Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Kategoriearchiv „Phishing“

DHL verlost Preise

Montag, 24. September 2007

Na, wie blöd muss ein Spamempfänger sein, damit er diese Mitteilung eines Absenders mit gefälschter Mailadresse glaubt (DHL hat damit nichts zu tun):

Betreff: DHL Verlost Preise im Wert von mehr als 1000 Euro

5 JAHRE – DHL PACKSTATION

Gewinnen Sie jetzt Attraktive Preise
Beim DHL PACKSTATION Cup im wert von Über 1000 EUR

Klar, ein Appell an die Gier ist etwas, dem Deppen nicht widerstehen können. Und Deppen sind auch genau das richtige für diesen Angriffsversuch, denn sie merken weder, dass hier jemand mit der Groß-/Kleinschreibung im Deutschen erhebliche Probleme hat…

Melden Sie Sich gleich mit ihren Daten an und nehmen an der Verlosung teil.

http://www.packstation-cup.de

…, noch merken sie, dass sie eine HTML-Mail vor sich liegen haben. Und dieser Link hat es in sich, denn er führt auf eine ganz andere Seite als man beim Anblick der URL glauben möchte. Dort kriegt man zwar keine 1000 Euro, aber dafür darf man seine Anmeldedaten an ein paar Verbrecher weitergeben.

Viel Spass mit PACKSTATION wuenscht Ihnen
Ihr PACKSTATION Team

http://www.packstation-cup.de
Servicenummer 01803 / [… von mir entfernt]*

Ja, mit Pack haben wir es hier wirklich zu tun. Die Servicenummer klingt echt, aber ich habe gerade keine Lust, da anzurufen. Ich schätze nämlich, dass die Mitarbeiter dort ziemlich genervt sein werden, weil sie heute schon mit mehreren tausend zum Teil erbosten Spamempfängern gesprochen haben. Dem kriminellen Spammer ist es aber scheißegal, welchen wirtschaftlichen Schaden er anrichtet.

Da ist es auch nur wenig tröstlich, dass der Mailfälscher am Ende noch einmal vor dem Ausfluss seines eigenen Tuns warnt:

PS:
VORSICHT VOR GEFÄLSCHTEN EMAILS! Immer wieder versuchen Betrüger mit gefälschten Absendern namhafter Firmen an vertrauliche Daten wie z.B. die PIN von Kunden zu gelangen. Bitte löschen Sie verdächtige eMails sofort und geben Sie auf keinen Fall persönliche Daten an! Mehr Informationen auf unserer Website.
http://www.dhl.de/packstation-daten-aendern
*9 ct. je angefangene Min. im Festnetz der T-Com

Hier hat man nämlich gleich unter der Warnung, dass man so etwas niemals machen sollte die zweite Gelegenheit, seine Zugangsdaten an Verbrecher zu senden. Für wie dumm die potenziellen Opfer von so einem Spammer gehalten werden, ist damit wohl klar. Wer nicht so dumm ist, der löscht diesen kriminellen Angriff und lässt sich auch nicht davon zu einem Klick verführen, dass ihm irgendwelche Mails mit gefälschtem Absender zwei hübsche lila Lappen als „Preis“ versprechen.

Wer nämlich DHL-Kunde ist und dort ein Kundenkonto hat, der wird in eventuellen Mails von DHL mit seinem Namen angesprochen werden. Eine unpersönliche Anrede in einer Mail, die angeblich von einer Firma kommen soll, bei der man Kunde ist, sie ist immer ein deutliches Zeichen für eine Spam.

Zahl der Phishing-Opfer gestiegen

Mittwoch, 29. August 2007

Diese Meldung in der Netzeitung sollte jeden warnen, der das Thema Spam immer noch auf die leichte Schulter nimmt:

Die Zahl der Internet-Nutzer, deren Konten mit geklauten Passwörtern geplündert worden seien […] sei im vergangenen Jahr bundesweit um 23 Prozent gestiegen […] Insgesamt seien in 3250 Fällen 13 Millionen Euro von Konten der Opfer gestohlen worden.

Für das einzelne Opfer dieses groß angelegten und mafiös organiserten Betruges ist das ein oft erheblicher Verlust. Die durchschnittliche Schadensumme der Betroffenen liegt nach diesen Zahlen bei immerhin 4000 Euro. Nur wenige Menschen können es sich leisten, mal eben viertausend Euro für Nichts wegzuwerfen, und selbst wer sich das leisten könnte, wird es dennoch nicht wollen.

Nicht alle Opfer des gegenwärtigen Phishings sind so dumm, dass sie eine gefälschte Mail ihrer Bank für echt halten und daraufhin ihre TAN auf den Websites von Betrügern eingeben. Es gibt diese naiven Dummköpfe zwar immer noch, aber die meisten Opfer des Phishings werden heute mit hohem technischem Aufwand überrumpelt:

In den meisten Fällen schickten Betrüger per E-Mail einen sogenannten Trojaner – ein Schadprogramm, das die Daten heimlich ausspäht und weitergibt. Anderer Schadprogramme leiteten die Nutzer beim Online-Banking im Hintergrund auf gefälschte Seiten weiter.

Recht häufig werden die Trojaner übrigens installiert, wenn man auf Links in Spam-Mails klickt und so präparierte Seiten aufruft, die Sicherheitslöcher der gängigen Browser ausnutzen. Die Installation der Software geschieht unauffällig und im Hintergrund, und danach hat man seinen für teures Geld gekauften Rechner in einen Computer verwandelt, der von der Spam-Mafia kontrolliert und ferngesteuert wird. Es ist zwar richtig, wenn die in der Netzeitung zitierte Agenturmeldung folgendes empfiehlt…

Laut Bitkom ist es daher wichtig, die jeweils neuesten Schutzmethoden zu verwenden. Dazu zählt der Schutz des Computers mit einer aktuellen Anti-Viren-Software. Wichtig ist zudem eine gesunde Skepsis beim Empfang von E-Mails […]

…aber die wichtigsten Regeln im Mailverkehr (und auch bei der Benutzung so genannter „Web 2.0″-Dienste) sind noch viel einfacher zu beherzigen und sehr viel wichtiger als das blinde Vertrauen in irgendwelche Programme gegen Viren. Hier in aller Kürze der dreifache Imperativ des gegenwärtigen Internets:

  • NIEMALS auf einen Link in einer Spam klicken!
  • NIEMALS den Anhang einer Spam öffnen!
  • NIEMALS glauben, dass der Absender einer Mail stimmt!

Der letzte Punkt wird in Zukunft von immer größerer Wichtigkeit sein. Es ist leicht, einen Absender zu fälschen, alle Spam-Mails kommen mit gefälschtem Absender. Es dauert wohl nicht mehr lange, bis viele Spams scheinbar von regelmäßigen Kontakten kommen. Wer eine Mail von einem Bekannten erhält, die in irgendeiner Weise untypisch und damit verdächtig ist (falsche Sprache, ungewohnte inhaltliche Schwächen, veränderter Stil, seltsame Ausdrucksweise), sollte vor dem Klick auf einen Link oder vor dem Öffnen eines Anhanges lieber einmal anrufen und nachfragen, ob diese Mail auch wirklich von ihm kommt. Dieses bisschen Prävention kann schnell tausende von Euro und viel Ärger mit einen von Kriminellen übernommenen Rechner sparen.

Es ist nur eine Frage der Zeit, bis die Spam-Mafia dazu übergehen wird, ihren Opfern die Trojaner der nächsten Generation unterzujubeln. Diese Programme werden nicht nur unbemerkt im Hintergrund Passwörter sammeln und die Aktionen beim Online-Banking manipulieren, sondern sich auch verbreiten, indem sie sich selbst an alle Mail-Kontakte des Opfers weitersenden. Dabei können durchaus Mailtexte aus Textfragmenten bisheriger Mails zusammengesetzt werden, so dass die automatische Erkennung durch Spamfilter sehr schwierig wird. Hier ist dann der Mensch gefragt, der immer noch deutlich intelligenter als ein dummer Computer sein sollte und diese Intelligenz eben für die Erkennung von Spam und Angriffsversuchen nutzen muss.

Wer aber glaubt, dass er zusätzlich einen wirksamen technischen Schutz gegen die kriminellen Anliegen der Spam- und Phishing-Mafia benötigt, der sollte sich nicht allein auf Virenscanner verlassen, die nur die technische Anfälligkeit des verwendeten Systemes ausbügeln. Der beste technische Schutz ist es immer noch, für die täglichen Sitzungen im Internet ein Betriebssystem und eine Arbeitsumgebung zu verwenden, die sich als relativ resistent gegen solche Angriffe erweisen – und natürlich, dieses System auch immer auf einem aktuellen Stand zu halten. Ich kann hier nur Linux empfehlen, das nichts kostet, frei ist und dem Anwender wieder den Computer zurückgibt. Das eventuelle Umlernen auf das neue System zahlt sich später hundertfach in gesparter Zeit aus, die man nicht in einen zickig gewordenen Rechner investieren muss.

Wenn ein Verzicht auf Microsoft Windows, diesem Betriebssystem mit der betrüblichen Sicherheitsgeschichte, aber gar nicht möglich ist, denn sollte doch wenigstens nicht die Standardumgebung von Microsoft verwendet werden, auf die viele Angriffsversuche wegen der großen Verbreitung dieser Umgebung und der relativen Leichtigkeit solcher Angriffe abzielen. Es gibt gute und kostenlose Alternativen zum fatalen Dreigespann Microsoft Internet Explorer, Microsoft Outlook und Microsoft Office. Wer sich mit aktuell gehaltenen Versionen von Firefox, Thunderbird und Open Office in seine täglichen Computersitzungen begibt, wer nicht standardmäßig und ohne besondere Notwendigkeit mit Administratorrechten arbeitet, und wer zusätzlich sein Gehirn benutzt und nicht wie ein dressierter Affe auf alles klickt, was sich irgendwie anklicken lässt, der ist auch mit Windows relativ sicher im Internet unterwegs. Der Virenscanner ist dennoch dringend empfohlen, und natürlich müssen die Signaturdateien regelmäßig aktuell gehalten werden. Windows bleibt immer noch ein System, das vor allem für kriminelle Angreifer viele Schlupflöcher bietet.

Die Zitate in diesem Text wurden dem oben verlinkten Artikel in der Netzeitung entnommen.

Danke, dass sie ihre Rechnung rechtzeitig erganzt haben

Donnerstag, 19. Juli 2007

Mit diesem Betreff kommt eine Spam mit dem gefälschten Absender info@t-mobile.de daher, die von sich behauptet, von „t-mobile“ zu stammen. Natürlich handelt es sich hier um einen weiteren Versuch, den Menschen Schadsoftware unterzujubeln. Ich traue den diversen Nachkommen der Deutschen Bundespost ja so manche Form des Schwachsinnes zu, aber die deutsche Sprache wird dort im allgemeinen mit korrekten Umlauten geschrieben. 😉

Aber komme ich mal zum Text der mutmaßlich millionenfach ins deutschsprachige Internet gepusteten Spam:

Die Gesellschaft „T-Mobile“ dankt ihren Kunden, dass sie ihre Abrechnung des Mobiltelefons immer rechtzeitig ergänzen und dafür rechnet sie ihnen die Punkte an.

Sehr erfreulich, dass sich „T-Mobile“ in Anführungszeichen schreibt. Das passt auch gut dazu, dass jede persönliche Ansprache des Kunden unterlassen wurde, dem für sein Erganzen „die Punkte“ angerechnet werden sollen. Klar, ich bin ja auch gar kein Kunde bei denen.

Jetzt fragt sich nur noch, was „die Punkte“ sein sollen. Auch darüber schweigt sich diese asoziale und kriminelle Spam nicht aus, damit auch der letzte Depp versteht, dass diese Punkte etwas wert sein sollen:

1 Punkt sind gleich 20 kostenlose SMS. Die Punktmenge auf Ihrer Rechnung können Sie hier [… URL mit Link auf eine andere URL von mir entfernt] anschauen.

Die angegebene URL gibt vor, auf die Domain t-mobile.de zu verweisen. Es handelt sich allerdings um eine HTML-Mail, und in Wirklichkeit wird hier auf eine kostenlose Homepage bei GeoCities verwiesen, was ja durchaus schon eine gewisse Tradition bei den Malware-Spams hat. Man möchte fast sagen, dass GeoCities inzwischen der beliebteste kostenlose Hoster bei Kriminellen geworden ist – und offenbar bekommt dort niemand derartige Probleme in den Griff.

Ich habe mir jetzt nicht angeschaut, was ich unter dem Link aus der Spam zu sehen bekäme, weil ich gerade kein besonders gesichertes System zur Verfügung habe. Völlig sicher ist aber, dass es nichts mit T-Mobile zu tun hat, da dieses Großunternehmen natürlich eine eigene Homepage hat und nicht auf die Dienste kostenlosen Hostings angewiesen ist. Allein diese Tatsache zusammen mit der ziemlich missglückten Maskierung des wirklichen Linkzieles in der Spam sollte sogar dem Blindesten deutlich machen, dass dort ein wenig erfreuliches Angebot auf die schnell klickenden Deppen wartet.

Zumal das Deutsch am Ende der Mail doch ein wenig hakelig wird:

Eine notwendige Bedingung des Erhaltens der Punkte ist die positive Abrechnung im Laufe von dem Quartal.

Klar, und eine notwendige Bedingung des Erfolges der Spam ist die positive Verwendung grammatisch korrekten Deutsches im Laufe von dem Text. :mrgreen:

Warnung: Man klickt niemals auf einen Link in einer Spam. Niemals. Wer es dennoch tun möchte, der sollte das mit einem besonders gesicherten System tun, und auch dann kann noch Unerfreuliches passieren. Ein blindes Vertrauen auf einen Virenchecker ist fehl am Platze. So groß kann die Freude an der gesättigten Neugier gar nicht sein, dass es sich lohnt, mit dem möglicherweise anschließenden Ärger zu leben. Wer nicht weiß, wie man ein System besonders gegen Angriffe sichert, sollte gar nicht erst über den Klick nachdenken. Und wer sich bei einer Mail von T-Mobile, einem Versandhaus oder einer Bank unsicher ist, ob sie vielleicht echt sein könnte, der sollte einfach den dortigen Kundendienst anrufen, bevor er etwas unsäglich dummes tut. Dort wird ihm auch gesagt werden, dass Kunden in der Regel mit ihrem Namen angesprochen werden und dass eine unpersönliche Anrede immer ein deutliches Zeichen für eine Fälschung ist.

Volksbanken ‚07

Samstag, 16. Juni 2007

Na sowas aber auch. Wieder einmal eine Mail von der „Volksbank“ (natürlich ist der Absender gefälscht), das hatte ich aber lange nicht mehr. Leider sind die Phisher nicht so einfallsreich, Text und Schema des Betrugsversuches entsprechen genau dem schon längst bekannten Schema – und zwar einschließlich gewisser grammatikalischer Schwächen:

Phishing bei Volksbank-Kunden

Wer hier irgendwo in die eingebettete Grafik mit dem Text klickt, ist selbst schuld. Erstens stimmt die angegebene URL ist der Grafik nicht mit der gelinkten URL überein, zweitens führt die gelinkte URL auf einen Server in Hongkong, einem Ort, der bei Spammern und Phishern viel beliebter als bei deutschen Kreditinstituten ist, drittens wird die Grafik von einem Wulst sinnlosen englischen Textes gefolgt, der alles andere als einen Anschein der Seriosität vermittelt. Aber die erste Welle derartiger Phishing-Versuche scheint so erfolgreich gewesen zu sein, dass die mafiös organisierten Verbrecher ein paar Monate später gleich nochmal nachlegen.

Also gleich in die virtuelle Mülltonne damit. Eine reale Bank käme wohl niemals auf die Idee, ihre Kunden mit einer Mail zur Offenlegung von Kontodaten aufzufordern; selbst bei einem von der Post zugestellten Brief sollte man etwas Vorsicht an den Tag legen und gegebenenfalls einmal in seiner Filiale nachfragen. Die Website einer Bank sollte generell nicht über einen Link aufgerufen werden, und schon gar nicht, wenn sich dieser Link in einer nichtsignierten Mail ohne persönliche Ansprache befindet. Die sicherste Methode ist die direkte Eingabe der Adresse in den Browser, selbst Lesezeichen können von aggressiven manipulierten Angreifern manipuliert werden.

So viel nur dazu…

Betreff: Ihr Konto wurde gesperrt

Mittwoch, 6. Juni 2007

Man kann beim Phising wirklich unglaublich dumm vorgehen. Man kann sogar so dumm vorgehen wie der Absender dieser Mail mit einer gefälschten Absenderadresse aus der eBay-Domain:

Betreff: Ihr Konto wurde gesperrt
Guten Tag! Beim Kaufen in unserem Internet-Shop war ein Fehler vorgekommen, weswegen Ihr Konto gesperrt wurde. Um das Konto wieder freizugeben, folgen Sie bitte diesen Link [… URL und Link auf eine andere URL von mir entfernt]

Das wirkt wirklich nicht sehr überzeugend. Das fängt schon mit der sehr unpersönlichen Anrede „Guten Tag“ an, wo eBay doch eigentlich einen Namen kennen sollte. Und dann diese Holpersprache mit kreativer Grammatik! „Beim Kaufen war ein Fehler vorgekommen, weswegen gesperrt wurde.“ – dazu sage ich nur: Beim Lesen war ein Lachen gehört, weswegen gelöscht wurde. :mrgreen:

Unglaublich, für wie dumm die Spam- und Phishing-Mafia ihre Opfer hält.

Der ganze Trick bei dieser wenig trickreichen Mail besteht übrigens darin, dass der verlinkte Text vorgibt, auf eine Seite von eBay zu verweisen, während der Link in Wirklichkeit auf eine kostenlose Website bei GeoCities führt. Was man dort untergejubelt kriegt, habe ich mir heute wegen akuter Unlust nicht angeschaut. Im besten Falle handelt es sich „nur“ um eine nachgebaute Anmeldungs-Seite, die dem Opfer Gelegenheit gibt, die eigenen Zugangsdaten an asoziale Verbrecher weiterzugeben. Im schlimmsten Fall bekommt man außerdem noch jede Menge scheußliche Schadsoftware untergejubelt und verwandelt den eigenen Rechner in einen Bestandteil großer Spamnetzwerke.

Hoffentlich ist niemand so doof, auf eine derart schlechte Phishing-Mail hereinzufallen. Und hoffentlich werden die Menschen noch einmal so intelligent, dass sie auch auf relativ gut gemachte Phishing-Mails nicht hereinfallen.

Fantastische Gelegenheit

Montag, 4. Juni 2007

Das so genannte social web bietet auch für Spammer und Werbeärsche fantastische Gelegenheiten, ihre gierkranken Ideen auf eine arglose Welt loszulassen. Im folgenden Ausschnitt eines MySpace-Profiles sind alle URLs und der Name des mutmaßlich gephishten Opfers unkenntlich gemacht.

Spam in einem gephishten MySpace-Profil

Das ganze MySpace-Profil ist völlig typisch und wurde mit Sicherheit von einer wirklich existierenden Person erstellt. Offenbar wurden die Zugangsdaten dieser Person mit einer Phishing-Attacke abgegriffen, um das Profil mit einer zusätzlichen Werbung anzureichern. Anschließend wurden recht wahllos Freundanfragen rausgesendet, eine davon ging an mein Profil.

Viele andere MySpace-Nutzer scheinen ja ziemlich wahllos „Freunde“ zu sammeln. Ich bin da etwas anders und schaue mir das Profil zu einer Freundanfrage sehr genau an. Wenn jemand in englischer Sprache schreibt und deshalb den Text meines Profiles kaum verstehen kann, bin ich besonders aufmerksam – das heißt aber nicht, dass ich so etwas zurückweise, da meine Musik auch jenseits sprachlicher Grenzen Kontakte knüpft. (Ich habe zum Beispiel Fans aus dem französischsprachigen Raum.)

Aber wenn ich dann auf einer ausschließlich englischen Seite eine aufdringliche Werbung in deutscher Sprache sehe, ist mir klar, dass dieses Profil gephisht wurde.

Natürlich habe ich eine Message an den Autor des Profils gesendet, um auf diesen schamlosen Missbrauch des eigenen Werkes hinzuweisen. Jeder, der bei MySpace nicht aufmerksam ist, kann schnell zum Opfer dieser kriminellen und asozialen Bande von Spammern werden. Tipps, wie so etwas vermieden werden kann, finden sich im MySpace-Profil „Hackers Hell“.

Resolution Center

Mittwoch, 18. April 2007

Als wenn es nicht genug PayPal-Phishing gäbe, ist heute noch ein besonders hilfloser Versuch mit dem Betreff „Resolution Center“ in meinem Postfach eingetrudelt:

Please visit the resolution center located here

https://www.paypal.com/cgi-bin/webscr?cmd=_login-run_res

to verify your identity and avoid the blocking of your account

Die gefakte PayPal-Seite eines PhishersÜberflüssig zu erwähnen, dass es sich hier um eine HTML-Mail handelt und dass der Link nicht etwa zu der angegebenen URL, sondern auf den Server funlux.be führt. Von dort aus wird auf eine Seite auf dem Server 24.244.134.6 (nur mit IP-Adresse, die sich gewiss häufiger ändern wird) umgeleitet, wo man eine flott gespiegelte PayPal-Seite zu Gesicht bekommt. Ein Screenshot des Phishing-Versuches ist auf der linken Seite zu sehen, mit einem Klick sieht man den Betrug in seiner ganzen Pracht.

Wer hier seine Daten eingibt, hat verloren. Zunächst hat er den Verstand verloren, weil er überhaupt auf die Idee gekommen ist, auf eine derart dürftige Mail hin wie ein dressierter Hund auf einen Link zu klicken und die dargestellte Seite auch noch für echt zu halten. Und als nächstes wird er jede Menge Geld verlieren, wenn irgendwelche Kriminellen sein Konto plündern.

Hier kann man den Phishern Bankdaten gebenWie billig dieser Beschiss durchgeführt ist, zeigt sich jedem, der auf dieser angeblichen „PayPal-Seite“ ein paar Links klickt – alle Links führen wieder auf die Startseite. Die einzige Bedienungsmöglichkeit besteht in der Eingabe der Mailadresse und des Passwortes. Wer diese Phishing-Spam erhalten hat, sollte sich – genau wie ich – in aller Ruhe den Spaß machen, ein paar Phantasie-Mailadressen und -(S)passwörter einzugeben, um den Verbrechern das Leben etwas zu erschweren. Man erhält denn eine Möglichkeit zur „Bestätigung seiner Identität“, die so aussieht wie das Bildchen auf der linken Seite dieses Absatzes. (Für volle Größe einfach darauf klicken.) Dass die Identität mit Passwort und Mailadresse preisgegeben wurde, reicht diesen besonders gierigen Verbrechern nämlich noch nicht, sie wollen darüber hinaus auch noch die Daten der Kreditkarte einschließlich einer PIN haben.

Es scheinen jeden Tag ein paar Unerfahrene aufzustehen, die erst noch ihr Lehrgeld zahlen müssen. Nur deshalb „lohnt“ sich diese Art Verbrechen so sehr. Ich hoffe, dass einige Leser dieser Beschreibung etwas vorsichtiger werden. Es ist schon viel gewonnen, wenn jeder Mensch jeder Mail misstraut und nicht leichtfertig auf einen Link klickt, vor allem, wenn es um Geld geht. Dass man die Internet-Adressen einer Bank oder eines anderen wichtigen Dienstes immer von Hand eingibt, bewahrt einem vor den meisten plumpen Angriffen. (Aber noch nicht vor wirklich ausgefeilten Attacken.)

Adressenänderungen EBay/PayPal

Montag, 16. April 2007

Heute muss der große Tag des Phishings sein. Zwei kriminelle Mails mit verdammt ähnlichem Anliegen. Sie sehen beide wie Phishing-Versuche aus, es handelt sich aber „nur“ ein Mal um klassisches Phishing, der zweite Versuch will den Rechner mit Schadsoftware übernehmen. Aber beide Attacken erwecken den Eindruck, dass sie ein paar Opfer finden könnten.

PayPal-Phishing

Ich fange mal mit dem schlecht gemachten Phishing an, nämlich mit der „hinzugefügten Adresse bei PayPal“.

You have added [… verlinkte Mailadresse von mir entfernt] as a new e-mail address for your PayPal account.

If you did not authorize this change or if you need assistance with your account, please Click Here [… Link auf „Click Here“ von mir entfernt] to contact PayPal customer service.

Thank you for using PayPal
The PayPal Team

Please do not reply to this e-mail. Mail sent to this address cannot be answered. For assistance, log in to your PayPal account and choose the „Help“ link in the header of any page.

Alarm! Von Geisterhand hat sich eine neue Mailadresse an das PayPal-Konto gehängt, das schafft genau jene Panik, die zu unvernünftigen Verhalten führt. Genau das, was ein Internet-Betrüger braucht.

Beide im Zitat entfernten Links gehen auf eine URL mit rumänischer Domain, so dass eigentlich jedem klar sein sollte, dass es sich nicht um PayPal handelt. Aber wer gerade von blankem Entsetzen gelähmt ist, bemerkt so etwas nicht unbedingt. Selbst die verlinkte Mailadresse öffnet die Website. Was den Empfänger dort erwartet, habe ich mir nicht angeschaut, aber es ist davon auszugehen, dass hier das Passwort abgegriffen werden soll, um das Konto bequem plündern zu können. Man kann sich mit einem Klick und ein paar dummen Eingaben leicht um mehrere tausend Euro schädigen lassen.

Es ist natürlich klar, dass jede Antwort bei einer Mail mit gefälschter Absenderadresse völlig sinnlos ist. Und dass in diesem Zusammenhang auf die Hilfetexte der PayPal-Site verwiesen wird, gibt dem kriminellen Versuch einen recht seriösen Anstrich.

Übrigens nutze ich auch manchmal (eher sehr selten) PayPal. Ich habe dafür eine ganz eigene Mailadresse, die ich ausschließlich für diesen einen Zweck nutze. Deshalb steht diese Mailadresse auch nicht auf den Adresslisten der Spammer, und bei mir kommt nicht gleich „Alarmstimmung“ auf, wenn ich solche Phishing-Mails an meine „Adresse für normale Kommunikation“ kriege. Diese simple Vorgehensweise kann ich jedem Menschen nur empfehlen, sie schont wirklich die Nerven. Leider geht einem die Spam trotzdem tierisch auf die Eier.

EBay-Schwindel

Nicht nur „PayPal“ will mir eine Änderung meiner Mailadresse mitteilen, auch EBay hält sich nicht zurück. Es gibt diese Mails (bei mir sind in den letzten 30 Minuten drei Stück eingetroffen) mit zwei verschiedenen Betreffzeilen, nämlich „Hinweis zu geanderter E-Mail-Adresse Ebay“ und „Ihre Ebay E-Mail wurde geandert“. Der Text ist aber in beiden Fällen identisch, auch der im Folgenden beschriebene Fehler in dieser kriminellen Spam ist identisch.

Ich halte diesen Angriffsversuch für recht gefährlich. Er richtet sich speziell gegen deutsche EBay-Nutzer. Die Mails kommen in fehlerfreiem Deutsch und enthalten korrekt gesetzte, erläuternde Links auf die EBay-Website, so dass man zunächst keinen Verdacht schöpft, wenn man nicht gerade gewisse Vorkehrungen getroffen hat. (Es empfiehlt sich generell, für empfindliche Dienste eine eigene Mailadresse zu haben, die niemals an anderer Stelle angegeben wird.) Die gefälschte Absenderadresse presse@ebay.de wirkt zwar etwas merkwürdig, aber das wird vielen Empfängern zunächst gar nicht auffallen, da sie mit ihrer beklemmenden und vernunftverhindernden Panik beschäftigt sind.

In den folgenden Zitaten wurden die Hervorhebungen aus der Mail übernommen. Die Spam enthält keine Links außer den zitierten Verweisen auf die EBay-Homepage.

eBay-Hinweis zu geänderter E-Mail-Adresse
Hallo sehr geehrter Ebay Mitglied,

Vielen Dank für Ihren Antrag auf Änderung Ihrer E-Mail-Adresse. Anleitungen zur Durchführung der Änderung wurden an Ihre neue E-Mail-Adresse gesendet.

Ein sehr geschickter Einstieg für eine kriminelle Mail. Der normale Nutzer wird gewiss hoch alarmiert sein und befürchten, dass sein Zugang „gehackt“ wurde; der Text, dass die Anleitungen an die „neue Adresse“ geschickt wurden, löst auf diesem Hintergrund das blanke Entsetzen aus. Da versteht ein fürchterliches Arschloch von Verbrecher wirklich etwas von Psychologie.

Dabei hat jedes stümperhaft programmierte Webforum Mechanismen, die einen Wechsel der Mailadresse gar nicht so leicht machen – dafür muss nämlich die alte Mailadresse und das Passwort bekannt sein. Ich weiß nicht genau, wie EBay vorgeht, aber ich halte es für sehr unwahrscheinlich, dass einfach mit sofortiger Wirkung alles über die neue Adresse gehen wird, während die alte Mailadresse so einen lakonischen Hinweis bekommt. Auch wird EBay eine viel persönlichere und bessere Anrede als „sehr geehrtes Ebay-Mitglied“ in seinen technischen Mails haben. Es besteht also kein Grund zur Beunruhigung, und schon gar kein Grund, der folgenden Aufforderung Folge zu leisten:

Wenn Sie diese Änderung nicht vorgenommen haben, fragen Sie bitte zuerst Familienmitglieder und andere Personen, die evtl. Zugang zu Ihrem Mitgliedskonto haben. Wenn Sie glauben, dass eine nicht autorisierte Person Ihre E-Mail-Adresse geändert hat dann führen Sie sofort Schritte aus die in dem beigelegtem Dokument beschrieben sind!

Vielen Dank,
eBay

Nun, jetzt zum oben schon angekündigten Fehler in dieser Spam: Das beigelegte Dokument existiert nicht, offenbar haben die kriminellen Spammer bei der Programmierung ihres Skriptes gepatzt. Dieser peinliche Fehler wird aber gewiss bald korrigiert sein, und dann wird es ein beigelegtes „Dokument“ geben. Dieses „Dokument“ wird den eigenen Rechner in einen Computer anderer Leute verwandeln, der zum Spammen, und für die Verbreitung illegaler Inhalte missbraucht und darüber hinaus vollkommen ausspioniert wird, um weitere Verbrechen begehen zu können.

Wie die genaue technische Durchführung des Angriffes sein wird, lässt sich wegen des dummen und peinlichen Fehlers der Cracker noch nicht absehen. Aber um was es in diesem Angriff geht, ist auch so klar. Dass hier sehr exklusiv der „deutsche Markt“ bearbeitet wird, ist allerdings eher ungewöhnlich.

Man kann es nicht oft genug sagen: Niemals einen Mailanhang öffnen, der überraschend von einem Fremden kommt, selbst wenn dieser Fremde vorgibt, eine Bank, ein Internet-Dienst oder sonstwas zu sein! Eine Mail mit falschem Absender zu versenden, schafft jeder achtjährige, in der Nase popelnde Nachwuchshacker. Und auch bei einem wirklichen Bekannten sollte man sehr vorsichtig sein, da sich Absenderadressen fälschen und Adressbücher ausspionieren lassen. Im Zweifelsfall anrufen und nachfragen, ob die Mail echt ist. Dieses bisschen Vorsicht kann einem den Tag retten.

Wie ich schon sagte, wirkt die gefälschte EBay-Mail sehr überzeugend. Sie enthält Verweise auf allgemeine Hinweise der EBay-Website:

Wenn Sie Fragen zu den eBays-Grundsätzen haben, lesen Sie bitte unsere Datenschutzerklärung und die Allgemeinen Geschäftsbedingungen.
Datenschutzerklärung:
http://pages.ebay.de/help/policies/privacy-policy.html

Allgemeine Geschäftsbedingungen:
http://pages.ebay.de/help/policies/user-agreement.html

Copyright 2006 eBay Inc. Alle Rechte vorbehalten.
Die genannten Marken sind das Eigentum ihrer jeweiligen Inhaber.
eBay und das eBay-Logo sind eingetragene Marken bzw. Marken von eBay Inc.

Wer sich von solchen, eher unbewusst wahr genommenen Kleinigkeiten blenden lässt und nicht in jeder Situation seinen Verstand benutzt, der wird Kriminellen auf dem Leim gehen und den Schaden davon haben.

Einen kleinen Fehler haben die Spam-Verbrecher hier aber doch gemacht. Sie haben auf das Urheberrecht für das EBay-Logo verwiesen, das in der Mail gar nicht verwendet wird. Hier zeigt sich die allzu stümperhafte Verwendung der Zwischenablage, um schnell einen guten Betrugstext aus der EBay-Website zu machen. Auch der folgende Hinweis, dass man diese Mail nicht beantworten sollte, dürfte aus einer Original-Mail von EBay kopiert worden sein:

Bitte beachten Sie, dass es sich bei dieser E-Mail um eine vom System versendete Mitteilung handelt. Eine Antwort auf diese E-Mail über die Antwortfunktion Ihres Mail Programms ist daher nicht möglich. Bei Fragen an unseren Kundenservice klicken Sie bitte auf den folgenden Link oder kopieren Sie ihn in Ihren Browser:
http://pages.ebay.de/help/basics/select-support.html

Kurz: Es ist eine sehr gefährliche Attacke, gezielt ausgeführt auf Rechner im deutschen Sprachraum. Dass bei der ersten Welle wegen der Unfähigkeit der Spammer kein Anhang dabei war, ist wahrscheinlich ein großer Glücksfall.

Abschließende Bemerkungen

Ich habe nicht viel Gutes über EBay und PayPal zu sagen, aber kriminelle Spammer sind das nicht. Ganz im Gegenteil, diese Unternehmen sind momentan selbst Opfer von kriminellen Spammern, da ihre Namen und Marken mit solchen Aktionen in den Dreck gezogen und durch die Spam beschädigt werden. Darüber sollte sich jeder klar sein, der irgendwie von den aktuellen Angriffen betroffen oder auch nur genervt ist. Diesen Spammern sind die wirtschaftlichen Folgen ihres kriminellen Handelns völlig egal; sie könnten jeden beliebten Namen, jedes erfolgreiche Warenzeichen, jede bekannte Firmierung für ihre Zwecke missbrauchen.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.