Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Schlagwortarchiv „HTML“

Schützen Sie Ihre Postbank Card Online

Sonntag, 28. Juli 2013

So wird das niemals etwas mit dem Phishing! Eine HTML-formatierte E-Mail mit derart lustig gesetzten Absätzen und teilweise so heiterem Deutsch kann wohl kaum jemand ernst nehmen:

Sie haben diese E-Mail erhalten, weil wir gute Gründe zu glauben, dass Ihre VISA-Kreditkarte hatte kürzlich

kompromittiert haben. Um jegliche betrügerische Aktivitäten zu verhindern sind wir verpflichtet, eine Untersuchung in dieser Angelegenheit einzuleiten.

Wenn Ihre Account-Informationen nicht innerhalb der nächsten 72 Stunden aktualisiert, dann werden wir davon ausgehen,

Ihre Kreditkarte betrügerisch ist und ausgesetzt werden. Wir entschuldigen uns für diese Unannehmlichkeit zu entschuldigen,

aber der Zweck dieser Prüfung ist es, sicherzustellen, dass Ihre VISA Konto wurde nicht in betrügerischer Absicht verwendet und um Betrug zu bekämpfen.

Vielen Dank für Ihre prompte Aufmerksamkeit in dieser Angelegenheit. Bitte haben Sie Verständnis, dass dies eine Sicherheitsmaßnahme soll helfen,

schützen Sie und Ihr Konto ist.

Login Secure : https://banking.postbank.de/rai/login

Wie schon gesagt, es ist eine HTML-formatierte Mail. Der Link geht natürlich zu einer völlig anderen Adresse, auch ganz ohne HTTPS, aber dafür mit einer „liebevoll“ nachgemachten Postbank-Anmeldeseite:

Screenshot der betrügerischen Website

Wer da – trotz der lustig formulierten Phishing-Mail – vom abgekupferten Design verblendet ist und deshalb seine Anmeldedaten eingibt und „Absenden“ klickt, übermittelt diese direkt an Kriminelle. Zum Glück macht ein einfacher Blick in die Adresszeile des Browsers klar, dass es sich nicht um die Website der Postbank handelt, so dass ich mich immer wieder darüber wundere, dass noch jemand auf solches Phishing reinfällt. Wer schon einmal auf der Site der Postbank ist, kann ja auch gleich einen Blick in die aktuellen Sicherheitshinweise werfen, dort ist zurzeit eine sehr ähnliche Phishing-Mail erwähnt. Die wichtigsten Hinweise in diesem Text, der leider morgen schon durch einen anderen Text ersetzt sein könnte (weshalb ich hier auch auf eine dauerhaft archivierte Version verlinke), sind diese:

  • Die Postbank fordert ihre Kunden niemals per E-Mail auf, ihre Telefon-Banking PIN oder andere persönliche Daten zu ändern. Werden Sie sofort misstrauisch, wenn Sie eine solche E-Mail erhalten und informieren Sie uns. Vor allem aber: Geben Sie niemals Dritten Ihre PIN bekannt!
  • Folgen Sie keinesfalls Links in E-Mails, deren Quelle Ihnen unbekannt ist oder die Ihnen nicht vertrauenswürdig erscheint und öffnen Sie grundsätzlich keine Dateianhänge bei solchen E-Mails.

Das ist auch schon fast alles, was man zum Thema Phishing wissen muss – und es gilt übrigens auch für jede andere Bank, auch wenn die Werbetexter der Postbank nichts von der Existenz anderer Banken wissen wollen. 😉

Nur eine wichtige Ergänzung scheint mir erforderlich: Den meisten Menschen ist die Quelle jeder E-Mail unbekannt, die sie empfangen. Der Absender einer E-Mail lässt sich beliebig fälschen. Wer nicht gerade ein heiteres Blögchen über Spam führt, schaut sich auch nicht die Mail-Header an und weiß im Regelfall nicht einmal, was das ist. Digitale Signatur ist unüblich. Es gibt im Alltag für die große Mehrzahl der Menschen keine Mail mit halbwegs sicher bekannter Quelle. Der Stil, in dem die Postbank in diesem „Sicherheitshinweis“ die Verantwortung mehr als nur ein bisschen hinterhältig auf ihre Kunden abschiebt, aber selbst nichts dafür tut, dass ihre Kunden überhaupt eine Chance haben, die Quelle einer E-Mail sicherzustellen – zum Beispiel durch digitale Signatur der Mail – ist schon ein bisschen widerlich und kundenverachtend.

Übrigens scheint auch der unbeholfene Phisher zu wollen, dass sich seine Opfer fürs Thema Phishing interessieren. Deshalb hat er in seiner nachgebauten Login-Seite den folgenden Hinweis hinterlegt:

Aktueller Sicherheitshinweis -- Neue Phishing-Mails im Umlauf: So versuchen Betrüger, an Ihre Kontodaten zu gelangen. Jetzt informieren

Wie fürsorglich! :mrgreen:

Super Summer Sale: 40% OFF

Donnerstag, 20. Juni 2013

Wenn einem Spammer schon sonst nichts aussagekräftiges für den Betreff einfällt: Rabatt geht immer…

Can’t see this email? Click Here

Das heißt auf Deutsch: „Bin ich zu doof, eine HTML-formatierte Spam zu verfassen, die du auch lesen kannst? Dann klick einfach mal in meine Spam rein.“

Diese gnadenlos dumme Ansage wird übrigens von einem Versuch gefolgt, ein Bild aus der Domain 00D718685CE055B213B83411DB17 (punkt) com in den E-Müll einzubetten. Da diese Domain (noch) nicht existiert, käme es bei Menschen, die extern referenzierte Bilder in Mails anzeigen lassen, zur Anzeige des Platzhalter-Bildes für einen Fehler und damit zum Eindruck, dass etwas nicht funktioniert. Und so ein Eindruck von technischer Inkopetenz soll dann dazu motivieren, auf den Link zu klicken… tolle Idee, die die Spammer da zwischen zwei Medikamentenausgaben bekommen haben!

50 Best Summer Recipes

Die lasse ich mir auch gerade von einem Spammer erzählen, der möchte, dass ich in seine Spam klicke! Es gibt ja so wenig Websites, in denen man hübsche Ideen für die Küche lesen kann.

Don’t Miss: Drink and grow thin Eat and lose pounds 8 of the Healthiest Foods to Eat

Oh toll, trinken und dünn werden, essen und Pfunde verlieren und dann gibt es sogar noch gesundes Essen. Ich befürchte, Lakritz und Schokolade gehören nicht dazu.

Best Summer Recipe

Eben noch die „fünfzig besten Rezepte“ verlinkt, und jetzt wird der Krampf schon wieder entwertet, weil hier ja das absolut beste Rezept verraten wird. Aus dem Kontext schließe ich mal, dass es ums Abnehmen geht – und das die Zielgruppe dieser Spam jene Frauen sind, die nach ein paar Jahren Hungern im Ringen um das Erreichen des Photoshop-retuschierten Schönheitsideals unserer von Reklameheinis gestalteten Zombie-Kultur bereits am Hirne abgenommen haben.

U.S. scientists have found a 100% cure for obesity. You no longer need a grueling diet or training. You just take our product and lose weight. 10-15 lbs per month! It’s so easy! Around the world, we have 30,000,000 satisfied users. Want to know more?

Und in der Tat! Völlig namenlose US-Wissenschaftler haben eine hundertprozentig wirksame Kur gegen die wabernde Wampe gefunden, und auch in einer HTML-formatierten Drecksmail ist kein Platz für einen Link auf das Paper, dass diese völlig namenlosen US-Wissenschaftler darüber in einem peer-reviewten wissenschaftlichen Magazin verfasst haben. So etwas wie Bewegung und kalorienreduzierte Ernährung sind zum Abnehmen nicht mehr erforderlich. Man kann einfach die Pille in sich reinwerfen, sterben und durch die natürlichen Prozesse der Verwesung ganz schnell ganz viel leichter werden. Da sind schon so viele drauf reingefallen, komm, kauf auch du Medikamente vom Spammer, der dir mit gefälschtem Absender unüberprüfbaren Bullshit erzählt. Möchtest du nicht ein bisschen mehr darüber erfahren?

The email was sent to nxxxxr (at) tamagothi (punkt) de. To unsubscribe please click here.

Diese Spam wurde an die Empfängeradresse versandt. Nur, um das noch einmal zu erwähnen, weil es sonst ja nicht klar genug wäre. Wer mehr Spam haben möchte, der klicke auf „klick hier“!

EatingWell Corporation, 3796 Locust Street, Des Moines, IA 50309 © Copyright 2013.
All Rights Reserved | Privacy Policy | By using this site you agree to our Terms of Service.

Geistiges Eigentum deklariert. (Verklag mich doch für dieses Zitat, du kriminelles Spam-Krepel!) Und sogar eine Richtlinie für den Schutz der Privatsphäre haben die, deshalb haben die wohl auch gerade einfach so in mein Postfach reingemacht. Und dann sprechen sie in einer Spammail von „this site“, für die Bedingungen gelten sollen – schon scheiße, wenn Spammer einfach und ohne Gehirnbenutzung die Textfragmente anderer Leute in ihre kriminellen Drecksmails reinkopieren.

Wie schön wäre doch die Welt, fräßen sie einfach ihre eigenen Giftpillen!

Bitte nicht nochmal eine Flut von Spam für Schlankheitspillen!

Ihre O2 DSL Bestellung (Kundennummer DE37126679)

Mittwoch, 5. Juni 2013

Diese Mail mit dem gefälschten Absender dsl (strich) kundenservice (at) cc (punkt) o2online (punkt) de kommt natürlich nicht von O2, sondern von Verbrechern.

Lieber O2 Kunde,

Wir wissen zwar, wie man in einer HTML-formatierten Mail eine tiefgestellte 2 hinbekommt, aber wir wissen trotz eines angeblichen Vertrages nicht, wie sie heißen und müssen sie deshalb „Lieber Kunde“ nennen. :mrgreen:

Informationen zu Ihrem Auftrag finden Sie im Anhang an diese E-Mail als pdf-Datei. Diese können Sie mit einem
Doppelklick ganz einfach öffnen.

Im Anhang ist keine PDF-Datei, sondern ein ZIP-Archiv. Dieses enthält auch keine PDF-Datei, sondern eine Datei mit der Namenserweiterung PDF.exe, also eine direkt ausführbare Datei für Microsoft Windows, die von Kriminellen zugestellt wurde. Wer das Archiv auspackt und die Datei mit einem Doppelklick „ganz einfach“ öffnet, hat hinterher einen Computer anderer Leute auf seinem Schreibtisch stehen. Die hochaktuelle Brut der Verbrecher wird zurzeit nur von einem Fünftel der populären „Antivirusprogramme“ als das erkannt, was sie ist: Kriminelle Schadsoftware. Gut, dass die meisten Menschen nach einer Anrede wie „Lieber Kunde“, nach Wahrnehmen des alten .pdf.exe-Tricks und nach „Genuss“ einer „geschäftlichen“ E-Mail, deren Text absolut nichts über den Geschäftsvorfall sagt, sehr viel weniger Probleme mit dieser kleinen Leistung haben¹.

Damit Letzteres – also die völlige Inhaltsleere der Spam – nicht auf dem ersten Blick auffällt, versuchen die Spammer, ihren Lesern noch kurz zu erklären, was so ein PDF-Format ist und wie man einen Mailanhang abspeichert – Informationen, die „O2″ für unendlich viel wichtiger zu halten scheint als den Inhalt der „Bestellung“, die man dort ja angeblich getätigt haben soll:

Hinweise zum pdf-Format: Zum Lesen, Drucken und/oder Speichern von PDF-Dateien benötigen Sie das
Programm Acrobat Reader von Adobe. Haben Sie den Acrobat Reader noch nicht auf Ihrem Computer installiert,
können Sie ihn hier kostenlos herunterladen: http://www.adobe.de/products/acrobat/readstep2.html

Unser persönlicher Tip für Sie: Möchten Sie die Datei auf Ihrem Rechner abspeichern? Verwenden Sie einfach die
rechte Maustaste und klicken Ziel speichern unter an. Anschließend wählen Sie das Verzeichnis auf Ihrem Rechner
aus, in dem die Datei abgespeichert werden soll.

Ein ausgesprochen „persönlicher“ Tipp ist das! Fast so „persönlich“ wie eine Spam! :mrgreen:

Freundliche Grüße

Ihr O2 Team

Halbautomatische Grüße

Deine Schadsoftware-Kriminellen, die ihre Geschäfte mit deinem Computer machen wollen.

¹Wer wirklich Probleme hat, diese stümperhafte und leicht zu erkennende Spam als Spam zu erkennen, sollte sich unbedingt darüber Gedanken machen, ein anderes Betriebssystem als Microsoft Windows zu verwenden!

RechnungOnline Monat April 2013

Donnerstag, 16. Mai 2013

Ein wichtiger Hinweis vorweg: Diese Mail mit dem gefälschten Absender rechnungonline (punkt) (at) telekom (punkt) de kommt nicht von der Telekom Deutschland GmbH, sondern von Verbrechern. Sie kommt übrigens auch bei Leuten wie mir an, die mit der Telekom nichts zu tun haben.

Auf die Übernahme des sehr aufwendigen Layouts dieser HTML-Mail habe ich verzichtet. Es ist identisch mit dem Layout, das bei der ersten Version dieser Betrugsnummer im Februar dieses Jahres verwendet wurde. Hier nur ein kurzes Zitat des eigentlichen Textes:

Ihre Rechnung für April 2013

Guten Tag,
mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung. Die Gesamtsumme im Monat April 2013 beträgt: 46,43 Euro.

Den aktuellen Einzelverbindungsnachweis – sofern von Ihnen beauftragt – und das Rechnungsarchiv finden Sie im Kundencenter.

Diese E-Mail wurde automatisch erzeugt. Bitte antworten Sie nicht dieser Absenderadresse. Bei Fragen zu RechnungOnline nutzen Sie unser Kontaktformular.

Mit freundlichen Grüßen

Ralf Hoßbach
Leiter Kundenservice

Diese Mail hat einen Anhang. Es handelt sich um ein ZIP-Archiv. Darin befindet sich eine Datei mit der Dateinamenserweiterung .pdf.exe, also eine ausführbare Datei für Microsoft Windows, bei der die Absender mit einem alten Trick versuchen, den Eindruck zu erwecken, es handele sich um ein PDF-Dokument. Wer diese Datei auf einem unter Microsoft Windows laufenden Rechner mit einem Doppelklick öffnet, führt dadurch – egal, was geschieht, ob es Fehlermeldungen oder sonst etwas gibt – Code von Kriminellen auf seinem Rechner aus und hat hinterher einen Computer und eine Internetleitung anderer Leute auf seinem Schreibtisch stehen.

Die Schadsoftware wird zurzeit nur von etwas mehr als einem Fünftel der Antivirus-Programme als Schadsoftware erkannt. Wer sich auf den Schutz durch Antivirus-Programme verlassen hat, ist also in vielen Fällen verlassen gewesen.

Für Hinweise zum wirkungsvolleren Selbstschutz verweise ich auf meinen Text aus dem Februar. Insbesondere kann ich nur dazu auffordern, so lange bei der Telekom Deutschland GmbH nachzufragen, warum sie nicht dazu imstande sei, digital signierte E-Mail zu versenden, bis es dort zum allgemeinen Einsatz dieser einfachen Sicherheitsmaßnahme kommt, die den Absender einer Mail jenseits vernünftiger Zweifel sicherstellt und damit den Auftritt unter falscher Identität in einer Mail erschwert. So lange große Unternehmen ihre Mail nicht digital signieren und damit dermaßen plumpe Überrumpelungen ermöglichen, kann man diesen Unternehmen nur zurufen: Ihr seid selbst die Spam, ihr seid das Botnetz, ihr seid der Betrug und ihr seid in eurer seit Jahren anhaltenden Dummheit und Trägheit fördernder Teil der organisierten Kriminalität.

Merchant Statement

Montag, 6. Mai 2013

Das ist mal wieder so eine richtig überzeugend aussehende „geschäftliche“ E-Mail im Mülleingang (hier als Screenshot aus meinem Thunderbird für den größeren Schmerz bei der Betrachtung):

Betreff: Merchant Statement -- Von: secure punkt fundsxpress punkt com -- Datum: 06.05.2013 11:35 -- An: Mich -- Attached is your Fundsxpress.com Paymentech electronic Merchant Billing Statement. If you need assistance, please contact your Account Executive or call Merchant Services at the telephone number listed on your statement. PLEASE DO NOT RESPOND BY USING REPLY. This email is sent from an unmonitored email address, and your response will not be received by Fundsxpress.com Paymentech. Fundsxpress.com Paymentech will not be responsible for any liabilities that may result from or relate to any failure or delay caused by Fundsxpress.com Paymentech's or the Merchant's email service or otherwise.Fundsxpress.com Paymentech recommends that Merchants continue to monitor their statement information regularly. ---------- Learn more about Fundsxpress.com Paymentech Solutions, LLC payment processing services at Secure.Fundsxpress.com. ---------- THIS MESSAGE IS CONFIDENTIAL. This e-mail message and any attachments are proprietary and confidential information intended only for the use of the recipient(s) named above. If you are not the intended recipient, you may not print, distribute, or copy this message or any attachments. If you have received this communication in error, please notify the sender by return e-mail and delete this message and any attachments from your computer.

Die großen Geheimnisse, wie man eine HTML-formatierte Mail ansprechend gestaltet und wie man Textauszeichnungen wie fettsetzen ANSTELLE DER GROSSBUCHSTABEN benutzt, scheinen bei diesen ganz großen Geschäftemachern eben so wenig angekommen zu sein, wie dieses ebenfalls unfassbare Geheimnis vom Setzen eines Hyperlinks.

Im Anhang hängt ein 207 KiB großes ZIP-Archiv, das – wer hätte das für möglich gehalten! – eine knapp 240 KiB große, ausführbare Datei für Microsoft Windows enthält. Diese Datei wird zurzeit von der Hälfte der gängigen Antivirus-Schlangenöle nicht als das erkannt, was sie ist: Schadsoftware.

Aber in eine derart missratene Spam wird wohl niemand geklickt haben.

Update your amorous software

Freitag, 3. Mai 2013

..Hello___Elias «Can cf adia juk nPha hmn rmacy» onl ryq ine dru bzm gst qpq ore is the leading Can ykr adian dru llk gst umn ore which daily ships hundreds of orders to patients internationally. More and more people start purchasing me fzt dica vwe tions in Can sy ada, since they are much more cheaper than American ones and are of the same quality, and manufactured according to the same strict standards. Purchase with «Can ung adia zz nPha fm rmacy» and your me dt dicat qm ions will come right on time well packed and in perfect condition. Privacy and confidentiality are guar kyn anteed! Start new life with «Can all adia lf nPhar hd macy»! ... www.dxxxxxxxxe.ru

Ganz großes Kino, dein in einem vernünftig konfigurierten Mailclient nicht funktionierendes CSS-Gestrokel, Spammer! Und dass deine „Canadian Pharmacy“, die man in dieser Buchstabensuppe noch erahnen kann, ausgerechnet die russische TLD .ru verwendet, das spricht für sich selbst und natürlich für die „Qualität“ deiner viel billigeren Giftpillen

Vorname Nachname, Mitteilung zu Ihrem Kunden-Konto!

Freitag, 19. April 2013

Anstelle von „Vorname Nachname“ steht der Name des Empfängers. Die Mail mit dem gefälschten Absender hilfe (at) paypal (strich) community (punkt) com kommt natürlich nicht von PayPal. PayPal versendet solche Mails nicht:

PalPal Konfliktlösung -- Guten Tag , Ihr Konto wurde vorübergehend limitiert! Bearbeitungsnummer: PP-8500401 Weitere Informationen finden Sie hier -- Jetzt lesen -- Bei Fragen steht Ihnen unser Kundenservice von Mo.-Fr. 8.30 bis 19.00 Uhr und Sa.-So. 9.00 bis 19.30 Uhr unter der Telefonnummer 0180 500 66 27 zur Verfügung (für Anrufe aus dem Festnetz fallen maximal 14 Cent/Min. an, aus Mobilfunknetzen sind es maximal 42 Cent/Min.)

Im Original stand nach der Anrede „Hallo“ noch der Vorname und der Nachname.

Der Link liegt auf dem etwas peinlichen Schloss und dem Schild mit der Beschriftung „Jetzt lesen“. Er ist über den URL-Kürzer tinyurl (punkt) com maskiert und führt auf eine „liebevoll“ nachgemachte PayPal-Login-Seite in der Domain sslpp (strich) hilfe (punkt) konflikte (strich) kunden (punkt) com:

Screenshot der Phishing-Seite

Dass das nicht die Website von PayPal ist, brauche ich hoffentlich nicht weiter zu erwähnen, und dass die dort angegebenen Anmelde- und Kreditkartendaten direkt in die Hände der organisierten Internet-Kriminalität gehen, sollte auch weniger intellektuell begabten Mitmenschen einleuchten. Wer nur einen einzigen Blick in die Adressleiste seines Browsers wirft, sieht sofort, dass es nicht PayPal ist.

PayPal versendet übrigens niemals E-Mails mit der Aufforderung, irgendwelche Bullshit-Verifizierungen zu machen. PayPal kennt die angegebenen Daten bereits. Die einzigen, die den PayPal-Login, die Postanschrift, das Geburtsdatum, die Bankverbindung und die Kreditkartendaten nicht kennen, sind die Verbrecher, die Identitäten missbrauchen wollen und mit dem Geld anderer Leute ihre „Geschäfte“ machen wollen. Wer auf diese Phishing-Nummern hereinfällt, darf sich nicht nur über sein geplündertes Konto und den folgenden Schriftverkehr mit seiner Bank ärgern, sondern auch über allerhand hässliche Briefe mit Rechnungen und Mahnungen (die bestellten Waren gehen an ebenfalls gephishte Packstation-Accounts) und über jede Menge neuer Bekannter bei Polizeien, Staatsanwaltschaften und Untersuchungsgerichten, die wegen gewerbsmäßigen Betruges ermitteln. In der Folge gibt es zwei bis drei Jahre hässlichen Schriftverkehr, vielleicht die eine oder andere Hausdurchsuchung, Schufa-Einträge, gegen die man vorgehen muss und dergleichen unangenehmes Zeug mehr.

Diese Phishing-Spam ist gut gelungen und durch die Erwähnung des Namens zusätzlich gefährlich. Sie hat allerdings immer noch deutliche Schwächen, die es jedem möglich machen, die Spam zu erkennen:

  1. Vorname und Nachname stehen im Betreff
    Es ist objektiv sinnlos, den Empfänger einer E-Mail an seine persönliche Mailadresse im Betreff namentlich anzusprechen. Der Empfänger weiß, dass er gemeint ist, weil die Mail in seinem Postfach liegt. Niemand würde das tun.
  2. Der Betreff ist „komisch“
    Ein Zahlungsdienstleister wie PayPal macht also „Mitteilung zu Ihrem Kunden-Konto“? Nicht zum PayPal-Konto? Das „müffelt“ ein wenig. Unternehmen würden darauf achten, dass ihre Kommunikation unmissverständlich ist. Vor allem in Kontexten, in denen es um Geld geht.
  3. Guten Tag Vorname Nachname
    So etwas wie „Herr“ oder „Frau“ vor dem Namen fehlt. Kein Unternehmen würde seine Kunden so ansprechen.
  4. Der Absender
    Wie peinlich ist das? Einen Absender fälschen, aber dann nicht einmal einen mit einer Adresse @paypal (punkt) com nehmen. Wenn man schon den Absender fälscht… :mrgreen:
  5. tinyurl (punkt) com stinkt
    PayPal hat es niemals nötig, einen Link auf die eigene Website mit einem URL-Kürzungsdienst zu verschleiern. Kein Unternehmen, das seine Kunden anmailt, hat das nötig. Nur Spammer haben es nötig, um sich mit diesem „Trick“ an den Spamfiltern vorbeizumogeln. Wo der Link hinführt, sieht man übrigens in seiner Mailsoftware, indem man auf die Statusleiste schaut, wenn der Mauszeiger über dem Link ist. Wenn da in so einem Fall nicht die Website des Unternehmens steht, ist es immer Phishing.
  6. Die Bearbeitungsnummer ist überflüssig
    Zum Hinweis „Ihr Konto wurde limitiert“ (als ob es das nicht immer irgendwie wäre) gibt es keinerlei Begründung oder auch nur eine Andeutung der Gründe. Weitere Informationen soll man nach einem angeblichen Login erhalten. Die Angabe einer kryptischen Bearbeitungsnummer ist in diesem Kontext für den Empfänger der Mail sinnlos; der gesamte Vorgang könnte und würde direkt auf der Website dargestellt werden. Diese sinnlose Nummer dient also nur zur psychologischen Einschüchterung (du kommst nicht an dein Geld und du bist damit jetzt für uns nur noch eine Nummer). Jedes Unternehmen würde so etwas im Umgang mit seinen Kunden hoffentlich vermeiden. Phishing-Spammer wissen hingegen ganz genau, dass ein bisschen Angst viel Verstand ausschaltet und so unvernünftiges Verhalten fördert, und sie nutzen dieses Wissen.
  7. Mailadresse
    Im speziellen Fall dieser Mail haben die Spammer eine Adresse angemailt, die gegenüber PayPal gar nicht verwendet wurde. Wer es sich angewöhnt, für jeden „wichtigen“ Dienst eine eigene, ansonsten völlig unbenutzte Mailadresse zu verwenden, hat sich gegen dieses Phishing erfolgreich geschützt. Der Aufwand für diesen Schutz, der einem schnell einige Jahre juristischen Ärger für einen unbedachten Moment der Unvorsicht ersparen kann, liegt im Bereich weniger Minuten pro eingerichteter Mailadresse und ist damit sehr empfehlenswert. Übrigens kann man diese Phishing-Mail auch bekommen, wenn man gar kein PayPal-Kunde ist.
  8. Der Begriff „Konfliktlösung“ ist seltsam
    Welches Unternehmen würde in seiner Kommunikation mit dem Kunden (also nicht intern) einen derartigen Begriff für eine seiner Stellen benutzen? Dieses Wort macht einen recht unvorteilhaften Eindruck eines konfliktträchtigen Daseins als Kunde. Die in die Mail eingebettete, externe Grafik mit diesem Begriff kommt übrigens nicht aus der PayPal-Website, sondern sie wird vom anonym nutzbaren Freehoster image (strich) upload (punkt) de eingebunden. Zurzeit kann sie dort noch betrachtet werden. Meine Abuse-Mail ist schon draußen, und ich hoffe, dass diese Grafik schnell verschwindet. Ich habe in meiner Mail übrigens darum gebeten, die Grafik nicht einfach zu löschen, sondern sie durch eine auffällige Grafik mit einem deutlichen Hinweis auf das Phishing zu ersetzen, um den Schaden durch diese Mails zu beschränken. Dieses Vorgehen werde ich in Zukunft jedem Imagehoster nahelegen, dessen Dienst von solchen Verbrechern missbraucht wird, und ich empfehle das anderen zur Nachahmung. Aber es wäre vermutlich schon viel gewonnen, wenn öfter einmal mit einer Mail auf den Missbrauch anonym nutzbarer Dienste im Web hingewiesen würde…
  9. „Genießer“ merken es in jedem Fall
    Wer sich die Mailheader anschaut, bemerkt, dass diese Mail nicht von PayPal kommt. Stattdessen wird im Header die Domain hausrattreff (punkt) de verwendet.

Doch trotz dieser Schwächen: Phishing wird besser. Arglose und unerfahrene Menschen können auf diese Spam hereinfallen. Die namentliche Ansprache macht die Spam gefährlich. Die Spammer scheinen inzwischen eine Zuordnung von Mailadressen zu Namen aus vielen Quellen zusammengestellt zu haben. Derartige Datenbanken sind unter Kriminellen im Umlauf und werden benutzt.

Es wäre an den Geschäftstreibenden im Internet, die Situation zu verbessern. Die konsequente Verwendung digital signierter Mails in der Kommunikation und die Aufklärung der Kunden über Zweck und Nutzung digitaler Signaturen würde den Phishern schon nach kurzer Zeit das Wasser abgraben und einen kriminellen Sumpf mit monströsen Umsätzen vollständig trockenlegen. Warum PayPal nicht digital signiert? Warum es niemand tut? Ich habe darauf nur eine Antwort: Weil die „Sicherheit“ vor allem ein Wort der Werbeabteilungen ist, und nicht etwa ein Streben im Sinne der Kunden. Mittelbar ist jeder Geschäftstreibende, der seine Mail nicht digital signiert, an der Seuche des Phishings und an den Schäden bei seinen von Verbrechern übertölpelten Kunden mitschuldig.

Diese Spam wurde mir von meinem Leser Cassiel zugesendet.

Sicherheitsmassnahmen

Mittwoch, 10. April 2013

Die Preis für die bis jetzt beste „persönliche“ Anrede des Jahres bekommt dieses Prachtexemplar der Gattung Phishing-Mail, das ich gern völlig unkommentiert belasse, um den tiefen Scharfsinn und die gewandte Sprache des Textes nicht zu beschädigen und den Sinn für die Einheit von inhaltlicher Größe und gestalterischer Exzellenz zu schärfen. Es handelt sich übrigens um eine HTML-formatierte Mail, die es gar nicht so schwer machen würde, einen Buchstaben wie „ü“ als ü zu codieren. Aber das weiß ja jeder aufgeweckte Achtjährige.

Alle Zeilenumbrüche kommen aus dem Original.

Sehr geehrte Visa/MasterCard,

Aufgrund einer automatischen Kalibrierung in Ihren Kundendaten
Vergleichen Statistiken, die Gefahr
Classified Nichtzahlung f�r Ihr Konto zu �berdurchschnittlich

Um weiterhin die einfache Nutzung Ihrer Visa/MasterCard Konto
bitten wir Sie, Daten – als Sicherheit gegen Verluste – bei uns neu
registrieren.

Sie k�nnen Ihre Daten mit Hilfe des beigef�gten Formulars.

Wir entschuldigen uns f�r eventuelle Unannehmlichkeiten entschuldigen
Vorgehensweise ist nicht auf den zunehmenden Betrug
erforderlich.

Mit freundlichen Gr��en,
Ihre Visa/MasterCard Kunde

Das „beigefügte Formular“ ist eine HTML-Datei, in der man eine Menge Daten eingeben kann, die das kontoführende Institut schon längst kennt…

Screenshot der angehängten Phishing-Seite

…um sie mit einem dummen Klick direkt an die Mafia zu übermitteln. Wo die Daten hingehen, möchten die Absender aber lieber nicht direkt in den Mailanhang reinschreiben, damit ihre Drecksmail auch manchmal noch durch einen Spamfilter kommt. Stattdessen verwenden sie dann fröhlich eine Zeile JavaScript, um das öffende FORM-Tag nicht im Klartext anzugeben:

So sieht das Verbergen im Quelltext aus

Bemerkenswert ist daran, dass es im Anhang zwei weitere, genau so codierte Eröffnungen eines FORM-Tags gab, das die Daten allerdings an andere Server sendete. Es ist also davon auszugehen, dass die Idioten, die für diese Spam verantwortlich sind, sich aus dem einen oder anderen Grund nicht getraut haben, nicht mehr benötigten Code zu löschen. Ein Grund dafür könnte sein, dass sie den bestehenden Code nicht verstanden; und ein anderer Grund könnte es allerdings sein, dass ihnen fünf Minuten Sorgfalt einfach zu viel der Mühe bei ihren Betrugsversuchen waren. Denn das diesen Spammer jede Mühe zu viel ist, das sieht man ja auch an ihrer wunderbaren Spammail.

Übrigens: Die Daten gingen an eine durchaus vertrauenswürdige NGO-Site aus Togo, deren CMS offenbar von Kriminellen übernommen werden konnte. Die Betreiber sind über den Missbrauch ihres Servers unterrichtet und haben das Problem mittlerweile (und sehr, sehr schnell) behoben. Ich befürchte allerdings, dass die gleiche Nummer demnächst mit einer anderen gecrackten Site läuft und dass dann die vierte JavaScript-Ruine in den Anhang kommt…

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.