdessen verwenden sie dann fröhlich eine Zeile JavaScript, um das öffende FORM-Tag nicht im Klartext anzugeben:

So sieht das Verbergen im Quelltext aus

Bemerkenswert ist daran, dass es im Anhang zwei weitere, genau so codierte Eröffnungen eines FORM-Tags gab, das die Daten allerdings an andere Server sendete. Es ist also davon auszugehen, dass die Idioten, die für diese Spam verantwortlich sind, sich aus dem einen oder anderen Grund nicht getraut haben, nicht mehr benötigten Code zu löschen. Ein Grund dafür könnte sein, dass sie den bestehenden Code nicht verstanden; und ein anderer Grund könnte es allerdings sein, dass ihnen fünf Minuten Sorgfalt einfach zu viel der Mühe bei ihren Betrugsversuchen waren. Denn das diesen Spammer jede Mühe zu viel ist, das sieht man ja auch an ihrer wunderbaren Spammail.

Übrigens: Die Daten gingen an eine durchaus vertrauenswürdige NGO-Site aus Togo, deren CMS offenbar von Kriminellen übernommen werden konnte. Die Betreiber sind über den Missbrauch ihres Servers unterrichtet und haben das Problem mittlerweile (und sehr, sehr schnell) behoben. Ich befürchte allerdings, dass die gleiche Nummer demnächst mit einer anderen gecrackten Site läuft und dass dann die vierte JavaScript-Ruine in den Anhang kommt…

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.