Als wenn es nicht genug PayPal-Phishing gäbe, ist heute noch ein besonders hilfloser Versuch mit dem Betreff „Resolution Center“ in meinem Postfach eingetrudelt:

Please visit the resolution center located here

https://www.paypal.com/cgi-bin/webscr?cmd=_login-run_res

to verify your identity and avoid the blocking of your account

Überflüssig zu erwähnen, dass es sich hier um eine HTML-Mail handelt und dass der Link nicht etwa zu der angegebenen URL, sondern auf den Server funlux.be führt. Von dort aus wird auf eine Seite auf dem Server 24.244.134.6 (nur mit IP-Adresse, die sich gewiss häufiger ändern wird) umgeleitet, wo man eine flott gespiegelte PayPal-Seite zu Gesicht bekommt. Ein Screenshot des Phishing-Versuches ist auf der linken Seite zu sehen, mit einem Klick sieht man den Betrug in seiner ganzen Pracht.

Wer hier seine Daten eingibt, hat verloren. Zunächst hat er den Verstand verloren, weil er überhaupt auf die Idee gekommen ist, auf eine derart dürftige Mail hin wie ein dressierter Hund auf einen Link zu klicken und die dargestellte Seite auch noch für echt zu halten. Und als nächstes wird er jede Menge Geld verlieren, wenn irgendwelche Kriminellen sein Konto plündern.

Wie billig dieser Beschiss durchgeführt ist, zeigt sich jedem, der auf dieser angeblichen „PayPal-Seite“ ein paar Links klickt – alle Links führen wieder auf die Startseite. Die einzige Bedienungsmöglichkeit besteht in der Eingabe der Mailadresse und des Passwortes. Wer diese Phishing-Spam erhalten hat, sollte sich – genau wie ich – in aller Ruhe den Spaß machen, ein paar Phantasie-Mailadressen und -(S)passwörter einzugeben, um den Verbrechern das Leben etwas zu erschweren. Man erhält denn eine Möglichkeit zur „Bestätigung seiner Identität“, die so aussieht wie das Bildchen auf der linken Seite dieses Absatzes. (Für volle Größe einfach darauf klicken.) Dass die Identität mit Passwort und Mailadresse preisgegeben wurde, reicht diesen besonders gierigen Verbrechern nämlich noch nicht, sie wollen darüber hinaus auch noch die Daten der Kreditkarte einschließlich einer PIN haben.

Es scheinen jeden Tag ein paar Unerfahrene aufzustehen, die erst noch ihr Lehrgeld zahlen müssen. Nur deshalb „lohnt“ sich diese Art Verbrechen so sehr. Ich hoffe, dass einige Leser dieser Beschreibung etwas vorsichtiger werden. Es ist schon viel gewonnen, wenn jeder Mensch jeder Mail misstraut und nicht leichtfertig auf einen Link klickt, vor allem, wenn es um Geld geht. Dass man die Internet-Adressen einer Bank oder eines anderen wichtigen Dienstes immer von Hand eingibt, bewahrt einem vor den meisten plumpen Angriffen. (Aber noch nicht vor wirklich ausgefeilten Attacken.)

Heute muss der große Tag des Phishings sein. Zwei kriminelle Mails mit verdammt ähnlichem Anliegen. Sie sehen beide wie Phishing-Versuche aus, es handelt sich aber „nur“ ein Mal um klassisches Phishing, der zweite Versuch will den Rechner mit Schadsoftware übernehmen. Aber beide Attacken erwecken den Eindruck, dass sie ein paar Opfer finden könnten.

PayPal-Phishing

Ich fange mal mit dem schlecht gemachten Phishing an, nämlich mit der „hinzugefügten Adresse bei PayPal“.

You have added [… verlinkte Mailadresse von mir entfernt] as a new e-mail address for your PayPal account.

If you did not authorize this change or if you need assistance with your account, please Click Here [… Link auf „Click Here“ von mir entfernt] to contact PayPal customer service.

Thank you for using PayPal
The PayPal Team

Please do not reply to this e-mail. Mail sent to this address cannot be answered. For assistance, log in to your PayPal account and choose the „Help“ link in the header of any page.

Alarm! Von Geisterhand hat sich eine neue Mailadresse an das PayPal-Konto gehängt, das schafft genau jene Panik, die zu unvernünftigen Verhalten führt. Genau das, was ein Internet-Betrüger braucht.

Beide im Zitat entfernten Links gehen auf eine URL mit rumänischer Domain, so dass eigentlich jedem klar sein sollte, dass es sich nicht um PayPal handelt. Aber wer gerade von blankem Entsetzen gelähmt ist, bemerkt so etwas nicht unbedingt. Selbst die verlinkte Mailadresse öffnet die Website. Was den Empfänger dort erwartet, habe ich mir nicht angeschaut, aber es ist davon auszugehen, dass hier das Passwort abgegriffen werden soll, um das Konto bequem plündern zu können. Man kann sich mit einem Klick und ein paar dummen Eingaben leicht um mehrere tausend Euro schädigen lassen.

Es ist natürlich klar, dass jede Antwort bei einer Mail mit gefälschter Absenderadresse völlig sinnlos ist. Und dass in diesem Zusammenhang auf die Hilfetexte der PayPal-Site verwiesen wird, gibt dem kriminellen Versuch einen recht seriösen Anstrich.

Übrigens nutze ich auch manchmal (eher sehr selten) PayPal. Ich habe dafür eine ganz eigene Mailadresse, die ich ausschließlich für diesen einen Zweck nutze. Deshalb steht diese Mailadresse auch nicht auf den Adresslisten der Spammer, und bei mir kommt nicht gleich „Alarmstimmung“ auf, wenn ich solche Phishing-Mails an meine „Adresse für normale Kommunikation“ kriege. Diese simple Vorgehensweise kann ich jedem Menschen nur empfehlen, sie schont wirklich die Nerven. Leider geht einem die Spam trotzdem tierisch auf die Eier.

EBay-Schwindel

Nicht nur „PayPal“ will mir eine Änderung meiner Mailadresse mitteilen, auch EBay hält sich nicht zurück. Es gibt diese Mails (bei mir sind in den letzten 30 Minuten drei Stück eingetroffen) mit zwei verschiedenen Betreffzeilen, nämlich „Hinweis zu geanderter E-Mail-Adresse Ebay“ und „Ihre Ebay E-Mail wurde geandert“. Der Text ist aber in beiden Fällen identisch, auch der im Folgenden beschriebene Fehler in dieser kriminellen Spam ist identisch.

Ich halte diesen Angriffsversuch für recht gefährlich. Er richtet sich speziell gegen deutsche EBay-Nutzer. Die Mails kommen in fehlerfreiem Deutsch und enthalten korrekt gesetzte, erläuternde Links auf die EBay-Website, so dass man zunächst keinen Verdacht schöpft, wenn man nicht gerade gewisse Vorkehrungen getroffen hat. (Es empfiehlt sich generell, für empfindliche Dienste eine eigene Mailadresse zu haben, die niemals an anderer Stelle angegeben wird.) Die gefälschte Absenderadresse presse@ebay.de wirkt zwar etwas merkwürdig, aber das wird vielen Empfängern zunächst gar nicht auffallen, da sie mit ihrer beklemmenden und vernunftverhindernden Panik beschäftigt sind.

In den folgenden Zitaten wurden die Hervorhebungen aus der Mail übernommen. Die Spam enthält keine Links außer den zitierten Verweisen auf die EBay-Homepage.

eBay-Hinweis zu geänderter E-Mail-Adresse
Hallo sehr geehrter Ebay Mitglied,

Vielen Dank für Ihren Antrag auf Änderung Ihrer E-Mail-Adresse. Anleitungen zur Durchführung der Änderung wurden an Ihre neue E-Mail-Adresse gesendet.

Ein sehr geschickter Einstieg für eine kriminelle Mail. Der normale Nutzer wird gewiss hoch alarmiert sein und befürchten, dass sein Zugang „gehackt“ wurde; der Text, dass die Anleitungen an die „neue Adresse“ geschickt wurden, löst auf diesem Hintergrund das blanke Entsetzen aus. Da versteht ein fürchterliches Arschloch von Verbrecher wirklich etwas von Psychologie.

Dabei hat jedes stümperhaft programmierte Webforum Mechanismen, die einen Wechsel der Mailadresse gar nicht so leicht machen – dafür muss nämlich die alte Mailadresse und das Passwort bekannt sein. Ich weiß nicht genau, wie EBay vorgeht, aber ich halte es für sehr unwahrscheinlich, dass einfach mit sofortiger Wirkung alles über die neue Adresse gehen wird, während die alte Mailadresse so einen lakonischen Hinweis bekommt. Auch wird EBay eine viel persönlichere und bessere Anrede als „sehr geehrtes Ebay-Mitglied“ in seinen technischen Mails haben. Es besteht also kein Grund zur Beunruhigung, und schon gar kein Grund, der folgenden Aufforderung Folge zu leisten:

Wenn Sie diese Änderung nicht vorgenommen haben, fragen Sie bitte zuerst Familienmitglieder und andere Personen, die evtl. Zugang zu Ihrem Mitgliedskonto haben. Wenn Sie glauben, dass eine nicht autorisierte Person Ihre E-Mail-Adresse geändert hat dann führen Sie sofort Schritte aus die in dem beigelegtem Dokument beschrieben sind!

Vielen Dank,
eBay

Nun, jetzt zum oben schon angekündigten Fehler in dieser Spam: Das beigelegte Dokument existiert nicht, offenbar haben die kriminellen Spammer bei der Programmierung ihres Skriptes gepatzt. Dieser peinliche Fehler wird aber gewiss bald korrigiert sein, und dann wird es ein beigelegtes „Dokument“ geben. Dieses „Dokument“ wird den eigenen Rechner in einen Computer anderer Leute verwandeln, der zum Spammen, und für die Verbreitung illegaler Inhalte missbraucht und darüber hinaus vollkommen ausspioniert wird, um weitere Verbrechen begehen zu können.

Wie die genaue technische Durchführung des Angriffes sein wird, lässt sich wegen des dummen und peinlichen Fehlers der Cracker noch nicht absehen. Aber um was es in diesem Angriff geht, ist auch so klar. Dass hier sehr exklusiv der „deutsche Markt“ bearbeitet wird, ist allerdings eher ungewöhnlich.

Man kann es nicht oft genug sagen: Niemals einen Mailanhang öffnen, der überraschend von einem Fremden kommt, selbst wenn dieser Fremde vorgibt, eine Bank, ein Internet-Dienst oder sonstwas zu sein! Eine Mail mit falschem Absender zu versenden, schafft jeder achtjährige, in der Nase popelnde Nachwuchshacker. Und auch bei einem wirklichen Bekannten sollte man sehr vorsichtig sein, da sich Absenderadressen fälschen und Adressbücher ausspionieren lassen. Im Zweifelsfall anrufen und nachfragen, ob die Mail echt ist. Dieses bisschen Vorsicht kann einem den Tag retten.

Wie ich schon sagte, wirkt die gefälschte EBay-Mail sehr überzeugend. Sie enthält Verweise auf allgemeine Hinweise der EBay-Website:

Wenn Sie Fragen zu den eBays-Grundsätzen haben, lesen Sie bitte unsere Datenschutzerklärung und die Allgemeinen Geschäftsbedingungen.
Datenschutzerklärung:
http://pages.ebay.de/help/policies/privacy-policy.html

Allgemeine Geschäftsbedingungen:
http://pages.ebay.de/help/policies/user-agreement.html

Copyright 2006 eBay Inc. Alle Rechte vorbehalten.
Die genannten Marken sind das Eigentum ihrer jeweiligen Inhaber.
eBay und das eBay-Logo sind eingetragene Marken bzw. Marken von eBay Inc.

Wer sich von solchen, eher unbewusst wahr genommenen Kleinigkeiten blenden lässt und nicht in jeder Situation seinen Verstand benutzt, der wird Kriminellen auf dem Leim gehen und den Schaden davon haben.

Einen kleinen Fehler haben die Spam-Verbrecher hier aber doch gemacht. Sie haben auf das Urheberrecht für das EBay-Logo verwiesen, das in der Mail gar nicht verwendet wird. Hier zeigt sich die allzu stümperhafte Verwendung der Zwischenablage, um schnell einen guten Betrugstext aus der EBay-Website zu machen. Auch der folgende Hinweis, dass man diese Mail nicht beantworten sollte, dürfte aus einer Original-Mail von EBay kopiert worden sein:

Bitte beachten Sie, dass es sich bei dieser E-Mail um eine vom System versendete Mitteilung handelt. Eine Antwort auf diese E-Mail über die Antwortfunktion Ihres Mail Programms ist daher nicht möglich. Bei Fragen an unseren Kundenservice klicken Sie bitte auf den folgenden Link oder kopieren Sie ihn in Ihren Browser:
http://pages.ebay.de/help/basics/select-support.html

Kurz: Es ist eine sehr gefährliche Attacke, gezielt ausgeführt auf Rechner im deutschen Sprachraum. Dass bei der ersten Welle wegen der Unfähigkeit der Spammer kein Anhang dabei war, ist wahrscheinlich ein großer Glücksfall.

Abschließende Bemerkungen

Ich habe nicht viel Gutes über EBay und PayPal zu sagen, aber kriminelle Spammer sind das nicht. Ganz im Gegenteil, diese Unternehmen sind momentan selbst Opfer von kriminellen Spammern, da ihre Namen und Marken mit solchen Aktionen in den Dreck gezogen und durch die Spam beschädigt werden. Darüber sollte sich jeder klar sein, der irgendwie von den aktuellen Angriffen betroffen oder auch nur genervt ist. Diesen Spammern sind die wirtschaftlichen Folgen ihres kriminellen Handelns völlig egal; sie könnten jeden beliebten Namen, jedes erfolgreiche Warenzeichen, jede bekannte Firmierung für ihre Zwecke missbrauchen.

Oh, die „Sparkasse“ schreibt mir mal wieder, obwohl ich bei denen doch gar kein Kunde bin. Was die wohl wieder schreiben? (Für eine Ansicht in Originalgröße auf das Bild klicken)

Na sowas. Die schreiben ja bei der „Sparkasse“ jetzt ihre „Nachrichten“ gar nicht mehr als Text, sondern in einer Grafik. Natürlich ist die Grafik verlinkt, aber nicht mit der im scheinbaren Text angegeben URL, sondern mit einer ellenlangen URL auf der Domain syopo.tk. Das hat den Vorteil, dass man beim Klicken auch nicht unbedingt den Link treffen muss, um betrogen zu werden. Die ist ja richtig international geworden, diese „Sparkasse“, die inzwischen schon „ihr“ Online-Banking auf türkischen Webservern betreibt. 😆

Es muss sich ja wohl um die „Sparkasse“ handeln. Das zeigt sich an der (natürlich gefälschten) Absenderadresse, am verwendeten Logo der Sparkasse und am im Text verwendeten, äußerst stilsicheren Deutsch.

Das Verfahren der Bestätigung der Informationen über den Kunden.
Persönliches und Business-Banking

Sehr gelungen ausgedrückt, dieses Verfahren der Abgreifung der Informationen über die Empfänger. So richtig gutes Deutsch, ganz, wie man es von einer Sparkasse erwarten würde.

Sehr geehrte Benutzer,

Die Abteilung der technischen Unterstützung Sparkasse hat die eingeplante Modernisierung der Software für Verbesserung der Qualität der Bedienung unserer Kunden erfüllt. Wir bitten Sie so schnell wie möglich, an den Link nieder zu klicken, um Ihre Bankdaten zu bestätigen:

Klar, ihr auf Phishing hereinfallenden Deppen: Klickt euch an den Link nieder, aber schnell! Wir wollen eure Daten. Das ist nämlich die Qualität der Bedienung unserer Kunden.

Solche Instruktion ist allen Kunden Sparkasse abgesandt.

Und nicht das ist Instruktiert, auch Blogger Spam empfangen Kunden Mail von mir. Deshalb auch ich allen Lesern bloggend zugestellt Beispiel von Grotte schlechtes Phishing.

Wir bitten Sie um Verzeihung für die entstandenen Unbequemlichkeiten und danken Ihnen für Ihre Zusammenarbeit

Wenn wir erstmal Ihr Konto abgeräumt haben, nachdem Sie uns die dafür benötigten Daten gegeben haben, werden wir noch viel dankbarer. Aber das werden wir Ihnen nicht mehr mitteilen.

Und damit unsere inhaltlich nur aus einem Bild bestehende Mail auch sicher durch die Spamfilter geht, hängen wir noch etwas Text dran. Der ist zwar weder deutsch noch besonders sinnvoll, aber wer wie ein dressierter Hund auf den Link in unserer Phishing-Spam klickt, der wird schon nicht runterscrollen, um sich darüber zu wundern.

It will be reached at no very distant date. Can you as an Englishman, tamely contemplate the posssibility of having to live under a German moon? The British flag must be planted there at all hazards. BALSQUITH. My dear Mitchener, the moon is outside practical politics. Id swop it for a cooling station tomorrow with Germany or any other Power sufficiently military in its way of thinking to attach any importance to it. BALSQUITH. Say nobodys enemy but my own. It sounds nicer. You really neednt be so horribly afraid of the other countries. Theyre all in the same fix as we are. Im much more interested in the death rate in Lambeth than in the German fleet. THE ORDERLY. I dont want anything, Governor, thank you. The secretary and president of the Anti-Suffraget League say they had an appointment with the Prime Minister, and that theyve been sent on here from Downing Street. BALSQUITH (going to the table). Quite right. I forgot them. (To Mitchener. ) Would you mind my seeing them here?

Wieso lese ich in diesem automatisch generierten Unsinn eigentlich immer statt BALSQUITH das viel passendere Wort BULLSHIT? Eine Übersetzung dieses wirren Gestammels, das mehr nach simulierter Schizophrenie als nach künstlicher Intelligenz klingt, erspare ich mir – wer ein bisschen Englisch kann, wird diesen Beitrag zur Neuverdrahtung der Gehirne zu würdigen wissen.

Nicht nur die Kunden der Sparkasse sollen abgephished werden. Auch wer bei der Citibank ist, soll die Gelegenheit erhalten, sein Geld an kriminelle, asoziale Subjekte zu verlieren.

Die Phishing-Mail ist genau so aufgebaut wie die aktuellen Mails an Sparkassen-Kunden, auch der Text ist unverändert. Nur das kleine Sparkassen-Logo oben links ist gegen ein Logo der Citibank oben rechts ausgetauscht. Die geben sich nicht einmal ein bisschen Mühe, was sich auch an gewissen grammatikalischen Schwächen zeigt (von mir hervorgehoben):

Die Technischen Abteilung der Citibank Deutschland führt zur Zeit eine vorgesehene Software-Aktualisierung durch […]

Der Link führt diesmal auf die Domain iisik.hk, vielleicht „freut“ man sich auch dort über die fröhliche Eingabe von Phantasiedaten. Je mehr Datenmüll diese Kriminellen haben, desto weniger nützen ihnen die nutzbaren Daten von unerfahrenen Deppen, die auf alles klicken, was sich nur anklicken lässt.

Dass die Citibank mit diesen Umtrieben überhaupt nichts zu tun hat, sollte klar sein, wird aber zur Sicherheit noch einmal deutlich erwähnt.

Das ist doch genau der richtige Betreff. Vor allem für Menschen wie mich, die gar kein Konto bei irgendeiner Sparkasse haben.

Damit die älteste Phishing-Masche des Internet überhaupt noch eine Chance hat, durch die inzwischen überall laufenden Spamfilter zu kommen, haben die Betrüger darauf „verzichtet“, ihre Mitteilung als Text in der Mail abzulegen.

Stattdessen gibt es eine große, verlinkte Grafik, die allen Empfängern von der „Software-Aktualisierung“ bei „der“ Sparkasse berichtet und freundlich darum bittet, doch einmal auf den Link zu klicken und dort den Betrügern die Möglichkeiten zu geben, das Konto abzuräumen. Sollte man dabei den „Link“ verfehlen, ist das gar kein Problem, da ja die ganze Grafik verlinkt ist – das sieht man übrigens gut an der Formänderung des Mauszeigers. Wenn diese Schwachköpfe eine Image-Map verwendet hätten, wäre der Beschiss doch gleich ein bisschen unauffälliger gewesen. Aber so viel Achtung vor ihren potenziellen Opfern haben die nicht. Brauchen sie auch nicht zu haben, da offensichtlich immer noch genug Deppen auf diese Masche hereinfallen.

Dass die in der Grafik angegebenene URL nicht stimmt, sollte klar sein. Stattdessen führt der Link auf die Domain maslis.com – allerdings haben sich die Phisher schon eine gewisse Mühe gegeben, die wirkliche Domain zu verstecken. Die ersten Zeichen haben noch viel Ähnlichkeit mit dem angegebenen Link.

Wer mag, kann da ja mal vorbeischauen und Phantasiedaten eingeben. Darüber freuen sich die Spammer bestimmt.

Da der Trick mit dem Text in der Grafik scheinbar noch nicht reicht, um sicher durch die Spamfilter zu kommen, haben die Arschlöcher noch etwas „richtigen Text“ unter die Mail geklemmt. Dieser „richtige“ Text steht da in englischer Sprache und einer Länge von ca. 140 Wörtern sinn- und kontextlos unter der angeblichen Sparkassenmitteilung und schafft dort einen weiteren, wertvollen Eindruck von der kriminellen Energie der Phisher. Es ist davon auszugehen, dass dort jedes Mal ein anderer Text steht. Meiner begann übrigens mit den Worten:

I was bringing you champagne, wasn’t I? carol collectible And I‘ll make sure you get your pain medication right on time.

Das passt. Ich habe mir gerade eine Paracetamol geworfen… 😆