Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „DHL“

Ihrer Sendung 00340489766158649254

Dienstag, 29. Juli 2014

Der gefälschte Absender lautet DHL Paket <paket (at) dhl (punkt) de>, und die Ziffernfolge ist jedesmal anders – immerhin, der Spammer hat so viel „Kompetenz“, dass er die Funktion zur Erzeugung von Pseudozufallszahlen gefunden hat. Das schafft nicht jeder.

In die HTML-formatierte Spam eingebettet sind drei GIF-Grafiken: Eine mit dem DHL-Logo, eine weitere mit einer Fußzeile „Deutsche Post DHL“ und eine dritte mit dem Logo von s.Oliver. Natürlich haben diese Unternehmen nichts mit dem Absender zu tun. Die Reputation dieser Unternehmen muss nur dazu herhalten, einer dummen Spam Gewicht zu geben, damit sie zumindest bei einigen Empfängern glaubwürdig aussieht – und damit diese Empfänger dann die angehängte Schadsoftware auf ihrem Computer installieren. Ich werde diese von irgendwo aus dem Internet „mitgenommenen“ Grafiken im Zitat nicht wiedergeben.

Sehr geehrte Kundin, sehr geehrter Kunde,

Genau das ist die richtige Ansprache für namentlich bekannte Kunden

die für Sie bestimmte Sendung 0034881724168793821 wurde an DHL übergeben und wird voraussichtlich am 30.07.2014 zwischen 12:30 – 15:30 Uhr zugestellt.

…die sich dann auch nicht weiter darüber wundern, dass in der Mail eine ganz andere Nummer steht als im Betreff der Mail. 😀

Tja, Spammer! Das mit den Pseudozufallszahlen hast du hinbekommen, jetzt musst du noch lernen, wie man die in einer Variablen speichert, um sie mehrfach zu verwenden. In der nächsten Spamwelle kannst du das vielleicht! Oder auch nicht…

Mit freundlichen Grüßen,
Ihr DHL Team

im Auftrag von

Ja ja, „im Auftrag von“. Von nichts. Immer eine gute Sache.

Diese Mail dient lediglich der Information und garantiert nicht die Zustellung der Sendung. Auf diese Mail kann nicht geantwortet werden. Ihre E-Mailadresse wird ausschließlich für die Paketankündigung der oben genannten Sendung genutzt und nicht zu werblichen Zwecken gespeichert. Sollten Sie die Paketankündigung nicht mehr beziehen wollen, klicken Sie bitte hier: DHL Benachrichtigungsservice

Und „klicken Sie bitte hier“, wenn darauf kein Link folgt, ist auch gnadenlos doof. Das ist halt mistig, wenn man die Texte irgendwie schnell aus Mails und aus dem Internet zusammenkopiert und gar nicht mehr drauf achtet, was für ein Müll dabei herauskommt.

Das Zitat des Impressums von DHL spare ich mir mal – auch dort wurden die drei Links auf „Website“, „Kontakt“ und „Impressum“ nicht gesetzt.

Diese Spam hat einen Anhang, und das ist der eigentliche Zweck dieser Spam. Es handelt sich um… ja, ich weiß: das langweilt inzwischen… ein ZIP-Archiv, in dem sich eine Datei befindet, deren Name auf .pdf.pif endet. Auch, wenn die Dateinamenserweiterung .pif den meisten Jüngeren nicht mehr bekannt sein sollte – es handelt sich um Parameter, mit denen MS/DOS-Anwendungen unter Microsoft Windows gestartet werden¹ – ist der übliche „Dateinamenstrick“ erkennbar. Und natürlich ist .pif eine ausführbare Datei für Microsoft Windows, was bedeutet, dass bei einem Doppelklick auf diese Datei ein von Verbrechern zugestelltes Programm ausgeführt wird.

Und dieses von Verbrechern zugestellte Programm ist wie immer eine sehr aktuelle Schadsoftware, die nur von rund einem Fünftel der gängigen Antivirusprogramme als solche erkannt wird. Das als Sicherheit verkaufte Antivirusprogramm war also oft völlig nutzlos. Wer sich nur darauf verlassen hat, hatte hinterher einen Rechner anderer Leute auf dem Schreibtisch stehen. Deshalb ist es so wichtig, die Spam als solche zu erkennen und zu löschen, damit man auf so eine Überrumpelung nicht hereinfallen kann. Selbst dann nicht, wenn man zu den vielen zehntausend Menschen gehört, die gerade eine Bestellung gemacht haben und ein Paket erwarten.

In diesem Fall war das Erkennen der Spam sehr einfach:

  • Die Ziffernfolge war in Betreff und Mail verschieden.
  • Die Ansprache „Sehr geehrter Kunde“ ist unpersönlich.
  • Die Spam ist sehr schlampig gemacht, Links wurden einfach vergessen.

Dass es so einfach ist, ist ein Glücksfall. Wenn eine derartige Spam mit persönlicher Anrede kommt und gut formuliert ist, ist sie gefährlich. Deshalb gilt es für jeden Menschen mit Mailadresse, sich eine einzige Sache gut zu merken und immer daran zu denken: Jede angeblich geschäftliche E-Mail mit einem Dokument im Anhang, deren Text nichts über den Vorgang mitteilt, stinkt. Das gilt in besonderer Weise für Anhänge mit ZIP-Archiven, in denen angebliche PDF-Dokumente liegen, denn es gibt keinen technischen oder irgendeinen anderen plausiblen Grund, ein bereits komprimierbares Dokumentformat wie PDF noch einmal zu packen und damit für den Empfänger schwieriger zugänglich zu machen, da er nun zwei Schritte zum Lesen ausführen müsste. Der einzige Grund für ein derartiges Vorgehen ist es, Schadsoftware durch derartige Verpackung an Spamfiltern vorbeizubringen².

Die Faustregel zum Selbstschutz lautet: Es hängt ein ZIP dran, ich mach das nicht auf, sondern lösche den Müll! (Und wenn es doch einmal plausibel sein könnte, dann rufe ich, bevor ich irgendetwas anderes mache, beim Absender an und stelle auf diesem Weg sicher, dass es sich nicht um eine Spam handelt.)

¹Die Frage, warum im Jahr 2014 – also mehr als Jahrzehnt nach dem völligen Verschwinden MS/DOS-basierter Windows-Versionen und unter Bedingungen, in denen praktisch niemand mehr unter MS/DOS laufende Software verwendet und in denen jeder mit einem entsprechenden Bedürfnis die DOSBox verwenden würde – also, warum zum hackenden Henker immer noch ein Workaround zur Ausführung von MS/DOS-Anwendungen in einem Fenstersystem zur MS-Windows-Standardinstallation für jeden verdammten Anwender auf dieser Welt gehört, diese Frage stellen sie bitte dem Betriebssystemhersteller ihres Vertrauens! Die Kriminellen, die mir diese Spam geschickt haben, freuen sich ja drüber…

²…oder als „Deutsche Telekom“ die digitale Signatur zusammen mit dem Dokument zu versenden, weil dort noch niemand gemerkt hat, dass PDF-Dateien digital signierbar sind. Möge Hirn über dem Laden abregnen, damit er nicht mehr durch seine technische Vorgehensweise Haltungen schafft, die vor allem der organisierten Kriminalität nutzen!

DHL Paket Ihrer Sendung 784059032042

Donnerstag, 5. Dezember 2013

Aber ich erwarte gar kein Paket. Ach, es ist ja auch eine Mail in einer Honigtopf-Adresse…

Sehr geehrte Kundin, sehr geehrter Kunde,

die für Sie bestimmte Sendung 161761695540 wurde an DHL übergeben und wird voraussichtlich am 05.12.2013 zwischen 11:00 – 18:00 Uhr zugestellt.

Und das können wir ihnen mitteilen, weil auf dem Adressaufkleber des Paketes ihre Mailadresse stand. Ihr Name stand leider nicht drauf, deshalb die unpersönliche Ansprache dabei. Stattdessen nehmen wir einfach eine Zahl für das Paket, das wirkt auch ein bisschen persönlich. Es ist zwar nicht die gleiche Zahl wie im Betreff, aber solche Schwächen unseres Spamskriptes werden wir in der zweiten Dreckswelle schon korrigieren.

Weitere Informationen über den Sendungsstatus stehen Ihnen durch die direkte Statusabfrage über den folgenden Link zur Die befestigte Datei

So so, ein Link, der keiner ist, sondern ein Mailanhang, den der Spammer lieber eine „befestigte Datei“ nennt. Großes Kino mal wieder im mühsamen Deutschkurs der Spammer!

Muss ich es noch eigens erwähnen. Natürlich hängt da ein ZIP-Archiv mit einer darin verpackten ausführbaren Datei für Microsoft Windows dran, deren Dateiname auf .pdf.exe endet, damit sie leichter für ein PDF-Dokument gehalten werden kann. Und – es war bei einer so untergejubelten Datei von kriminellen Spammern ja auch nicht anders zu erwarten – natürlich handelt es sich dabei um Schadsoftware.

Mit freundlichen Grüßen,
Ihr DHL Team

PS: Kennen Sie schon unser Privatkundenportal Paket.de? Registrieren Sie sich jetzt und profitieren Sie bei Ihren zukünftigen DHL Paketen von unseren flexiblen Empfängerservices.

Dass DHL mit dieser Mail nichts zu tun hat, sollte klargeworden sein. Den Rest haben die Verbrecher offenbar aus echten E-Mails von DHL rauskopiert:

Diese Mail dient lediglich der Information und garantiert nicht die Zustellung der Sendung. Auf diese Mail kann nicht geantwortet werden. Ihre E-Mailadresse wird ausschließlich für die Paketankündigung der oben genannten Sendung genutzt und nicht zu werblichen Zwecken gespeichert. Sollten Sie die Paketankündigung nicht mehr beziehen wollen, klicken Sie bitte hier: DHL Benachrichtigungsservice

Impressum

Deutsche Post AG
Vertreten durch den Vorstand
Dr. Frank Appel, Vorsitz, Ken Allen, Roger Crook, Bruce Edwards, Jürgen Gerdes, Lawrence A. Rosen, Angela Titzrath
Handelsregister-Nr.: Registergericht Bonn HRB 6792, USt-IdNr.: DE 169838187
Charles-de-Gaulle-Straße 20, 53113 Bonn

Toll, dass E-Mail jetzt schon mit Impressum kommt – ich schreibe ja auch auf jede Postkarte drauf, wer dafür im Sinne des Pressegesetzes verantwortlich ist. :mrgreen:

Š 2013 DHL

Und das mit der richtigen Codierung dieses ©-Kringels werden die Spammer wohl auch in der nächsten Welle gelernt haben. Oder auch nicht. Immer wieder diese kleinen Unfälle beim Benutzen der Zwischenablage, und immer wieder diese Faulheit, den zusammenkopierten Strunz noch einmal vor dem Absenden zu lesen. Tja, mit Mühe und Gründlichkeit haben es Spammer nicht so.

Einmal ganz davon abgesehen, wie hochnotlächerlich es ist, so etwas wie ein Urheberrecht für eine automatisch erstellte E-Mail zu proklamieren. :mrgreen:

Retourenlabel zu Ihrer DHL Sendung 401696982

Montag, 26. August 2013

Gefälschter Absender ist no (strich) reply (at) deutschepost (punkt) de, aber natürlich hat diese Spam nichts mit DHL oder der Deutschen Post zu tun. Das Fälschen eines Absenders ist nun einmal sehr leicht. Die sehr viel schwierigere Aufgabe, einigermaßen ruckelfreies Deutsch zu schreiben, haben die Spammer zugegebenermaßen gut bewältigt.

BITTE ANTWORTEN SIE NICHT AUF DIESE EMAIL

Die Mail zu beantworten wäre auch reichlich witzlos, denn der Absender ist gefälscht.

Sehr geehrte Damen und Herren,

Großes Kino! Der Empfänger hat also angeblich ein Paket bekommen, das bestimmt nicht an die E-Mail-Adresse zugestellt wurde, sondern an einen Menschen, aber trotzdem weiß DHL nicht, wie der Empfänger heißt.

Bitte drucken Sie das beigefügte Retourenlabel aus und bringen es auf Ihrem Retourenpaket an. Ihr Retourenpaket können Sie deutschlandweit abgeben:
– bei allen [rund 2.500] DHL Packstationen oder [rund 1.000] Paketboxen
– in einer der [über 14.000] Filialen in Ihrer Nähe
– bei Ihrem Paketzusteller
Auf Wunsch können Sie Ihr Paket auf eigene Kosten abholen lassen. Einfach online eine Abholung beauftragen unter:
www.dhl.de/abholauftrag

Das „beigefügte Retourenlabel“ – die Spammer wissen also immer noch nicht, wie man einen Mailanhang so bezeichnen kann, dass das Gehirn beim Lesen nicht stolpert – ist das Übliche: Ein ZIP-Archiv, in dem eine Datei mit der Namenserweiterung .pdf.exe liegt, also eine von Verbrechern mit einer Spam zugestellte ausführbare Datei für Microsoft Windows, die so tun will, als sei sie ein PDF-Dokument. Wer sich das angebliche PDF auf seinem unter Microsoft Windows laufenden Rechner anschauen will, führt also Software von Kriminellen aus. Zurzeit erkennt nur die Hälfte der gängigen Antivirusprogramme in dieser Schadsoftware etwas, was eine Warnung rechtfertigt. Es besteht also durchaus trotz Virenschutz-Schlangenöl eine Gefahr… außer, man macht bei derartigen Mails mit Anhang in einem ZIP-Archiv das einzig richtige: Einmal auf die Löschtaste drücken und sich angenehmeren Dingen zuwenden.

So, und jetzt noch mein offener Brief…

An die Hersteller von Antivirus-Programmen

Ein frohes Hallo in die große Runde der Schlangenölhändler!

Ihr „seht“ sicher jeden Tag mehr Schadsoftware als ich in meinem ganzen Leben. Ihr müsst euch jeden Tag etwas einfallen lassen, wie ihr diesen ganzen Dreck erkennt und unschädlich macht.

Das ist sicher keine leichte Aufgabe, und es mag für Nutzer häufig angegriffener Systeme mit langer Sicherheitsvorgeschichte wie Microsoft Windows auch eine wichtige Ergänzung zur Benutzung des handelsüblichen Verstandes sein, wenn eure Software im Hintergrunde Strom in Wärme verwandelt, um eine Übernahme des Computers durch Kriminelle zu erschweren.

Ihr sucht in Binaries nach Mustern, die eine eindeutige Erkennung ermöglichen, damit es nicht zu peinlichen Fehlern kommt. Und die Spammer sind euch immer einen bis zwei Tage voraus, so dass eure gesamte Mühe nur gegen ältere Schädlinge hilft, aber nur selten gegen die Pest, die jeden Tag in stinkenden Fluten ins Postfach strömt.

Ich habe an euch nur eine kleine, aber vielleicht nicht ganz unwichtige Frage:

Die erste, hier auf Unser täglich Spam wiedergegebene Müllmail, in der eine Datei mit der Namenserweiterung .pdf.exe auftrat, habe ich am 15. Mai 2009, also vor 1564 Tagen, gesehen. Diese spezielle Masche wurde seitdem immer und immer wieder einmal mit den unterschiedlichsten „Begründungen“ versucht, zum Beispiel als Telekom-Rechnung, als MMS, als Rechnung mit namentlicher Ansprache, als Bestellbestätigung, als Zustellungshinweis für ein Paket oder als Mahnschreiben eines Inkasso-Anwalts.

Es handelt sich also wirklich nicht mehr um eine neue Nummer der Spammer.

Aber es handelt sich immer noch um eine brandgefährliche Nummer. Das erkenne ich auch daran, dass ich beinahe jeden Tag eine solche Datei als Anhang einer Spam sehe. Derartige Mails mit angeblichen PDF-Anhängen dürften jeden Tag zur Folge haben, dass hunderte von Menschen ihren Rechner zu einem Computer anderer Leute machen. Sie dürften also einen erheblichen Schaden durch abgegriffene Passwörter, manipuliertes Online-Banking, Identitätsmissbrauch, Spam und andere unerfreuliche Tätigkeiten verursachen.

Dieser Schaden wird auch verursacht, weil derartige Mails von eurem Schlangenöl immer noch nicht als potenziell schädlich erkannt werden.

Aus Nutzersicht erscheint der Anhang als ein PDF-Dokument. Er hat das passende Piktogramm und heißt irgendetwas mit .pdf am Ende, was keinen Alarm auslöst. Er ist, wenn die Standardeinstellungen von Windows belassen wurden, völlig unverdächtig. Aber es handelt sich um eine .exe für Microsoft Windows.

Dass Microsoft aus vermutlich nicht nur für mich nicht nachvollziehbaren Gründen den echten Namen der Datei vorm Nutzer verbirgt und damit diese Nummer erst möglich macht, gehört zu den Dingen, die ihr auch nicht ändern könnt. Es ist neben anderen vergleichbar hirnlosen Entscheidungen aus Redmond einer der vielen kleinen Gründe dafür, dass Microsoft Windows das Lieblingsbetriebssystem der organisierten Kriminalität ist.

Aber, ihr Hersteller von Antivirus-Schlangenöl! Erklärt mir bitte nur eine einzige Kleinigkeit: Welchen halbwegs legitimen Grund kann es geben, eine Datei als .pdf.exe zu benennen, um einen völlig falschen Eindruck von der wirklichen Natur dieser Datei zu erwecken? Mir fällt beim besten Willen kein Grund ein, warum jemand das tun sollte, wenn er nicht gerade mit dieser Überrumpelung jemanden anders eine Schadsoftware unterjubeln möchte.

Und wenn auch euch kein Grund einfällt – wovon ich ausgehe – ist hier meine kleine Frage: Warum zum hackenden Henker werden solche Dateien von euch nicht als Schadsoftware aussortiert? Ihr braucht dafür nicht einmal in die Dateien hineinzuschauen und sie mit euren Virussignaturen abzugleichen. Ein einziger Blick auf den Dateinamen reicht. Wenn er .pdf.exe, .pdf.scr, .pdf.pif, .pdf.com oder vergleichbar lautet, oder wenn da statt pdf so etwas wie docx, doc, odt, ppt, xls oder dergleichen steht, handelt es sich immer um einen Versuch, eine potenziell gefährliche, ausführbare Datei als ein harmloseres Dokumentformat zu tarnen.

Seid ihr einfach nur gedankenlos? Oder seid ihr in der Suche nach guten Signaturen für Schadsoftware so „betriebsblind“ geworden, dass euch einfache Muster gar nicht mehr auffallen?

Oder ist es euch egal, ob eure Software gegen den ganzen Müll funktioniert, weil ihr eh wisst, dass eure Produkte keinen zuverlässigen Schutz bieten und hofft ihr stattdessen nur noch darauf, dass das Geschäft damit trotzdem noch eine Zeitlang läuft?

Nur eine kleine Frage von eurem Spam „genießenden“
Nachtwächter

Ihre PACKSTATION wurde deaktiviert

Montag, 10. September 2012

Wie, ich habe eine Packstation?! 😀

Sehr geehrte/r Packstation-Kunde,

Wir haben wir üblich nicht die geringste Ahnung, wie sie heißen, obwohl…

in den letzten 24 Stunden wurde mehrfach versucht, sich Zugang zu Ihrer PACKSTATION zu verschaffen.

…wir angeblich mit ihnen in einer Geschäftsbeziehung stehen. Aber natürlich sind wir nicht DHL, obwohl wir die Absenderadresse gefälscht haben, sondern Spammer mit einer Phishing-Masche, die gern fremde Anschriften für eigene illegale Geschäfte missbrauchen.

Wir gehen davon aus, dass es sich um einen unberechtigten Zugangsversuch gehandelt hat – daher haben wir aus Sicherheitsgründen Ihre PACKSTATION deaktiviert.

Deshalb machen wir erstmal Alarm. Wer verunsichert und verängstigt ist, ist gleich viel bereiter, etwas unaufmerksamer das zu tun, was Spammer von ihnen wollen. Zum Beispiel…

Durch diese Deaktivierung können Sie nicht mehr auf Ihre PACKSTATION zugreifen. Damit Sie Ihre PACKSTATION weiterhin wie gewohnt nutzen können, ist eine Entsperrung vonnöten.

https://dhl.de/privatkunden/paket/aktivierung.htm?56e4810eh530a32m87

…auf einen Link klicken, um wieder an die Packstation zu kommen. Die Mail ist natürlich HTML-formatiert, und der Link geht auch nicht zu DHL, sondern zum Server pack (strich) station (punkt) be. Dort kann man in einer flugs nachgebauten DHL-Seite seine PostNummer, sein Internet-Passwort und die PIN für die Packstation absetzen. Nachdem man dort brav seine Daten eingegeben hat – ich habe es gerade mit ein paar Phantasiedaten durchprobiert – bedanken sich die Phisher für das Vertrauen und sagen einen, dass man jetzt wieder seine Packstation deutschlandweit nutzen kann.

In Wirklichkeit können diese Halunken natürlich die Packstation nutzen. Und die werden Anwendungen dafür haben, denn sie bleiben bei ihren Geschäften doch lieber unidentifizierbar, damit sie nicht diese hässlichen Handschellen umgelegt bekommen.

Viele Grüße
Dirk Sebastian
Marktkommunikation DHL Paket

So heißt der wirkliche Absender garantiert nicht.

Hinweis: Es besteht keine Gefahr für Ihre PACKSTATION. Diese neue Maßnahme tritt automatisiert nach 3 fehlgeschlagenen Loginversuche ein und dient der Abwehr vor Angriffen.

Was bei der Abwehr von Angriffen wirklich helfen könnte, ist die Beachtung der von DHL gegebenen Sicherheitshinweise. Den im Zusammenhang mit diesem plumpen Phishing wichtigsten Hinweis gebe ich hier gern noch einmal wieder – die Hervorhebung habe ich aus dem Original übernommen:

Aktuell sind wieder verstärkt Phishing-Mails in Umlauf, in denen Sie aufgefordert werden, ihr gesperrtes Packstation Konto zu entsperren. Diese E-Mails verlinken auf eine gefälschte DHL-Seite, auf der man seine PostNummer, Passwort und PIN eingeben soll. Bitte beachten Sie grundsätzlich: DHL Packstation wird Sie niemals nach Ihrer PIN fragen, weder telefonisch, noch postalisch oder per E-Mail!

Ich hoffe, das ist deutlich genug.

Diese Phishing-Spam wurde mir von einer Leserin weitergeleitet. Danke!

Fraud Prävention Suite

Freitag, 15. Juni 2012

AKTUELLE WARNUNG: Die angeblich von DHL stammenden Mails, die zur „Verifizierung“ eines Packstation-Accounts aufrufen, stammen nicht von DHL. Es handelt sich um überzeugendes und deshalb sehr gefährliches Phishing.

Also auf keinen Fall darauf hereinfallen!

Grundsätzlich immer daran denken, dass keine Firma mit einer E-Mail dazu auffordern wird, Passwörter oder vergleichbare Zugangsdaten preiszugeben. Auch bei Mails mit persönlicher Ansprache immer sehr skeptisch bleiben und im Zweifelsfall lieber einmal telefonische Rücksprache halten, als übereilt etwas zu tun, was nur Internetkriminellen nützt. Oder, um es mit DHL zu sagen:

Wir werden Sie niemals im Internet oder telefonisch nach Ihrer PIN fragen, diese benötigen Sie ausschließlich zur Bedienung der PACKSTATION-Automaten.

Im Moment ist es noch offen, wie die Phisher an die Daten gelangt sind. Es handelt sich um ein überzeugend durchgeführtes Phishing, bei dem die Mails an die richtige Mailadresse gehen und die Postnummern der Empfänger bekannt sind. Einige Kommentare in öffentlichen Foren deuten zurzeit stark darauf hin, dass DHL selbst das Datenleck sein könnte – diese Möglichkeit wird allerdings im Moment von DHL zurückgewiesen.

Die Qualität der zuvor irgendwo kriminell abgegriffenen Daten ist so gut, dass Standardtipps zur Vermeidung und Erkennung von Phishing nicht greifen. Wer eine eigene Adresse ausschließlich für die Packstation verwendet hat, bekommt die Spam an genau diese Adresse. Die angegebene Postnummer stimmt. Sehr viele Empfänger der Spam werden keinen Verdacht geschöpft haben. Wer darauf hereingefallen ist, muss sofort tätig werden! Welche Möglichkeiten es gibt, wird sich für Kunden gewiss auf der richtigen DHL-Website erschließen. Das an Phisher gegebene Passwort sollte auf der Stelle geändert werden, um die Kontrolle über den eigenen Account zu behalten.

Alles weitere bei DHL – ich kenne die dortigen Abläufe nicht.

DHL Express Tracking Notification

Montag, 16. Januar 2012

Nur ganz kurz am Rande eine AKTUELLE WARNUNG: Die Mail mit dem Betreff „DHL Express Tracking Notification“, die zurzeit wie eine Flut in die Postfächer schwappt, ist gefährlich. Der Anhang ist eine aktuelle Schadsoftware für Microsoft Windows.

Anhang nicht öffnen, Spam löschen!

Aber das macht hoffentlich sowieso jeder, wenn er eine fragwürdige Mail bekommt.

verlaengerung

Donnerstag, 17. Juni 2010

Lange keinen stümperhaften Phishing-Versuch mehr gehabt, aber jetzt kommt der Wahnsinn wieder. Die gefälschte Absenderadresse dieser Mail ist info (at) packstation (punkt) de, und diesmal haben die Verbrecher sogar daran gedacht, einen Reply-To-Header zu setzen, damit es auch nicht zu Antworten an die gefälschte Absenderadresse kommt und womöglich noch Kunden auf der Website von DHL vor dem kriminellen Treiben gewarnt werden.

Sehr geehrte Kunden,

Tolle Anrede. Man spricht einen einzelnen an, dessen Namen man natürlich nicht kennt, und da behilft man sich einfach mit dem Plural und hofft, dass das nicht weiter auffällt.

aufgrund der grossen Nachfrage unseres Packstation Systems sind wir gezwungen inaktive Accounts fuer neue Kunden freizugeben.

Aber was für ein Strunz als Begründung! Als ob eine Datenbank „voll“ werden könnte und solche Schritte erforderlich macht. An die Grundsätze ordnungsgemäßer Buchführung will man gar nicht erst denken, wenn ein Konto zu zwei verschiedenen Kunden gehört. Da muss man ja nicht mal nachdenken, bevor sich dieser Unfug in ein markant duftendes Blahwölkchen auflöst.

Natuerlich koennen Sie Ihre Packstation auf Wunsch weiterhin wiegewohnt nutzen.

Ach ja, DHL ist natürlich nicht dazu imstande, seinen deutschen Kunden in einer deutschsprachigen Mail deutsche Umlaute zu geben. Obwohl das wirklich lächerlich einfach ist, wenn man ein bisschen Restkompetenz in technischen Fragen hat und nicht gerade ein Stümper im Auftrag der Phishing-Mafia ist.

Um Ihre Packstation zu verlaengern, ist lediglich ein Login unter

www packstation.de/kunden/verlaengern.php

Aber immerhin, einen Link in einer HTML-Mail setzen können die Schurken. Denn dieser Link führt keineswegs auf packstation.de, sondern zu der deutlich weniger Vertrauen erweckenden Website www (punkt) packstation (punkt) w2c (punkt) ru (slash) Packstation, bei der doch hoffentlich niemand, der noch bei Troste ist, irgendwelche Zugangsdaten zu irgendwas ablegen würde. Übrigens hat der russische Hoster 2×4.ru die von den Betrügern verwendete Website bereits entfernt, das ging wirklich sehr schnell, so dass bei diesem Phishzug nicht mit weiteren Schäden zu rechnen ist. Aber es ist für die Verbrecher leider ein Leichtes, sich an einer anderen Stelle im Netz ein bisschen Webspace zu holen und die Nummer weiter zu versuchen, und ich befürchte, dass sie das auch tun werden.

Sollten Sie auf Ihre Packstation verzichten koennen, so ist kein weiteres agieren Ihrerseits noetig. Ihr Account wird dann innerhalb von 7 Tagen automatisch an einen Neukunden vergeben.

Damit auch niemand nachdenkt oder rückfragt, wird ganz schnelles Handeln erzwungen…

Wir bedanken uns fue Ihr Verstaendniss.
Viel Spaß mit Packstation wuenscht Ihnen

Ihr Packstation Team

Ich hoffe, dass das echte Packstation-Team (von mir ohne Deppen Leer Zeichen) sich niemals so patzig für ein Verständnis bedanken würde, dass ich nicht habe. (Darum bitten dürfen sie mich gerne.) Immerhin wird bei diesem hingepatzten Satz keinerlei Mühe mehr an den Tag gelegt, dass er fehlerfrei ist…

Servicenummer 01803 / xxx xxx (0,18 Euro pro angefangene Minute aus den deutschen Festnetzen.)

Telefonnummer von mir unkenntlich gemacht.

Und wer es immer noch nicht gemerkt hat: Diese Mails haben mit DHL nichts zu tun. Der Absender ist gefälscht. Kein Unternehmen würde es sich herausnehmen, seine Kunden derart unpersönlich und patzig anzusprechen. Eine technische Notwendigkeit, Accounts neu zu vergeben, gibt es nicht. Technische Probleme werden in der Regel von ein paar wirklich guten Technikern in der Administration behandelt – das sind diese Leute, die das alles erst möglich machen und deren Arbeit man immer erst bemerkt, wenn sie mal einen Fehler machen. Die meisten Menschen bekommen davon niemals etwas mit. Die wirklichen Absender dieser Mails benötigen einfach nur ein paar Zugänge von „normalen Menschen“, und über diese Zugänge werden dann kriminelle Geschäfte abgewickelt. Es handelt sich um Phishing. Das kann man bemerken, indem man kurz darüber nachdenkt. Auch ein Anruf bei DHL – bitte niemals unter den Telefonnummern, die in solchen Mails angegeben werden – kann schnell für Klarheit sorgen, wenn doch noch eine Frage übrig bleibt.

Phishing: DHL-Packstation

Samstag, 2. Januar 2010

Bei mir ist diese kriminelle Spam vom angeblichen DHL-Kundendienst noch nicht angekommen, aber sie scheint recht gefährlich zu sein:

Zurzeit sind Spam-Mails in Umlauf, die vorgeblich vom DHL-Kundenservice stammen und den Empfänger auffordern, seinen Packstations-Account dauerhaft zu registrieren. Die dort angegebene Webseite sieht auf den ersten Blick wie eine echte Seite von DHL aus […]

Weiterlesen bei heise online…

Der Text der Mail wirkt auf mich wenig überzeugend, aber da sich viele Menschen wegen ihrer geringen technischen Kompetenz durch technokratische Sprache beeindrucken lassen, könnte die betrügerische Masche doch sehr gefährlich sein.

Sehr geehrter PACKSTATION-Kunde,
sehr geehrte PACKSTATION-Kundin,

aufgrund der großen Nachfrage des PACKSTATION-Systems sind wir gezwungen dauerhaft inaktive Accounts für neue Kunden freizugeben. Selbstverständlich können Sie auf Wunsch weiterhin Ihre PACKSTATION nutzen. Hierfür ist lediglich ein Login unter
http://www.kundenservice-dhl.de/
nötig, um Ihren Account automatisch dauerhaft zu registrieren.

Generell lässt sich feststellen, dass hier alle Kennzeichen des Phishing sichtbar sind:

  1. Es fehlt jegliche persönliche Ansprache, obwohl der Empfänger doch „Kunde“ sein soll. Allein dieses Detail ist ein Grund, den Inhalt einer Mail mit der größtmöglichen Skepsis zu lesen.
  2. Der technische Grund für die Mail ist unsinnig. Eine Datenbank mit Kundendaten wird nicht so voll, dass „inaktive Accounts“ neu verwendet werden müssten. Es wäre auch unter Gesichtspunkten der Datensicherheit schlicht irrsinnig, in dieser Weise vorzugehen, einmal ganz davon abgesehen, welchen Albtraum ein solcher Vorgang für die Grundsätze ordnungsgemäßer Buchführung bedeutet. Typischerweise wird der Kunde technisch über eine (aus Kundensicht unsichtbare) nummerische ID identifiziert, die meist im Bereich bis zu ca. 4 Milliarden liegen kann. Es ist schon recht unwahrscheinlich, dass die deutschen Packstationen derart beliebt sind, dass ein solcher Nummernkreis nicht ausreichen sollte. Wenn dies aber dennoch der Fall sein sollte, wäre es für den Administrator der Datenbank eine Kleinigkeit, diesen Zahlenbereich zu erweitern, ohne dass aus Kundensicht eine Aktion erforderlich wäre oder auch nur eine Änderung bemerkt werden würde.
  3. Das „dauerhafte“ Registrieren eines registrierten Accounts ist hanebüchen. Der Account ist registriert. Er wird auch nicht gelöscht werden, da die Geschäftsvorgänge, die mit diesem Account verbunden sind, nach den Grundsätzen der ordnungsgemäßen Buchführung nachvollziehbar bleiben müssen.
  4. Der kalte, technokratische Ton der Mail ist entlarvend. Kein Unternehmen würde seine Kunden so ansprechen und auf jede Hintergrundinformation zu einem derartigen Vorgang – sollte er jemals erforderlich sein – verzichten.
  5. Für den „Login“ wird kein HTTPS verwendet, die Anmeldedaten sollen unverschlüsselt über das Internet übermittelt werden. Kein größeres Unternehmen würde seinen Kunden ein derartiges Sicherheitsrisiko aufbürden. Ob HTTPS verwendet wird oder nicht, lässt sich an der verwendeten Internetadresse erkennen, diese muss mit https:// beginnen, wenn es sich um eine gesicherte, verschlüsselte Verbindung handelt. Nähere Informationen können in der Dokumentation des Browsers und an vielen Stellen im Internet nachgelesen werden.

Es reicht also tatsächlich schon ein kurzes Nachdenken, um zu erkennen, was es mit dieser kriminellen Mail auf sich hat. Das gleiche gilt für jeden anderen Versuch des Phishings. Wenn in einer unpersönlich formulierten Mail zum Login auf irgendeiner Website einer Bank, eines Unternehmens oder eines sonstigen Webdienstes aufgefordert wird, der Geschäfte mit Geld oder geldwerten Gütern ermöglicht, sollte Alarmstufe Rot herrschen und in aller Ruhe und Besonnenheit gelesen werden. Niemals sollte man sich von der Absenderadresse einer Mail verblenden lassen, diese ist beliebig fälschbar. Niemals sollte man sich von einer plausibel klingenden Internet-Adresse für eine solche Anmeldung täuschen lassen, denn jeder kann sich eine Domain registrieren.

Im Zweifelsfall einfach erstmal nichts tun! Keine Chance den kriminellen, mafiös organisierten Phishern. In diesem speziellen Fall ist auch das Erstatten einer Strafanzeige wegen Betruges in Erwägung zu ziehen, da der Registrar der verwendeten Domain ermittelbar ist und es möglich ist, dass die Verbrecher bei ihrem Werk eventuell genug Spuren hinterlassen haben, um dingfest gemacht werden zu können. Das Erstatten einer Strafanzeige ist sehr einfach und lässt sich gut mit einem kleinen Spaziergang zur nächsten Polizeiwache kombinieren. Und wer auf dieses Phishing hereingefallen ist, sollte gleich jetzt sein Passwort ändern, bevor ein Schaden entsteht.

Auch 2010 gilt: Keine Chance den Phishern!