Schlagwortarchiv „eBay“

Gibt es noch nicht genug Phishing bei euch, eBay?

Sonntag, 25. Juni 2023

Die E-Mail, die ich hier als Screenshot zeige, ist keine Spam. Sie stammt wirklich von eBay. Um das herauszubekommen, musste ich in die Mailheader schauen. Das werden die allermeisten Empfänger nicht tun, und ich vermute, dass über neunzig Prozent der Empfänger im Lande des digitalen Analphabetismus nicht einmal wissen, wie das geht. Der „Button“ – in Wirklichkeit ein Link mit einer Hintergrundgrafik – geht auch wirklich auf die Website von eBay. Es ist kein Phishing. Obwohl wirklich alles daran wie Phishing aussieht (für eine Ansicht in Originalgröße bitte auf das Bild klicken):

Auf eine digitale Signatur dieser E-Mail, die ein Empfänger dann einfach mit ein paar Klicks in seiner Mailsoftware überprüfen könnte, um Sicherheit über den Absender zu bekommen, wurde selbstverständlich verzichtet. Ein technisch weniger versierter Empfänger, also ein so genannter „normaler Mensch“, der nicht in die Mailheader schaut und anschließend schnell an der Kommandozeile überprüft…

$ whois 66.211.185.160 | grep ^Org
Organization:   eBay, Inc (EBAY)
OrgName:        eBay, Inc
OrgId:          EBAY
OrgAbuseHandle: EBAYN-ARIN
OrgAbuseName:   eBay Network
OrgAbusePhone:  +1-408-376-7400 
OrgAbuseEmail:  network@ebay.com
OrgAbuseRef:    https://rdap.arin.net/registry/entity/EBAYN-ARIN
OrgTechHandle: EBAYN-ARIN
OrgTechName:   eBay Network
OrgTechPhone:  +1-408-376-7400 
OrgTechEmail:  network@ebay.com
OrgTechRef:    https://rdap.arin.net/registry/entity/EBAYN-ARIN
$ _

…dass diese Mail wenigstens von einer IP-Adresse von eBay versendet wurde, hat ungefähr die folgenden Möglichkeiten, sich davon zu überzeugen, dass diese E-Mail wirklich von eBay kommt:

Da ist eine Grafik mit dem eBay-Logo drin. 🔍️
Der Absender kennt meinen richtigen Namen und weiß auch, welchen Nick ich auf eBay benutze¹. 🔍️
Der Absender hat in einem Anfall von Dummheit eine hochwichtig aussehende und für den Empfänger vollständig unverständliche „Referenznummer“ für seine E-Mail in die E-Mail reingeschrieben, als ob es nicht seit dem 13. August 1982 [!] technischer Standard wäre, dass jede Nachricht eine Message-ID im Header hat, die bei einer Antwort auf diese Nachricht im Mailheader als In-Reply-To referenziert wird. Dies ist bis heute technische Praxis, und ein Internetunternehmen wie eBay sollte das eigentlich auch wissen. Auch die schlechteste Mailsoftware kann das, sei es ein Webmailer, sei es ein sonderbarer Sonderling wie Microsoft Outlook. Es ist ja auch nicht so schwierig zu implementieren. Der Anwender braucht nur auf „Antworten“ zu klicken und muss nicht irgendwelche Referenznummern über die Zwischenablage kopieren – wenn die Antworten dann auch gelesen werden. Das ist hier allerdings lt. Text der Mail nicht der Fall… 🤡️
Man wird freundlich von einem „eBay Accounts-Team“ gegrüßt. 👋️
Die postalische Anschrift einer eBay GmbH steht im Impressum der Mail, falls man sie mit einem Sackpostbrief beantworten möchte. 📯️
Der Absender macht sich große Sorgen, dass das Konto bei eBay unsicher sein könnte. 🤭️
Der Absender hat ein „geistiges Eigentum“ für den Text der E-Mail deklariert, obwohl diesem Text jegliche Schöpfungshöhe fehlt und damit auch der Schutz der Urheberrechte. Na, eBay, wollt ihr mir kein Feuer unterm Arsch machen, weil ich euer wertvolles „geistiges Eigentum“ einfach ignoriere und hier eine Kopie eurer E-Mail in diesem Blog veröffentliche? 🔥️

Alle diese Merkmale können mit Leichtigkeit von einem Trickbetrüger in einer Phishingmail nachgemacht werden. Daten für die Zuordnung eines Namens zu einer Mailadresse wurden leider massenhaft veröffentlicht und werden unter Kriminellen gehandelt. Allerdings würde dann der Link auf eine andere Website gehen, in der man die Zugangsdaten seines eBay-Kontos an einen Kriminellen gäbe, wenn man darauf klickte und sich scheinbar „bei eBay anmeldete“. Diese andere Website könnte in einer Domain liegen, die durch „kreative“ Verwendung von Subdomains mit ebay.de anfängt, so dass es auf dem ersten Blick nicht auffällt. Danach hätte man den Schaden. ☹️

Tatsächlich habe ich diese Mail auf dem ersten Blick sofort für Phishing gehalten. Sie trägt alle Merkmale einer Phishingspam. Phishing ist immer noch eine der häufigsten Betrugsformen im gegenwärtigen Internet, und wie groß der Schaden ist, der zum Beispiel durch Betrugsgeschäfte unter der Identität eines anderen Menschen mit gephishten eBay-Konten jeden verdammten Tag angerichtet wird, weiß eBay wohl genauer als ich. 😠️

Mit solchen Mails gewöhnt eBay seine Nutzer daran, dass eine Mail von eBay genau so aussieht wie ein betrügerisches Phishing. Empfängt ein Nutzer dann irgendwann einmal eine Phishingmail, so handelt es sich nicht um einen ungewöhnlichen Vorgang, der sofort auch eine gewisse Skepsis weckt, sondern um eine scheinbar ganz normale Mail von eBay. Das ist sehr dumm von eBay. 🤦‍♂️️

Man könnte es auch etwas schärfer sagen: Was eBay mit solchen Mails betreibt, ist eine Förderung der Internetkriminalität. Und nein, dies geschieht nicht aus Unwissen, sondern in genauer Kenntnis des durch Phishing angerichteten Schadens. Ach, den Schaden haben ja andere Menschen und die Gesellschaft, und deshalb ist es eBay egal? Das wäre aber schon ein bisschen asozial, nicht wahr? 🤢️

Aber ich will diesmal nicht nur meckern, obwohl ich glaube, dass die folgenden Anmerkungen unnötig sind. Ein großes Internetunternehmen sollte das selbst wissen. 😉️

Was könnte eBay in solchen Mails besser machen?

Zuvörderst sollte eBay in solchen Mails keinen Link setzen. 🚫️

Stattdessen sollte da so etwas wie „Bitte melden sie sich jetzt gleich mit ihrem Browser oder ihrer App bei ihrem eBay-Konto an, um zu überprüfen, ob ihre persönlichen Daten noch aktuell sind. Wir setzen in unseren E-Mails keinen Link. Sollten sie eine E-Mail erhalten, die scheinbar von eBay kommt und einen Link enthält, dann handelt es sich immer um Phishing. Klicken sie nicht auf diesen Link!“ stehen. 💡️

Natürlich könnte man das noch ein bisschen glatter formulieren. Aber deutlich müsste es schon sein. 😉️

Denn es gibt einen hundertprozentig sicheren, preiswerten und ganz einfachen Schutz gegen Phishing: Niemals in eine E-Mail klicken! Wenn man nicht in eine E-Mail klickt, kann einem auch kein Krimineller so einfach einen giftigen Link unterschieben. Stattdessen einfach für häufig besuchte Websites ein Lesezeichen im Browser anlegen und diese Websites nur noch über dieses Lesezeichen aufrufen. Wenn man dann eine „komische Mail“ empfängt – wie zum Beispiel diese Mail von eBay – ruft man einfach die entsprechende Website über das Lesezeichen auf und meldet sich dort wie gewohnt an. Stellt man danach fest, dass das behauptete Problem gar nicht existiert, dann hat man einen dieser gefürchteten „Cyberangriffe“ abgewehrt und sich möglicherweise monate- bis jahrelangen Ärger und finanzielle Schäden erspart². So einfach geht das! 🛡️

Und es geht ohne Komfortverlust. Man klickt. 🖱️

In diesem Fall wurde mir natürlich auch auf der Website angezeigt, dass ich eine Nachricht habe. 😊️

Wenn derartige E-Mails keinen Link mehr enthalten, werden eBay-Nutzer nicht daran gewöhnt, typische Merkmale von Phishingmails für normale eBay-Nachrichten zu halten. Wenn dazu kommuniziert wird, warum auf den Link verzichtet wird, werden eBay-Nutzer zur Aufmerksamkeit und Vorsicht angehalten. Es wird sicherlich immer noch ein paar Naive und Dumme geben, die auf alles klicken, was man nur anklicken kann, aber daran kann eBay nichts ändern… und ich übrigens auch nicht. 😐️

Desweiteren lege ich eBay nahe, E-Mails von eBay digital zu signieren. Es ist die einzige Möglichkeit für den Empfänger, sich durch eine Prüfung der Signatur mithilfe eines öffentlichen Schlüssels von zwei Dingen zu überzeugen:

Der Absender ist im Besitz des privaten Schlüssels von eBay, und
der Inhalt dieser E-Mail wurde auf dem Transportweg von niemanden verändert.

Ohne digitale Signaturen ist beides, also die Identität des Absenders und die Integrität der Nachricht, Glaubenssache. Sich in einem Internet, das leider auch von einer erheblichen Kriminalität geprägt ist, auf den Glauben verlassen zu müssen, weil einem keine bessere Möglichkeit eingeräumt wird, führt schnell dazu, dass man verlassen ist. Vor allem, wenn man kein über reine Anwenderkenntnisse hinausgehendes technisches Wissen hat. Digitale Signaturen gibt es seit über dreißig Jahren. Gute und reife Software steht frei und kostenlos zur Verfügung. Digitale Signaturen hätten das Potenzial gehabt, den Phishingsumpf trockenzulegen, bevor er so richtig mit dem Wandel des Internets zu einem Massenmedium entstanden ist, wenn sie nur genutzt worden wären. Wurden sie aber nicht. Internetunternehmen wie eBay scheinen immer noch der Meinung zu sein, dass die Nutzer ihrer Website zu dumm zum Klicken sind und setzen sie deshalb einem erhöhten Kriminalitätsrisiko aus. Ich empfinde die zusammen mit dieser Haltung verabreichte Einschätzung „du bist eh zu doof zum Klicken“ übrigens als Beleidigung. 😡️

Und ansonsten täte es bei der Formulierung einer solchen E-Mail gut, wenn sie nicht viele Merkmale aufwiese, die man sonst nur aus Phishingmails kennt. Dies lässt sich jedoch ohne technischen Aufwand, nur durch eine andere Formulierung des Textes, verbessern. Die folgende Liste ist sicherlich nicht vollständig, denn ich werde nicht von eBay dafür bezahlt, dass ich die Probleme von eBay löse, und gehe deshalb etwas entspannter an die Sache heran:

Die Ansprache mit „Hallo Nickname“, wenn man den echten Namen kennt, ist selbst dann noch dumm, wenn der echte Name in kleiner Schrift an einer Stelle erwähnt wird, die kaum jemand liest. Besser wäre eine Ansprache mit dem Namen, vielleicht in Klammern vom Nicknamen gefolgt, für den Fall, dass jemand mehrere eBay-Konten (zum Beispiel zur sauberen Trennung von Geschäftlichem und Privatem) verwendet.
Die Angabe einer für den Empfänger kryptischen „Referenznummer“ ist ein typisches Merkmal einer Phishingspam, die ein Gefühl von Wichtigkeit vermitteln soll, hier aber ohne Verlust weggelassen werden könnte.
Die Proklamation eines „geistigen Eigentums“ für den Text einer automatisch und massenhaft versendeten E-Mail ist kindisch und dumm. So etwas sehe ich sonst nur in Spam. Diese Proklamation hinzuschreiben, verändert rechtlich nichts und schafft auch nicht hokuspokus ein Schutzrecht für einen 08/15-Text ohne schützenswerte Schöpfungshöhe. Sie könnte einfach weggelassen werden.

In diesem Sinne, eBay, meine Bitte: Macht es bitte etwas besser! Ihr könnt das, und eure vielen Nutzer haben ein großes Interesse daran, dass sie von euch nicht lernen, das typische Muster einer Phishingspam in jeder echten Mail von eBay auftauchen können. 👍️

Denn der Phishingsumpf muss ausgetrocknet werden. 🎣️

¹Ich habe diesen Nick im Screenshot der Mail mit einem schwarzen Balken unkenntlich gemacht.

²Eine Betrügerbande, die das gephishte eBay-Konto eines anderen Menschen für Betrugsgeschäfte missbraucht, kann mit Leichtigkeit einen sechsstelligen Schaden binnen eines Tages anrichten. Die machen das sehr effizient. Die leben davon. Die Strafanzeigen und Ermittlungen richten sich erst einmal gegen den Inhaber des Kontos.

y͏o͏u͏ a͏r͏e͏ t͏h͏e͏ c͏h͏o͏s͏e͏n͏ o͏n͏e͏! T͏o͏d͏a͏y͏✮gammelfleisch✮

Sonntag, 19. Dezember 2021

Wie, werde ich jetzt dem Satan in die Flammen geopfert? 🔥️

ebay $90

Date of issue:01/12/2021
Order Number: 300617-50571355
Account: gammelfleisch@tamagothi.de
Date of expiry:20/12/2021

Nein, ich werde einfach nur zu einer Bestellnummer und zum Namensteil einer Mailadresse gemacht. Nicht nett, aber immer noch ein bisschen netter als zu brennen. 🤖️

Und solche Nummern sehen immer so 🚨️WICHTIG🚨️ aus! 🙃️

Congratulations gammelfleisch,

* Thank you for using ebay. Your recent purchase has got you eligible for an exclusive reward worth $90. You are one of 10 randomly selected ebay customers who will receive this reward. You have been rewarded a free reward worth $90. Just click on the button below to claim your reward.

Click here

Ich bin gar kein iieh-Bäh-Kunde. Ich habe dort niemals irgendwas gekauft. iieh-Bäh hat auch gar keine Mailadresse von mir. Diese Spam kann also bei jedem ankommen, dessen Mailadresse irgendwo eingesammelt werden konnte. 💩️

Und natürlich führt der Click-here-Link nicht etwa zu iieh-Bäh, sondern in die „Cloud“ des besten Freundes der Spammer, Asozialen und Kriminellen, in die „Cloud“ von Google. Dort gibt es dann…

$ lynx -dump -source "https://storage.googleapis.com/01439e9df401e2e/alinkasa.html#/rd/su19752eGlZa50571355GmAg300617Viz2299yWsv716"
<script>
var url= document.location;
var str1=url.toString();
var res = str1.split("#");
var newurl="http://jarjav.com/rd/"+res[1];
window.location.href = newurl;
</script>
$ _

…eine Weiterleitung zur Website in der Domain jarjav (punkt) com, die natürlich auch nichts mit eBay zu tun hat. Und da sind wieder die Idioten…

$ lynx -dump -source http://jarjav.com/rd//rd/su19752eGlZa50571355GmAg300617Viz2299yWsv716
<script>
var tarcking_param = window.location.href.split('#')[1];
if(!tarcking_param){
	document.location.href = document.location.href.replace("/rd/", "/track/");
}else{
	document.location.href = '/track/'+tarcking_param;
}
</script>
$ _

…mit dem charakteristischen Verschreiber „tarcking“ statt „tracking“ zu Gange und machen die nächste Javascript-Weiterleitung. Wer nicht jedem Hirnkrepel über ein anonymes Medium die Ausführung von Javascript-Code im Webbrowser gestattet, sondern einen wirksamen Skriptblocker verwendet, sieht einfach nur eine weiße Seite und kann auf den Schwindel gar nicht reinfallen. Wer hingegen seinen Webbrowser in der Standardkonfiguration betreibt, landet schließlich nach sechs weiteren in Javascript realisierten Weiterleitungen auf einer obskuren Geschenkseite, die genau so wenig von Vodafone kommt, wie die Spam von eBay kommt:

Wer sich über die IP-Adresse wundert: Die stimmt sogar. Diese Spammer senden jedem, der über Tor kommt, nur noch einen HTTP-Fehler 403 „Forbidden“ zurück. Sie haben kein Interesse daran, dass ihre Seitenbesucher anonym bleiben. Das wäre auch schlecht für ihr „Geschäft“. 👥️

Und natürlich hat diese Website auch nichts mit Amazon zu tun, wie in der Fußzeile noch einmal in kleinen Buchstaben klargemacht wird. Offenbar kommen diese Leute mit ihren vielen Nummern und ihren vielen missbrauchten Firmierungen selbst ein bisschen damit durcheinander, als was sie sich gerade ausgegeben haben. Diese Website hat übrigens auch nichts mit Anstand und Ehrlichkeit zu tun. 👎️

Alle Daten, die man dort als „Lieferadresse“ für ein hochpreisiges Smartphone angibt, gehen direkt an Kriminelle. Damit kann man leicht jahrelangen Ärger haben. Das Telefon gibt es nicht. Es ist nur der Köder, damit man so etwas unendlich Dummes macht. 🎣️

The advertiser does not manage your subscription.

Genau, der Spammer kann überhaupt nichts für diese Spam. Ihr könnt mich auch mal hinten lecken! 👅️

If you prefer not to receive further communication please unsubscribe here

Dieser Link geht auf den exakt gleichen URI wie der Click-here-Link, der auf das Smartphone-Geschenk führt, weil ich so eine schöne IP-Adresse habe.

So, und jetzt noch das Siegel auf die Spam, jetzt gibt es noch einmal 2989 Buchstaben, die 518 sinnlos aneinandergehängte Wörter in einem mechanisch generierten Absatz formen, damit es für den Spamfilter so aussieht, als sei diese Spam keine Spam:

our support forum at the bottom. Your membership delivers faster reservations and rentals, a special members-only line at major airport locations and exclusive discounts. Thank you! all along your road to budgeting glory. Please confirm by clicking the link you to see what the software is capable of. === Account Information === before all sorts of great things happen. Like your being able to use YNAB Joining me for a quick demo will be the fastest and most efficient way for thanks for requesting a demo. and log in with your member number. Hello! Quick note to let you know that your email needs to be confirmed == You need a budget, and your email needs confirmation. == Your Enterprise Plus member number and user name is HYFYF4W. Did any of the times on our website work for you and if so, were you able below: if you need additional help there's a link to to schedule a demo okay? bask in it. Username: sgfdg Powered by gvcnvqnijg In addition, you'll be able to start earning points you can redeem for Free Rental Days after you activate your rewards. Please allow 24 hours for system updates before activating. If not, just let me know and we'll find something else. Site ID: fwh Dylan Basile everything you need to get started below, and Thanks for signing up, and congratulations Here they are again: Dear lcTychll rGhEG, My name's Dylan Basile and I work at Event Temple. Nice to meet you and To get the most from your next rental, simply go to And we're serious about budgeting glory. It's a real thing, and you will Welcome to the Enterprise Plus? membership experience. on your new gvcnvqnijg account! You'll find The YNAB Team – Hi dhg, Thanks again! === Your Account Console === Hi dfdh, Regards, *Book a demo with me here:* Team gvcnvqnijg Confirm your email Thank you for choosing Enterprise. We look forward to making your next rental experience more rewarding. < Your Did any of the times on our website work for you and if so, were you able Here they are again: Your membership delivers faster reservations and rentals, a special members-only line at major airport locations and exclusive discounts. > Welcome to the Enterprise Plus? membership experience. to schedule a demo okay? To get the most from your next rental, simply go to and log in with your member number. thanks for requesting a demo. In addition, you'll be able to start earning points you can redeem for Free Rental Days after you activate your rewards. Please allow 24 hours for system updates before activating. Thank you for choosing Enterprise. We look forward to making your next rental experience more rewarding. Hi o19752ZCLJr50571355IbUM300617CIi2299ulwV716, My name's Dylan Basile and I work at Event Temple. Nice to meet you and Joining me for a quick demo will be the fastest and most efficient way for Enterprise Plus member number and user name is HYFYF4W. you to see what the software is capable of. Dear reillygerald931 vlyrv, If not, just let me know and we'll find something else.

Entf! 🗑️

Preis.de und eBay haben einfach alles!

Mittwoch, 14. Juli 2021

Es ist doch immer wieder schön, anzuschauen, wie irgendwelche Lumpenkaufleute jedes nur denkbare Wort aus dem Wörterbuch für Reklame buchen:

Schlamm Teich Angebote - Schlamm Teich bester Preis -- WERBUNG -- preis.de -- Schlamm Teich zum kleinen Preis hier bestellen. Große Auswahl an Schlamm Teich. -- Gutscheine finden -- Kaufberatung nutzen -- News im SparBlog -- Produkte vergleichen

Und wenn man jetzt, so gelockt, die große Auswahl an Schlamm Teich durchstöbert und von imperativen Kaufgelüsten erfüllt zugegriffen hat, aber gar nicht weiß, womit man den schönen neuen Schlamm Teich füllen soll, kommen einem die Reklameheinis von eBay direkt zur Hilfe:

Finde Schlamm auf eBay -- Bei uns findest du fast alles -- WERBUNG -- ebay.de -- Über 80% neue Produkte zum Festpreis; Das ist das neue eBay. Finde Schlamm! -- eBay-Käuferschutz -- Unter 20€

Es gibt wohl nichts, was man nicht bei eBay oder preis punkt de kaufen könnte. Außer vielleicht Gehirn.

Rechnung noch offen 26.09.2017 Nummer 74131987

Montag, 2. Oktober 2017

Achtung! Auf keinen Fall den Anhang aufmachen. Er ist das reinste Gift. Echte Mahnungen kommen übrigens mit der Sackpost, nicht mit der Mail.

Von: Ebay GmbH Stellvertretender Rechtsanwalt <service@ebay.de>

Die Mail hat niemals einen Server von eBay gesehen. Der Absender ist gefälscht.

Guten Tag,

Genau mein Name!

unsere Kanzlei wurden heute am 26.09.2017 vom Unternehmen Ebay GmbH beauftragt Ihre finanziellen Interessen in Ihrem Fall zu schützen.

So so, die Kanzlei „eBay GmbH Stellvertretender Rechtsanwalt“ wurde also beauftragt. Manche Menschen wurden von ihren Müttern mit sehr unvorteilhaften Namen bestraft. 😀

Wir erwarten die Überweisung bis zum 02.10.2017 auf unser Konto. Können wird bis zum genannten Datum keine Zahlung verbuchen, sehen wir uns gezwungen Ihren Fall an ein Gericht abzugeben. Alle damit verbundenen Kosten werden Sie tragen.

Den Absendern dieser Spam geht es nicht um Geld, das man ihnen überweisen soll. Sonst würden sie auch in die E-Mail reinschreiben…

…um welchen Gesamtbetrag es sich handelt, und
…auf welches Konto dieser Betrag überwiesen werden soll.

Dass sie das nicht tun, liegt nicht am Platzmangel in der Mail. Die völlig sinnlose Angabe einer sittenwidrig kurzen Frist „bis heute“ konnten sie ja auch schreiben. Ein geübter Schreiber des Deutschen würde übrigens bei einer Fristsetzung immer den Monatsnamen ausschreiben, um keinerlei Missverständnisse aufkommen zu lassen.

Wenn die Verfasser dieses einschüchternden Strunztextes wirklich wollten, dass man das scheinbar eingeforderte Geld auch bezahlt, schrieben sie auch nicht, dass man wegen einer Vorgangsnummer 08/15 grundlos Geld bezahlen soll. Sie wollen es aber nicht. Sie wollen nur…

Die detaillierte Kostenaufstellung Nr. 741319877, der Sie alle Einzelpositionen entnehmen können, fügen wir bei.

…dass man einen Anhang öffnet. Dieser Anhang ist…

$ unzip -l 26.09.2017.zip 
Archive:  26.09.2017.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
   487933  2017-10-01 10:25   Rechnung vom 26.09.2017.zip
---------                     -------
   487933                     1 file
$ unzip 26.09.2017.zip 
Archive:  26.09.2017.zip
  inflating: Rechnung vom 26.09.2017.zip
$ unzip -l "Rechnung vom 26.09.2017.zip" 
Archive:  Rechnung vom 26.09.2017.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
   504320  2017-10-01 10:25   26.09.2017 Rechnung.com
---------                     -------
   504320                     1 file
$ _

…ein ZIP-Archiv, in dem ein ZIP-Archiv verpackt wurde, in dem eine ausführbare Datei für Microsoft Windows verpackt wurde. Diese ist ein Programm, das von spammenden Kriminellen mit einer irreführend und alarmierend formulierten Mail zugestellt wurde. Wer dieses Programm auf seinem Computer gestartet hat, hat ein Problem.

Die klare Schadsoftware wird zurzeit nur von einem Drittel der gängigen Antivirus-Schlangenöle erkannt. Wer sich nur darauf verlässt, ist häufig wieder einmal verlassen und „darf“ demnächst bang Banknoten der Europäischen Zentralbank gegen Bitcoin eintauschen und darauf hoffen, dass er wieder an seine von Verbrechern verschlüsselte Festplatte kommt. Dagegen gibt es übrigens auch ein gutes Mittel, das allerdings vorbeugend angewendet werden muss… 😉

Zum allgemeinen Umgang mit E-Mail-Anhängen empfehle ich, noch einmal das zu lesen, was ich im vorigen Jahr anlässlich einer von Erpressungstrojanern gepwnten Stadtverwaltung schrieb. Kurze Zusammenfassung: Niemals einem E-Mail-Anhang öffnen, der nicht vorher über einen anderen Kanal als E-Mail explizit vereinbart wurde und durchgehend digitale Signaturen nutzen, um den Absender eine E-Mail jenseits jedes vernünftigen Zweifels sicherstellen zu können.

Aufgrund des bestehenden Zahlungsrückstands sind Sie verpflichtet außerdem, die durch unsere Tätigkeit entstandene Kosten von 64,92 Euro zu tragen. Um weitete Kosten auszuschließen, bitten wir Sie den ausstehenden Betrag auf unser Konto zu überweisen. Berücksichtigt wurden alle Buchungseingänge bis zum 25.09.2017.

Jetzt haben die Verbrecher das Wichtigste in ihrem Strunztext geschrieben – nämlich den Vorwand, weshalb der Empfänger eine Schadsoftware starten soll – und die Gedanken sind schon wieder im Bordell, so dass die Konzentration nachlässt und sich eine Menge kleiner Fehler einschleichen. „Sind sie verpflichtet außerdem“ oder „die entstandene Kosten“ würde in keiner echten Vorlage für regelmäßig versendete Mahnungen längere Zeit Bestand haben.

Bei Rückfragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb von drei Werktagen.

Ich kann mir lebhaft vorstellen, wie zurzeit die gefälschte Absenderadresse mit Mails bombadiert wird und auf Seiten eBays Aufwand und Kosten verursacht. Den Verbrechern ist das egal. Die interessieren sich nur für ihr eigenes verbrecherisches Geschäft. Es sind asoziale Spammer.

Mit besten Grüßen

Stellvertretender Rechtsanwalt Oskar Klein

Diese Spam und diese Schadsoftware sind die besten Grüße der Spammer. Bessere haben sie nicht anzubieten.

Offene Rechnung: Buchung 42628390

Donnerstag, 21. September 2017

Von: Directpay24 GmbH Abrechnung <admin@ebay.com>

Diese Spam hat mit eBay nichts zu tun. Sie wurde über einen angemieteten „Cloud“-Server versendet. Der Absender ist gefälscht.

Sehr geehrter Käufer,

Was habe ich denn gekauft? Und vor allem: Unter welchem Namen habe ich das gekauft. Ich werde ja wohl einen Namen und eine Lieferadresse angegeben haben, sonst käme ja gar nichts bei mir an. Och, habt ihr Spammer zu meiner Mailadresse noch keinen Namen?! Tja, dann klappt es eben nicht mit einer überzeugenden Ansprache des Empfängers.

wir wurden heute am 18.09.2017 vom Unternehmen Directpay24 GmbH gebeten Ihre [sic! Großgeschrieben! Die sprechen mich an!] finanziellen Rechte in Ihrem Fall zu schützen.

Wie, ihr wollt meine Rechte schützen? Und dafür bezahlt jemand anders, bei dem ich angeblich Schulden habe, einfach so Geld an euch? Oder habt ihr bei eurer riesigen Pay-Klitsche mit den achtstelligen Rechnungsnummern mal wieder nicht das Geld für einen richtigen Dolmetscher für eure 08/15-Standardschreiben übrig und formuliert deshalb so missverständlich und falsch?

Wir erwarten die vollständige Zahlung zuzüglich der Zusazgebühren [sic!] bis zum 22.09.2017 auf unser Konto. Können wird [sic!] bis zum genannten Datum keine Zahlung verbuchen, sehen wir uns gezwungen Ihren Mahnbescheid an ein Gericht abzugeben. Sämtliche damit verbundenen Kosten werden Sie tragen.

Wenn ihr wirklich Geld von mir wolltet, statt mich einfach nur dazu überrumpeln zu wollen, dass ich euren vergifteten Anhang öffne, würdet ihr ganz sicher folgende Angaben machen:

Grund für die Forderung (und zwar nicht als Nummer)
Forderungsbetrag
Höhe der „Zusazgebühren“
IBAN für die Überweisung

Aber dann würde ja nahezu jeder Empfänger bemerken, dass eure Mail nichts als alarmierend formulierter Quatsch ist, dessen einziger Zweck es ist…

Eine vollständige Kostenaufstellung Nr. 426283909, der Sie alle Einzelpositionen entnehmen können, fügen wir bei.

…den Empfänger zum Öffnen eines Anhanges aus der Spam zu bringen. Denn allen Bemühungen der Werber um eine weitgehende Enthirnung des Konsumenten zum Trotze wissen die meisten Menschen noch recht genau, was sie gekauft haben.

Wer eine „Rechnung“ schreibt, und nicht mindestens die oben genannten Angaben macht, ist immer ein Spammer. Die Mail kann einfach in den Müll. Es gibt keinen vernünftigen Grund, solche Angaben erst in einem Anhang zu machen, wenn man das Geld auch haben will. Nur, wer das Geld nicht will, drückt sich dermaßen Nichts sagend aus und verweist auf einen Anhang, der geöffnet werden muss.

Der Anhang ist hier ein ZIP-Archiv mit dem Dateinamen 18.09.2017.zip und einer recht wuchtigen Dateigröße von 475 KiB. In diesem ZIP-Archiv…

$ unzip -l 18.09.2017.zip 
Archive:  18.09.2017.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
   487374  2017-09-21 02:11   Rechnung vom 18.09.2017.zip
---------                     -------
   487374                     1 file
$ _

…befindet sich ein weiteres ZIP-Archiv, wenn doppelt ja bekanntlich besser hält und eine kompliziertere Verpackung des kriminellen Sondermülls die Spamfilterung auf Mailservern erschwert. Nun gut…

$ unzip 18.09.2017.zip 
Archive:  18.09.2017.zip
  inflating: Rechnung vom 18.09.2017.zip
$ unzip 'Rechnung vom 18.09.2017.zip' 
Archive:  Rechnung vom 18.09.2017.zip
  inflating: 18.09.2017 Rechnung.com
$ ls -lh *.com
-rw-rw-r-- 1 elias elias 492K Sep 21 02:11 18.09.2017 Rechnung.com
$ file *.com
18.09.2017 Rechnung.com: PE32 executable (GUI) Intel 80386, for MS Windows
$ _

…das Auspacken der doppelt eingepackten Datei führt keineswegs zu einem Dokument, sondern zu einer ausführbaren Datei für Microsoft Windows, die mit gezielten Irreführungen von Kriminellen mit einer Spam zugestellt wurde. Wer auf diese Datei doppelklickt, startet damit ein Programm von Verbrechern. Das ist keine gute Idee. Es ist sogar eine ausgesprochen dumme Idee. Wer wissen will, wie die bessere Idee aussieht, lese bitte einfach noch einmal nach, was ich vor anderthalb Jahren anlässlich des Erpressungstrojaners in der Stadtverwaltung Dettelbach geschrieben habe. Danach einfach den kriminellen Sondermüll löschen und sich den schöneren Dingen am Internet zuwenden!

Bei diesem Anhang handelt es sich nämlich völlig sicher um Schadsoftware. Diese wird allerdings zurzeit nur von rd. einem Fünftel der Antivirus-Programme erkannt. Deshalb ist und bleibt es wichtig, dass man derartige Spam selbst erkennt und löscht, statt darin herumzuklicken.

Aufgrund des andauernden Zahlungsverzug [sic!] sind Sie gezwungen außerdem [sic!], die durch unsere Tätigkeit entstandene Kosten [sic!] von 97,91 Euro zu bezahlen. Um weitete Kosten auszuschließen [sic!], bitten wir Sie den ausstehenden Betrag auf unser Konto [Welches Konto und welcher Gesamtbetrag?] zu überweisen. Berücksichtigt wurden alle Buchungseingänge bis zum 15.09.2017 [sic!].

Aha, die wesentliche Botschaft – machen sie ganz schnell und dringend den Anhang auf – haben die Spammer jetzt rübergebracht, und danach lässt halt die Konzentration ein wenig nach. Deshalb brauche ich eine Sonderschnellüberweisung mit der Zeitmaschine, denn mittlerweile ist schon der 21. September. Aber man kann ja wirklich nicht von den Kriminellen erwarten, dass sie ihre Texte vor dem Absenden einmal kurz überfliegen und allzu peinliche Fehler korrigieren, denn wenn sie sich Mühe geben wollten, dann könnten sie ja einfach arbeiten gehen und brauchten keine Erpressungstrojaner in wehrlose Postfächer zu spammen. Zudem scheint es mir sicher, dass die Absender dieses E-Mülls nicht so gut deutsch können und ihren Text einfach aus einigen anderen Spams zusammengesetzt haben.

Bei Rückfragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb von zwei Werktagen.

Klar doch! Ohne angegebene Kontaktmöglichkeit. Oder soll man einfach die Drecksmail mit ihrem gefälschten Absender beantworten? Der admin@ebay.com wird sich aber sehr über den Kaufmannskram „freuen“, der in Wirklichkeit nur eine Masche ist, um Leuten einen Trojaner unterzujubeln.

Mit verbindlichen Grüßen

Abrechnung Lars Beham

Mit verwünschenden Grüßen!

Spamlektüre Elias Schwerdtfeger

Ihre Automatische Konto-Lastschrift 27208377 konnte nicht vorgenommen werden 03.07.2017

Montag, 3. Juli 2017

ACHTUNG! Auf gar keinen Fall den Anhang öffnen!

Immerhin, das Datum stimmt. Im Gegensatz zur lustigen Zahl für eine Lastschrift (statt der Kontonummer des vermutlich ungedeckten Kontos) hat es für mich sogar eine gewisse Bedeutung… 😀

Von: DirectPay AG Stellvertretender Sachbearbeiter <admin@ebay.com>

eBay, die Klitsche, wo ein Vizeersatzsachbearbeiter die Mailadresse „admin“ kriegt. Natürlich ist der Absender gefälscht. Es ist kinderleicht, den Absender einer E-Mail zu fälschen. Mein Exemplar dieser Spam kam von einem Server, der bei einem US-amerikanischen Hoster gemietet wurde. Der Hoster ist bereits informiert. Ich hoffe, er hat Vorkasse genommen, als ein Verbrecher die Daten und die Kreditkarte eines anderen Menschen missbrauchte, sich einen Server zu mieten, um das Internet mit Spam vollzumachen.

Sehr geehrter Käufer,

Was habe ich denn gekauft?

wir wurden von der Firma DirectPay AG gebeten Ihre gesetzlichen Rechte in Ihrer Angelegenheit zu schützen.

Was verkauft mir diese „DirectPay AG“? Meine eigenen Rechte?

Die Zahlung erwarten wir bis spätestens 07.07.2017. Falls wir bis zum genannten Datum keine Überweisung verbuchen, sehen wir uns gezwungen Ihren Fall an ein Gericht abzugeben. Sämtliche damit verbundenen Zusatzkosten werden Sie tragen müssen.

Welche Zahlung? Wofür? An wen? Welcher Betrag? Auf welches Konto? Jemand, der wirklich Geld wollte, würde sehr darauf achten, dass diese Angaben in seiner Mail stehen.

Fristsetzungen kommen aus Gründen der Rechtssicherheit immer mit der Sackpost.

Aufgrund des bestehenden Zahlungsrückstands sind Sie verpflichtet zusätzlich, die durch unsere Tätigkeit entstandene Gebühren von 52,03 Euro zu tragen.

Auf welcher Grundlage bin ich dazu verpflichtet, diesen Mondpreis von über fuffzich Øre für eine E-Mail zu bezahlen?

Bei Rückfragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb von 48 Stunden.

Eine Telefonnummer für eine Kontaktaufnahme wurde nicht angegeben. Niemand würde das tun, wenn er wirklich eine Kontaktaufnahme erwartete.

Um zusätzliche Kosten auszuschließen, bitten wir Sie den ausstehenden Betrag auf unser Konto zu überweisen. Berücksichtigt wurden alle Buchungseingänge bis zum 30.06.2017.

Eine Kontonummer oder der Betrag wurde nicht angegeben.

In diesem ganzen aufgequollenen Text einer hochkriminellen Standardspam steht nichts, was für den Empfänger in irgendeiner Weise sinnvoll sein könnte. Wenn er auch nur erfahren möchte, um was zum hackenden Henker es hier geht, muss der Empfänger…

Eine vollständige Forderungsausstellung Nummer 272083776, der Sie alle Positionen entnehmen können, fügen wir bei.

…einen Mailanhang öffnen. Das ist das Standardmuster für Schadsoftware-Mails und immer ein sicheres Zeichen dafür, dass man die Mail einfach in den virtuellen Papierkorb werfen kann.

Der Anhang ist ein ZIP-Archiv mit einem nichtssagenenden Dateinamen, in dem…

$ unzip -l 03.07.2017.zip 
Archive:  03.07.2017.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
   506420  2017-07-03 00:22   03.07.2017.zip
---------                     -------
   506420                     1 file
$ _

…ein weiteres ZIP-Archiv liegt. Derartig komplizierte „Verpackungen“ für angehängte Dateien erfüllen nur einen Zweck: Sie sollen einen Antivirus-Scan auf einem Mailserver erschweren. Mal schauen, was da doppelt verpackt wurde:

$ mv 03.07.2017.zip 03.07.2017.old.zip 
$ unzip 03.07.2017.old.zip 
Archive:  03.07.2017.old.zip
  inflating: 03.07.2017.zip
$ unzip -l 03.07.2017.zip 
Archive:  03.07.2017.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
   694272  2017-07-03 00:22   03.07.2017 Rechnung.com
---------                     -------
   694272                     1 file
$ _

Es handelt sich nicht etwa um eine Rechnung, sondern um eine ausführbare Datei für Microsoft Windows, die mit einer vorsätzlich irreführenden E-Mail von einem Spammer zugestellt wurde. Wer darauf einen Doppelklick macht, startet auf seinem Computer ein Programm von Verbrechern und hat in weniger als einer Sekunde einen Computer anderer Leute auf dem Schreibtisch stehen (und darf wohl demnächst sein Backup zurückspielen oder sich, wenn kein Backup vorhanden ist, von seinen verschlüsselten Daten verabschieden, denn eine Lösegeldzahlung an derartige Verbrecher kommt nicht in Frage). In der jüngeren Vergangenheit wurden durch einen solchen unbedachten Klick vielfach ganze Firmennetzwerke an Verbrecher übergeben – mit großem wirtschaftlichen Schaden für das davon betroffene Unternehmen und teilweise sogar mit großem gesellschaftlichen Schaden.

Wer sich hier auf sein Antivirus-Programm verlässt, ist verlassen. Diese Schadsoftware wird zurzeit von deutlich weniger als einem Zehntel der gebräuchlichen Antivirus-Programme als das erkannt, was sie völlig sicher ist: Schadsoftware. Antivirus-Programme – von mir meist despektierlich „Schlangenöl“ genannt – schützen nur vor Schadsoftware, die beim Hersteller des Antivirus-Programmes bekannt ist und versagen regelmäßig bei neuer Schadsoftware. Und das Wort „neue Schadsoftware“ bedeutet hier auch: Mit winzigen Änderungen versehene Versionen alter, an sich längst bekannter Schadsoftware. Diese relative Unfähigkeit so genannter Antivirus-Programme wird richtig fürchterlich, wenn Menschen auch noch von der Reklame und einem schlechten Journalismus verblendet an die bequeme Sicherheit durch ein Antivirus-Programm glauben und deshalb gedanken- und bedenkenlos auf alles klicken, was sich nur anklicken lässt. Am Ende ist dann zum Beispiel eine ganze Stadtverwaltung kriminell übernommen. 🙁

Wer aber niemals einen Anhang einer E-Mail öffnet, der nicht vorher explizit abgesprochen wurde, wer generell nicht in E-Mail herumklickt und wer sich auch nicht durch einschüchternd formulierte Nonsens-Spams von solchen Verbrechern überrumpeln lässt, ist immer auf der sicheren Seite. Es ist eine Haltung, die man sich leicht angewöhnen kann und die in der Praxis beim täglichen Abarbeiten der E-Mail zu mehr Sicherheit führt, als jedes Antivirus-Produkt einbringen kann. Eine sinnvolle Ergänzung dazu sind übrigens nicht Antivirus-Programme, sondern die durchgehende Verwendung digital signierter E-Mail (eine Technik, die jedem Menschen seit rund zwanzig Jahren Frei und kostenlos zur Verfügung steht), um den Absender einer E-Mail jenseits jedes vernünftigen Zweifels feststellen zu können – erst danach kommen Antivirus-Produkte als mögliche Ergänzung. Dass die verwendete Software und das verwendete Betriebssystem immer auf aktuellem Stand gehalten werden müssen, versteht sich von allein – denn ein beseitigter Fehler in der Software kann nicht mehr von Kriminellen ausgenutzt werden.

Mit besten Grüßen

Stellvertretender Sachbearbeiter Justus Melber

Das wichtigste Hilfsmittel zur Herstellung von Computersicherheit ist und bleibt das Gehirn des Menschen, der vorm Computer sitzt. Zurzeit kann dieses Gehirn von keiner Software ersetzt werden, und ich gehe davon aus, dass dies auch in den nächsten zehn Jahren nicht möglich ist. Erfreulicherweise ist die Nutzung des Gehirnes kostenlos und verbraucht auch keinen zusätzlichen Strom. Also bitte, liebe Mitmenschen: Nutzt eure Gehirne!

Vorname Nachname Ihre Abrechnung 60600263 vom 26.04.2016

Dienstag, 26. April 2016

Diese Spams sind die Pest des heutigen Tages. Es gibt unglaublich viel davon.

Anstelle von „Vorname Nachname“ stand hier der richtige bürgerliche Name des Empfängers. Den hätte der Spammer zwar auch in das Empfängerfeld schreiben können, aber in der Betreffzeile wirkt es nun einmal alarmierender, und alarmieren will dieser Spammer. Denn er hat frische Schadsoftware anzubieten, die man sich nach einer Überrumpelung installieren soll, indem man einen Mailanhang öffnet.

Von: Rechnungsstelle Amazon AG <ebay (at) ebay (punkt) de>

So so, eBay und Amazon sind neuerdings fusioniert… schade eigentlich, dass die das selbst noch gar nicht gemerkt haben.

Der Spammer will hier natürlich die Kunden zweier beliebter Websites erreichen und zur Installation von Schadsoftware motivieren – aber die Art, wie er es getan hat, ist so, als würde in einer Absenderadresse als Klarname „etwas bei Volkswagen“ angegeben, und dazu eine Mailadresse in der BMW-Domain. Wenn man so etwas sieht, kann man sofort Zuckungen im Löschfinger bekommen. Es handelt sich ganz sicher um eine Spam von Kriminellen, deren Absender gefälscht ist.

Es gibt genau die gleiche Masche (mit geringfügigen Änderungen, aber ebenfalls mit dem Merkmal der erwähnten Anschrift) auch als angebliche Mail mit dem Absender „Rechtsanwalt GiroPay AG“ und der gefälschten Absenderadresse service (at) giropay (punkt) de und vermutlich in einigen weiteren Geschmacksrichtungen mehr.

Sehr geehrte(r) Vorname Nachname,

leider haben wir festgestellt, dass unsere Zahlungsaufforderung NR606002630 bisher ergebnislos blieb. Heute gewähren wir Ihnen nun letztmalig die Möglichkeit, den nicht gedeckten Betrag der Firma Amazon AG zu begleichen.

Ganz schlimme Zahlungsaufforderung. Sie hat eine Nummer. Denn Nummern sind wichtig. Um was geht es? Steht da nicht. Von wann ist sie? Steht da nicht. Objektiv steht da gar nichts und man soll völlig grundlos Geld bezahlen – wenn man mal von dem kleinen Patzer des Autors absieht, dass man „nicht gedeckte Beträge von Amazon begleichen“ kann. Schön, dass man seinen Beitrag dazu leisten darf, Amazon vor der Insolvenz zu bewahren.

Niemand würde sich so unklar ausdrücken, wenn es um Geld geht.

Nachdem so wenig Konkretes gesagt wurde, hat der Spammer allerdings auch etwas Konkreteres mitzuteilen – auch wenn der Empfänger das schon längst kennt:

Verbindliche Personalien:

Vorname Nachname
Straße Hausnummer
Postleitzahl Wohnort

Tel. Telefonnummer

Hier steht im Original der Name und die korrekte Anschrift des Empfängers nebst seiner korrekten Telefonnummer. Ich habe zurzeit mehrere derartiger Spams von Lesern, die allesamt eine korrekte Anschrift und eine korrekte Telefonnummer enthalten. Wo die Daten herkommen, ist mir zurzeit unklar – aber Spammer sind seit mehreren Jahren darum bemüht, auf allen nur denkbaren Wegen zu möglichst vielen Mailadressen weitere Daten zu erhalten und in großen Datenbanken zusammenzuführen. Meine spontane Vermutung ist, dass diese Daten über trojanische Apps aus Smartphone-Adressbüchern abgegriffen werden. In einem Fall war die angegebene Telefonnummer seit mindestens einem Jahr nicht mehr aktuell (das Mobiltelefon ging verloren). Der Datenbestand, aus dem sich die Spammer bedienen, scheint also mindestens ein Jahr alt zu sein. Allerdings sind auch viele Adressbücher in Smartphones nicht die Aktuellsten. Näheres dazu kann ich aber erst sagen, wenn mir ein paar Fälle bekannt sind, in denen die Quelle der Daten völlig klar ist, weil zum Beispiel eine ganz spezifische, nur in einem Kontext verwendete E-Mail-Adresse vom Spammer verwendet wurde, so dass man der Sache auf die Spur kommen kann.

Wer hierzu weitere Hinweise geben möchte, kann einfach einen Hinweis in den Kommentaren geben, so dass alle Leser etwas davon haben. Ich gehe davon aus, dass Millionen von diesen Spams unterwegs sind – und ich selbst habe „leider“ nur eine nicht-personalisierte mit der gleichen Schadsoftware-Brut. (Wer nach einer solchen Spam zu Recht etwas paranoid geworden ist: Natürlich kann man sich hier einfach einen Namen und eine Mailadresse für den Kommentar ausdenken, eine Registrierung ist nicht erforderlich.)

Das ist ein gutes Beispiel dafür, warum Datenschutz wichtig ist. Eine ansonsten ganz durchschnittliche Schadsoftware-Spam wird ungleich gefährlicher, wenn sie mit solchen Daten personalisiert wurde.

Aufgrund des andauernden Zahlungsverzug sind Sie verpflichtet dabei, die durch unsere Inanspruchnahme entstandene Gebühren von 44,40 Euro zu bezahlen. Bei Fragen oder Unklarheiten erwarten wir eine Kontaktaufnahme innerhalb von drei Werktagen. Um weitete Kosten auszuschließen, bitten wir Sie den ausstehenden Betrag auf unser Konto zu überweisen. Berücksichtigt wurden alle Zahlungseingänge bis zum 25.04.2016.

So so, Kontaktaufnahme in drei Tagen – und eine Kontaktmöglichkeit ist nicht angegeben. Dafür wird es richtig teuer. Wofür, wird nicht gesagt. Sind halt Gebühren. Die entstehen halt. Wisst schon. Wer erschrocken ist und von seiner leichten Panik verdummt etwas Näheres erfahren möchte…

Eine vollständige Kostenaufstellung Nr. 606002630, der Sie alle Positionen entnehmen können, fügen wir bei.

…muss einen Anhang einer E-Mail öffnen, die mit gefälschtem Absender einen falschen Eindruck erwecken will, um rauszukriegen, um was zum hackenden Henker es hier überhaupt geht.

In den mir vorliegenden E-Mails ist dieser Anhang ein ZIP-Archiv, in dem ein ZIP-Archiv liegt, in dem eine ausführbare Datei für Microsoft Windows liegt. In einem Exemplar gibt es keine doppelte Verpackung, sondern nur eine einfache. In keinem Fall handelt es sich um ein Dokument, auch wenn das Piktogramm einen falschen Eindruck vom Charakter der Datei erwecken will.

Es handelt sich völlig klar um Schadsoftware. Diese wird zurzeit von den meisten Antivirus-Programmen nicht als Schadsoftware erkannt. Wer sich auf diesen Schutz verlassen hat, ist verlassen. So genannte Antivirus-Programme funktionieren nämlich nicht. Und wenn man sich wegen dieser Programme sicher fühlt und deshalb glaubt, unüberlegt handeln zu dürfen, sind diese Programme sogar gefährlich und arbeiten der Organisierten Kriminalität zu.

Deshalb ist es wichtig, dass man derartige Spam selbst erkennt und niemals darin herumklickt, sondern sie löscht. (Wer mag, kann natürlich gern zur Polizei gehen und Strafanzeige erstatten, aber über die Ermittlungschancen sollte man sich keine Illusionen machen.) Grundsätzlich sollte niemals ein E-Mail-Anhang geöffnet werden, der nicht vorher explizit und über einen anderen Kanal als E-Mail abgesprochen wurde – und niemand sollte sich vom Absender einer Mail verblenden lassen, denn dieser ist beliebig fälschbar¹.

Wir erwarten die Zahlung bis zum 28.04.2016 auf unser Bankkonto. Falls wir bis zum genannten Termin keine Überweisung einsehen, sehen wir uns gezwungen Ihre Forderung an ein Gericht abzugeben. Alle damit verbundenen Zusatzkosten werden Sie tragen.

Jedes Unternehmen, das auch Geld bekommen möchte, würde an dieser Stelle seine Bankverbindung und den Betrag angeben. Der Spammer will aber nur, dass ein Anhang geöffnet wird.

Sollten Sie den Rechnungsbetrag bereits vorab an uns gezahlt haben, ist dieses Schreiben nur für Ihre Unterlagen bestimmt. Sollten Sie Fragen haben, stehen wir Ihnen gerne zur Verfügung.

Klar, eine E-Mail nur für meine Unterlagen… 😀

Und die Fragen stellt man wo? Ach, Kontaktdaten gibts keine.

Mit freundlichen Grüßen

Rechnungsstelle Silas Krantz

„Freundlich“ wie eine Ohrfeige

Dein Schadsoftware-Spammer mit dem aktuellen Erpressungstrojaner

¹Die ganzen Internet-Unternehmen könnten damit anfangen, ihre Mail digital zu signieren, um dieser Form der Kriminalität (und dem Phishing) nach und nach das Wasser abzugraben. Sie tun dies nicht. Die technische Lösung für die digitale Signatur von E-Mail steht seit 25 Jahren jedem zur Verfügung, der sie nutzen möchte. Sie tun dies trotzdem nicht. Die technische Lösung steht seit über anderthalb Jahrzehnten in freier und kostenlos nutzbarer Form jedem zur Verfügung, der sie nutzen möchte. Sie tun dies trotzdem nicht. Die ganzen Unternehmen, die sich angesichts der gegenwärtigen Kriminalität aus nicht nachvollziehbaren Gründen (ich nenne sie einfach mal in Ermangelung besserer Erklärungen Verantwortungslosigkeit und Arschlochhaftigkeit) weigern, ihre Kunden zu schützen, indem sie den Verfasser und unverfälschten Inhalt ihrer E-Mails überprüfbar sicherstellen, tragen eine erhebliche Mitschuld am Erfolg der gegenwärtigen Internet-Kriminalität, vom Phishing bis zum Erpressungstrojaner.

Danke an die diversen Einsender dieser wirklich gefährlichen Spam! Ein spezieller Dank geht an Hans.

Hallo eBay, ist noch alles knusper bei euch‽

Freitag, 15. April 2016

Nutzer der Handy-App von eBay¹ können den folgenden Hinweis in ihrer App sehen:

Screenshot der eBay-App. Im unteren Bereich ist ein Overlay mit folgendem Text eingeblendet: 'Helfen Sie uns, Ihr eBay-Konto zu schützen (Link) Bestätigen Sie Ihre persönlichen Daten'.

Helfen Sie uns, Ihr eBay-Konto zu schützen
Bestätigen Sie Ihre persönlichen Daten

Es handelt sich hier nicht um einen Phishing-Versuch.

Ich war mir auf dem ersten Blick völlig sicher, dass es Phishing ist, und meine einzige Frage war, wie die Phisher es wohl geschafft hätten, ihre Phishing-Einleitung als Overlay in die eBay-App einzublenden. (Ich halte es nicht für unmöglich, dass Kriminelle solche Möglichkeiten finden und ausnutzen – Smartphones sind leider sehr gefährliche und für kriminelle Versuche sehr offene Geräte.)

Ich habe mich (zum Glück) getäuscht.

Diese Meldung kommt wirklich von eBay. Und diese Meldung ist wirklich sehr dumm gestaltet, denn sie drückt bei ihren Empfängern auf die gleichen psychologischen Knöpfe wie typische Phishing-Mails:

Bereits bekannte Kundendaten sollen noch einmal bestätigt werden;
dies soll nicht etwa über einen von der Mitteilung unabhängigen Aufruf der eBay-Website, sondern über einen Link geschehen; und
es ist wegen „der Sicherheit“, wegen „des Schutzes des Kontos“ erforderlich.

Das ist – wenn man einmal von dem von Phishern gern angewendeten zusätzlichen Druckmittel einer Fristsetzung oder aufkommender Kosten absieht – genau die gleiche Ausdrucksweise, mit der Menschen sonst dazu gebracht werden sollen, ihre Konten und persönlichen Daten der Organisierten Kriminalität zur Verfügung zu stellen, indem sie die Zugangsdaten in schnell aufgeschäumten Webseiten im Design der entsprechenden Unternehmen eingeben und absenden. (In jüngerer Zeit wird auch häufig ein HTML-Dokument an die E-Mail angehängt, das man ausfüllen und absenden soll – mit gleichem Ergebnis.)

Auch die unter diesem Link hinterlegte Seite sieht so aus, wie ich es von der ersten Seite eines Phishing-Versuches gewohnt bin, der zunächst Accountdaten haben will, bevor weitere Dateneingaben (Anschrift, Bankverbindung, Kreditkarte) erschlichen werden [die unkenntliche Telefonnummer im Screenshot ist nicht von eBay]:

Screenshot der eBay-Seite zur Datenbestätigung -- Helfen Sie uns, Ihr eBay-Konto zu schützen -- Für noch mehr Sicherheit vergewissern Sie sich bitte, dass Ihre personenbezogenen Daten auf dem aktuellen Stand sind. -- E-Mail -- Mobiltelefon

Und genau das führt eBay gegenüber seinen Kunden als gewöhnliche Form der Kommunikation von eBay zum Kunden ein. Ganz so, als sei das Problem mit Phishing noch nicht groß genug; als müsse man seine Kunden zudem daran gewöhnen, dass genau die gleichen Kommunikationsmuster aus typischen Betrugsmails eine gewöhnliche Form der geschäftlichen Kommuniaktion seien und den Betrug auf diese Weise mit Autorität und Glaubwürdigkeit „aufladen“.

Das erschwert die sichere Erkennung von Phishing und zerstört den Schutz durch einen mit ungewöhnlichen Vorgängen und Aufforderungen aufkommenden Verdacht.

Die Folgen dieser dummen Entscheidung eBays werden nicht lange auf sich warten lassen – arglose Nutzer werden vermehrt auf Phishing-Mails hereinfallen, da sie ihren Stil für einen authentischen eBay-Stil halten. Dies gilt in besonderer Weise, als dass den Kriminellen eine sehr umfangreiche Datenbank mit Mailadressen und Accountdaten zur Verfügung steht, die bei eBay benutzt wurden oder noch werden. (Siehe zur Vorgeschichte dieses Datenlecks meine vorsichtig formulierte Mutmaßung hier auf Unser täglich Spam, als auf einmal hochgefährliches eBay- und PayPal-Phishing in Mail an exklusiv für eBay und PayPal benutzte Mailadressen auftauchte.)

eBay führt sich gerade wie ein Freund und Förderer der Organisierten Kriminalität auf; ganz so, als wollte eBay Phishing zu einem Erfolgsrezept für gewerbsmäßige Betrüger machen.

Das ist schlecht. Und es sollte geändert werden.

Von eBay.

So schnell wie möglich, am besten sofort!

¹Ein Dank für die Screenshots und den Hinweis geht an meinen Leser M.S.