Schlagwortarchiv „Kreditkarte“

Google Drive-Team

Mittwoch, 12. Februar 2025

Aber ich nutze Google Drive nicht.

Von: Jetzt upgraden. <info_jtvwihzsdku@cofax.ru>

So genau nach einer Absenderadresse von Google hat ja schon lange nix mehr in meinem Glibbersieb ausgesehen!

Google
Sie haben Ihr Speicherkontingent erreicht

Wie gesagt, ich habe mit Google Drive gar nichts zu tun, und trotzdem kommt dieser Müll bei mir an. Es handelt sich um Phishing auf Zugangsdaten und – wie wir später noch lesen werden – Kreditkarten. Und natürlich um Datensammlung zu Mailadressen, damit die nächste Spam…

Sehr geehrter Kunde,

…auch mal mit einer persönlichen Ansprache kommen kann. Oder, wenn man schon so anfällig dafür ist, auch mal als Brief im Briefkasten.

Ihr Google Drive-Konto ist voll.

Nein, mein Posteingang ist voll. Mit Spam.

(Lustig, wie hier beim Begriff „Google Drive-Konto“ die Bindestriche und Deppen Leer Zeichen nebeneinander verwendet werden. Ich weiß nicht, welche Schreibweise Google benutzt, aber ich gehe davon aus, dass sie konsistenter und weniger peinlich aussehen wird. Auf der anderen Seite gibt es natürlich Werber, die jeden Tag so etwas auswerfen, und hin und wieder sieht man es sogar mal auf Plakaten oder in der abgeschriebenen PResseerklärung im redaktionellen Teil der Zeitungswebsite. Und dann wundert man sich, wenn nur noch eine Minderheit der Bevölkerung dazu imstande zu sein scheint, die eigene Muttersprache halbwegs korrekt zu schreiben.)

Sie können jetzt 50 GB zusätzlichen Speicherplatz für €2,00 erwerben, andernfalls können Sie Ihre Fotos und Dateien nicht mehr sichern.

50 GB aktivieren

Der Link führt nicht etwa zu Google, sondern zum URL-Kürzer von Twitter. Dass Google nicht gerade Dienste benutzen würde, die unter der Kontrolle von Mitbewerbern stehen, dürfte jeden einleuchten. Natürlich geht es auch in der Weiterleitung nicht zu Google, sondern zu einer Website, die von Trickbetrügern gestaltet wurde. Hier nur ein kleiner Ausschnitt:

$ mime-header https://t.co/LLQpDaf1qQ | grep -i ^location
location: https://twitter.com/safety/unsafe_link_warning?unsafe_link=https://www.codeworksquick.com/3Z9LQRN/ZZP4WR3/
$ surbl codeworksquick.com
codeworksquick.com	okay 
$ location-cascade https://www.codeworksquick.com/3Z9LQRN/ZZP4WR3/
     1	https://trk.xc-mtb.eu/7BZ2W1/8S1G725/?sub2=1835_&sub1=efdb32775f83404dadd4e4ad276516f3
     2	https://www.alllittleredlead.com/4T2F56/JPL5CBT/?source_id=140_1835_&sub1=87d339dc41754b4495604d223fe47522
$ surbl alllittleredlead.com
alllittleredlead.com	okay
$ lynx -source "https://www.alllittleredlead.com/4T2F56/JPL5CBT/?source_id=140_1835_&sub1=87d339dc41754b4495604d223fe47522"
<!DOCTYPE html>
<html lang="en">
    <head>
        <meta charset="utf-8">
        <meta name="referrer" content="origin">
        <title>Redirect</title>
    </head>
    <body>
        <form action="https://truefusion.biz/degstorage25/index.html" method="get" name="redirect">
            <input type='hidden' name='session' value='8979a539739e8c1c4947cf0f634d6f73'>
        <input type='hidden' name='fluxf' value='2405462186820305913'/><br><input type='hidden' name='fluxffn' value='2405462682364008584'/><br><input type='hidden' name='ffdomain' value='primehive.biz'/><br><input type='hidden' name='category' value='default'/><br><input type='hidden' name='firstname' value=''/><br><input type='hidden' name='surname' value=''/><br>		</form>
		<script> document.forms['redirect'].submit() </script>
	</body>
</html>
$ _

Ich erspare mal die Fortsetzung dieser technischen Gymnastik, denn sie würde den vermutlich größten Teil der Leser nur langweilen.

Ich muss den Kriminellen einräumen, dass sie immer trickreicher im Formulieren ihrer Weiterleitungen werden. Dass jemand für eine Weiterleitung ein unsichtbares HTML-Formular über Javascript beklickt und absendet, um zu nächsten Station in der Kette zu kommen, hatte ich jedenfalls noch nie. Die haben überhaupt kein Interesse daran, dass ihre Machenschaften allzuleicht analysiert werden können.

Zum Glück ist sogar der tote blaue Vogel, der unter Elon Musk völlig zu Recht in Verruf gekommen ist, immer noch stärker an der Bekämpfung krimineller Missbräuche interessiert, als Google es jemals gewesen ist. Deshalb sehen Menschen, die auf den Link in der Spam klicken, zurzeit und zum Glück die folgende Warnung:

Ach ja, natürlich wollen die Phisher die Kreditkarte haben, und sie schreiben das schon in ihrer Spam:

*Nach der Registrierung müssen Sie Ihre Kreditkartendaten hinzufügen, um Ihr Konto zu verifizieren, und Sie können eine Google-Speichergeschenkkarte im Wert von 50 GB gewinnen.

Wer an so einen semantisch inkonsistenten Blähblahquatsch wie „Websitezugang mit einer Kreditkarte verifizieren, obwohl man eigentlich bezahlen soll, es gibt auch Gewinne, ist voll und echt von Google“ glaubt, hat ganz schnell ein leeres Konto und einen Haufen nachhaltigen Ärgers, weil seine Identität auch für Betrugsgeschäfte benutzt wird. Wenn es noch übler kommt, wird sogar der Cloudspeicher bei Google für Bilder und Videos sexuellen Kindesmissbrauches verwendet. Diese Leute bleiben auch lieber im Verborgenen und nutzen lieber andere Identitäten. Wenn es so schlimm kommt: In aller Regel wird beim Verdacht auch der Computer am Arbeitsplatz zeitnah durchsucht, und das kriegt mindestens der Chef mit, weil ihm der Durchsuchungsbeschluss des Amtsgerichtes von freundlichen Polizeibeamten zum Frühstückskaffee vor die Nase gehalten wird, vermutlich aber auch direkt oder indirekt jeder Kollege. Wenn dann auch noch rumgetuschelt wird, warum eigentlich ermittelt wurde… so etwas wird man nicht so leicht wieder los, und das man auf seine Unschuld beharrt, wird schnell als menschenverachtender Zynismus ausgelegt, dessen Wahrnehmung den Ekel noch verstärkt.

Phishing ist auch jetzt noch eine der häufigsten Formen des Trickbetrugs im Internet, und es scheint immer noch erfolgreich genug zu sein, dass eine ganze Schattenwirtschaft gewerbsmäßiger Betrüger gut genug davon leben kann, denn sonst würde ich solche Spams ja gar nicht mehr sehen. Zum Glück für uns alle gibt es einen hundertprozentig wirksamen und völlig kostenlosen Schutz gegen Phishing: Niemals in eine E-Mail klicken! Denn wenn man nicht in die E-Mail klickt, kann einem kein Betrüger so einfach einen giftigen Link unterschieben. Stattdessen Google über ein im Webbrowser angelegtes Lesezeichnen aufmachen und dort wie gewohnt anmelden. Wenn man dabei keinen Hinweis auf das angebliche Problem aus der Mail sieht, hat man einen dieser gefürchteten Cyberangriffe abgewehrt. So einfach geht das! Nicht in Mails klicken! Macht das! 🛡️

Wenn diese ganzen Trickbetrüger verhungern, ist es vielleicht in ihrem persönlichen Umfeld ein bisschen bitter, aber ansonsten kein Verlust für den Rest der Menschheit.

Ihre Sendung erfordert Ihre Aufmerksamkeit

Dienstag, 11. Februar 2025

Ach, soll ich sie mal streicheln? Wer schreibt mir überhaupt?

Von: Support – Delivery <alam@salaryontime.com>

Ach, die Hilfestellungslieferung schreibt mir! Komm, das kann es doch nicht sein, oder?

Ach, dieses UPS schreibt mir, das gar keine Mailadressen aus der eigenen Domain für seinen Absender benutzt. Das Logo wird übrigens für die Spammer angenehm anonym und kostenlos bei ImgBB gehostet.

Automatische E-Mail – bitte nicht antworten.

Ja, so kann man eine Spam auch nennen.

Hallo,

Genau mein Name!

Ihre Sendung konnte nicht zugestellt werden.

Weshalb denn nicht? Und warum stand da meine Mailadresse auf dem Paketschein?

Bitte wählen Sie einen Abholort für die Abholung aus.

Sendungsreferenz: 1Z592737EU

Mein Browser bei der einfachsten denkbaren Prüfung dieser Nummer aus einer typischen Paketspam so:

Oops! 😁️

Aber der Absender so einer Paketspam will ja gar nicht, dass man die Sendungsverfolgung des Dienstleisters aufruft, um mal nachzuschauen, was es mit dem Paket überhaupt auf sich hat. Der will…

Klicken Sie unten, um eine Option auszuwählen.
Abholung planen

…dass man klicki-klicki in die Mail klickt.

Und genau das sollte man niemals tun. Nicht auf einen Link in einer E-Mail zu klicken ist der wichtigste Schutz vor diversen Trickbetrügereien im Internet. Ja, es geht wirklich so einfach. Denn wenn man nicht in eine E-Mail klickt, dann kann einem kein Betrüger so einfach eine giftige Website unterschieben.

$ mime-header "https://u47575289.ct.sendgrid.net/ls/click?upn=u001.hXh3VbR5VUpFjBdFRbFcvaOGhY-2BopAKhvyUFHm2drUQ9phSYPSMT2d9Uk5B7X-2BgwOB4a_TaOmO6jx7NsVl-2FIQgYgqHJG6M9Gm-2BOeWGirjo-2Fi-2Bh3T0ufZ8ei3g9zUAjzZTTbmgzbMTGeyqs7pT6dyJIxK4mZYSafCNf2dYNb5-2B9Obc8gBhtDnzPcw4NJVLAc-2FAsxxpRs4aC9xiqaQqtFDo6stxni6rleSgtvM9G1vS7wLKqotIGQmQCtf2LD1k2aCeXqt3otF9rWN4ZfScZA68-2FfNtwA-3D-3D" | grep -i ^location
Location: https://mypackage-follow.com
$ surbl mypackage-follow.com
mypackage-follow.com	LISTED: ABUSE 
$ _

In diesem Fall steht die indirekt verlinkte Website, deren Domain auch nicht gerade nach UPS aussieht, bereits wegen Spam und Spam und Spam auf allen Blacklists.

Dort soll man Name, Meldeanschrift, Telefonnummer und Geburtsdatum angaben, was übrigens schon für einen kriminellen Identitätsmissbrauch ausreicht. Im nächsten Schritt soll man 1,99 € bezahlen. Die Kreditkartennummer nebst Ablaufdatum und CVV/CVC sind natürlich auch sehr lecker für Betrüger. Das Geld anderer Leute gibt sich doch viel leichter aus als das eigene.

Und deshalb klickt man nicht in eine Mail.

UPS verarbeitet Ihre Daten zur Sendungsverfolgung.

Ja, ihr mich auch, Spammer!

🚚 Ihr Paket wartet im Verteilzentrum – Jetzt verfolgen!

Montag, 3. Februar 2025

Oh, ich habe ja schon länger keine Paketspam mehr gesehen. Und diese hat sogar ein Emoji im Betreff, die ist sicherlich ganz was Tolles! 🤭️

Und dann binnen einer einzigen Minute viermal auf der gleichen Mailadresse angekommen. So schade, dass diese Computer gar keine Datenverarbeitung können, sonst hätten die Spammer bestimmt mal einen aufgeweckten Zehnjährigen gefragt, wie man mit sort und uniq die ganzen Dubletten aus dem Datenbestand entfernt.

Von: UPS <ups-tracking@email.com>

Nein, diese Mail kommt nicht von UPS. Die würden nämlich Mailadressen in ihrer eigenen Domain verwenden. Vermutlich würden sie auch kein Emoji in den Betreff machen, weil das oft schon reicht, eine Mail als Spam auszusortieren. Und ganz sicher würden sie einen nicht mit E-Mail belästigen, denn auf Paketen steht für gewöhnlich eine Lieferanschrift, aber keine Mailadresse. Woher sollten die wissen, wo sie hinmailen sollen?

Na gut, mal reinschauen:

Schnell handeln: Ihr Paket ist bereit für die Zustellung!

Kein Wunder, dass das Paket nicht bei mir ankommt. Da wohne ich doch gar nicht. 😅️

Das lustige, aber schon länger verwendete Bild haben die Spammer einmal mehr kostenlos und anonym in der so genannten „Cloud“ von Google gehostet.

Ich muss hoffentlich nicht weiter erwähnen, dass der Link auch nicht zu UPS führt, sondern in eine kriminell gecrackte Website, die mit WordPress betrieben wird. Ich habe den Betreiber dieser Website schon unterrichtet, und ich gehe davon aus, dass dieser Teil der betrügerischen Masche in Kürze erledigt sein wird. Dort gibt es zurzeit noch eine Weiterleitung in die übliche Kaskade von Weiterleitungen, und am Ende darf man auf einer obskuren Website, die in einer obskuren Domain liegt, „die Lieferung seines Paketes planen“ (dabei habe ich erfahren, dass in drei Tagen schon wieder Wochenende ist, was ich am Montagmorgen sehr begrüße) und nicht nur seine Anschrift inklusive Telefonnummer angeben, sondern auch eine Kreditkartennummer, um 1,99 € Gebühr zu bezahlen.

Phishing nach Kreditkartendaten: Eingabemöglichkeit Kartennummer, Ablaufdatum und CVV

Keine der Websites in dieser Kaskade befindet zurzeit in irgendeiner Blacklist. Wer sich auf den so genannten Phishingschutz im Browser verlässt, ist verlassen und kann ungehindert ins Verderben rennen.

Natürlich werden die Betrüger mit der Kreditkarte so richtig durchkaufen. Das Geld anderer Leute gibt sich ja immer ganz besonders leicht aus. Der durch Betrug angerichtete finanzielle Schaden liegt in der Regel im hohen vierstelligen oder niedrigen fünfstelligen Bereich, in wenigen Fällen sogar noch höher. Jeder Mensch kann mit seinem Geld etwas besseres anfangen, als so einem betrügerischen Geschmeiß den verfeinerten Lebensstil zu finanzieren.

Zum Glück gibt es ein ganz einfaches und sehr sicheres Mittel, mit dem man sich vor Phishing schützen kann, eine der immer noch häufigsten Betrugsmaschen im Internet: Niemals in eine E-Mail klicken! Denn wenn man nicht in eine E-Mail klickt, können einem die Betrüger nicht so einfach einen giftigen Link unterschieben. Stattdessen für häufiger besuchte Websites einfach ein Lesezeichen im Browser anlegen. Die Sendungsverfolgung von UPS findet sich zum Beispiel hier, und echte Mitteilungen von UPS enthalten eine Nummer, die man dort eingeben kann. Ach, das wisst ihr alle schon? Habe ich mir doch gleich gedacht. Aber trotzdem fallen noch genug Leute auf so ein Phishing herein, damit sich diese Nummer für die Spammer lohnt. 😕️

Wichtige Aktualisierung für Ihre ADAC Kreditkarte

Mittwoch, 15. Januar 2025

Nein, die Spam kommt nicht vom ADAC, was…

Von: ADAC Kreditkarten <t7LjZO+noreply@t7LjZO.tegdainty.com>

…man auch schon an der Absenderadresse sehen kann. Durch einfaches Hinschauen.

Oh, ich als Mensch, der kein so genanntes „Smartphone“ benutzt, habe gestern erst gehört, dass es auf so genannten „Smartphones“ Mailsoftware gibt, welche die Absenderadresse gar nicht mehr anzeigt, sondern nur noch den dazu vom Absender frei wählbaren Namen. Ich weiß nicht, wie häufig das in Mailsoftware für so genannte „Smartphones“ so gemacht wird, aber es ist eine intellektuelle Bankrotterklärung und offene Förderung der Kriminalität. Wer so eine Mailsoftware benutzt, sollte jetzt sofort eine andere Mailsoftware aus dem Appstore installieren! Um sich selbst und sein Geld vor dieser gnadenlos dummen Idee eines Idioten zu schützen. Eine Software, die nicht so gefährlich ist. Ich kann da leider keine Empfehlungen geben. Ich habe aus vielerlei Gründen kein so genanntes „Smartphone“ und keine Erfahrungen mit der dort üblichen Software. Aber welche Mailadresse der Absender als Absenderadresse benutzt hat, sollte sie schon anzeigen. Und zwar direkt nach der Installation als Standardeinstellung. Es ist eine wichtige Information. In diesem Fall wäre für jeden Menschen sofort klargeworden, dass der Absender nicht – wie behauptet – der ADAC ist. Denn der wird für seine Mails nicht irgendeine kryptische Quatschdomains mit t7LjZO verwenden, der hat ja schon eine gute Domain, in der auch seine Website läuft.

Softwareentwickler, die es für eine gute Idee halten, in ihrer Mailsoftware den Absender einer Mail unsichtbar zu machen, sollte man meiner bescheidenen Meinung nach so lange mit glühenden Zangen zwicken, bis ihr Gehirn wieder zu arbeiten beginnt. Es ist mir unbegreiflich, wie man auch nur auf die Idee kommen kann, dass das eine gute Idee ist.

Okay, zur Spam:

- die Nachricht wurde von einem vertrauenswürdigen Absender gesendet.

StarbucksCoffeeLoversBox_1

< map id=“map1604679881378″ name=“map1604679881378″>

désabonnez-vous en cliquant ici.

Das war die gesamte Spam.

Oh, so ein Hinweis, dass die Mail von einem vertrauenswürdigen Absender kommt, ist ja toll. Vor allem, wenn er von einer auch für Menschen ohne vertiefte Kenntnisse sofort als kaputt erkennbaren Spam gefolgt wird. Dieser Text hier wurde übrigens von einem vertrauenswürdigen Blogger geschrieben. 🥳️

Irgendwie hat es dieser lächerliche Quatsch bei mir durch die Spamfilter geschafft. Sonst würde ich darüber gar nicht schreiben.

Die Spammer arbeiten immer wieder an Tricks, mit denen sie sich irgendwie an Spamfiltern vorbeischummeln können. Sie leben davon. Anstelle der „Schachtel Nummer 1 für Liebhaber der überteuerten Kaffeeplörregetränke von Starbucks“ sollte natürlich ein Bild erscheinen, das in der mir vorliegenden Version als fehlerhaft codierte Data-URL angegeben wurde. Aber vielleicht hat der Spammer ja beim nächsten Mal etwas mehr Glück bei der Datenverarbeitung! Er braucht es.

Einmal ganz davon abgesehen, dass Menschen mit sicher konfigurierter Mailsoftware das Bild sowieso nicht sehen würden. Sie sehen genau den eben von mir zitierten Text, und nach einer kurzen Zuckung im Löschfinger sehen sie den Quatsch nicht mehr.

Ich habe keine Mühen gescheut, der Fehler war systematisch. Das Bild sollte so aussehen, und in der nächsten Spamwelle dieser Bande wird es vermutlich auch so aussehen:

Die überlagerte Warnung „SPAM“ habe ich natürlich zusätzlich reingefummelt. Ich werde nicht so gern Bildhoster für Trickbetrüger.

Eins hat der Spammer bei seinem von ihm selbst unverstandenen Gefummel allerdings völlig vergessen: Den Link auf die Phishingsite. Da kann man noch so viel auf „Aktualisieren Sie Ihr Konto“ rumklicken, es passiert einfach nichts. Und auch der Link mit dem französischen Linktext zum Abbestellen irgendwelche Hinweise von Problemen mit der Kreditkarte ist kaputt, so dass man nirgends in dieser Spam herumklicken kann. Der vergiftete Link ist ja nur das Wichtigste bei diesem Betrug. Dieser Spammer ist sogar zum Spammen zu dumm. Vermutlich ist er in der Birne genau so kaputt wie es seine Spams versprechen. 🤦‍♂️️

Man kann sich übrigens wirksam vor Phishing schützen, indem man niemals in E-Mail klickt. Stattdessen einfach für die häufig besuchten Websites, bei denen man auch ein Benutzerkonto hat, Lesezeichen im Browser anlegen und diese Websites nur noch über diese Lesezeichen aufrufen. Dann kann einem kein Trickbetrüger mehr einen giftigen Link unterschieben. Meistens bekommen diese Leute ihre Tricks besser hin als das Krepelchen aus meinem heutigen Posteingang. Es ist ja auch nicht so schwierig, einen Link zu setzen.

Dass der ADAC nichts mit diesem Müll zu tun hat, ist hoffentlich klar genug geworden. Ich bin übrigens kein Mitglied des ADAC, und bei mir kommt das auch an. Es ist eben Spam. Dumm und kriminell. Wahllos wie Schüsse mit der Schrotflinte ins Dunkle. Wenn die nächste Welle dieser Spam funktionierende Links und ein fehlerfrei codiertes Bild hat, bitte trotzdem nicht darauf reinfallen.

Wichtige Aktualisierung erforderlich

Mittwoch, 1. Januar 2025

Das fängt ja gut an im Jahre 2025!

Ich bin kein ADAC-Mitglied. Ich habe kein Auto. Ich habe auch keinen Führerschein. Keine meiner wichtigen Interessen wird von diesem Verein vertreten.

Diese Spam trotzdem kommt auch bei mir an, wie auch viele andere Phishingspams für ADAC-Mitglieder. Sie ist also ganz sicher nicht vom ADAC. Stattdessen zeigt sie alle Merkmale einer schlechten Phishingspam: unpersönliche Ansprache; Pseudohöflichkeit; Drohung, dass man nicht mehr an sein Geld kommt, wenn man nicht reagiert; Nötigung zum Klicken.

Ich finde es übrigens bemerkenswert – also wert, dass man es bemerke und sich merke – dass es so außerordentlich viel ADAC-Spam gibt. Ich vermute, dass ADAC-Mitglieder besonders leichte Opfer sind, sonst würde diese Welle ja nicht über Monate laufen. Wenn sie ein Mitglied des ADAC sind, ist vielleicht auch für sie die Frage einmal bedenkenswert, warum Leute aus der Praxis des gewerbsmäßigen Betrugs – also Leute, die jeden Tag viel Erfahrung mit der Leichtgläubigkeit und Übertölpelbarkeit anderer Menschen machen, weil sie nun einmal davon leben – zur Auffassung kommen können, dass Mitglieder des ADAC eine besonders gute Zielgruppe sind. Sind die Merkmale einer Phishingspam dort etwa der alltägliche Stil in der internen Kommunikation, so dass das Spamdeutsch nicht sofort auffällt? Da würde ich aber ganz schnell austreten. Das wäre ja widerlich! 🏃‍♀️️

Es kann aber auch einfach daran liegen, dass der ADAC immer noch der größte Verein Deutschlands ist. Wo das Aas ist, sammeln sich die Geier.

Aber es ist schon ein bisschen auffällig. Genau so, wie es auffällig ist, dass die ING DiBa seit vielen Monaten die Bank ist, für die ich die meiste Phishingspam sehe. Früher waren das mal Sparkasse und Postbank… ach! Zur Spam:

ADAC KREDITKARTE

Sehr geehrte/r Kunde/in,

wir möchten Sie darauf aufmerksam machen, dass eine Aktualisierung Ihres Zugangs erforderlich ist. Um sicherzustellen, dass Sie weiterhin alle Vorteile und Funktionen nutzen können, bitten wir Sie, diese Aktualisierung innerhalb der nächsten 48 Stunden vorzunehmen.

Sie können Ihr Konto ganz einfach über den folgenden Link aktualisieren:

Aktualisieren Sie Ihr Konto

Mit besten Grüβen,
Ihr Kundenserviceteam
© 2024 ADAC. Alle Rechte vorbehalten.
Bitte beachten Sie: ADAC wird Sie niemals per E-Mail nach sensiblen Daten fragen. Kontaktieren Sie uns bei Fragen oder Unsicherheiten.

Oh, das hatte ich aber lange nicht mehr, dass ein griechisches Beta „β“ anstelle eines deutschen Eszett „ß“ verwendet wird. Der Autor dieser Zeilen hat ganz sicher keine deutsche Tastatur vor sich gehabt. Die meisten Menschen im deutschen Sprachraum wissen nicht einmal, wie man ein „β“ eingibt, während das „ß“ direkt auf der Tastatur erreichbar ist, rechts neben der Null gelegen. 🔍️

Meine Vermutung: Die Phrase „Mit besten Grüßen“ stammt aus einem eingescannten Dokument – und die Schrifterkennung konnte auch kein Deutsch. Aber das ist nur eine Vermutung, und meine Kristallkugel ist mir gerade in den Kaffeesatz gefallen. 🔮️

Natürlich kommt diese Spam nicht vom ADAC, sondern von Verbrechern. Der Link führt auch nicht zur Website des ADAC, sondern zu einer Website von Verbrechern, die der ADAC-Website zum Verwechseln ähnlich sieht, obwohl eine ganz andere Adresse in der Adresszeile des Browsers steht. Dort bekommt man die Möglichkeit, etwas sehr Dummes zu tun: Seine Anmeldedaten, seine persönlichen Daten und seine Kreditkarte an Verbrecher zu übergeben. Die werden damit schon etwas anzufangen wissen. Hinterher ist das Konto bis ans Limit leergeräumt und man kriegt jede Menge Briefe von Inkassoklitschen, Polizeien und Staatsanwälten, weil die eigene Identität für diverse Betrugsgeschäfte mit hohem Schaden benutzt wurde. Weder das Geld noch die mit unfassbarem Ärger versalzenen rd. zwei Lebensjahre bekommt man jemals zurück.

Deshalb klickt man ja auch nicht in eine E-Mail! Phishing ist eine der ältesten Betrugsnummern des Internetzeitalters, und es ist immer noch verheerend für die, die darauf hereinfallen. 🖱️🚫️

Und: Man klickt in überhaupt keine E-Mail. Niemals. Egal, wer der scheinbare Absender ist. Stattdessen legt man sich einfach für jede Website, auf der man ein eigenes Benutzerkonto hat, ein Lesezeichen im Webbrowser an. Wenn eine Mail kommt, die zum Klicken auffordert und die man nicht sofort an klaren Schwächen – wie hier dem unpassenden Beta – als eine Spam erkennen kann, dann ruft man die Website über das dafür angelegte Lesezeichen auf und meldet sich wie gewohnt an. Das ist ohne jeden Komfortverlust, denn in beiden Fällen klickt man ja einfach nur. Aber: Beim Lesezeichen im Browser kann einem kein Trickbetrüger einen giftigen Link unterschieben. Wenn man dann nach der Anmeldung sieht, dass das in der Mail behauptete Problem nicht existiert, hat man einen dieser gefährlichen Cyberangriffe abgewehrt. So einfach geht das. Tut das! 🛡️

Ja, die meisten Cyberangriffe werden über E-Mail vorgetragen. Auch die, die es in die Nachrichten schaffen, weil sie richtig großen Schaden anrichten. Und es gibt einen Schutz dagegen, der auch wirkt: Nicht in E-Mail klicken!

Ach, übrigens Spammer, bevor ich es vergesse: Schön, dass du ein geistiges Eigentum deklarierst, du bist ja auch sonst geistig etwas eigentümlich. Aber wir haben inzwischen das Jahr 2025. 🗓️

Herzlichen Glückwunsch! Sie wurden für eine Paramount+-

Montag, 22. Januar 2024

Ja, was wurde ich denn?

Herzlichen GlÃ¼ckwunsch! Sie wurden fÃ¼r eine Paramount+

Hmm, jetzt weiß ich es immer noch nicht. Aber dafür weiß ich, dass der Spammer nicht einmal zur Angabe des richtigen Encodings oder zur Verwendung von HTML-Enititäten für die Umlaute fähig ist. Vielleicht findet er ja demnächst einen aufgeweckten Zehnjährigen, der ihm das mal erklärt, damit es nicht mehr ganz so peinlich und lächerlich aussieht.

Ach, wenn ich keine halbwegs sichere Mailsoftware benutzen würde, dann würde da noch ein anonym und kostenlos beim Imgur hochgeladenes Bild nachgeladen:

Achtung!!! Paramount+ Mitgliedschaft -- Paramount+-Logo -- Sehr geehrter Kunde, Ihre Mitgliedschaft ist abgelaufen! -- aber im Rahmen unseres Treueprogrammes konnen Sie jatzt kostenlos fur 90 Tage verlangern -- [Kostenlos verlangern] -- Nach der ANledung mussen Sie Ihre Kreditkartendaten zur Validierung Ihres Kontos eingeben. Wir weren keine Betrage abheben.

Einmal ganz davon abgesehen, dass ich mit Paramount+ überhaupt nichts zu tun habe und schon gar kein Kunde bin: Der Spammer kriegt ja nicht einmal die Umlaute in einer Grafik hin! 😆️

Aber schön, dass er mir schon in seinem Quatschbild erzählt, worauf es ankommt. Dass ich ihm Zugriff auf die Kreditkarte gebe. Wisst schon: Weil er davon überhaupt kein Geld abheben will. Echt nicht! Ehrlich! Ganz dickes Spammerehrenwort!

Da muss man schon ein bisschen dumm sein… ob ich so etwas in naher Zukunft wohl auch für andere Streaminganbieter sehe (vielleicht sogar ein bisschen überzeugender), oder ob die Leute einfach (noch) nicht dumm genug dafür sind? Wir werden sehen. Ich habe da auch schon so eine Befürchtung, was wir sehen werden. 😐️

🔔Letzte Notiz🔔…. 📦gammelfleisch, Lieferung Ihres Pakets ⛔Problem Benachrichtigung⛔ lD#4121504📦⚠__Wed, 26 Oct 2023 08:15:45 -0400

Donnerstag, 26. Oktober 2023

Da steht ja wirklich alles mögliche im Betreff: Die Empfängeradresse, Datum, Uhrzeit (in einer obskur falschen Zeitzone und in falscher Sprache) und dass es sich bei der Mail um eine „Benachrichtigung“ handelt. Vor allem auf Letzteres wäre ich bei einer Mail ja gar nicht gekommen. Angesichts des Übermaßes an Emojis hätte ich eher vermutet, dass es sich um einen Intelligenztest für die „Generation Teletubbie“ handelt. Die verstehen dann vielleicht auch, was die lustige und völlig nichtssagende Nummer lD#4121504 vor dem lustigen Datum bedeuten soll. 🤔️

Wer schreibt denn?

Von: 📦 UPS© <info@jang.com>
An: gammelfleisch@tamagothi.de

So so, „UPS“ schreibt. So schade, dass die keine eigene Domain für ihre Mailadressen haben. Aber hey, dafür haben sie ein Emoji vor ihrer Firmierung! Wie jede Unternehmung, die ernst genommen werden möchte. 😆️

Apropos „ernstnehmen“ und so… es folgt der Text der Spam:

PAKET WARTEN

Hallo GAMMELFLEISCH,
✉️ E-mail : gammelfleisch@tamagothi.de

Gammelfleisch Sie haben (1) Paket in unserem Lager.

Leider konnten wir Ihr Postpaket nicht rechtzeitig zustellen, da Ihre Adresse nicht korrekt ist.

Aber meine Mailadresse steht drauf, oder was? 🤣️🤣️🤣️

Bitte antworten Sie uns mit der korrekten Lieferadresse. ✍️ Hier✍️

Natürlich ist der Link nicht direkt gesetzt, wie das jeder normale Mensch und jedes seriöse Unternehmen tun würde. Stattdessen gibt es eine kleine Weiterleitungskette. Nicht, dass diese lästigen Spamfilter zu schnell lernen und der ganze Kram automatisch in den Müll sortiert wird. 🤖️

$ location-cascade "http://dl255.dinaserver.com/2754347Mn7226128SD543692941Tx14100yW1har175595Ny"
     1	https://www.trivecommerce.com/4HM9B62/21HJC2SL/?sub1=2754347&sub2=12b-2754347-7226128-175595-14100-543692941
     2	https://www.lpredirect.com/24QSBG/GJC4BF2/?source_id=2173&sub1=2c92deb2c74e41eaa26ae2b01ad23ee7
     3	https://leahfarra.me/QSaFSLqD2t/?encoded_value=24QSBG&sub1=2c92deb2c74e41eaa26ae2b01ad23ee7&sub2=&sub3=&sub4=&sub5=7649&source_id=2173
     4	https://leahfarra.me/?encoded_value=24QSBG&sub1=2c92deb2c74e41eaa26ae2b01ad23ee7&sub2=&sub3=&sub4=&sub5=7649&source_id=2173
$ surbl leahfarra.me
leahfarra.me	okay
$ _

Funktioniert doch! Die Phishingsite ist noch nicht auf den Blacklists. Wäre ja auch schade fürs Geschäft der Spammer, wenn die Opfer eine deutliche Warnung ihres Webbrowsers statt eines gefährlichen Datensammel- und Phishingversuchs sehen würden. 🎣️

Natürlich ist die Website nicht von UPS. Wer auf einen der vielen Links klickt, kann das sogar durch bloßes Hinschauen sehen, ohne extra in die Adresszeile seines Webbrowsers gucken zu müssen:

Woran man das sieht?

Das Logo ist nicht das Logo von UPS, sondern von einer vermutlich daherfantasierten Klitsche namens „Liefern“. 😅️
Es gibt kein Impressum. 🔍️
Unten steht etwas kontrastarm der Text: „Diese Website ist nicht mit UPS oder einer ähnlichen Marke verbunden oder wird von dieser unterstützt und erhebt keinen Anspruch darauf, die Marken, Handelsnamen oder Rechte zu repräsentieren oder zu besitzen, die mit den Produkten verbunden sind, die Eigentum ihrer jeweiligen Eigentümer sind, die dies tun diese Website nicht besitzen, unterstützen oder fördern“. Das ist zwar übertrieben verschwurbelt formuliert, aber immer noch klar genug. Ich fasse es mal zusammen: Das hier ist nicht UPS, auch wenn in der Spam von UPS die Rede war! Das in der Spam war Lüge. 🤥️

Wer das alles vor Augen hat und nicht sofort den Browsertab schließt, kann natürlich mit einem dummen Klick „das Paket verfolgen“ und in den nächsten Schritten ein paar lustige Daten angeben, um die Liefergebühr mit der Kreditkarte zu bezahlen, damit das Paket auch ankommt. (Nach der Lieferadresse, von der in der Spam als Hinderungsgrund die Rede war, wird gar nicht mehr gefragt.) Ich habe mir mal Daten vom Fake Name Generator erzeugen lassen, um noch ein paar Screenshots zu bringen:

Screenshot der ersten Stufe des Bezahlens: Angabe von Name, Vorname, Mailadresse, Telefonnummer

Screenshot der zweiten Stufe des Bezahlens: Angabe von Name, Kreditkartennummer, Gültigkeit der Kreditkarte, CVV

Natürlich funktioniert das Bezahlen nicht. Und die ganzen eingegebenen Daten landen direkt bei kriminellen Spammern. Mit der Identität und der Kreditkarte eines anderen Menschen kann man schon ganz „schöne“ Betrugsgeschäfte machen. 😕️

Das Paket gibt es natürlich nicht. Es hat nie existiert. 🕳️

Auf die Angabe einer Sendungsnummer in der Mail, die man dann auf der echten UPS-Website verfolgen könnte, haben die Spammer diesmal verzichtet. In der Vergangenheit ist dabei beinahe immer sofort klar geworden, dass das Paket gar nicht existiert. Das ist natürlich schlecht fürs Betrügergeschäft, wenn man nicht genug Opfer hat. Also gibt es nur noch einen Link. Und damit man den Link auch wirklich findet, kann man den ganzen Text anklicken. Sonst klickt das mögliche Opfer noch daneben! Und das wäre ja schlecht fürs Betrügergeschäft, wenn die letzten Leute, die darauf reinfallen, auch noch danebenklicken. Deshalb ist alles ein Link. Und wer als mögliches Opfer nicht lesen kann, versteht ja vielleicht die Emojis. 😎️

Zum Klicken war leider noch nie jemand zu dumm. 🖱️🚫️

Das Gleiche gilt für die Tätigkeit, die sich auf „klicken“ reimt. 😉

Beste grüße,

UPS Belohnung

Die Belohnung grüßt mich! 👋️

Update address

Das Deutsch ist ausgegangen. Und nein, das ist kein Link, obwohl es aussieht, als wäre es als Link gedacht gewesen. Denn unverlinkt ist es einfach nur so ein peinlicher Sprachstummel, der da kontextlos unter der Spam hängt. 🤭️

Entf! 🗑️

Verlängerung Ihrer Domain tamagothi.de.

Sonntag, 15. Oktober 2023

Schön, mit Punkt am Ende des Betreffs. Das macht die Filterung ein bisschen einfacher. 🙂️

Natürlich kommt diese Mail…

Von: Kundеnѕеrvісе H0STEUROPE <contact-76764f87@syndictoulouse.com>
An: sag@ich.net
Antwort an: contact-81f4b792@syndictoulouse.com

…nicht von HostEurope. Die würden ja auch eine Mailadresse aus ihrer eigenen Domain verwenden. Und sie wüssten…

Sehr geehrter Kunde,

…wie ihre Kunden heißen und würden ihre Kunden namentlich ansprechen. 🔍️

Ihr Domainname tamagothi.de läuft innerhalb von 3 Tagen ab.

Sie können Ihre Domain automatisch erneuern, indem Sie eine Domainverlängerung anfordern.

Klicken Sie auf den Link in dieser E-Mail, um die Domain für ein weiteres Jahr zu verlängern.

Sie sollten Ihren Domainnamen so bald wie möglich erneuern, damit er in Ihrem Namen registriert wird.

Klicken Sie hier wenn Sie Ihre Domain verlängern möchten : Erneuern Sie Ihren Domainnamen

So so, ich soll eine Domain, die registriert ist – sieht man zum Beispiel gut daran, dass Unser täglich Spam in dieser Domain läuft – so bald wie möglich erneuern, damit sie registriert wird. Mit einem dummen Klick in eine Spam, die zehn Meilen gegen den Wind nach Phishing duftet. 🎣️

Natürlich führt auch der Link nicht in die Domain von HostEurope, sondern in eine völlig andere Domain. Nichts, was man dort zu sehen bekommt, hat irgendetwas mit HostEurope zu tun. Der Domainname wird einfach als URI-Parameter übergeben. Na, das ist doch eine gute Gelegenheit, einfach mal eine neue Domain „in meinem Namen“ zu registrieren!!1! 😁️

Screenshot der Phishing-Seite. Als Domainname wird microsoft.com angezeigt, und ich soll Kreditkartendaten eingeben, um angeblich 6,20 Euro für die Domain zu bezahlen.

So so, Kartenformular, um eine Karte zu beantragen. Eben sollte ich noch eine Domain bezahlen. Aber hey, dafür ist ein Schlösschen auf dem Bezahlknopf. Das muss also sicher sein… 🔐️

Alle Kreditkartendaten, die man da eingibt und alle weiteren Daten, die man eventuell in weiteren Schritten eingibt – ich hatte keine Lust, das heute erschöpfend anzuschauen – gehen direkt an die Betrüger, die einem diese schlechte Phishingspam ins Postfach gemacht haben. Danach hat man ganz sicher ein Problem. ☹️

Deshalb denkt man ja auch vorher nach. Am besten schon lange, bevor man eine fiese Spam eines Betrügers vor sich hat. 🧠️👍️

Und dann klickt man niemals in eine E-Mail. Wenn man sich angewöhnt, für solche Websites Lesezeichen im Browser anzulegen und diese Websites grundsätzlich immer nur über das Lesezeichen aufzurufen, kann einem kein Trickbetrüger einen giftigen Link unterschieben und man ist vor Phishing – immer noch eine der häufigsten Kriminalitätsformen im Internet – sicher. Dies geschieht völlig ohne Komfortverlust, denn man klickt ja weiterhin. Nur eben nicht in eine Mail. Einfach den HostEurope-Kundenlogin über das angelegte Lesezeichen aufrufen und sich dort ganz normal anmelden. Wenn man dort sieht, dass man überhaupt nicht auf das behauptete Problem hingewiesen wird, hat man einen dieser gefürchteten Cyberangriffe abgewehrt. So einfach geht das! Der Spuk ist vorbei, bevor er begonnen hat. Die Spam kann man einfach löschen. 🛡️

Sobald wir Ihre Zahlung erhalten haben, erhalten Sie eine Bestätigung, daß Ihre Domain erneuert wurde .

Sobald die Betrüger eine weitere Kreditkarte für ihre Betrugsgeschäfte haben, darf man sich mit langanhaltendem und möglicherweise sehr teurem Ärger herumschlagen. Jeder wird mit seinem Geld und seiner Lebenszeit etwas Besseres anzufangen wissen. ⛱️

Wir danken Ihnen für Ihr Vertrauen.

Nur echt mit echtem „Dank für Nichts“. 🖕️

Mit freundlichen Grüßen

Kundenservice Hosteurope

Mit Grüßen vom spammenden Betrüger.

Entf! 🗑️