Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Schlagwortarchiv „MasterCard“

Datenabgleich Ihrer Kreditkarte ist bis zum 01.03.2012 dringend erofrderlich!

Samstag, 4. Februar 2012

Wichtiger Hinweis für beunruhigte Menschen vorab: Diese Mail kommt nicht von einer Bank oder einem Kreditkartenunternehmen. Banken versenden niemals derartige Mails. Es handelt sich um einen Betrugsversuch. Wenn sie diese Mail bekommen haben, ist gar nichts erforderlich. Wenn sie mir das nicht glauben, rufen sie mal bei ihrer Bank an und fragen sie dort. Aber klicken sie auf gar keinen Fall in diese Spam und kommen sie erst recht nicht auf die Idee, irgendwo im Internet Daten einzugeben, weil eine alarmierend formulierte Mail dazu auffordert. Besonders dann nicht, wenn es um Geld geht.

So, jetzt zur Spam… 😉

Das Korrekturlesen der Phishing-Versuche vor dem Absenden ist auch dringend erforderlich, Spammer, denn so ein Buchtsabenderher im Betreff erhöht nicht gerade den Eindruck von Seriosität. Da hilft es auch nicht, wenn du dich neben deiner gefälschten Absenderadresse in der lustigen Domain master (strich) securities6 (punkt) org großspurig Master-Card Security 26 nennst.

Sehr geehrte Kunden,

Ich kenne deinen verdammten Namen nicht, Opfer, aber muss dich irgendwie ansprechen. Deine richtige Bank hätte es da leichter, die kennt nämlich deinen Namen.

aufgrund einer neuen Gesetzeslage, welche ab dem 01.03.2012 für jeden unseren Kunden [sic!] geltend ist [sic!], sind wir verpflichtet eine Identitätsfeststellung [sic!] durchzuführen.

Hihi, das „gilt“ nicht mehr, sondern „ist geltend“ – hier schimmert etwas typisch slawische (oder keltische) Ausdrucksweise durch.

Wegen einer Gesetzeslage, von der kein Mensch jemals etwas gehört hat und zu der es keinen Verweis auf eine seriöse Quelle (wie etwa eine Veröffentlichung des Deutschen Bundestages) gibt, bitten wir dich, Opfer, in unserer Spam rumzuklicken und…

Deshalb bitten wir Sie Ihre Daten mit deren unseres Systemes abzugleichen. [sic!]

…uns ein paar leckere Daten zu geben, damit wir deine Identität und Kreditkarte, Opfer, für unsere betrügerischen Machenschaften verwenden können.

Ganz toll übrigens, dass die Eingabe von Daten, die dem kontoführenden Institut längst bekannt sind…

Screenshot der Phishing-Seite

…jetzt als „Identitätsprüfung“ ausreicht. Wer dabei nicht stutzig wird, sollte zur Vervollständigung seiner Identitätsprüfung dreimal mit Schmackes seine Stirn in die Tastatur schlagen. Diese Maßnahme ist nur wirksam, wenn jedes Mal für mindestens 30 Sekunden das Licht im Kopfe ausgeht.

Übrigens ist „Datenschutzrichtlinie“ ein Kandidat für die blödeste Überschrift, die ich jemals auf einer Phishing-Seite gesehen habe. Toll ist auch die Navigation an der linken Seite, deren Links allesamt Leerstrings sind, also nirgends hinführen. So etwas wie Potemkinsche Dörfer für das Internet. Großes Kino! Wer da trotz aller Warnzeichen in der Spam und auf dieser Drecksseite seine Daten eingibt, sendet sie zu einem Server www (punkt) rksis (punkt) rs und natürlich nicht zu Mastercard oder zu seiner Bank. Die organisiert Kriminellen, die diese Spam verzapft haben, werden mit diesen Daten garantiert nichts Gutes anstellen. Sie werden krumme Geschäfte mit der durch Phishing übernommenen Identität machen, und sie werden das Konto leerräumen. Das Geld ist weg, die Kriminalpolizei steht vor der Tür, weil sie wegen Betruges ermittelt und die Bank sieht absolut nicht ein, dass sie bei so viel Nachlässigkeit einen Schadenersatz leisten sollte. Deshalb gibt man solche Daten nicht ein.

Möchten Sie nicht auf unseren Service verzichten, müssen Sie dieses Verfahren durchführen.

Nicht nachdenken, sonst ist die Kreditkarte futsch! Geile Aufforderung! Keine weiteren Hinweise, kein Link auf irgendwas, einfach nur eine gar nicht mal subtile Drohung, die das Gehirn der Opfer ausschalten soll.

Nach Angabe der Daten ist kein weiteres Handeln von Ihnen notwendig und Ihre Kreditkarte wird für Sie wie gewohnt zur Verfügung stehen.
Hierzu besuchen Sie die unten aufgeführte Seite, auf welcher Sie ein Formular sowie Informationen vorfinden.
Tragen Sie dort Ihre Daten in das Formular ein und vergewissern Sie sich nochmals, dass diese korrekt eingetragen wurden.
Weitere Informationen zu unseren Bestimmungen sowie das Formular finden Sie auf der folgenden Seite:

- Sicherheitsabteilung & Datenschutz -

Screenshot siehe oben…

Die Daten werden anschließend umgehend von einen unseren Mitarbeitern [sic!] überprüft und freigegeben.

Wie jetzt, die Daten werden freigegeben?! Das glaube ich euch aufs Wort. 😀

Anschließend können Sie Ihre Kreditkarte wieder wie gewohnt nutzen und Einkäufe tätigen.
Wir danken für Ihre Treue und wünschen Ihnen weiterhin viel Spaß mit Ihrer Karte.

Mit freundlichen Grüßen,
Thomas Zoff [sic!] im Auftrag von Master Card vom 04.02.2012

Ich glaube ja, dass Phishing viel gefährlicher wäre, wenn die Phishing-Mails nicht immer so gnadenlos schlecht wären und wenn die Verbrecher nicht immer so schlampig vorgehen würden. Aber wenn sie sich Mühe gäben, wären sie ja auch keine spammenden Verbrecher geworden.

Immerhin ist diese Mail schon überdurchschnittlich. Sie ist durch den Spamfilter gekommen, was selten ist. Die in der Mail verlinkte Seite liegt in der Domain webzler (punkt) com, die schon vor mehreren Jahren von einem Inder mit einer Freemailer-Mailadresse bei einem US-amerikanischen Hoster registriert wurde und zeigt nicht die „Frische“ typischer Betrugssites. Und das verwendete Spamskript produziert Mailheader, die keinen Verdacht erregen. Ich befürchte, diese Spam werden relativ viele Menschen in ihrem Posteingang sehen.

Ihre Karte wurde vorübergehend eingeschränkt durch unsere Betrug Prüfsystem.

Mittwoch, 25. Januar 2012

Geht das schon wieder los? Gibts inzwischen schon wieder Leute, die auf Phishing reinfallen? Für Lesefaule das Wichtigste zuerst: Diese Mail kommt nicht von einer Bank oder einem Kreditkartenunternehmen, also Panikmodus abschalten und über diesen dummen Versuch lachen!

Danke übrigens, unwerter unbekannter Krimineller mit dem gefälschten Absender online (strich) fraud (at) protet (punkt) visa (strich) mastercard (punkt) de am anderen Ende, dass du einen Punkt nach deinem holprig formulierten Betreff gesetzt hast – da hilft dann alle andere Sorgfalt beim Spammen nicht weiter. (Wow, sogar die Umlaute passen diesmal, und der Botrechner stand noch auf keiner Blacklist!) Dein Schrott wurde sicher in den Müll sortiert, und das wohl nicht nur hier. Das ist auch besser so, denn so werden viele mögliche Opfer diese Spam nicht in ihrem regulären Posteingang zu Gesicht bekommen und können nicht darauf reinfallen.

Einen Heiterkeitspunkt noch für euren Namen, den ihr euch zu der gefälschten Mailadresse ausgedacht habt, denn der ist sehr passend: „Visa und Mastercard Online-Betrug Abteilung“ – ja, ganz genau so führt ihr euch auch auf! :mrgreen:

Sehr geehrter Kunde,

Name? Kundennummer? Kartennummer? Marke (Visa oder Mastercard)? Fehlanzeige, weil es der Absender im Gegensatz zu einem kontoführenden Institut nicht wissen kann.

Ihre Karte wurde vorübergehend eingeschränkt durch unsere Betrug Prüfsystem.

Begründung? Nähere Beschreibung? Fehlanzeige, weil sonst jeder merken würde, dass es Lüge ist.

Einfach nur noch sagen, dass…

Zum Schutz gegen betrügerische Verwendung Ihrer Kreditkarte wir Ihre Karte beschränkt haben.

…“wir“ (ohne nähere Angabe) ihre Karte beschränkt haben, und zwar in einem Deutsch, das so holprig ist, dass man nur beim Hinschauen sieht, dass es von einem dummen Computer übersetzt wurde. Und das geht auch gleich so weiter, denn man soll sich als Empfänger dieser Strunzmail…

Um Begrenzung zu entfernen und sicher Ihre Kreditkarte laden Sie sich bitte und füllen Sie das beigefügte Formular aus.

…doch bitte laden. Ideale Anweisung für einen Akku. :mrgreen:

Danke,
Visa & Mastercard Support-Team.
© Copyright Visa Europas 2012

Gern geschehen!

Der Anhang ist der gleiche wie bei „das wichtiger Updates zur 2012 Neues Jahr“. Einziger Unterschied: Inzwischen wissen die Idioten, wie man einen Umlaut in ein HTML-Dokument bekommt – vermutlich haben sie mal einen Achtjährigen gefragt, der sich damit auskennt.

Die abgesendeten Daten würden an einen Rechner mit der IP-Adresse 79.142.78.43 gehen. Ich habe den Provider AltusHost Inc. in Stockholm über den Missbrauch eines dort gehosteten Servers informiert, und bekam binnen weniger Minuten eine freundliche Mail mit einem Dank und dem Hinweis, dass die betrügerische Website der Phisher jetzt vom Netz genommen ist. Das würde ich zu gerne mal bei den vielen Providern aus Russland, Bjelorussland, der Türkei oder der VR China erleben, mit denen ich sonst meist in wenig erfolgreichen Kontakt stehe. Wer einen Hoster sucht, der sich aktiv um ein besseres, ein spam- und betrugsfreies Internet mitbemüht, kann diesen Hinweis auch gern als eine Empfehlung verstehen – denn wenn die ganzen „Schmuddel-Hoster“ nur noch von Kriminellen verwendet würden, dann würde sich vieles vereinfachen.

Neuen 2012 Wichtige Updates!

Mittwoch, 4. Januar 2012

Aber einen ganz neuen, und ganz wichtige Updates! Ziemlich neu ist die Phishing-Idee, die in dieser Spam verbastelt wurde, und von daher ist sie auch ein bisschen gefährlich. Es soll nicht auf einen Link geklickt werden, sondern stattdessen ist ein „Formular“ zum „Ausfüllen“ an die Mail gehängt – offenbar haben die Warnungen der Polizeien und Banken, nicht auf Links in Mails zu klicken, um dann irgendwelche Kontoinfos an lichtscheue Typen zu geben, eine gewisse Wirkung entfaltet. Und jetzt müssen die Phisher ein bisschen kreativ werden. Aber wenn man seinen Strunztext dermaßen bescheuert formuliert, dann wirds auch nichts mit der tollen neuen Masche.

Sehr geehrter Inhaber der Kreditkarte,

Hallo! Deinen Namen kennen wir nicht, aber immerhin versuchen wirs mal mit dem „sehr geehrter“, während wir dich in Wirklichkeit verachten.

Ihre Kreditkarte wird vorübergehend für neue Sicherheits-Updates gesperrt.

Wie jetzt, für meine Kreditkarte gibts keine neue Sicherheit mehr?! :mrgreen:

Wir müssen unsere Datenbank zu aktualisieren jedes Jahr. Aus diesem Grund haben wir vorübergehend Ihre Kreditkarte gesperrt.

Klar, Kreditkarten werden jedes Jahr einfach alle gesperrt, weil da irgendwelche Leute an den Datenbanken rummachen. Die Umsatzausfälle sind den Banken dabei völlig egal, deshalb machen die Banken das auch so. Großes Spamkino!

Ihre Kreditkarte wird freigeschaltet, nachdem Sie und laden Sie das beigefügte Formular werden.

Alles klar? Na, dann…

Danke,
Visa und Mastercard Support Team.
© Copyright Visa Europe 2012

danke für die Mitarbeit an diesem Beschiss.

Das „beigefügte Formular“ ist übrigens eine HTML-Datei als Mailanhang mit einem HTML-Formular drin. Ich habe das mal ein bisschen bearbeitet, so dass auf keinen Fall Daten an die Verbrecher gehen können und hier hochgeladen, damit sich jeder anschauen kann, wie so ein Mailanhang „gebaut ist“¹. Die eingebetteten Grafiken werden übrigens aus dem halben Internet nachgeladen, und wie man in einer HTML-Datei die HTML-Entity für einen Umlaut schreibt, scheint zu diesen technischen Spezialexperten der organisierten Internet-Kriminalität noch nicht vorgedrungen zu sein.

Anders, als bei Links auf bekannte Phishing-Sites, wird hier vom Browser oder vom Mailclient niemals eine Warnung ausgegeben, und doch ist im Original ein von den Kriminellen verwendeter Server das Ziel für die eingegebenen Daten. Wer sich auf die „eingebaute Sicherheit“ seines Browsers oder seiner Mailsoftware verlässt, ist also wieder einmal verlassen. Wer aber seinen Kopf einschaltet, löscht die Spam schon nach den Worten „Sehr geehrter Inhaber der Kreditkarte“, denn so würde keine Bank dieser Welt ihre Kunden ansprechen – und vom Rest des Textes dieser Müllmail will ich gar nicht erst reden. Aber ich befürchte, dass da bald bessere Mails umlaufen.

¹Geändert am 17. Dezember 2013. Zwei Jahre nach der Masche erscheint es mir nicht mehr notwendig, diese Datei hier zu halten, zumal sie zu Fehlerkennungen durch gängige Sicherheitsprogramme führt.

Your credit card is blocked

Mittwoch, 21. September 2011

Das ist die massive Spamflut des heutigen Tages, ich habe gar keine Lust mehr, das zu zählen. Ach, das macht ja auch der Rechner für mich, wenn ich das will…

$ grep '^Subject.*blocked$' spam | wc -l
     109

…aber ob ich das wirklich wollte. Ich schätze mal, dass dieser virtuelle Kothaufen auch in viele andere Postfächer gemacht wurde.

Dear Customer,
Your credit card is locked!
With your credit card was removed $ 087,2 [sic!]

Possibly illegal transaction! [sic!]

More detailed information in the attached file.

Immediately contact your bank .
Best regards, MASTER CARD CUSTOMER SERVICES.

Schon die Anrede „Sehr geehrter Kunde“ sollte klar machen, dass man hier keine Mail seines Kreditkartenunternehmens vor sich hat, sondern eine relativ schlecht gemachte Spam. Der Betrag ändert sich von Mail zu Mail, im Beispiel habe ich einen besonders missglückten Betrag mit führender Null und einer Nachkommastelle rausgepickt.

Schnellerklärung

Der Anhang ist ein ZIP-Archiv. Der Datei ist in jeder Spam anders, hat jedoch eine andere Gemeinsamkeit. Darin ist nämlich eine Datei mit einem ganz besonders lustigen Dateinamen, die so tut, als hätte sie die Dateinamenserweiterung .docwas aber nicht stimmt. In Wirklichkeit hat hier jemand mit ein paar Steuersequenzen herumgespielt, um diesen falschen Eindruck zu erwecken, und es handelt sich um eine ausführbare Datei für Microsoft Windows und nicht um ein Dokument für Microsoft Word. Was von einem Programm zu halten ist, das einem so hinterhältig untergejubelt wird, muss ich wohl nicht vertiefen – es dürfte eine aktuelle Kollektion von Schadsoftware installieren.

Deshalb: Nicht drauf klicken! Löschen! Und generell niemals auf den Virenscanner vertrauen, wenn eine dermaßen leicht als Spam erkennbare Mail die Aufmerksamkeit erzwingen will.

Etwas technischer: Wie haben die das gemacht?

Ich gehe davon aus, dass dieser durchaus intelligente Hack in den kommenden Wochen häufiger versucht werden wird. Deshalb hier eine kurze Beschreibung, was da geschieht:

  1. Der Dateiname endet mit der Zeichenfolge cod.exe.
  2. Vor diesen Zeichen befinden sich (im Dateinamen) die Unicode-Zeichen U+202B und U+202E.
  3. Diese steuern, ob der Text von links nach rechts (wie lateinische Schrift) oder von rechts nach links (wie arabische Schrift) gelesen wird und überschreiben die Einstellung für die angezeigte Sprache.
  4. Moderne Betriebssysteme können Unicode in Dateinamen korrekt interpretieren (so dass beliebige Namen in beliebigen Sprachen und Alphabeten möglich sind) und zeigen den Namen genau so an, wie es von diesen selbst unsichtbaren Steuerzeichen gefordert wird.
  5. Im Ergebnis wird cod ans Ende der Zeile gestellt und die Zeichenfolge wird umgekehrt, so dass der Dateiname auf exe.doc zu enden scheint, was bei oberflächlicher Betrachtung wie ein Dokument für Microsoft Word aussieht.

Ich weiß, das war immer noch etwas zu schnell, aber ich kann hier nicht das ganze Unicode-System erklären. (Auch deshalb, weil ich es nicht im vollen Umfang verstehe.)

Der irreführende Dateiname ist also möglich, weil bei der Darstellung des Dateinamens auch Unicode-Sequenzen interpretiert werden, die im Zusammenhang eines Dateinamens im Allgemeinen nicht sinnvoll sind. Diese Funktionalität wird vermutlich mit den Standardbibliotheken der grafischen Oberfläche „mitgeliefert“, der Dateiname erhält keine weitere Filterung durch den verwendeten Dateimanager. Dieses Problem ist nicht auf Windows beschränkt, ich konnte die irreführende Anzeige mit dem Thunar-Dateimanager der XFCE-Desktop-Umgebung unter Debian GNU/Linux reproduzieren. (Dort ist Gtk+ für die graphische Darstellung zuständig.) Unter Linux ist das Problem nur deshalb kleiner, weil Dateinamenserweiterungen keine so bedeutende Rolle spielen. Ob auch MacOS darauf „hereinfällt“, kann ich mangels Mac leider nicht entscheiden. Es ist ein ziemlich allgemeines Problem. Die Flexibilität moderner Betriebssysteme, die beinahe jede lebende (und manche tote) Sprache dieser Welt überall ermöglichen, kommt den kriminellen Spammern entgegen, die erfolgreich einen falschen Eindruck erwecken können. Allgemeine Abhilfe ist schwierig, es gibt gewiss noch weitere Eigenschaften von Unicode, die sich in vergleichbarer Weise ausbeuten lassen.

Der hier kurz beschriebene Trick wird wohl morgen (oder im schlimmsten Fall: übermorgen) von den meisten Virenscannern erkannt werden. Dafür hat er heute vermutlich schon einen gewaltigen Schaden angerichtet.

Für normale Menschen kann ich immer nur mit der Beharrlichkeit einer mechanisch betriebenen Gebetsmühle den immer gleichen Hinweis wiederholen: Niemals in einer Spam herumklicken! Auch dann nicht, wenn der Anhang einer Spam relativ harmlos aussieht, etwa wie eine Textdatei, ein PDF, ein Bild. Die „Kreativität“ der organisiert Kriminellen, wenn es darum geht, anderen Menschen bösartige Software unterzujubeln, sie ist schier unerschöpflich. Virenscanner und so genannte „Personal Firewalls“ sind niemals ein ausreichender Schutz. Die Sicherheit des eigenen Computers beginnt mit dem Menschen, der vorm Computer sitzt.

Und generell sollte äußerste Vorsicht bei Mailanhängen gelten, die nicht vorher verabredet waren. Wer etwas mitzuteilen hat, kann es in der Regel in der Mail schreiben und muss dafür kein Dokument anhängen.

Noch ein Hinweis

Ich habe bei einer sehr kurzen Recherche gefunden, dass dieser Trick bereits im Mai dieses Jahres als eine mögliche Schwachstelle erörtert wurde. Vier Monate sind im Bezug auf eine ausbeutbare Schwachstelle in der Internet-Kommunikation eine kleine Ewigkeit. Wenn dieses Problem bei Microsoft bekannt war, und wenn nichts in Hinsicht auf dieses Problem unternommen wurde, dann sind die Menschen, die sich auf Microsoft verlassen haben, wieder einmal verlassen gewesen. Im Ergebnis hat das organisierte Verbrechen im Internet vermutlich wieder einige zehntausende Bots für äußerst unerfreuliche Tätigkeiten zur Verfügung.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.