Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Kategoriearchiv „Phishing“

[NewsCenter] Wichtige Mitteilung Feb. 2013

Sonntag, 17. Februar 2013

In der Tat, wir haben Februar 2013, aber was ist daran jetzt so wichtig? Oder gar so neu? 😀

Screenshot der HTML-Darstellung der Spam

Soso, das soll also eine Mail von Amazon sein. Interessanterweise ist als (gefälschte) Absenderadresse aber nicht irgendwas (at) amazon (punkt) com angegeben, sondern mail (at) service (punkt) de, was die ganze Sache gleich unglaubwürdiger macht. Ich mein ja nur, Spammer: Wenn du schon den Absender fälschst, kann du es auch gut und überzeugend machen.

Aber jemand, der die Dinge gut macht, wird eben kein krimineller Spammer. Nur dieses Pack, das bei jeder kleinen Mühe oder intellektuellen Anstrengung denkt „Da könnte ich ja gleich arbeiten gehen“, kommt auf die Idee, vom Internet-Betrug zu leben.

Februar 2013

Ah, ich verstehe: Beim Internet-Unternehmen Amazon weiß niemand, dass die Mails bereits mit einem Datum im Header kommen, das selbstverständlich von jedem Mailclient dieser Welt angezeigt wird (es kann sogar in jedem vernünftigen Programm als Sortierkriterium verwendet werden). Und deshalb wird einfach das Datum noch einmal reingeschrieben, aber natürlich nicht so exakt wie im Mailheader, sondern als Monatsangabe. Das sieht wirklich ziemlich doof aus.

Wichtige Kundenmitteilung

Die kommt natürlich auch bei Leuten an, die keine Kunden sind.

Sehr geehrte Kundin, sehr geehrter Kunde,

Der Absender hat nicht die geringste Ahnung, wie die Empfänger dieses Müllbriefes heißen – und das unterscheidet ihn von Amazon. Keine Unternehmung würde darauf verzichten, ihre Kunden mit Namen anzusprechen.

Wir möchten Sie auf [sic!] die neuen Amazon Bestimmungen [sic! Deppen Leer Zeichen!] vom 01.02.2013 in Kenntnis setzen.

Wie soll man diesen Strunz verstehen? Soll ich mich jetzt auf einen Papierstapel mit irgendwelchen „neuen Bestimmungen“ stellen, um darauf stehend über irgendetwas Ungenanntes in Kenntnis gesetzt zu werden? Mit Grammatikfehler? :mrgreen:

Und überhaupt: „Bestimmungen“! Man könnte denken, der Verfasser dieses Bullshits hat noch nie einen deutschsprachigen Brief eines Unternehmens an seine Kunden aufmerksam gelesen. (Ja, „aufmerksames Lesen“ ist auch so eine Mühe, die der Spammer nicht mag.) Sicher, die „bestimmen“ so einiges, aber die nennen das niemals so. Auf deutsch spricht Amazon von den „Nutzungsbedingungen“, und wie man durch einfaches Betrachten der Amazon-Seite mit den Nutzungsbedingungen herausbekommt, wurden diese zum letzte Mal am 5. September 2012 geändert und nicht etwa wie behauptet am 1. Februar 2013. Wer schon nicht bei der unpersönlichen Ansprache skeptisch geworden ist, sollte spätestens bei dieser Kleinigkeit bemerken, dass diese Mail nicht von Amazon kommt. Oder soll man etwa glauben, dass Amazon nirgends seine aktuellen „Bestimmungen“ rechtsverbindlich veröffentlicht? Um das zu glauben, müsste man aber schon ein bisschen blöd sein…

Amazon arbeitet kontinuierlich an der Weiterentwicklung [Bingo!] bestehender Sicherheitssysteme [Bingo!], der Einführung neuer Technologien [Bingo!] sowie sicherheitsorientierter Produkte [Bingo!] um potenziellen Schaden [Bingo!] im Vorfeld zu vermeiden.

Mein Bullshit-Detektor hat wegen eines Überlaufes die Funktion verweigert.

Wo liegt das Problem?
Bearbeitungsnummer: 165.48-D889

Sehr informativ! Und so kundenorientiert! :mrgreen:

Um gewährleisten zu können, das kein Unbefugter Zugang zu Ihrem Mitgliedskonto hat, ist eine einmalige Zuordnung Ihres Mitgliedskontos durch Eingabe von personenbezogenen Daten erforderlich.

Um zu gewährleisten, dass niemand anders das Amazon-Konto für Betrügereien missbraucht, soll es also erforderlich sein, dass man Amazon gegenüber Daten erneut angibt, die Amazon schon längst kennt? Oder vielleicht noch ein paar zusätzliche Daten? Dann ist eine missbräuchliche Anmeldung durch jemanden anders nicht mehr möglich? Und nicht etwa, indem ein Passwort geändert wird? Man muss nicht sehr lange nachdenken, um zu bemerken, wie hirnrissig dieser angebliche Ansatz zur „Erhöhung der Sicherheit“ ist.

Was mache ich jetzt?
Bitte registrieren Sie Ihre Daten [sic!] innerhalb von 7 Tagen [sic! Komma fehlt] um eine eventuelle Sperrung [sic!] Ihres Mitgliedskontos [sic!] zu vermeiden.

Großes Kino! Allein schon die Ausdrucksweise „registrieren sie ihre Daten“. Das soll man auch schön schnell und unüberlegt tun, weil sonst ist schon in einer Woche das „Mitgliedskonto“ futsch. Oder vielleicht auch nicht, wie im Worte „eventuell“ anklingt.

Mit freundlichen Grüßen
Ihr Kundenteam

Mit feindlichen Grüßen
Ihr dummer Phishing-Spammer

Weiter

Wer auf diesen freundlichen orangefarbenen Button klickt, lasse alle Hoffnung fahren! Natürlich liegt dort kein Link zur Amazon-Website, wie man es bei einer echten Mail von Amazon erwarten könnte, sondern ein über den Kürzungsdienst url9.de maskierter Link. Dieser führt auf eine „liebevoll“ nachgemachte Amazon-Seite…

Screenshot der betrügerischen Seite zum Phishen von Amazon-Kundendaten

…in der Domain security (strich) team (punkt) info. Diese wirklich einmal gut klingende Domain haben sich die Verbrecher frisch am 15. Februar 2013 registriert, und die dabei angegebenen Registrierungdaten (die ich wegen der Nutzungsbedingungen [ja!] der Whois-Informationen für die TLD .info hier nicht wiedergebe) erwecken überdeutlich den Eindruck, dass sie nicht zutreffen, obwohl die Adresse existiert. Einmal ganz davon abgesehen, dass Amazon wohl nicht in einem etwas größeren Einfamilienhaus in einer dorfähnlichen Gemeinde in Nordrhein-Westfalen untergebracht sein wird. 😀

Die betrügerische Website ist über die Cronon AG bei Strato [bewusst nicht verlinkt!] gehostet. Ich hätte gern einmal die übliche Mitteilung an Strato gesendet, damit dieser phishige Amazon-Spuk ganz schnell vom Netz genommen wird, habe damit jedoch wegen der großartigen Künste des Webdesigners bei Strato so meine Probleme. Die Kontaktseite wurde von jemanden geschrieben, dessen JavaScript-Kenntnisse so großartig sind, dass in einer JavaScript-Endlosschleife immer wieder kleinere Versionen der Kontaktseite geladen werden, während der Speicherbedarf des Browsers in die Höhe schnellt – offenbar findet man es bei Strato zu „unübersichtlich“, wenn einfach nur die wichtigsten Kontaktadressen in ganz klassischem HTML aufgeführt werden (gern mit Links auf Unterseiten für spezielle Anliegen) und die Funktion einer Kontaktaufname schwellenlos erfüllt wird. Wie schnell die geringfügig indirektere Mitteilung an die Cronon AG zur Beendigung des Hostings einer Phishing-Site führt, werde ich in den nächsten Stunden (oder hoffentlich: Minuten) erleben. Ich bin aber alles in allem guter Dinge.

Amazon-Deutschland- 11,10178 Berlin
Telefon: 0049 885 44856- Telefax: 0049 421 84841- E-Mail: info@amazon-deutschland

Nein, die Spam kommt nicht von Amazon-Deutschland, auch wenn die Fußzeile das so sagt. Ich habe die Fußzeile nur zitiert, um einmal mehr auf die besondere Faulheit und Dummheit der Spammer hinzuweisen. Natürlich ist die angegebene Mailadresse nicht korrekt, ihr fehlt die TLD .de. Nachdem der spammende, phishende Idiot sich seiner Aufgabe entledigt hat, seinen Betrugstext zu verfassen, ließ seine Aufmerksamkeit deutlich nach, was an diesen kleinen Angaben sichtbar wird. Die Anschrift (immerhin die Geschäftsadresse von Amazon, die würden darauf wert legen) ist zudem sonderbar formatiert, der trennende Strich sieht wie ein Bindestrich aus.

Denn wenn sich der Spammer Mühe geben würde, könnte er ja gleich arbeiten – er will aber davon leben, dass er die Dummen und Unerfahrenen im Internet betrügt.

Wer so unerfahren ist, dass er darauf reingefallen ist und wer in der angeblichen „Verifizierung“…

Ein weiterer Screenshot eines Details der betrügerischen Website

…Daten eingegeben hat, die sowohl sein Amazon-Konto für den Missbrauch durch Kriminelle öffnen als auch über die Angabe einer Postanschrift mit Geburtstag den Missbrauch der Identität durch die gleichen Kriminellen ermöglichen, der darf sich auf einen riesengroßen Haufen Probleme in den nächsten Wochen, Monaten und Jahren einrichten. Auch wenn ich keine Versicherungen mag: Der Abschluss einer Rechtsschutzversicherung ist zu empfehlen, und zwar noch, bevor die erste Strafanzeige wegen Betrugs oder wegen Geldwäsche kommt, weil diese Daten von üblen Verbrechern für gewisse „Geschäfte“ verwendet wurden. Fünf Minuten Nachlässigkeit im Denken bringen Ärger für zwei bis drei Jahre und viele neue Bekannte bei den Staatsanwaltschaften und Polizeien. Garantiert. Wenn sie im darauf folgenden Schritt sogar noch die Kreditkartendaten angegeben haben, sollten sie unbedingt und sofort Kontakt mit ihrer kontoführenden Bank aufnehmen, bevor es zu einem Missbrauch der Kreditkarte durch die Internet-Kriminellen kommt.

Und ganz generell: Wenn sie eine E-Mail von einer Unternehmung bekommen, bei der sie Kunde sind; wenn sie in dieser E-Mail aufgefordert werden, auf einen Link in dieser E-Mail zu klicken: KLICKEN SIE NICHT! Auch nicht, wenn sie persönlich angesprochen werden, denn die Verbrecher haben schon jede Menge persönlicher Daten aus allen möglichen Quellen abgreifen können. Besuchen sie die Website des Unternehmens direkt, indem sie die Adresse in der Adresszeile ihres Browser eingeben (oder ein Lesezeichen verwenden)! Melden sie sich dort an und schauen sie, ob sie dort ebenfalls einen Hinweis präsentiert bekommen! Wenn nicht: Unterrichten sie das Unternehmen über die Phishing-Spam, damit andere vor der Phishing-Spam gewarnt werden können, um den Schaden kleiner zu machen! Das Internet ist ein viel zu schöner Ort, um dummen, asozialen Verbrechern darin zu viel Raum zu geben.

Die Spam ist ein Zustecksel meines Lesers H. G.

Dringende Mitteilung!

Montag, 11. Februar 2013

Aber ganz dringend!

Sie haben sich erfolgreich mit Ihrer Karte registriert .

Fragt sich nur, mit welcher Karte. War es die Pik Drei oder die Herz Sieben? Oder war es gar meine Visitenkarte? Und wo habe ich mich damit jetzt registriert? Moment, der Absender behauptet, „Visa – MasterCard“ zu sein? Fragen über Fragen… :mrgreen:

Bitte aktivieren Sie Ihr Konto.

Fragt sich nur, für wen. :mrgreen:

Um das Papier zu halten, aktualisieren Sie bitte Ihre Informationen.

Ach so, das ist gar keine Phishing-Spam, das ist ein großer dadaistischer Lyriker. So einer wie O. T. Zinker.

Klicken Sie hier, um die Aktivierung gehen.

Klicken sie! Gehen sie nicht über Los! Ziehen sie keine 3000 Mark ein! Ist ein total vertrauenswürdiger Link, der nicht etwa auf die Domain eines Kreditinstutes geht, sondern auf eine IP-Adresse aus dem IP-Range einer taiwanesischen Limited, die Hosting-Dienste anbietet und aus meiner Sicht nicht besonders professionell wirkt. Da kann man dann den Weg zur Aktivierung der eigenen Kreditkartendaten für die organisierte Internet-Kriminalität gehen… wenn man es schafft, eine derartig hingestümperte Phishing-Mail überhaupt ein bisschen glaubwürdig zu finden. Und um das zu schaffen, muss man sich nur vorher sein Gehirn wegklicken. Dann klappts auch mit dem „Klicken sie hier“ der Phisher.

Dieses Exemplar aus dem Beklopptenbrutschrank des mies gemachten Phishings wurde mir von meinem Leser Irrelephant zugesteckt.

Sehr geehrter Kunde

Samstag, 9. Februar 2013

Die Absenderadresse contact (punkt) update (at) postbank (punkt) de ist natürlich gefälscht, und diese Mail kommt nicht von der Postbank.

Sehr geehrter Kunde,

Spammer, das hast du schon im Betreff gesagt. Toller Betreff, übrigens, da weiß man gleich, um was es geht. Nicht.

Übrigens ist „Kunde“ ein ziemlich blöder Ersatz für eine persönliche Anrede, auf die niemand verzichten würde, der wirklich einen Kunden anspricht. Selbst einem Hund gibt man einen Namen, um ihn anzusprechen (außer man heißt Lieutenant Columbo, der hat seinen Hund immer nur „Hund“ genrufen) – aber die Empfänger dieser Phishing-Strunzmail sollen wirklich glauben, dass sie von der Postbank nicht beim Namen gerufen werden?!

Im Jahr 2012 hat unsere IT-Abteilung nach den besten Lösungen gegen Internetbetrug gesucht. Mit sehr guten Ergebnissen haben wir ein sichereres System für online-Banking [sic!] entwickelt.

Das ist doch eine tolle Nachricht. Und was habe ich damit zu tun?!

Wir aktualisieren derzeit unser online-System. Dazu gehört die Installation von neuer Sicherheitssoftware für 2013. Wir bitten um Ihre Mitarbeit, Ihre Daten mit unserem neuen System zu verknüpfen. [sic!] Mit dieser Innovation [sic!] wollen wir, dass unsere Kunden nutzen das Internet banking besser und sicherer zu machen [sic!], damit in Zukunft Sie unbeschwert unsere online-Dienste verwenden können. Für dieses System erfolgreich zu sein müssen Sie die Schritte und abzuschließen. [sic!]

[Woran erinnert mich nur diese eigentümliche Wortstellung? Klingt sehr, wie eine slawische Sprache, die annähernd wörtlich ins Deutsche übersetzt wird. Merke, Spammer: Das Wörterbuch ist kein Ersatz für einen Deutschkurs.]

Ach so, dass habe ich damit zu tun. Ihr habt also im Jahr 2012 einen neuen Text für eure meist brotdummen Phishing-Mails entwickelt und lasst den jetzt massenhaft auf die Leute los, selbst noch auf solche, die kein Konto bei der Postbank haben. Und denen wollt ihr weismachen, dass die Kunden etwas tun müssen, wenn die Postbank irgendwas auf ihren Servern verbessert oder installiert, nämlich „ihre Daten mit dem neuen System zu verknüpfen“. Klingt ja auch viel besser als: „Die Daten, die einen Zugriff auf das Konto erlauben und die der Postbank selbstverständlich bekannt sind, auf einer obskuren Website eingeben“. Für die Zukunft und so, ganz unbeschwert und leichtsinnig.

nach Abschluss erfolgt eine automatische Aktualisierung Ihrer Daten in unserem System. Sie werden bald angegangen [sic!], von einem von unserer Mitarbeiter auf die Aktualisierung erfolgreich abgeschlossen. [sic!] Vielen Dank für Ihre Zeit und Zusammenarbeit.

Nach Abschluss dieser Dateneingabe erfolgt eine automatische Aktualisierung des Datenbestandes der organisierten Internet-Kriminalität. Wer das gemacht hat, wird von einem Verbrecher nach der Aktualisierung erfolgreich abgeschossen. Dafür bedanken wir uns pseudohöflich, obwohl wir den Menschen mit dieser Drecksspam etwas von ihrer Lebenszeit geraubt haben und sie mit einem kriminellen Phishing-Versuch belästigt haben.

Verwenden Sie den Link:

Aktualisieren Sie Ihre Online-bankieren [sic!]

Oh toll, endlich mal ein anderer Text als „Klicken sie hier“. Leider vermag dieser Text auch nicht zu überzeugen.

Dr. M.Daberkow
IT/Operations
POSTBANK DE

Mit Gruß vom Phisher, der nicht einmal die Domain der Postbank richtig anzugeben vermag. Das macht diesen Auftritt noch überzeugender!

Diese Phishing-Mail ist ein Zustecksel meines Leser Irrelephant – und sie zeigt, dass die Phisher sich inzwischen etwas mehr Mühe mit ihren Mails geben. Das dürfte darauf zurückzuführen sein, dass auf die allzu plumpen Maschen niemand mehr hereinfällt.

Ihre Kreditkarte wird ausgesetzt best�tigen Sie bitte Ihre Kontaktdaten an

Mittwoch, 30. Januar 2013

Wer glaubt, dass der folgende, hochhirnrissige Text wirklich von „der Sparkasse“ kommen könne, kann vermutlich von keinem vernünftigen Wort mehr erreicht werden. Allen anderen wird es vermutlich so gehen wie mir. Ich hätte mich vor Lachen fast eingenässt.

(Gefälschter) Absender dieses Witzes ist Kundendienst (at) sparkasse (punkt) de:

Sehr geehrte Sparkasse Card,

Ich habe mich schon lange nicht mehr so persönlich angesprochen gefühlt!

Ihre Kreditkarte wird ausgesetzt, weil wir gemerkt haben, haben Sie nicht Aktivieren Sie Verified by Visa – MasterSecure Code.

Aktivieren Sie Verified by Visa – MasterSecure Code, um Sie gegen unbefugtes Einkaufe, wenn shoppin Online schnell und einfach.

Ihr Gehirn wird ausgeworfen, weil ich gemerkt habe, haben sie nicht Aktiveren…

Zu Ihrem Schutz haben wir Ihre Kredit Warenkorb ausgesetzt.

Wie jetzt, ausgesetzt? Vor die Tür? In diesen Scheiß-Regen? Da wird der Kredit im Warenkorb ja ganz nass. :mrgreen:

So aktivieren Sie Ihre Karte herunterladen Befestigung und das Formular ausfullen und folgen Sie den Anweisungen zur Aktualisierung Ihre Kreditkarte.

Gna – Den – Los – !!! 😀

Hinweis: Wenn nicht von 31. Januar 2013 abgeschlossen ist, werden wir gezwungen sein, Ihre Karte, weil sie fur betrugerische Transaktionen verwendet werden konnen.

Wir bedanken uns fur Ihre Kooperation in dieser Angelegenheit.

sparkasse.de 2013 Alle Rechte vorbehalten. Vervielfaltigung nur mit Genehmigung der Sparkassen-Finanzportal GmbH.

Verklagt mich doch für die ungenehmigte „Vervielfaltigung“, ihr unfähigen Phisher!

Sichtiger hinweis aus PayPal

Freitag, 25. Januar 2013

Ein extratoller Hinweis mit dem (selbstverständlich gefälschten) Absender aufmerksam1 (at) email (punkt) paypal (punkt) com.

Sehr geehrter Kunde,

Um weiterhin unsere
Dienste in Anspruch
nehmen zu kцnnen,
klicken Sie, bitte, auf
den unten stehenden
Link:

https://www.paypal.com/de/cgi-
bin/webscr?cmd=_login-
submit

© 2013 PayPal.com

Die Zeilenumbrüche sind aus dem Original.

Der Link in dieser HTML-formatierten Müllmail geht in Wirklichkeit zur dynamischen IP-Adresse eines Privatrechtners aus dem Adresspool der Deutschen Telekom AG. Der unter Windows XP laufende Rechner wurde mit an Sicherheit grenzender Wahrscheinlichkeit mit Schadsoftware übernommen, und der Besitzer des Rechners wird vermutlich in Kürze Besuch von ein paar „freundlichen“ Beamten der Kriminalpolizei bekommen, die wegen gewerbsmäßigem Betruges ermitteln. Dass die eingegebenen Daten auf der „liebevoll“ nachgemachten PayPal-Login-Seite in die Hände von Kriminellen geraten, ist hoffentlich jedem klar.

Gut ist nur, dass diese Phishing-Mail dermaßen mies ist, dass wohl niemand darauf hereinfallen wird. Solche Mails gibt es allerdings auch in „gut gemacht“. Und die Methodik, geownte Privatrechner zu benutzen, sehe ich immer häufiger in dem Zeug, das sich im glibbrigen Sieb des Spamfilters verfängt.

Kartenverifizierung W227411552

Dienstag, 1. Januar 2013

Einmal das übliche Phishing bitte…

Sehr geehrte Kunden,

Woher soll ich krimineller Spammer auch wissen, wie die Kunden von irgendwelchen Banken heißen? Das wissen ja schließlich nur die Banken.

Wegen sicherheitstechnischen Mangeln in diversen groberen Onlineshops in
Deutschland sind wir gezwungen, unsere Kunden einer Kartenverifizierung zu
unterziehen.

Tja, diese groben Shops aber auch immer. :mrgreen:

Wenn Sie eine Kreditkarte besitzen […]

Das weiß die Bank doch nicht, welche Produkte ihre Kunden nutzen. :mrgreen:

[…] empfehlen wir Ihnen, diese Kartenverifizierung
sofort durchzufuhren um eine allfallige Kartensperrung zu verhindern.

Einen kleinen Extrapunkt für die fröhliche Kombination des… ähm… etwas unüblichen Wortes „allfällig“ zusammen mit der technischen Unfähigkeit, diese komischen Pünktchen über die Umlaute zu bringen.

Wenn Sie Ihre Karte nicht verifizieren, sehen wir uns gezwungen, diese
binnen 2 Tagen zu Ihrem Schutz zu sperren.

Also husch, husch, schnell, schnell…

Zur Kartenverifizierung

…auf einen Link in einer Spam mit gefälschtem Absender und ohne persönliche Ansprache klicken. Der Link führt im Original nach drei Weiterleitungen in ein gepwntes WordPress-Blog, in dessen Upload-Bereich eine Phishing-Seite abgelegt wurde. Das merkt ja niemand, dass da oben nicht die Internetadresse der Bank steht.

Herzlichen Dank fur Ihr Verstandnis

Aber bitte doch, du Idiot von Phisher!

Account suspicious activity

Freitag, 21. Dezember 2012

Hi elias.schwerdtfeger,

Oh, wie „schön“ ihr die Zeichenkette vor dem @ in der Mailadresse in eine Anrede umformen könnt, damit ich eher glaube, dass diese Spam von Facebook kommt. Fällt euch eigentlich beim Zusammenhacken eurer Spamskripten nicht auf, dass die meisten Namen keine Punkte enthalten… 😀

Your account has been blocked due to suspicious activity.

To activate account, please follow this link:

http://www.facebook.com/confirmemail.php [gekürzt!]

Toll, da macht ihr eine HTML-formatierte Mail, und schreibt da so eine hässliche URL rein, statt einfach einen Text wie „activate account“ zu verlinken. So für Leute wie mich, die gar keinen Facebook-Account haben (und niemals einen haben werden). Aber der Link geht natürlich auf eine ganz andere Website unter der Domain site (strich) dating2012 (punkt) info, natürlich ebenfalls mit eindeutiger ID als Parameter. Was immer ihr dort mal abgelegt hattet, das gibt es leider inzwischen nicht mehr – aber vermutlich war es ein Phishing-Versuch auf Facebook-Accounts.

You may be asked to enter this confirmation code: 6779524

Wie, ihr tut so, als wüsstet ihr gar nicht, dass ich der richtige Account-Inhaber bin, aber schickt mir einen Code zu, mit dem ich mich bestätigen kann. Ich kann nur hoffen, dass Facebook etwas bessere Verfahren hat, um einen Nutzer wieder Zugriff auf sein von Phishern übernommenes Konto zu geben. :mrgreen:

The Facebook Team

Mit Gruß
Deine kriminellen Spammer

Didn’t sign up for Facebook? Please let us know.

Wie, du bist gar nicht bei Facebook. Dann schöpfe bitte gar keinen Verdacht, dass „Facebook“ dir eine Mail wegen deines Facebook-Account schickt, sondern klick auf einen Link in dieser Spam. Großes Spamkino! :mrgreen:

Twitter-Phishing

Dienstag, 16. Oktober 2012

Offenbar benötigen die Kriminellen mal wieder eine Menge neuer Twitter-Accounts, so dass das Phishing nach Twitter-Anmeldedaten zurzeit eine Seuche ist.

Im Allgemeinen beginnt es damit, dass jemand, dem man folgt (und dessen Account vermutlich selbst gephisht wurde), eine Direktnachricht derartigen Inhaltes versendet:

hey, someone is spreading nasty rumors about you http://bit.ly/WcQVnf

Das wirkt bei jemanden, der sonst in Deutsch zu zwitschern pflegt, natürlich unglaubwürdig und somit kann die Spam schnell erkannt und angemessen behandelt werden.

Wer von dieser Nachricht beunruhigt wurde und wissen will, was das für ekelhafte Gerüchte sind, die dort angeblich von jemanden verbreitet werden und wer von dieser Neugier getrieben auf den (im Moment immer über bit (punkt) ly gekürzten) Link klickt, landet auf einer „liebevoll“ nachgemachten Login-Seite von Twitter:

Screenshot der Twitter-Phishing-Seite

Die Zugangsdaten, die man dort eingibt, gehen nicht zu Twitter, sondern direkt zu kriminellen Spammern. Dass es sich nicht um Twitter handelt, wird schnell klar, wenn man einen Blick in die Adresszeile seines Browsers wirft:

Detail mit der URL der Phishing-Seite

Damit das nicht jeder sofort bemerkt, über den dummen Versuch lacht und den spammenden Account als Spam meldet, wurde eben eine alarmierende Direktnachricht versendet, die geeignet ist, das kritische und vorsichtige Erwägen abzuschalten, damit möglichst viele Menschen dumm in eine Spam klicken. Gerade bei Twitter, diesem idealen Biotop für Spammer mit seinem Stummeltext-Charakter und den überall verwendeten URL-Kürzern gilt aber in ganz besonderer Weise:

INTERNET! Vor jedem Klick auf einen Link: Gehirn benutzen!

Wenn man auf der angeblichen Twitter-Anmeldeseite unter twivvter (punkt) com seinen Benutzernamen und sein Passwort eingegeben hat und auf „Sign in“ geklickt hat, gibt es erst einen Hinweis, dass die Seite nicht mehr existiert, und danach kommt es zu einer Weiterleitung auf die Twitter-Startseite. Die Anmeldedaten sind danach in der Hand von Phishern, die mit diesem Account machen können, was immer sie wollen. Sie können den Zugang ändern, sie können weitere Phishing-Nachrichten versenden, sie können jede mit dem Twitter-Account verbundene Anwendung für ihre Zwecke benutzen (Twitter wird oft über seine OAuth-Schnittstelle als allgemeiner, zentraler Logindienst für andere Websites verwendet). Sie können sich gegenüber anderen Websites mit dem gephishten Twitter-Account authentifizieren und somit an vielen Stellen im Internet mit falschem Namen auftreten. Sie haben vollkommenen Zugriff auf alle Profilinformationen des Accountinhabers, zum Beispiel auch auf seine Mailadresse und in vielen Fällen auf seinen Wohnort und seinen Namen, so dass sie fiese, kriminelle Mails mit persönlicher Ansprache verfassen können. Wenn der gephishte Accountinhaber sein Passwort auch an anderen Stellen verwendet hat, dann haben sie Zugriff auf etliche weitere Accounts, die sie für ihre kriminellen Zwecke missbrauchen können – vor allem Mailaccounts mitsamt eventuell zugehörigen Adressbüchern und Posteingängen kommen ihnen immer sehr gelegen. Wenn dann auch noch PayPal, Flattr, eBay oder Amazon benutzbar werden…

Einmal ganz davon abgesehen, dass Kriminelle nach Übernahme eines Twitter-Accounts gegenüber anderen mit fremder Identität auftreten können, was auch eher klassische Betrugsmöglichkeiten eröffnet.

Und das alles, weil man wegen einer einzigen, schon nach fünf Sekunden Nachdenken völlig unglaubwürdigen niederträchtigen Behauptung für einen kurzen Augenblick den kritischen Verstand ausgeschaltet hat und mit dem unter unbewussten Regungen zuckenden Resthirn genau das gemacht hat, was die Kriminellen wollten.

Ich würde ja gar nicht darüber schreiben, wenn ich nicht in den letzten Tagen mehrfach erlebt hätte, dass deutschsprachige Twitter-Nutzer auf dieses Phishing reingefallen sind und somit selbst zu Spamschleudern wurden. Darunter waren auch einige, denen ich ob ihres Auftretens auf Twitter und ihren dabei durchschimmernden Kreis von Betätigungen und Interessen eine gewisse Intelligenz zuschreiben würde. Es sei also niemand hochmütig und glaube, auf so eine billige Masche könne er nicht hereinfallen! Das einzige was hilft, ist das Einschalten des Gehirnes, bevor man etwas im Internet macht.

Dieses Phishing war nämlich recht einfach als solches zu erkennen:

  • Falsche Sprache der Direktnachricht
    Bei einem Menschen, der überwiegend in deutscher Sprache twittert, fällt das Englisch gegenüber einem ebenfalls deutschsprachigen Twitterer schon sehr auf.
  • Dumme Direktnachricht
    Dass jemand niederträchtige, gemeine Gerüchte verbreitet, ist nicht unbedingt ein toller Köder, wenn trotz 50 verbleibender Zeichen Platz überhaupt nicht auf die Natur der Gerüchte eingegangen wird, sondern stattdessen ein Link kommt. So etwas sollte immer skeptisch machen.
  • URL der Phishing-Seite
    Ein kurzer Blick in die Adressleiste hätte schnell klargemacht, dass es sich nicht um die Website von Twitter handelt.
  • Dummheit der Spammer
    Ich habe vor dem Klick einen Blick in das Profil der Person geworfen, die mir angeblich diese Direktnachricht gesendet hat, und dort habe ich neben den vertrauten Tweets der vergangenen Tage auch schon die ersten offensichtlichen Spamtweets (Ganz viel Fett in ganz kurzer Zeit verbrennen) in englischer Sprache gesehen.

Generell ist davon abzuraten, auf Links zu klicken, die einem in so fragwürdiger Weise und ohne bessere Erläuterung zugesteckt werden. Es gibt da draußen im Internet jede Menge Websites, die von Kriminellen erstellt wurden, um den aufrufenden Rechner mit Schadsoftware zu übernehmen, wann immer das möglich ist. Es ist leider erschreckend oft möglich, weil viele Menschen jeder beliebigen Website im Internet das Recht einräumen, JavaScript in ihrem Browser auszuführen und Plugin-Inhalte in Seiten einzubetten. Dies sind die beiden größten Sicherheitslücken im heutigen Web. Abhilfe gegen derartige Angriffe ist ein Plugin, dass diese Privilegien nur gewährt, wenn sie explizit vom Nutzer freigeschaltet werden, etwa NoScript für Firefox.

Aber natürlich geht das alles auch in intelligent, wenn sich Kriminelle Mühe geben würden. Eine besser formulierte Direktnachricht in der passenden Sprache – etwa: „Man behauptet über dich, du wärst ein Nazi, stimmt das?“ gefolgt von einem Link – ist erregender und überzeugender, die Phishing-Seite kann auf einer Subdomain liegen, die wenigestens mit www (punkt) twitter (punkt) com gefolgt von ein paar kryptischen Zeichenfolgen beginnt, und der mit Phishing übernommene Account muss nicht sofort für offensichtliche Spam mitbenutzt werden. Ein solches Vorgehen könnte eine enorme Überzeugungskraft und damit eine verheerende Wirkung entfalten.

Hier gibt es nur einen Schutz, und der besteht in einer festen, angesichts der gegenwärtigen Internetkriminalität bewusst kultivierten Gewohnheit: Niemals irgendwo anmelden, nachdem man auf einen Link geklickt hat, sondern immer die Adressen der Dienste, bei denen man sich anmelden möchte, von Hand eintragen oder ein Lesezeichen im Browser verwenden. Wer das macht und niemals davon abweicht, kann nicht auf diese Weise gephisht werden. Und wer zu faul dazu ist, für eine Anmeldung nicht auf einen Link in einer Mail oder einer Direktnachricht oder eine andere Form der Mitteilung zu klicken, sondern stattdessen einen Eintrag im Lesezeichenmenü zu benutzen, der macht sich mit dieser Faulheit zum willigen und billigen Schergen der organisierten Kriminalität im Internet.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.