Ein tolle Nummer! Und so informativ. Wer ist eigentlich der Absender dieser „Sendung“, die so dringende Aktionen erfordert, als hätte sie Harndrang? Das erfahre ich nicht. Stattdessen gibts eine Nummer. Vergeben von…
Von: DeutschePost <nordea-emix2@polisnet.it>
…jemanden, der sich „DeutschePost“ nennt, aber noch nicht einmal die Firmierung der Deutschen Post richtig schreiben kann. Na ja, die angebliche Mailadresse der „Deutschen Post“ passt ja auch nicht. 😅️
Das ist doch Grund genug, mal in eine aktuelle Paketspam zu schauen, oder? Die Spam wurde bei mir übrigens klar als Spam erkannt und dürfte beinahe nirgends durch die Spamfilter kommen. Der Absender ist übrigens ein Meister des übertriebenen HTML-Markups in E-Mail. Hier nur ein kleiner Ausschnitt, um einen Eindruck vom Stil zu bekommen:
Die Hervorhebung im Quelltext der Mail ist von mir. Es handelt sich um die URL eines Bildes, das eigentlich aus dem Web nachgeladen und in die Mail eingebettet werden sollte. Vermutlich war es ein Logo der Deutschen Post, um den Eindruck einer Mail der Deutschen Post zu erwecken, aber ich weiß es nicht. Vielleicht ist es auch einmal mehr nur ein Foto eines Paketes, für Leute, die glauben, dass es bei der Deutschen Post Paketfotografen gibt, die den ganzen lieben Tag nichts anderes tun als Pakete für die E-Mails an die Empfänger zu fotografieren. Natürlich, ohne dass dabei der Absender des Paketes sichtbar oder erwähnt wird. Dieses Bild…
$ curl -s http://centrobodycenter.it/1a.png <html> <head><title>301 Moved Permanently</title></head> <body> <center><h1>301 Moved Permanently</h1></center> <hr><center>aruba-proxy</center> </body> </html> $ _
…existiert auf dem angegebenen Server inzwischen nicht mehr. (Die Weiterleitung für eine permanent verschobene Datei geht übrigens auf die gleiche URI, was vielleicht nicht die beste Konfiguration für so etwas ist, aber hey, da schaufelt vermutlich auch gerade jemand Scheiße und ist froh für jede Schadensbegrenzung.) Vermutlich hat der Betreiber der Website die Notbremse gezogen, nachdem er bemerkt hat, dass sein Server von Kriminellen übernommen und für andere Zwecke missbraucht wurde. Das kann nicht so lange gedauert haben. Vermutlich ist diese Spam nur ein Teil dessen, was mit diesem Server veranstaltet wurde. Vielleicht hat der Betreiber sogar schon Besuch von der Polizei bekommen. Er ist ja das erste Ermittlungsziel. Die spammenden und Computer crackenden Verbrecher, die vermutlich kein kriminelles Geschäft auslassen werden, bleiben hingegen sicher in der Anonymität. Ist ja auch bequemer als Handschellen und Gitter vor den Fenstern.
Da stellt sich nur noch eine Frage: Wie sieht dann die Mail aus, die in so einem übertriebenen Markup in HTML formatiert wird? So sieht sie aus:
RM 10 *** 172 7DE
Paket: RM 10 *** 172 7DE
Kundе, gammelfleisch@tamagothi.de
| Schicken Sie Mein Paket |
© 2024 dеutschе Post AG
Komisch, im Betreff hatte das Paket – oder genauer: „Mein Paket“ – noch keine Asteriske zwischen der 10 und der 172. Das ist schon schwierig, sich für fünf Minuten an den Müll zu erinnern, den man sich selbst ausgedacht hat. 🤦♂️️
Die verlinkte Website – in einer anderen Domain als die soeben missbrauchte – existiert schon nicht mehr. Es hat nicht einmal zehn Stunden seit Absenden dieser Spam gebraucht, bis die verlinkten Websites nicht mehr existierten. Sage niemand, dass die Polizei untätig ist!
Na gut, dann eben kein Screenshot. Ist mir auch recht.
Ich bin mir allerdings sicher, dass die nächste Welle mit neuen Links auf andere gecrackte Server schon unterwegs ist. Paketspam war monatelang die Pest im Posteingang, und ich wäre überrascht, wenn das nicht ausgerechnet zur kalten, dummen Weihnachtszeit, wo so viele Menschen ein Paket erwarten, wieder etwas massiver losginge. Von daher: Bitte auf gar keinen Fall in eine Mail klicken, sondern die Sendungsverfolgung immer über ein Browserlesezeichen aufrufen. Dann kann einem nämlich kein Verbrecher einen giftigen Link unterschieben. So einfach wehrt man die gefürchteten Cyberangriffe ab! Macht das! 🛡️
Ach ja, und die Spam einfach löschen!
Entf!