Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Schlagwortarchiv „HTML“

Mold 00141-C-001685

Montag, 25. Juni 2018

Von: 0 <zxgaoxin5201314@163.com>
Antwort an: billie@joawamould.com
An: gammelfleisch@tamagothi.de

Direkt in den Eimer!

Deagammelfleischrgammelfleisch
fgammelfleischrigammelfleischengammelfleischds,

Wgammelfleische agammelfleischre
gammelfleischCgammelfleischhingammelfleischesgammelfleische
[…]

Ich habe die Spam gekürzt. Es folgen weitere rd. 4700 Zeichen, die vor allem aus einer ständigen Wiederholung des Wortes „gammelfleisch“ bestehen, in die immer wieder einmal ein paar andere Buchstaben eingesprengselt sind.

Das ist doch sehr informativ und gelungen! Auf die Idee, seine HTML-formatierte Spam mal für die Situation zu testen, dass sie jemand nicht als HTML betrachtet oder dass jemand CSS in E-Mail nicht zulässt, ist der Spammer niemals gekommen. Warum auch? Wenn der sich Mühe geben wollte, könnte er ja gleich arbeiten gehen und brauchte nicht zu spammen…

Und nun die Musik zur Spam.

Die Spam hat übrigens auch einen Anhang, eine…

$ wc -c kqqm.ocj 
155 kqqm.ocj
$ file kqqm.ocj 
kqqm.ocj: data
$ _

…155 Byte große, rätselhafte Datei namens kqqm.ocj. Irgendwelche Spuren von Sinn und Botschaft…

$ od -xc kqqm.ocj 
0000000    6cd0    a349    b2f0    240b    f6ad    ca64    4a7e    e342
        320   l   I 243 360 262  \v   $ 255 366   d 312   ~   J   B 343
0000020    be13    7aa0    3dd8    9f06    b114    db6a    fcd2    7242
        023 276 240   z 330   = 006 237 024 261   j 333 322 374   B   r
0000040    94ec    6cbd    cccc    7f5c    15cc    5869    c249    e707
        354 224 275   l 314 314   \ 177 314 025   i   X   I 302  \a 347
0000060    24c0    95e0    ff9e    9999    a697    d79f    4fa0    e9fa
        300   $ 340 225 236 377 231 231 227 246 237 327 240   O 372 351
0000100    6ce8    5221    0873    f61e    8521    4a5f    405c    e911
        350   l   !   R   s  \b 036 366   ! 205   _   J   \   @ 021 351
0000120    dca4    76e6    58af    fb94    22f6    2f7c    c9be    4f43
        244 334 346   v 257   X 224 373 366   "   |   / 276 311   C   O
0000140    0c04    754e    53e8    9d59    e66c    beba    6aac    aaf4
        004  \f   N   u 350   S   Y 235   l 346 272 276 254   j 364 252
0000160    69e0    98a0    ffd2    91f3    ec95    1b43    98a4    df64
        340   i 240 230 322 377 363 221 225 354   C 033 244 230   d 337
0000200    e2c2    2ac1    b233    7b7d    a830    8511    76ae    5d25
        302 342 301   *   3 262   }   {   0 250 021 205 256   v   %   ]
0000220    a0d9    aa9d    c2cf    1d17    9f97    005f
        331 240 235 252 317 302 027 035 227 237   _
0000233
$ _

…lassen sich allerdings auch mit einem genaueren Blick nicht darin ausmachen.

Menschen, die HTML-formatierte Mail darstellen und CSS in HTML-formatierter Mail zulassen (warum?), sehen diese Spam übrigens so:

Dear friends, -- We are Chinese manufacturer in mould making and plastic injection moulding. -- 1. Strong R&D(10 engineers), OEM troubleshooting /ODM design and development, past ic & metal. -- 2. Strong tooling workshop, 6CNCs,10 EDMs, HASCO/DME/Chinese standard Moulds prod uced and exported to overseas, 40moulds capacity per mouth. -- 3. Strong injection workshop, 20injection machines, ABS/PC/PP/Nylon/PPS/PEEK/Teflon,etc. -- 4. CNC precision metal part to produce in international standard and export. -- Best regards -- Billie, International Sales, Jaowa Mold Co., Ltd, Webwww.joawa.com -- Note: - If you are not interested then you can reply with a simple \"No\", We will never co ncact you again.

HTML-formatierte Spams mit tollen CSS-Tricks verfassen, aber nicht einmal die eigene Website unfallfrei angeben (oder sie gar in einer HTML-formatierten Spam verlinken) – das muss eine ganz großartige Unternehmung voller ganz spezieller Spezialexperten sein!

2-Minuten-Solaranlagen-beratung

Montag, 23. April 2018

Diese HTML-formatierte Spam – bei mir auf eine für Harvester-Skripten der Spammer ausgelegte Mailadresse angekommen, die menschliche Leser niemals zu Gesicht bekommen – enthält beinahe keinen Text, sondern nur von externen Quellen eingebettete Bilder. Diese funkt an den Absender zurück, dass die Spam gelesen wurde, wenn die Bilder beim Lesen der Spam geladen werden – so dass in Zukunft immer etwas im Postfach los sein wird.

Die Spam sieht so aus:

SOLAR AUF DEM DACH -- UNABHÄNGIG WERDEN UND STROM SELBST PRODUZIEREN & SPEICHERN -- Persönliche Energieberatung -- Zertifizierte Anbieterauswahl -- kostenlos & unverbindlich -- 2-MINUTEN-SOLARANLAGEN-BERATUNG -- SOLARANLAGEN-ANBIETER VERGLEICHEN & BIS ZU 30% SPAREN -- Bitte geben Sie ihre Postleitzahl an: [Weiter] -- BIS ZU 30% SPAREN -- STROMKOSTEN SENKEN -- STAATLICHE ZUSCHÜSSE SICHERN -- Der Werbetreibende hat keine persönlichen Daten -- Diesr Newsletter wurde von einem Partner gesendet - Promo News. -- Bitte kontaktieren Sie sie bei Fragen zu Ihren persönlichen Daten promonews.eu@yandex.com -- Klicken Sie hier, um diese Nachricht als unerwünscht zu melden -- Wenn Sie keine weiteren Newsletter erhalten möchten, klicken Sie hier.

Angesichts der Tatsache, dass die Weiterleitungen über Javascript realisiert sind und vorsätzlich schwer analysierbar gemacht wurden, habe ich gerade nicht die Lust, mir den Schwindel näher anzuschauen.

Aber ich rate strikt davon ab…

  • …in eine illegale und asoziale Spam zu klicken;
  • …einem asozial und illegal vorgehenden Spammer zu glauben, dass es Vorteile bringen und Geld sparen kann, wenn man in eine asoziale und illegale Spam klickt; oder
  • …auf die unendlich dumme Idee zu kommen, auf einer Website, die in einer illegalen und asozialen Spam verlinkt wurde, irgendwelche persönlichen Daten anzugeben. Dies gilt insbesondere für Name, Meldeanschrift und das Geburtsdatum. Denn diese Angaben zusammen mit dem Wissen des Kriminellen, dass jemand so viel Bonität hat, sich für Solaranlagen auf „seinem“ Dach interessieren zu können, ist beinahe schon eine Garantie für einen kriminellen Missbrauch der Identität für allerlei Betrugsgeschäfte. Und ein solcher Identitätsmissbrauch kann einem leicht zwei bis fünf Jahre der beschränkten Lebenszeit mit ganz viel Ärger verhageln.

Wer eine Beratung für eine Solaranlage haben möchte, wird sicherlich mit weniger als zehn Minuten Aufwand seriöse Anbieter finden, die es nicht nötig haben, wie ein schäbiger Betrüger mit illegalen und asozialen Mitteln Reklame zu machen.

Ein Personal Shopper Experte + ein speziellen Gutschein

Mittwoch, 18. April 2018

„Experten“ gibt das… :mrgreen:

Vereinbaren Sie einen Termin und genießen Sie ihre private Shopping-Session -- If you want to see this email in your browser click here. -- Nur für Sie: personal shopping -- bei Stefanel! -- Vereinbaren Sie einen Termin und genießen Sie ihre private Shopping-Session -- Ein Personal Shopper Experte hilft Ihnen einzigartige und personalisierte Looks zu kreieren. In allen an der Initiative teilnehmenden Stores, bis zum 24. April 2018. -- Buchen Sie einen Termin und wir kontaktieren Sie um ihre exklusive Shopping-Session zu organisieren. Finden Sie ihren perfekten Look, zu einem speziellen Preis! -- BUCHEN SIE JETZT! -- © STEFANEL S.p.A - All rights reserved - via Postumia 85 - 31047 Ponte di Piave (TV) | VAT e lscr. Reg. Imp. TV 01413940261 -- Der Werbetreibende hat keine persönlichen Daten. -- Dieser Newsletter wurde von einem Partner gesendet - Promo News. -- Bitte kontaktieren Sie sie bei Fragen zu Ihren persönlichen Daten: promonews.eu@yandex.com -- Klicken Sie hier, um diese Nachricht als unerwünscht zu melden -- Wenn Sie keine weiteren Newsletter erhalten möchten, klicken Sie hier.

Was will mir dieser freundliche Spammer mit „buchen sie jetzt“ und „klicken sie hier“ anbieten? Assistenz für Menschen, die zu doof zum Einkaufen (neudeutsch: shoppen) sind und deshalb jemanden benötigen, der ihnen sagt, was sie brauchen, wollen und kaufen sollen? Die Welt scheint inzwischen ja doch ziemlich reif zu sein und sollte dringend gepflückt werden… 😀

Immerhin: Wer so eingeschränkt in seinen Befähigungen ist, der kann auch auf eine illegale und asoziale Spam reinfallen.

Beste Pillen für Männer

Montag, 5. Februar 2018

Zur Empfängnisverhütung? 😉

Dies ist ein weiteres Beispiel für eine Pimmelpillen-Spam, die gar keinen Text enthält, aber diesmal ist es auch nicht einfach nur eine Grafik. Nein. Es sind zwei Grafiken! In einem Anfall von Qualitätsstreben hat sich der Spammer auch dazu entschlossen, nicht etwa das kompakte, aber auch verlustbehaftete JPEG-Format für diese Grafiken zu nutzen, sondern er „erfreut“ die Empfänger seiner wenig einfallsreichen Mitteilung mit verlustfreien und relativ großen PNG-Bildern. Eines zu 305,5 KiB und ein weiteres zu 94,1 KiB, was zusammen rd. 400 KiB ergibt, die durch die Base64-Codierung für den E-Mail-Versand zu äußerst moppeligen rd. 540 KiB Müll im Posteingang aufgeplustert werden. Ein halbes Megabyte! Da hat man früher eine Langspielplatte drin untergebracht. Früher heißt hier: Vor der Erfindung von MP3.

Wohl dem, der keinen Volumentarif hat und deshalb nicht von so einem Mist seinen Datentransfer weggeknabbert kriegt. Und wohl dem, der halbwegs schnelles Internet hat, denn das Abholen dieser Mail kann sich sonst schon ein bisschen hinziehen.

Aber dafür sieht die Spam doch bestimmt gut aus, oder? Mal schauen:

Deutsche Pharma -- teilweise abgebildete Packungen Viagra, Cialis, Levitra -- Halbpornografisches Foto einer Frau mit entblößten Brüsten
Abbildungen einer Tablette in Form und Farbe von Cialis, einer Tablette in Form und Farbe von Viagra, einer Zehnerpackung Tabletten -- Freuen Sie sich auf unsere Produktauswahl und bekommen Sie unverbindliches Angebote -- [HIER KLICKEN]

Ich freue mich ja schon so auf die Produktauswahl nach dem „Click here“! Schade, dass wohl nichts gegen Kopfschmerzen dabei sein wird… :mrgreen:

Der Link geht in die Domain de (punkt) devpol (punkt) group und ist natürlich nicht direkt gesetzt, denn wir haben es ja mit der Spam eines Giftapothekers zu tun. Es geht direkt weiter in die Domain luchnib (punkt) top, und dort gibt es die anonym betriebene und impressumslose Europäische Apotheke (auf dem Impressumslink der Website gibt es keine Anschrift), deren Betreiber schon auf der Startseite in großen Buchstaben klar macht, dass er verschreibungspflichtige Arzneien auch ohne Rezept abzugeben gedenkt, weil er ein durch und durch krimineller „Apotheker“ ist. Zu den Risiken und Nebenwirkungen solcher pillz von irgendwelchen Giftmischern empfehle ich einen Friedhofsbesuch.

Nein, Viagra, Cialis und Levitra sind nicht in den Packungen, das steht nur drauf.

Diese Spam ist ein Zustecksel meines Lesers H.S.

® wurde gestoppt

Mittwoch, 6. Dezember 2017

Wer ist das? Und was habe ich damit zu tun? Diese etwas obskure Mail ging auf der Gammelfleisch-Adresse für unseriöse Geschäftsvorschläge ein; diese ist die einzige Mailadresse im Impressum, die ein Harvester problemlos auslesen kann. Vermutlich wird jede irgendwo im Web auffindbare Mailadresse mit diesem Müll zugespammt.

Jetzt aber erst einmal ein Screenshot des „wunderhübschen“ HTML-Layouts der Schrottmail:

Screenshot der Darstellung dieser Mail im Thunderbird

Detail aus der Spam: Fünf Sterne, unter denen Nr. 1 steht, darunter ein nachgemachter Teilen-Button von FacebookEs ist doch gleichermaßen erfreulich wie erbäulich, wenn völlig namenlose und mir unbekannte Leute mit Facebook-Klickeknöpfchen und fünf Sternen über der Nummer Eins, die mir illegale und asoziale Spam in mein Postfach machen, schlaflose Nächte wegen meiner Computersicherheit zu haben scheinen. Vor allem, wenn man daran denkt, dass die größte vermeidbare Gefahr für die Computersicherheit ein Klick in eine Spam ist. Die Kombination von dummdürftigem Inhalt mit dem Streben nach Design ist immer wieder für einen Lacher gut.

Der wichtigste Grund für das HTML-Layout der Spam ist freilich ein anderer. Vom Leser im Regelfall unbemerkt wird von der (über einen bei Kriminellen sehr beliebten Dienstleister aus dem sonnigen Panama anonym betriebenen) Domain preparedsecurity (punkt) com ein unsichtbares, kleines Bild eingebettet, ein so genannter Webbug. Dieser „funkt“ über eine eindeutige ID an die Absender zurück, dass die Spam unter der Empfängeradresse angekommen ist und sogar angeschaut wurde, so dass bei der so heimlich bloßgelegten Adresse in Zukunft so richtig durchgespammt werden kann.

Mein Tipp gegen diesen regelmäßig angewandten Trick der Spammer (und der Werber): Einen Mailclient verwenden, der standardmäßig niemals externe Inhalte selbsttätig nachlädt. Ich empfehle den auch für „normale Menschen“ sehr einfach einzurichtenden und zu benutzenden Thunderbird. Wer hingegen seine E-Mail im Webbrowser macht, weil es so „bequem“ ist oder weil er Angst davor hat, sich eine richtige Software zu installieren, hat keine Chance, sich gegen diese Form der überrumpelnden Überwachung durch Kriminelle zu verteidigen. Tatsächlich ist eine richtige Mailsoftware auch wesentlich bequemer als die Nutzung eines Webmailers, vor allem, wenn man mehrere Mailadressen verwendet – was angesichts der Spamfluten eine gute Idee ist.

So, nun zum Text:

Hacker attackieren deutsche Webseiten

Diese Hacker aber auch immer, die mit ihren Äxten auf Webseiten losgehen!

Nehmen ich mal nur ein Beispiel. Hier auf Unser täglich Spam gab es in den letzten 12 Stunden zehn Versuche, sich mit ungültigen Zugangsdaten anzumelden. Es war für die Angreifer nicht besonders schwierig, meinen Login-Namen herauszubekommen, und für das Passwort werden dann einfach Wörterbücher genommen, die häufige und beliebte Passwörter durchprobieren. Skripten, mit denen man das automatisieren kann, sind leicht zu finden, und jeder verpickelte und adipöse Nachwuchscracker auf dem Pisspott kann diese Skripten benutzen. Dieses Wörterbuch-Verfahren für Passwortcracks führt erschreckend häufig zum Erfolg. Deshalb verwendet man ja auch niemals ein Passwort, das jemand anders erraten könnte. Wer nicht genau weiß, worauf es bei der Wahl eines Passwortes ankommt, kann hier schnell und einfach die Sicherheit seines Passwortes überprüfen lassen.

Ja, in der Tat: Hacker hacken. Das ist nichts Neues und bedarf nicht des brüllenden Alarmtones (und schon gar nicht der Spam), das ist Alltag. Gefällt mir auch nicht immer. Ist aber so. Es besteht also aller Grund zur Vorsicht im Datenverkehr!

Demnächst sollen nach den jüngsten und gesellschaflich hochgefährlichen Fieberträumen unseres offensichtlich völlig durchgeknallten geschäftsführenden Herrn Bundesinnenministers de Maizière (CDU)¹ sogar Polizeien und Geheimdienste der Bundesrepublik Deutschland mit krimineller Methodik auf Computer anderer Menschen zugreifen – und die für diesen Zugriff ausbeutbaren Sicherheitlücken sollen von Geräteherstellern offen gelassen oder sogar eigens geschaffen werden. Wohin ein solches Agieren von Staaten letztlich führt, durften wir alle während des WannaCry-Erpressungstrojaners „bewundern“, der eine für die NSA offen gelassene Sicherheitslücke ausbeutete: Zu riesigen Problemen für arglose Computernutzer, zu riesigen wirtschaftlichen Schäden in etlichen Unternehmen und zu riesigem Reibach für die Organisierte Kriminalität. Polizeien und Geheimdienste, deren Agieren die Kriminalität fördert und die Betroffenen der Kriminalität noch schutzloser macht, haben jeglichen Sinn verloren und werden in ihrer gegen mich und die gesamte Bevölkerung gerichteten Gewalt von mir nur noch als Feinde betrachtet. Nein, nicht als Gegner. Als Feinde. Weil sie Feinde sind.

Reuters/dpa berichtet: Wir sprechen von einem Cyber-Angriff.
Der Angriff hat alle Bereiche unseres Geschäfts erfasst.

Aha, und der angeführte angebliche „Bericht“ von Reuters und der dpa kann in einer HTML-formatierten E-Mail nicht verlinkt werden? Woran das wohl liegen mag? Nicht, dass es sich hier um diese „Fake News“ handelt, von denen so oft geredet wird… :mrgreen:

==> Finde heraus, ob von Hackern bedroht ist

Sätze ohne Verb habe ich ja öfter, vor allem bei Spams aus dem slawischen Kulturraum, aber Sätze ohne Objekt… 😉

Der Link geht in die Domain preparedsecurity (punkt) com und führt nach zwei Umleitungen…

$ location-cascade "http://www.preparedsecurity.com/index.php/campaigns/ln529dg4wt01e/track-url/ka421kkr2r726/1b01a0f7f8b56270471a4f696be785fefa26c7d4"
     1	http://preparedsecurity.com/rdc.php?md=email&cp=Sicherheitscheck 15.0.1&ad=CtoA&adt=Textclick&em=ln529dg4wt01e
     2	https://www.webwaechter2018.com?owa_medium=email&owa_campaign=Sicherheitscheck 15.0.1&owa_source=newsletter&owa_ad=CtoA&owa_ad_type=Textclick&email_id=ln529dg4wt01e
$ _

…zur Website in der Domain webwaechter2018 (punkt) com, die ebenfalls…

$ whois -h whois.namecheap.com webwaechter2018.com | grep ^Registrant | sed 5q
Registrant Name: WhoisGuard Protected
Registrant Organization: WhoisGuard, Inc.
Registrant Street: P.O. Box 0823-03411 
Registrant City: Panama
Registrant State/Province: Panama
$ _

…über einen bei Kriminellen und Spammern sehr beliebten Dienstleister aus dem sonnigen Panama vollständig anonym betrieben wird. Ich will es mal so sagen: Wer sich unter diesen Umständen und von diesen Leuten wegen seiner Computersicherheit beraten lässt, handelt genau so „schlau“ wie jemand, der zum Schutz vor Einbrüchen den Wohnungsschlüssel einer Einbrecherbande in die Hand drückt.

Immerhin scheint man sich nicht gleich beim Besuch der Website etwas einzufangen. Aber nicht einmal darauf würde ich mich verlassen. Die Spam ist aktuell, und die Antivirus-Schlangenöle helfen nur gegen ältere Schädlinge, die bei den Herstellern der Antivirus-Programme schon bekannt sind. Es ist niemals eine gute Idee, in eine derartige E-Mail zu klicken.

Die lustige und wie bereits gesagt völlig anonym betriebene Website mit ihrer 128-Bit SSL Rundum-Verschlüsselung mit Krypto-Lock (kannste dir nicht selbst ausdenken, sowas!) sieht übrigens so aus:

Screenshot der durch Spam beworbenen Website

Wer dort die Adresse seiner Website eingibt, wird sicherlich allerhand Probleme angezeigt bekommen – ich war nur nicht gewillt, allzuviel Skripting zu erlauben, weil ich gerade keinen gut gesicherten Rechner zur Verfügung habe, und deshalb weiß ich nicht, was meinen leichtgläubigen Mitmenschen präsentiert wird.

Wer diese Leute gar an seinen Server lässt, der bekommt vermutlich fast alles, wovor er geschützt werden soll:

Machen Sie Ihr Unternehmen sicher:
✔ Halten Sie Ihre Webseite immer erreichbar
✔ Schützen Sie sich vor Reputationschaden
✔ Wehren Sie böse Spam-Roboter Attacken ab
✔ Bleiben Sie mit Ihrer Webseite in der Google Suche

Wow, diese Spammer haben sogar ein Zeug, mit dem ich in der Google-Suche bleibe! Das ist ja… fast so gut wie die Zusage, dass ich mit meiner Lunge weiterhin Luft atme.

Am Rande bemerkt: Wer sich mit seiner Website am Webmaster-Programm von Google anmeldet (das kostet kein Geld, macht nur geringen Aufwand und schadet nicht), bekommt vor einer eventuellen Löschung aus dem Google-Index eine Warnmail, in der beschrieben ist, wieso es dazu kommt. Dafür bedarf es also nicht eines Bullshit-Spezialexperten, der von mir völlig unwidersprochen selbst zu der Auffassung gelangt ist, dass sich seine Dienste ohne illegale und asoziale Spam wohl nicht verkaufen lassen. Wieso Google Websites aus dem Index löscht? Häufig, weil eine Website von Verbrechern übernommen und in eine Schadsoftware-Schleuder umgebaut wurde. Da ist es gut, schnell gewarnt zu sein, um etwas dagegen unternehmen zu können. Wenn man hingegen diese freundlich spammenden Kriminellen als „Webwächter“ an seinem Server lässt, warnen sie ganz sicher nicht, wenn sie die Website in eine Schadsoftware-Schleuder umbauen und/oder sich ein paar Hintertüren für alle möglichen Formen des kriminellen Missbrauches der Server anderer Leute legen – von der Verbreitung illegaler Darstellungen des sexuellen Missbrauches von Kindern² über ganz gewöhnliche Betrugsgeschäfte bis hin zur ordinären, stinkenden Spam. Alle diese von einem selbst durch Zugangsgewährungen verursachten Nutzungen eines Servers durch Kriminelle führen nicht nur zum nachhaltigen Reputationsverlust und den damit verbundenen wirtschaftlichen Schäden, sondern auch zur Bekanntschaft mit ermittelnden Untersuchungsgerichten und Staatsanwälten. Und zwar ganz sicher.

Freundliche Grüße,
Sabine Schiffer

Ihre Ansprechpartnerin
für die Sicherheit Ihrer Webseite

Nein, kriminelle Spammer sind keine Ansprechpartner.

Webwaechter2018
Mit uns schützen Sie Ihr Unternehmen
www.webwaechter2018.com

Wenn das der Schutz ist, will ich die Unsicherheit nicht mehr kennenlernen.

Wollen Sie sich weitere, wichtige Hinweise für die Sicherheit Ihrer Webseite entgehen lassen?
Ich verzichte auf die Zustellung wertvoller Informationen und trage mich hiermit aus.

Ihr könnt mich auch mal!

¹Angesichts des hier geltenden „Rechtes auf Vergessen im Internet“ geht der Link auf eine dauerhafte Archivversion der Pressemeldung.

²Ich nenne das ganz bewusst nicht „Kinderpornografie“, denn Pornografie wird von einwilligungsfähigen Menschen freiwillig (nämlich so freiwillig wie jeder andere Job auch) hergestellt. Es handelt sich hier um etwas Übleres als Pornografie, und dieser Unterschied sollte jedem Menschen klar sein, damit es nicht zu verharmlosenden und beinahe höhnischen Ausdrücken wie „Kinderpornografie“ kommt. Vor allem wäre viel gewonnen, wenn jedem Journalisten dieser Unterschied klar wäre.

Verifizierung Ihres Paypal Kontos notwendig

Montag, 20. November 2017

Aha, die Kriminellen brauchen mal wieder ein paar Konten anderer Leute für ihre „Geschäfte“. Denn PayPal (oder eine beliebige andere Bank) hat nichts davon, wenn ich lauter Daten noch einmal eingebe, die dort schon längst bekannt sind. Was soll das „verifizieren“?

Von: PayPal <info@pp-checkout04.trade>

Ja, schon klar: Der Absender sieht voll nach PayPal aus! Wenn man schon den Absender fälscht, könnte man es auch überzeugend machen… wenn man ein Gehirn hätte. Da hilft dann auch das „liebevoll“ nachgebaute Layout nicht mehr:

Screenshot des Layouts der Phishing-Spam

Ich habe diese Spam auch mit Umlauten, die nicht aussehen, als seien sie missverstandenes UTF-8, weil der Spammer das falsche Encoding angegeben hat. Natürlich kann ich dem Reiz eines im Gestaltungseifer übernommenen PayPal-Layouts mit schweren technischen Mängeln beim Text der Mail nicht widerstehen. Für die folgenden Zitate nehme ich allerdings eine Spam mit korrekten Umlauten, denn nur die erste Generation dieser heutigen Flut hat den Fehler gehabt. Das mit der Sorgfalt haben die Spammer mal wieder nicht so, und deshalb testen sie nicht, bevor sie ihre Strokelskripten auf ein wehrloses Internet loslassen. Sonst könnten die Spammer ja auch gleich arbeiten gehen.

Bitte niemals vom Layout beeindrucken lassen! Jedes Kind kann das Layout der HTML-formatierten Mail eines beliebigen Unternehmens oder einer Bank übernehmen und da einen anderen Text reinsetzen. Das einzige, was Gewissheit über den Absender einer E-Mail geben könnte, wäre die digitale Signatur dieser Mail, die man auch beim Empfang überprüft. Leider sind weder Banken noch Klitschen wie PayPal daran interessiert, den Phishing-Sumpf auszutrocknen, indem sie ihre E-Mail digital signieren und ihre Nutzer darüber informieren und durch regelmäßige Information dazu anleiten, ein solches Sicherheitsmerkmal im Alltag sinnvoll zu nutzen. Das würde übrigens noch nicht einmal Geld kosten und wäre nicht mit großem Aufwand verbunden. Es wird aus reinem Desinteresse unterlassen. Die einzigen, deren Leben dadurch einfacher wird, sind Verbrecher aller Art. Stattdessen lässt man sich bei den Banken und bei PayPal von Werbefirmen Vorlagen für HTML-formatierte Mail erstellen, die dann einen Trickbetrug oder ein Phishing psychologisch noch weiter vereinfacht, indem das Layout von irgendwelchen Halunken übernommen werden kann. Das ist ganz schön dumm und kundenverachtend.

So weit, so schlecht… 🙁

Nun zum Text:

Aktuelle Kundenmitteilung! – Ihre MIthilfe [sic!] ist erforderlich.

Ach, eine Mail ist eine aktuelle Mitteilung. Da wäre ich nicht drauf gekommen. Und wer eine Mail schreibt, will etwas von mir. Da wäre ich ebenfalls nicht drauf gekommen.

Datum: 20.11.2017

Das Datum steht im Mailheader und ist deshalb im Text der Mail eine überflüssige Angabe, die niemanden nützt.

Guten Tag,

Als angeblicher „Kunde“ würde ich immer mit meinem Namen angesprochen.

leider müssen wir Sie auf Grund von Angriffen auf unsere Infrastruktur auffordern Ihre persönlichen Adress- und Zahlungsdaten zu bestätigen.

Aha, das „PayPal“ aus der hirnverhungerten Phantasie der Spammer hat also ein Problem, das es zu meinem Problem machen will. Was war denn das für ein Angriff? Hat sich „PayPal“ einen Erpressungstrojaner gefangen, der die gesamte Datenbank gefressen hat, so dass sämtliche Daten noch einmal eingegeben werden müssen? Und gibt es keine Datensicherung? Unvorstellbar. Außerdem hätte ich dann bereits die Insolvenz des Ladens mitbekommen, denn PayPal ist seine Datenbank. Wenn die Daten aber allesamt noch da sind, welchen Nutzen sollte es für „PayPal“ haben, dass ich die Daten noch einmal auf einer Website eingebe?

Man muss nicht länger als eine Minute darüber nachdenken, um zu erkennen, dass die Behauptungen in irgendwelchen Phishing-Spams absurde Blenderei sind. Wer nach dem Nachdenken vorm Klick immer noch Unsicherheit spürt, kann sich ja einfach mal an der richtigen PayPal-Website wie gewohnt anmelden und schauen, ob es dort ein Problem gibt. Wenn es das nicht gibt, wurde durch diese leicht zu erbringende Vorsicht ein Phishing-Angriff abgewehrt, was eine Menge Geld und Ärger erspart hat.

Bitte beachten Sie das die angegebenen Daten mit den hinterlegten Daten übereinstimmen. Sollte dies nicht der fall [sic!] sein sind wir verpflichtet [sic! Komma fehlt.] eine postalische Legitimation durchzuführen.

Was ist eine „postalische Legitimation“. :mrgreen:

Wichtig: Wenn Sie Kreditkarten Daten [sic! Deppen Leer Zeichen.] in Ihrem Kundenkonto hinterlegt haben ist es zwingend erforderlich dieser [sic!] auch zu verifizieren.

Klar, denn auf Kreditkarten sind die Verbrecher immer ganz heiß.

Weiter zur Verifizierung

Der wichtigste Tipp gegen Phishing und gegen den größten Teil der sonstigen Internet-Kriminaltät ist durchschlagend wirksam und verblüffend einfach: NIEMALS in eine E-Mail klicken! Wer direkt die Website von PayPal mit seinem Webbrowser aufruft – diese Webbrowser haben übrigens seit dem Mosaic Netscape 0.95 beta aus dem Herbst des Jahres 1994 eine ausgesprochen praktische Lesezeichenfunktion – stellt dabei fest, dass das vom Spammer postulierte Problem gar nicht besteht. Denn sonst würde man ja auch auf der Website darauf hingewiesen.

Natürlich führt der Link nicht in die Domain der PayPal-Website, sondern zu einem über den Linkkürzer bitly verschleierten Ziel. PayPal hätte einen solchen Mummenschanz nicht nötig, sondern würde einen direkten Link setzen. Ein Verbrecher hat das sehr wohl nötig. Erwartungsgemäß führt dieser Link dann auch…

$ lynx -mime_header http://bitly.com/2hO2hBt | grep "^Location"
Location: https://pp-secure-de-2017.com/script.php
$ _

…zur Website in der viel weniger Vertrauen erweckenden Domain pp (strich) secure (strich) de (strich) 2017 (punkt) com, der man nur beim Hinschauen ansieht, dass sie mit paypal (punkt) com nichts zu tun hat. Alle Daten, die man dort eingibt, gehen direkt an Verbrecher. Sie werden auf jede nur erdenkliche Weise für kriminelle Geschäfte verwendet.

Nehmen Sie zur Kenntnis, dass es sich hierbei ledglich um eine Präventivmaßnahme handelt um zukünftig eine erhöhte Sicherheit für Sie und Ihre persönlichen Daten gewährleisten zu können.

So so, es erhöht also die Sicherheit meiner persönlichen Daten, wenn sie öfter einmal ohne sachlichen Grund irgendwohin übertragen werden? 😯

Ein bisschen von dem Kraut, das die Spammer geraucht haben müssen, hätte ich jetzt auch gern.

Mit freundlichen Grüßen
Ihr PayPal Service Team

Freundlich wie ein Schlag ins Gesicht
Deine Phishing-Spammer

Dies ist eine automatisch versendete Nachricht. Bitte antworten Sie nicht auf dieses Schreiben.
Wenn Sie eine Frage haben, wenden Sie sich bitte an unseren Kundendienst.

Stimmt, die Nachricht wurde „automatisch versendet“. :mrgreen:

© 1999-2017 PayPal. Alle Rechte vorbehalten.

Und ein Copyright hat sie auch noch. Da lache ich ja vor Angst, wenn ich ein Vollzitat ins Web stelle!

Handelsregisternummer: R.C.S. Luxembourg B 118 349 – Conseil de gérance der PayPal (Europe) S.à r.l.

Lustige Handelsregisternummern haben die in Luxemburg. :mrgreen:

Nicht immer nur an Kaffee denken! Acht Lebensmittel, die Ihnen sofort Energie geben

Mittwoch, 25. Oktober 2017

Zunächst: Was ist der Zweck dieser Spam? Sie hat (wie zurzeit übrigens viele vergleichbare Spams) keinen Link, keinen Anhang und erweckt durch nichts Verdacht. Allerdings ist sie HTML-formatiert und enthält…

  <img src=3D"http://bhv2017.net/file/2ZA8ZYfsKkcC3P4p3Z7roaBZ7cshDEpNMLD1Y=
ybqKimSKyPfgAp2zcPcSBKGKpAe5h.gif" width=3D"1" height=3D"1" border=3D"0">

…in ihrem HTML-Quelltext ein unsichtbares, aus dem Internet nachgeladenes Bild, dessen Dateiname eine eindeutige ID ist, einen so genannten Webbug. Wenn man sich diese Mail nur anschaut, wird bereits an die Spammer „zurückgefunkt“, dass Spam auf dieser Mailadresse ankommt und auch gelesen wird. Dieses Wissen der Spammer wird Folgen haben.

Die momentan erhöhte Häufigkeit dieser Spams ist ein Zeichen dafür, dass die Kriminellen ihren Datenbestand bereinigen; die breite „inhaltliche“ Streuung lässt mich vermuten, dass sie auch überprüfen wollen, welche Inhalte noch halbwegs ungehindert durch die Spamfilter hindruchkommen.

Wer eine „anständige“ Mailsoftware verwendet – ich empfehle immer noch den Thunderbird, den sich auch Anwender mit weniger guten Kenntnissen beinahe vollautomatisch einrichten können – bekommt bei solchen Mails eine Warnung angezeigt, dass nachgeladene Inhalte zum Schutz der Privatsphäre blockiert wurden. Diese Standardeinstellung wird wohl immer gewünscht sein. Kein Mensch hat Lust darauf, sich von Kriminellen, von Werbern und von vergleichbaren Stalkern mit derartigen Methoden überwachen zu lassen.

Wer seine E-Mail hingegen über eine Website macht, ist dieser Überwachung meist schutzlos ausgeliefert.

Und (nicht nur) deshalb verwendet man eine anständige Mailsoftware. 😉

So, nun aber zur Spam – ich mache es kurz und schmerzlos:

Ein freundliches Hallo

Die meisten Menschen greifen bei Müdigkeit zu einer Tasse Kaffee. Doch wussten Sie, dass bestimmte Lebensmittel dem Körper sogar mehr Energie liefern können? FOCUS Online hat mit einem Ernährungmediziner gesprochen und verrät, welche das sind.

Es passiert schon wieder: Sie müssen sich ein Gähnen verkneifen, obwohl der letzte Kaffee noch gar nicht so lange her ist. Doch um dem beruflichen Stress stand zu halten, müssen Sie sich nicht unbedingt darauf beschränken. Denn es gibt jede Menge leckere Alternativen, die mitunter mehr Koffein enthalten – und nebenbei um einiges gesünder sind.

Zitronen

Als natürliche Wachmacher gelten Zitrusfrüchte. Aufgrund ihres hohen Anteils an Vitamin C haben Früchte wie Zitronen, Grapefruits oder Orangen einen anregenden Effekt auf den Körper. Am besten genießen Sie das saure Obst pur. Ganz nebenbei stärken die Muntermacher so die Abwehrkräfte und fördern die Aufnahme des blutbildenden Mineralstoffs Eisen.

Ich wünsche dem hirnentkernten Spammer noch ganz viel Spaß mit seinen Zitronen, die mehr Koffein als Kaffee enthalten. :mrgreen:

DHL INVOICE

Mittwoch, 6. September 2017

Was? Eine Rechnung? Wofür?

Von: Delivery Manager Reina <nut.hello@mail.com>

DHL hat mal wieder keine eigene Domain und verwendet keinen eigenen Mailserver. Stattdessen werden anonym und kostenlos einzurichtende Freemail-Adressen für die Kommunikation verwendet.

Dear client

Die Rechnung ist für den „lieben Kunden“, der ärgerlicherweise keinen Namen hat, aber dafür…

We are proud to inform you that there is delivery for you.

…eine Lieferung, die offenbar an die E-Mail-Adresse gehen sollte, denn sonst müsste er sie ja nicht…

You may collect it at our headquarters.

…von der DHL-Hauptstelle abholen. Wo kriegt man eigentlich diese Adressaufkleber her, auf denen man eine Mailadresse statt einer Anschrift des Empfängers einträgt? ❓

Um was es hier geht und was da auf wessen Auftrag hin geliefert wird, erfährt man nicht. Um überhaupt etwas zu erfahren, muss man…

Please find the invoice and further information in the .https://dhl.com/document/download/nachtwaechter/61421872

…in die E-Mail klicken. Es war wohl nicht mehr genug Platz auf dem Mailpapier.

Die E-Mail ist HTML-formatiert, und der Link geht nicht in die Domain dhl (punkt) com. Das ist nur ein Linktext, da könnte genau so gut „Click here“ oder „We are contemptous of you“ stehen. Wer auf diesen Link klickt, lasse alle Hoffnung fahren, denn es ist ein Link aus einer illegalen und asozialen Spam von Kriminellen.

Der Link führt auf ein ZIP-Archiv, das in einer gecrackten Website abgelegt wurde. Als ich die Mail „behandelte“, hatte der Betreiber dieser Site diese Datei zum Glück schon gelöscht. So werde ich nie erfahren, wieviel Prozent der Antivirus-Programme daran scheitern, die im ZIP-Archiv verpackte Schadsoftware als solche zu erkennen. Vielleicht ist es auch besser so, denn das ist oft ein erschreckender Einblick. 🙁

Denn um eine Schadsoftware handelt es sich völlig sicher. Nur, dass diese zur Abwechslung diesmal kein Mailanhang ist, sondern durch Klick in die Spam heruntergeladen wird. Antivirusprogramme schützen davor nicht zuverlässig. Das Einzige, was zuverlässig schützt, ist, dass man Spam als Spam erkennt und löscht, statt darin herumzuklicken. Und eine E-Mail, die mit Betreff und Inhalt tatütata alarmieren will, aber in ihrem Text nichts konkretes sagt und sämtliche Informationen nur durch Öffnen eines Anhanges oder Klicken eines Links preiszugeben vorgibt, ist immer eine Spam. Und wenn es sich dann auch noch um ein ZIP-Archiv handelt, besteht kein vernünftiger Zweifel mehr daran, dass darin eine Schadsoftware verpackt wurde. Wer schlauer als die Mitarbeiter der Stadtverwaltung von Dettelbach ist, startet dann nicht auch die von Kriminellen zugemailte Software, sondern löscht den Müll. Das kann viel Geld und Lebenszeit sparen.

Best Regards,

Delivery Manager

DHL

Ist „Delivery Manager“ jetzt die neue Berufsbezeichnung für einen Paketboten? :mrgreen:

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.