Schlagwortarchiv „PayPal“

Wichtig: Ungewöhnliche Aktivitäten in Ihrem Konto

Dienstag, 3. Dezember 2013

Wie jetzt, bewegt sich das Konto? Beginnt es zu singen? 😀

Loggen Sie sich so bald wie möglich in Ihr Konto ein
Guten Tag!

Ich habe keine Ahnung, wie du heißt.

Wir haben in Ihrem Konto ungewöhnliche Aktivitäten festgestellt. Loggen Sie sich bei Konto ein,
um Ihre Identität zu bestätigen. Solange uns diese Informationen nicht zur Verfügung stehen, ist
Ihr Zugang zu vertraulichen Kontofunktionen eingeschränkt. Wir möchten Ihren Zugang
schnellstmöglich wiederherstellen und entschuldigen uns für diese Unannehmlichkeit.

Ich habe nicht verstanden, dass man in einer HTML-formatierten E-Mail nicht am Ende jeder Zeile einen Zeilenumbruch machen muss, und dass es ziemlich mies aussieht, wenn man es dennoch tut und damit den Mailclient daran hindert, den Text einfach an die Fenstergröße angepasst umzubrechen. Dieser ganze Technikkram ist mir ein bisschen fremd, ich benutze den nur zum Spammen. Ich habe auch kein Problem damit, zu sagen, dass du „deine Identität bestätigst“, wenn du irgendwelche Daten in irgendwelche Felder in einer Webseite eingibst; ganz so, als könnte sich dabei nicht jeder als Angela Merkel ausgeben.

Was ist los?

Auch ansonsten bin ich sprachlich stilsicher und niemals um eine kecke Formulierung verlegen.

Wir haben in Ihrem Konto ungewöhnliche Aktivitäten festgestellt. Das sollten Sie tun Loggen Sie
sich so bald wie möglich in Ihr Konto ein. Wir bitten Sie möglicherweise, Informationen zu
bestätigen, die Sie beim Eröffnen Ihres Kontos angegeben haben. So wird sichergestellt,
dass Sie der Kontoinhaber sind.

Dafür vergesse ich manchmal ein paar Satzzeichen. Das macht aber nichts, denn wer hier immer noch keine Zuckungen im Löschfinger bekommen hat, der bemerkt das vermutlich nicht. Vielleicht ist sogar der eine oder andere so doof und glaubt, dass er seine „Identität bestätigt“, wenn er nach einem Klick in eine obskure E-Mail seine Kreditkartennummer, seinen Namen und sein Geburtsdatum eingibt, obwohl die Bank das alles schon längst kennt.

Ach ja, der Link:

Klicken Sie auf den nachfolgenden Link:

Schützen Sie Ihr Konto

Ich hbae mir heute extra für meine Phishing-Spam einen anderen Linktext als dieses dümmliche „Klicken sie hier“ ausgedacht.

Der Link führt in eine längliche Subdomain der Domain p4ym3 (punkt) com, und dort gibt es eine „liebevoll“ nachgestaltete PayPal-Loginseite. Nachdem man mir die PayPal-Logindaten gegeben hat, kann man in einem zweiten Schritt die Kreditkartennummer, die Gültigkeit der Karte, die Prüfnummer, die Kontonummer, das Geburtsdatum und die Postleitzahl angeben. Den Namen kriege ich durch einen Login bei PayPal raus. Danach kann ich tatsächlich „eine Identität bestätigen“, und zwar eine andere als meine. Das kommt mir bei meinen kriminellen „Geschäften“ sehr entgegen – und glaub mir: Das Geld anderer Leute gibt sich viel einfacher aus als das eigene.

Wie geht es nun weiter?

Lassen Sie uns Ihr Konto gemeinsam wiederherstellen. Nachdem Sie alle Schritte durchgeführt
haben, antworten wir Ihnen innerhalb von 72 Stunden.

So, jetzt noch was mit „gemeinsam“, und zum Schluss noch einmal…

Viele Grüße

…ein Winke-winke vom knalldoofen Spam-Autor, der sich sicher ist, dass auch dieses Mal wieder zehn bis zwanzig naive, unerfahrene Leute drauf reinfallen.

Paypal Konto Zugang!

Freitag, 8. November 2013

Die folgende Spam aus der glibbrigen Hölle des Spamfilters wird ohne Kommentar zitiert:

Fortsetzung blockiert !

PayPal – Bitte bestatigen Sie Ihre personlichen Daten

Hallo

Im Rahmen unserer Mabnahmen zur Gefahrenabwehr, regelmabig Bildschirm Aktivitat PayPal.
Wir bitten um Informationen uber Sie aus dem folgenden Grund :

Unser System erkannt ungewohnliche Gebuhren fur eine Kreditkarte in Verbindung mit Ihrem PayPal-Konto.

Dies ist die letzte Mahnung, sich bei PayPal. Dies ist die letzte Erinnerung an bei PayPal anmelden. Sobald Sie
den Zugang werden wir Mabnahmen, um
den Zugang zu Ihrem Konto wieder.

Einmal verbunden, folgen die Schritte zur Aktivierung Ihres Kontos !
Vielen Dank fur Ihr Verstandnis, da wir der Account-Sicherheit zu gewahrleisten arbeiten.

Das Verfahren ist sehr einfach :

Klicken Sie auf den Link unten, um einen sicheren Browser offnen.
Bestatigen Sie, dass Sie der Inhaber des Kontos sind und folgen Sie den Anweisungen.

http (doppelpunkt) (doppelslash) paypal (punkt) de (punkt) cgi (strich) bin (punkt) webscr (punkt) cmd (strich) login (strich) submit (punkt) dispatch (punkt) verified (strich) pp (strich) check (punkt) com (slash) cgi (strich) bin0 (slash)

Bitte nicht auf diese Nachricht antworten. Die Nachrichten unter dieser Adresse eingegangene werden nicht
gelesen und deshalb erhalten keine
Antwort. Um Hilfe zu erhalten, Zeichen in Ihr PayPal-Konto und klicken Sie auf den Link Hilfe in der oberen
rechten Ecke jeder PayPal-Seite.

Mit freundlichen Gruben
PayPal Account Review Department

Copyright (c) 1999-2013 PayPal. Alle Rechte vorbehalten.

Aber ich sende gern die freundlichen Gruben zurück!

Wichtig : PayPal Mitteilung

Samstag, 5. Oktober 2013

Muss wohl wichtig sein, wenn schon im Betreff steht, dass es wichtig ist…

Das wirklich Wichtige allerdings vorab: Diese ziemlich „gut“ gemachte Phishing-Mail mit dem gefälschten Absender service (at) paypal (punkt) de kommt nicht von PayPal, obwohl der Empfänger namentlich angesprochen wird.

Wenn der Müll dann auch noch an die richtige Mailadresse gegangen wäre, hätte er einen naiven Empfänger überzeugen können – ich habe die Angewohnheit, für jede Sache eine eigene Mailadresse einzurichten, und dieses kleine bisschen Prävention empfehle ich erst recht jedem Menschen, der weniger geübt darin ist, Spam sicher als solche zu erkennen. Seit die Verbrecher große Datenbanken haben, in denen Mailadressen zu Namen zugeordnet sind, seit eine persönliche Ansprache also kein Indiz mehr dafür ist, dass eine Mail auch „echt“ ist, bleibt kaum noch ein anderer einfacher Schutz vor derartigen Phishing-Versuchen. Die Verwendung eines guten Mailclients – ich verwende übrigens den inzwischen etwas „moppelig“ gewordenen Thunderbird – macht es einfach, mit mehreren Mailkonten umzugehen.

Natürlich hat auch diese „gut“ gemachte Phishing-Mail eine Reihe von Formulierungsschwächen, die es einem erfahreneren Spamgenießer ermöglichen, den Müll sicher als Müll zu erkennen. Hier nur eine ganz kurze Auflistung dessen, was mir sofort aufgefallen ist, bevor ich mir die Mail näher anschaute:

Hallo
Eine „unhöfliche“ Anrede, die PayPal mit an Sicherheit grenzender Wahrscheinlichkeit nicht für die Kundenansprache wählen würde. Ich schließe aus dieser Anrede, dass diese Spammer noch keine automatisierbare Methode haben, aus dem Vornamen das Geschlecht des Empfängers zu bestimmen, um „Sehr geehrter Herr“ oder „Sehr geehrte Frau“ vor den Namen setzen zu können.
im Rahmen unserer aktuellen Identitätsprüfungen
Wie sollte eine Unternehmung, die nichts weiter als verifizierte Kontodaten hat, „Identitätsprüfungen“ durchführen? Das ist Bullshit.
bezüglich Ihres PayPal-Kontos
Eine steife, papierhaft klingende Formel, die den spröden Charme eines Strafzettels verbreitet. Unwahrscheinlich, dass so etwas im Kundenkontakt verwendet wird.
Sie als eindeutigen Inhaber zu verifizieren
Das wäre zwar mit einem Ausweisdokument oder einer notariell beglaubigten Kopie eines solchen möglich, aber nicht mit ein paar Eingaben in einer Website. Übrigens könnte bei solchen Vorwänden in Zukunft den Phishern der „elektronische Personalausweis“ sehr entgegenkommen, weil er die Idee einer Identitätsprüfung über eine Website plausibler macht. Eine von technisch unbeleckten Innenministern eingeführte „Sicherheit“ über ein maschinenlesbares Dokument könnte also der organisierten Kriminalität direkt zuarbeiten und für weniger Sicherheit sorgen.
Bitte klicken Sie auf "Konfliktlösungen"
So etwas würde – wenn es das gäbe – vermutlich in einer Weise benannt, die nicht beim Kunden den Eindruck eines „konfliktträchtigen“ Daseins als Kunde erweckt. Ich möchte den Spammern, die hier mitlesen, jetzt aber keine Formulierungshilfe geben… 😉
Dort ist ganz genau beschrieben, weshalb wir diese Prüfung durchführen
War in der E-Mail etwa kein Platz mehr dafür?

Es ist also immer noch möglich, trotz namentlicher Ansprache durch entspanntes, gründliches Lesen zu erkennen, dass es sich mit hoher Wahrscheinlichkeit nicht um eine E-Mail von PayPal handelt.

Wenn man dann noch das unbedingt empfehlenswerte Quäntchen Vorsicht aufbringt, vor dem Klick auf einen Link in die Statuszeile seiner Mailsoftware zu schauen, wohin dieser Link überhaupt geht, fällt auf, dass er nicht in die PayPal-Website geht, sondern zum mir bislang unbekannten URL-Kürzer nvlx (punkt) de. PayPal hat – im Gegensatz zu kriminellen Spammern – keinen objektiven Grund, seine eigene Domain in einer E-Mail auf diese Weise zu verschleiern, so dass es sich um ein sehr deutliches Alarmsignal handelt.

Über nvlx (punkt) de gibt es dann eine Weiterleitung in die Domain check (strich) p25 (punkt) net, wo man in einer „liebevoll“ nachgemachten PayPal-Seite gegenüber „PayPal“ lauter Daten angeben kann, die PayPal schon lange kennt – und die in der Spam versprochene Erklärung, warum man das überhaupt tun sollte, gibt es dort natürlich nicht. Inwieweit auf diese Weise eine „Identität“ überprüft werden kann, gehört zu den Fragen, die jeder aufgeweckte Dwölfjährige beantworten kann: Gar nicht.

Einmal ganz davon abgesehen, dass PayPal niemals E-Mails mit der Aufforderung versendet, irgendwelche Bullshit-Verifizierungen zu machen.

Aber es bleibt festzuhalten: Spam mit namentlicher Ansprache ist wesentlich gefährlicher als anonym formulierte. Seit dem ersten personalisierten PayPal-Phishing, das mir untergekommen ist, haben die Spammer eine Menge dazu gelernt. Und sie werden mehr dazulernen, das ist sicher. Sie leben schließlich davon, dass möglichst viele Menschen auf ihre Spam hereinfallen.

Benachrichtigung

Mittwoch, 10. Juli 2013

Abteilung: Zu doof zum Spammen…

Die Mail hat den gefälschten Absender noreply (at) paypal (punkt) de und den unverfänglichen Betreff „Benachrichtigung“.

So weit der gute Teil daran. Natürlich ist der Absender gefälscht, und die Mail hat den Serverpark von PayPal nicht einmal aus der Ferne gesehen, sondern wurde von der IP eines mittelgroßen Dienstleisters aus den Niederlanden versendet. Und weil der Spammer ein bisschen blöd war, ganz so, wie Spammer es meistens sind, steht da auch nicht meine Mailadresse als Empfänger drin, wie dies bei jeder Mail von PayPal der Fall wäre – stattdessen hat der Spammer einfach alle Adressen als BCC: eingetragen. So musste er nicht so lange mit einem Skript rummachen, das für jede Mailadresse einzeln über SMTP eine Mail versendet, sondern wälzte diese Aufgabe auf den Mailserver ab.

Aber das ist Spamalltag, in seiner Dummheit so alltäglich, dass ich es sonst kaum erwähne.

Hier bleibt mir aber keine andere Wahl, als diese Kleinigkeiten zu erwähnen, denn diese minderbemittelte Kurzwelle von Spammer hat bei diesem E-Müll etwas… ähm… nicht ganz so Unwesentliches vergessen: In der Spam fehlt der komplette Text.

„Macht aber nichts“, sagt sich Mitmensch Dumm in seinem Hohlraum, der dort ist, wo normale Menschen ein Hirn haben, „beim nächsten Mal mache ich es richtig. Vielleicht. Denn wenn ich mein Gestrokel auch noch testen würde, bevor ichs aufs Internet loslasse, käme ich ja gar nicht mehr dazu, das ganze ergaunerte Geld auszugeben“.

Informationen bezüglich Ihres PayPal-Kontos

Freitag, 5. Juli 2013

Endlich habe ich auch einmal eine Mail mit einer Klarnamen-Ansprache – und ich kann wegen der verwendeten Mailadresse ganz genau sagen, wo dieser Name herkommt: Er kommt aus dem Impressum einer Website. Die Mailadresse wird von mir an keiner anderen Stelle verwendet.

Die Daten für die Mails mit namentlicher Ansprache scheinen also wirklich aus diversen Quellen zusammengeführt zu werden. Eine Quelle sind dabei gesetzlich erzwungene Angaben auf Websites. Oder, um es mal etwas schärfer zu sagen: Die absurde, in der BRD geltende Impressumspflicht auch auf privaten Websites arbeitet direkt der organisierten Internet-Kriminalität zu. Ob sie darüber hinaus für irgendjemanden irgendeinen Vorteil hat? Außer vielleicht für Abmahnanwälte und sonstige Juratrolle, die nicht extra whois tippen müssen, um eine ladefähige Anschrift zu erhalten?

Ach! 🙁

Ich bitte zu beachten, wie gut diese Phishing-Mail formuliert wurde. Auch ihr Layout entspricht dem, was ein PayPal-Kunde gewohnt ist. Ich halte diese Spam für sehr gefährlich.

Sehr geehrter Herr Elias Schwerdtfeger,

In der Tat, so heiße ich!

im Rahmen unserer aktuellen Sicherheitsprüfungen haben wir bezüglich Ihres PayPal-Kontos einige Unstimmigkeiten entdeckt. Um alle Unstimmigkeiten zu klären, ist es nötig Sie als eindeutigen Inhaber zu ermitteln.

Moment mal, ihr könnt mich anmailen und ihr sprecht von „meinem Konto“, aber ihr haltet es für nötig, mich als „eindeutigen Inhaber“ zu ermitteln. Wegen irgendwelcher nicht einmal angedeuteter „Unstimmigkeiten“ Das klingt jetzt aber doof und wenig überzeugend. Man könnte auch von einer „Unstimmigkeit“ sprechen…

Wie geht es jetzt weiter?

Na, ist doch klar: Ich lösche den Müll. Aber nein, das kann ein Spammer mir doch nicht empfehlen

Bitte klicken Sie auf „Konfliktlösungen“. Dort ist ganz genau beschrieben, weshalb wir diese Prüfung durchführen und welche Informationen wir von Ihnen benötigen.

Konfliktlösungen

Wer auf den Link – der übrigens mit CSS im Stile einer Schaltfläche gestaltet wurde – klickt, landet nicht auf der PayPal-Website, sondern auf einer Site unter der Domain paypal (strich) konflikt45920 (punkt) net.

Die Phishing-Seite ist inzwischen vom Netz. Man hätte dort – genau wie bei früheren Versionen der Phishing-Masche – Gelegenheit erhalten, Kriminellen die Login-Daten zum PayPal-Konto und im zweiten Schritt alle für einen Betrug erforderlichen Kreditkartendaten zu geben. Die Frage, warum man Daten noch einmal eingeben soll, die PayPal schon längst bekannt sind, soll man sich dabei natürlich nicht stellen. Schon nach dem angeblichen „Login“ können die Verbrecher das PayPal-Konto beliebig missbrauchen.

Wer darauf reingefallen ist, sollte sofort sein Passwort ändern und sich mit PayPal in Verbindung setzen. Wer im folgenden Schritt Kreditkartendaten angegeben hat, sollte ebenfalls sofort Kontakt mit seiner kontoführenden Bank aufnehmen und seine Kreditkarte sperren lassen.

Vielen Dank für Ihr Verständnis und Ihre Mithilfe in dieser Angelegenheit.

Herzliche Grüße,
Ihr PayPal-Team

Das ausgesprochen patzig und formelhaft wirkende „vielen Dank“ in einem solchen Kontext ist die letzte Schwäche dieser Phishingmail.

Copyright © 1999-2013 PayPal. Alle Rechte vorbehalten. PayPal (Europe) S.à r.l. et Cie, S.C.A., Société en Commandite par Actions. Eingetragener Firmensitz: 22-24 Boulevard Royal, L-2449 Luxembourg RCS Luxembourg B 118 349.

Nein, diese Spam kommt nicht von PayPal. Aber es ist eine verdammt gute Phishing-Mail, auf die viele arglosere Menschen hereinfallen können.

Übrigens: Würde PayPal (und jeder andere Dienstleister) dazu übergehen, alle seine Mails digital zu signieren, so dass jeder Empfänger in die Lage versetzt wäre, sich davon überzeugen zu können, dass Mails wirklich von PayPal kommen und inhaltlich unverändert sind; würde PayPal (und jeder andere Dienstleister) einen solchen Schritt mit Aufklärung und Unterstützung seiner Kunden in Sachen PGP begleiten, so dass nach kurzer Zeit wenigstens jeder Kunde von dieser Möglichkeit gehört hat… ja, dann würde dem Phishing ganz schnell das Wasser abgegraben, und niemand würde diese Form der Kriminalität vermissen, außer vielleicht drei Handvoll Verbrecher, die nur ihre Mutter liebhaben kann. Aber vermutlich ist PayPal (und jeder andere Dienstleister) mit dem Einsatz einer seit fünfzehn Jahren verfügbaren Technik überfordert und bedarf der kompetenten technischen Unterstützung, und vermutlich ist wegen der Wirtschaftskrise nicht das Geld dafür übrig, kompetente Fachleute für die Implementation einer kryptografischen Signatur der versendeten E-Mail zu bezahlen. Dass PayPal (und jedem anderen Dienstleister) die Kunden und ihre möglichen finanziellen Schäden scheißegal sind, möchte doch niemand annehmen, oder?

Das sähe ja wie Kundenverachtung aus…

Kontoinformаtionen аktuаlisieren

Sonntag, 9. Juni 2013

Absender Paypal mietze911 (at) gmx (punkt) net

Das ist bestimmt wieder eine echte Qualitätsspam! 😀

Natürlich kommt diese Mail nicht von Paypal. Und natürlich ist dieser Absender gefälscht. Aber wenn man schon einen Absender fälscht, könnte man doch eigentlich auch eine halbwegs überzeugende Adresse nehmen, oder? Zu kleinen intellektuellen Leistung dieser Überlegung war der dumme Spammer entweder nicht willens oder nicht imstande.

Lieber Kunde,

Aber so ein lieber Kunde!

Wir аrbeitet [sic!] fortlаufend аn der Gewährleistung der Sicherheit. Dаzu werden die Konten in unserem System regelmäßig überрrüft.

Vor meinem inneren Auge wuselt die „Abteilung für die Gewährleistung der Sicherheit“ ameisenhaft durch den Serverpark PayPals und prüft einfach anlasslos immer wieder zyklisch alle Konten durch. Mit einem Sicherheitsgewährleistungsprüfgerät.

Kürzlich hаben wir Ihr Konto geрrüft und benötigen weitere Informаtionen, dаmit wir Ihnen einen sicheren Service аnbieten können.

Leider sind die Prüfungen so gut, dass man als Kunde etwas davon mitbekommt. Man bekommt nämlich tolle Mails von GMX… sorry… „PayPal“, in denen man dazu aufgefordert wird, „PayPal“ noch einmal lauter Dinge zu sagen, die PayPal schon längst weiß. Vermutlich wird die Datenbank von PayPal zur „Gewährleistung der Sicherheit“ einmal ratzekahl durchgelöscht – nur die Kontostände bleiben erhalten. Und wenn man das nicht tut…

Solаnge uns diese Informаtionen nicht zur Verfügung stehen, ist Ihr Zugаng zu vertrаulichen Kontofunktionen eingeschränkt. [sic!]

…wird der Zugang zu vertraulichen Kontofunktionen eingeschränkt. Ob die wohl so vertraulich sind, dass noch niemand etwas davon mitbekommen hat?

Wir möchten Ihren Zugаng schnellstmöglich wiederherstellen und entschuldigen uns für diese Unаnnehmlichkeit.

Klicken Sie bitte hier um diese Beschränkung аufheben zu können

Der Link führt natürlich nicht zu paypal (punkt) de, sondern auf die Domain 6qt3p6kz (punkt) pe43 (punkt) com, die gleich weniger vertrauenswürdig aussieht. In der URI ist die Base64-codierte Mailadresse des Empfängers enthalten, damit die Spammer auch wissen, dass die Mail ankommt – und um diese Mailadresse in der nach einer Weiterleitung erscheinenden, „liebevoll“ nachgebauten PayPal-Loginseite einzutragen¹:

Screenshot der PayPal-Phishingseite mit der eingetragenen Mailadresse

Natürlich habe ich mir für meinen Test erlaubt, eine andere Mailadresse anzuhängen².

So braucht man nur noch sein Passwort einzugeben und auf „Einloggen“ klicken, um den Verbrechern vollen Zugriff aufs PayPal-Konto zu gewähren.

Aber warum, zum Henker, warum sollte man das tun?

Wаrum ist mein Kontozugriff eingeschränkt?

Ihr Kontozugriff wurde аus dem folgenden Grund eingeschränkt:
Wir möchten überрrüfen, dаß sich niemаnd ohne Ihre Erlаubnis Zugriff zu Ihrem Konto verschаft hаt.

Ach so, deshalb.

Coрyright © 1999-2013. аlle Rechte vorbehаlten.

Eine Spam (oder auch jede gewerbliche E-Mail), die deklariert, dass sie irgendjemandes „geistiges Eigentum“ ist, wirkt gleich mindestens eine Größenordnung lächerlicher – oder wird so ein Hinweis neuerdings auch unter jeden Brief, jeden Kontoauszug, jede Reklame gestempelt?

¹Grundsätzlich ist von jedem Klick in eine Spam abzuraten, denn die Seiten der Kriminellen sind immer gefährlich. Den Screenshot habe ich mit einem Browser in einer virtuellen Maschine gemacht. Eine alternative und sehr sichere Möglichkeit ist die Verwendung eines Webdienstes zum Anfertigen von Screenshots – wer neugierig ist, kann sich damit leicht einen Eindruck verschaffen, ohne dass Kriminelle im Browser rummachen können.

²Wer noch nicht weiß, wie das geht: man 1 base64…

Konto-Status

Donnerstag, 2. Mai 2013

Leer?

PayPal

Ach nein, die schon wieder. Heute sogar mit Link auf die richtige PayPal-Seite, weil das Phishing stattfindet, indem man den Anhang im Browser öffnet, ausfüllt und die Daten an Verbrecher sendet. Allerdings hat diesmal – anders als noch vor ein paar Wochen – auch der Deutschexperte der Phisher einen Blick auf den Text geworfen und den gröbsten Sprachmüll daraus entfernt.

Lieber PayPal Kunde,

Lieber Unbekannter,

Aufgrund der jüngsten betrügerischen Aktivitäten haben wir ein neues Online-Sicherheitssystem für den maximalen Schutz der persönliche Daten unserer Kunden gestartet.

wir nennen uns PayPal. Und wir haben eine technische Änderung durchgeführt. Wir haben jetzt ein neues Online-Sicherheitssystem, das funktioniert, indem man eine Mailadresse und ein Passwort eingibt – also genau so wie das alte.

Nach dieser Tatsache, wird Ihnen angeboten, ihr PayPal-Konto zu aktualisieren.

Und weil wir so eine große, unwälzende und vor allem fantastische technische Änderung gemacht haben, haben sie ein Problem und bekommen von uns das Angebot, etwas tun zu müssen. Tatsache ist, dass das eine der dümmsten „Begrüdungen“ ist, die mir als Phisher einfallen konnten. Oder sind sie schon einmal mit ihrem Personalausweis zur Sparkasse gegangen, weil dort eine interne Software angepasst wurde?

Um Ihr PayPal-Konto zu aktualisieren, liegt Ihnen in Ihrer E-Mail Adresse ein Formular zur Verfügung.

Auch mein Deutschexperte weiß leider nicht, wie man in einigermaßen verständlichen und wohlklingendem Deutsch beschreibt, dass die Mail einen Anhang hat. Er ist halt genau so ein Experte wie ich und…

Bitte laden Sie das Formular aus, rufen Sie über Ihren Internet-Browser und folgen Sie den Anweisungen auf dem Bildschirm.

…deshalb der Meinung, dass „ausladen“ der richtige Terminus für das Speichern eines Mailanhanges ist.

Hinweis: Das Formular muss in einem modernen Browser geöffnet werden, dassJavaScript aktiviert hat. (z.B. Internet Explorer, Mozilla Firefox).

Ich bin ja selbst so ein Spezialexperte. Deshalb habe ich das Wort „JavaScript“ mit dem Download-Link auf die Laufzeitumgebung für Java verlinkt. Das klingt so ähnlich, und ich habe mir leider nicht genug technisches Verständnis angeeignet, um eine im Browser laufende Skriptsprache von einer plattformunabhängigen Programmiersprache unterscheiden zu können. Das macht aber nichts, denn wer meiner holprig formulierten Spam Glauben schenkt, der weiß so etwas auch nicht.

Warum das mit dem JavaScript so wichtig ist? Na, weil ich lieber nicht direkt in das angehängte HTML-Formular reinschreibe, wo die eingegebenen Daten schließlich hingehen. Solche Betrugsseiten sind ja sonst in Windeseile bei jedem Spamfilter dieser Welt bekannt, und mein Betrugsversuch käme gar nicht mehr bei den Opfern an. Stattdessen drücke ich mich lieber ein bisschen indirekter aus:

Ausschnitt aus dem Anhang der Spam mit verborgener Zieladresse für das HTML-Formular

Wer das „dechiffriert“, stellt fest, dass die Daten nicht an PayPal gehen, sondern an die URL http (doppelpunkt) (doppelslash) familyaffair (punkt) co (punkt) za (slash) admin (slash) logout.php in der TLD Sambias. Da hat mein krimineller Kollege von den Crackern nebenan eine Sicherheitslücke ausgenutzt und diesen Server verwenden wir jetzt eben nach Herzenslust für unsere kriminellen Geschäftchen.

[Den Betreiber der Website habe ich eben mit einer Mail unterrichtet. Ich hoffe mal vorsichtig, dass der Mailserver dort nicht auch kompromittiert ist und dass nur eine Sicherheitslücke im dort verwendeten CMS für den Upload einer Datei ausgenutzt werden konnte.]

Nach Abschluss dieser Phase wird die Aktualisierung Ihres PayPal-Kontos normal funktionieren.

Nachdem sie sich nicht darüber gewundert haben, dass „PayPal“ lauter Daten von ihnen wissen will, die PayPal längst weiß und deshalb brav alle Daten zu Kriminellen übermittelt haben, wird ihr PayPal-Konto so gut funktionieren, wie es vorher auch funktioniert hat.

Wir entschuldigen uns für die Unannehmlichkeiten und danken Ihnen für Ihre Zeit.
Für weitere Informationen kontaktieren Sie bitte den Kundenservice.

Wir tun höflich und sind Phishing-Arschlöcher.

Mit freundlichen Grüßen,
PayPal-Team.

Mit mechanischem Lächeln
Dein Phishing-Dummspammer

Copyright © 1999-2013 PayPal. Alle Rechte vorbehalten.

Natürlich wird für jede E-Mail ein Urheberrecht deklariert. Einfach, weil das so irre beeindruckend klingt. Und so professionell.

PayPal (Europe) S.à r.l.et Cie, S.C.A.
Société en Commandite par Actions
Registered office: 22-24 Boulevard Royal, L-2449 Luxemburg
RCS Luxemburg B 118 349
PayPal Email ID PP59

Nein, PayPal hat mit der Mail nichts zu tun…

Dieses kleine Meisterwerk des Phishings ist eine Einsendung von I. M.-S., die es nicht nur mit Mails versteht, eine einfache Spamdose sehr glücklich zu machen. Danke nochmal.

Vorname Nachname, Mitteilung zu Ihrem Kunden-Konto!

Freitag, 19. April 2013

Anstelle von „Vorname Nachname“ steht der Name des Empfängers. Die Mail mit dem gefälschten Absender hilfe (at) paypal (strich) community (punkt) com kommt natürlich nicht von PayPal. PayPal versendet solche Mails nicht:

Im Original stand nach der Anrede „Hallo“ noch der Vorname und der Nachname.

Der Link liegt auf dem etwas peinlichen Schloss und dem Schild mit der Beschriftung „Jetzt lesen“. Er ist über den URL-Kürzer tinyurl (punkt) com maskiert und führt auf eine „liebevoll“ nachgemachte PayPal-Login-Seite in der Domain sslpp (strich) hilfe (punkt) konflikte (strich) kunden (punkt) com:

Dass das nicht die Website von PayPal ist, brauche ich hoffentlich nicht weiter zu erwähnen, und dass die dort angegebenen Anmelde- und Kreditkartendaten direkt in die Hände der organisierten Internet-Kriminalität gehen, sollte auch weniger intellektuell begabten Mitmenschen einleuchten. Wer nur einen einzigen Blick in die Adressleiste seines Browsers wirft, sieht sofort, dass es nicht PayPal ist.

PayPal versendet übrigens niemals E-Mails mit der Aufforderung, irgendwelche Bullshit-Verifizierungen zu machen. PayPal kennt die angegebenen Daten bereits. Die einzigen, die den PayPal-Login, die Postanschrift, das Geburtsdatum, die Bankverbindung und die Kreditkartendaten nicht kennen, sind die Verbrecher, die Identitäten missbrauchen wollen und mit dem Geld anderer Leute ihre „Geschäfte“ machen wollen. Wer auf diese Phishing-Nummern hereinfällt, darf sich nicht nur über sein geplündertes Konto und den folgenden Schriftverkehr mit seiner Bank ärgern, sondern auch über allerhand hässliche Briefe mit Rechnungen und Mahnungen (die bestellten Waren gehen an ebenfalls gephishte Packstation-Accounts) und über jede Menge neuer Bekannter bei Polizeien, Staatsanwaltschaften und Untersuchungsgerichten, die wegen gewerbsmäßigen Betruges ermitteln. In der Folge gibt es zwei bis drei Jahre hässlichen Schriftverkehr, vielleicht die eine oder andere Hausdurchsuchung, Schufa-Einträge, gegen die man vorgehen muss und dergleichen unangenehmes Zeug mehr.

Diese Phishing-Spam ist gut gelungen und durch die Erwähnung des Namens zusätzlich gefährlich. Sie hat allerdings immer noch deutliche Schwächen, die es jedem möglich machen, die Spam zu erkennen:

Vorname und Nachname stehen im Betreff
Es ist objektiv sinnlos, den Empfänger einer E-Mail an seine persönliche Mailadresse im Betreff namentlich anzusprechen. Der Empfänger weiß, dass er gemeint ist, weil die Mail in seinem Postfach liegt. Niemand würde das tun.
Der Betreff ist „komisch“
Ein Zahlungsdienstleister wie PayPal macht also „Mitteilung zu Ihrem Kunden-Konto“? Nicht zum PayPal-Konto? Das „müffelt“ ein wenig. Unternehmen würden darauf achten, dass ihre Kommunikation unmissverständlich ist. Vor allem in Kontexten, in denen es um Geld geht.
Guten Tag Vorname Nachname
So etwas wie „Herr“ oder „Frau“ vor dem Namen fehlt. Kein Unternehmen würde seine Kunden so ansprechen.
Der Absender
Wie peinlich ist das? Einen Absender fälschen, aber dann nicht einmal einen mit einer Adresse @paypal (punkt) com nehmen. Wenn man schon den Absender fälscht…
tinyurl (punkt) com stinkt
PayPal hat es niemals nötig, einen Link auf die eigene Website mit einem URL-Kürzungsdienst zu verschleiern. Kein Unternehmen, das seine Kunden anmailt, hat das nötig. Nur Spammer haben es nötig, um sich mit diesem „Trick“ an den Spamfiltern vorbeizumogeln. Wo der Link hinführt, sieht man übrigens in seiner Mailsoftware, indem man auf die Statusleiste schaut, wenn der Mauszeiger über dem Link ist. Wenn da in so einem Fall nicht die Website des Unternehmens steht, ist es immer Phishing.
Die Bearbeitungsnummer ist überflüssig
Zum Hinweis „Ihr Konto wurde limitiert“ (als ob es das nicht immer irgendwie wäre) gibt es keinerlei Begründung oder auch nur eine Andeutung der Gründe. Weitere Informationen soll man nach einem angeblichen Login erhalten. Die Angabe einer kryptischen Bearbeitungsnummer ist in diesem Kontext für den Empfänger der Mail sinnlos; der gesamte Vorgang könnte und würde direkt auf der Website dargestellt werden. Diese sinnlose Nummer dient also nur zur psychologischen Einschüchterung (du kommst nicht an dein Geld und du bist damit jetzt für uns nur noch eine Nummer). Jedes Unternehmen würde so etwas im Umgang mit seinen Kunden hoffentlich vermeiden. Phishing-Spammer wissen hingegen ganz genau, dass ein bisschen Angst viel Verstand ausschaltet und so unvernünftiges Verhalten fördert, und sie nutzen dieses Wissen.
Mailadresse
Im speziellen Fall dieser Mail haben die Spammer eine Adresse angemailt, die gegenüber PayPal gar nicht verwendet wurde. Wer es sich angewöhnt, für jeden „wichtigen“ Dienst eine eigene, ansonsten völlig unbenutzte Mailadresse zu verwenden, hat sich gegen dieses Phishing erfolgreich geschützt. Der Aufwand für diesen Schutz, der einem schnell einige Jahre juristischen Ärger für einen unbedachten Moment der Unvorsicht ersparen kann, liegt im Bereich weniger Minuten pro eingerichteter Mailadresse und ist damit sehr empfehlenswert. Übrigens kann man diese Phishing-Mail auch bekommen, wenn man gar kein PayPal-Kunde ist.
Der Begriff „Konfliktlösung“ ist seltsam
Welches Unternehmen würde in seiner Kommunikation mit dem Kunden (also nicht intern) einen derartigen Begriff für eine seiner Stellen benutzen? Dieses Wort macht einen recht unvorteilhaften Eindruck eines konfliktträchtigen Daseins als Kunde. Die in die Mail eingebettete, externe Grafik mit diesem Begriff kommt übrigens nicht aus der PayPal-Website, sondern sie wird vom anonym nutzbaren Freehoster image (strich) upload (punkt) de eingebunden. Zurzeit kann sie dort noch betrachtet werden. Meine Abuse-Mail ist schon draußen, und ich hoffe, dass diese Grafik schnell verschwindet. Ich habe in meiner Mail übrigens darum gebeten, die Grafik nicht einfach zu löschen, sondern sie durch eine auffällige Grafik mit einem deutlichen Hinweis auf das Phishing zu ersetzen, um den Schaden durch diese Mails zu beschränken. Dieses Vorgehen werde ich in Zukunft jedem Imagehoster nahelegen, dessen Dienst von solchen Verbrechern missbraucht wird, und ich empfehle das anderen zur Nachahmung. Aber es wäre vermutlich schon viel gewonnen, wenn öfter einmal mit einer Mail auf den Missbrauch anonym nutzbarer Dienste im Web hingewiesen würde…
„Genießer“ merken es in jedem Fall
Wer sich die Mailheader anschaut, bemerkt, dass diese Mail nicht von PayPal kommt. Stattdessen wird im Header die Domain hausrattreff (punkt) de verwendet.

Doch trotz dieser Schwächen: Phishing wird besser. Arglose und unerfahrene Menschen können auf diese Spam hereinfallen. Die namentliche Ansprache macht die Spam gefährlich. Die Spammer scheinen inzwischen eine Zuordnung von Mailadressen zu Namen aus vielen Quellen zusammengestellt zu haben. Derartige Datenbanken sind unter Kriminellen im Umlauf und werden benutzt.

Es wäre an den Geschäftstreibenden im Internet, die Situation zu verbessern. Die konsequente Verwendung digital signierter Mails in der Kommunikation und die Aufklärung der Kunden über Zweck und Nutzung digitaler Signaturen würde den Phishern schon nach kurzer Zeit das Wasser abgraben und einen kriminellen Sumpf mit monströsen Umsätzen vollständig trockenlegen. Warum PayPal nicht digital signiert? Warum es niemand tut? Ich habe darauf nur eine Antwort: Weil die „Sicherheit“ vor allem ein Wort der Werbeabteilungen ist, und nicht etwa ein Streben im Sinne der Kunden. Mittelbar ist jeder Geschäftstreibende, der seine Mail nicht digital signiert, an der Seuche des Phishings und an den Schäden bei seinen von Verbrechern übertölpelten Kunden mitschuldig.

Diese Spam wurde mir von meinem Leser Cassiel zugesendet.

Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.