Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Schlagwortarchiv „HTML“

Ihre PACKSTATION wurde deaktiviert

Montag, 10. September 2012

Wie, ich habe eine Packstation?! 😀

Sehr geehrte/r Packstation-Kunde,

Wir haben wir üblich nicht die geringste Ahnung, wie sie heißen, obwohl…

in den letzten 24 Stunden wurde mehrfach versucht, sich Zugang zu Ihrer PACKSTATION zu verschaffen.

…wir angeblich mit ihnen in einer Geschäftsbeziehung stehen. Aber natürlich sind wir nicht DHL, obwohl wir die Absenderadresse gefälscht haben, sondern Spammer mit einer Phishing-Masche, die gern fremde Anschriften für eigene illegale Geschäfte missbrauchen.

Wir gehen davon aus, dass es sich um einen unberechtigten Zugangsversuch gehandelt hat – daher haben wir aus Sicherheitsgründen Ihre PACKSTATION deaktiviert.

Deshalb machen wir erstmal Alarm. Wer verunsichert und verängstigt ist, ist gleich viel bereiter, etwas unaufmerksamer das zu tun, was Spammer von ihnen wollen. Zum Beispiel…

Durch diese Deaktivierung können Sie nicht mehr auf Ihre PACKSTATION zugreifen. Damit Sie Ihre PACKSTATION weiterhin wie gewohnt nutzen können, ist eine Entsperrung vonnöten.

https://dhl.de/privatkunden/paket/aktivierung.htm?56e4810eh530a32m87

…auf einen Link klicken, um wieder an die Packstation zu kommen. Die Mail ist natürlich HTML-formatiert, und der Link geht auch nicht zu DHL, sondern zum Server pack (strich) station (punkt) be. Dort kann man in einer flugs nachgebauten DHL-Seite seine PostNummer, sein Internet-Passwort und die PIN für die Packstation absetzen. Nachdem man dort brav seine Daten eingegeben hat – ich habe es gerade mit ein paar Phantasiedaten durchprobiert – bedanken sich die Phisher für das Vertrauen und sagen einen, dass man jetzt wieder seine Packstation deutschlandweit nutzen kann.

In Wirklichkeit können diese Halunken natürlich die Packstation nutzen. Und die werden Anwendungen dafür haben, denn sie bleiben bei ihren Geschäften doch lieber unidentifizierbar, damit sie nicht diese hässlichen Handschellen umgelegt bekommen.

Viele Grüße
Dirk Sebastian
Marktkommunikation DHL Paket

So heißt der wirkliche Absender garantiert nicht.

Hinweis: Es besteht keine Gefahr für Ihre PACKSTATION. Diese neue Maßnahme tritt automatisiert nach 3 fehlgeschlagenen Loginversuche ein und dient der Abwehr vor Angriffen.

Was bei der Abwehr von Angriffen wirklich helfen könnte, ist die Beachtung der von DHL gegebenen Sicherheitshinweise. Den im Zusammenhang mit diesem plumpen Phishing wichtigsten Hinweis gebe ich hier gern noch einmal wieder – die Hervorhebung habe ich aus dem Original übernommen:

Aktuell sind wieder verstärkt Phishing-Mails in Umlauf, in denen Sie aufgefordert werden, ihr gesperrtes Packstation Konto zu entsperren. Diese E-Mails verlinken auf eine gefälschte DHL-Seite, auf der man seine PostNummer, Passwort und PIN eingeben soll. Bitte beachten Sie grundsätzlich: DHL Packstation wird Sie niemals nach Ihrer PIN fragen, weder telefonisch, noch postalisch oder per E-Mail!

Ich hoffe, das ist deutlich genug.

Diese Phishing-Spam wurde mir von einer Leserin weitergeleitet. Danke!

Der Zugriff auf Ihr Konto wurde eingeschr?nkt.

Montag, 13. August 2012

Es ist ja nicht so, dass die Spammer nichts an ihren Nummern ändern würden.

Es scheint sogar so zu sein, dass die Spammer genau lesen, wie naive Internetnutzer über typische Maschen im Internetbetrug aufgeklärt werden, um dann ihre Spam ein wenig anzupassen.

Der Absender der folgenden Komposition aus HTML-Gestaltung und Phishing-Mail hat sich etwa folgendes gedacht: „Der Polizist da in der Zeitung, der hat gesagt, dass die Phishing-Mails den echten Mails täuschend ähnlich sehen. Da lasse ich mein PayPal-Phishing doch mal völlig anders als die corporate identity von PayPal aussehen, und schon merken die Leute nicht mehr, dass es eine Phishing-Mail ist. Und dann geben die mir hunderte von neuen Zugangsdaten für meine Betrugsgeschäfte“.

Dann setzte er sich an die Tasten und gestaltete eine beachtliche HTML-Mail.

Und so sah das Meisterwerk des unbekannten Künstlers schließlich aus (zum Vergrößern klicken):

Liebe User PayPal, Ungewöhnliche Kontobewegungen haben es notwendig gemacht Ihr Konto einzugrenzen bis zusätzliche Informationen zur Überprüfung gesammelt werden. Zur Zeit haben Sie nur begrenzten Zugang zu Ihrem Pay Pal Konto. Wir bitten Sie daher die von uns angeforderten Kontodaten zu enrneuern. Bitte klicken Sie hier

Es wird mit Sicherheit ein grandioser Erfolg werden! :mrgreen:

Try HQ Medications Online

Dienstag, 26. Juni 2012

Hey Spammer,

ich finde es ja lobenswert, dass du dich mal hingesetzt und HTML gelernt hast. Du hast dir bestimmt gedacht: Das ist ja toll, dass ich meine Drecksmails auch ansprechend formatieren kann, das macht sie bestimmt gleich viel überzeugender und wirksamer:

Try HQ Medications online Here

Jetzt musst du nur noch eines lernen: Dieses Ding mit den Inhalten. Ein einfaches Wiederholen des Betreffs ist jedenfalls wenig als „Inhalt“ geeignet und wird niemanden dazu motivieren, auf den tollen Linktext „Here“ zu klicken. Weder, um deinem Skript mit der eindeutigen ID aus dem Link mitzuteilen, dass deine Drecksspam ankommt, noch, um sich auf deine betrügerische Pimmelpillen-Apotheke mit der lächerlichen Firmierung „Canadian Health&Care Mall“ weiterleiten zu lassen. Diese Dreckssite ist übrigens auch schon bei allen Filtern dieser Welt bekannt, so dass Menschen mit einem aktuellen Browser eine Warnung wegklicken müssen, bevor sie Viagra, Cialis und Levitra zu Gesicht bekommen.

Aber wenns auch völlig sinnlos ist, was du da treibst, unbekannter Idiot: Du hast wenigstens ein bisschen HTML gelernt.

Vielleicht fängst du damit ja mal was anderes an, als lächerliche Mailtexte aufwändig zu verpacken… :mrgreen:

Dein dich lesen müssender

Nachtwächter

Change your Password

Dienstag, 12. Juni 2012

This is an automatic message from the Internet Movie Database (IMDb) registration system.

Dies ist eine über ein Botnetz versandte Mail, die auch bei Leuten ankommt, die noch nie etwas von der IMDb gehört haben. Deshalb fehlt auch jede Anrede.

Our system detected your password is too weak. Short passwords are easy to guess.

Wir haben uns gedacht: Es wäre doch schön, wenn wir mal wieder ein paar Leute einen Haufen persönlicher Daten irgendwo eingeben lassen, damit wir mit den so übernommenen Identitäten unsere kriminellen Geschäfte machen können.

Please follow this link :

https://secure.imdb.com/password_update/imdb/31764577128474171815

Bitte wundere dich nicht weiter darüber, dass das wirkliche Ziel des Links in dieser HTML-formatierten Mail ganz woanders hingeht.

[Die Phishing-Seite wurde über ein gecracktes Forum jemanden anders auf den Webserver gespielt. Sie ist inzwischen entfernt worden.]

If you used your IMDb password at any other sites, you‘ll need to change those passwords as well.

Bitte sei so nett, und verwende das Passwort, das du uns mitteilst, an möglichst vielen anderen Stellen im Web. Wir werden diese Stellen schon finden und uns nutzbar machen.

Regards,
IMDb User Protection help
http://imdb.com/register/

Mit roboterhaftem Gruß
Deine Phishing-Spammer

Hi Dear Friend

Samstag, 9. Juni 2012

Weil gerade so viel PayPal-Phishing bei mir ankommt, sei auch diese wunderschöne Kombination aus dem Streben nach gestalterischer Exzellenz und der Unfähigkeit zum adäquaten Ausdruck hier kurz erwähnt:

Hi Dear Friend, You violated the Terms of Service of 1.8 and we have to block your account. Look for a detailed explanation on the website of ... service. With regards www.paypal.com

Egal, auf welchen Link einer klickt: Sie gehen alle zur Website der Schurken.

Anders, als man auf dem ersten Blick glauben möchte, geht es hier allerdings nicht um Phishing. Vielmehr ist die Zielseite eine kaum durchschaubare JavaScript-Wüste zusammen mit der Aufforderung, doch bitte ein paar Sekunden Geduld zu haben, bis zur eigentlichen Seite weitergeleitet wird. Ich habe das nicht vollständig analysiert, sondern mir nur einen flüchtigen Eindruck davon verschafft. Es wird ein unsichtbarer IFRAME verwendet, um darin verschiedene Multimedia-Dateien darzustellen, es wird versucht, in einem anderen unsichtbaren IFRAME ein kleines PDF darzustellen, es wird ein relativ kleines Java-Applet eingebettet und Flash kommt auch nicht zu kurz. Desweiteren werden mehrfach obskure HTML-Dokumente in anderen unsichtbaren Bereichen geladen.

Oder kurz gesagt: Hier wird mit hoher Wahrscheinlichkeit jede bekannte Sicherheitslücke ausgenutzt, wenn sie offen ist.

Die flapsige Formulierung und der dumme Stil sind vermutlich keine Unfähigkeit, sondern Kalkül. Menschen, die eine derartige Mail mit der Anrede „Hallo lieber Freund“ für eine Geschäftskorrespondenz halten, werden wohl in der Regel auch keine besonders gut gesicherten Rechner verwenden…

Und diese Dummheit einiger Leute versaut dem Rest der Internetnutzer das Leben.

Mastercard Verifikations Abgleich!

Freitag, 11. Mai 2012

MasterCard Daten-Abgleich

Mit wem? Ach ja, mit kriminellen Phishern.

Sehr geehrte Damen und Herren,

Die wissen natürlich auch nicht, wie der Empfänger heißt und sprechen ihn deshalb – im Gegensatz zu einem Kreditinstitut – auch nicht mit Namen an.

aufgrund der rasant ansteigenden Probleme durch Cyberkriminalität, sehen wir uns als Ihr Dienstleister dazu gezwungen, für das höchste Maß an Sicherheit für Sie zu sorgen.

Diese hier wissen nicht einmal, wie man diese komischen Vokale mit den Pünktchen darüber in eine HTML-Mail reinbekommt. Klar, das hätten sie sich schnell anlesen können, aber wenn sie sich Mühe geben wollten, wären sie ja keine kriminellen Spammer geworden.

Aber dafür ist der Text jetzt sehr komisch:

Verifizierungsvorgang

Nach langwierigeren Testphasen sowie Überarbeitungen unseres Systems freuen wir uns, Ihnen das neue Secure Transaction System kurz STS vorstellen zu dürfen.

Sie als Kunde werden nach der einmaligen Validation keinen feststellbaren Unterschied wahrnehmen, jedoch werden sie ab diesem Moment abgesicherte Transaktionen im Internet ohne Einschränkungen durchführen können. STS ist für sie Kostenlos und sofort nach erfolgreicher Verifizierung aktiv.

In der Tat, das stimmt. Wer darauf reingefallen ist, wird danach erstmal keinen Unterschied feststellen, wenn er irgendwas mit seiner Kreditkarte macht. Er wird halt nur irgendwann feststellen, dass seine Kreditkartendaten für kriminelle Geschäfte benutzt werden und dass sein Konto geplündert wurde.

Bitte füllen Sie alle nötigen Details auf folgender Seite aus um ihr Verifikation abzuschließen.;Verifikation abschließen

Im Original geht der Link auf mastercards (strich) verifikation (punkt) net, eine recht überzeugend klingende Domain. Den Hosting-Provider der Website habe ich eben über den Vorgang informiert, so dass diese betrügerische Site vermutlich in Kürze verschwunden sein wird. Sie sieht zurzeit übrigens so aus:

Screenshot der betrügerischen Website

„Herzallerliebst“ darin die alarmierend formulierte Warnung:

Sehr geehrte Kunden,
Wegen sicherheitstechnischen Mängeln [sic!] in diversen größeren Onlineshops [sic!] in Deutschland sind wir gezwungen [sic!], unsere Kunden einer Kartenverifizierung zu unterziehen [sic! Eine „Kartenverifizierung“ der Kunden!]. Wenn Sie eine Mastercard besitzen, empfehlen wir Ihnen, diese Kartenverifizierung sofort durchzuführen [Komma fehlt] um eine allfällige Kartensperrung [sic!] zu verhindern. Wenn Sie Ihre Karte nicht verifizieren, sehen wir uns gezwungen, diese binnen 2 Tagen zu Ihrem Schutz [sic!] zu sperren.

Herzlichen Dank für Ihr Verständnis [sic!]

Harald Fischer
Mastercard Sicherheitsteam Deutschland

Auch wenn die technische Gestaltung wesentlich gelungener ist als die Phishing-Spam, muss man nicht besonders wach sein, um an der Sprache zu bemerken, dass kein Unternehmen so mit seinen Kunden kommunizieren würde.

Aber weiter in der Spam:

WICHTIG: Wenn Sie Ihre Kreditkarte regelmäßig nutzen, empfehlen wir Ihnen DRINGEND, dass Sie Ihre Kreditkarte schützen, um möglichen Betrugsversuche auszuschließen.

Mit freundlichen Grüßen,
Mastercard Services

Die wirklichen Sicherheitshinweise von Mastercard kann man übrigens auf der echten Website von Mastercard nachlesen. Ich kann Kartennutzer gar nicht oft genug auffordern, das zu lesen – und fortan jede derartige Mail, auch wenn sie nicht so stümperhaft ist, in den virtuellen Papierkorb zu werfen.

Mastercard Ltd. USA, registriert in America & Washington unter der Nummer 4260907.
Sitz der Gesellschaft: Welken House, 10-11 Charterhouse Square, New York, EC1M 6EH, America.
Autorisiert und reguliert von der Financial Services Authority (FSA) Amerika.

Das mag alles stimmen, aber von Mastercard kommt diese Mail nicht.

Welcome to Evia island, Greece

Mittwoch, 9. Mai 2012

Spammer's Hall of Shame: Avantis Suite Hotel, Evia island, Griechenland

In die „Hall of Shame“ kommen nur die ganz Harten. Die, bei denen sich der mutige Einsatz von Technik und das Streben nach gestalterischer Exzellenz mit saudummer Stümperei paart. Die, bei denen die Worte erst einmal Luft holen müssen, ehe sie das Gesehene beschreiben können. Wenn du hier landen willst, Spammer, denn musst du dir schon Mühe bei deiner Müllproduktion geben…

Der Text der HTML-formatierten Mail war kurz und bündig, und eigentlich hätte es damit genug sein können:

Welcome to Evia island, Greece

If you do not want to receive any more newsletters, click Unsubscribe

Was man im Zitat nicht so gut sieht, ist, wie der Link auf die Dreckssite der Spammer gelegt wurde. Normale Menschen setzen, wenn sie kommunizieren wollen, wo eine Website liegt, einfach einen direkten Link, in diesem Fall wäre er auf avantis (strich) hotel (punkt) gr gegangen – aber Spammer wissen eben, dass sie Schlechtes tun und dass es Spamfilter und Blacklists gibt, so dass sie ihren Link lieber nicht ganz so direkt setzen, um die automatische Auswertung ihrer Drecksmails zu erschweren. Das Ergebnis solcher Bemühungen in der Verschleierung der wirklich verlinkten Website kann dann eine bemerkenswerte Länge und Umständlichkeit erreichen und zeigt jedem Menschen beim Betrachten deutlich, dass er es mit Abschaum zu tun hat:

Der Link auf das Avantis Suite Hotel spricht für sich selbst

Es ist eben einfach nur die gewöhnliche, asoziale, kriminelle, stinkende Spam – übrigens verschickt mit der IP-Adresse eines Anbieters für das Hosting virtueller Server in Kansas City, den ich eben mit der üblichen Abuse-Mail über das Problem informiert habe. Dieser „Newsletter“ ohne „News“ und „Letter“ hat sich allerdings nicht auf den zitierten Text und einen Link beschränkt und er hatte auch noch nicht genug damit, klandestin mit einem eingebetteten Webbug nachschauen zu wollen, ob die Spam auch ankommt. Nein, da waren auch noch zwei schwergewichtige Grafiken (im Folgenden natürlich herunterskaliert) eingebettet, damit sich die Elektronen in den Internetleitungen auch ja nicht langweilen und damit das Postfach des Empfängers auch ja so richtig mit Müll vollgestopft werde:

Grafik Eins aus der Spammail

Grafik Zwei aus der Spammail

Natürlich waren auch diese Grafiken mit der Website eines Hotels verlinkt, dessen Betreiber aus irgendwelchen Gründen zu der Auffassung gekommen sind, dass es ohne asoziale, stinkende, kriminelle Spam keine Gäste mehr finden wird. Und generell schienen sie es in dieser Situation auch nicht mehr für nötig zu halten, sich beim Spammen irgendwelche Mühe zu geben, sondern scannten einfach nur eine fertige, für den Druck gedachte Reklame ein, fügten eher stümperhaft auf der zweiten eingescannten Seite in gar nicht zum ursprünglichen Entwurf passenden Schriftarten eine Internetadresse und eine Mailadresse hinzu und klatschen gleich daneben eine völlig nutzlose und durch mindestens dreimalige JPEG-Bearbeitung hoffnungslos mit Artefakten verdorbene Grafik mit einer Kollektion von „social icons“, die in dieser Verwendung natürlich sinnlos sind. Sie machen das so schäbig, schnell und stümperhaft, weil sie ganz genau wissen, dass jedes zuviel an Mühe, ja, sogar das Abtippen der fertigen Werbetexte für den besseren Transport mittels des Mediums E-Mail, einfach nur noch zuviel für ihr gewiss nicht besonders empfehlenswertes Hotel wäre.

Diese durch die Spam in die Welt gegebene Selbsteinschätzung der Hotelbetreiber widerspricht den üblichen, auch in dieser Spam wiedergegebenen Werbelügen deutlich und schrill genug, so dass ich ihr mit großem Vergnügen zustimme. Wer eine Übernachtung in Griechenland sucht, wird sicherlich beim seriösen Mitbewerb fündig werden und muss zu seinem eigenen Glück nicht auf das „Avantis Suites Hotel“ auf Evia zurückgreifen. Ich würde jedenfalls lieber Urlaub mit Gaddafi machen, als im Hotel eines asozialen Spammers zu übernachten.

Den Hotelbetreibern wünsche ich von ganzem Herzen, dass sie bald viel Freude mit dem Insolvenzverwalter haben.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.