Oh, wie schön, „PayPal“ schreibt mir mal wieder. Zumindest nennt sich der Absender so, aber seine gefälschte Mailadresse accounts (at) intl0 (punkt) payel (punkt) com kann nicht den Eindruck erwecken, dass es wirklich PayPal ist. Hey, Phisher! Wenn du mit deinem Skript schon Mailadressen fälschen kannst, dann schreib da doch die richtige Domain von PayPal rein!
Ach, du befürchtest, dass dann Rückläufer beim richtigen PayPal landen, dass man dort aufmerksam wird und möglicherweise die Kunden in einer Rundmail vor deinem Betrugsversuch warnt? Na, das verstehe ich ja noch.
Aber das du zu glauben scheinst – ich meine ja nur: wenn du schon einen Namen zur Mailadresse angibst – dass der Betreff einer Mail nicht dafür da ist, kurz zu sagen, um was es überhaupt geht, sondern vielmehr dazu, reinzuschreiben, aus welcher Abteilung die Mail kommt… komm Spammer, das ist wirklich schwach! So etwas macht niemand. Weil es sinnlos ist. So etwas wirst du niemals sehen. So etwas erweckt einen klaren Verdacht, bevor man auch nur irgendetwas anderes in der Mail gesehen hat. Du kriegst vermutlich nicht so oft geschäftliche Mails, ne?! 
Thursday, February 16th, 2012
Immerhin, wenigstens eine zutreffende und wahre Angabe steht in der betrügerischen Spam. Das ist nicht selbstverständlich. 😀
Recently, our system has detected unusual charges to a credit card linked to your PayPal account.
Auf eine persönliche Anrede des Kunden wird ebenso verzichtet wie auf die Angabe der betroffenen Kreditkartennummer – zwei Dinge, die das richtige PayPal vermutlich mitteilen würde, wenn PayPal so etwas mit einer Mail mitteilte.
Access to your account was limited for the following reason:
There are activities of which someone tried to access your PayPal account without your permission. To ensure greater security, we have limited access to your account.
Aber wenn ich eine Kreditkarte oder ein Bankkonto mit einem PayPal-Konto verbunden habe, habe ich das doch selbst gemacht. Das richtige PayPal hat sich dafür ein „tolles“ Verfahren ausgedacht, bei dem zwei geringwertige Transaktionen getätigt werden, deren Höhe man in einem Formular auf der PayPal-Site eintragen muss. So wird sichergestellt, dass das Konto richtig angegeben wurde, und zwar vom Menschen, der da Zugriff auf die PayPal-Verwaltung hat. Jemand anders kann das gar nicht. Weil es nicht möglich ist. Deshalb ist es ja auch nicht geschehen, es wird hier nur behauptet, um ein Problem in den Raum zu stellen und den Empfänger zu erschrecken, damit er möglichst wenig vor den folgenden Schritten nachdenkt. Denn er soll natürlich seine Zugangsdaten an Verbrecher übergeben, damit diese damit betrügerische Geschäfte machen können.
Und hier die tolle Gelegenheit, Verbrechern Zugriff auf die Kreditkarte und das PayPal-Konto zu geben:
We have sent you an attachment which contains all the necessary steps in order to restore your account access. Please download and open it in your browser.
Ein Attachment, das also schon mit der Mail mitgekommen ist, soll ich also runterladen. Großes Kino mal wieder.
Es handelt sich übrigens um eine HTML-Datei, die folgendermaßen aussieht:
Etwas lustig ist es ja schon, dass es hier keine Spur um PayPal geht, sondern nur um die persönlichen Daten (die PayPal bereits bekannt sind, aber eben nicht den Betrügern, sonst hätten sie überzeugender formuliert) und – im Bild nicht sichtbar – die Kreditkartennummer, ihr Ablaufdatum und die verification number. Tolle Daten für eine betrügerischen Missbrauch der Identität und ein paar Bezahlvorgänge mit anderer Leute Kreditkarten bei Betrugsgeschäften. Jedenfalls für die Verbrecher, die diese Daten bekommen. Denn natürlich gehen die Eingaben in dieses Formular nicht an PayPal, sondern an die folgende Internetadresse mit ausgesprochen beachtlicher Domain:
http (doppelpunkt) (doppelslash) kcdcylykuzszutdhgpdfkzwuridgzxjhwjilletzpexsgallti (punkt) spteiqnaskqliliasnqxikcmenmn (punkt) ru (slash) (tilde) jeremy (slash) sslchecker (punkt) php
Ich befürchte, dass diese großartige Domain, die vermutlich von einem auf die Tastatur herumkloppenden Pavian im Zustand fortgeschrittener Hirnverkäsung registriert wurde, hier nicht korrekt dargestellt wird, sondern mit ein paar zusätzlichen Leerzeichen dazu gezwungen wird, nicht das Layout zu zerstören. Aber dass es sich nicht um PayPal handelt, dürfte auch so klar sein… 😉
Das der Text „Secure Transaction“ zusammen mit dem Schloss keineswegs bedeutet, dass die Daten über HTTPS übertragen werden, erklärt sich von selbst.
Ein Kleiner Schlenker in die angehängte HTML-Datei. Hier haben die Phisher sehr „einfallsreich“ kommentiert, vermutlich, weil sie davon ausgehen, dass vielleicht doch mal jemand einen Blick in den Quelltext werfen könnte. Einen HTML-Kommentare in seiner unerreichten literarischen Qualität möchte ich nicht vorenthalten – wer das zu technisch findet, einfach überlesen. Die Kommentarzeichen lasse ich im folgenden Zitat weg, um den Genuss nicht vom Wesentlichen abzulenken (und mich vom Tippen der HTML-Entities abzuhalten):
PayPal Verification System
Destinated Only For Locked Accounts
Na, wenn das im Anhang einer Spam steht, muss es ja wohl stimmen… 😀
Wirklich „schön“, dass hier wirklich für jeden Leser ein bisschen was geschrieben wurde.
Aber wieder zurück zur Spam:
(The locator for this issue is PP-388-572-660)
Diese Angelegenheit befindet sich in der Unimatrix Zero.
We thank you for your prompt attention to this matter. Please understand that this is a security measure intended to protect you and your account. We apologise for any inconvenience.
Zum Abschluss bedanken sich die Betrüger noch einmal, dass es immer wieder Leute gibt, die so angstdoof und unerfahren sind, dass sie auf Phishing reinfallen, obwohl das nicht gerade die neueste Masche ist. Natürlich handelt es sich um eine reine Sicherheitsmaßname, nur zum Besten des Opfers und seines Kontos. Eine kleine Entschuldigung wird auch druntergeklatscht.
Thank you,
PayPal Account Review Department
Nochmal vielen Dank von
Deinen Phishing-Stümpern
