Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Lieber Kunde“

Delivery status

Dienstag, 22. November 2016

Dear Client! Our delivery department could not accept your operation due to a problem with your current account.
In order to avoid falling into arrears and getting charged, please fill out the document in the attachment as soon as possible and send it to us.

Es ist eigentlich nicht der Rede wert, aber leider fallen doch immer wieder Menschen auf so etwas herein. Der Anhang ist wie üblich ein ZIP-Archiv…

$ unzip -l document_info.zip 
Archive:  document_info.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
    12853  2016-11-22 11:00   0YI8F0V1R3BTB4SU140-WXGNRMR19QL1U5.js
---------                     -------
    12853                     1 file
$ _

…in dem nur eine einzige Datei enthalten ist, und zwar ein vorsätzlich unlesbar gecodetes Javascript-Programm, das im Windows Script Host ausgeführt wird, wenn man darauf klickt. Es handelt sich also um eine ausführbare Datei für Microsoft Windows, die mit einer E-Mail-Spam zugestellt wurde. Wer darauf klickt, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. Und diese anderen Leute sind Kriminelle.

Wie gewohnt bieten Antivirus-Programme in vielen Fällen keinen Schutz, da sie nur Schadsoftware erkennen können, die beim Hersteller der Antivirus-Programme schon bekannt ist.

Deshalb: Niemals einen Anhang einer E-Mail öffnen, wenn dieser nicht vorher und über einen anderen Kanal als E-Mail explizit verabredet wurde! Das Gehirn ist und bleibt der beste Virenschutz.

Shipping information

Samstag, 3. September 2016

Dear customer,

Ich bin aber „Liebe 13a9-32-04872 Kundennummer“ und nicht „Lieber Kunde“.

Our shipping service is sending the order form due to the request from your company.

Ich habe auch kein Unternehmen. Und nicht habe nichts angefordert. Und ich werde nichts bestellen.

Please fill the attached form with precise information.

Zielgruppe sind natürlich Mitarbeiter richtiger Unternehmen, die jetzt den Anhang aufmachen sollen, um einen Erpressungstrojaner im Unternehmensnetzwerk zu installieren. Ja, es handelt sich um Schadsoftware. Nein, es ist kein Dokument.

Very truly yours,
Adele Bernard

Du mich auch!

Ich sage es immer wieder, und ich muss es doch noch einmal wiederholen. E-Mail ist ein praktisches, aber auch gefährliches Medium. Es ermöglicht unter anderem Kriminellen, anderen Leuten Dateien zusammen mit einem Vorwand zuzustellen. Jeder Link in einer E-Mail und jede Anhang einer E-Mail ist als gefährlich zu betrachten. Immer. Auch, wenn das Antivirus-Schlangenöl keinen Alarm gibt. Niemals einen E-Mail-Anhang öffnen, der nicht vorher explizit und über einen anderen Kanal als E-Mail vereinbart wurde! Niemals auf eine E-Mail hereinfallen, weil der Absender zu passen scheint, denn der Absender einer E-Mail ist beliebig fälschbar! Immer telefonisch zurückfragen! Und am besten dafür Sorge tragen, dass nur noch digital signierte E-Mail verwendet wird, bei der man den Absender jenseits jedes vernünftigen Zweifels sicherstellen kann. Das kostet nicht einmal Geld. Und es ist nicht schwierig. Ich sage es immer wieder. Ich spreche es in die Flammen, ich spreche es in das Nichts, vor mir rollt eine Welt voll schreiender Dummheit vorbei, die Verbrecher jubeln auf einem Berg von Bitcoin… :(

Zum „Glück“ ist es diesmal ein etwas „älterer“ Vertreter, der das erste Mal am 1. September 2016 zu VirusTotal hochgeladen wurde; und deshalb wird die klare Schadsoftware inzwischen schon von der Hälfte der populären Antivirus-Schlangenöle erkannt. Es wäre ja auch echt jetzt mal und wirklich zu viel verlangt, wenn binnen zwei Tage jedes dieser Schlangenöle gegen die aktuell umlaufenden Seuchen funktionieren würde! :(

Wie üblich handelt es sich um ein angehängtes ZIP-Archiv…

$ unzip -l 18bbe011a687.zip 
Archive:  18bbe011a687.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
    95801  2016-09-03 08:35   D1B2DB19_shipping_service.js
---------                     -------
    95801                     1 file
$ _

…in dem diesmal wieder ein Javascript-Programm für den Windows Script Host liegt. Dies ist eine ausführbare Datei für Microsoft Windows, die bei einem Doppelklick ausgeführt wird. Dieses Programm ist vorsätzlich unverständlich gecodet, um eine Analyse und eine Erkennung durch Antivirus-Software zu erschweren. Es ist klare Schadsoftware. Nach dem dummen Doppelklick steht ein Computer anderer Leute auf dem Schreibtisch. Wenn das in einem Unternehmen passiert, kann sich die Seuche auch im gesamten Unternehmensnetzwerk verbreiten. Weil ein einziger Mensch so naiv war, einen Mailanhang zu „öffnen“ und damit ein Programm von Verbrechern auszuführen.

Und deshalb öffnet man keine Dateien aus einer E-Mail, deren Zustellung nicht vorher über einen anderen Kanal als E-Mail abgesprochen wurde… ach! Ich spreche in die Flammen, ich spreche in das Nichts. :(

auftrag nr. 134536339

Montag, 29. August 2016

Vorab: Auf gar keinen Fall den Anhang aufmachen!

Ihre Kundennummer: 4091651

Ah, schön, ich habe eine Nummer.

Auftragsnummer: 134536339

Und das, was ich angeblich beauftragt habe, hat ebenfalls eine fröhliche Ziffernfolge…

Auftragssumme: 13 Eur

…und kostet angeblich Geld. Seltsam, dass ich gar nichts davon weiß.

Liebe Kundin, Lieber Kunde,

Was ich allerdings nicht habe, ist ein Name.

Danke für Ihre Bestellung.

Was mein Auftrag nicht hat, ist ein menschenlesbarer Text neben der schönen, aber für einen Menschen zunächst unverständlichen Ziffernfolge, dem man entnehmen könnte, um was zum hl. Henker es überhaupt geht.

Bitte schauen Sie in den PDF-Anhang für nähere Informationen (klicken Sie doppelt auf das PDF-Dokument).

Um das herauszubekommen, muss ich klick-klick einen Mailanhang öffnen. Damit ich das auch wirklich hinbekomme, sagt mir der Spammer auch noch, wie ich das mache.

Mit freundlichen Grüßen

Ihr Casando-Versand Team
Casando GmbH

Es gibt eine Unternehmung namens Casando, aber die ist nicht für diese gefährliche Spam verantwortlich. Ich möchte dort heute nicht am Telefon sitzen. Dem asozialen Loch von Spammer ist es aber egal, was er anrichtet. Das sieht man ja auch am Anhang…

Hinweis:
Zum Öffnen der PDF-Datei im Anhang benötigen Sie den Acrobat Reader.
Den Gratis-Download des Programms finden Sie unter http://get.adobe.com/de/reader.

…der mitnichten ein PDF-Dokument ist. Es handelt sich um ein ZIP-Archiv, in dem…

$ unzip -l dokument_id1784780765.zip 
Archive:  dokument_id1784780765.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
      468  2016-08-24 06:05   dokument_id1784780765.pdf                                             .vbe
---------                     -------
      468                     1 file
$ _

…eine Datei liegt, deren Name auf .vbe endet. Um diese „Kleinigkeit“ vorm Empfänger zu verstecken, enthält der Name vor der richtigen Extension ganz viele Leerzeichen, so dass zusammen mit dem irreführenden Dateinamen der Eindruck entsteht, es handele sich um ein PDF. Die Extension .vbe steht nicht für ein Dokumentformat. Es ist ein ausführbares Programm für Microsoft Windows, das als Anhang einer irreführend formulierten Spam versendet wird und das seinen wirklichen Dateitypen mit einem Trick verbirgt. Das ist klare Schadsoftware. Wer darauf – ganz so, wie der kriminelle Spammer auffordert – doppelklickt, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. Viele populäre Antivirus-Programme scheitern zurzeit daran, diese Schadsoftware als solche zu erkennen, was bei derartigen Mails leider der Normalfall ist. Deshalb muss man immer sein Gehirn benutzen. Wer sich auf sein Antivirus-Schlangenöl verlässt, lebt sehr gefährlich.

Und deshalb öffnet man niemals einen Mailanhang, der nicht vorher und über einen anderen Kanal als E-Mail explizit verabredet wurde. Näheres zu diesem Thema habe ich hier schon etwas ausführlicher geschrieben. Ich bitte um Beachtung. Und um Verbreitung, denn es gibt immer noch zu viele Menschen, die auf derartige Spams reinfallen und hinterher bang Banknoten der Europäischen Zentralbank gegen Bitcoin eintauschen, um wieder an ihre Korrespondenz, ihre Fotos, ihre Musik, ihre Dokumente, ihre Filme und ihre Sozialkontakte zu kommen.

Übrigens: Wer regelmäßige Datensicherungen macht, braucht sein Geld nicht derartigen Verbrechern zu geben, wenn er doch mal überrumpelt wurde, sondern spielt einfach eine Datensicherung zurück. ;)

Vonux Shop Back Online ( www (punkt) vonux (punkt) ru ) New Big Update Tools And Accounts

Samstag, 18. Juni 2016

Ich habe die Domains in Betreff und Zitat ein bisschen weniger direkt verwendbar gemacht. Von einem Besuch rate ich ab. Warum? Nun, das erklärt sich aus dem Text der Spam.

DEAR CUSTUMERS [sic!]

We would like to now for our new domain name of VONUX SHOP
The Domain www (punkt) vonux (punkt) bz is closed and suspendet [sic!]
Now we have a [sic!] 2 new domains ( www (punkt) vonux (punkt) biz and www (punkt) vonux (punkt) ru )

What we sell ?

SPAMMING TOOLS
– Fresh SMTP – IP or Domain – ISP specified , SMTP checker is available too.
– Fresh RDP – USA & WorldWide – Administrator – With AMS or TurboMailer ( port 25 opened ).
– cPanels – Long lasting cPanels – Domain works.
– PHP Mailers – High sending quota & Delivering Inbox.
– PHP Shells – Upload, Unzip & Delivering Working.
– Webmail – Inbox Delivering & high sending quota.

ACCOUNTS
– PAYPALS [sic!], MATCH, FEDEX, NEWEGG
– SKYPE, ALIBABA, ALIEXPRESS, UPS
– DHL, MACYS, APPLE, OVERSTOCK
– SKRILL, CRAIGLIST, WALMART, DELL
– AMAZON, NETFLIX, NECTAR, TESCO
– EHARMONY, GODADDY, PATH, CABELAS
… and 50 other types of accounts (almost every account type).

CARDS
– FRESH UK FULLZ-12$ – Fresh worldwide CVV with Cheap Prices , starting from 3$.
– VISA – MC – AMEX – DISCOVER – High Balance & Validity.
– Checker : available & very accurate.

BANK LOGINS
– USA AND WORDLWIDE [sic!]

We wish You happy shopping with us , and good spamming results!
Best Regards,
( www (punkt) vonux (punkt) biz and www (punkt) vonux (punkt) ru ) Team.

Mein Verhältnis zur Polizei ist ja oft etwas angespannt, aber ich wünsche den Ermittlern von ganzem Herzen nachhaltigen und durchschlagenden Erfolg! ;)

Ihr PayPal-Konto ist eingeschränkt

Mittwoch, 20. April 2016

„Leer“ ist das Wort, „leer“… :D

Von: PayPal <noreply (at) paypal (punkt) de>

Natürlich ist der Absender gefälscht. Diese (relativ gut gemachte) Phishing-Spam hat niemals einen Server von PayPal gesehen.

E-Mail-Adresse
gammelfleisch@tamagothi.de

Hey, Spammer! Die Empfänger-Mailadresse steht bereits im To-Header und ist damit eine völlig überflüssige Angabe. Und auch…

Datum
20.04.2016

…das Datum steht im Header und wird in jeder Mailsoftware angezeigt.

Aber vermutlich glaubst du, dass deine Spam besser und „offizieller“ aussieht, wenn sie möglichst viele in einer E-Mail sinnlose Angaben enthält, die in einem Sackpost-Brief sinnvoll wären.

Sicherheitsmaßnahme

Auch auf die Gefahr hin, mich immer wieder zu wiederholen…

Lieber Kunde

…kennt PayPal einen anderen Namen für seine Kunden als „Lieber Kunde“ und würde diesen anderen Namen in seiner Anrede verwenden. Da die Spammer inzwischen aus diversen Datenlecks viele Zuordnungen von Klarnamen zu Mailadressen haben, ist eine völlig unpersönliche Anrede kein sicheres Erkennungszeichen für jeden Phishing-Versuch mehr, aber wo sie auftritt, ist immer noch klar, dass man es mit Betrügern zu tun hat.

Im Zusammenhang damit, dass angeblich Probleme mit einem Konto vorliegen, sollte das zu sofortigen Zuckungen im Löschfinger führen.

unser Sicherheitsteam musste Ihr Nutzerkonto bedauerlicherweise einschränken. Der Grund dafür ist, dass wir eine verdächtigte Zahlungstransaktion erfasst haben. Dies war also eine reine Sicherheitsmaßnahme.

Aha, ein Bezahldienst schaltet ein Konto ab, weil es zum Bezahlen benutzt wird. Gut zu wissen. :D

Und was kann man dagegen tun?

Wir bitten Sie deshalb Ihre Daten binnen 7 Tagen zu bestätigen, damit Sie Ihr Konto wie gewohnt weiter nutzen können.

Richtig: „Seine Daten bestätigen“. Also: Dem angeblichen „PayPal“ der Spammer lauter Daten mitteilen, die das richtige PayPal schon längst kennt. Und damit man das auch ja richtig macht, wird es hier noch einmal erklärt:

Was muss ich jetzt machen?

  • Folgen Sie dem Button [sic!]
  • Verifizieren Sie sich
  • Sie können Ihr Konto uneingeschränkt nutzen

Zur Überprüfung

Man soll „dem Button folgen“. Klingt ja auch viel besser als „auf einen Link in einer E-Mail klicken“, ist aber genau das. Genau genommen klingt es nicht einmal besser, sondern einfach nur dümmlich. Dieser Link führt nicht etwa zu PayPal, sondern zum URL-Verlängerer (Ja, die Welt ist so reif!) megaurl.co, der dann zu einer Website in die Domain paysecuree (punkt) com weiterleitet. Diese Domain…

$ whois paysecuree.com | grep -i '^registrant'
Registrant Name: James Axxxxx
Registrant Organization: N/A
Registrant Street: Oxxxxx 20   
Registrant City: Ede
Registrant State/Province: Other
Registrant Postal Code: 6xxxGK
Registrant Country: NL
Registrant Phone: +31.068416xxxx
Registrant Phone Ext: 
Registrant Fax: 
Registrant Fax Ext: 
Registrant Email: aledax23@gmail.com
$ _

…gehört nicht PayPal und hat nichts mit PayPal zu tun. Ich habe ein paar Dinge unkenntlich gemacht, obwohl es offen zugängliche Daten sind, weil ich davon ausgehe, dass hier die Identität eines anderen Menschen missbraucht wird. Der Mensch mit dieser Anschrift tut mir leid, denn er wird wegen der asozialen Kriminalität anderer Leute eine Menge Ärger und Laufereien bekommen, auf die ein Mensch gut verzichten kann. So etwas ist übrigens auch ein Grund, weshalb man immer sparsam mit seinen persönlichen Daten umgeht und sie nicht überall eingibt, wo man sie eingeben kann. Auch nicht für eine Handvoll Glasperlen… ähm… für einen kostenlos nutzbaren Dienst im Web oder für eine kostenlos nutzbare App oder dergleichen. Und auch nicht bei Anbietern, die „seriös“ aussehen, denn das Wichtigste beim Betrug ist nun einmal ein „seriöses“ Aussehen.

Diese Webseite, die nicht von PayPal ist und die übrigens den Titel „Ihr Konto wurde vorübergehend eingefroren“ trägt, sieht übrigens so aus:

Screenshot der Phishing-Seite

Sie funktioniert übrigens nicht ohne Javascript. Wer – wie ich es unbedingt empfehle – nicht jeder dahergelaufenen Seite in einem anonymisierenden, technischen Medium das Ausführen von Code im Webbrowser gestattet, sondern dieses Privileg nur ausgewählten Seiten geben möchte und deshalb ein scheinbar „unbequemes“ Browser-Addon wie NoScript verwendet und PayPal die Ausführung von Javascript erlaubt hat, bemerkt spätestens beim Nichtfunktionieren dieser Seite, dass etwas nicht stimmt.

Aber vermutlich ist niemand, der sich auch nur rudimentäre Gedanken um Computersicherheit macht, so weit gekommen. Es gibt vorher genug Alarmzeichen, obwohl die Spam zugegebenermaßen gut gemacht ist:

  1. Die Spam geht an willkürlich eingesammelte Mailadressen. Wer für einen Dienst wie PayPal eine eigene Mailadresse verwendet, die nirgends anders verwendet wird und deshalb nicht „eingesammelt“ werden kann, merkt sofort, dass etwas nicht stimmt.
  2. PayPal versendet solche E-Mails mit Klickmich-Aufforderung nicht.
  3. PayPal spricht seine Kunden persönlich an.
  4. Jeder Mensch, der weiß, dass man gegenüber E-Mail gar nicht misstrauisch genug sein kann, klickt nicht in die Spam, sondern ruft die PayPal-Website auf und meldet sich dort ganz normal an. Wenn dabei kein Problem angezeigt wird, ist unmittelbar klar, dass die E-Mail eine Spam ist.
  5. Ein PayPal-Link, der nicht in die Website von PayPal geht, ist hochverdächtig.
  6. Ein paar Formulierungen – insbesondere dieses „Folgen Sie dem Button“ statt einer Form von „Click here“, die immer häufiger von Spamfiltern aussortiert wird – sind doch ein bisschen zu lächerlich, um echt sein zu können.

Mit freundlichen Grüßen
Ihr Team für Kundensicherheit

Ja, ihr mich auch mal!

Copyright © 1999-2016 PayPal. Alle Rechte vorbehalten. PayPal (Europe) S.à r.l. et Cie, S.C.A., Société en Commandite par Actions. Eingetragener Firmensitz: 22-24 Boulevard Royal, L-2449 Luxembourg RCS Luxembourg B 118 349.

Nein, diese Spam kommt natürlich nicht von PayPal. Aber weil ich das immer wieder sage, sage ich es auch hier, und zwar mal mit etwas deutlicheren Worten: Wer „geistiges Eigentum“ auf den massenhaft reproduzierten Standardtext einer E-Mail proklamiert, macht sich lächerlich und stellt sich selbst als Vollidiot dar. Unter einem Brief, der mit der Sackpost an seinen Empfänger zugestellt wird, würde auch niemand so einen hirnlosen Rotz schreiben, wenn er mehr Intelligenz als eine frisch amputierte Laborratte hat und die Intelligenz der Leser seiner Briefe nicht gerade offen verachten möchte. Unter einer E-Mail ist es genau so dumm. Und diese Dummheit ist nicht die Dummheit von Spammern, sie ist direkt von PayPal abgeschaut, denn es ist die Dummheit PayPals, die man in jeder E-Mail von PayPal „genießen“ darf.

Deshalb noch ein kleiner Nachschlag von mir, in leicht jovialem Ton, der sinngemäß auch auf viele Kreditinstitute übertragbar ist:

Hey, PayPal,

könnt ihr bitte mal mit diesem von jedem Kriminellen leicht über die Zwischenablage zu imitierenden Bullshit mit dem „Copyright“ und dem „All rights reserved“ unter euren E-Mails aufhören, der keinerlei Funktion hat, juristisch bedeutungslos ist und einfach nur so dumm ist, dass es weh tut! Ich wäre euch sehr dankbar dafür.

Stattdessen könnt ihr einfach mal etwas sinnvolles mit euren E-Mails machen. Zum Beispiel könntet ihr damit beginnen, sie digital zu signieren, um den Phishing-Betrügern das Leben wenigstens ein bisschen schwerer zu machen. Technische Verfahren und Software zu ihrer Umsetzung stehen seit rd. 25 Jahren (ja, das ist ein Vierteljahrhundert, also ungefähr fünfzig Erdzeitalter der Informationstechnik) jedem zur Verfügung, der sie nutzen will, und inzwischen sogar Frei und kostenlos. Wenn ihr dann auch noch euren Kunden erklärtet, was eine digitale Signatur ist, warum eine digitale Signatur bei der Nutzung eines Mediums, in dem jeder seinen Absender fälschen kann, erforderlich ist und wie man die digitale Signatur überprüft (und gegebenenfalls selbst nutzt) und keine einzige unsignierte E-Mail mehr heraussendetet, hättet ihr fast alles gegen das Phishing getan, was ihr tun könntet – denn es wäre nicht mehr möglich, eine Mail von euch zu fälschen.

Wenn ihr digitale Signaturen nutztet, hätten sich viele Probleme erledigt.

Dass ihr das nicht tut, obwohl es praktisch keine Kosten verursachte, zeigt, dass ihr es nicht tun wollt. Und dass ihr das nicht tun wollt, zeigt, dass euch die Sicherheit des Zahlungsverkehrs eurer Kunden scheißegal ist, denn sonst würdet ihr Betrugsmöglichkeiten im Keim ersticken, wenn es nahezu kosten- und aufwandslos möglich wäre.

Ich hoffe, dass jeder eurer Kunden daraus die richtigen Schlüsse ziehen kann.

Ich hoffe ferner, dass ihr für diese eure Fahrlässigkeit einmal haftbar gemacht werdet und die dadurch bei anderen Menschen angerichteten Schäden erstatten müsst.

Ich befürchte aber, dass ich das nicht mehr erlebe.

Statt, dass ihr euren E-Mails etwas sinnvolles hinzufügt, nämlich eine digitale Signatur, fügt ihr ihnen etwas sinnloses hinzu, nämlich einen Hinweis, dass ihr für das großartige „Werk“ den vollen Schutz des „geistigen Eigentums“ beansprucht.

Ihr macht euch damit zu Freunden der Phisher. Aus Dummheit.

Nur, ums euch mal gesagt zu haben.
Der Nachtwächter

Invoice #08945011/15

Dienstag, 1. März 2016

Dear costumer,

Ich habe zwar keine Ahnung, wie du heißt, obwohl du angeblich mein Kunde bist und mir…

You are receiving this informational letter because of the fact that you have a debt totaling $248,54 due to late payment of invoices dating March �15.

…zweihundertfuffzich Dollar schuldest. Wofür du mir das Geld schuldest, erzähle ich dir in meiner Spam nicht direkt, sondern erst…

In attachment you will find a reconciliation of the past 12 months (year 2015).

…wenn du den Anhang aufmachst.

Please study the file and contact us immediately to learn what steps you should take to avoid the accrual of penalties.

Also komm, mach schon klicki-klicki den Anhang auf! Denn ich bin Spammer und davon lebe ich schließlich, dass immer wieder Leute so naiv sind.

Diese Spam wurde mechanisch erstellt und kommt daher ohne jeden Gruß.

Der Anhang ist ein ZIP-Archiv, in dem sich nicht etwa ein Dokument, sondern ein vorsätzlich kryptisch formuliertes Javascript-Programm für den Windows Scripting Host befindet¹, das eine Datei aus dem Internet nachlädt und ausführt. Mit einem Doppelklick startet man dieses in einer Spammail zugestellte Programm, und das Antivirus-Programm wird in vielen Fällen nicht davor schützen. Deshalb ist es so wichtig, derartige Spam selbst zu erkennen und zu löschen – und niemals, niemals, niemals einen Anhang einer E-Mail zu öffnen, wenn dieser nicht vorher und über einen anderen Kanal als E-Mail explizit abgesprochen wurde. Die Möglichkeit, jemanden anders eine Datei auf den Rechner machen zu können und dazu einen Vorwand zum Anklicken dieser Datei zu liefern, ist nämlich das Paradies für Kriminelle, und dieser Zustand erfordert nun einmal Vorsicht.

¹Das funktioniert natürlich nur mit Microsoft Windows.

Konto-Status

Dienstag, 19. Januar 2016

Nein, diese E-Mail kommt nicht von PayPal. Sie hat niemals einen Server von PayPal gesehen. Es handelt sich um Phishing. Wer Daten eingibt und absendet, übergibt sie an Kriminelle.

Von: service (at) paypol (punkt) co

Fast richtig!

Hey Spammer, wenn du schon einen Absender fälschst, kannst du es auch gleich richtig machen. Ach, da bist du zu doof für?! Oder du weißt gar nicht, dass das geht?! Gut so!

Lieber PayPal Kunde,

Genau mein Name! :mrgreen:

Aufgrund der jüngsten betrügerischen Aktivitäten haben wir ein neues Online-Sicherheitssystem für den maximalen Schutz der persönliche Daten unserer Kunden gestartet.

Wie, PayPal hat betrogen?! :mrgreen:

Nach dieser Tatsache, wird Ihnen angeboten, ihr PayPal-Konto zu aktualisieren.

Aha, die programmieren sich da einen zurecht, aber sie sind nicht dazu imstande, einfach mal ein paar Daten zu konvertieren (zumal sie das mit an Sicherheit grenzender Wahrscheinlichkeit gar nicht müssten), und deshalb muss man alles noch einmal eingeben. Sehr glaubwürdig!

Um Ihr PayPal-Konto zu aktualisieren, liegt Ihnen in Ihrer E-Mail Adresse ein Formular zur Verfügung.

Tja, im Rest der deutschsprachigen Welt spricht man von einem Mailanhang. :D

Bitte laden Sie das Formular aus, rufen Sie über Ihren Internet-Browser und folgen Sie den Anweisungen auf dem Bildschirm.

So so, „das Formular ausladen“. Das ist mal wieder ein Qualitäts-Spamdeutsch heute!

Apropos Deutsch:

Detail aus dem Mailanhang mit einer nachgemachten PayPal-Loginmaske und einem Button 'New anmelden'.

„New anmelden“ ist nicht die gelungendste aller Eindeutschungen. :mrgreen:

Hinweis: Das Formular muss in einem modernen Browser geöffnet werden, dass JavaScript aktiviert hat. (z.B. Internet Explorer, Mozilla Firefox)

Klar, ganz wichtig! Denn der Spammer schreibt da nicht so gern die Domain seines Phishing-Servers, an den die Daten alle gehen, direkt und im Klartext rein. Sonst kennt den bald jeder Spamfilter. Und das wäre schlecht für das „Geschäft“ des Spammers.

Nach Abschluss dieser Phase wird die Aktualisierung Ihres PayPal-Kontos normal funktionieren.

Vorher übrigens auch. :D

Wir entschuldigen uns für die Unannehmlichkeiten und danken Ihnen für Ihre Zeit.
Für weitere Informationen kontaktieren Sie bitte den Kundenservice.

Oh, wie höflich! Und…

Mit freundlichen Grüßen,

PayPal-Team.

…freundlich sind die auch noch! Aber PayPal ist das nicht.

Warum da nicht ein Link auf eine Phishing-Seite gesetzt wurde, sondern ein Anhang gemacht wurde, obwohl das irgendwie verdächtig aussieht? Ganz einfach: Selbst bei Menschen mit restriktiv konfiguriertem Browser gibt es oft Ausnahmen für lokale Dateien.

PayPal würde das übrigens niemals so machen. Warum nicht? Aus Sicherheitsgründen. Was das mit Sicherheit zu tun hat? Ich will es mal so sagen: Hier könnt ihr überprüfen lassen, ob euer PayPal-Passwort sicher genug ist.

Wer drauf reingefallen ist, hat das Wichtigste schon gelesen – für alle anderen: Ein Passwort ist eine Sicherheitsmaßnahme, die nur dann funktioniert, wenn das Passwort ausschließlich dort verwendet wird, wo es Zugang gewähren soll und niemals irgendwo anders. Im Falle des PayPal-Passwortes ist das die Login-Seite auf der Website von PayPal. Und sonst nirgends. Niemals! Wenn das Passwort nur ein einziges Mal an einer anderen Stelle eingegeben wurde, ist es als kompromittiert zu betrachten und sollte sofort geändert werden.

Eigentlich eine Banalität und Selbstverständlichkeit.

Aber eben auch eine der wichtigsten Maßnahmen für die Sicherheit bei passwortgeschützten Diensten.

Erinnerung: Ihr Konto wird eingeschränkt, bis wir von Ihnen hören.

Samstag, 7. November 2015

Danke für den Punkt am Ende des Betreffs, Spammer, denn der macht das automatische Aussortieren deines infektiösen Sondermülls viel leichter.

Lieber Kunde ,

Bitte beachten Sie, dass Ihre Apple ID wird in weniger als 48 Stunden ablaufen.
Es muss eine Prüfung durchzuführen Ihrer Daten [sic!], sonst Ihren Benutzernamen, werden vernichtet [sic!].
Klicken Sie einfach auf den unten stehenden Link und melden Sie sich mit Ihrer Apple-ID und Passwort.

Überprüfen Sie Ihren Account

Apple-Kundendienst
Copyright 2015 iTunes, Inc. Alle Rechte vorbehalten.

Ich glaube, dass schon angesichts des Tonfalls jedem Menschen klar ist, dass diese E-Mail nicht von Apple kommt. Von einem Klick auf den „unten stehenden Link“ kann ich nur abraten, denn die tolle Website in der Domain hibbic (punkt) com

Screenshot meines Terminalfensters mit der Ausgabe von lynx -dump -mime_header.

…ist ein bisschen „fein“ und spricht nicht mit jedem Browser, sondern versucht ganz offenbar, eine Prüfung der dort angebotenen „Beglückungsideen“ zu erschweren. Ohne, dass ich mir auch nur angeschaut habe, was ich dort in einem Desktop-Browser sehen würde – ich habe zurzeit nicht meine virtuelle Maschine zur Verfügung, in der ich mir Derartiges dann mal in Ruhe anschauen kann, ohne die Übernahme eines Computers durch Kriminelle zu riskieren – klingeln bei mir sämtliche Alarmglocken auf einmal. Dass die gängigen Antivirus-Schlangenöle hier keine Schadsoftware finden, wundert mich nicht weiter, denn die versagen oft bei aktuellen Angriffen.

In jedem Fall gilt: Dass der Link gefährlich ist, sieht man schon daran, dass er aus einer Spam kommt. Mit einem kleinen Hilfsmittel (das sich als Firefox-Browser ausgibt) betrachtet, sieht die Seite übrigens nach ganz ordinärem Phishing aus:

Screenshot der scheinbaren Phishing-Seite

Ein Klick in eine Spam ist immer gefährlich! Selbst, wenn der Rechner nicht gleich durch Schadsoftware übernommen wird, führt die Spam immer zu einer Konfrontation mit kriminellen Überrumpelungsversuchen. Deshalb löscht man die Spam unbeklickt, wenn man sie vor die Augen bekommt! Diese Vorsicht ist wichtiger für die Computersicherheit als ein so genanntes „Antivirusprogramm“.