Kategoriearchiv „Phishing“

An unauthorized transaction billed from your bank account

Samstag, 24. Juli 2010

Dear bank account holder,

Werter Inhaber eines Bankkontos,

sie sind zwar Inhaber eines Bankkontos und wir geben vor, irgendetwas darüber zu wissen, aber wir sind trotzdem nicht dazu imstande, sie bei ihrem Namen anzusprechen. Wir sind nämlich kriminelle Spammer, die diese komische Mail mit dieser…

The ACH transaction, recently initiated from your bank account, was rejected by the Electronic Payments Association. Please review the transaction report by clicking the link below:

…nebulösen Begründung gleich an ein paar Millionen Leute schicken. Und wenn ein paar Handvoll auf unseren tollen Link klicken…

Unauthorized ACH Transaction Report

…und auf der tollen Website idea (strich) net (punkt) com (punkt) au auch noch Zugangsdaten für ihr Bankkonto angeben, denn haben wir gleich wieder ein paar hübsche Kontodaten für unsere „Geschäfte“.

Copyright ©2010 by NACHA – The Electronic Payments Association

Mühe geben wir uns schon lange nicht mehr dabei. Sie wäre verschwendet, denn wir finden immer ein Opfer.

This account has been locked !

Donnerstag, 15. Juli 2010

Im Moment kommt wirklich einiges an PayPal-Phishing. Die folgende Mail sagt in ihrem gefälschten Absender, dass sie von „PayPal Center Security Inc“ kommt – und der wirkliche Absender denkt wohl, dass so ein Wortdreher bei den Opfern gar nicht weiter auffallen wird. Auch der Rest der Mail ist eher… ähm… mies und peinlich, fast schon zum fremdschämen.

Dear Members,

Aha, ein einzelner Empfänger wird also nicht nur nicht mit Namen, sondern auch noch im Plural angesprochen. Und dass es sich bei PayPal wohl eher um „Kunden“ als um „Mitglieder“ handelt – geschenkt! Da fragt man sich nur…

This account has been locked with a €-89.00 EUR balance.

…ob PayPal wohl an alle Kunden mit den gleichem Kontostand einfach eine Rundmail abschickt. Kleiner Tipp: Das tun die nicht. Diese Mail ist nicht von PayPal, es ist eine Spam. Diese will ihre Empfänger hübsch alarmieren, damit sie etwas weniger aufmerksam in der Internetnutzung sind und zum Opfer der Verbrecher werden können. Dazu dient nicht nur ein Kontostand, der dezent in die Miesen abgerutscht ist, sondern…

All information associated with this account has been blocked from the PayPal system and cannot be registered with another account.

…auch der Hinweis, dass dieses Konto jetzt gesperrt ist. Und natürlich auch, dass man nichts machen kann, um sich erneut anzumelden. Das einzige, was einem verbleibt, ist der dumme Klick…

To unlock your account please click here.

…auf den dümmsten Standardlinktext in Spams, auf die Worte „click here“, die in einem Text gnadenlos sinnlos wirken und von keinem einigermaßen um sein Ansehen bedachten Unternehmen verwendet werden würden. Dieser Text – der bei mir übrigens immer zu einer Spamerkennung führt – ist denn auch kein Link auf die Website von PayPal, sondern er führt zum Server bluemettle (punkt) com (punkt) au und ruft dort eine Datei mit dem „hübschen“ Namen POSTER-2.htm ab. Das wirkt dann schon weniger vertrauenerweckend und sieht aus, als hätte jemand die Upload-Funktion einer Website für seine kriminellen Absichten ausgebeutet.

Was einem dort begegnen wird, ist eine Seite, die aussieht, als könne man sich bei PayPal einloggen. Die dort angegebenen Zugangsdaten gehen aber nicht zu PayPal, sondern sie fallen in die Hände von Verbrechern.

Thank You

Vielen Dank für diese Stümpereien, ihr Ganoven – denn das hält den Schaden hoffentlich klein.

Ihr Paypal-Konto wurde gesperrt

Mittwoch, 14. Juli 2010

Ach, schon wieder…

Sehr geehrter PayPal Nutzer,

Wie üblich, sind die Phisher nicht dazu imstande, den Empfänger beim Namen anzusprechen. PayPal ist dazu sehr wohl imstande und macht das immer. Schon die erste Zeile reduziert die Panik, die diese Phisher zu gern auslösen würden, um jemanden zu einer unüberlegten Tat zu bewegen.

kurzlich haben wir eine Abweichung bei Ihrem Konto festgestellt.

Auch über den Charakter der „Abweichung“ erfährt der Empfänger nichts näheres in dieser wenig einfallsreichen Mail. Nur darüber…

Wir haben den Grund zur Annahme, dass ein Dritter auf Ihr Konto zugegriffen hat. Wir haben den Zugriff auf PayPal-Kontofunktionen fur den Fall beschrankt, dass durch einen nicht autorisierten Dritten auf Ihr Konto zugegriffen wurde. Uns ist bewusst, dass der eingeschrankte Zugriff Nachteile mit sich bringt, der Schutz Ihres Kontos ist jedoch unser Hauptanliegen.

…dass möglicherweise jemand anders das Konto „übernommen“ hat. Und da es da um Geld geht, ist eine leichte Panik garantiert, wenn man einen solchen Text liest. Und aus dieser leichten Panik heraus soll das Opfer denn folgendes tun:

Wir haben den Zugriff auf Ihr Konto kurzzeitig eingeschrankt. Die Einschrankung wird uberpruft, wenn wir die angeforderten Informationen von Ihnen erhalten.

Um auf die Einschrankung zu reagieren und sie zu beheben, verwenden Sie bitte die folgende Seite:

http://www.paypal.com/de/verification?do

Es handelt sich allerdings um eine HTML-formatierte Mail, und der Link geht keineswegs zu PayPal, sondern auf den viel weniger Vertrauen erweckenden Server tunalikartus (punkt) com. Dort bekommt das Opfer dann die folgende, „liebevoll“ nachgestaltete PayPal-Seite zu sehen und soll seine Zugangsdaten eingeben:

Wer das tut, hat verloren. Diese Daten gehen nicht etwa zu PayPal, sondern geraten in die Hände der Schurken, die hier versuchen, so zu tun, als seien sie PayPal. Und diese Schurken werden damit etwas anzufangen wissen, was dem Kontoinhaber gar nicht gefallen kann.

Ihr PayPal-Team

Dass PayPal mit dieser Mail nichts zu tun hat, sollte klar sein.

Hilfe-Center | Sicherheits-Center

Die Gangster haben sich nicht einmal die Mühe gemacht, diese beiden Wörter zu verlinken.

Copyright © 1999-2009 PayPal. Alle Rechte vorbehalten.

PayPal (Europe) S.a r.l. & Cie, S.C.A.
Societe en Commandite par Actions
Sitz: 22-24 Boulevard Royal, L-2449 Luxemburg
RCS Luxemburg B 118 349
PayPal E-Mail-ID PP1263

Ich wiederhole es oft, aber man kann es gar nicht oft genug wiederholen: Niemals auf einen Link in einer Mail klicken, die von einem Unternehmen kommt, bei dem man Kunde ist, wenn man in dieser Mail nicht mit Namen angesprochen wird! Das sind immer Betrugsversuche. Und selbst, wenn der Name in der Mail steht und wenn einem nichts an dieser Mail „spanisch“ vorkommt, bedeutet das noch lange nicht, dass man auf der sicheren Seite ist, vor allem, wenn es um Geld geht. Deshalb Internetadressen von Banken, Online-Auktionshäusern oder andere für Verbrecher attraktive Dienste immer im Browser aufrufen und niemals einem Link in der Mail folgen. Das gilt umso mehr, wenn die Mail einen alarmierenden Sachverhalt schildert, der dazu geeignet ist, den Empfänger in eine gewisse Panik zu versetzen. So ein Link kann wirklich sehr viel unauffälliger auf die falsche Website führen, als es in diesem Phishing-Versuch der Fall ist.

Hier war die Erkennung des Phishings einfach:

Es fehlte eine namentliche Anrede.
Die Mail kam ohne Umlaute, was sich ein Unternehmen bei Mails in deutscher Sprache niemals leisten würde.
Die Begründung für die „Sperrung“ des Kontos wirkt doch etwas lau.
Die Formulierungen sind mehr als unbeholfen. Kein Unternehmen würde in einem Stil wie „Die Einschrankung wird uberpruft, wenn wir die angeforderten Informationen von Ihnen erhalten“ mit seinen Kunden kommunizieren.
Der Link führt leicht erkennbar nicht auf die PayPal-Site, spätestens nach dem Klick wird in der Adresszeile des Browsers eine „seltsame“ Adresse sichtbar.

Aber so etwas kann man besser machen, und es ist davon auszugehen, dass die Kriminellen es auch irgendwann einmal besser machen werden. Deshalb immer die Augen offen halten, wenn „alarmierende“ Mails eine schnelle, unüberlegte Reaktion provozieren wollen. Phishing ist zu einem gewaltigen kriminellen Geschäft geworden, und es nicht nicht davon auszugehen, dass sich die Gauner eine weniger verwerfliche Form des Broterwerbes suchen werden, wenn sie in Zukunft mit steigender Aufklärung der Netznutzer immer weniger Geld ergaunern; vielmehr werden sie trotz ihrer unfassbaren Faulheit und Stumpfheit versuchen, die angewandten Methoden zu verbessern. Es ist immer ratsam, besonnen zu bleiben und nachzudenken, denn das kann vor großen finanziellen Schäden und sonstigen Ärger bewahren.

PROTECT YOUR E-MAIL ADDRESS AGAINST SPAM IMMEDIATELY (IUEU)

Dienstag, 13. Juli 2010

Das nenne ich „Meta“! Eine Spam, die meine Mailadressen vor Spam schützen will!

Dear E-Mail User

Schon klar, irgendeine Anrede ist für Spammer niemals möglich. Außer natürlich so eine.

Due to the package compromise of 1.4.11,1.4.12 and 1.4.13, we are forced to release 1.4.15 to ensure no confusions. While initial review didn’t uncover a need for concern, several proof of concepts show that the package alterations introduce a high risk security issue, allowing remote inclusion of files. These changes would allow a remote user the ability to execute exploit code on a victim machine, without any user interaction on the victim’s server. This could grant the attacker the ability to deploy further code on the victim’s server.

Wegen eines nicht näher benannten Problemes müssen wir von der bekannten PHP-Webmaillösung SquirrelMail ganz dringend eine neue Version rausgeben. Weil sonst ist das ganz gefährlich und der Server, auf dem die aktuelle Version läuft, kann einfach von jedem dahergelaufenen Kind geowned werden. Irgendeinen Verweis auf ein Dokument, in dem diese Problematik näher beschrieben ist, gibt es nicht. Und dass es inzwischen schon die Version 1.4.20 gibt, macht den hier empfohlen Upgrade auf 1.4.15 auch gleich viel glaubwürdiger.

So upgrade to Squirrel Mail Development Team by click Squirrel Mail Login SquirrelMail 1.4.15 Released

Und deshalb klick mal ganz schnell auf den Link, der sagt, dass du ihn klicken sollst. Sei alarmiert und mach es schnell, damit du auch nicht bemerkst, dass dieser Link gar nicht auf die offizielle Homepage von SquirrelMail geht, sondern auf ein – vermutlich durch einen Cracker übernommenes – WordPress-Blog. Was immer du dort kennenlernst, wirst du nicht kennenlernen wollen. Wenn du dort eine neue Version runterladen kannst, werden andere viel Spaß damit haben, wenn du diese Version auf einem Server installierst. Und wenn du dort irgendwelche Daten eingibst, vielleicht sogar dein Mailpasswort, denn hast du auch verloren. Deshalb sollst du ja alarmiert sein und nicht weiter nachdenken…

We STRONGLY advise all users of 1.4.11, 1.4.12 and 1.4.13 upgrade immediately.

…und der dringenden Empfehlung folgen und sofort darauf klicken. Da draußen gibt es Leute, die für jedes weitere Opfer dankbar sind.

Diese Spam wurde automatisch erstellt und ist ohne Unterschrift gültig.

Nice try, aber an den Feinheiten mit der Versionsnummer und dem Linktext könnte man noch etwas feilen…

* Your account has been limited *

Dienstag, 22. Juni 2010

Ach, das Phishing ist wie das Unkraut, es kommt einfach immer wieder. Eine tolle Mail, die vorgibt, von den „PayPal Services“ mit Absender services (at) paypal (strich) services (punkt) com zu stammen. Na ja, im Absender kann ja immer vieles stehen.

Dear Customer,

Geehrter Kunde, den wir in einer persönlichen Mitteilung nicht beim Namen ansprechen können, obwohl PayPal natürlich einen Namen kennt…

Your account has been limited.
To remove the limitation please click here.

…wir haben mal eben ihr Konto ein bisschen eingeschränkt. Und wenn sie wissen wollen, werter Kunde, dessen Namen wir nicht zu kennen scheinen, warum wir ihr Konto eingeschränkt haben, klicken sie bitte einfach mal auf den Link mit dem zwar etablierten, aber doch etwas dummen Text „click here“. Der führt auf eine Website, bei der man fast denken könnte, dass sie zu PayPal gehört, denn die Subdomains wurden von den Phishern extra so vergeben, dass dieser Eindruck entstehen kann. Der Server heißt allerdings redirection (punkt) paypal (punkt) com (punkt) filgkal (punkt) com, aber wir hoffen einfach mal, werter namenloser Spamempfänger, dass sie darauf hereinfallen, brav ihr Passwort eingeben und den Phishern ein hübsches neues PayPal-Konto schenken, über das sie ihre betrügerischen Geschäfte machen können.

Thank You.

Diese Spam wurde maschinell erstellt und kommt ohne Anrede und ohne eine Spur von Höflichkeit aus. Dass jeder PayPal-Kunde wissen sollte, dass er in solchen Mail immer namentlich und in seiner Muttersprache angsprochen wird, interessiert die Kriminellen nicht weiter. Es reicht ja, wenn ein paar Handvoll Leute auf die alarmierende Nachricht hereinfallen und ihre Passwörter rausrücken, und schon gibt es wieder eine Menge toller Möglichkeiten für betrügerische Geschäfte aller Art. Hoffentlich ist diese Nummer plump genug, dass keiner darauf hereinfällt.

verlaengerung

Donnerstag, 17. Juni 2010

Lange keinen stümperhaften Phishing-Versuch mehr gehabt, aber jetzt kommt der Wahnsinn wieder. Die gefälschte Absenderadresse dieser Mail ist info (at) packstation (punkt) de, und diesmal haben die Verbrecher sogar daran gedacht, einen Reply-To-Header zu setzen, damit es auch nicht zu Antworten an die gefälschte Absenderadresse kommt und womöglich noch Kunden auf der Website von DHL vor dem kriminellen Treiben gewarnt werden.

Sehr geehrte Kunden,

Tolle Anrede. Man spricht einen einzelnen an, dessen Namen man natürlich nicht kennt, und da behilft man sich einfach mit dem Plural und hofft, dass das nicht weiter auffällt.

aufgrund der grossen Nachfrage unseres Packstation Systems sind wir gezwungen inaktive Accounts fuer neue Kunden freizugeben.

Aber was für ein Strunz als Begründung! Als ob eine Datenbank „voll“ werden könnte und solche Schritte erforderlich macht. An die Grundsätze ordnungsgemäßer Buchführung will man gar nicht erst denken, wenn ein Konto zu zwei verschiedenen Kunden gehört. Da muss man ja nicht mal nachdenken, bevor sich dieser Unfug in ein markant duftendes Blahwölkchen auflöst.

Natuerlich koennen Sie Ihre Packstation auf Wunsch weiterhin wiegewohnt nutzen.

Ach ja, DHL ist natürlich nicht dazu imstande, seinen deutschen Kunden in einer deutschsprachigen Mail deutsche Umlaute zu geben. Obwohl das wirklich lächerlich einfach ist, wenn man ein bisschen Restkompetenz in technischen Fragen hat und nicht gerade ein Stümper im Auftrag der Phishing-Mafia ist.

Um Ihre Packstation zu verlaengern, ist lediglich ein Login unter

www packstation.de/kunden/verlaengern.php

Aber immerhin, einen Link in einer HTML-Mail setzen können die Schurken. Denn dieser Link führt keineswegs auf packstation.de, sondern zu der deutlich weniger Vertrauen erweckenden Website www (punkt) packstation (punkt) w2c (punkt) ru (slash) Packstation, bei der doch hoffentlich niemand, der noch bei Troste ist, irgendwelche Zugangsdaten zu irgendwas ablegen würde. Übrigens hat der russische Hoster 2×4.ru die von den Betrügern verwendete Website bereits entfernt, das ging wirklich sehr schnell, so dass bei diesem Phishzug nicht mit weiteren Schäden zu rechnen ist. Aber es ist für die Verbrecher leider ein Leichtes, sich an einer anderen Stelle im Netz ein bisschen Webspace zu holen und die Nummer weiter zu versuchen, und ich befürchte, dass sie das auch tun werden.

Sollten Sie auf Ihre Packstation verzichten koennen, so ist kein weiteres agieren Ihrerseits noetig. Ihr Account wird dann innerhalb von 7 Tagen automatisch an einen Neukunden vergeben.

Damit auch niemand nachdenkt oder rückfragt, wird ganz schnelles Handeln erzwungen…

Wir bedanken uns fue Ihr Verstaendniss.
Viel Spaß mit Packstation wuenscht Ihnen

Ihr Packstation Team

Ich hoffe, dass das echte Packstation-Team (von mir ohne Deppen Leer Zeichen) sich niemals so patzig für ein Verständnis bedanken würde, dass ich nicht habe. (Darum bitten dürfen sie mich gerne.) Immerhin wird bei diesem hingepatzten Satz keinerlei Mühe mehr an den Tag gelegt, dass er fehlerfrei ist…

Servicenummer 01803 / xxx xxx (0,18 Euro pro angefangene Minute aus den deutschen Festnetzen.)

Telefonnummer von mir unkenntlich gemacht.

Und wer es immer noch nicht gemerkt hat: Diese Mails haben mit DHL nichts zu tun. Der Absender ist gefälscht. Kein Unternehmen würde es sich herausnehmen, seine Kunden derart unpersönlich und patzig anzusprechen. Eine technische Notwendigkeit, Accounts neu zu vergeben, gibt es nicht. Technische Probleme werden in der Regel von ein paar wirklich guten Technikern in der Administration behandelt – das sind diese Leute, die das alles erst möglich machen und deren Arbeit man immer erst bemerkt, wenn sie mal einen Fehler machen. Die meisten Menschen bekommen davon niemals etwas mit. Die wirklichen Absender dieser Mails benötigen einfach nur ein paar Zugänge von „normalen Menschen“, und über diese Zugänge werden dann kriminelle Geschäfte abgewickelt. Es handelt sich um Phishing. Das kann man bemerken, indem man kurz darüber nachdenkt. Auch ein Anruf bei DHL – bitte niemals unter den Telefonnummern, die in solchen Mails angegeben werden – kann schnell für Klarheit sorgen, wenn doch noch eine Frage übrig bleibt.

Reiches Angebot an bester Software!

Sonntag, 6. Juni 2010

Wir haben ein riesiges Sortiment der Software fuer Sie! Waehlen Sie Programme, die Sie in Ihrem Laptop haben moechten, bezahlen Sie diese und installieren die blitzschnell in Ihren Computer. Qualitaet aller Programme von uns gesichert.

Damit hat keiner gerechnet! Einfach FMAY-6728 eintippen und schon werden garantiert alle Preise auf unsere Software reduziert

Und dieser ganz geheime Geheimtipp ist sowas von ganz geheim, dass wir den erstmal in ein paar Millionen Spammails reinschreiben müssen, damit er auch geheim bleibt. Denn wir wissen, dass es da draußen Idioten gibt, die glauben, dass sie einen Vorteil haben, wenn wir ihnen so ein ganz geheimes Geheimwissen zustecken.

Sagt mal, Spammer, wie sehr verachtet ihr eigentlich die Menschen?!

5130-652 Apple AppStore Order Notice

Mittwoch, 14. April 2010

Aha, die Phisher haben scheinbar eine neue Opfergruppe gefunden, nämlich Leute, die sich diverse Apple-Geräte mit diesem bevormundenden und enteignenden Konzept der „Apps“ anstelle einer freien Wahl der Software haben aufschwatzen lassen. Klar, wer so blind glaubt, dass alles gut ist, was mit dem aufdringlichen Ton der Schleichwerbung durch die ganze Breite der Medien gezogen wird, der ist vielleicht auch gläubig, wenn er eine Spam kriegt. Da könnte es schon sein, dass diese Verbrecher mit ihrer gefälschten Absenderadresse app (strich) store (at) apple (punkt) com einen gewissen Erfolg haben – und dass Leute, die bereit sind, die von Apple als „Gadgets“ vermarkteten Beglückungsideen ihrem Dasein hinzuzufügen, eben auch dazu bereit sind, irgendwelche Anmeldedaten auf einer obskuren Website einzugeben, die in einer derartigen Phishing-Mail verlinkt wird. Ich hoffe allerdings, dass bei diesem hingestümperten Versuch niemand so blöd sein wird:

Apple Store
Call 1-800-MY-APPLE

Ja ja, kommt voll „von Apple“, diese Mail…

[Eigentlich überflüssig, das zu erwähnen. Aber es sei hier trotzdem ganz deutlich gesagt: Apple hat mit dieser Spam nichts zu tun, der Absender ist gefälscht und die Mail wurde über einen kriminell übernommenen Heimrechner versendet. Ich habe wirklich keine gute Meinung von den jüngeren Apple-Produkten, aber ich kann zumindest das eine völlig sicher zusagen: Apple spammt nicht. Übrigens kann jeder seinen eigenen Rechner zu einem Zombie-Rechner der Spam-Mafia machen. Alles, was man dafür tun muss, ist immer wieder einmal in Spams herumklicken. Leider tun das auch viele.]

#20-64727
Order Info

Schon klar, „Apple“ hat also keine bessere Möglichkeit, seine Kunden anzusprechen. Nur so eine beziehungslose Drecksnummer. „Apple“ hat halt kein Interesse an Kunden.

Wie soll so es ein Phisher auch anders machen, wenn er seine betrügerischen Dreckstexte für ein Millionenpublikum schreibt. Er kann ja niemanden persönlich ansprechen, also muss er schnell zu Sache kommen und einen unpersönlichen Ton pflegen.

Der Link geht natürlich auch nicht zu Apple, sondern auf die russische Domain region (strich) hcru (punkt) 39 (punkt) com1 (punkt) ru. Dort bekommt man nach seinem dummen Klick in die Mail auch gewiss die Möglichkeit, sich entweder so richtig gute Schadsoftware runterzuladen; oder aber seine Bankdaten, seine PayPal-Zugangsdaten oder seine Kreditkartennummer zusammen mit ein paar persönlichen Angaben zu hinterlegen; oder vielleicht auch die Möglichkeit, eine Rechnung online zu bezahlen; oder zur Abwechslung vielleicht auch mal wieder auch alles zusammen. Anschauen wollte ich mir das wirklich nicht. Und ich würde niemanden, der nicht gerade ein besonders gesichertes System zur Verfügung hat, empfehlen, solche Dreckssites anzuschauen.

[Ein „besonders gesichertes System“ entsteht nicht schon durch den Einsatz eines Virenscanners und einer so genannten „personal firewall“. Wer nicht weiß, wie man ein „besonders gesichertes System“ aufsetzt, sollte gar nicht erst darüber nachdenken, sich die mit Spam angepriesenen Websites anzuschauen!]

You can also contact Apple Store Customer Service or visit online for more information.

Das sähe ja irgendwie überzeugender aus, wenn da ein paar Kontaktdaten und ein Link gewesen wären. Aber warum sollen sich spammende Betrüger Mühe mit ihren Strunztexten geben; ein paar Opfer kommen ja auch ohne diese Mühe in den „Genuss“, betrogen zu werden.

Visit the Apple Online Store to purchase Apple hardware, software, and third-party accessories.
Copyright 2010 Apple Inc. All rights reserved.

Klar doch, und so etwas würde die richtige Firma namens Apple nicht verlinken? Einfach, weil die gar keine Apps verkaufen wollen? Mann, wenn ihr schon so eine Nummer versucht, ihr Idioten, denn macht es wenigstens ein bisschen besser.

Und natürlich noch der obligatorische Copyright-Hinweis, als ob dieses Stümperei dadurch schon glaubwürdiger aussähe. Aber immer doch! Alle Rechte vorbehalten, und ich zittere jetzt schon vor Angst, weil ich diese Drecksspam einfach so veröffentliche.

Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.