Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Kategoriearchiv „Phishing“

Phishing: Click to play

Montag, 15. Juni 2009

Dies ist eine typische Phishing-Spam des „Web Zwo Null“, wie man sie als „Nachricht“ bekommen kann, wenn das Profil eines „Freundes“ in einem so genannten „social network“ von Verbrechern übernommen wurde. Dieses Beispiel stammt aus MySpace, die gleiche Masche geht aber fast überall und wird wohl auch fast überall angewendet:

LOL watch this - Click to play

Es handelt sich hier nicht um einen Videoplayer, sondern um eine eingebettete, verlinkte Grafik, die wie ein Videoplayer aussieht. Ich habe diesen Phishing-Versuch auch mit einem animierten GIF gesehen. Wenn man darauf klickt, landet man auch nicht bei einem Video, sondern auf einer nachgemachten Login-Seite von MySpace, die nur durch ihre überlange Adresse (beginnt mit myspace.com) verrät, dass hier etwas nicht stimmen kann. Das Ziel dieses kriminellen Angriffes ist es, dass das Opfer seine Mailadresse und sein Passwort auf der Website von Verbrechern ablegt – diese können damit mindestens ein MySpace-Profil übernehmen, um auf die gleiche Weise weitere Opfer zu finden.

Mit dem MySpace-Profil lässt sich aus der Sicht der Kriminellen schon einiges anfangen, nicht nur weiteres Phishing. Zum Beispiel kann man eine „Werbung“ darin unterbringen, wie ich sie etwa beim „Absender“ der tollen „Video-Nachricht“ im Profil gefunden habe:

Kiffe, die man nicht durch einen Urintest nachweisen kann

So sehr sich das einige Menschen auch wünschen mögen: Dass man bei diesem „Versender“ [URL von mir unkenntlich gemacht] weder billige Kiffe kriegt, die überdem durch einen Urintest nicht nachweisbar ist, noch überhaupt etwas für sein Geld kriegt, dürfte wohl klar sein. Mit Spammern kann man nicht ins Geschäft kommen, man wird nur betrogen. Aber bei einigen Kiffern setzen ja die Verstandesfunktionen schon aus, wenn sie nur eine prächtige Blüte auf einem Bild sehen.

Dieses eine Ad ist übrigens nur ein besonders hervorstechenes „Fundstück“ im übernommenen Profil, es gab noch etliche mehr. Zu diesem ganzen Zeug zum Thema Drogen, Pr0n und Zocken standen die unveränderten Daten des „Freundes“. Wenn man sich gerade um einen Job bewirbt, kann dies alles doch einen etwas schrägen Eindruck hinterlassen, der meist nicht förderlich sein wird… 😉

Da viele Menschen überdem an allen möglichen Stellen im Internet das gleiche Passwort benutzen, können die Spammer oft noch einiges mehr anrichten. In einigen Fällen wird mit den so gewonnenen Daten eine direkte Anmeldung bei PayPal möglich sein, und dann kann mit betrügerischen Transaktionen das Konto geplündert werden. Die Spammer wären dumm, wenn sie es nicht einfach versuchen würden.

Und das alles nur, weil man durch ein scheinbares Video überrumpelt wurde, sein Passwort preiszugeben. Wer das gehackte Profil besucht, erhält diese Möglichkeit gleich noch einmal:

Video mit einem ziemlich unbekleideten Hinterteil

Schließlich setzt ja auch beim Anblick praller Backen bei vielen Menschen der kritische Verstand aus – da übersieht man auch mal schnell, dass der gegenwärtige YouTube-Player doch ein etwas anderes Layout bekommen hat. Schön, dass man von so einem Arsch daran erinnert wird, wie YouTube einmal aussah.

(Übrigens: Wie die Spammer hier den scheinbaren „Abspielen“-Pfeil platziert haben, das ist psychologisch einfach gelungen und sehr perfide! Darauf wird schon geklickt, weil er weg soll.)

WICHTIGE HINWEISE GEGEN PHISHING

Wenn man bei MySpace, FaceBook oder was auch immer angemeldet ist, denn braucht man sich nicht nochmal anzumelden. Wenn man nach irgendeinem Klick in einer Anmeldeseite landet und sein Passwort eingeben soll, dann sollten die Alarmglocken läuten. Einfach in einem weiteren Tab (oder Browserfenster) die Startseite von MySpace, FaceBook oder was auch immer aufrufen und nachschauen, ob man noch angemeldet ist. Wenn dies der Fall ist, hat man gerade einen Phishing-Versuch erlebt, die scheinbare Abmeldung war nur vorgetäuscht.

Wenn dieser Phishing-Versuch von einem offen sichtbaren Profil ausging, dann wurde dieses Profil wahrscheinlich von Kriminellen übernommen. Es hat keinen Sinn, dem Inhaber des Profils eine Nachricht zu senden, denn er wird diese gar nicht mehr erhalten. Vielmehr müssen die Betreiber der Site, also MySpace, FaceBook oder was auch immer sofort auf die missbräuchliche Verwendung des Profils aufmerksam gemacht werden, damit kein weiterer Schaden angerichtet wird. Solche Profile werden in der Regel binnen weniger Minuten gesperrt.

Das gleiche gilt, wenn man – wie im hier gegebenen Beispiel – durch die Nachricht eines „Freundes“ zum Opfer gemacht werden sollte. Das Profil des „Freundes“ ist übernommen und sollte sofort gemeldet werden, damit es nicht zu weiteren Schäden kommt.

Persönliche Mitteilungen im „Web Zwo Null“, die scheinbar ein Video enthalten, sind verdächtig. Das gleiche gilt für die Teilnahme an Online-Gewinnspielen und Umfragen, auch darüber habe ich schon Phishing-Versuche erlebt. In diesen Zusammenhängen ist also erhöhte Aufmerksamkeit gefragt – und wenn nach dem Klick ein Passwort eingegeben werden soll, denn handelt es sich beinahe immer um Phishing.

MySpace-Nutzer aufgemerkt! Es gibt keinen einzigen funktionierenden Besucher-Tracker für MySpace, aber es gibt ein paar Betrüger-Seiten [Ratet mal, warum ich die nicht verlinke…], die so tun, als gäbe es dort einen. Was meint ihr wohl, was die mit dem dort einzugebenden MySpace-Passwort tun werden? Wer auf die unendlich doofe Idee kommt, sich von Leuten, die so etwas anbieten, auch noch Software auf den eigenen Rechner zu spielen, für den kommt jede Hilfe zu spät. Er sollte seinen Computer verkaufen und sich fortan mit einem Matchbox-Auto oder einem Brummkreisel begnügen. Dieser Absatz ist keine Satire. Die Dummheit vieler (wohl gemerkt: nicht aller) MySpace-Nutzer leider auch nicht. Wer seine Zugangsdaten frei Haus liefert, nur, um eine sinnfreie technische Spielerei betreiben zu können, der braucht ja nicht einmal mehr die minimale betrügerische Anstrengung des Phishings, um zu seinem Schaden zu kommen.

Auf keinen Fall für alle Seiten im Internet das gleiche Passwort verwenden, sonst wird der Schaden durch einen einzigen kompromittierten Account schnell immens. Das bisschen Mehraufwand mit verschiedenen Passwörtern ist schnell bares Geld wert, wenn es einmal darauf ankommt. Wer sich nicht für jede Seite ein neues Passwort merken kann, der sollte zumindest überall dort, wo es um direkt oder indirekt Geld geht, jeweils sichere und einzigartige Passwörter benutzen.

Und mehr ist auch nicht nötig. Das kann jeder. So einfach ist der Schutz.

Immer mehr PayPal-Phishing

Sonntag, 14. Juni 2009

Die Tatsache, dass es sich hier um eine mittlerweile uralte Nummer im Betrug handelt, bedeutet leider noch lange nicht, dass auch jeder die betrügerische Absicht erkennt. Die bloße Menge derartiger Versuche in den letzten Tagen ist Grund genug, noch einmal deutlich zu warnen.

Da kriegt man eine Mail, angeblich von „PayPal“, mit dem schröcklichen Betreff „Account Has Been Limited“ mit erschreckenden Hinweisen, beinahe so, als hätte jemand versucht, den Account zu hacken:

Security Center Advisory!

PayPal is constantly working to ensure security by screening accounts daily in our system. We recently reviewed your account, and we need you to verify information to help us provide you with secure service. Until we can collect this information, your access to sensitive account features will be limited or terminated. We would like to restore your access as soon as possible, and we apologize for the inconvenience.

Why is my account access limited?

Your account access has been limited for the following reason(s):

June 09, 2009: We have reason to believe that your account was accessed by a third party. Because protecting the security of your account is our primary concern, we have placed limited access to sensitive PayPal account features. We understand that this may be an inconvenience but please understand that this temporary limitation is for your protection.

Hinter der formellen Sprache und dem etwas alarmierenden Einstieg „Security Center Advisory“ wird allerdings verborgen, dass der Empfänger dieser Mail nicht persönlich angesprochen wird. Das können die Spammer auch gar nicht, denn dieser Schrieb geht wie Schrotmunition millionenfach raus, sogar an Menschen, die gar kein Konto bei PayPal haben. Auch die Tatsache, dass diese Mail gar nicht von PayPal kommt, sondern (in diesem einen Fall) von einer Mailadresse der Domain 3033000424.com, kann ein alarmierter Empfänger leicht übersehen – um dann in geistloser Panik der folgenden Aufforderung Genüge zu tun:

Click here to Remove Account Limitations

Completing all of the checklist items will automatically restore your account to normal access.

Der anklickbare Link führt nicht auf die Homepage von PayPal. Auch die folgenden Links…

Thank you for using PayPal! The PayPal Team

Please do not reply to this e-mail. Mail sent to this address cannot be answered. For assistance, log in to your PayPal account and choose the „Help“ link in the footer of any page.

To receive email notifications in plain text instead of HTML, update your preferences here.

PayPal Email ID PP186

…haben – ganz genau wie diese betrügerische Mail – nichts mit PayPal zu tun. Sie führen im Original auf eine Seite, die unter einer reichlich kryptischen URL abgelegt ist und die so gestaltet ist, dass man sie auf dem ersten Blick für die Login-Seite von PayPal halten könnte. Wer in die Adresszeile seines Browsers schaut, wird freilich merken, dass es sich nicht um PayPal handelt. Dort „darf“ das Opfer dann seine Mailadresse und sein PayPal-Passwort eingeben und glauben, dass es sich damit „anmeldet“, in Wirklichkeit kommen jedoch die Verbrecher aus der Spam-Mafia in den Besitz dieser Daten und werden fortan über das auf diese Weise geenterte PayPal-Konto ihre betrügerischen Geschäfte machen. Je nach individueller Konfiguration in PayPal kann der daraus entstehende Schaden immens sein, er beläuft sich jedoch auch im harmlosesten Fall auf einige hundert Euro. Geld, mit dem man sicherlich etwas besseres anfangen möchte, als es solchem menschlichen Abschaum in den Rachen zu werfen.

Die folgenden Hinweise am rechten Rand der HTML-formatierten Mail sind reinste Realsatire…

Protect Your Account Info

Make sure you never provide your password to fraudulent persons.

PayPal automatically encrypts your confidential information using the Secure Sockets Layer protocol (SSL) with an encryption key length of 128-bits (the highest level commercially available).

PayPal will never ask you to enter your password in an email.

For more information on protecting yourself from fraud, please review our Security Tips at www.paypal.com/securitytips

Protect Your Password

You should never give your PayPal password to anyone, including PayPal employees.

…denn wenn man der Aufforderung in dieser Phishing-Mail gefolgt ist, hat man genau das getan, wovor gewarnt wird: Man hat sein Passwort an betrügerische Schurken gegeben.

Wer auf diese kriminelle Masche reingefallen ist, sollte sofort Kontakt mit PayPal aufnehmen, um den Schaden zu begrenzen – und eine Strafanzeige wegen Betruges erstatten. Es ist zwar nicht zu erwarten, dass diese Verbrecher jemals ermittelt und vor ein Gericht gestellt werden, aber ohne die Strafanzeige geschieht eben gar nichts. Wenn sich die eigene Bank oder PayPal nicht als kulant erweisen, wird man die erlittenen finanziellen Verluste wohl hinnehmen müssen.

WICHTIGE HINWEISE GEGEN PHISHING

Der beste Schutz gegen Phishing ist ein ruhiger und besonnener Verstand bei allen Arbeiten am Computer. Dieser kann durch nichts ersetzt werden.

Immer daran denken, dass jeder mit dem Internet verbundene Rechner ein potenzieller Opfer-Rechner ist. Ob ein bestimmter Rechner angesichts einer gewaltigen und einträglichen Kriminalität auch wirklich zum Opfer wird, hängt in erster Linie vom Menschen ab, der mit diesem Rechner arbeitet. Vertrauen gegenüber einem unbekannten und nicht klar identifizierbaren Gegenüber ist oft eine gefährliche Haltung, und blindes Vertrauen – vor allem, wenn es dabei um Geld geht – eine dumme. Augen auf im Datenverkehr!

Weder das Design einer Mail noch der angegebene Absender einer Mail geben zuverlässigen Aufschluss über die wirkliche Herkunft. Das Design einer beliebigen Unternehmung kann mit sehr geringem Aufwand nachgeahmt werden, die Adresse des Absenders einer Mail kann beliebig gefälscht werden. Bei einer unsignierten Mail ist der Absender niemals bekannt.

Ein Internet-Betrüger legt es auf Überrumpelung an, da er mit ruhigem und besonnenem Verstand meist schnell als Betrüger erkannt würde. Deshalb stehen in typischen Phishing-Mails häufig alarmierende Dinge und Warnungen vor unerwünschten Folgen, wenn der Empfänger nicht schnell reagiert, zum Beispiel die Sperrung von Online-Diensten einer Bank oder sonstige Einschränkungen einer oft täglich benutzten Funktion. Beim Lesen solcher Passagen niemals in Alarmstimmung kommen, sondern ruhig und besonnen bleiben! Dies gilt besonders dort, wo es direkt (etwa bei PayPal oder einer Bank) oder indirekt (etwa bei eBay) um Geld geht. Auf keinen Fall unüberlegt in einer solchen Mail herumklicken! Wo die Betrüger eine Beschleunigung wollen, um der Vernunft seiner Opfer keine Chance zu lassen, sollte man selbst um Entschleunigung bemüht sein. Nichts ist so heiß, wie es gekocht wird.

Die zurzeit zuverlässigste Möglichkeit, eine Phishing-Mail zu erkennen, ist gleichzeitig auch die einfachste – das ist angenehm. Der Empfänger wird nicht persönlich und namentlich angesprochen. Keine Bank und kein anderes Unternehmen würde auf die persönliche Ansprache der Kunden verzichten. Wo eine solche Ansprache fehlt, handelt es sich immer um einen Betrugsversuch. Natürlich kann man bei einem international tätigen Unternehmen wie PayPal auch davon ausgehen, dass man im Falle eines Falles immer in seiner eigenen, bei PayPal konfigurierten Muttersprache angemailt würde.

Auch, wenn eine vergleichbare Mail mit persönlicher Ansprache kommt, vorsichtig bleiben! Auf dem Schwarzmarkt befinden sich etliche vollständige Adressdatensätze mit weiteren persönlichen Angaben, die von den Verbrechern benutzt werden könnten. Wenn irgend etwas ungewöhnlich an der Mail, an ihrem sprachlichen Stil, an ihrem Design ist, immer telefonische Rücksprache halten! Niemals einen Link in einer derartigen Mail anklicken, sondern immer die gewohnte Adresse von Hand in den Browser eingeben, um weitere Aktionen durchzuführen! Vertrauen mag in einer Ehe oder in einer persönlichen Freundschaft gut sein, im Internet ist es unangemessen.

Aus dem letzten Punkt ergibt sich eine weitere, an sich sehr einfache Prävention gegen verfeinerte Betrügereien mit Phishing: Niemals sorglos persönliche Daten rausgeben, die dann zur Handelsware werden können! Weder bei Umfragen am Telefon, noch bei einem Preisausschreiben, noch zur Teilnahme an einem Dienst im Internet, noch für irgendwelche obskuren Rabattsysteme. Wenn sich die Angabe von persönlichen Daten nicht völlig vermeiden lässt, denn wenigstens dafür Sorge tragen, dass diese Daten niemals mit der tatsächlich benutzten Mailadresse zusammengeführt werden können, um einem gerissenen Betrüger eine namentliche Ansprache zu ermöglichen. Wo es um die Angabe von Mailadressen geht, kann man sich mit Leichtigkeit bei einem der vielen derartigen Dienste eine kostenlose Mailadresse beschaffen, die man für keinen anderen Zweck nutzt und einfach wegwirft, wenn sie nicht mehr gebraucht wird. Der „Datenschutz“ ist im Zweifelsfall nicht das Papier wert, auf dem die Zusicherungen gedruckt werden.

Es ist ein guter Schutz, wenn man für die Internet-Adressen seiner Bank, eines Dienstes wie PayPal oder eines Auktionshauses wie eBay keine Lesezeichen (oder beim Internet-Explorer: „Favoriten“) anlegt, sondern diese Adressen stets von Hand tippt. Die Browsereinstellungen können relativ leicht durch kriminelle Manipulation verändert werden. Auf Windows-Systemen ist dieser Schutz allein aber noch nicht ausreichend, da ein krimineller Angreifer (unter anderem) auch eine Hosts-Datei ablegen kann, um diese Adressen zu anderen Servern im Internet umzuleiten. Um dies zu erschweren, sollte man für seine Online-Tätigkeiten niemals ein Benutzerkonto mit administrativen Berechtigungen verwenden. Desweiteren sollte das Mailprogramm, der Browser und andere Internet-Software stets auf einem aktuellen Stand sein, um den Angreifern möglichst wenig Angriffsfläche durch bekannte Fehler und Schwächen zu bieten – und so weit wie möglich, sollte auf den Internet-Explorer verzichtet werden. Die Kombination dieser relativ einfachen Verhaltensweisen zusammen mit einem ruhigen und besonnenen Verstand liefert einen sehr viel besseren Schutz als alle diese Programme, die ihren Anwendern in der Reklame mühelose „Sicherheit“ versprechen.

Ein weiterer, ebenfalls guter Schutz ist es, wenn man für seine Bankgeschäfte, für PayPal und für andere geschäftliche Zwecke jeweils eine spezielle Mailadresse verwendet, die man in keinem anderen Zusammenhang benutzt und die deshalb nicht in die Listen der Spam-Mafia kommen kann. So wird schon an der Empfängeradresse einer Phishing-Mail häufig klar, dass es sich um einen Betrugsversuch handelt. Mailadressen lassen sich bei etlichen Diensten kostenlos einrichten, und für diesen speziellen Zweck muss es sich – anders als im Alltagsgebrauch – nicht um eine besonders einprägsame Adresse handeln. Ganz im Gegenteil, je schwieriger der Aufbau der Adresse für einen Spammer zu erraten ist, desto sicherer ist eine derartige Adresse gegen Phishing.

Sollte man eine Phishing-Mail bekommen, so sollte diese immer an das angeblich absendende Unternehmen weiter geleitet werden (also nicht an die Absenderadresse), damit wenigstens eine Chance besteht, dass Kunden vor dem laufenden, massenhaften Betrug gewarnt werden. Auch erhält das betroffene Unternehmen die Möglichkeit, nach auffälligen Transaktionen Ausschau zu halten und diese gegebenenfalls zu stoppen, wenn es nur von einer aktuellen Phishing-Attacke Kenntnis erhält. Beides geschieht zwar eher selten, aber wenn das Unternehmen gar keine Chance erhält, wird es eben nie passieren – und darüber freuen sich nur die Betrüger. Leider sind die ganzen Sorgfaltspflichten zurzeit einseitig den Kunden solcher Unternehmen aufgebürdet, aber dennoch kann PayPal kein Interesse daran haben, dass sein Ruf als Unternehmen dadurch beschädigt wird, dass dort immer wieder Kunden um teils erhebliche Beträge betrogen werden.

Ganz wichtig: Andere Menschen müssen aufgeklärt werden! Gehen sie nicht zur Tagesordnung über, sondern sprechen sie über solche Angriffe und über einen möglichen Schutz vor solchen Angriffen! Das Internet ist keine Spielwiese der Freaks mehr, bei denen man doch einen gewissen Kenntnisstand voraussetzen konnte, es ist ein Massenmedium, an dem ein großer Teil der Bevölkerung teilhat. Die meisten dieser Menschen sind relativ ahnungslos, und das ist die Chance der Schurken, die diese Menschen betrügen wollen. Da eine solche Aufklärung nicht von den etablierten Massenmedien geleistet wird, müssen wir uns darum kümmern. Besser wäre es, die Tageszeitung würde vor einem gefährlichen Internet-Betrug genau so warnen wie vor einer Bande von Trickbetrügern, die von Haustür zu Haustür streifen, aber das ist zurzeit nicht der Fall. Dass die etablierten Massenmedien in dieser Sache ihrer Verantwortung nicht nachkommen, entbindet aber nicht uns. Deshalb sprechen sie in ihrem persönlichen Umfeld über gefährliche Betrügereien, die ihnen begegnet sind, bloggen sie darüber, und zeigen sie Wege zum Schutz gegen derartige Schweinereien auf. Erst, wenn die betrügerische Spam – und das ist jede Spam, nicht nur Phishing – keinen Erfolg mehr verspricht, wird diese Pest des Internet aufhören.

PayPal-Phishing

Donnerstag, 28. Mai 2009

Nur, um gewarnt zu haben: Inzwischen (nach einer etwas misslungenen ersten Welle) sehen die Phishing-Mails für den Betrug an PayPal-Kunden richtig gut aus:

Eine gut formatierte Phishing-Mail mit sinnvollem Text

[Zum Vergrößern auf den Ausschnitt klicken ]

Besonders fröhlich finde ich ja, dass PayPal mich niemals dazu auffordern wird, mein Passwort in eine E-Mail einzugeben. Das ist ja auch nicht der Inhalt dieses Phishings, stattdessen soll ich auf einen Link unterhalb dieser Textes klicken…

Click here to Remove Account Limitations

Completing all of the checklist items will automatically restore your account to normal access.

Thank you for using PayPal! The PayPal Team

…der auf eine Website unter einer russischen Domain führt. Dort kann ich gewiss mein Passwort auf einer Website eingeben, so dass ich es nicht in der Mail tun muss.

Überflüssig zu erwähnen, dass so eine Mail nicht von PayPal kommt. Das kann man bereits daran erkennen, dass man als Kunde nicht persönlich angesprochen wird – darauf würde niemand verzichten, der ein richtiges Geschäft machen will. Die Spammer wissen freilich nichts von meinem Namen, also erschlagen sie mich mit einem Wust toller und den Laien beeindruckender Information über Verschlüsselung und Schutz gegen die Kompromitierung meines PayPal-Accounts. Um genau so eine zu erreichen, wenn ich anbeiße.

Bitte einfach löschen. Und bitte nicht auf die Idee kommen, einen Link in dieser Mail zu klicken. In einem eingebetteten Frame habe ich ein kleines Skript gefunden, das sich unbedingt ein bisschen verstecken wollte. Dieses Skript versucht, die aktuell gespeicherten Cookies über eine nicht ganz durchsichtige Manipulation zu erlangen und diese an eine andere Website weiterzugeben. Ich weiß nicht, mit welchen Browsern dieser Angriff funktioniert und ob er überhaupt funktioniert, aber ich weiß, dass Verbrecher gewiss eine Verwendung für gehackte Accounts bei eBay, irgendwelchem Social-web-Geraffel oder in irgendwelchen Foren haben werden. Aber in ihrem Interesse kann es nicht liegen, wenn ihre Zugänge so missbraucht werden. Es handelt sich hier nicht um eine Mail von Spaßvögeln, sondern um die Tat organisierter, schwer krimineller Menschen, die auf aktuellem technischen Stand sind.

Also nochmal: Bitte einfach löschen.

Danke.

Urgent! Remove Your Limitation Now!

Freitag, 22. Mai 2009

Dear user of PayPal services,

Ja, weiß „PayPal“ denn gar nicht mehr, dass ich Deutsch spreche? Ihre ganze Website in Deutsch, und immer und überall wird man persönlich angesprochen, aber denn schicken „die“ einem eine Mail, und da ist die Anrede unpersönlich und in der falschen Sprache gehalten. Ob das damit zusammenhängt, dass ich „gehackt“ wurde:

This email is to inform you that we had to block your PayPal account because this ip 86.124.16.142 accessed your account 3 times and tryed to change your billing information. We apologise for the inconvenience but the safety of your account is our main priority.

Boah, das ist ja unfassbar. Da hat eine IP dreimal auf meinen Account zugegriffen. An eurer Ausdrucksweise müsst ihr aber noch ein bisschen arbeiten, wenn ihr Erfolg beim Phishing haben wollt!

To remove the limitation login to your PayPal account!

Aber klar doch, dieser Link geht nicht auf paypal.com, sondern auf unam.mx mit etlichen Subdomains davor. Denn das ist euer einziges Anliegen: Massenhaft neue Konten für eure kriminellen und betrügerischen „Geschäfte“ zu kriegen. Wehe dem, der sich von so einer hingestümperten Phishing-Mail erschrecken lässt und wie ein dressierter Hund auf alles klickt, was nur irgend anklickbar ist!

To remove the limitation, read carefully and complete all the steps listed in the link above. Thank you for using PayPal!The PayPal Team

[Formatierung aus dem Original]

Mann, ihr Phishing-Deppen, wenn man die Grußformel zum Abschluss dermaßen plump über das Clipboard reinklatscht, merken es auch die weniger intelligenten Netznutzer, dass mit eurer Mail etwas nicht stimmen kann. Wenigstens eine neue Zeile für den Gruß und eine weitere neue Zeile für die „Unterschrift“ hätte es schon sein können.

Please do not reply to this email. This mailbox is not monitored and you will not receive a response. For assistance, log in to your PayPal account and choose the Help link located in the top right corner of any PayPal page.

Stimmt, das Antworten auf der gefälschten Mailadresse eines kriminellen Spammers ist vollkommen sinnlos. Und denn sind diese Phisher auch noch zu doof, die Phrase „log in to your account“ zu verinken, wie es beinahe jeder Dienst im Internet tut, wenn er HTML-formatierte Mails raushaut.

Wichtiger Hinweis: Da die Phishing-Masche nach fast einem Jahr der Ruhe jetzt wieder häufiger in meinen Spamordner flattert (fast immer PayPal und eBay), kann es eigentlich gar nicht oft genug gesagt werden: Jede Bank und jedes andere Unternehmen, das seine Kunden mit einer Mail anschreibt, wird in dieser Mail seine Kunden persönlich mit ihrem Namen ansprechen. Ohne jede Ausnahme. Wenn eine derartige Mail ohne persönliche Anrede kommt und zudem unter seltsamen Vorwänden dazu auffordert, dass man sich irgendwo einloggen soll, handelt es sich immer um einen Betrugsversuch, um so genanntes Phishing. Die Anmeldeseite unter dem angegebenen Link mag sehr ähnlich aussehen wie die Anmeldeseite der Bank oder des Unternehmens, sie ist es aber nicht. In der Adresszeile des Browsers mag die vertraute Adresse stehen, es handelt sich bei diesem Anblick aber gar nicht um die Adresszeile. (Solche kriminellen Tricks gehen mit dem Internet-Explorer, und allein das ist ein Grund, diese Seuche nicht im Internet zu verwenden.) Alles, was man auf der Seite, geht direkt in die Hände der organisierten Kriminellen, die von massenhaftem Betrug leben. Man hat davon nur Schaden.

Selbst, wenn man in einer derartigen Mail persönlich angesprochen wird, sollte man bei der kleinsten Unsicherheit telefonischen Kontakt zum vorgeblichen Absender aufnehmen. Es ist niemals auszuschließen, dass persönliche Daten irgendwelcher Unternehmen in die Hände von Verbrechern gelangen – denn der Umgang mit Daten aller Art ist im Zeitalter des unseriösen Marketings über Telefon sehr lax geworden, scheißegal, was in den Gesetzen steht. Wenn in einer derartigen Mail, selbst wenn sie mit Namen und Kundennummer kommt, irgendetwas am Stil oder an der Sprache auffällt, lieber auf Nummer Sicher gehen. Fünf Minuten Nachdenken und etwas Vorsicht können niemals schaden, aber schnell einen Schaden von mehreren tausend Euro und jede Menge nachkommenden Ärger abwenden. Gib Phishern keine Chance!

Sie haben 1 neue Nachricht ALERT

Samstag, 14. März 2009

Wie nennt sich dieser tolle Absender da? „Citibank Online“? Und was für eine tolle Mailadresse hat er sich da gefälscht? citibank.services (at) citibank.com? Und dann kann er mich nicht einmal mit einem Namen ansprechen, was wohl auch daran liegt, dass ich gar kein Konto bei der Citibank habe…

Sie haben 1 neue Nachricht ALERT

Das hast du mir schon im Betreff gesagt, du phishender Betrüger.

Bitte loggen Sie sich Citibank Sicherheits-Center
und besuchen Sie die Message Center Abschnitt, um die Nachricht zu lesen.

Wie hanebüchen soll es denn noch werden? Wenn die mir was Wichtiges zu sagen hätten, denn würden sie es mir gewiss auch in einer Mail mitteilen können, die mich mit Namen anspricht und noch meine Kontonummer erwähnt. Aber nein, der Phisher will ja, dass man klickt und seine Daten…

Zur Anmeldung, klicken Sie bitte auf den unten stehenden Link:

http://www.lesen-citibank-mail.net/

…auf der Website eines Betrügers ablegt. Der wird schon etwas damit anfangen können, wenn jemand wirklich nicht bemerkt, dass nicht einmal die Domain citibank.com stimmt. Dass die Citibank überhaupt nichts mit dieser Mail zu tun hat, zeigt sich allein schon am tollen Abschluss des hingestrunzten Betrugsversuches…

Gleiches Gehдuse LenderMember FDIC © Copyright 2009 Citibank Financial Corporation

…der durch ein fröhliches Nebeneinader kranken Deutsches und kyrillischer Zeichen „erfreut“. Wer trotzdem noch darauf reinfällt, dem ist wohl nicht mehr zu helfen.

Notification

Dienstag, 10. März 2009

> Dear Customer,

Oh, wie schön, jetzt werde ich nicht nur ohne Namen angesprochen, obwohl ich doch „Kunde“ sein soll, nein, dieser dumme Versuch kommt auch noch als „Zitat“ aus einer anderen Mail daher. Die übliche Streumunition der Phisher, heute in der Darreichungsform „Extra doof“.

The Mosaik MasterCard Online department temporary disabled your account.

After three unsuccessful login attempts your account was temporary disabled until further investigations. All cards (except the temporary cards) from this account are suspended. BMO Bank of Montreal immediately, or you won’t be able to use your cards again.

> Once you have completed these steps, we will send you an email notifying that your account is available again.

The information you provide us is all non-sensitive and anonymous – No part of it is handed down to any third party.

Mann oh Mann oh Mann, was für eine hanebüchene Story! Nicht nur, dass ihr nicht einmal die Zitateinrückung eurer Abschreiberei entfernt habt, ihr habt euch da echt totalen Müll zusammen geschmiert, der seinen „Inhalt“ erst nach einigem Nachdenken offenbart. So fällt nicht einmal mehr der Dümmste auf das Phishing rein.

Sorry for any inconvenience this may cause and thank you for your patience.

Ich habe keine Geduld und entschuldige gar nichts. Spam ist ja schon übel, aber eine derart dumme Phishing-Spam ist einfach nur noch schmerzhaft. Ob da wohl jemand der folgenden Aufforderung nachkommen wird:

> To continue please click the link below:

http://www3.bmo.com/mosaik

Wenn ja, wird er in der Adresszeile seines Browsers sehen können, dass dieser in einer HTML-Mail gesetzte Link nicht gerade nach bmo.com führt, sondern auf den viel weniger vertrauenswürdigen Server login.mrm.mg – da kann man dann schön seine Daten eingeben, damit ihr die Konten plündern könnt.

2009 BMO Financial Group

Die haben gewiss nichts damit zu tun.

PayPal Notification

Donnerstag, 26. Februar 2009

Oh, lange keinen Phishing-Versuch mehr gehabt. Die Masche scheint ja jetzt schon so lange nicht mehr benutzt worden zu sein, dass einige verbrecherische Spammer glauben, dass man es wieder einmal versuchen könnte. Diesmal ist es aber nicht die Volksbank, die Raiffeisenbank, die Citibank oder eine Sparkasse, wo die Kunden um ihr Geld betrogen werden sollen, diesmal ist PayPal dran.

Technische Hinweise:

Die Mail mit dem Betreff „PayPal Notification“ sieht zwar in Farbwahl, Logo, Schriftgrößen und Zeichensätzen durchaus stilecht aus, hat aber den sehr unglaubwürdigen Absender „your (at) mail (punkt) com“ – wenn man schon Adressen fälscht, sollte man als Verbrecher vielleicht ein bisschen um Glaubwürdigkeit bemüht sein. Abgesendet wurde diese Mail nicht etwa von einem richtigen Mailserver, sondern von einer dynamisch von AOL vergebenen IP-Adresse, also von einem Botrechner, der feindselig von Spammern übernommen wurde. (Deshalb wird sie bei mir auch zuverlässig als Spam erkannt.) Die Mail ist HTML-formatiert, das PayPal-Logo wird direkt von der PayPal-Website eingebunden, so dass ein guter Mailclient wie der Thunderbird allein schon deshalb einen Hinweis ausgeben sollte, dass das Nachladen externer Grafiken unterbunden wurde, um die Privatsphäre zu schützen.

Die Spammer haben versucht, im Mailheader anzugeben, dass die Mail mit Microsoft Outlook Express 6.0 erstellt wurde. Der Inhalt der Mail widerspricht dem jedoch, da er lediglich über einen HTML-formatierten Teil verfügt – Outlook Express erzeugt die Mail immer in doppelter Ausfertigung, als HTML und als Text, wenn eine HTML-Mail abgesendet wird. (Auch dieser recht häufige Fehler der Spammer führt bei mir zu einem sofortigen Aussortieren des Sondermülls, ich hoffe, dass das überall so ist. Wer es nötig hat, die Angabe seiner Mailsoftware im Header zu fälschen, der hat es nicht nötig, dass ich mich mit seinem Geschreibsel weiter beschäftige. Ich habe Besseres mit meiner Zeit zu tun.)

Kurz: Gnadenlose Stümperei!

Die Mail:

You have 1 new Security Message Alert!

Klar, ich kriege also ein Sicherheitswarnungen. So ganz ohne persönliche Ansprache, obwohl ich Kunde bei PayPal sein soll. Und völlig ohne weiteren Hinweis, um was es sich handelt, obwohl eine solche Warnung doch gewiss ihre Dringlichkeit hätte – es geht ja um Geld.

Das Wort „Gnadenlose Stümperei“ habe ich ja schon geschrieben…

Log In into your account to resolve the problem.

Und dann soll ich das Problem auch noch lösen! Einfach nur, weil eine Mail mit fragwürdigem Absender, der mich nicht einmal namentlich ansprechen kann, dazu auffordert. Und zwar, ohne dass mir auch nur gesagt wird, worin das Problemchen bestehen könnte. Und ohne jeden Hinweis, dass wegen des möglichen Missbrauches eines PayPal-Kontos die Funktion vorübergehend gesperrt wurde. Alles in meiner Verantwortung.

Boah ey, die Spammer haben ja echt Vorstellungen!

Click here to Log In

Und wer da klickt, landet natürlich nicht bei paypal.com, sondern bei einer ziemlich kryptischen Bandwurm-URL, die nicht einmal versucht, vorzuspielen, dass sie die Adresse von PayPal wäre. Diese liegt auf einem Rechner mit der IP 88.97.204.162. Was man dort geboten kriegt, wird gewiss ganz ähnlich wie eine Anmeldemaske von PayPal aussehen (ich habe es nicht ausprobiert, weil ich keinen gut gesicherten Rechner vor mir habe) und dem Opfer die Möglichkeit geben, seinen Usernamen und sein Passwort einzugeben.

Diese Daten gehen natürlich direkt zu den Verbrechern weiter, die dann erstmal über PayPal das Konto belasten. Da man hierfür nicht so umständliche Dinge wie TANs braucht, ist dieser Betrug wesentlich leichter in klingende Münze umzuwandeln als es mit einem gephisten Zugang zu den „richtigen“ Kontodaten möglich wäre. Ob die Betrüger daraus direktes Kapital schlagen, indem sie Geld abheben und über einen Hilfsgeldwäscher bar nach Russland transferieren lassen, oder ob sie damit betrügerische Geschäfte auf eBay machen, um das Geld in Bares zu verwandeln, das wird das Opfer dieses Betruges schon merken.

Wahrscheinlich wird dieses Ding in ein paar Tagen auch in deutscher Sprache an Mailadressen in .de-Domains gehen, um etwas mehr Wirkung zu entfalten.

WICHTIGE HINWEISE ZUM PHISHING: Der beste Schutz gegen Phishing mit massenhaft versendeter Spam ist die Benutzung des eigenen Kopfes. Die Mails von PayPal kommen immer mit einer persönlichen Ansprache, die den dort angegebenen Namen widergibt. Wo eine solche Ansprache fehlt, handelt es sich niemals um eine Mail von PayPal. So etwas sollte unbesehen gelöscht werden. Leider versäumt es PayPal zurzeit noch, seine Kunden auf diese Form des Betruges hinzuweisen und Anweisungen zu geben, wie man Phishing erkennt und einen Schaden vermeidet. Eventuell sollte PayPal deshalb von Kunden, die diese (oder eine vergleichbare) Mail erhalten haben, auf die gegenwärtige Betrugswelle aufmerksam gemacht werden. Generell gibt: Bei Internet-Diensten, die Geld transferieren, niemals auf einen Link in einer Mail klicken, sondern immer die Internetadresse des Dienstes direkt in die Adresszeile des Browsers eingeben, um auch bei besser vorgetregenen Angriffen nicht in die gestellte Falle zu tappen. (Auch diese Vorgehensweise ist nicht völlig sicher, wenn ein durch Schadsoftware übernommener Rechner den Hostnamen nicht korrekt auflöst und stattdessen die Website von Verbrechern lädt. Das Manipulieren der „Lesezeichen“ oder „Favoriten“ ist oft noch einfacher, deshalb immer von Hand eingeben.) Dieses bisschen Prävention kann schnell viel Geld und viel Nervenkraft sparen.

Reinstating Your Google AdWords Account

Freitag, 9. Januar 2009

Und heute mal ein Phishing, das nicht auf Bankdaten aus ist, sondern auf die meist relativ kleinen Beträge für Werbeeinblendungen, mit denen sich viele Websitebetreiber ihre Projekte finanzieren wollen.

Die Mail von info (at) adwords-google.com (natürlich ist dieser Absender gefälscht) liest sich so:

Dear Google AdWords Customer,

Bin ich nicht.

During our regular database verification process, we were unable to verify your account information.

Das ist wieder einmal „ganz großes Kino“ bei einem Phishing-Versuch. Kein Name, keine Kundennummer, keine persönliche Ansprache, aber ein technokratisches Gefasel von irgendwelchen Problemen bei der Überprüfung der Datenbank. Wer ein bisschen unerfahren ist, fällt vielleicht sogar darauf rein.

This might be due to one or more of the following reasons:

Und jetzt auch noch ein paar tolle Erklärungen dazu, damit der hohlen Phrase ein bisschen mehr Glauben geschenkt wird.

1. A recent change in your personal information (i.e. change of address)

Ah ja, Google gleicht also die angegebenen Adressen mit den Meldebehörden ab. Denn wenn man Google eine neue Adresse angegeben hätte, denn wüsste Google die neue Adresse schon. Aber hier geht der kriminelle Phisher wohl davon aus, dass immer mehr Menschen der Datenkrake Google so ziemlich alles zutrauen.

2. Submitting invalid information during initial enrollment process.

Und weil das mit dem Umzug nur eine Minderheit betrifft, wird einfach etwas von der Übermittlung ungültiger Informationen fabuliert, ohne dass dazu auch nur ein kleiner Anhaltspunkt gegeben würde, um was es sich dabei handelt.

3. Inability to accurately verify you account information due to an internal error within or database management system.

Und im Zweifelsfall kann es noch ein technisches Versagen im Google-Rechenzentrum gewesen sein. Das klingt auch „sehr glaubwürdig“, vor allem, wenn es so nebulös und unbestimmt gelassen wird.

Jetzt aber zur Hauptsache:

We would require login in to your Google AdWords so that we can verify that you are the rightful owner of the account. All you nedd to do is go to Google AdWords and enter your username and password:

Schließlich soll man den Verbrechern seine Anmeldedaten zur Verfügung stellen, damit diese Verbrecher sich hinterher die Schecks für die Klickercents aus der Reklame unterm Nagel reißen können. Und damit das funktioniert, noch schnell ein Link:

http://adwords.google.com/select/Login

Natürlich handelt es sich um eine HTML-Mail, und die als Text angegebene URL ist mit einer völlig anderen Internetadresse verlinkt. Diese liegt natürlich nicht bei google.com, sondern auf einem viel weniger Vertrauen erweckenden Server ottoggi.co.kr – dort sieht das arme Opfer dann eine Login-Seite, die so aussieht, als käme sie von Google. Klar, dass die dort eingegebene Kombination aus Username und Passwort nicht an Google, sondern direkt in die Datenbank von schäbigen Betrügern geht.

Wer trotz der Durchsichtigkeit dieser primitiven Masche darauf reingefallen ist, sollte sofort Kontakt zu Google aufnehmen, damit dort eventuelle Manipulationen des Accounts rückgängig gemacht werden, bevor ein Schaden entsteht – und eine Strafanzeige wegen Betruges erstatten.

Dass Google mit dieser Mail nichts zu tun hat, sollte klar sein. Ganz im Gegenteil, man wird dort in den nächsten Tagen viel Arbeit wegen dieser Sache haben. Da wirkt die drangeklatschte „Unterschrift“…

Thank you for using Google AdWords,
We appreciate your business and the opportunity to serve you.
Google AdWords Service

…mehr als nur ein bisschen zynisch.

Wichtige Hinweise zum Thema Phishing: Der beste Schutz vor dieser Form des Betruges ist immer noch die Verwendung des eigenen Kopfes. Die Kriminellen, die auf diese Weise betrügen wollen, können ihre Opfer nicht persönlich ansprechen, weder mit einer Kundennummer noch mit einem Namen. Es handelt sich um millionenfach und wahllos versendete Spam; um Schrotmunition, bei der die Betrüger auf einige Zufallstreffer bei weniger erfahrenen Internetnutzern vertrauen. Jeder Unternehmer im Internet (und natürlich auch jede Bank) wird seine Kunden persönlich ansprechen. Deshalb ist es an sich sehr leicht, Phishing zu erkennen, wenn man beim Lesen seiner Mail einen klaren Verstand behält und sich nicht von möglichen finanziellen Verlusten wegen technischer Probleme oder einer „Sicherheitsprüfung“ ins Bockshorn jagen lässt.

Selbst, wenn eine solche Mail einmal völlig echt und überzeugend wirkt und mit einer persönlichen Ansprache kommt: Niemals einen Link in einer Mail anklicken, wenn es um Geld, Bestellungen, Mailaccounts oder Geschäfte aller Art geht. Manchmal kommen kriminelle Spammer an persönliche Daten. Zurzeit sind solche personalisierten Attacken noch selten, aber das könnte sich schon in naher Zukunft ändern. Daten aller Art werden auf einem stetig wachsenden Schwarzmarkt gehandelt, und es ist so gut wie sicher, dass die Verbrecher der Spam-Mafia sich bereits für die nächsten Phishing-Attacken ausgestattet haben. Immer die Internet-Adresse des jeweilgen Dienstes direkt in den Browser eingeben, und dabei auch nicht auf die leicht manipulierbare Lesezeichen-Funktion (IE-User lesen hier: Favoriten) des Browsers zurückgreifen. Selbst das schafft keine abschließende Sicherheit, wenn etwa die hosts-Datei des Rechners manipuliert wurde – um dies zu erschweren, sollte gängige Internet-Software (Browser, Mailclient, IM-Client etc.) niemals mit einer Benutzeranmeldung verwendet werden, die administrative Rechte am Computer hat. Diese sehr einfachen Maßnahmen schaffen zwar – genau so wie etwa ein Türschloss, das man abschließt, wenn man die Wohnung verlässt – keine vollkommene Sicherheit, aber sie erschweren den Kriminellen ihr hinterhältiges Handwerk.

Wenn der Stil der Mail eines Geschäftspartners einmal nur ein wenig vom gewohnten Stil abweichen sollte, immer eine nach Möglichkeit telefonische Rückfrage machen – vor allem, wenn zusätzlich aus obskuren Gründen zu irgendwelchen Logins aufgerufen wird. Jeder Anbieter, der das Internet zu seiner Geschäftsgrundlage gemacht hat, kennt das Problem des Phishings und wird deshalb volles Verständnis für eine solche, gar nicht übertriebene, Vorsicht haben.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.