Kategoriearchiv „Phishing“

Warnhinweis: PayPal-Phishing

Mittwoch, 14. März 2012

Im Moment kommen hier eine ganze Menge englischsprachige Phishing-Spams für PayPal-Nutzer an, die als (gefälschten) Absender service (at) paypal (punkt) com eingetragen haben. Diese Spams haben variierende Texte und sind auffallend stilsicher formuliert. Wenn sie durch den (hoffentlich vorhandenen) Spamfilter kommen, können sie wegen des Absenders von der Mailsoftware in einen Ordner mit echten Mails von PayPal einsortiert werden.

Wenn sie eine Mail „von PayPal“ bekommen haben, die von Unregelmäßigkeiten in ihrem PayPal-Konto spricht: Keine Panik! Die Mail kommt mit an Sicherheit grenzender Wahrscheinlichkeit nicht von PayPal.

Es ist immer noch recht einfach, die Phishing-Versuche zu erkennen.

PayPal spricht seine Kunden immer namentlich an, die Spams kommen aber mit einer unpersönlichen Ansprache.
Der Link geht nicht auf die PayPal-Website. Das sieht man, wenn man beim Überstreichen des Links mit dem Mauszeiger in die Statusleiste seiner Mailsoftware schaut.
Die Begründungen, dass man etwas „verifizieren“ muss, weil PayPal irgendwelche nicht näher bezeichnete Auffälligkeiten bemerkt haben will, sind hanebüchen und sollen vor allem technisch weniger versierte PayPal-Nutzer verunsichern.

Also nochmal: Keine Panik!

Bei Webdiensten, bei denen es um „richtiges Geld“ geht: Niemals auf einen Link in einer Mail klicken, sondern immer die Adresse von Hand in die Adressleiste des Browsers eingeben! Egal, wie überzeugend diese Mail aussieht, und unabhängig davon, ob man persönlich angesprochen wurde oder nicht. Mit dieser sehr einfachen Vorsichtsmaßnahme kann man wirksam verhindern, dass man in einem Moment der Verunsicherung Zugangsdaten in die Hände von Kriminellen gibt – und das kann einem eine Menge Ärger und Geld sparen.

Wer für PayPal (und vergleichbare Dienste) eine eigens eingerichtete Mailadresse benutzt, die an keiner anderen Stelle angegeben wird, baut eine wichtige zusätzliche Sicherung ein, da eine solche Mailadresse nicht so leicht in die Datenbanken der Spammer geraten kann. Das ist unbedingt empfehlenswert – hilft aber nur, wenn man bei Mails „von PayPal“ auch einen Blick darauf wirft, an welche Mailadresse sich die Nachricht richtet.

Gegen Phishing hilft keine Software. Gegen Phishing gibt es nur ein Mittel: Vernunft.

Deshalb: Niemals in Panik versetzen lassen, niemals unüberlegt in eine Mail klicken, niemals so handeln, wie es die Spammer am liebsten hätten.

Vernunft ist kostenlos, und jeder ist mit der Möglichkeit zur Vernunft ausgestattet.

Unvernunft kann schnell verdammt teuer werden.

Keine Chance den Phishern!

Hinweis: Ihre Kreditkarte ist begrenzt!

Sonntag, 19. Februar 2012

Sehr geehrter Inhaber der Kreditkarte,

Ihre Kreditkarte ist aus Sicherheitsgründen begrenzt.

Wir müssen anualy aktualisieren unsere sistem mit neuen Kreditkarten-Informationen.

Bitte laden Sie das beigefügte Formular aus und füllen Sie alle Schritte.

Ihre Kreditkarte wird automaticaly gesichert und einsatzbereit, nachdem Sie das Formular auszufüllen.

Danke,
© 1994-2012 Visa & MasterCard. Alle Rechte vorbehalten.

Hinweis: Ihre Fähigkeiten sind begrenzt!

Sehr geehrtes Absender der Phishing-Spam,

Ihre Fähigkeiten zum Spammen ist eher begrenzt. Das ist aber auch besser, beecause of das Sicherheit.

Sie transslate Ihren Text mit engischen Schreibfelern mit ein softwar, die unerkannte Informationen untouchet lässt. Vorher haben Sie das gleiche sistema für Spanisch nach Englisch used.

Bitte laden Sie ihren Deutschexperten ein und lassen sie ihn einen Blick auf das reasult werfen, bevor Sie es in millons of Exemplaren absenden.

Ihre Spam wird im Spamblog gesichert und einsatzbereit, zu compare mit Ihre nächste unfassbar dumme Stümperei.

Danke,
© 174 v. Chr. bis 2034 Odin & Ares. Eine ansatzlos geschlagene Rechte wird vorbehalten.

PS: Ach ja, das mit den Umlauten in der angehängten HTML-Datei, das üben wir bitte auch gleich bei dieser Gelegenheit…

Account Review Department

Freitag, 17. Februar 2012

Oh, wie schön, „PayPal“ schreibt mir mal wieder. Zumindest nennt sich der Absender so, aber seine gefälschte Mailadresse accounts (at) intl0 (punkt) payel (punkt) com kann nicht den Eindruck erwecken, dass es wirklich PayPal ist. Hey, Phisher! Wenn du mit deinem Skript schon Mailadressen fälschen kannst, dann schreib da doch die richtige Domain von PayPal rein!

Ach, du befürchtest, dass dann Rückläufer beim richtigen PayPal landen, dass man dort aufmerksam wird und möglicherweise die Kunden in einer Rundmail vor deinem Betrugsversuch warnt? Na, das verstehe ich ja noch.

Aber das du zu glauben scheinst – ich meine ja nur: wenn du schon einen Namen zur Mailadresse angibst – dass der Betreff einer Mail nicht dafür da ist, kurz zu sagen, um was es überhaupt geht, sondern vielmehr dazu, reinzuschreiben, aus welcher Abteilung die Mail kommt… komm Spammer, das ist wirklich schwach! So etwas macht niemand. Weil es sinnlos ist. So etwas wirst du niemals sehen. So etwas erweckt einen klaren Verdacht, bevor man auch nur irgendetwas anderes in der Mail gesehen hat. Du kriegst vermutlich nicht so oft geschäftliche Mails, ne?!

Thursday, February 16th, 2012

Immerhin, wenigstens eine zutreffende und wahre Angabe steht in der betrügerischen Spam. Das ist nicht selbstverständlich. 😀

Recently, our system has detected unusual charges to a credit card linked to your PayPal account.

Auf eine persönliche Anrede des Kunden wird ebenso verzichtet wie auf die Angabe der betroffenen Kreditkartennummer – zwei Dinge, die das richtige PayPal vermutlich mitteilen würde, wenn PayPal so etwas mit einer Mail mitteilte.

Access to your account was limited for the following reason:

There are activities of which someone tried to access your PayPal account without your permission. To ensure greater security, we have limited access to your account.

Aber wenn ich eine Kreditkarte oder ein Bankkonto mit einem PayPal-Konto verbunden habe, habe ich das doch selbst gemacht. Das richtige PayPal hat sich dafür ein „tolles“ Verfahren ausgedacht, bei dem zwei geringwertige Transaktionen getätigt werden, deren Höhe man in einem Formular auf der PayPal-Site eintragen muss. So wird sichergestellt, dass das Konto richtig angegeben wurde, und zwar vom Menschen, der da Zugriff auf die PayPal-Verwaltung hat. Jemand anders kann das gar nicht. Weil es nicht möglich ist. Deshalb ist es ja auch nicht geschehen, es wird hier nur behauptet, um ein Problem in den Raum zu stellen und den Empfänger zu erschrecken, damit er möglichst wenig vor den folgenden Schritten nachdenkt. Denn er soll natürlich seine Zugangsdaten an Verbrecher übergeben, damit diese damit betrügerische Geschäfte machen können.

Und hier die tolle Gelegenheit, Verbrechern Zugriff auf die Kreditkarte und das PayPal-Konto zu geben:

We have sent you an attachment which contains all the necessary steps in order to restore your account access. Please download and open it in your browser.

Ein Attachment, das also schon mit der Mail mitgekommen ist, soll ich also runterladen. Großes Kino mal wieder.

Es handelt sich übrigens um eine HTML-Datei, die folgendermaßen aussieht:

Etwas lustig ist es ja schon, dass es hier keine Spur um PayPal geht, sondern nur um die persönlichen Daten (die PayPal bereits bekannt sind, aber eben nicht den Betrügern, sonst hätten sie überzeugender formuliert) und – im Bild nicht sichtbar – die Kreditkartennummer, ihr Ablaufdatum und die verification number. Tolle Daten für eine betrügerischen Missbrauch der Identität und ein paar Bezahlvorgänge mit anderer Leute Kreditkarten bei Betrugsgeschäften. Jedenfalls für die Verbrecher, die diese Daten bekommen. Denn natürlich gehen die Eingaben in dieses Formular nicht an PayPal, sondern an die folgende Internetadresse mit ausgesprochen beachtlicher Domain:

http (doppelpunkt) (doppelslash) kcdcylykuzszutdhgpdfkzwuridgzxjhwjilletzpexsgallti (punkt) spteiqnaskqliliasnqxikcmenmn (punkt) ru (slash) (tilde) jeremy (slash) sslchecker (punkt) php

Ich befürchte, dass diese großartige Domain, die vermutlich von einem auf die Tastatur herumkloppenden Pavian im Zustand fortgeschrittener Hirnverkäsung registriert wurde, hier nicht korrekt dargestellt wird, sondern mit ein paar zusätzlichen Leerzeichen dazu gezwungen wird, nicht das Layout zu zerstören. Aber dass es sich nicht um PayPal handelt, dürfte auch so klar sein… 😉

Das der Text „Secure Transaction“ zusammen mit dem Schloss keineswegs bedeutet, dass die Daten über HTTPS übertragen werden, erklärt sich von selbst.

Ein Kleiner Schlenker in die angehängte HTML-Datei. Hier haben die Phisher sehr „einfallsreich“ kommentiert, vermutlich, weil sie davon ausgehen, dass vielleicht doch mal jemand einen Blick in den Quelltext werfen könnte. Einen HTML-Kommentare in seiner unerreichten literarischen Qualität möchte ich nicht vorenthalten – wer das zu technisch findet, einfach überlesen. Die Kommentarzeichen lasse ich im folgenden Zitat weg, um den Genuss nicht vom Wesentlichen abzulenken (und mich vom Tippen der HTML-Entities abzuhalten):

PayPal Verification System Destinated Only For Locked Accounts

Na, wenn das im Anhang einer Spam steht, muss es ja wohl stimmen… 😀

Wirklich „schön“, dass hier wirklich für jeden Leser ein bisschen was geschrieben wurde.

Aber wieder zurück zur Spam:

(The locator for this issue is PP-388-572-660)

Diese Angelegenheit befindet sich in der Unimatrix Zero.

We thank you for your prompt attention to this matter. Please understand that this is a security measure intended to protect you and your account. We apologise for any inconvenience.

Zum Abschluss bedanken sich die Betrüger noch einmal, dass es immer wieder Leute gibt, die so angstdoof und unerfahren sind, dass sie auf Phishing reinfallen, obwohl das nicht gerade die neueste Masche ist. Natürlich handelt es sich um eine reine Sicherheitsmaßname, nur zum Besten des Opfers und seines Kontos. Eine kleine Entschuldigung wird auch druntergeklatscht.

Thank you,
PayPal Account Review Department

Nochmal vielen Dank von
Deinen Phishing-Stümpern

Datenabgleich Ihrer Kreditkarte ist bis zum 01.03.2012 dringend erofrderlich!

Samstag, 4. Februar 2012

Wichtiger Hinweis für beunruhigte Menschen vorab: Diese Mail kommt nicht von einer Bank oder einem Kreditkartenunternehmen. Banken versenden niemals derartige Mails. Es handelt sich um einen Betrugsversuch. Wenn sie diese Mail bekommen haben, ist gar nichts erforderlich. Wenn sie mir das nicht glauben, rufen sie mal bei ihrer Bank an und fragen sie dort. Aber klicken sie auf gar keinen Fall in diese Spam und kommen sie erst recht nicht auf die Idee, irgendwo im Internet Daten einzugeben, weil eine alarmierend formulierte Mail dazu auffordert. Besonders dann nicht, wenn es um Geld geht.

So, jetzt zur Spam… 😉

Das Korrekturlesen der Phishing-Versuche vor dem Absenden ist auch dringend erforderlich, Spammer, denn so ein Buchtsabenderher im Betreff erhöht nicht gerade den Eindruck von Seriosität. Da hilft es auch nicht, wenn du dich neben deiner gefälschten Absenderadresse in der lustigen Domain master (strich) securities6 (punkt) org großspurig Master-Card Security 26 nennst.

Sehr geehrte Kunden,

Ich kenne deinen verdammten Namen nicht, Opfer, aber muss dich irgendwie ansprechen. Deine richtige Bank hätte es da leichter, die kennt nämlich deinen Namen.

aufgrund einer neuen Gesetzeslage, welche ab dem 01.03.2012 für jeden unseren Kunden [sic!] geltend ist [sic!], sind wir verpflichtet eine Identitätsfeststellung [sic!] durchzuführen.

Hihi, das „gilt“ nicht mehr, sondern „ist geltend“ – hier schimmert etwas typisch slawische (oder keltische) Ausdrucksweise durch.

Wegen einer Gesetzeslage, von der kein Mensch jemals etwas gehört hat und zu der es keinen Verweis auf eine seriöse Quelle (wie etwa eine Veröffentlichung des Deutschen Bundestages) gibt, bitten wir dich, Opfer, in unserer Spam rumzuklicken und…

Deshalb bitten wir Sie Ihre Daten mit deren unseres Systemes abzugleichen. [sic!]

…uns ein paar leckere Daten zu geben, damit wir deine Identität und Kreditkarte, Opfer, für unsere betrügerischen Machenschaften verwenden können.

Ganz toll übrigens, dass die Eingabe von Daten, die dem kontoführenden Institut längst bekannt sind…

…jetzt als „Identitätsprüfung“ ausreicht. Wer dabei nicht stutzig wird, sollte zur Vervollständigung seiner Identitätsprüfung dreimal mit Schmackes seine Stirn in die Tastatur schlagen. Diese Maßnahme ist nur wirksam, wenn jedes Mal für mindestens 30 Sekunden das Licht im Kopfe ausgeht.

Übrigens ist „Datenschutzrichtlinie“ ein Kandidat für die blödeste Überschrift, die ich jemals auf einer Phishing-Seite gesehen habe. Toll ist auch die Navigation an der linken Seite, deren Links allesamt Leerstrings sind, also nirgends hinführen. So etwas wie Potemkinsche Dörfer für das Internet. Großes Kino! Wer da trotz aller Warnzeichen in der Spam und auf dieser Drecksseite seine Daten eingibt, sendet sie zu einem Server www (punkt) rksis (punkt) rs und natürlich nicht zu Mastercard oder zu seiner Bank. Die organisiert Kriminellen, die diese Spam verzapft haben, werden mit diesen Daten garantiert nichts Gutes anstellen. Sie werden krumme Geschäfte mit der durch Phishing übernommenen Identität machen, und sie werden das Konto leerräumen. Das Geld ist weg, die Kriminalpolizei steht vor der Tür, weil sie wegen Betruges ermittelt und die Bank sieht absolut nicht ein, dass sie bei so viel Nachlässigkeit einen Schadenersatz leisten sollte. Deshalb gibt man solche Daten nicht ein.

Möchten Sie nicht auf unseren Service verzichten, müssen Sie dieses Verfahren durchführen.

Nicht nachdenken, sonst ist die Kreditkarte futsch! Geile Aufforderung! Keine weiteren Hinweise, kein Link auf irgendwas, einfach nur eine gar nicht mal subtile Drohung, die das Gehirn der Opfer ausschalten soll.

Nach Angabe der Daten ist kein weiteres Handeln von Ihnen notwendig und Ihre Kreditkarte wird für Sie wie gewohnt zur Verfügung stehen.
Hierzu besuchen Sie die unten aufgeführte Seite, auf welcher Sie ein Formular sowie Informationen vorfinden.
Tragen Sie dort Ihre Daten in das Formular ein und vergewissern Sie sich nochmals, dass diese korrekt eingetragen wurden.
Weitere Informationen zu unseren Bestimmungen sowie das Formular finden Sie auf der folgenden Seite:

- Sicherheitsabteilung & Datenschutz -

Screenshot siehe oben…

Die Daten werden anschließend umgehend von einen unseren Mitarbeitern [sic!] überprüft und freigegeben.

Wie jetzt, die Daten werden freigegeben?! Das glaube ich euch aufs Wort. 😀

Anschließend können Sie Ihre Kreditkarte wieder wie gewohnt nutzen und Einkäufe tätigen.
Wir danken für Ihre Treue und wünschen Ihnen weiterhin viel Spaß mit Ihrer Karte.

Mit freundlichen Grüßen,
Thomas Zoff [sic!] im Auftrag von Master Card vom 04.02.2012

Ich glaube ja, dass Phishing viel gefährlicher wäre, wenn die Phishing-Mails nicht immer so gnadenlos schlecht wären und wenn die Verbrecher nicht immer so schlampig vorgehen würden. Aber wenn sie sich Mühe gäben, wären sie ja auch keine spammenden Verbrecher geworden.

Immerhin ist diese Mail schon überdurchschnittlich. Sie ist durch den Spamfilter gekommen, was selten ist. Die in der Mail verlinkte Seite liegt in der Domain webzler (punkt) com, die schon vor mehreren Jahren von einem Inder mit einer Freemailer-Mailadresse bei einem US-amerikanischen Hoster registriert wurde und zeigt nicht die „Frische“ typischer Betrugssites. Und das verwendete Spamskript produziert Mailheader, die keinen Verdacht erregen. Ich befürchte, diese Spam werden relativ viele Menschen in ihrem Posteingang sehen.

Ihre Karte wurde vorübergehend eingeschränkt durch unsere Betrug Prüfsystem.

Mittwoch, 25. Januar 2012

Geht das schon wieder los? Gibts inzwischen schon wieder Leute, die auf Phishing reinfallen? Für Lesefaule das Wichtigste zuerst: Diese Mail kommt nicht von einer Bank oder einem Kreditkartenunternehmen, also Panikmodus abschalten und über diesen dummen Versuch lachen!

Danke übrigens, unwerter unbekannter Krimineller mit dem gefälschten Absender online (strich) fraud (at) protet (punkt) visa (strich) mastercard (punkt) de am anderen Ende, dass du einen Punkt nach deinem holprig formulierten Betreff gesetzt hast – da hilft dann alle andere Sorgfalt beim Spammen nicht weiter. (Wow, sogar die Umlaute passen diesmal, und der Botrechner stand noch auf keiner Blacklist!) Dein Schrott wurde sicher in den Müll sortiert, und das wohl nicht nur hier. Das ist auch besser so, denn so werden viele mögliche Opfer diese Spam nicht in ihrem regulären Posteingang zu Gesicht bekommen und können nicht darauf reinfallen.

Einen Heiterkeitspunkt noch für euren Namen, den ihr euch zu der gefälschten Mailadresse ausgedacht habt, denn der ist sehr passend: „Visa und Mastercard Online-Betrug Abteilung“ – ja, ganz genau so führt ihr euch auch auf!

Sehr geehrter Kunde,

Name? Kundennummer? Kartennummer? Marke (Visa oder Mastercard)? Fehlanzeige, weil es der Absender im Gegensatz zu einem kontoführenden Institut nicht wissen kann.

Ihre Karte wurde vorübergehend eingeschränkt durch unsere Betrug Prüfsystem.

Begründung? Nähere Beschreibung? Fehlanzeige, weil sonst jeder merken würde, dass es Lüge ist.

Einfach nur noch sagen, dass…

Zum Schutz gegen betrügerische Verwendung Ihrer Kreditkarte wir Ihre Karte beschränkt haben.

…“wir“ (ohne nähere Angabe) ihre Karte beschränkt haben, und zwar in einem Deutsch, das so holprig ist, dass man nur beim Hinschauen sieht, dass es von einem dummen Computer übersetzt wurde. Und das geht auch gleich so weiter, denn man soll sich als Empfänger dieser Strunzmail…

Um Begrenzung zu entfernen und sicher Ihre Kreditkarte laden Sie sich bitte und füllen Sie das beigefügte Formular aus.

…doch bitte laden. Ideale Anweisung für einen Akku.

Danke,
Visa & Mastercard Support-Team.
© Copyright Visa Europas 2012

Gern geschehen!

Der Anhang ist der gleiche wie bei „das wichtiger Updates zur 2012 Neues Jahr“. Einziger Unterschied: Inzwischen wissen die Idioten, wie man einen Umlaut in ein HTML-Dokument bekommt – vermutlich haben sie mal einen Achtjährigen gefragt, der sich damit auskennt.

Die abgesendeten Daten würden an einen Rechner mit der IP-Adresse 79.142.78.43 gehen. Ich habe den Provider AltusHost Inc. in Stockholm über den Missbrauch eines dort gehosteten Servers informiert, und bekam binnen weniger Minuten eine freundliche Mail mit einem Dank und dem Hinweis, dass die betrügerische Website der Phisher jetzt vom Netz genommen ist. Das würde ich zu gerne mal bei den vielen Providern aus Russland, Bjelorussland, der Türkei oder der VR China erleben, mit denen ich sonst meist in wenig erfolgreichen Kontakt stehe. Wer einen Hoster sucht, der sich aktiv um ein besseres, ein spam- und betrugsfreies Internet mitbemüht, kann diesen Hinweis auch gern als eine Empfehlung verstehen – denn wenn die ganzen „Schmuddel-Hoster“ nur noch von Kriminellen verwendet würden, dann würde sich vieles vereinfachen.

Neuen 2012 Wichtige Updates!

Mittwoch, 4. Januar 2012

Aber einen ganz neuen, und ganz wichtige Updates! Ziemlich neu ist die Phishing-Idee, die in dieser Spam verbastelt wurde, und von daher ist sie auch ein bisschen gefährlich. Es soll nicht auf einen Link geklickt werden, sondern stattdessen ist ein „Formular“ zum „Ausfüllen“ an die Mail gehängt – offenbar haben die Warnungen der Polizeien und Banken, nicht auf Links in Mails zu klicken, um dann irgendwelche Kontoinfos an lichtscheue Typen zu geben, eine gewisse Wirkung entfaltet. Und jetzt müssen die Phisher ein bisschen kreativ werden. Aber wenn man seinen Strunztext dermaßen bescheuert formuliert, dann wirds auch nichts mit der tollen neuen Masche.

Sehr geehrter Inhaber der Kreditkarte,

Hallo! Deinen Namen kennen wir nicht, aber immerhin versuchen wirs mal mit dem „sehr geehrter“, während wir dich in Wirklichkeit verachten.

Ihre Kreditkarte wird vorübergehend für neue Sicherheits-Updates gesperrt.

Wie jetzt, für meine Kreditkarte gibts keine neue Sicherheit mehr?!

Wir müssen unsere Datenbank zu aktualisieren jedes Jahr. Aus diesem Grund haben wir vorübergehend Ihre Kreditkarte gesperrt.

Klar, Kreditkarten werden jedes Jahr einfach alle gesperrt, weil da irgendwelche Leute an den Datenbanken rummachen. Die Umsatzausfälle sind den Banken dabei völlig egal, deshalb machen die Banken das auch so. Großes Spamkino!

Ihre Kreditkarte wird freigeschaltet, nachdem Sie und laden Sie das beigefügte Formular werden.

Alles klar? Na, dann…

Danke,
Visa und Mastercard Support Team.
© Copyright Visa Europe 2012

danke für die Mitarbeit an diesem Beschiss.

Das „beigefügte Formular“ ist übrigens eine HTML-Datei als Mailanhang mit einem HTML-Formular drin. ~~Ich habe das mal ein bisschen bearbeitet, so dass auf keinen Fall Daten an die Verbrecher gehen können und hier hochgeladen, damit sich jeder anschauen kann, wie so ein Mailanhang „gebaut ist“~~¹. Die eingebetteten Grafiken werden übrigens aus dem halben Internet nachgeladen, und wie man in einer HTML-Datei die HTML-Entity für einen Umlaut schreibt, scheint zu diesen technischen Spezialexperten der organisierten Internet-Kriminalität noch nicht vorgedrungen zu sein.

Anders, als bei Links auf bekannte Phishing-Sites, wird hier vom Browser oder vom Mailclient niemals eine Warnung ausgegeben, und doch ist im Original ein von den Kriminellen verwendeter Server das Ziel für die eingegebenen Daten. Wer sich auf die „eingebaute Sicherheit“ seines Browsers oder seiner Mailsoftware verlässt, ist also wieder einmal verlassen. Wer aber seinen Kopf einschaltet, löscht die Spam schon nach den Worten „Sehr geehrter Inhaber der Kreditkarte“, denn so würde keine Bank dieser Welt ihre Kunden ansprechen – und vom Rest des Textes dieser Müllmail will ich gar nicht erst reden. Aber ich befürchte, dass da bald bessere Mails umlaufen.

¹Geändert am 17. Dezember 2013. Zwei Jahre nach der Masche erscheint es mir nicht mehr notwendig, diese Datei hier zu halten, zumal sie zu Fehlerkennungen durch gängige Sicherheitsprogramme führt.

Aktuelle Phishing-Warnung

Freitag, 2. Dezember 2011

Im Moment läuft eine neue Phishing-Masche, die mir recht gefährlich vorkommt, obwohl ich noch keine der Spams gesehen habe.

Die betrügerischen Mails stamen angeblich von der Deutschen Bundesbank. In ihnen wird behauptet, dass es seit Kurzem eine Kooperation zwischen dem Bundesamt für Sicherheit in der Informationstechnik und diversen Kreditinstituten gäbe, die dem Handel mit gestohlenen Kreditkarten entgegentreten wolle. Die Empfänger der Mail werden aufgefordert, ihre Kreditkarte zu „verifizieren“ und den spammenden Betrügern damit die erforderlichen Daten zu geben, um die Kreditkarte in kriminellen Geschäften missbrauchen zu können. Wenn dies nicht sehr kurzfristig geschieht, soll die Kreditkarte sehr schnell gesperrt werden.

Wie schon die Erwähnung auf „Unser täglich Spam“ erahnen lässt, kommt diese Spam nicht von der Deutschen Bundesbank und auch alle weiteren Angaben und Behauptungen in diesen Mails sind unzutreffend. Wer darauf bereits reingefallen ist, sollte jetzt sofort die Sperrung seiner Kreditkarte veranlassen und seine kontoführende Bank von diesem Vorgang in Kenntnis setzen. Die meisten Menschen werden allerdings hoffentlich so vernünftig sein, dass sie niemals auf die Idee kommen, derartige Daten nach Empfang einer simplen, nicht digital signierten E-Mail (deren Absender beliebig fälschbar und für den Empfänger ohne digitale Signatur unüberprüfbar ist) in irgendeine Website einzutragen.

Es ist übrigens schade, dass die Deutsche Bundesbank in ihrer Presseerklärung nicht den Text der Spam veröffentlicht hat, weiß ich doch aus meiner alltäglichen Erfahrung mit „Unser täglich Spam“ sehr genau, dass viele Menschen nach Texten aus der Spam suchen, wenn sie nähere Informationen erhalten möchten. Aber immerhin wird in einer Presseerklärung deutlich Stellung bezogen, und dies ist auf der Startseite sichtbar. So einen offenen Umgang mit diesem Thema wünschte ich mir von jedem Unternehmen und von jeder Institution, deren Namen von Kriminellen für Internetbetrügereien missbraucht werden.

Your account has been limited until we hear from you

Donnerstag, 6. Oktober 2011

Oh toll, eine Mail mit dem Absender service (at) paypal (punkt) com, die ist ganz bestimmt echt. Versendet wurde sie über den angemieteten Server eines niederländischen Hosting-Providers – freundlicherweise hat dieser den Vertrag bereits fristlos wegen Missbrauchs gekündigt. Hoffentlich hat er Vorkasse genommen.

Die Mail ist HTML-formatiert und kommt in einem zweispaltigen Design daher, das ich hier nicht wiedergebe.

Information Regarding Your account:
Dear PayPal Member:

Du bist zwar bei uns Kunde, aber wir kennen deinen Namen nicht.

Attention! Your PayPal account has been limited!

Sei alarmiert und handele möglichst ohne weiteres Nachdenken! Das ist besser für die spammenden Kriminellen.

As part of our security measures, we regularly screen activity in the PayPal system.We recently contacted you after noticing an issue on your account.We requested information from you for the following reason:

Our system detected unusual charges to a credit card linked to your PayPal account.

Wir wissen nicht, dass man ein Leerzeichen nach einem Punkt setzt. Wir haben dich, den wir nicht namentlich ansprechen können, vor kurzem kontaktiert. Wegen einer… ähm… einer Angelegenheit. Irgendwas Ungewöhnliches mit einer Kreditkarte. Wir können dir, Namenloser, auch nichts Näheres dazu sagen.

Stattdessen…

Reference Number: PP-259-187-991

…bekommst du eine sinnfreie Nummer.

This is the Last reminder to log in to PayPal as soon as possible. Once you log in, you will be provided with steps to restore your account access.

Also handele so schnell wie möglich. Das ist die letzte Aufforderung, Namenloser. Nachdem du dich eingeloggt hast – natürlich nicht auf der richtigen Website von PayPal, sondern auf der Website von Betrügern – sagen wir dir, was du zu tun hast. Ist eigentlich egal. Hauptsache, wir haben erstmal deine Zugangsdaten. Und damit wir die auch kriegen…

Click here to activate your account

…geben wir dir einen tollen Link.

Der geht übrigens nicht zu paypal (punkt) com, sondern zur episch langen Domain paypal (punkt) com (punkt) cgi (strich) bin (punkt) webscr (punkt) cmd (punkt) login (punkt) submit (punkt) dispatch (punkt) [MD5-Hash der Empfängeradresse, damit die Spammer wissen, dass die Spam ankommt] (punkt) xcvrytuj (punkt) com, was nur auf den nullten Blick wie ein Pfad auf der PayPal-Website aussieht. Die tolle Domain xcvrytuj (punkt) com hat jemand über dyndns (punkt) com eingerichtet, der lieber seine Anschrift nicht in einer Whois-Abfrage sehen möchte; sie kann so auf beliebige Rechner im Internet (auch mit Schadsoftware übernommene Privatrechner) umgeleitet werden.

We thank you for your prompt attention to this matter. Please understand that this is a security measure intended to help protect you and your account. We apologise for any inconvenience..

Wir bedanken uns dafür, dass du alarmiert bist und ohne größeres Nachdenken deine Zugangsdaten an organisiert Kriminelle im Internet gibst. Bitte halte das für eine Sicherheitsmaßnahme. Wir tun auch höflich und entschuldigen uns ein bisschen für die kleine Unannehmlichkeit. Hauptsache, du fällst rein.

Sincerely,
PayPal Account Review Departent

Diese Spam wurde automatisch erstellt und ist ohne Unterschrift gültig.

Copyright ©1999-2011 PayPal. All rights reserved. PayPal Ltd. PayPal FSA
Register Number: 226056.
PayPal Email ID PP059

Natürlich hat jede Mail ein Copyright. Urheber dieser Drecksmail ist allerdings nicht PayPal, sondern eine kriminelle Bande.

Und damit es noch schmackhafter wird, stehen auf der rechten Seite ein paar Sicherheitshinweise:

Protect Your Account Info
Make sure you never provide your password to fraudulent websites.

Außer in diesem Fall, bitte.

To safely and securely access the PayPal website or your account, open a new web browser (e.g. Internet Explorer or Netscape) and type in the PayPal login page (http://paypal.com/) to be sure you are on the real PayPal site.

In der Tat, das ist eine gute Idee gegen das Phishing. Passt nur nicht zum Klickmichhier-Link auf der linken Seite. Macht aber nichts, weil das eh keiner liest. Damit auch niemand auf die Idee kommt, kann man da nicht draufklicken.

For more information on protecting yourself from fraud, please review our Security Tips at https://www.paypal.com/us/securitytips

Diese URL haben die Verbrecher auch lieber nicht verlinkt. Es könnte kontraproduktiv sein…

Protect Your Password
You should never give your PayPal password to anyone.

In der Tat, das sollte man niemals niemals tun. Schon gar nicht, weil eine Phishing-Mail im Postfach ist, die nicht einmal mit einer namentlichen Anrede daher kommt.