Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „PayPal“

Kontoeinschränkung – Bitte bestätigen Sie Ihre Daten

Freitag, 11. August 2017

Das ist mal ein bisschen anders…

Von: „PayPal Service Team“ <service.team@paypal.de>

Sollte diese Nachricht nicht richtig angezeigt werden, klicken Sie bitte hier

Natürlich ist der Absender gefälscht, und zwar zur Abwechslung einmal so, dass naive Menschen wirklich daran glauben können, die Mail käme von PayPal. Und natürlich ist da nicht mehr in der Spam, was dargestellt werden könnte. Der Link führt auch nicht zu PayPal, sondern er ist über den beliebten URL-Kürzer Bitly maskiert, um Spamfiltern die Arbeit zu erschweren.

PayPal würde niemals einen Link auf die eigene Website in einer E-Mail über Bitly kürzen. Zum einen gibt es dafür keinen technischen Grund, die Textlänge in einer E-Mail ist ja nicht beschränkt, und sollten kürzere Links (etwa für die umbruchlose Darstellung in einer Reintextmail – die vorliegende Spam ist HTML-formatiert, so dass sich das Problem gar nicht stellt) doch einmal gewünscht sein, so könnte PayPal nahezu mühelos einen eigenen Weiterleitungsdienst für eigene Zwecke implementieren. Und zum zweiten würde PayPal damit die Zugriffe seiner Kunden auf die PayPal-Website für einen Dritten, nämlich Bitly, trackbar machen. So etwas ist eine ganz schlechte Idee, wenn es um Geld geht. So etwas macht mit Sicherheit niemand, der einen Zahlungsdienst anbietet.

Der so maskierte Link führt nach der Weiterleitung durch Bitly…

$ lynx --mime-header http://bit.ly/2ftsROw | grep ^Location
Location: http://paypal.de-account-aktualisierung.gdn/
$ _

…schließlich in eine Website in eine Subdomain von de (strich) account (strich) aktualisierung (punkt) gdn, die natürlich nicht die Domain von PayPal ist. Die Subdomain paypal kann darüber nur bei Menschen hinwegtäuschen, die überhaupt keine technischen Kenntnisse mehr haben… oh… das sind wohl beinahe alle Menschen aus der „Generation Smartphone“. Jeder, der eine Domain verwaltet, kann dort beliebige Subdomains einrichten.

Ich hätte ja gern meinen obligatorischen Screenshot der mutmaßlichen Phishing-Site¹ gemacht, aber…

$ host paypal.de-account-aktualisierung.gdn
paypal.de-account-aktualisierung.gdn has address 136.243.175.176
$ ping -c 16 -W 5 136.243.175.176
PING 136.243.175.176 (136.243.175.176) 56(84) bytes of data.

--- 136.243.175.176 ping statistics ---
16 packets transmitted, 0 received, 100% packet loss, time 14996ms

$ _

…der von den Spammern gemietete Server scheint schon abgeklemmt worden zu sein. Dafür einen warmen Dank an die Hetzner Online GmbH. So schnell müsste das immer gehen! ;)

Grundsätzlich gelten jedoch drei Dinge, denn so viel Glück wird man nicht immer haben:

  1. PayPal versendet solche E-Mails nicht. Die E-Mail von PayPal ist ohne weiteres Geklicke lesbar. PayPal ist dazu imstande, eine E-Mail zu verfassen, in der man den Text auch lesen kann. Jeder aufgeweckte Achtjährige ist nämlich dazu imstande. Warum sollte PayPal im Kontakt zu seinen Kunden hinter dieses Niveau zurückfallen?
  2. PayPal wird niemals einen Link auf die eigene Website über einen externen Kürzer wie Bitly maskieren und damit ohne technischen Grund einem Dritten eine Datensammlung über den Zugriff auf die Website eines Finanzdienstleisters ermöglichen. So etwas machen wirklich nur Spammer, die verhindern wollen, dass die von ihnen benutzten Domains binnen weniger Viertelstunden auf den einschlägigen Blacklists stehen, so dass ihre Spams nicht mehr ankommen.
  3. Wenn man sich angewöhnt, niemals in eine E-Mail zu klicken, sondern einfach die jeweilige Website direkt aufzurufen – die Webbrowser haben zu diesem Zweck seit 1994 eine ausgesprochen praktische Lesezeichenfunktion – dann kann man nicht auf Phishing über eine E-Mail hereinfallen und fängt sich übrigens auch nicht so leicht Schadsoftware ein, weil man keine Websites von spammenden Verbrechern besucht. Wenn es ein Problem bei PayPal, Amazon, eBay, Facebook, etc. gibt, dann wird man auf den jeweiligen Websites nach der Anmeldung deutlich darauf hingewiesen. Es besteht kein Grund, in die E-Mail zu klicken, aber es ist gefährlich.

Diese Spam ist ein Zustecksel meines Lesers M.S. – Danke!

¹Es ist nicht sicher, dass es sich hier um Phishing handelt – im Moment ist wieder sehr viel Schadsoftware unterwegs, die ebenfalls in kurz gefassten E-Mails, dort allerdings meist als Anhang, transportiert wird.

Sehr gutes Paypal-Phishing

Montag, 27. März 2017

Keine Spam, sondern eine Warnung des LKA Niedersachsen zu einer derzeit „umlaufenden“ Phishing-Spam (die „leider“ noch nicht bei mir angekommen ist):

Eigentlich müsste man den Hut vor der Leistung der Cyberkriminellen ziehen. Die Phishingmail und die zugehörige Webseite sind optisch sehr gut gefälscht und können den einen oder anderen Empfänger schnell dazu verleiten, dem Link „Konto bestätigen“ zu folgen und die geforderten Daten einzugeben

Weiterlesen beim Ratgeber Internetkriminalität der niedersächsischen Polizei

Daten bestätigen – Überprüfung

Donnerstag, 2. März 2017

PayPal
Regelmäßige Überprüfung

Ja, stimmt! So etwas kommt regelmäßig. Alle paar Tage überprüfen die Spammer, ob inzwischen wieder ein paar neue Leute auf das alte Phishing reinfallen. Die Spam kostet ja auch nichts.

Guten Abend,

Natürlich weiß der Absender – im Gegensatz zum richtigen PayPal – nicht, wie der Empfänger heißt¹. Aber immerhin weiß er ungefähr, welche Tageszeit ist.

zu Ihrer Sicherheit führen wir regelmäßig eine Verifizierung ihrer Daten durch.

Das ist ja nett. Und was habe ich damit zu tun?

So können wir feststellen, dass Sie auch wirklich der Kontoinhaber sind und kein Unberechtigter Ihre Bankdaten benutzt.

Ich sage ja: Das ist nett. Aber wie wollen die jetzt feststellen, dass wirklich ich es bin und nicht Hänschen Unberechtigt aus der Spammer-Krabbelgruppe nach dem Grundkurs „Phishing auf dem Pisspott“? Und warum drohen die mir in diesem Zusammenhang subtil an…

Bis zur Bestätigung besteht ein Sende- und Abbuchungslimit.

…dass ich nicht mehr an mein Geld komme, bis ich endlich aktiv werde, statt mich ganz normal wegen eines regelmäßigen Prüfungskrams anzusprechen?

Nun, die Antwort ist wie immer verblüffend einfach:

  1. Das ist nicht PayPal.
  2. PayPal versendet solche Mails nicht. Das ist eine Spam.
  3. Alles, was in dieser Spam steht, ist Bullshit, der nur geschrieben wurde, um die Empfänger zu überrumpeln, damit diese den Absendern ihre Zugangsdaten geben.

Aber sonst wäre die Spam ja auch nicht hier gelandet. ;)

So bestätigen Sie Ihre Daten in nur wenigen Minuten:

Wer also wieder an sein Geld kommen will, sollte folgende Dinge tun, die nicht einmal besonders viel Zeit kosten:

1
Loggen Sie sich auf paypal.de in Ihr [sic!] Account ein.

In die Spam klicken. Das ist eine HTML-formatierte Spam. Der Text paypal.de ist nicht mit der Domain paypal (punkt) de verlinkt, sondern mit einer Subdomain der Domain tcl (punkt) at. Diese hat nichts mit PayPal zu tun und steht unter der Kontrolle irgendwelcher anderer Gestalten.

Übrigens: Wer sich angewöhnt, niemals in eine E-Mail zu klicken, sondern Websites immer über ein Lesezeichen in seinem Webbrowser aufzurufen, kann auf kein noch so gut gemachtes Phishing reinfallen (und es gibt besseres Phishing als dieses Beispiel). Denn natürlich würde nach einem ganz normalen Login beim richtigen PayPal schnell klar, dass alles wie gewohnt funktioniert, kein Hinweis angezeigt wird und der ganze Unsinn aus der Spam gegenstandslos ist.

Das Beste an dieser sehr einfachen Vorsichtsmaßnahme unter Verwendung des Gehirnes: Sie kostet kein Geld, braucht keine Signaturupdates, legt niemals den Rechner lahm und wirkt völlig zuverlässig gegen Phishing.

2
Sie werden automatisch weitergeleitet.

In der Tat:

$ lynx -mime_header http://s.tcl.at/K | grep '^Location'
Location: http://paypa.l-de-signin-lang-ger.info
$ _

Es geht in eine Subdomain der ausgesprochen unhandlich benannten Domain l (strich) de (strich) signin (strich) lang (strich) ger (punkt) info, bei der man nur durch Hinschauen bemerkt, dass sie mit der Absicht des Phishings eingerichtet wurde. Dies geschah übrigens erst vorgestern…

$ whois l-de-signin-lang-ger.info | grep '^Creation'
Creation Date: 2017-02-28T18:26:23Z
$ whois l-de-signin-lang-ger.info | grep '^Registrant' | sed 5q
Registrant Name: WhoisGuard Protected
Registrant Organization: WhoisGuard, Inc.
Registrant Street: P.O. Box 0823-03411
Registrant City: Panama
Registrant State/Province: Panama
$ _

…und wie gewohnt vollständig anonym unter Benutzung eines Dienstleisters aus dem schönen, sonnigen Panama. Diese Entscheidung der Spammer wurde dadurch motiviert, dass Handschellen immer so eine lästige Einschränkung der Bewegungsfreiheit sind.

3
Folgen Sie den Anweisungen.

Zur Legitimierung

Nun, wer das tut, dort seinen PayPal-Login benutzt und anschließend lauter Daten noch einmal eingibt, die PayPal schon längst kennt, gibt Kriminellen einen Zugriff auf sein PayPal-Konto und hat den Schaden.

Zugangsdatum: 21:49:20 01.03.2017

Eine völlig überflüssige Angabe, denn Datum und Uhrzeit stehen bereits im Mailheader.

Sicherheitshinweis: Sie erkennen Spoof oder Phishing-E-Mails oftmals schon in der Anrede.

Vor allem erkennt man Phishing-Mails daran, dass irgendwelche beim Absender schon längst bekannte Daten „verifiziert“ werden sollen, indem in die E-Mail geklickt wird. Deshalb kann man sich auch so einfach davor schützen, indem man sich angewöhnt, niemals in eine derartige Mail zu klicken. (Und ja, die können auch viel besser gemacht sein als dieses Beispiel.)

Diese Benachrichtigung wurde an xxx@example.com² gesendet, weil Sie in Ihren E-Mail-Einstellungen unter „Benachrichtigung“ den Erhalt aktiviert haben. Bearbeitungsnummer: PP-759xxxx

Diese E-Mail ging an die Mailadresse, die im Header als Empfänger eingetragen wurde, was nicht gerade eine Überraschung, sondern der Normalfall ist. Warum man das noch einmal erwähnen muss? Na, das macht den Text größer, sieht schön technisch aus und soll Dumme beeindrucken.

¹Das ist kein sicheres Merkmal mehr, denn den Spammern sind zu vielen Mailadressen die Namen bekannt.

²Mailadresse hier geändert.

Dieses Prachtexemplar der gegenwärtigen Phishing-Streumunition wurde mir von meinem Leser S.S. zugesteckt.

PayPal Verifikation

Samstag, 26. November 2016

Erstmal ein Blick aufs Layout der HTML-formatierten Spam:

Screenshot des Layouts der Spam, wie es in einer Mailsoftware erscheint

Für Menschen, die sich leicht vom Layout verblenden lassen – und da PayPal sich auch im Jahre 2016 noch nicht dazu durchgerungen hat, grundsätzlich digital signierte E-Mail an seine Kunden zu schreiben, besteht ja auch gar keine Möglichkeit, den Urheber der Mail sicherzustellen¹ – ist das eine überzeugende E-Mail „von PayPal“.

Natürlich ist diese Spam nicht von PayPal…

Von: PayPal <paypalsecuria14 (at) online (punkt) de>

…wie man schon am Absender sehen kann.

Schon bitter für den Spammer, wenn er zwar ein tolles Layout für seine Phishing-Kampagne gebaut hat, es aber nicht hinbekommt, seinen Absender so zu fälschen, dass die Mail wie eine echte Mail von PayPal aussieht. Übrigens: In eine E-Mail kann ein beliebige Absenderadresse eingetragen werden (ganz ähnlich, wie man auch einen beliebigen Absender auf einen Briefumschlag schreiben kann). Die Fälschung des Absenders ist also „Kinderkram“. Diese Möglichkeit nicht dazu zu nutzen, einen Absender aus der Domain paypal (punkt) com einzutragen, ist schon sehr sehr blöde.

Aber bin ich mal froh darüber, dass sich die meisten Spammer nicht vorgedrängelt haben, als der Herrgott die Intelligenz verteilt hat, denn sonst würden noch mehr Menschen auf derartiges Phishing hereinfallen.

gammelfleisch@tamagothi.de – Bestätigung erforderlich.

Oh, das ist ja schön, Spammer! Hast du deine Mailadressen mit einem Harvester eingesammelt? Du bist ja ein ganz Großer! :D

Das echte PayPal spricht seine Kunden übrigens nicht mit ihrer Mailadresse an, sondern mit ihrem für die Registrierung verwendeten Namen. Und wer präventiv für PayPal und andere wichtige Dienste eine eigene, sonst nirgends verwendete Mailadresse benutzt, die auch nicht leicht zu erraten ist – eine Mailadresse ist ja schnell eingerichtet – kann natürlich nicht so leicht von einer „irgendwo eingesammelten“ Mailadresse in einer Phishing-Spam erschrocken werden – wenn es nicht mal wieder ein Datenleck bei eBay oder PayPal gibt, das trotz der erhöhten Gefahr für die rd. 145 Millionen davon betroffenen Kunden monatelang nicht kommuniziert wird.

Online ansehen

Schon klar, mit einer über TinyURL verschleierten Zieladresse des Links.

Mein Dank geht an TinyURL, dass der Link binnen fünfer Minuten nach Meldung dieses Missbrauchs durch Phisher unbenutzbar gemacht wurde! So schnell müsste es immer gehen! Ich hoffe, dass hat vielen naiven Internetnutzern sehr viel Geld, Ärger und juristische Scherereien nach dem eventuellen Missbrauch ihrer PayPal-Konten für Betrug und Geldwäsche erspart.

Sehr Geehrter Kunde,

Das ist mal wieder genau mein Name!

aus Sicherheitsgründen wurde Ihr PayPal-Konto deaktiviert.

Ah ja. In der Tat, ein deaktiviertes Konto ist sicher… :mrgreen:

Und warum wird es nun gesperrt?

Grund dafär sind wiederholt vom Sicherheitssystem verzeichnete,
auffällige Aktivitäten bgzl. Ihrer Kontennutzung. Wir bitten daher um Bestätigung der bei uns hinterlegten Daten, um erneute Aktivierung Ihres PayPal-Kontos vornehmen zu können.

Ah ja, weil es von mir genutzt wird. Und um die Sperrung aufzuheben, soll ich einfach sämtliche von mir bei PayPal angegebenen Daten noch einmal bei PayPal angeben, obwohl jemand, der sich meines Kontos ermächtigt hat, Einblick auf diese Daten hätte oder sie sogar verändern könnte. Das ist purer Sicherheits-Bullshit, wie er von PayPal niemals kommen könnte, aber sehr wohl von einem Kriminellen, der neues Kontomaterial für seine „Geschäfte“ braucht.

Und, was war jetzt die Auffälligkeit?

Informationen zur Auffälligkeit:

IP: 187.154.21.214
Land: Tunisia
Log In: gescheitert

Eine Anmeldung ist gescheitert. Das ist doch eine gute Nachricht, dass andere nicht aufs Konto zugreifen können, und keineswegs ein Grund, das Konto zu sperren. Mit einer IP, die angeblich aus Tunesien kommt. In Wirklichkeit kommt sie übrigens aus Mexiko. Aber Menschen, die das überprüfen, gehören nicht zur „Zielgruppe“ dieses Verbrechers, der vor allem naive Internetnutzer überrumpeln will, und so hat sich der Spammer auch keine Mühe gegeben, seine Scheinbehauptung ein bisschen überzeugender zu machen. Denn wenn der Spammer sich Mühe geben wollte, könnte er ja gleich arbeiten gehen.

Übrigens: Wenn PayPal wirklich so empfindlich wäre, dass bei solchen „Auffälligkeiten“ Konten gesperrt werden, könnte man PayPal weder anonymisierend über Tor, noch über einen Proxyserver oder ein VPN, noch im Urlaub nutzen, ohne vorübergehend den Zugriff auf sein Konto zu verlieren. Diese Vorstellung ist absurd, und es bedarf nur weniger Sekunden Nachdenkens, um das zu bemerken. Aber wer das durch kurzes Nachdenken vor seinem Klick bemerken kann, gehört nicht zur „Zielgruppe“ dieses Verbrechers… ach, ich wiederhole mich!

Identität bestätigen

Das Linkziel ist wieder über TinyURL maskiert.

Übrigens: Wenn man seine Identität durch einen Klick und ein paar Eingaben „bestätigen“ könnte, brauchte auf dieser Welt niemand mehr Ausweise und Pässe; der extreme Aufwand, mit dem man diese Papiere herstellt und fälschungssicher macht, könnte einfach eingespart werden.

Diese Spam wurde automatisch erstellt und bleibt daher ohne Grußformel oder vergleichbare simulierte Höflichkeit patzig. Und jetzt mach schon…

Detail aus der Spam: Bild eines Mannes, der angespannt an seinem Klappcomputer sitzt, mit dem Text 'PayPal Verifizieren' darunter.

…und verifizier PayPal! Egal, wo du gerade bist! Je panischer und gedankenloser du das machst, desto besser für die Verbrecher, die dir diese Phishing-Spam ins Postfach gemacht haben.

Und vor allem: Verifizier PayPal! Nicht etwa dich und deine Daten gegenüber PayPal! Den Phishing-Text haben die Spammer ja schon fertig, was sollen die sich am Ende ihrer Spam noch anstrengende Gedanken um irgendwelche Details machen… :mrgreen:

¹Digitale Signatur von E-Mail ist keine Raketentechnologie, die viel Aufwand erfordert. Die dafür erforderliche Software steht frei und kostenlos zur Verfügung. Der Verzicht von Finanzdienstleistern wie PayPal auf die digitale Signatur jeder E-Mail ist eine Förderung des Phishings und der organisierten Internet-Kriminalität, der keinerlei Vorteil gegenübersteht. Angesichts der Verbreitung und langjährigen Renitenz dieser Dummheit fällt es mir inzwischen schwer, nicht an eine verschwörungsartige Absprache (oder Einflussnahme staatlicher Akteure) zu glauben, deren Ziel es ist, die Verbreitung wirksamer, nützlicher und unentbehrlicher kryptografischer Methoden mit allen Mitteln zu unterbinden, koste es, was es wolle.

Ihr PayPal-Konto ist eingeschränkt

Mittwoch, 20. April 2016

„Leer“ ist das Wort, „leer“… :D

Von: PayPal <noreply (at) paypal (punkt) de>

Natürlich ist der Absender gefälscht. Diese (relativ gut gemachte) Phishing-Spam hat niemals einen Server von PayPal gesehen.

E-Mail-Adresse
gammelfleisch@tamagothi.de

Hey, Spammer! Die Empfänger-Mailadresse steht bereits im To-Header und ist damit eine völlig überflüssige Angabe. Und auch…

Datum
20.04.2016

…das Datum steht im Header und wird in jeder Mailsoftware angezeigt.

Aber vermutlich glaubst du, dass deine Spam besser und „offizieller“ aussieht, wenn sie möglichst viele in einer E-Mail sinnlose Angaben enthält, die in einem Sackpost-Brief sinnvoll wären.

Sicherheitsmaßnahme

Auch auf die Gefahr hin, mich immer wieder zu wiederholen…

Lieber Kunde

…kennt PayPal einen anderen Namen für seine Kunden als „Lieber Kunde“ und würde diesen anderen Namen in seiner Anrede verwenden. Da die Spammer inzwischen aus diversen Datenlecks viele Zuordnungen von Klarnamen zu Mailadressen haben, ist eine völlig unpersönliche Anrede kein sicheres Erkennungszeichen für jeden Phishing-Versuch mehr, aber wo sie auftritt, ist immer noch klar, dass man es mit Betrügern zu tun hat.

Im Zusammenhang damit, dass angeblich Probleme mit einem Konto vorliegen, sollte das zu sofortigen Zuckungen im Löschfinger führen.

unser Sicherheitsteam musste Ihr Nutzerkonto bedauerlicherweise einschränken. Der Grund dafür ist, dass wir eine verdächtigte Zahlungstransaktion erfasst haben. Dies war also eine reine Sicherheitsmaßnahme.

Aha, ein Bezahldienst schaltet ein Konto ab, weil es zum Bezahlen benutzt wird. Gut zu wissen. :D

Und was kann man dagegen tun?

Wir bitten Sie deshalb Ihre Daten binnen 7 Tagen zu bestätigen, damit Sie Ihr Konto wie gewohnt weiter nutzen können.

Richtig: „Seine Daten bestätigen“. Also: Dem angeblichen „PayPal“ der Spammer lauter Daten mitteilen, die das richtige PayPal schon längst kennt. Und damit man das auch ja richtig macht, wird es hier noch einmal erklärt:

Was muss ich jetzt machen?

  • Folgen Sie dem Button [sic!]
  • Verifizieren Sie sich
  • Sie können Ihr Konto uneingeschränkt nutzen

Zur Überprüfung

Man soll „dem Button folgen“. Klingt ja auch viel besser als „auf einen Link in einer E-Mail klicken“, ist aber genau das. Genau genommen klingt es nicht einmal besser, sondern einfach nur dümmlich. Dieser Link führt nicht etwa zu PayPal, sondern zum URL-Verlängerer (Ja, die Welt ist so reif!) megaurl.co, der dann zu einer Website in die Domain paysecuree (punkt) com weiterleitet. Diese Domain…

$ whois paysecuree.com | grep -i '^registrant'
Registrant Name: James Axxxxx
Registrant Organization: N/A
Registrant Street: Oxxxxx 20   
Registrant City: Ede
Registrant State/Province: Other
Registrant Postal Code: 6xxxGK
Registrant Country: NL
Registrant Phone: +31.068416xxxx
Registrant Phone Ext: 
Registrant Fax: 
Registrant Fax Ext: 
Registrant Email: aledax23@gmail.com
$ _

…gehört nicht PayPal und hat nichts mit PayPal zu tun. Ich habe ein paar Dinge unkenntlich gemacht, obwohl es offen zugängliche Daten sind, weil ich davon ausgehe, dass hier die Identität eines anderen Menschen missbraucht wird. Der Mensch mit dieser Anschrift tut mir leid, denn er wird wegen der asozialen Kriminalität anderer Leute eine Menge Ärger und Laufereien bekommen, auf die ein Mensch gut verzichten kann. So etwas ist übrigens auch ein Grund, weshalb man immer sparsam mit seinen persönlichen Daten umgeht und sie nicht überall eingibt, wo man sie eingeben kann. Auch nicht für eine Handvoll Glasperlen… ähm… für einen kostenlos nutzbaren Dienst im Web oder für eine kostenlos nutzbare App oder dergleichen. Und auch nicht bei Anbietern, die „seriös“ aussehen, denn das Wichtigste beim Betrug ist nun einmal ein „seriöses“ Aussehen.

Diese Webseite, die nicht von PayPal ist und die übrigens den Titel „Ihr Konto wurde vorübergehend eingefroren“ trägt, sieht übrigens so aus:

Screenshot der Phishing-Seite

Sie funktioniert übrigens nicht ohne Javascript. Wer – wie ich es unbedingt empfehle – nicht jeder dahergelaufenen Seite in einem anonymisierenden, technischen Medium das Ausführen von Code im Webbrowser gestattet, sondern dieses Privileg nur ausgewählten Seiten geben möchte und deshalb ein scheinbar „unbequemes“ Browser-Addon wie NoScript verwendet und PayPal die Ausführung von Javascript erlaubt hat, bemerkt spätestens beim Nichtfunktionieren dieser Seite, dass etwas nicht stimmt.

Aber vermutlich ist niemand, der sich auch nur rudimentäre Gedanken um Computersicherheit macht, so weit gekommen. Es gibt vorher genug Alarmzeichen, obwohl die Spam zugegebenermaßen gut gemacht ist:

  1. Die Spam geht an willkürlich eingesammelte Mailadressen. Wer für einen Dienst wie PayPal eine eigene Mailadresse verwendet, die nirgends anders verwendet wird und deshalb nicht „eingesammelt“ werden kann, merkt sofort, dass etwas nicht stimmt.
  2. PayPal versendet solche E-Mails mit Klickmich-Aufforderung nicht.
  3. PayPal spricht seine Kunden persönlich an.
  4. Jeder Mensch, der weiß, dass man gegenüber E-Mail gar nicht misstrauisch genug sein kann, klickt nicht in die Spam, sondern ruft die PayPal-Website auf und meldet sich dort ganz normal an. Wenn dabei kein Problem angezeigt wird, ist unmittelbar klar, dass die E-Mail eine Spam ist.
  5. Ein PayPal-Link, der nicht in die Website von PayPal geht, ist hochverdächtig.
  6. Ein paar Formulierungen – insbesondere dieses „Folgen Sie dem Button“ statt einer Form von „Click here“, die immer häufiger von Spamfiltern aussortiert wird – sind doch ein bisschen zu lächerlich, um echt sein zu können.

Mit freundlichen Grüßen
Ihr Team für Kundensicherheit

Ja, ihr mich auch mal!

Copyright © 1999-2016 PayPal. Alle Rechte vorbehalten. PayPal (Europe) S.à r.l. et Cie, S.C.A., Société en Commandite par Actions. Eingetragener Firmensitz: 22-24 Boulevard Royal, L-2449 Luxembourg RCS Luxembourg B 118 349.

Nein, diese Spam kommt natürlich nicht von PayPal. Aber weil ich das immer wieder sage, sage ich es auch hier, und zwar mal mit etwas deutlicheren Worten: Wer „geistiges Eigentum“ auf den massenhaft reproduzierten Standardtext einer E-Mail proklamiert, macht sich lächerlich und stellt sich selbst als Vollidiot dar. Unter einem Brief, der mit der Sackpost an seinen Empfänger zugestellt wird, würde auch niemand so einen hirnlosen Rotz schreiben, wenn er mehr Intelligenz als eine frisch amputierte Laborratte hat und die Intelligenz der Leser seiner Briefe nicht gerade offen verachten möchte. Unter einer E-Mail ist es genau so dumm. Und diese Dummheit ist nicht die Dummheit von Spammern, sie ist direkt von PayPal abgeschaut, denn es ist die Dummheit PayPals, die man in jeder E-Mail von PayPal „genießen“ darf.

Deshalb noch ein kleiner Nachschlag von mir, in leicht jovialem Ton, der sinngemäß auch auf viele Kreditinstitute übertragbar ist:

Hey, PayPal,

könnt ihr bitte mal mit diesem von jedem Kriminellen leicht über die Zwischenablage zu imitierenden Bullshit mit dem „Copyright“ und dem „All rights reserved“ unter euren E-Mails aufhören, der keinerlei Funktion hat, juristisch bedeutungslos ist und einfach nur so dumm ist, dass es weh tut! Ich wäre euch sehr dankbar dafür.

Stattdessen könnt ihr einfach mal etwas sinnvolles mit euren E-Mails machen. Zum Beispiel könntet ihr damit beginnen, sie digital zu signieren, um den Phishing-Betrügern das Leben wenigstens ein bisschen schwerer zu machen. Technische Verfahren und Software zu ihrer Umsetzung stehen seit rd. 25 Jahren (ja, das ist ein Vierteljahrhundert, also ungefähr fünfzig Erdzeitalter der Informationstechnik) jedem zur Verfügung, der sie nutzen will, und inzwischen sogar Frei und kostenlos. Wenn ihr dann auch noch euren Kunden erklärtet, was eine digitale Signatur ist, warum eine digitale Signatur bei der Nutzung eines Mediums, in dem jeder seinen Absender fälschen kann, erforderlich ist und wie man die digitale Signatur überprüft (und gegebenenfalls selbst nutzt) und keine einzige unsignierte E-Mail mehr heraussendetet, hättet ihr fast alles gegen das Phishing getan, was ihr tun könntet – denn es wäre nicht mehr möglich, eine Mail von euch zu fälschen.

Wenn ihr digitale Signaturen nutztet, hätten sich viele Probleme erledigt.

Dass ihr das nicht tut, obwohl es praktisch keine Kosten verursachte, zeigt, dass ihr es nicht tun wollt. Und dass ihr das nicht tun wollt, zeigt, dass euch die Sicherheit des Zahlungsverkehrs eurer Kunden scheißegal ist, denn sonst würdet ihr Betrugsmöglichkeiten im Keim ersticken, wenn es nahezu kosten- und aufwandslos möglich wäre.

Ich hoffe, dass jeder eurer Kunden daraus die richtigen Schlüsse ziehen kann.

Ich hoffe ferner, dass ihr für diese eure Fahrlässigkeit einmal haftbar gemacht werdet und die dadurch bei anderen Menschen angerichteten Schäden erstatten müsst.

Ich befürchte aber, dass ich das nicht mehr erlebe.

Statt, dass ihr euren E-Mails etwas sinnvolles hinzufügt, nämlich eine digitale Signatur, fügt ihr ihnen etwas sinnloses hinzu, nämlich einen Hinweis, dass ihr für das großartige „Werk“ den vollen Schutz des „geistigen Eigentums“ beansprucht.

Ihr macht euch damit zu Freunden der Phisher. Aus Dummheit.

Nur, ums euch mal gesagt zu haben.
Der Nachtwächter

auffallige Aktivitaten

Samstag, 20. Februar 2016

Und ein auffälliger Mangel an Umlauten.

Von: „PayPal Deutschland“ <bray (punkt) james (at) no (strich) army (punkt) kiev (punkt) ua>

Komm Spammer! Wenn du schon den Absender fälschst… :D

19.02.2016

Ja, dieses Datum hatten wir gestern tatsächlich. Das ist zwar eine überflüssige Angabe, weil das Datum sowieso in den Mailheadern steht, aber immerhin ist es richtig. Und Richtiges in einer Spam ist ja keine Selbstverständlichkeit.

Sehr geehrte/r Kunde/in,

Der Absender kennt – im Gegensatz zum echten PayPal – keinen Namen und weiß nicht einmal, ob er es mit Männlein oder Weiblein zu tun hat.

Bitte unterstützen Sie uns dabei, Ihr PayPal-Konto wieder in Sicherheit zu bringen. Bis dahin haben wir den Portal zu Ihrem PayPal-Kundenkonto vorübergehend eingeschränkt.

So so, „in Sicherheit bringen“. :mrgreen:

Wo liegt das Sachverhalt?

Bei Ihrer letzten Meldung sind uns auffällige Vorgänge aufgefallen.

Aha! :mrgreen:

Was mache ich umgehend?

Bitte verifizieren Sie sich über folgenden Button durch einen Abgleich Ihrer Informationen als rechtmäßiger Inhaber. Nachfolgend können Sie Ihr Paypal-Konto wieder uneingeschränkt gebrauchen:

Hier klicken

Der Link geht natürlich nicht zur Website in der Domain von PayPal, sondern in die deutlich weniger Vertrauen erweckende Domain payalready (punkt) com, die…

$ whois payalready.com | grep '^Creation'
Creation Date: 2016-02-11T22:22:18Z

…gerade erst vor neun Tagen eingerichtet wurde. Natürlich anonym, über einen Whois-Anonymisierer aus dem trockenen, warmen Australien.

Was immer man dort an Daten eingibt, geht direkt an Kriminelle.

Mit freundlichen Grüßen

Ihr Team von PayPal Deutschland

Wenn das die Freundlichkeit ist…

Sie möchten mit uns Kontakt aufnehmen?
Unsere Kundenhotline erreichen Sie unter 0180 500 88 xx
(Mo.-Fr. 8.00 bis 21.30 Uhr und Sa.-So. 9.00 bis 19.30 Uhr. Für Anrufe aus dem Festnetz fallen maximal 14 Cent/Min. an, aus Mobilfunknetzen sind es maximal 42 Cent/Min.)

Hier finden Sie weitere Informationen:
Online-Shops | Sicherheit | Passwort vergessen

Oh, toll: Links auf „weitere Informationen“, die gar nicht erst funktionieren.

Helfen Sie uns, Paypal noch besser, einfacher, übersichtlicher und sicherer zu machen.

Gern doch, PayPal. Fang doch mal damit an, deine richtigen Mails digital zu signieren und deine Kunden immer wieder darüber aufzuklären, was eine digitale Signatur ist und wie man diese überprüft! Damit könntest du dem dummen Phishing, wie es auch hier vorliegt, einfach nach und nach den Boden unter den Füßen wegziehen. Und das Beste daran: Für diesen signifikanten Zugewinn an Sicherheit musst du praktisch kein Geld investieren. Die Software, die du dafür brauchst, ist Frei und seit zwei Jahrzehnten für jeden verfügbar, der sie nutzen will. Der einzige Grund, weshalb du das nicht machst, PayPal, kann nur sein, dass dir die Schäden bei deinen Kunden scheißegal sind. Du, PayPal, du bist die Kriminalität, denn du arbeitest ihr seit Jahren zu.

Copyright © 1999–2012 PayPal. Alle Rechte vorbehalten. PayPal (Europe) S.à r.l. et Cie, S.C.A., Société en Commandite par Actions. Eingetragener Firmensitz: 22–24 Boulevard Royal, L-2449 Luxembourg RCS Luxembourg B 118 349.

Oh, das „Copyright“ auf diese Drecksmail ging nur bis 2012… :D

Ach! Entf!

Diese Spam der Gattung „schlecht gemachtes, mieses Phishing“ ist ein Zustecksel meines Lesers S.W.

Sie können im Moment leider nicht mit PayPal bezahlen.

Mittwoch, 27. Januar 2016

Danke für den Punkt am Ende des Betreffs, den Menschen beinahe nie setzen würden, Spammer jedoch sehr häufig. Er erleichtert die Spamfilterung enorm.

Von: <promo (strich) support (at) register (punkt) it>

Weia, Spammer! Wenn du schon den Absender fälschst, dann könntest du doch wenigstens einen aus der Domain paypal (punkt) com nehmen.

Guten Tag,

Ich heiße aber „Hallo“.

Sie können im Moment leider nicht mit PayPal bezahlen.

Das hast du schon im Betreff gesagt.

Am 02. jan 2016 haben wir versucht, 23,30 EUR von Ihrem Bankkonto mit den Endziffern x-xx 91 abzubuchen.

So so, ein Problem mit dem Konto mit den Endziffern xxx91 bei der Bank ohne Namen. Immerhin, bei jedem hundertsten Empfänger trifft wenigstens das zu, und mancher mag sogar die komische Schreibweise übersehen. Da kann man dann glatt vergessen, dass man nur „Guten Tag“ heißt.

Wir haben eine automatische Antwort von Ihrer Bank erhalten, aus der hervorgeht, dass die Überweisung nicht abgeschlossen werden konnte.

Oh, diese Banken, die immer automatisch antworten!

Daher haben wir dieses Bankkonto aus Ihrem Konto entfernt.

Na, wenn ihr meint.

Bitte klicken Sie auf „Aktualisierung“ und bestätigen Sie sich durch einen Abgleich Ihrer Daten als rechtmäßiger Inhaber. Im Anschluss können Sie Ihr Paypal-Konto wieder uneingeschränkt nutzen.

Aktualisierung

Der Link geht natürlich nicht zu PayPal, sondern in die Domain deutch (punkt) 890m (punkt) com, deren Name vermutlich seine Ursache darin hat, dass der Spammer sich nicht so sicher war, wie man „deutsch“ schreibt. :D

Zu schade, dass PayPal offenbar die Rechnung für das kostenlose Hosting nicht bezahlt hat und dass der Hoster die Phishing-Seite schon entfernt hat – ich mache doch so gern Screenshots von diesen Versuchen. Trotzdem: Ein Danke an Hostinger! Wenn es immer und überall so schnell ginge, könnten schon viel weniger naive und unerfahrene Menschen auf solche Betrugsnummern reinfallen.

Grundsätzlich gilt: Niemand „bestätigt sich als rechtmäßiger Inhaber“, wenn er PayPal gegenüber lauter Dinge noch einmal angibt, die PayPal schon längst kennt. Die Geschichten in Phishing-Mails sind sehr durchschaubar, wenn man sich nicht in Panik versetzen lässt, sondern kurz nachdenkt. Leider scheinen sie immer noch oft genug zu funktionieren, so dass sich Phishing für die Kriminellen lohnt.

Wir entschuldigen uns für mögliche Unannehmlichkeiten.

Oh, das ist aber nett! :D

Mit freundlichen Grüßen
Ihr Team von PayPal

Freundlich wie ein Strafzettel
Dein Phishing-Spammer

Copyright © 1999–2016 PayPal. Alle Rechte vorbehalten.

Nein, einen Server von PayPal hat diese Mail niemals gesehen.

Konto-Status

Dienstag, 19. Januar 2016

Nein, diese E-Mail kommt nicht von PayPal. Sie hat niemals einen Server von PayPal gesehen. Es handelt sich um Phishing. Wer Daten eingibt und absendet, übergibt sie an Kriminelle.

Von: service (at) paypol (punkt) co

Fast richtig!

Hey Spammer, wenn du schon einen Absender fälschst, kannst du es auch gleich richtig machen. Ach, da bist du zu doof für?! Oder du weißt gar nicht, dass das geht?! Gut so!

Lieber PayPal Kunde,

Genau mein Name! :mrgreen:

Aufgrund der jüngsten betrügerischen Aktivitäten haben wir ein neues Online-Sicherheitssystem für den maximalen Schutz der persönliche Daten unserer Kunden gestartet.

Wie, PayPal hat betrogen?! :mrgreen:

Nach dieser Tatsache, wird Ihnen angeboten, ihr PayPal-Konto zu aktualisieren.

Aha, die programmieren sich da einen zurecht, aber sie sind nicht dazu imstande, einfach mal ein paar Daten zu konvertieren (zumal sie das mit an Sicherheit grenzender Wahrscheinlichkeit gar nicht müssten), und deshalb muss man alles noch einmal eingeben. Sehr glaubwürdig!

Um Ihr PayPal-Konto zu aktualisieren, liegt Ihnen in Ihrer E-Mail Adresse ein Formular zur Verfügung.

Tja, im Rest der deutschsprachigen Welt spricht man von einem Mailanhang. :D

Bitte laden Sie das Formular aus, rufen Sie über Ihren Internet-Browser und folgen Sie den Anweisungen auf dem Bildschirm.

So so, „das Formular ausladen“. Das ist mal wieder ein Qualitäts-Spamdeutsch heute!

Apropos Deutsch:

Detail aus dem Mailanhang mit einer nachgemachten PayPal-Loginmaske und einem Button 'New anmelden'.

„New anmelden“ ist nicht die gelungendste aller Eindeutschungen. :mrgreen:

Hinweis: Das Formular muss in einem modernen Browser geöffnet werden, dass JavaScript aktiviert hat. (z.B. Internet Explorer, Mozilla Firefox)

Klar, ganz wichtig! Denn der Spammer schreibt da nicht so gern die Domain seines Phishing-Servers, an den die Daten alle gehen, direkt und im Klartext rein. Sonst kennt den bald jeder Spamfilter. Und das wäre schlecht für das „Geschäft“ des Spammers.

Nach Abschluss dieser Phase wird die Aktualisierung Ihres PayPal-Kontos normal funktionieren.

Vorher übrigens auch. :D

Wir entschuldigen uns für die Unannehmlichkeiten und danken Ihnen für Ihre Zeit.
Für weitere Informationen kontaktieren Sie bitte den Kundenservice.

Oh, wie höflich! Und…

Mit freundlichen Grüßen,

PayPal-Team.

…freundlich sind die auch noch! Aber PayPal ist das nicht.

Warum da nicht ein Link auf eine Phishing-Seite gesetzt wurde, sondern ein Anhang gemacht wurde, obwohl das irgendwie verdächtig aussieht? Ganz einfach: Selbst bei Menschen mit restriktiv konfiguriertem Browser gibt es oft Ausnahmen für lokale Dateien.

PayPal würde das übrigens niemals so machen. Warum nicht? Aus Sicherheitsgründen. Was das mit Sicherheit zu tun hat? Ich will es mal so sagen: Hier könnt ihr überprüfen lassen, ob euer PayPal-Passwort sicher genug ist.

Wer drauf reingefallen ist, hat das Wichtigste schon gelesen – für alle anderen: Ein Passwort ist eine Sicherheitsmaßnahme, die nur dann funktioniert, wenn das Passwort ausschließlich dort verwendet wird, wo es Zugang gewähren soll und niemals irgendwo anders. Im Falle des PayPal-Passwortes ist das die Login-Seite auf der Website von PayPal. Und sonst nirgends. Niemals! Wenn das Passwort nur ein einziges Mal an einer anderen Stelle eingegeben wurde, ist es als kompromittiert zu betrachten und sollte sofort geändert werden.

Eigentlich eine Banalität und Selbstverständlichkeit.

Aber eben auch eine der wichtigsten Maßnahmen für die Sicherheit bei passwortgeschützten Diensten.