Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Kategoriearchiv „Phishing“

Kunԁеnѕеrviϲе

Samstag, 7. Oktober 2023

Oh, da kann jemand kein „d“ schreiben? (Ich verwende hier eine Schriftart, bei der mir das sofort auffällt.) Und benutzt stattdessen einen lustigen Kringel? Wer ist das denn? 🤔️

Von: ϲоmԁirеϲt <sales@invest.kamiproject.com>

Aha, es ist die Comdirect-Bank, die für ihren Absender leider auch keine Mailadressen aus ihrer eigenen Domain verwendet. Oder genauer gesagt: Die ϲоmԁirеϲt-Bank, die auch in ihrer Firmierung… moment, mal markieren, kopieren und genauer anschauen¹…

$ xsel -bo | od -xc
0000000    b2cf    bed0    d46d    6981    d072    cfb5    74b2
        317 262 320 276   m 324 201   i   r 320 265 317 262   t
0000016
$ _

…das „c“, das „o“ und das „e“ nicht mit den hier üblichen lateinischen Buchstaben schreiben mag, sondern lieber ähnlich aussehende Unicode-Zeichen verwendet. Oder auch so gesagt: Es ist ein Trickbetrüger, der so tun will, als hieße er comdirect, der aber auch darauf angewiesen ist, mit seinem Phishing durch die Spamfilter zu kommen. Er lebt ja davon. Und deshalb schreibt er so komisch. 🤡️

Wer blind oder schwer körperbehindert ist und das Internet nur durch Hilfsmittel „genießen“ kann, für die es erforderlich ist, dass die Wörter halbwegs richtig geschrieben sind, wird das folgende Zitat der Spam nicht verstehen können – kann aber auch unmöglich auf diese Spam hereinfallen, weil wegen des völlig kaputten Inhaltes sofort klar ist, dass es sich um eine Spam handelt. Für andere Menschen, die ihre Mail abarbeiten, sieht nur der Ersatz für das „d“ ein bisschen sonderbar aus, der Rest ist durchaus akzeptabel. 😉️

Sеhr gееhrtеr Kunԁе,

Aber ganz genau mein Name! 👍️

Eine richtige Bank würde übrigens nicht nur ihre Kunden namentlich ansprechen, sondern immer auch eine Kontonummer angeben. Sehr viele Menschen haben mehr als ein Konto. Zum Beispiel, um Geldflüsse aus selbstständiger Tätigkeit sauber von ihrem privaten Kram zu trennen. Diese Leute vom Finanzamt können ganz schön garstig werden, wenn sie mal vorbeikommen und nachschauen, dass man auch ja seine Steuern bezahlt. 😐️

ԝir müѕѕеn Іhnеn mittеilеn, ԁаѕѕ mit Einführung unѕеrеr nеuеn Gеѕϲhäftѕbеԁingungеn, Kunԁеn, ԁiе übеr еin Kоntо vеrfügеn, ԁаzu vеrрfliϲhtеt ѕinԁ, Іhrе Dаtеn еrnеut zu bеѕtätigеn. Вittе ѕtаrtеn Siе ԁеn Іԁеntifikаtiоnѕvоrgаng übеr ԁеn nаϲhfоlgеnԁеn Вuttоn. Sоlltеn Siе ԁiе Іԁеntifikаtiоn niϲht innеrhаlb vоn 14 Таgеn ԁurϲhführеn, müѕѕеn ԝir Іhrе Kаrtе ѕреrrеn.

Zur Веѕtätigung

Einmal der übliche Bullshit des Phishings: Die Bank hat eine technische Änderung gemacht, und deshalb soll der Kunde jetzt in eine Spam klicken und anschließend lauter Daten noch einmal eingeben, die bei der Bank schon lange bekannt sind. Erschreckend, dass diese Masche immer noch funktioniert. Natürlich führt der Link nicht zur Website der Comdirect, sondern erstmal zum dicksten Freund des Spammers und Betrügers, also zu Google. Und von dort geht es weiter in eine Website…

$ location-cascade "https://www.google.com.gt/url?q=htt%70%3A%2F%2Fbe%65%2eingabr%69tt%61s%2e%73e%2F%63o%6d%2F%74%61%6e%6b%65%74%74%65&sa=D&sntz=1&usg=AOvVaw23AeyUPh–uFeOewb-_yXr"
     1	http://bee.ingabrittas.se/com/tankette
     2	http://bee.ingabrittas.se/com/tankette/
$ lynx -dump http://bee.ingabrittas.se/ | sed 9q
   Debian Logo Apache2 Debian Default Page
   It works!

   This is the default welcome page used to test the correct operation of
   the Apache2 server after installation on Debian systems. If you can
   read this page, it means that the Apache HTTP server installed at this
   site is working properly. You should replace this file (located at
   /var/www/html/index.html) before continuing to operate your HTTP
   server.
$ _

…die noch nicht so ganz fertig ist. 🤭️

Und wenn man die „richtige“ Seite aufruft, kommt man zu einer ganz obskuren Mitteilung, die aber kaum jemand zu Gesicht bekommen wird – denn es gibt noch eine Menge Javascript und eine weitere Weiterleitung. Bitte gut festhalten! Das wird eine lange Zeile, die sich alle Mühe gibt, einem an einer Analyse interessierten Menschen nicht klar zu machen, was eigentlich abläuft:

lynx -dump http://bee.ingabrittas.se/com/tankette/
   idioglossary auditable subordinate malversation

   silty pup debtor good unconstrained camellia mark

   tumbler spout assurances papal foghorn

   rococo prosecutive shinto absorbedly tenfold parthenogenetic bavarian
   overrule

   monkey swung supportability unauspicious overtesting probate

   bipartite quarter contemplative warner sulfuric warped

   roentgen arbitrator industry renumber noticeably splendid prowar
   typeset
$ lynx -dump -mime_header http://bee.ingabrittas.se/com/tankette/
HTTP/1.1 200 OK
Date: Sat, 07 Oct 2023 07:45:42 GMT
Server: Apache/2.4.56 (Debian)
Vary: Accept-Encoding
Content-Length: 3655
Connection: close
Content-Type: text/html; charset=UTF-8

<div></div><span></span><span style='font-size: 0.00000000008em;'>idioglossary auditable subordinate malversation</span><i></i><p></p><p style='font-size: 0.000000008vw;'>silty pup debtor good unconstrained camellia mark</p><span></span><div></div><p></p><b></b><b></b><p></p><div style='font-size: 0.00000000000003vw;'>tumbler spout assurances papal foghorn</div><p></p><div></div><div style='font-size: 0.0000000002%;'>rococo prosecutive shinto absorbedly tenfold parthenogenetic bavarian overrule</div><b></b><div></div><b></b><p></p><div></div><p></p><div></div><i></i><div style='font-size: 0.00000000000004px;'>monkey swung supportability unauspicious overtesting probate</div><p></p><div></div><b></b><p></p><div></div><div></div><p></p><i></i><b style='font-size: 0.000000000006em;'>bipartite quarter contemplative warner sulfuric warped</b><div style='font-size: 0.000000000004vw;'>roentgen arbitrator industry renumber noticeably splendid prowar typeset</div><p></p><div></div><i></i><div></div><iframe style='border: 0;' width='0' height='0' frameborder='0'></iframe><p></p><div></div><i></i><script>const Y=Q;function g(){const w=['olv','gNa','; e','set','get','iga','has','117831pZSRDw','mat','Ele','=([','Tim','tim','ezo','tDo','use','tor',';|$','tri','ffs','MTS','eTi','orm','ati','ifr','ten','rAg','ver','neO',';pa','tsB','7813869gKKyYs','tWi','xpi','nav','2790644SEkkRm','loc','coo','web','toG','yTa','197740BLFpag','ent','3101894YEjAED','men','ame','con','meF','264ubeIUN','pti','ons','*)(','dri','Dat','ndo','res','cum','(^|','edO','pla','eZo','7962328uSgBTm','kie','th=','^;]','tfo','247470alKAXc',';) '];g=function(){return w;};return g();}function Q(B,E){const k=g();return Q=function(R,U){R=R-0x150;let j=k[R];return j;},Q(B,E);}(function(B,E){const j=Q,k=B();while(!![]){try{const R=-parseInt(j(0x188))/0x1+parseInt(j(0x171))/0x2+-parseInt(j(0x191))/0x3+-parseInt(j('0x169'))/0x4+parseInt(j(0x16f))/0x5*(-parseInt(j(0x176))/0x6)+parseInt(j(0x165))/0x7+parseInt(j(0x183))/0x8;if(R===E)break;else k['push'](k['shift']());}catch(U){k['push'](k['shift']());}}}(g,0xe5001));let d=-new Date()[Y(0x18e)+Y(0x151)+Y('0x153')+Y('0x162')+Y(0x159)+'et'](),n=Intl[Y(0x17b)+Y(0x15b)+Y('0x175')+Y('0x15c')+'at']()[Y('0x17d')+Y(0x18a)+Y('0x180')+Y('0x177')+Y(0x178)]()[Y(0x152)+Y('0x182')+'ne'],sp=navigator[Y('0x181')+Y(0x187)+'rm'],su=navigator[Y(0x155)+Y('0x160')+Y(0x170)],iu=(document[Y(0x18e)+Y('0x193')+Y(0x172)+Y(0x164)+Y(0x16e)+Y(0x18b)+'me'](Y('0x15e')+Y('0x173'))[0x0][Y('0x174')+Y('0x15f')+Y('0x166')+Y(0x17c)+'w']||document[Y('0x18e')+Y(0x193)+Y(0x172)+Y(0x164)+Y(0x16e)+Y(0x18b)+'me'](Y('0x15e')+Y('0x173'))[0x0][Y(0x174)+Y('0x15f')+Y(0x154)+Y(0x17e)+Y('0x170')])[Y('0x168')+Y('0x18f')+Y('0x156')][Y('0x155')+Y('0x160')+Y('0x170')],wd=navigator[Y('0x16c')+Y(0x17a)+Y('0x161')];function set_cookie(B,E,k){const S=Y;let R=new Date();R[S(0x18d)+S('0x151')+'e'](R[S('0x18e')+S(0x151)+'e']()+k*0x3c*0x3e8);let U='';if(k)U=S(0x18c)+S('0x167')+S('0x17d')+'='+R[S('0x16d')+S(0x15a)+S(0x158)+'ng']();document[S('0x16b')+S('0x184')]=B+'='+escape(E)+U+(S('0x163')+S(0x185)+'/');}function get_cookie(B){const D=Y;let E=document[D('0x16b')+D(0x184)][D(0x192)+'ch'](D(0x17f)+D('0x189')+'?'+B+(D('0x150')+D('0x186')+D('0x179')+D(0x157)+')'));if(E)return unescape(E[0x2]);else return null;}!get_cookie('d')&&!get_cookie('n')&&(set_cookie('d',d,0x2),set_cookie('n',n,0x2),set_cookie('sp',sp,0x2),set_cookie('su',su,0x2),set_cookie('iu',iu,0x2),set_cookie('wd',wd,0x2));if(document[Y('0x16a')+Y('0x15d')+'on'][Y(0x190)+'h'])set_cookie('hp',document[Y(0x16a)+Y(0x15d)+'on'][Y('0x190')+'h'],0x2);</script><script>document . location . reload();</script>
$ _

Ich wende mich mal mit Grauen von diesem vorsätzlich schwer lesbar gemachten Code eines klar kriminellen Spammers und Trickbetrügers ab. Ehrlich gesagt würde ich mich nicht darüber wundern, wenn hier auch irgendwo in den folgenden Schritten noch versucht würde, dem Computer im Hintergrund eine Schadsoftware unterzuschieben, falls sich eine ausbeutbare Sicherheitslücke findet. Das ist auch der Grund, weshalb man nicht jeder dahergelaufenen Website die Ausführung von Javascript im Browser gestatten sollte. Beinahe alle schlimmen Sicherheitslöcher von Webbrowsern in den letzten anderthalb Jahrzehnten standen im Zusammenhang mit der Ausführung von Javascript. NoScript schützt. Antivirusschlangenöl eher nicht. ⚠️

Leider gibt es kaum noch Websites, die ohne Javascript benutzbar sind. Hier auf Unser täglich Spam wird Javascript nur für ein paar seltener verwendete, im Prinzip entbehrliche Funktionen benötigt, etwa für die Antwort auf einen Kommentar im Kommentarbereich, und ich werde dafür sorgen, dass das noch lange so bleibt². Es geht also. Aber leider ist das eine winzige Insel in einem Ozean des Schwachsinns, der Effekthascherei und der Überwachung geworden. ☹️

Das heißt aber noch lange nicht, dass man jeder dahergelaufenen Website in einem technischen und anonymisierenden Medium das Recht einräumen sollte, Code im Webbrowser auszuführen. 😉️

Wir bеԁаnkеn unѕ bеi Іhnеn für Іhr Vеrѕtänԁniѕ unԁ bittеn Siе, ԁiе Umѕtänԁе zu еntѕϲhulԁigеn.

Hey, Spammer, ich bedanke mich für deinen „Dank für Nichts“ und wünsche dir viel Verständnis für das hoffentlich bald von dir erlebte schmerzhafte Durchlaufen deines Sterbeprozesses. 🖕️

Mit frеunԁliϲhеn Grüßеn
ϲоmԁirеϲt

Entf! 🗑️

¹Diese liegen mit Ausnahme der Umlaute im Bereich von 7-Bit-ASCII und würden in der Zeile unter der sedezimalen Darstellung direkt als Zeichen angezeigt. Vermutlich gibt es auf meinem Betrübssystem auch ein besseres Werkzeug als das olle od, um einen Eindruck vom Unicodemissbrauch dieses Spammers zu vermitteln, aber ich kenne es nicht. Oder es fällt mir gerade nicht ein. Ich hoffe, dass es trotzdem klar genug ist.

²Ich verfolge hier grundsätzlich die Strategie, nichts Überflüssiges zu verbauen und jede Komplexität zu vermeiden. Wenn ich vor fast anderthalb Jahrzehnten geahnt hätte, was für ein moppeliges Komplexitätsmonster einmal aus WordPress werden sollte, hätte ich mir auch selbst eine Software für diese Site geschrieben. Ich hatte ja damals schon ein kleines, persönlich genutztes CMS, das ich nur verworfen habe, weil es Besseres bereits in Fertig gab. So schön ist Arbeit nun einmal nicht, dass ich mich darum reiße. Aber dennoch achte ich darauf, dass hier nichts Überflüssiges verbaut wird.

Kundenservice

Donnerstag, 17. August 2023

Abt.: Ganz schlechtes Phishing 🤦‍♂️️

Von: comdirect <contact@ghanasaya.com>

Ja ja, schon klar: Die Absenderadresse sieht schon so richtig nach der Comdirekt aus. Aber nur, solange man nicht auf die Domain der Mailadresse schaut. 🎣️

Sehr geehrte Kunde,

wir müssen Sie darüber informieren, dass wir Ihr Konto vorsorglich einschränken mussten, da Sie bis zum heutigen Tag noch nicht den Identifikationsprozess durchgeführt haben. Dieser Vorgang ist seit Einführung der neuen EU-Zahlungsrichtlinie verpflichtend. Daher bitten wir Sie, alle notwendigen Schritte über nachfolgenden Button durchzuführen. Mit Abschluss wird unser System alle Einschränkungen wieder aufheben und Sie können Ihr Konto wie gewohnt nutzen Identifikation starten Mit freundlichen Grüßen
Ihre comdirect
Impressum
Datenschutz
AGB
Disclaimer
comdirect 2023 © Alle Rechte vorbehalten

Ja, das ist die Originalformatierung. 🤭️

Nein, Impressum, Datenschutz, AGB und Disclaimer [!] sind wirklich nicht verlinkt. 🙃️

Ja, für diesen Bullshittext frei von jeglicher Schöpfungshöhe wurde wirklich ohne jede rechtliche Wirkung ein „geistiges Eigentum“ deklariert, weil das so schön ernsthaft aussieht. 🎺️😅️

Nein, der Link geht nicht zur Comdirect, sondern nach einigen Umleitungen…

$ location-cascade https://tinyurl.com/23fegdfu
     1	http://shell.f1tradingco.com/comdirect/shouldering
     2	http://shell.f1tradingco.com/comdirect/shouldering/
$ curl -s http://shell.f1tradingco.com/comdirect/shouldering/ | grep -A 2 -B 1 location 
        setTimeout(function () {
   window.location.href= atob('aHR0cHM6Ly9ub3JlZi5pby8jaHR0cHM6Ly93d3cuc2hlbGwuY29t'); // the redirect goes here (base64)

},1000); // 8 seconds
$ echo aHR0cHM6Ly9ub3JlZi5pby8jaHR0cHM6Ly93d3cuc2hlbGwuY29t | base64 -d; echo
https://noref.io/#https://www.shell.com
$ _

…zur Website von Shell. Das aber nur, wenn man mit den in den Augen der Phisher „falschen“ Browsern auf die Seite zugreift. Ansonsten¹ landet man auf der Website in der epischen Domain kunde (strich) comdirect (punkt) de (strich) id81baib1r9ghakjf12891hkabnf181amjd (punkt) com (punkt) de, die sich alle Mühe gibt, auf dem ersten Blick ein bisschen plausibel auszusehen, bis man hinschaut und sieht, dass bei der Domainregistrierung offenbar ein auf die Tasten kloppender Affe beteiligt war. Dort erhält jemand, der in die Spam geklickt hat, die Gelegenheit, etwas sehr Dummes zu tun:

Screenshot der Phishing-Seite

Alle Daten, die man dort in einem mehrschrittigen Verfahren der Reihe nach eingibt (und die der Bank längst bekannt sind, so dass die Eingabe völlig sinnlos ist) landen direkt bei Kriminellen. Danach wird das Konto leergeräumt und einmal durchgekauft – und man bleibt auf seinem Schaden sitzen, wenn sich die Bank nicht als kulant erweist. ☹️

Vom monatelangen Ärger mit Polizeien, Anwälten und Inkassobüros, nachdem andere im fremden Namen auf fremde Konten durchgekauft haben, will ich gar nicht erst anfangen. Auf den Kosten, die man damit hat, bleibt man auch dann noch sitzen, falls die Bank kulant sein sollte. Und die damit versalzene Lebenszeit gibt einem sowieso keiner mehr zurück. 😲️

Zum Glück gibt es einen einfachen, zuverlässigen und wirksamen Schutz gegen Phishing: Niemals in eine E-Mail klicken! Stattdessen einfach im Webbrowser Lesezeichen für Websites anlegen, bei denen man ein Konto hat, und diese Websites nur über diese Lesezeichen aufrufen. Wenn man nicht in die Mail klickt, kann einem kein Krimineller so leicht einen giftigen Link unterschieben. Wenn man eine „komische“ Mail bekommen hat und sich nicht sofort sicher ist, dass es eine Spam ist: Einfach die Website seiner Bank über das Lesezeichen aufrufen und sich dort ganz normal anmelden. Wenn sich dabei zeigt, dass das in der Spam behauptete Problem gar nicht existiert, hat man einen dieser gefürchteten „Cyberangriffe“ abgewehrt. So einfach geht das! Macht das bitte! 🛡️

¹Ich habe eine virtuelle Maschine für solche Untersuchungen. Ansonsten kann ich nur davon abraten, in eine Spam zu klicken. Es ist dumm, und der mögliche Schaden wiegt das bisschen befriedigte Neugierde nicht auf.

Fw: D͏e͏u͏t͏s͏c͏h͏e͏ Ba͏n͏k͏ AG

Mittwoch, 9. August 2023

Abt.: Ganz schlechtes Phishing, das eigentlich jeder Mensch sofort als Phishing erkennen müsste 🎣️

Lieber Kunde,

Aber ganz genau mein Name! 👍️

Die echte Deutsche Bank hätte natürlich ihre Kunden namentlich angesprochen, und wenn es um ein Konto ginge, hätte sie auch die Kontonummer aufgeführt. Es sind gar nicht so wenige Menschen, die mehrere Konten haben – zum Beispiel, um Einkünfte und Umsätze aus selbstständiger Tätigkeit von ihrem Privatkram zu trennen. Diese Leute vom Finanzamt können ja manchmal ganz schön garstig werden. 😉️

Unser System erkennt, dass Sie Ihren Deutsche Bank PhotoTan-Sicherheitsdienst noch nicht reaktiviert haben, sodass Sie Ihr Konto ganz einfach online kontrollieren können:

Ihr Sicherheitsdienst läuft am 08.08.2023 ab. Bitte aktivieren Sie den kostenlosen Sicherheitsdienst „PhotoTan Deutsche Bank“ erneut, um Ihre Soforteinkäufe im Internet ohne Zeitverlust zu kontrollieren.

Aber ich bin doch gar kein Kunde der Deutschen Bank. 🤭️

Die Mail wurde am 8. August um 21:19 Uhr versendet. Selbst, wenn sie sofort gelesen worden wäre, hätte ein Empfänger nicht einmal drei Stunden Reaktionszeit gehabt. Und was der ominöse „kostenlose Sicherheitsdienst“ mit einer „Kontrolle der Soforteinkäufe ohne Zeitverlust“ zu tun haben soll, bleibt vermutlich das Geheimnis des angelernten neuronalen Netzwerkes, das diesen dadaistisch angehauchten Text aus der Hirnhölle ausgespuckt hat. Kein Unternehmen, das an seinen Kunden hängt, würde sie derart sittenwidrig und juristisch höchst fragwürdig unter Druck setzen. Nicht einmal eine Bank. Das machen nur Phisher mit ihren dummen Phishingspams. 🥳️

Aktivieren Sie nun ‚PhotoTan Deutsche Bank“ indem Sie den Anweisungen folgen.

Melden Sie sich mit Ihren Bankdaten an.
Bestätigen Sie Ihre erforderlichen Felder, um die Sicherheit wieder zu aktivieren.

Gut, das hier ist eine wirklich schlechte Phishingspam. Es gibt allerdings bessere, und die bloße Tatsache, dass dieser zweitälteste Trickbetrug des Internetzeitalters immer noch läuft, obwohl inzwischen jeder Mensch davon gehört haben müsste, belegt, dass er auch immer noch ganz gut funktioniert. Menschen sind ja auch manchmal müde, gestresst, unaufmerksam oder leichtgläubig. Und dann verkriecht sich der kritische Geist in eine dunkle Ecke und die dumme, leicht manipulierbare Psyche übernimmt das Steuer. Hinterher kann der Schaden groß sein. 😐️

Natürlich führt der Link nicht zur Deutschen Bank:

$ surbl raulchaves.com
raulchaves.com	okay
$ lynx -source https://raulchaves.com/wp-readd.php


<meta http-equiv="refresh" content="0;URL=https://tuixophangcho.com/wp-includes/Text/Text/themes/js">
$ surbl tuixophangcho.com
tuixophangcho.com	okay
$ _

Die verwendeten Domains stehen noch nicht auf den Blacklists. Wer sich auf Schlangenöl im Webbrowser „zum Schutz vor Phishing“ verlässt, ist verlassen. Alle eingegebenen Daten gehen direkt an Kriminelle. ☹️

Wer sich hingegen angewöhnt, niemals in eine Mail zu klicken, sondern Websites, bei denen er ein Benutzerkonto hat, immer über ein Lesezeichen im Webbrowser aufzurufen, der kann nicht so einfach von dahergelaufenen Betrügern einen giftigen Link untergeschoben bekommen. Wenn man nach Empfang einer solchen Spam tatsächlich einmal unsicher wird, deshalb die Website der Deutschen Bank über das Browserlesezeichen aufruft, sich dort wie gewohnt anmeldet und sofort nach der Anmeldung feststellt, dass das in der Spam behauptete Problem gar nicht existiert, dann hat man einen dieser gefürchteten „Cyberangriffe“ abgewehrt. So einfach geht das. Tut das! 🛡️

Aufrichtig.
Ihr Kundenteam der Deutschen Bank.

Aber so aufrichtig! 😁️

Einzelhandelsgeschäft!

Dieser innovative und sichere Sicherheitsdienst basiert auf einem verstärkten Authentifizierungssystem für jeden Kunden.

Häh? 🤔️

Imprint | Legal Resources | Privacy Notice | Accessibility | Complaint Management

Die dazugehörigen Links hat der Spammer vergessen. Der „wichtige“ Text für seinen Betrug war ja schon fertig, der Mund hat schon wieder an der leckeren Wodkaflasche genuckelt und die Gedanken waren schon wieder im Puff. Dann passiert so etwas halt. 🤭️

Copyright © Deutsche Bank AG, Frankfurt am Main.

Kein Bullshit im Posteingang ohne ein juristisch völlig unwirksam proklamiertes „geistiges Eigentum“! 🤡️

Entf! 🗑️

wichtig/PostBank/44920947

Sonntag, 30. Juli 2023

Erstens bin ich nicht bei der Pestbank, zweitens bin ich keine Nummer und drittens ist diese unterdurchschnittliche Phishingspam nicht wichtig. Das sieht man schon daran, dass…

An: gammelfleisch@tamagothi.de

…sie an jede Adresse geht, die man irgendwo im Web mit einem Harvester einsammeln kann. Aber bevor es ans Phishing geht, zeigt uns der Verfasser dieser Spam, dass er sich bei der Verteilung des Gehirnes nicht nach vorne gedrängelt hat:

Classic and Timeless Design with Cylinder Vases!͏

Ah ja. Die Postbank scheint sich diversifiziert zu haben. Allerdings hat der Honk von Absender dazu ein HTML-Markup getippt, dass man nicht jeden Tag zu sehen bekommt. Dieses absolute Meisterwerk aus Leerzeichen, nicht umbrechenden Leerzeichen, Ligaturtrennern und kombinierenden Graphemverbindern ist so dumm und hübsch, dass es beinahe wie ein Kunstwerk aussieht:

Keine Lust, dieses Gaga-Markup in den ALT-Text zu kopieren...

Alles, was eine gewisse Größe überschreitet, kann beeindrucken. Auch Dummheit. 😲️

Postbank-Logo

Lieber Kunde,

Genau mein Name! 👏️

(Die echte Pestbank würde ihre Kunden namentlich ansprechen. Wenn es um ein Konto ginge, würde sie die Kontonummer dazuschreiben, weil viele Kunden mehrere Konten unterhalten.)

Ab dem 29 Juli 2023 aktualisiert die PostBank alle BestSign-Anwendungen.

Huch, das war ja gestern! 📆️

(Die echte Pestbank würde ihre Mitteilungen rechtzeitig absenden.)

Offnen Sie den unten stehenden Aktivierungslik, um am Upgrade teilzunehmen.

BestSign Aktualisierung

Und ich dachte schon, die Postbank würde aktualisieren! Aber die Postbank weiß ja weder, wie man Umlaute macht, noch weiß sie, wie man „Link“ schreibt. Da wird sie wohl auch Probleme beim Aktualisieren haben… 😅️

(Die echte Pestbank weiß, wie man eine Rechtschreibprüfung verwendet.)

Quatsch! Wer auf den Link klickt, hat verloren. Diese Mail kommt nicht von der Pestbank, und der Link führt nicht in die Website der Pestbank. Stattdessen wird der Browser in sehr kryptischer Weise durch das Web geführt. 😵‍💫️

Nicht erschrecken! Das sieht nicht nur schlimm aus, das ist auch schlimm:

$ lynx -source "https://ngldmealskkaews.s3.us-west-2.amazonaws.com/szghlotimasod.html?1113160"
<meta http-equiv="Refresh" content="0; url='https://monitorvoice.com/wp-admin/images/ap.php'" />
$ lynx -source "https://monitorvoice.com/wp-admin/images/ap.php"
<!DOCTYPE html>
    <script type="text/javascript">
    document.write(decodeURIComponent(atob('JTNDc2NyaXB0JTIwZGVmZXIlM0QlMjIlMjIlMjBzcmMlM0QlMjJodHRwcyUzQS8vdW5wa2cuY29tL2h0bXgub3JnJTQwMS44LjQlMjIlM0UlMEElM0Mvc2NyaXB0JTNFJTBBJTNDc2NyaXB0JTIwZGVmZXIlM0QlMjIlMjIlMjBzcmMlM0QlMjIvc3RhdGljL0NBQ0hFL2pzL291dHB1dC4yNzY3OTNmZmFhMzYuanMlMjIlM0UlMEElM0Mvc2NyaXB0JTNFJTBBJTNDc2NyaXB0JTNFJTBBJTIwbGV0JTIwY2hlY2tfcmVzdWx0JTIwJTNEJTIwbnVsbCUzQiUwQSUyMCUyMGltcG9ydCUyOCUyN2h0dHBzJTNBLy9vcGVuZnBjZG4uaW8vYm90ZC92MSUyNyUyOS50aGVuJTI4JTI4Qm90ZCUyOSUyMCUzRCUzRSUyMEJvdGQubG9hZCUyOCUyOSUyOS50aGVuJTI4JTI4Ym90ZCUyOSUyMCUzRCUzRSUyMGJvdGQuZGV0ZWN0JTI4JTI5JTI5JTBBJTIwJTIwJTIwJTIwLnRoZW4lMjglMjhyZXN1bHQlMjklMjAlM0QlM0UlMjAlN0IlMEElMjAlMjAlMjAlMjAlMjAlMjBjaGVja19yZXN1bHQlMjAlM0QlMjByZXN1bHQlMEElMjAlMjAlMjAlMjAlN0QlMjklMEElMjAlMjAlMjAlMjAuY2F0Y2glMjglMjhlcnJvciUyOSUyMCUzRCUzRSUyMCU3QiUwQSUyMCUyMCUyMCUyMCUyMCUyMGNoZWNrX3Jlc3VsdCUyMCUzRCUyMGVycm9yJTBBJTIwJTIwJTIwJTIwJTdEJTI5JTNCJTBBJTNDL3NjcmlwdCUzRSUwQSUzQ2N1c3RvbSUyMGh4LWhlYWRlcnMlM0QlMjclN0IlMjJYLUNTUkZUb2tlbiUyMiUzQSUyMCUyMlEyUTNCaGxEZkRweEVPYWdHUzdsaGgxY0RNTHlZNEVzU1FPdmxadzd4RFZGbDgxR3dQamZUYmoxd29vaUdMRU4lMjIlN0QlMjclMjBoeC1wb3N0JTNEJTIyL2ItY2hlY2svJTIyJTIwaHgtdHJpZ2dlciUzRCUyMmxvYWQlMjBkZWxheSUzQTJzJTIyJTIwaHgtdmFscyUzRCUyMmpzJTNBJTdCcmVzdWx0JTNBJTIwY2hlY2tfcmVzdWx0JTdEJTIyJTNFJTBBJTIwJTNDaW1nJTIwY2xhc3MlM0QlMjJodG14LWluZGljYXRvciUyMiUyMHNyYyUzRCUyMmh0dHBzJTNBLy9jZG5qcy5jbG91ZGZsYXJlLmNvbS9hamF4L2xpYnMveC1lZGl0YWJsZS8xLjQuMy9pbnB1dHMvc2VsZWN0Mi9saWIvc3Bpbm5lci5naWYlMjIvJTNFJTBBJTNDL2N1c3RvbSUzRSUwQQ==')));
    </script>
    <noscript>You must enable javascript in your browser to view this webpage.</noscript>
$ lynx -source "https://monitorvoice.com/wp-admin/images/ap.php" | grep atob | sed -e "s/^.*atob('//" -e "s/'.*$//" | base64 -d
%3Cscript%20defer%3D%22%22%20src%3D%22https%3A//unpkg.com/htmx.org%401.8.4%22%3E%0A%3C/script%3E%0A%3Cscript%20defer%3D%22%22%20src%3D%22/static/CACHE/js/output.276793ffaa36.js%22%3E%0A%3C/script%3E%0A%3Cscript%3E%0A%20let%20check_result%20%3D%20null%3B%0A%20%20import%28%27https%3A//openfpcdn.io/botd/v1%27%29.then%28%28Botd%29%20%3D%3E%20Botd.load%28%29%29.then%28%28botd%29%20%3D%3E%20botd.detect%28%29%29%0A%20%20%20%20.then%28%28result%29%20%3D%3E%20%7B%0A%20%20%20%20%20%20check_result%20%3D%20result%0A%20%20%20%20%7D%29%0A%20%20%20%20.catch%28%28error%29%20%3D%3E%20%7B%0A%20%20%20%20%20%20check_result%20%3D%20error%0A%20%20%20%20%7D%29%3B%0A%3C/script%3E%0A%3Ccustom%20hx-headers%3D%27%7B%22X-CSRFToken%22%3A%20%2211BLPNTGGlssL07fLqyoiXrBIBfuahSB8CcWOlGSYBygU668ZYhbqr4X96ENYoex%22%7D%27%20hx-post%3D%22/b-check/%22%20hx-trigger%3D%22load%20delay%3A2s%22%20hx-vals%3D%22js%3A%7Bresult%3A%20check_result%7D%22%3E%0A%20%3Cimg%20class%3D%22htmx-indicator%22%20src%3D%22https%3A//cdnjs.cloudflare.com/ajax/libs/x-editable/1.4.3/inputs/select2/lib/spinner.gif%22/%3E%0A%3C/custom%3E%0A
$ _

Ich breche hier mal ab. So viel Mummenschanz hätte die richtige Pestbank nicht nötig. Sie würde stattdessen einfach und direkt auf ihre eigene Website verlinken, statt nach etlichen Weiterleitungen bei Amazon gehostete Teile einer Website auf kryptische und schwer analysierbare Weise zusammenzufummeln. Wer so etwas macht, hat garantiert keine guten Absichten. Wie gesagt, ich habe mir das jetzt nicht bis zum bitteren Ende angeschaut, weil die Sonne scheint und ich auch ein paar schönere Beschäftigungen als das Entwirren solcher Spamtechniken kenne. Von daher kann ich nicht ausschließen, dass da auch irgendwo auf dem Weg versucht wird, Schadsoftware zu installieren und den Computer zu übernehmen. Spam kommt direkt aus der Hölle und ist immer fies und feindlich. Man kann da gar nicht vorsichtig genug sein. ⚠️

Wer sich aber angewöhnt, niemals in eine E-Mail zu klicken, ist vor so etwas völlig sicher. Einfach für häufig besuchte Websites, bei denen man ein Nutzerkonto hat, ein Lesezeichen im Browser anlegen. Wenn dann eine „komische Mail“ kommt – Phishing kann wesentlich besser als dieser Müll sein – nicht in die Mail klicken, sondern die Website über das Lesezeichen im Browser aufrufen. So kann einem kein Krimineller einen giftigen Link unterschieben. Wenn man die Website über das Lesezeichen aufgerufen hat, sich ganz normal angemeldet hat und feststellt, dass das in der Mail behauptete Problem gar nicht existiert, hat man einen dieser gefährlichen Cyberangriffe abgewehrt. So einfach geht das. Tut das! 🛡️

Ihre Postbank

Nein, die Pestbank war das ganz sicher nicht. 😉️

Button Text
Custom
Custom
Custom
No longer want to receive these emails? Unsubscribe.
Candles4Less 106 Prosperity Blvd Piedmont, SC 29673

So viel Mühe beim Coden der kryptischen Weiterleitungen gegeben, und dann zu blöd, ein einfaches Spamskript zu verstehen! Im Schädel dieses Phishers sind die Kerzen nicht nur billig, sondern auch ausgesprochen lichtschwach. 🕯️

Entf! 🗑️

gammelfleisch ACCOUNT TERMINATION

Freitag, 28. Juli 2023

Und immer wieder gibt es Phishing auf Mailpasswörter, weil es immer noch ganz gut zu laufen scheint.

Dear gammelfleisch ***

To continue to use your address gammelfleisch confirm your ownership

Confirm gammelfleisch

Admin@tamagothi.de Set up the team .

Und immer noch gibt es Menschen, die so eine Mail empfangen und da aufgeregt reinklicken, obwohl sie die Mail problemlos empfangen konnten. Und dann sehen sie eine tolle Website, …

Screenshot der Phishing-Seite, die übrigens bei Wix gehostet wird

…geben ihre Zugangsdaten ein und senden sie mit einem dummen Klick an Kriminelle. Und die Kriminellen freuen sich immer, wenn sie die Mailadresse und die Identität anderer Leute für ihre Betrügereien benutzen können, denn diese Handschellen und diese Gitter vor den Fenstern sind doch ziemlich unangenehm. Wenn man dann auch noch Accounts bei anderen Websites mit der gleichen Mailadresse und dem gleichen Passwort hat, dann wird die Freude dieses Geschmeißes sogar noch größer. 🤒️

Bitte seid ein bisschen schlauer! 💡️

Es gibt zum Glück ein sehr sicheres, einfaches und zudem völlig kostenloses Mittel, um niemals auf ein Phishing und damit niemals auf eine der häufigsten Formen der Internetkriminalität hereinzufallen: Niemals in eine E-Mail klicken! Wenn man nicht in eine Mail klickt, können einem die Verbrecher auch nicht so einfach einen giftigen Link zustecken. Stattdessen für jede Website, bei der man einen Account hat, ein Lesezeichen im Browser anlegen und diese Website nur noch über dieses Lesezeichen aufrufen. Wenn man dort nach einer ganz normalen Anmeldung feststellt, dass das in der Phishingspam behauptete Problem gar nicht existiert – sonst würde ja ein deutlicher Hinweise angezeigt – hat man einen dieser gefährlichen „Cyberangriffe“ abgewehrt. So einfach geht das. Macht das! 🛡️

Ich habe eben schon mit dem Chatbot von Wix kommuniziert, um meine Abuse-Meldung zu machen. Ich bin guter Dinge. Bei Wix geht man nach meinen bisherigen Erfahrungen rasch gegen so einen Missbrauch des Angebotes vor. Es ist allerdings zu befürchten, dass die Kriminellen dort mehr als nur eine kostenlose Website zum Ausprobieren aufgesetzt haben. ☹️

WormGPT

Sonntag, 16. Juli 2023

Keine Spam, sondern ein für viele Leser vielleicht interessanter Link zu Golem: Chatbot für Cyberkriminelle – WormGPT generiert äußerst überzeugende Phishing-Mails [Archivversion].

Ich bin nicht überrascht. Weder vom dümmlichen Cybergequatsche¹ einer IT-Newswebsite „für Profis“, die leider nicht von Profis gemacht wird, noch davon, dass Kriminelle Computer benutzen können². 😐️

Das Ergebnis ist Kelly zufolge „beunruhigend“. Er testete WormGPT selbst, indem er das Tool, das im Gegensatz zu ChatGPT keine ethischen Grenzen oder Einschränkungen kennt, eine böswillige Phishing-Mail generieren ließ. Diese sollte „einen ahnungslosen Kundenbetreuer dazu bringen, eine betrügerische Rechnung zu bezahlen.“ Und tatsächlich sei das Ergebnis nicht nur „bemerkenswert überzeugend, sondern auch strategisch gerissen“ gewesen. Selbst in den Händen von unerfahrenen Akteuren gehe von WormGPT eine „erhebliche Bedrohung“ aus, so das Fazit des Phishing-Experten

Ich werde auch dann nicht überrascht sein, wenn der primitive Betrug des Phishings wieder zu einer kriminellen Schattenwirtschaft mit Milliardenumsätzen wird, aber weiterhin alle die Nutzung digitaler Signaturen für E-Mail ablehnen, weil das viel zu kompliziert ist. Dafür muss man ja klicken können. 🖱️

Von daher: Bitte auch weiterhin E-Mail nur mit der Kneifzange anfassen! Es ist ein praktisches Medium, aber leider eben auch für Kriminelle. Vor Phishing gibt es einen ganz einfachen und hundertprozentig wirksamen Schutz: Niemals in eine E-Mail klicken, niemals einen Anhang einer E-Mail öffnen, der nicht über einen anderen Kanal als E-Mail abgesprochen wurde! So kann einem kein Krimineller einen giftigen Link oder eine fiese Schadsoftware mit der Mail unterschieben. Die einzige Ausnahme von dieser strikten Vorsicht ist, wenn der Absender vertrauenswürdig ist und er die Mail digital signiert hat (die Absenderadresse einer Mail kann beliebig und kinderleicht gefälscht werden) und man diese digitale Signatur auch überprüft hat. Selbst dann weiß man genau genommen nur, dass der Absender im Besitz eines bestimmten privaten Schlüssels ist. Aber das ist im Alltag hinreichend. Es ist viel mehr als das Nichts, das die meisten Menschen jetzt haben. Übrigens schützt es auch vor Schadsoftware im Anhang einer Mail. 🛡️

Irgendwelche „Schulungen“ der Mitarbeiter…

Als eine der wichtigsten Präventivmaßnahmen empfiehlt Kelly Unternehmern mehr denn je, ihr Personal im Hinblick auf mögliche Phishing-Angriffe schulen zu lassen

…werden hingegen so gut wie gar nicht helfen, wenn sie den Menschen nicht in der Hauptsache ein unbeirrbares Grundmisstrauen gegen das Medium E-Mail einbläuen. Auch, wenn die Mail vom Chef zu kommen scheint. Oder vom Partner, von den Eltern oder den eigenen Kindern. Oder von einem Unternehmen, mit dem man geschäftlich zu tun hat. Die Absenderadresse ist ja beliebig und leicht fälschbar. Dieses vermittelte Grundmisstrauen muss von einer häufigen Kontrolle und einer Belohnung aktiven Misstrauens unterstützt werden. Was man einmal in einer Schulung gehört hat, ist nämlich schon nach einigen Wochen, spätestens nach einigen Monaten ohne Vorfälle wieder vergessen. Es scheint ja keine alltags- und lebensrelevante Wichtigkeit zu haben, bis dann doch einmal etwas passiert und auf Digital first der Hochdruck second, das Bedauern third und schließlich der Fatalismus fourth folgt. Irgendwelche Spamfilter…

Darüber hinaus könne aber auch die Implementierung strengerer E-Mail-Prüfsysteme dabei helfen, böswillige Nachrichten frühzeitig anhand wiederkehrender Merkmale und Sprachmuster zu erkennen

…werden auch immer nur vorübergehend Abhilfe schaffen, denn die Kriminellen sind darauf angewiesen, dass ihre asozialen „Mitteilungen“ ankommen und die Nutzer nicht gewarnt werden. Sie leben davon. Also werden sie vieles dafür tun, solche Mechanismen auszutricksen. Weil sie dann noch (oder: wieder) besser von ihrer Kriminalität leben können. Generell ist die „Sicherheit durch Schlangenöl“ trügerisch und gefährlich. Ganz im Gegensatz zur Sicherheit durch Intelligenz, Einsicht, Wissen und Vorsicht. Nichts anderes kann Spam so sicher und zuverlässig erkennen wie das menschliche Gehirn. 🧠️

Nutzt das Gehirn! Trainiert es! Es ist eure einzige gute Chance. 😉️

¹Die mit der dummen Cyber-Vorsilbe bezeichneten, meist destruktiven oder kriminellen Tätigkeiten haben nicht einmal in einem skurillen und fernliegenden Sinn etwas mit Kybernetik zu tun. Aber woher soll ein Journalist, Politiker oder sonstiger Ahnungsloser das wissen? Wenn sie das wüssten, könnten sie ja etwas Erfreulicheres tun.

²Wer hier regelmäßig mitliest, weiß, dass ich schon seit vielen Monaten immer wieder die Vermutung anmerke, dass neue Formulierungen in ansonsten typischen Spams wohl aus einem angelernten neuronalen Netzwerk – von Politikern, Journalisten und anderen Ahnungslosen meist als „künstliche Intelligenz“ bezeichnet – stammen werden. Zurzeit kann man das noch oft an einer gewissen Weitschweifigkeit und an kleinen sprachlichen Artefakten bemerken, aber das wird sich in der kommenden Zeit ändern. Übrigens finde ich eine Welt, in der Menschen für einen immer weiter an die Armutsgrenze gepressten Elendslohn und die darauf folgende Altersarmut die schwere, lebenszeitverzehrende Arbeit machen, während Maschinen unter obszön hohem Verbrauch von Energie und Ressourcen die Lieder, Gedichte und Texte schreiben und die Bilder malen, nicht besonders erstrebenswert, sondern wünsche es mir ganz genau umgekehrt. Aber wenn die Menschen das in ihrer grenzenlosen Dummheit so wollen, werde ich es wohl nicht aufhalten können. Wohl dem, der sein Leben längst hinter sich hat! Nicht erst nach uns kommt die Sintflut, wir sind die Sintflut.

Αktսаⅼіѕіеrеո Ѕіе Ιhrе Ꭱесhոսոցѕіոfοrⅿаtіоոen.

Dienstag, 20. Juni 2023

Ein Betreff mit Unicodezeichen, der auf einen Punkt endet. So wird das Aussortieren leicht. 🤭️

Von: Міⅼеѕ аոⅾ Моrе <schubert.rowa@t-online.de>
An: gammelfleisch@tamagothi.de

So schade, dass dieses „Miles & More“ sich keinen eigenen Mailserver leisten kann und deshalb auf eine Kundenadresse bei T-Online zurückgeworfen ist. Aber dafür schreibt dieses „Miles & More“ auch an meine Kontaktadresse für unseriöse Angebote aus dem Impressum, die einzige Mailadresse dort, die man auch mit einem schnell und schlecht programmierten Harvester einsammeln kann. 🤖️

Und ja, natürlich ist die Absenderadresse gefälscht. Es ist ja eine Spam. Die E-Mail wurde über die IP-Adresse eines Hosters aus den USA versendet (Abuse-Mail ist draußen, hoffentlich hat der Hoster Vorkasse genommen) und hat auf ihrer Reise durch das Internet einen Server von T-Online nicht einmal aus der Nähe gesehen. 🔍️

Der Text der HTML-formatierten Spam ist voller Unicode-Zeichen, die ähnlich wie lateinische Buchstaben aussehen. Damit wollte der Idiot von Absender wohl am Spamfilter vorbei. Das hat aber nicht so gut geklappt. Oder, wie in einem Arbeitszeugnis stünde: Er hat sich bemüht. 😁️

Miles & More Kreditkarte

Еrіոոеrսոց: Αktսаⅼіѕіеrеո Ѕіе Ӏhrе есhոսոցѕіոfοrⅿаtіοոеո.

Also erstens habe ich keine Kreditkarte, zweitens habe ich nichts mit diesem „Miles & More“ zu tun und drittens kenne ich keine Echnungen. 😄️

So viel Fummelei mit Unicodezeichen, damit die Spam nicht aussortiert wird, 𝖚𝖓𝖉 𝖉𝖆𝖓𝖓 𝖜𝖎𝖗𝖉 𝖉𝖆𝖘 𝕽 𝖛𝖊𝖗𝖕𝖆𝖙𝖟𝖙! Na, vielleicht klappt es ja beim nächsten Mal. 🙃️

Տehr ցeehrte Kսոⅾiո‚ sehr ցeehrter Kսոⅾe‚

Ich bin kein Kunde. Aber wenn ich Kunde wäre, würde ich sicherlich mit meinem Namen angesprochen. Die meisten Unternehmen – wenn wir mal von den allesamt halbseidenen Telekommunikationsunternehmen in der Bundesrepublik Deutschland absehen – haben ja ein Interesse daran, ihre Kunden zu behalten. Und selbst diese Unternehmen sprechen ihre Kunden namentlich an. Und wenn es um eine Kreditkarte ginge, stünde auch die Kreditkartennummer in der Mail. Es gibt ja Menschen, die mehrere Karten haben. Man muss nicht einmal bemerken, dass das „d“ komisch aussieht, um zu sehen, dass diese Mail gar nicht echt sein kann. Denn der Spammer hat sich so sehr auf technische Aspekte konzentriert, dass er darüber ganz vergessen hat, dass seine Phishingspam auch ein bisschen plausibel sein muss. Sonst sieht sie halt komisch aus. So, wie gewollt und nicht gekonnt. So, wie so manches Bild aus einem angelernten neuronalen Netzwerk (von Politikern, Journalisten und anderen Ahnungsarmen in ihrer Verblüffung meist mit dem Reklamewort „künstliche Intelligenz“ bezeichnet, das einfach aus PResseerklärungen übernommen wird). 🤡️

Aber niemals überheblich werden! Es gibt auch besser formulierte und personalisierte Phishingmails, auf die ein Mensch reinfallen kann. Insbesondere bei Stress oder Müdigkeit. 😵‍💫️

Hier kann das eher nicht passieren:

Ԝähreոⅾ սոserer reցeⅼⅿäßiց ցepⅼaոteո Koոtο Ԝartսոցs 

սոⅾ Ꮩerifizierսոցsⅴerfahreո habeո ԝir eiոeո ⅼeichteո Fehⅼer iո Ihreո Ꭱechոսոցsiոfοrⅿatiοոeո festցesteⅼⅼt․

Na, das ist ja schön, dass es nur einen „leichten Fehler“ bei mir gibt. Oder genauer: In meinen Rechnungsinformationen. Können die etwa nicht rechnen? 😀️

Ԝir ⅼaⅾeո Sie eiո‚ Ιhre Ꭱechոսոցsiոforⅿatiοոeո zս aktսaⅼisiereո‚ սⅿ ⅾie Εiոschräոkսոց Ιhres Ꮶoոtοs zս ⅴerⅿeiⅾeո․ Βitte kⅼickeո Տie aսf ⅾeո fοⅼցeոⅾeո Ꮮiոk:

Jetzt Updaten

Natürlich ist der Link nicht direkt gesetzt. Erstmal wird der Linkkürzer von Twitter verwendet, was ich in letzter Zeit immer häufiger sehe. Offenbar kümmert sich bei Twitter niemand mehr um die Spamproblematik, und wir alle haben mit unserer Lebenszeit dafür zu bezahlen, dass Twitter spart. Das muss diese Bedeutung des „social“ in „Social Media“ sein. 🐦️🤮️

$ lynx -dump -source https://t.co/OPHZpHJWli; echo
<head><meta name='referrer' content='origin'></head><body><script>window.location.replace("https://best.xoieaxggw.eu/xhMh5vcEty6jG6oM3tY3OXGDpBohEoOfHCHa4fR0bTJnI9ONPCM87g4sKXmeSFXIyqKFuWj2bQLIwf/RXa6TlybtU840Zo1zgNG72QNZApDVSOfSZQf5IQgH3Bl2kqcCd9u7meWqW/");</script></body>
$ _

Nicht immer kann man den Phishingmüll so leicht erkennen wie in diesem Beispiel. Aber es gibt einen wirksamen Schutz, der bequem und ohne Kosten vor einer der häufigsten Kriminalitätsformen im gegenwärtigen Internet schützt: Niemals in eine E-Mail klicken! Wenn man für solche häufiger besuchten Websites Lesezeichen im Webbrowser anlegt und diese Websites nur über das Lesezeichen aufruft, kann einem kein krimineller Spammer einen giftigen Link legen. Und das völlig ohne Komfortverlust. Man klickt auch weiterhin, nur eben an eine andere Stelle als ausgerechnet in die Mail eines Unbekannten. Wenn man eine derartige Mail empfangen hat und sie nicht sofort unter Entfaltung angemessener Heiterkeit als Spam erkennt, ruft man einfach die Website über das Browser-Lesezeichen auf und meldet sich dort ganz normal an. Wenn sich dabei zeigt, dass das in der Mail behauptete Problem gar nicht existiert, hat man einen dieser gefürchteten „Cyberangriffe“ abgewehrt und sich oft finanzielle Verluste und jahrelangen Ärger erspart. Ja, so einfach geht das! Macht das! 🛡️

Antivirus-Schlangenöl und Browser-Addons…

$ surbl xoieaxggw.eu
xoieaxggw.eu	okay
$ surbl best.xoieaxggw.eu
best.xoieaxggw.eu	okay
$ _

…die eine alarmierende Warnung anzeigen, wenn eine Website auf einer Blacklist steht, schützen nicht zuverlässig. Dieser Link hätte zu keiner Warnung geführt, als ich ihn untersucht habe. Alles Schlangenöl für die Computersicherheit hinkt der kriminellen Entwicklung einige Stunden bis Tage hinterher, und in dieser Zeit kann mehr als genug Schaden entstehen. Es gibt keine mühelose Sicherheit. Deshalb ist es das Beste, wenn man sich angewöhnt, in einer Haltung der informierten Vorsicht niemals in eine Mail zu klicken¹. 🖱️🚫️

Dafür muss man übrigens kein Experte sein und kein Spezialwissen haben. Man muss einfach nur die schon jeden Tag verwendete Software vernünftig einsetzen. Leider gibt es immer noch genug Menschen, die dazu nicht imstande sind, obwohl man nur klicken muss… 🖱️🙂️

Vіеlеn Dаnk für Іhr Vеrѕtändnіѕ

Vielen Dank für den pseudohöflichen Dank für Nichts…

Міlеѕ & Моrе

…und bei mir darf auch mal geleckt werden! 👅️

Entf! 🗑️

¹Wenn man digitale Signaturen verwendet und eine digital signierte E-Mail empfängt, weiß man wenigstens, dass sie von jemanden stammt, der im Besitz des privaten Schlüssels des Absenders ist. Wenn es sich dabei um einen vertrauenswürdigen Absender handelt, darf man ruhig ein bisschen laxer werden. Leider ist den meisten Menschen wirksame Kryptografie zu schwierig. Sie müssten dafür ja klicken können.

Read!

Donnerstag, 15. Juni 2023

Leck! 👅️

Von: Coinbase WaIIet <contact@commradar.com>

Aber ich habe gar kein Kryptogeld. Und selbst, wenn ich welches hätte, würde ich es nicht einer Klitsche anvertrauen. 💸️

Hi gammelfleisch@tamagothi.de,

Aber mal wieder so genau mein Name! 😀️

We have changed our current Terms and Conditions to fall in line with the latest rules. You have 2 days left to do the new 2-FA task before deposits, trading and withdrawals are inaccessible. Begin now.

Aha, wenn ich jetzt nicht grundlos, sofort und ganz schnell klicki-klicki mache, komme ich nicht mehr an mein Geld ran. Das nennt man im Strafgesetzbuch übrigens Nötigung. Nicht nur, dass kein Unternehmen, das an seinen Kunden hängt, dermaßen unfreundlich und kalt formulierte Mails oder Briefe verschicken würde, der hier gepflegte Stil in der Kundenansprache wäre klar illegal und strafbar. 👮‍♂️️

Auf eine Abschlussformel hat der Absender verzichtet. Diese illegale, asoziale und dumme Spam wurde mechanisch erstellt, ging an ein paar Millionen willkürlich ausgewählter Empfänger und ist auch ohne Unterschrift gültig. 🤖️

Der Link in der Spam ist natürlich nicht direkt gesetzt, sondern über den Linkkürzer von Twitter verschleiert. Kein Unternehmen, das irgendwas in Geld macht und deshalb auf Diskretion Wert legt, würde seine Kunden in dieser Weise vor anderen Unternehmen bloßstellen:

$ lynx -source https://t.co/PjbzcIZBv2 | grep -i refresh
	<meta id="redirect" http-equiv="refresh" content="0;URL='https://coinbase-com.peliapaints.com'" />
$ _

Wie man durch einfaches Hinschauen sieht, geht der Weiterleitung nicht zu Coinbase, sondern in die Domain peliapaints (punkt) com, die…

$ whois peliapaints.com | grep -i ^registrant | sed 7q
Registrant Name: Pelia Paints
Registrant Organization: Pelia Paints
Registrant Street: Kabarnet road off Ngong road   
Registrant City: Nairobi
Registrant State/Province: Nairobi Municipality
Registrant Postal Code: 00200
Registrant Country: KE
$ whois peliapaints.com | grep -i date: | sed '/^ /d'
Updated Date: 2023-05-31T06:19:36Z
Creation Date: 2022-02-08T08:26:17Z
Registrar Registration Expiration Date: 2024-02-08T08:26:17Z
$ _

…erst letztes Jahr von jemandem aus Nairobi, Kenia eingerichtet und erst kürzlich ein bisschen umkonfiguriert wurde, vermutlich, weil sie in die Hände von Kriminellen fiel. Diese dort eingerichtete Subdomain mit coinbase (strich) com, die einen anderen Eindruck beim flüchtigen Blick in die Adressleiste erwecken soll, lässt keine andere Deutung zu. Wir haben es hier mit einem Phishing auf Nutzer von Coinbase zu tun. 🎣️

Irgendwelches Schlangenöl für den Webbrowser, das vor solchem Phishing warnen soll…

$ surbl peliapaints.com 
peliapaints.com	okay
$ _

…hilft hier nicht. Die verwendete Domain ist noch nicht auf den einschlägigen Blacklists. Das wird sich in den nächsten Stunden zwar ändern, aber es ist mir immer wichtig, darauf hinzuweisen, dass es nur einen einzigen guten und sicheren Schutz vor Phishing gibt: Niemals in eine E-Mail zu klicken! 🖱️🚫️

Wenn man sich für häufig besuchte Websites ein Lesezeichen im Browser anlegt und diese Websites nur noch über das Lesezeichen aufruft, können einem solche Kriminellen keinen giftigen Link mehr unterschieben. Wenn man zum Beispiel Kunde bei Coinbase ist, diese Spam empfangen hat und mal nachschauen möchte, dann klickt man auf gar keinen Fall in eine Mail, sondern verwendet das Lesezeichen im Browser und meldet sich ganz normal auf der Website an. Wenn sich dort zeigt, dass das in der Spam behauptete „Problem“ gar nicht existiert, hat man einen dieser gefürchteten „Cyberangriffe“ abgewehrt und möglicherweise sehr viel Geld gespart. So einfach geht das! Seid keine Opfer! Macht das! 🛡️

Wer aber in die Mail klickt und sich – die Adresszeile des Browsers sieht ja für den flüchtigen Blick nach Coinbase aus, und davor ist ja auch so ein Schlösschen, weil HTTPS verwendet wurde¹ – auf einer „liebevoll“ nachgemachten Coinbase-Seite anmeldet, gibt sein gesamtes von Coinbase verwaltetes Kryptogeld in die Hände von Kriminellen und hat keine Chance, es jemals wiederzusehen. 💸️

Es gibt bessere Verwendungen für Geld, als so einem Geschmeiß den verfeinerten Lebensstil zu finanzieren. Niemals auf Phishing reinfallen! Niemals in E-Mail klicken!

¹Diese Schlösschen verspricht keine Sicherheit, sondern zeigt an, dass die Verbindung verschlüsselt ist. Selbstverständlich können auch Kriminelle eine verschlüsselte Verbindung benutzen. Dann gehen die in einem Phishing eingegebenen Daten eben verschlüsselt an die Kriminellen und können nicht von Dritten im Internet mitgelesen werden. Dass ein Webbrowser wie der Mozilla Firefox jenen vorsichtigen Menschen, die noch einmal auf das Schlösschen klicken, anzeigt, dass es sich um eine „sichere Verbindung“ handelt, macht es um so wichtiger, dass man weiß, was solche Dinge bedeuten. Es ist in Wirklichkeit eine verschlüsselte Verbindung. Dies teilt der Mozilla Firefox auch in vorbildlicher Ausführlichkeit und Klarheit mit, wenn man sich weitere Informationen anzeigen lässt. Aber die schnelle Überprüfung erzeugt einen falschen Eindruck.