Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Epic“

Kein Phishing…

Montag, 8. Juli 2024

Kein Phishing sind die (natürlich nicht digital signierten) alarmierenden E-Mails von Microsoft an Kunden mit Link auf eine Website, auch wenn sie offenbar öfter mal vom Spamfilter als Spam aussortiert wurden. Nein, die sind einfach nur dumm und hirnlos [Archivversion]:

Nach Cyberangriff:
Warnmail von Microsoft landet bei vielen Kunden im Spam

[…] Kunden seien jedoch besorgt gewesen, dass es sich um einen Phishing-Versuch handle, „da laut den E-Mail-Headern weder SPF noch DKIM verwendet wurden“ – zwei gängige Methoden zur Sicherstellung der Authentizität von E-Mail-Absendern […] in der Mail eine URL enthalten, die auf eine einfache Azure-Power-App verweise […] Die sei mit einem von einer externen Zertifizierungsstelle ausgestellten DV-SSL-Zertifikat geschützt, das keine Angaben zur Organisation enthalte. Bei den anderen Domains verwende Microsoft hingegen in der Regel OV- oder EV-Zertifikate, die der Konzern selbst ausgestellt habe […]

Weia! 🤦‍♂️️

Für jene, die „dumm und hirnlos“ eine Nummer zu derb ausgedrückt finden, möchte ich kurz daran erinnern, dass Microsoft nicht der kleine Frisörbetrieb von umme Ecke ist, sondern eines der ganz großen Softwarehäuser, die ihren Kunden unter anderem auch Sicherheits- und Serversoftware verkaufen. Immerhin: Selbst der „Windows Defender“ und „Exchange“ haben diese Mail als spamverdächtig aussortiert, scheinen also doch ein bisschen gegen Phishing zu funktionieren. 😁️

Generell finde es ich ziemlich schlimm, dass die Mails größerer Unternehmen auch in den 2020er Jahren noch genau die gleichen Merkmale wie Phishingspams haben, insbesondere mit Link zum Reinklicken statt eines Textes wie „melden sie sich mit ihren Zugangsdaten wie gewohnt an unserem Kundenportal an, um nähere Informationen und Hinweise zu erhalten – wir setzen zum Schutz unserer Kunden vor Phishing niemals einen Link in einer E-Mail“. Sollte Microsoft seine eigenen Kunden wirklich als so dumm einschätzen, dass man dort glaubt, die klicken einfach auf alles, was sich nur anklicken lässt? Ist das ein Beitrag zur Förderung der Kriminalität? Will man Menschen wirklich auf diese Weise ans Phishing gewöhnen, was immer noch eine der häufigsten und gefährlichsten Trickbetrugsformen im Internet ist?

Ich habe so etwas ähnliches schon vor über zehn Jahren, im Jahr 2014, sehr deutlich in Richtung PayPal formuliert, was jetzt auch keine kleine Klitsche ist. Es ist auch auf diesem Hintergrund noch lesenswert.

Der durchgehende Verzicht auf digitale Signaturen war übrigens in den späten Neunziger Jahren schon verantwortungslos.

Zwei weitere Spams über missbrauchte Kontaktformulare

Mittwoch, 5. August 2020

Ich habe ja gestern schon darauf hingewiesen, wie zurzeit Kontaktformulare von Spammern zum Spamversand missbraucht werden, und heute habe ich zwei weitere Beispiele für diese gegenwärtige Spamflut, ebenfalls mit ganz vielen „Madchen“, also mit einem Gewimmel kleiner Maden:

Von: The Barefoot Cafe <johnwebb@webbcreations.com>
An: gammelfleisch@tamagothi.de
Betreff: Copy of: АDULT NUMМER 1 DATING-AРР FUR АNDROID

Copy of:

This is an enquiry e-mail via http://thebarefootcafe.com/ from: Herbertsaw <gammelfleisch@tamagothi.de>

MADCНEN SUCНЕN SEX IN IНRЕR SТАDT: http://wunkit.com/Rk0XAA
SЕХY МADСHЕN AUS IНRЕR STADT WОLLЕN SIE: https://onlineuniversalwork.com/adultsexdating198601
ALLEINSТЕНЕNDЕ МADСHEN WОLLЕN SЕХ IN IHRER STАDT: http://freeurlredirect.com/adultsexdating863442
TRIFF JЕTZТ ЕINE SEXY FRАU: https://qspark.me/XUm671
ADULT NUMМER 1 DAТING AРР: https://jtbtigers.com/adultsexdating796953
Adult dating for sex form
Adult how to just hook up on tinder
Adult am i dating for sex a sociopath quiz
Adult co to jest speed dating
Adult dating relationship tips
Adult im 16 and im dating a 19 year old
Adult christian dating for sex vs courtship
Adult best dating for sex apps montreal
Adult indian man dating for sex white girl
Adult dating sites for single parents uk
Adult halo tmcc matchmaking slow
Adult green bay packers fans dating
Adult houston online dating free
Adult old age dating websites
Adult free cougar dating for sex sites in south africa

So so, eine Kopie einer Anfrage-Mail des Barfuß-Cafés, die an die angegebene Absenderadresse zurückgeht, mit Volltext der Anfrage. Da kann man auch gleich einen völlig offenen Mailserver ins Internet stellen und keine weiteren Vorkehrungen gegen Missbrauch treffen!

Ich finde die Texttrümmer in dieser Spam besonders bemerkenswert. Die erwecken den Eindruck, als handele es sich eigentlich um Kommentarspamming, ganz so, als sei der Spammer nur versehentlich auf Kontaktformulare gestoßen und hat einfach gar nichts an seinen Skripten verändert, was er nicht verändern musste. Denn wenn er sich Mühe geben wollte, würde er ja nicht spammen. Dann könnte er ja gleich arbeiten gehen. 🛠️

Die zweite Spam ist tatsächlich noch ein bisschen leckerer. Genießer sollten sich auf ein zartes Aroma der geldernsten Seriösität zu einem kleinen Kackhäufchen vorbereiten. 💩🍽️

Von: republic <support@republicbk.com>
An: gammelfleisch@tamagothi.de
Betreff: Pending Notification

republic
Hi JUNGЕ МADCНЕN SUCНЕN SЕХ IN IHRЕR SТADT: https://jtbtigers.com/adultsexdating749949

You have received this email because you are a customer of Republic Bank.

This is a genuine email from Republic Bank.

Your account with account number: 561864■■■■ has been registered successfully

Your Can Begin Transaction After Your Activation within 24 hours

Access your account with the login details below;
Account Number : 561864■■■■
Account Password : Your Password when creating account

Contact Customer care @ (support@republicbk.com) for further instructions.

THANKS Republic Bank

© 2020 republic. All rights reserved.

Hui, ein Finanzdienstleister, bei dem sich schon die Kontoeröffnung für Spamzwecke missbrauchen lässt, weil ihm nicht einmal die naheliegendsten Plausibilitätsprüfungen für einen angegebenen Namen eingefallen sind! Denen gebe ich doch mein Geld! Kunde bin ich ja schon, wie mir eben mitgeteilt wurde. Was kann dabei schon passieren‽ 💸

Hauptsache, das Copyright des Finanzdienstleisters für eine Spam steht drunter! Komm, „Republic Bank“, verklag mich für mein Vollzitat! 👍😂

Mit Mitleid mit diesem Finanzdienstleister, der großkotzig als „Republic Bank“ firmiert, ist so klein. Die Domain steht vermutlich in Kürze wegen massenhafter Spam in allen Blacklists dieser Welt und wird auf Ramschniveau eingestuft, so dass keine Mail mehr ankommt und viele Menschen die Website mit Warnung vor kriminellen Aktivitäten sehen. Angesichts der Tatsache, dass dort jemand ein Konto unter einfacher Angabe der E-Mail-Adresse (auch gern mal eines anderen Menschen) eröffnen kann, ist eine solche Warnung wohl noch nicht einmal unangemessen.

Vorschussbetrugseinleitung des Jahres

Donnerstag, 16. Juli 2020

Tweet von @TwitterSupport@twitter.com, verifizierter Kanal, vom 15. Juli 2020, 23:45 Uhr – der Original-Tweet ist inzwischen gelöscht:

 -- I am giving back my community due to Covid-19! All Bitcoin sent to my address below will be send back doubled. If you send $1000, I will send back $2000! -- Bitcoin-Adresse -- Only doing this for the next 30 Minutes! Enjoy!

Der überlagerte Schriftzug „SPAM“ ist natürlich von mir, um die Verwendung dieses Screenshots in einem immer noch laufenden Vorschussbetrug zu erschweren. Ich bin nicht so gern Bildhoster für Verbrecher. 😉

Wer hätte gedacht, dass die Zentralisierung der Kommunikation über die Websites irgendwelcher Unternehmen ohne seriöses Geschäftsmodell eine ganz schlechte Idee ist? Doch nur ein Mensch mit Gehirn. Ohne Gehirn kann man da ja gar nicht drauf kommen. Wenn Social-Media-Websites gecrackt werden – von Crackern natürlich, denn ihr wisst ja, die cracken nun einmal – dann bieten eben auf einmal Bill Gates, Elon Musk, Jeff Bezos, Apple und Uber eine leicht zu nutzende Geldsteckdose zum Verdoppeln von Bitcoin an. Natürlich stimmt das nicht, und natürlich handelt es sich bei diesen Tweets um Fälschungen eines Kriminellen, der bis jetzt allein über diesen Angriff einen sechsstelligen Dollarbetrag erschwindelt hat. Was er an weniger auffälligen Angriffen laufen hat, weiß ich nicht, aber dass dieser Kriminelle beinahe Vollzugriff auf Twitter hat, ist wohl offensichtlich, und er wird schon etwas damit anzufangen wissen.

Welche teilweise weit in die Privat- und Intimsphäre ragenden Daten bei diesem Angriff auf Twitter mitgenommen wurden, erfahren wir wohl erst in den nächsten Tagen. Oder es wird verschwiegen. Jenen, die das Versprechen Twitters von „sichereren Twitter“ dank Zwei-Faktor-Authentifizierung geglaubt haben und die brav ihre Telefonnummer angegeben haben, gratuliere ich recht herzlich. Wie man an den Übernahmen verifizierter Accounts sehen kann, hat die Zwei-Faktor-Authentifizierung nicht vor einer kriminellen Übernahme des Accounts geschützt, sondern nur eine Telefonnummer gegenüber einem datensammelnden Dritten in börsennotierter Reklamevermarktungslogik preisgegeben. Ist ja schön, wenn mal wieder jemand anruft. Und mit einen bisschen Glück sind die ganzen vom Wischofon mitgenommenen Daten – ihr habt ja alles nichts zu verbergen gehabt und hattet deshalb niemals Probleme mit trojanischen Apps wie der Twitter-App – ebenfalls in den Händen von Verbrechern und werden sicherlich demnächst auf den üblichen Marktplätzen für Verbrecher verhökert. Tja, wenn euch doch nur vorher jemand gewarnt hätte! Und die Smartphones sind ja so toll. Wenns Internet im Handy ist, ists Gehirn im Arsch. 📱🧠🔥

Ich finde es übrigens schade, dass beim Vorschussbetrug nicht für unterschiedliche Twitter-Kanäle unterschiedliche Bitcoin-Wallets verwendet wurden. Eine kleine Statistik aus der Alltagspraxis, wessen Follower wie naiv und leichtgläubig sind, wäre schon sehr interessant gewesen – und nicht besonders schmeichelhaft für Apple, nehme ich mal an. :mrgreen:

Den USA wünsche ich viel Spaß bei ihrem Twitter-Wahlkrampf zur Präsidentenwahl im November. Angesichts des sehr banalen Betruges kann der Crackerangriff auf Twitter wohl nicht so schwierig gewesen sein… und inzwischen läuft ja auch ein Großteil der politischen Kommunikation über diese Social-Müll-Dienste. :mrgreen:

Noch ist Zeit, um sich für das morgige Twitter-Webinar anzumelden

Mittwoch, 22. Oktober 2014

Vorab: Diese Mail ist keine illegale Spam, sondern eine legale Werbung, die von Twitter an angemeldete Nutzer versendet wird. Die Mail stammt zweifelsfrei von den Servern bei Twitter. (Warum Twitter – in dessen Namen außerordentlich viele Phishing-Mails versendet wurden und werden – keine digitale Signatur hinbekommt, weiß ich nicht. Vielleicht sind die mit diesem technischen Frickelkram überfordert.) Diese E-Mail-Reklame ist allerdings genau so dumm wie eine Spam, und deshalb findet sie hier kurz Erwähnung.

Fast so doof wie Spam: Werbung von Twitter

Hallo @goebelmasse, -- Findest Du DNs und RTs verwirrend? Möchtest Du mehr über die Grundlagen von Twitter erfahren und lernen, wie Du es professionell einsetzen kannst, um Deine Firma wachsen zu lassen? Nimm nächste Woche an dem ersten Twitter-Webinar in Deutschland teil: 'Twitter für Unternehmen: Die Grundlagen'. -- Hier ist unser Programm – 30 Minuten grundlegende Informationen zu Twitter, einschließlich: -- Eine Übersicht für Anfänger, wie man in Twitter navigiert-- Unsere 5 grundlegenden Tipps für den Erfolg auf Twitter -- Ein paar praktische Ratschläge, um Inhalte zu planen und Deinen Twitter-Account zu verwalten. -- Datum: Donnerstag, 23. Oktober 2014 -- Zeit: 11 Uhr Niveau: Anfänger -- Klingt das interessant? -- Link: Ich möchte mich jetzt anmelden!

Offener Brief an @TwitterAdsDE und @Twitter

Hallo, @TwitterAdsDE, hallo @Twitter,

ich kann es ja verstehen: Ihr seid ein börsennotiertes Unternehmen ohne seriöses Geschäftsmodell, das sein Internet-Angebot monetarisieren will, indem es die Kommunikation fühlender Menschen mit der dümmsten, manipulativsten und in meinen Augen widerwärtigsten Form der „Kommunikation“ vergällt, die in der gesamten menschlichen Zivilisationsgeschichte erfunden wurde: Mit Reklame.

Und vermutlich wollt ihr dabei auch Leuten, die Reklame bei euch machen sollen, verkaufen, dass ihr ganz besonders gut auf eine bestimmte Zielgruppe anlegen könnt, weil ihr ja doch eine gewisse Datensammlung habt, die Rückschlüsse der Werber darüber zulässt, mit welchen psychologischen Tricksereien welchen Menschen welche Dinge angedreht werden können. Wenn man am Monitor sitzt, mit allen diesen offenen Fenstern auf dem Bildschirm und doch so wenig frischer Luft, können einem halt spinnerte Ideen kommen – vor allem, wenn dicke Hornhaut ums Hirn ist und ganz viel weißes Pulver in der Nase.

Nun, ihr intellektuell unbewaffneten Stümper: Ihr habt auf ganzer Linie versagt.

Ihr habt mir nämlich eure werbliche E-Mail zugesendet, die völlig klar macht, dass ihr das mit Reklame und Daten überhaupt nicht könnt. Warum? Nun, ich zähle einfach mal ein bisschen auf, was ihr auch in eurer Datensammlung hättet finden können:

  1. Das Niveau des „Webinars“ soll für „Anfänger“ sein. Ich habe mich im Januar 2009 bei Twitter registriert. Das war vor 2111 Tagen. Der Account ist keine Karteileiche, wie man an rund 41.000 Tweets sehen kann, die ich in dieser Zeit abgesetzt habe. Diese Daten liegen sogar offen, wenn man nicht direkt auf Twitters Datenbestand zugreifen kann.
  2. Ich werde im ersten Satz gefragt, ob ich „RTs und DNs“ verwirrend finde. Nun, ich nenne so etwas zwar Retweets und Direktnachrichten, weil ich selbst in Twitter-Textstummeln Abk. so weit wie mögl. zu vermeid. trachte, aber dass ich sie nicht verwirrend finde, sondern reichlich genutzt habe, hättet ihr an mehreren tausend Retweets und mehreren hundert Direktnachrichten in eurer Datenbank bemerken können.
  3. Ich habe keine Firma. Nichts in meinen über fünf Jahren Twitter-Nutzung hat übrigens darauf hingedeutet, dass ich eine Firma hätte oder auch nur haben könnte. Ein spezieller Twitter-Kurs für Unternehmen ist für mich ungefähr so sinnvoll wie Lateinunterricht als Vorbereitung auf einen Urlaub.

Alles in allem macht mir euer panisches und gnadenlos hirnfreies Monetarisierungs-Gehampel klar, dass es eine gute Idee von mir war…

Screenshot meines Twitter-Accounts mit sehr deutlichen und teils drastischen Hinweisen, dass es sich nicht mehr um einen aktiv genutzten Account handelt, sondern um eine Sammelstelle, die nur durch Automatismen über die API gefüllt wird.

…mich von Twitter zu verabschieden, als Twitter öffentlich ankündigte, dass es mir die Hoheit über die Inhalte meiner Timeline entreißen will, dass es für mich darüber entscheiden will, was für mich gut, wichtig, lesenwert ist. (Ich gebe euch bei @twitter die Anregung, mal darüber nachzudenken, ob es Facebook nicht schon gibt und ob somit Leute, die so etwas wollen, nicht schon gut „versorgt“ sind.)

Wenn eure Ideen, ihr Entscheider da bei Twitter, für eine derartige Filterung genau so treffend sind wie eure Datenanalyse, die zu eurer tollen, hier wiedergegebenen E-Mail an mich führte, dann muss ich Twitter fortan als vollkommen unbrauchbar für jegliches menschliches Miteinander erachten. Für die Verbreitung von Reklame ist es – dank eurer offenbaren Unfähigkeit – ebenfalls unbrauchbar.

In diesem Sinne wünsche ich euch noch viel Erfolg auf eurem weiteren Lebensweg.

Immer noch den Nachgeschmack der Dummheit im Munde
Euer euren Werbemüll „genießen“ müssender
Nachtwächter @goebelmasse