Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Lieber Kunde“

E-ticket 2236-63

Montag, 27. Mai 2019

Ein Ticket? Wofür? Egal, das muss wichtig sein. Da steht eine Nummer dran.

View in browser

Für eine Surftour mit dem Browser?

Dear valued customer,

Ich bin kein Kunde. Ich habe einen Namen.

Thank you for booking with American Airlines.

Nein, das habe ich nicht getan. Ich habe es auch nicht vor. Vor einer langen Zeit, als es noch keine Gretas und Fridays for Future gab, habe ich durch Lesen und Benutzung des Gehirnes schon bemerkt, dass Fliegen so ziemlich die dreckigste und asozialste Form der Fortbewegung ist, die Menschen jemals erfunden haben – und beschlossen, in meinem gesamten Leben darauf zu verzichten, wenn es nicht gerade durch Notfälle erforderlich wird. Das habe ich bis jetzt durchgehalten. Ich bin dabei großer Freund der Eisenbahn geworden, aber nicht der Mondpreise des korrupten Ex-Staatsbetriebes „Deutsche Bahn“. Tatsächlich ist es regelmäßig billiger, zu fliegen, als mit dem Zug zu fahren. Und nein: Das sind nicht weitergegebene reale Kosten und das ist auch nicht die „unsichtbare Hand“ des Marktes, das ist durchgesetzter politischer Wille und vorsätzliche politische Gestaltung durch korrupte und asoziale Politiker und Politikerinnen. Es ist der Wille derjenigen Politiker, die euch permanent einen von Klimaschutz erzählen und die euch demnächst mit dieser Fuchtel auch eine CO2-Sondersteuer aufdrücken werden, die sich in jeden Preis hineinaddieren und vor allem Menschen mit wenig Geld überproportional belasten wird. Die gleichen Politiker werden allerdings auch weiterhin das Kerosin – im Gegensatz etwa zum Ottokraftstoff – unversteuert lassen. Politik ist auch so eine Art Spam, eine Spam für Hirn und Psyche, die jede Vernunft erstickt… 🙁

We have received your booking under reference 2236-63 and are reviewing your payment.

Wer auf den Link klickt, landet nicht etwa bei American Airlines, sondern bekommt eine „kostenlose Sicherheitsprüfung“ seines Browsers und seines Computers durch Kriminelle. Diese ist recht umfangreich. Wenn in diesem automatisierten Prozess, der ungefähr eine Sekunde dauert, eine Lücke gefunden wird, dann wird der Rechner von Kriminellen übernommen. Ansonsten geht es abschließend mit einer Weiterleitung zu einer Pimmelpillen-Apotheke der spammigen Marke „Canadian Pharmacy“, wo sich die Gangster sicherlich noch etwas Affiliate-Geld abholen werden – und einige Kunden schwere gesundheitliche Probleme.

Deshalb klickt man ja auch nicht in eine E-Mail, sondern ruft Websites direkt im Browser auf. Dieses bisschen Vorsicht schützt vor Phishing und Schadsoftware, und es kostet nicht einmal Geld. Seit der Version 0.95beta des Browsers Mosaic Netscape gibt es diese praktischen „Lesezeichen“ oder „Favoriten“ im Browser, die nur darauf warten, genutzt zu werden.

Yours sincerely,
American Airlines Support

Mit Winkewinke von einer Verbrecherbande!

You can also view the details of this request by following this link:
https://www.aa.com/?clientrequest=2236-63

Man kann gar viele Links klicken, und alle führen sie einen zur gleichen Adresse, die natürlich nichts mit aa (punkt) com zu tun hat. „Aber da steht doch AA“… ja, es ist eine HTML-formatierte Mail, und die Adresse, die da steht, ist ein Text, der mit einer anderen Adresse verlinkt ist. Ein dummer Trick aus dem Spam-Neolithikum, der inzwischen in jeder anständigen Mailsoftware zu einer Warnung führt, dass es sich um einen Phishing-Versuch handelt. So etwas wie das hier:

https://www.zdf.de/

Um zu sehen, wo der Link wirklich hinführt, muss man übrigens weder den Quelltext lesen noch auf den Link klicken. Es wird sichtbar, wenn man mit dem Mauszeiger über dem Link ist. Immer, wenn dort etwas anderes steht, als im Text falscher Eindruck erweckt wird, soll man an der Nase herumgeführt werden – was denkende und fühlende Menschen, deren Mitteilungen Wert, Kraft und Schönheit haben können, beinahe nie machen, verabscheuungswürdige Werber und Kriminelle hingegen recht regelmäßig.

Die Absender dieser Spam sind Verbrecher. Die leben vom Verbrechen. Die können da nicht „Dieser Link geht zu einer Schadsoftwareschleuder“ hinschreiben, das wäre schlecht fürs Geschäft. Also versuchen sie mit allen möglichen Tricks, einen anderen Eindruck zu erwecken. Auch mit derart dummen Tricks.

You are receiving travel offers for flights departing from as it is selected as your preferred country of departure. If you would like to change your country of departure or change the frequency of the emails you receive, you can modify your preferences. To stop receiving offers from American Airlines, click here to unsubscribe.

Und jetzt: Noch mehr Gelegenheiten, sich zur Schadsoftware zu klicken.

* For terms and conditions of our current promotion and special offers, visit the American Airlines website.

Und weil es so schön war: Noch mehr Gelegenheiten, sich die Pest auf den Rechner zu holen.

All rights reserved. © 2019 American Airlines.

Oh, gar kein Link mehr? 😀

Entf!

Confirm your DHL Parcel Receipt

Donnerstag, 1. November 2018

Aber ich erwarte gar kein Paket.

​Dear Customer,

Einen Namen hätte ich allerdings gehabt, und zwar einen anderen als „Lieber Kunde“. Der hätte eigentlich auch auf dem Adressaufkleber draufgestanden. Aber leider stand da nur meine Mailadresse. 😀

Tja, wenn sich die hirndörre Story der Verbrecher schon nach der ersten Zeile in Lachen auflöst.

Your parcel arrived at our local post few hours ago. Our courier was unable to deliver the parcel due to incorrect delivery details

To receive your parcel, Please confirm the attached shipping document

Oh, da ist ein Dokument angehängt? Aber diese Mail hat gar keinen Anhang.

Thanks & Best Regards

DHL Support Agent.

Ja, du darfst mich auch mal lecken.

1 attachments (total 53.9 KB)
https://www.dropbox.com/s/67dhb99z7v854a6/DHL_2018091808420890.z?dl=1
View Receipt
Download Receipt

Aha, Links zu Dropbox sind jetzt die neuen Mailanhänge? Schon klar. So kommt der kriminelle Dreck bestimmt besser durch Spamfilter mit Antivirusscan.

Im Gegesatz zur 54-Kilobyte-Angabe aus der Spam hat die Datei, die man sich unter diesem Link herunterladen kann…

$ ls -lh Parcel\ Receipt\ Confirmation.z 
-rw-rw-r-- 1 elias elias 871K Nov  1 15:32 'Parcel Receipt Confirmation.z'
$ file Parcel\ Receipt\ Confirmation.z 
Parcel Receipt Confirmation.z: RAR archive data, v4, os: Win32
$ unrar l Parcel\ Receipt\ Confirmation.z 

UNRAR 5.50 freeware      Copyright (c) 1993-2017 Alexander Roshal

Archive: Parcel Receipt Confirmation.z
Details: RAR 4

 Attributes      Size     Date    Time   Name
----------- ---------  ---------- -----  ----
    ..A....    951175  2018-10-31 04:58  Parcel Receipt Confirmation.scr
----------- ---------  ---------- -----  ----
               951175                    1

$ _

…eine ziemlich aufgeplusterte Größe von 871 KiB. Und dabei handelt es sich um ein RAR-Archiv, also bereits um komprimierte Daten. In diesem Archiv befindet sich ein Bildschirmschoner für Microsoft Windows, also ausführbarer Programmcode, der in einer Spam mit irreführenden Angaben zugestellt wurde und mit Doppelklick ausgeführt wird. Wer darauf einen Doppelklick macht, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen und wird sich mindestens den heutigen Tag mit völlig unerwünschten Problemen verhageln.

Zurzeit wird dieser Trojaner für Microsoft Windows nur von rd. einem Viertel der Antivirus-Programme als Schadsoftware erkannt. Wer sich auf sein Schlangenöl verlässt, ist in vielen Fällen wieder einmal verlassen, denn es versagt leider recht regelmäßig bei aktueller Schadsoftware. Aber zum Glück war diese Spam so schlecht und plump, dass wohl niemand den Schadcode gestartet haben wird… hoffentlich… HOFFENTLICH!

Dettelbach ist überall. 🙁

Delivery status

Dienstag, 22. November 2016

Dear Client! Our delivery department could not accept your operation due to a problem with your current account.
In order to avoid falling into arrears and getting charged, please fill out the document in the attachment as soon as possible and send it to us.

Es ist eigentlich nicht der Rede wert, aber leider fallen doch immer wieder Menschen auf so etwas herein. Der Anhang ist wie üblich ein ZIP-Archiv…

$ unzip -l document_info.zip 
Archive:  document_info.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
    12853  2016-11-22 11:00   0YI8F0V1R3BTB4SU140-WXGNRMR19QL1U5.js
---------                     -------
    12853                     1 file
$ _

…in dem nur eine einzige Datei enthalten ist, und zwar ein vorsätzlich unlesbar gecodetes Javascript-Programm, das im Windows Script Host ausgeführt wird, wenn man darauf klickt. Es handelt sich also um eine ausführbare Datei für Microsoft Windows, die mit einer E-Mail-Spam zugestellt wurde. Wer darauf klickt, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. Und diese anderen Leute sind Kriminelle.

Wie gewohnt bieten Antivirus-Programme in vielen Fällen keinen Schutz, da sie nur Schadsoftware erkennen können, die beim Hersteller der Antivirus-Programme schon bekannt ist.

Deshalb: Niemals einen Anhang einer E-Mail öffnen, wenn dieser nicht vorher und über einen anderen Kanal als E-Mail explizit verabredet wurde! Das Gehirn ist und bleibt der beste Virenschutz.

Shipping information

Samstag, 3. September 2016

Dear customer,

Ich bin aber „Liebe 13a9-32-04872 Kundennummer“ und nicht „Lieber Kunde“.

Our shipping service is sending the order form due to the request from your company.

Ich habe auch kein Unternehmen. Und nicht habe nichts angefordert. Und ich werde nichts bestellen.

Please fill the attached form with precise information.

Zielgruppe sind natürlich Mitarbeiter richtiger Unternehmen, die jetzt den Anhang aufmachen sollen, um einen Erpressungstrojaner im Unternehmensnetzwerk zu installieren. Ja, es handelt sich um Schadsoftware. Nein, es ist kein Dokument.

Very truly yours,
Adele Bernard

Du mich auch!

Ich sage es immer wieder, und ich muss es doch noch einmal wiederholen. E-Mail ist ein praktisches, aber auch gefährliches Medium. Es ermöglicht unter anderem Kriminellen, anderen Leuten Dateien zusammen mit einem Vorwand zuzustellen. Jeder Link in einer E-Mail und jede Anhang einer E-Mail ist als gefährlich zu betrachten. Immer. Auch, wenn das Antivirus-Schlangenöl keinen Alarm gibt. Niemals einen E-Mail-Anhang öffnen, der nicht vorher explizit und über einen anderen Kanal als E-Mail vereinbart wurde! Niemals auf eine E-Mail hereinfallen, weil der Absender zu passen scheint, denn der Absender einer E-Mail ist beliebig fälschbar! Immer telefonisch zurückfragen! Und am besten dafür Sorge tragen, dass nur noch digital signierte E-Mail verwendet wird, bei der man den Absender jenseits jedes vernünftigen Zweifels sicherstellen kann. Das kostet nicht einmal Geld. Und es ist nicht schwierig. Ich sage es immer wieder. Ich spreche es in die Flammen, ich spreche es in das Nichts, vor mir rollt eine Welt voll schreiender Dummheit vorbei, die Verbrecher jubeln auf einem Berg von Bitcoin… 🙁

Zum „Glück“ ist es diesmal ein etwas „älterer“ Vertreter, der das erste Mal am 1. September 2016 zu VirusTotal hochgeladen wurde; und deshalb wird die klare Schadsoftware inzwischen schon von der Hälfte der populären Antivirus-Schlangenöle erkannt. Es wäre ja auch echt jetzt mal und wirklich zu viel verlangt, wenn binnen zwei Tage jedes dieser Schlangenöle gegen die aktuell umlaufenden Seuchen funktionieren würde! 🙁

Wie üblich handelt es sich um ein angehängtes ZIP-Archiv…

$ unzip -l 18bbe011a687.zip 
Archive:  18bbe011a687.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
    95801  2016-09-03 08:35   D1B2DB19_shipping_service.js
---------                     -------
    95801                     1 file
$ _

…in dem diesmal wieder ein Javascript-Programm für den Windows Script Host liegt. Dies ist eine ausführbare Datei für Microsoft Windows, die bei einem Doppelklick ausgeführt wird. Dieses Programm ist vorsätzlich unverständlich gecodet, um eine Analyse und eine Erkennung durch Antivirus-Software zu erschweren. Es ist klare Schadsoftware. Nach dem dummen Doppelklick steht ein Computer anderer Leute auf dem Schreibtisch. Wenn das in einem Unternehmen passiert, kann sich die Seuche auch im gesamten Unternehmensnetzwerk verbreiten. Weil ein einziger Mensch so naiv war, einen Mailanhang zu „öffnen“ und damit ein Programm von Verbrechern auszuführen.

Und deshalb öffnet man keine Dateien aus einer E-Mail, deren Zustellung nicht vorher über einen anderen Kanal als E-Mail abgesprochen wurde… ach! Ich spreche in die Flammen, ich spreche in das Nichts. 🙁

auftrag nr. 134536339

Montag, 29. August 2016

Vorab: Auf gar keinen Fall den Anhang aufmachen!

Ihre Kundennummer: 4091651

Ah, schön, ich habe eine Nummer.

Auftragsnummer: 134536339

Und das, was ich angeblich beauftragt habe, hat ebenfalls eine fröhliche Ziffernfolge…

Auftragssumme: 13 Eur

…und kostet angeblich Geld. Seltsam, dass ich gar nichts davon weiß.

Liebe Kundin, Lieber Kunde,

Was ich allerdings nicht habe, ist ein Name.

Danke für Ihre Bestellung.

Was mein Auftrag nicht hat, ist ein menschenlesbarer Text neben der schönen, aber für einen Menschen zunächst unverständlichen Ziffernfolge, dem man entnehmen könnte, um was zum hl. Henker es überhaupt geht.

Bitte schauen Sie in den PDF-Anhang für nähere Informationen (klicken Sie doppelt auf das PDF-Dokument).

Um das herauszubekommen, muss ich klick-klick einen Mailanhang öffnen. Damit ich das auch wirklich hinbekomme, sagt mir der Spammer auch noch, wie ich das mache.

Mit freundlichen Grüßen

Ihr Casando-Versand Team
Casando GmbH

Es gibt eine Unternehmung namens Casando, aber die ist nicht für diese gefährliche Spam verantwortlich. Ich möchte dort heute nicht am Telefon sitzen. Dem asozialen Loch von Spammer ist es aber egal, was er anrichtet. Das sieht man ja auch am Anhang…

Hinweis:
Zum Öffnen der PDF-Datei im Anhang benötigen Sie den Acrobat Reader.
Den Gratis-Download des Programms finden Sie unter http://get.adobe.com/de/reader.

…der mitnichten ein PDF-Dokument ist. Es handelt sich um ein ZIP-Archiv, in dem…

$ unzip -l dokument_id1784780765.zip 
Archive:  dokument_id1784780765.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
      468  2016-08-24 06:05   dokument_id1784780765.pdf                                             .vbe
---------                     -------
      468                     1 file
$ _

…eine Datei liegt, deren Name auf .vbe endet. Um diese „Kleinigkeit“ vorm Empfänger zu verstecken, enthält der Name vor der richtigen Extension ganz viele Leerzeichen, so dass zusammen mit dem irreführenden Dateinamen der Eindruck entsteht, es handele sich um ein PDF. Die Extension .vbe steht nicht für ein Dokumentformat. Es ist ein ausführbares Programm für Microsoft Windows, das als Anhang einer irreführend formulierten Spam versendet wird und das seinen wirklichen Dateitypen mit einem Trick verbirgt. Das ist klare Schadsoftware. Wer darauf – ganz so, wie der kriminelle Spammer auffordert – doppelklickt, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. Viele populäre Antivirus-Programme scheitern zurzeit daran, diese Schadsoftware als solche zu erkennen, was bei derartigen Mails leider der Normalfall ist. Deshalb muss man immer sein Gehirn benutzen. Wer sich auf sein Antivirus-Schlangenöl verlässt, lebt sehr gefährlich.

Und deshalb öffnet man niemals einen Mailanhang, der nicht vorher und über einen anderen Kanal als E-Mail explizit verabredet wurde. Näheres zu diesem Thema habe ich hier schon etwas ausführlicher geschrieben. Ich bitte um Beachtung. Und um Verbreitung, denn es gibt immer noch zu viele Menschen, die auf derartige Spams reinfallen und hinterher bang Banknoten der Europäischen Zentralbank gegen Bitcoin eintauschen, um wieder an ihre Korrespondenz, ihre Fotos, ihre Musik, ihre Dokumente, ihre Filme und ihre Sozialkontakte zu kommen.

Übrigens: Wer regelmäßige Datensicherungen macht, braucht sein Geld nicht derartigen Verbrechern zu geben, wenn er doch mal überrumpelt wurde, sondern spielt einfach eine Datensicherung zurück. 😉

Vonux Shop Back Online ( www (punkt) vonux (punkt) ru ) New Big Update Tools And Accounts

Samstag, 18. Juni 2016

Ich habe die Domains in Betreff und Zitat ein bisschen weniger direkt verwendbar gemacht. Von einem Besuch rate ich ab. Warum? Nun, das erklärt sich aus dem Text der Spam.

DEAR CUSTUMERS [sic!]

We would like to now for our new domain name of VONUX SHOP
The Domain www (punkt) vonux (punkt) bz is closed and suspendet [sic!]
Now we have a [sic!] 2 new domains ( www (punkt) vonux (punkt) biz and www (punkt) vonux (punkt) ru )

What we sell ?

SPAMMING TOOLS
– Fresh SMTP – IP or Domain – ISP specified , SMTP checker is available too.
– Fresh RDP – USA & WorldWide – Administrator – With AMS or TurboMailer ( port 25 opened ).
– cPanels – Long lasting cPanels – Domain works.
– PHP Mailers – High sending quota & Delivering Inbox.
– PHP Shells – Upload, Unzip & Delivering Working.
– Webmail – Inbox Delivering & high sending quota.

ACCOUNTS
– PAYPALS [sic!], MATCH, FEDEX, NEWEGG
– SKYPE, ALIBABA, ALIEXPRESS, UPS
– DHL, MACYS, APPLE, OVERSTOCK
– SKRILL, CRAIGLIST, WALMART, DELL
– AMAZON, NETFLIX, NECTAR, TESCO
– EHARMONY, GODADDY, PATH, CABELAS
… and 50 other types of accounts (almost every account type).

CARDS
– FRESH UK FULLZ-12$ – Fresh worldwide CVV with Cheap Prices , starting from 3$.
– VISA – MC – AMEX – DISCOVER – High Balance & Validity.
– Checker : available & very accurate.

BANK LOGINS
– USA AND WORDLWIDE [sic!]

We wish You happy shopping with us , and good spamming results!
Best Regards,
( www (punkt) vonux (punkt) biz and www (punkt) vonux (punkt) ru ) Team.

Mein Verhältnis zur Polizei ist ja oft etwas angespannt, aber ich wünsche den Ermittlern von ganzem Herzen nachhaltigen und durchschlagenden Erfolg! 😉

Ihr PayPal-Konto ist eingeschränkt

Mittwoch, 20. April 2016

„Leer“ ist das Wort, „leer“… 😀

Von: PayPal <noreply (at) paypal (punkt) de>

Natürlich ist der Absender gefälscht. Diese (relativ gut gemachte) Phishing-Spam hat niemals einen Server von PayPal gesehen.

E-Mail-Adresse
gammelfleisch@tamagothi.de

Hey, Spammer! Die Empfänger-Mailadresse steht bereits im To-Header und ist damit eine völlig überflüssige Angabe. Und auch…

Datum
20.04.2016

…das Datum steht im Header und wird in jeder Mailsoftware angezeigt.

Aber vermutlich glaubst du, dass deine Spam besser und „offizieller“ aussieht, wenn sie möglichst viele in einer E-Mail sinnlose Angaben enthält, die in einem Sackpost-Brief sinnvoll wären.

Sicherheitsmaßnahme

Auch auf die Gefahr hin, mich immer wieder zu wiederholen…

Lieber Kunde

…kennt PayPal einen anderen Namen für seine Kunden als „Lieber Kunde“ und würde diesen anderen Namen in seiner Anrede verwenden. Da die Spammer inzwischen aus diversen Datenlecks viele Zuordnungen von Klarnamen zu Mailadressen haben, ist eine völlig unpersönliche Anrede kein sicheres Erkennungszeichen für jeden Phishing-Versuch mehr, aber wo sie auftritt, ist immer noch klar, dass man es mit Betrügern zu tun hat.

Im Zusammenhang damit, dass angeblich Probleme mit einem Konto vorliegen, sollte das zu sofortigen Zuckungen im Löschfinger führen.

unser Sicherheitsteam musste Ihr Nutzerkonto bedauerlicherweise einschränken. Der Grund dafür ist, dass wir eine verdächtigte Zahlungstransaktion erfasst haben. Dies war also eine reine Sicherheitsmaßnahme.

Aha, ein Bezahldienst schaltet ein Konto ab, weil es zum Bezahlen benutzt wird. Gut zu wissen. 😀

Und was kann man dagegen tun?

Wir bitten Sie deshalb Ihre Daten binnen 7 Tagen zu bestätigen, damit Sie Ihr Konto wie gewohnt weiter nutzen können.

Richtig: „Seine Daten bestätigen“. Also: Dem angeblichen „PayPal“ der Spammer lauter Daten mitteilen, die das richtige PayPal schon längst kennt. Und damit man das auch ja richtig macht, wird es hier noch einmal erklärt:

Was muss ich jetzt machen?

  • Folgen Sie dem Button [sic!]
  • Verifizieren Sie sich
  • Sie können Ihr Konto uneingeschränkt nutzen

Zur Überprüfung

Man soll „dem Button folgen“. Klingt ja auch viel besser als „auf einen Link in einer E-Mail klicken“, ist aber genau das. Genau genommen klingt es nicht einmal besser, sondern einfach nur dümmlich. Dieser Link führt nicht etwa zu PayPal, sondern zum URL-Verlängerer (Ja, die Welt ist so reif!) megaurl.co, der dann zu einer Website in die Domain paysecuree (punkt) com weiterleitet. Diese Domain…

$ whois paysecuree.com | grep -i '^registrant'
Registrant Name: James Axxxxx
Registrant Organization: N/A
Registrant Street: Oxxxxx 20   
Registrant City: Ede
Registrant State/Province: Other
Registrant Postal Code: 6xxxGK
Registrant Country: NL
Registrant Phone: +31.068416xxxx
Registrant Phone Ext: 
Registrant Fax: 
Registrant Fax Ext: 
Registrant Email: aledax23@gmail.com
$ _

…gehört nicht PayPal und hat nichts mit PayPal zu tun. Ich habe ein paar Dinge unkenntlich gemacht, obwohl es offen zugängliche Daten sind, weil ich davon ausgehe, dass hier die Identität eines anderen Menschen missbraucht wird. Der Mensch mit dieser Anschrift tut mir leid, denn er wird wegen der asozialen Kriminalität anderer Leute eine Menge Ärger und Laufereien bekommen, auf die ein Mensch gut verzichten kann. So etwas ist übrigens auch ein Grund, weshalb man immer sparsam mit seinen persönlichen Daten umgeht und sie nicht überall eingibt, wo man sie eingeben kann. Auch nicht für eine Handvoll Glasperlen… ähm… für einen kostenlos nutzbaren Dienst im Web oder für eine kostenlos nutzbare App oder dergleichen. Und auch nicht bei Anbietern, die „seriös“ aussehen, denn das Wichtigste beim Betrug ist nun einmal ein „seriöses“ Aussehen.

Diese Webseite, die nicht von PayPal ist und die übrigens den Titel „Ihr Konto wurde vorübergehend eingefroren“ trägt, sieht übrigens so aus:

Screenshot der Phishing-Seite

Sie funktioniert übrigens nicht ohne Javascript. Wer – wie ich es unbedingt empfehle – nicht jeder dahergelaufenen Seite in einem anonymisierenden, technischen Medium das Ausführen von Code im Webbrowser gestattet, sondern dieses Privileg nur ausgewählten Seiten geben möchte und deshalb ein scheinbar „unbequemes“ Browser-Addon wie NoScript verwendet und PayPal die Ausführung von Javascript erlaubt hat, bemerkt spätestens beim Nichtfunktionieren dieser Seite, dass etwas nicht stimmt.

Aber vermutlich ist niemand, der sich auch nur rudimentäre Gedanken um Computersicherheit macht, so weit gekommen. Es gibt vorher genug Alarmzeichen, obwohl die Spam zugegebenermaßen gut gemacht ist:

  1. Die Spam geht an willkürlich eingesammelte Mailadressen. Wer für einen Dienst wie PayPal eine eigene Mailadresse verwendet, die nirgends anders verwendet wird und deshalb nicht „eingesammelt“ werden kann, merkt sofort, dass etwas nicht stimmt.
  2. PayPal versendet solche E-Mails mit Klickmich-Aufforderung nicht.
  3. PayPal spricht seine Kunden persönlich an.
  4. Jeder Mensch, der weiß, dass man gegenüber E-Mail gar nicht misstrauisch genug sein kann, klickt nicht in die Spam, sondern ruft die PayPal-Website auf und meldet sich dort ganz normal an. Wenn dabei kein Problem angezeigt wird, ist unmittelbar klar, dass die E-Mail eine Spam ist.
  5. Ein PayPal-Link, der nicht in die Website von PayPal geht, ist hochverdächtig.
  6. Ein paar Formulierungen – insbesondere dieses „Folgen Sie dem Button“ statt einer Form von „Click here“, die immer häufiger von Spamfiltern aussortiert wird – sind doch ein bisschen zu lächerlich, um echt sein zu können.

Mit freundlichen Grüßen
Ihr Team für Kundensicherheit

Ja, ihr mich auch mal!

Copyright © 1999-2016 PayPal. Alle Rechte vorbehalten. PayPal (Europe) S.à r.l. et Cie, S.C.A., Société en Commandite par Actions. Eingetragener Firmensitz: 22-24 Boulevard Royal, L-2449 Luxembourg RCS Luxembourg B 118 349.

Nein, diese Spam kommt natürlich nicht von PayPal. Aber weil ich das immer wieder sage, sage ich es auch hier, und zwar mal mit etwas deutlicheren Worten: Wer „geistiges Eigentum“ auf den massenhaft reproduzierten Standardtext einer E-Mail proklamiert, macht sich lächerlich und stellt sich selbst als Vollidiot dar. Unter einem Brief, der mit der Sackpost an seinen Empfänger zugestellt wird, würde auch niemand so einen hirnlosen Rotz schreiben, wenn er mehr Intelligenz als eine frisch amputierte Laborratte hat und die Intelligenz der Leser seiner Briefe nicht gerade offen verachten möchte. Unter einer E-Mail ist es genau so dumm. Und diese Dummheit ist nicht die Dummheit von Spammern, sie ist direkt von PayPal abgeschaut, denn es ist die Dummheit PayPals, die man in jeder E-Mail von PayPal „genießen“ darf.

Deshalb noch ein kleiner Nachschlag von mir, in leicht jovialem Ton, der sinngemäß auch auf viele Kreditinstitute übertragbar ist:

Hey, PayPal,

könnt ihr bitte mal mit diesem von jedem Kriminellen leicht über die Zwischenablage zu imitierenden Bullshit mit dem „Copyright“ und dem „All rights reserved“ unter euren E-Mails aufhören, der keinerlei Funktion hat, juristisch bedeutungslos ist und einfach nur so dumm ist, dass es weh tut! Ich wäre euch sehr dankbar dafür.

Stattdessen könnt ihr einfach mal etwas sinnvolles mit euren E-Mails machen. Zum Beispiel könntet ihr damit beginnen, sie digital zu signieren, um den Phishing-Betrügern das Leben wenigstens ein bisschen schwerer zu machen. Technische Verfahren und Software zu ihrer Umsetzung stehen seit rd. 25 Jahren (ja, das ist ein Vierteljahrhundert, also ungefähr fünfzig Erdzeitalter der Informationstechnik) jedem zur Verfügung, der sie nutzen will, und inzwischen sogar Frei und kostenlos. Wenn ihr dann auch noch euren Kunden erklärtet, was eine digitale Signatur ist, warum eine digitale Signatur bei der Nutzung eines Mediums, in dem jeder seinen Absender fälschen kann, erforderlich ist und wie man die digitale Signatur überprüft (und gegebenenfalls selbst nutzt) und keine einzige unsignierte E-Mail mehr heraussendetet, hättet ihr fast alles gegen das Phishing getan, was ihr tun könntet – denn es wäre nicht mehr möglich, eine Mail von euch zu fälschen.

Wenn ihr digitale Signaturen nutztet, hätten sich viele Probleme erledigt.

Dass ihr das nicht tut, obwohl es praktisch keine Kosten verursachte, zeigt, dass ihr es nicht tun wollt. Und dass ihr das nicht tun wollt, zeigt, dass euch die Sicherheit des Zahlungsverkehrs eurer Kunden scheißegal ist, denn sonst würdet ihr Betrugsmöglichkeiten im Keim ersticken, wenn es nahezu kosten- und aufwandslos möglich wäre.

Ich hoffe, dass jeder eurer Kunden daraus die richtigen Schlüsse ziehen kann.

Ich hoffe ferner, dass ihr für diese eure Fahrlässigkeit einmal haftbar gemacht werdet und die dadurch bei anderen Menschen angerichteten Schäden erstatten müsst.

Ich befürchte aber, dass ich das nicht mehr erlebe.

Statt, dass ihr euren E-Mails etwas sinnvolles hinzufügt, nämlich eine digitale Signatur, fügt ihr ihnen etwas sinnloses hinzu, nämlich einen Hinweis, dass ihr für das großartige „Werk“ den vollen Schutz des „geistigen Eigentums“ beansprucht.

Ihr macht euch damit zu Freunden der Phisher. Aus Dummheit.

Nur, ums euch mal gesagt zu haben.
Der Nachtwächter

Invoice #08945011/15

Dienstag, 1. März 2016

Dear costumer,

Ich habe zwar keine Ahnung, wie du heißt, obwohl du angeblich mein Kunde bist und mir…

You are receiving this informational letter because of the fact that you have a debt totaling $248,54 due to late payment of invoices dating March �15.

…zweihundertfuffzich Dollar schuldest. Wofür du mir das Geld schuldest, erzähle ich dir in meiner Spam nicht direkt, sondern erst…

In attachment you will find a reconciliation of the past 12 months (year 2015).

…wenn du den Anhang aufmachst.

Please study the file and contact us immediately to learn what steps you should take to avoid the accrual of penalties.

Also komm, mach schon klicki-klicki den Anhang auf! Denn ich bin Spammer und davon lebe ich schließlich, dass immer wieder Leute so naiv sind.

Diese Spam wurde mechanisch erstellt und kommt daher ohne jeden Gruß.

Der Anhang ist ein ZIP-Archiv, in dem sich nicht etwa ein Dokument, sondern ein vorsätzlich kryptisch formuliertes Javascript-Programm für den Windows Scripting Host befindet¹, das eine Datei aus dem Internet nachlädt und ausführt. Mit einem Doppelklick startet man dieses in einer Spammail zugestellte Programm, und das Antivirus-Programm wird in vielen Fällen nicht davor schützen. Deshalb ist es so wichtig, derartige Spam selbst zu erkennen und zu löschen – und niemals, niemals, niemals einen Anhang einer E-Mail zu öffnen, wenn dieser nicht vorher und über einen anderen Kanal als E-Mail explizit abgesprochen wurde. Die Möglichkeit, jemanden anders eine Datei auf den Rechner machen zu können und dazu einen Vorwand zum Anklicken dieser Datei zu liefern, ist nämlich das Paradies für Kriminelle, und dieser Zustand erfordert nun einmal Vorsicht.

¹Das funktioniert natürlich nur mit Microsoft Windows.