Schlagwortarchiv „Screenshot“

Das neue Merkur webseite! Diese woche erst gestartet

Mittwoch, 14. August 2013

Oh, das verspricht schon im Betreff, eine echte Qualitätsspam zu werden.

Wer glaubt, diese Spam habe irgendetwas mit den Geldspielgeräten der adp Gauselmann GmbH zu tun, hat sich natürlich geschnitten. Es ist eine Spam. Es geht hier nicht um nach BRD-Gesetzen reglementierte Geräte, die von der Physikalisch-Technischen Bundesanstalt überprüft wurden (und an denen der Spieler dennoch auf lange Sicht verliert, weil sie nun einmal nicht vom Weihnachtsmann aufgestellt werden, sondern mit der Absicht, Reibach zu machen); sondern es geht um beliebig manipulierbare und von niemanden kontrollierte Zockhöllen im Internet, die mit irreführender, illegaler und asozialer Spam beworben werden müssen, weil auf anderen Wegen wohl kaum jemand auf die Idee käme, dort sein Geld aufs Spiel zu setzen. Der Begriff „Merkur“ und das im Layout verwendete Gewinnsymbol „Sonne“ wurden von den Spammern einfach benutzt, um einen falschen Eindruck beim Empfänger zu erwecken und ihn bei seinen Spielhallen-, Kneipen- und Restauranterfahrungen abzuholen. Dass dabei und beim Versand der Spams auch der Ruf der adp Gauselmann GmbH in den Schmutz gezogen wird, ist den Verbrechern gleichgültig.

Es handelt sich um eine HTML-formatierte Mail in einer lustigen Verbindung aus bemerkenswertem Layout und stümperhaften Inhalten – dieses Layout sieht man freilich nur, wenn man die Bilder aus dem Internet nachladen lässt. Der größte Teil des Grafikmateriales wird von der Website unter onlineblazingstar (punkt) com nachgeladen. Diese Domain gehört natürlich nicht der adp Gauselmann GmbH, sondern wird über WhoisGuard anonymisiert betrieben, weil ihre Betreiber lieber verbergen wollen, wer sie sind.

Screenshot des Layouts der Spam

Wer seine Mailsoftware vernünftigerweise so konfiguriert hat, dass sie keine in eine HTML-Mail eingebetteten Grafiken nachlädt, sieht nichts vom Layout – und kommt auch nicht in den „Genuss“ des Trackings durch einen klandestin in der Spam verbauten Webbug. Stattdessen wird der ALT-Text des Bildes sichtbar, der schon einen weniger gediegenen Eindruck macht:

Wenn Sie nicht sehen können Diese E-Mail richtig, bitte zeigen Sie die Bilder für diese E-Mail

Und wenn man gar keine HTML-Mail darstellen lässt, bekommt man den folgenden Text zu lesen:

Ihre E-Mail-Client [sic!] kann diese Email nicht lesen.
Um es [sic!] online anzuzeigen, klicken Sie bitte hier:

Den endlosen URI mit eindeutiger ID habe ich nicht zitieren mögen… 😉

Tja, ist halt ein bisschen dumm, wenn man sich nicht auch für solche Details Mühe gibt. Aber ein Spammer, der sich Mühe gäbe, könnte auch gleich arbeiten gehen, und deshalb lässt er das mit der Mühe eben und macht uns die Postfächer mit seinem hirnlosen, kriminellen Zeug voll.

Auf Stake7 spielen Sie die Original Merkur Spiele mit der Sonne!

Aber sooo original!

Die weltweit bekannten und beliebten automaten [sic!] von Merkur sind nun endlich online verfügbar. Ein 3D Spielerlebnis [sic! Deppen Leer Zeichen!] der besonderen Art. Gold of Persia ™, Triple Double Chance ™, Magic Mirror ™ und über 60 weitere spannende Spiele mit riesigen Gewinnchancen erwarten Sie.

Nutzen Sie jetzt Ihre Chance und holen Sie sich bis zu €400!

>> Jetzt spielen!
Viel Glück und spannende Unterhaltung wünscht das Stake7 Team!

Befreit vom Layout-Müll klingt der Text wieder wie die ganz normale Casino-Spam. Der Link auf die Grafik „BONUS ABHOLEN“ oder den Text „Jetzt spielen“ führt in die Domain kurliner (punkt) com, dort gibt es dann eine Weiterleitung zu einer Website in der Domain stake7 (punkt) com – und zwar mit angehängter Affilate-ID, denn dieser Spammer betreibt nicht etwa selbst ein Casino, sondern kassiert nur seine Judasgroschen dafür, dass er andere Leute dorthin treibt.

In der aufwändigen Grafik, die in dieser Mail verbaut wurde, steht ja unter anderem auch die lustige Zusicherung „made in Germany“. Auf der fragwürdigen Internet-Zockhölle, auf die man getrieben werden soll, liest sich das freilich ein bisschen anders:

Stake7 Casino ist im Eigentum der Stake 7 Ltd, San Jose, Costa Rica der und wird betrieben durch Top Gaming Europe Limited unter der registrierten Adresse Clinch-House, Lord Street, Douglas, Isle of Man IM99 1RZ – 138761C und wird von der Isle of Man Gambling Supervision Commission lizensiert. Die Lizenz wurde unter dem Online Gambling Regulation Akt 2001 am 10 Juni 2013 ausgestellt […]

Klingt ja gleich weniger vertrauenerweckend… 😀

Aber es ist ja auch ein mit Spam beworbenes Internet-Casino.

Vorname Nachname, unbesetzte Stelle

Mittwoch, 7. August 2013

Im Betreff stand natürlich ein richtiger Vorname und Nachname.

Absenderadresse dieser HTML-formatierten Drecksmail in HTML-Layout ist eine anonym und kostenlos einzurichtende Mailadresse bei outlook (punkt) com. Das Layout der Mail werde ich hier nicht exakt wiedergeben, sondern kurz mit einem Screenshot verdeutlichen:

Screenshot der HTML-formatierten Mail

Jemand scheint den Spammern gesagt zu haben: „Habt keine Angst vor Farbe“. Aber ich habe schon Schlimmeres gesehen… 😉

Arbeitsangebot für Dich in Deutschland!

Wir haben keinen Namen. Wir kennen dich nicht. Es ist uns egal, wer unsere „Arbeit“ macht. Hauptsache, die Anschrift ist in der BRD.

Hoher Verdienst in kürzester Frist ! [sic!]

Wir stellen Dir zur Verfügung eine leichte Arbeit mit hohem Einkommen ! Die gleichzeitige Ausübung der Arbeit bei uns mit Deiner jetzigen Arbeit ist durchführbar! Für die Beschäftigung bei unserem Unternehmen brauchst Du nicht mehr als 2-3 Stunden Deiner Zeit 1-2 Mal pro Woche . Du wirst von 400,00 bis 1.600,00 EUR für Erledigung jeder Transaktion verdienen. Pro Monat kann Dein Lohn bei uns von 4.000,00 € bis 8.000,00 € betragen .

Wir sind ein Unternehmen, dem leider seine Firmierung entfallen ist. Wir haben für dich eine ungelernte Tätigkeit. Die ist nicht anstrengend und braucht kaum Zeit. Du arbeistest höchstens sechs Stunden in der Woche. Du kannst das locker nebenbei machen. Wir geben dir dafür ein paar tausend Euro im Monat. Und dieser Job geht so schlecht weg, dass wir ihn nur mit asozialer und illegaler Spam loswerden können. Verstehst du? Das ist ein Job für Dumme. Also für Leute wie dich.

Warum das keiner macht? Na…

Arbeitsablauf:

Wir schicken auf Dein Bankkonto von 2.000,00 bis 8.000,00 Euro .

Sobald das Geld auf Deinem Bankkonto ist, hebst Du das Bargeld ab.

Deine Provision beträgt 400,00 – 1.600,00 Euro ! – 20 % von dem überwiesenen Geld kannst Du für Dich behalten!

Die restlichen 80 % von dem erhaltenen Geld sollst Du uns übermitteln .

Wir führen die nächste Geldüberweisung auf Dein Konto in der Bank durch.

Die Beschäftigung bei uns ist absolut gesetzlich und auf dem Territorium der Europäischen Union und Deutschlands zugelassen . Die Beträge und die Anzahl der Geldanweisungen werden mit Deinen Wünschen und Möglichkeiten in Vereinbarung gebracht.

…einfach, weil es sich bei diesem „Job“ um Geldwäsche handelt. Bleib bitte so doof und glaub der Zusicherung eines anonymen Spammers in einer illegalen Spam, dass das legal ist! Frag dich nicht eine Minute lang, warum du Bank spielen sollst und warum wir nicht einfach selbst ein Bankkonto aufmachen, das von seinen Gebühren her deutlich billiger wäre als dein „Job“! Frag schon gar keine Suchmaschine, die dir schnell bessere Informationen gibt als wir! Versuch nicht herauszubekommen, wie die gleiche Masche vor zwei Jahren aussah. Glaub uns einfach!

Oder glaub irgendwas!

Glaub zum Beispiel, dass ein Richter angesichts dieses Textes davon ausgehen wird, dass du arglos warst, wenn du dich wegen des Verstoßes gegen das Kreditwesenkontrollgesetz verantworten musst! Oder dass die Polizei untätig sein wird, wenn die Gelder betrügerischer Aktivitäten auf deinem Konto landen! Oder dass du nicht mehr zivilrechtlich in die Haftung genommen wirst, nachdem du deine Vorstrafe kassiert hast! Wer unsere „Jobs“ macht, kriegt richtig Ärger und erholt sich von den Folgen jahrelang nicht.

Wenn Du an unserem Jobangebot interessiert bist, informiere uns darüber per e-Mail . Wir setzen uns baldmöglichst mit Dir in Verbindung und antworten auf alle Deine Fragen .

Wenn du deinen Einstieg in eine kriminelle Karriere brauchst, schreib uns. Wir erzählen dir gern weitere Lügen.

Beeile Dich, die Anzahl der Stellenangebote ist begrenzt !

Aber mach schnell, mein Auto ist schon wieder drei Monate alt und ich brauche unbedingt einen neuen Hilfsgeldwäscher.

Dieses Jobangebot wird von einem tollen Text gefolgt, der sich nicht an Menschen richtet, sondern für den Spamfilter „Inhalt“ simulieren soll und deshalb weiß auf weiß gesetzt wurde:

Moog adds steering and suspension parts. Underfoot Weavers studio debuts downtown. Medics directed to be courteous to patients. The World’s Oldest Man, 112, Shares His Surprising Secret to Longevity. Doctor Who Peter Capaldi on show’s longevity: It belongs to all of us. Fairchild boy donates money award to Alexis Behlke Memorial Fund. Kansas City Chiefs training camp 2013: Position battle updates in day 10 . Maybe It’s Time to Start Decorating our Air Conditioners With Little Lawns. Industrial accident in Happy Valley-Goose Bay. Alorton, Cahokia post offices closed due to mold. Too Many Drivers On The Sharp End Of Road Rage In NSW […]

Das Zitat umfasst ca. ein Zehntel des Textmülls, der sich zum Müll der Spam gesellt hat.

Diese Spam ist ein Zustecksel meiner Leserin M. K. – und ich bin ein bisschen erstaunt, dass die Spammer fast den unveränderten Text ihrer Masche vom vorletzten Jahr noch einmal ausprobieren. Alles scheint irgendwann wiederzukommen. Warum sollten Spammer auch kreativ sein oder sich Mühe geben? Da könnten sie ja gleich arbeiten gehen…

Fw: 10 EUR Gutschein, GRATIS!

Montag, 29. Juli 2013

Absender ist gutschein (at) gutscheingratis (punkt) com.

Wie, diese Gutscheine liegen so schwer im Regal, dass ihr sie ohne Spam nicht loswerdet?

Guten Tag ,

Wir haben keine Ahnung, wie sie heißen, aber…

Sie erhalten einen kostenlosen 10 EUR Gutschein Ihrer Wahl portofrei zugeschickt.

…wir wollen ihnen ein Geschenk machen.

Bitte geben Sie Ihre Versanddetails ein:
http://www.gutscheingratis.com

Sie können wählen zwischen Tankgutschein, MediaMarkt oder Amazon. Unverbindlich und kostenlos.

Wenn sie solchen Geschenken gar nicht widerstehen können, klicken sie doch mal bitte in eine illegale, asoziale Spam!

Sie gelangen auf eine Website, deren Domain über einen Whois-Anonymisierer betrieben wird und erst vor einer Woche eingerichtet wurde. Laut Impressum wird die Site von einer Limited aus Malta verantwortet, die offenbar Anonymität im Geschäftsverkehr für so wichtig hält, dass sie ihre gewerbliche Website nur mit anoymisierten Registrierungsdaten betreibt. Dort wird ihnen auf der Startseite versprochen…

…dass sie kostenlos und unverbindlich einen frei gewählten Gutschein bekommen können, zusammen mit Fotos einer Aral-Tankstelle, des Einganges einer Media-Markt-Filiale und eines Amazon-Paketes mit Geschenkschleifchen drauf, die einfach aus anderen Websites… ähm… „mitgenommen“ wurden. Das Amazon-Bild stammt hierher, das Media-Markt-Bild hierher und das Bild der Aral-Tankstelle hierher. Ich kann jetzt natürlich nicht ausschließen, dass die obskure maltesische Limited dieses Bildmaterial bei den Rechteinhabern lizenziert hat, aber ich habe angesichts dieses zusammengeklaubten Eindruckes der Quellen doch meine kleinen Zweifel daran. 😉

Alle Bilder fand ich übrigens auf der jeweils ersten Seite einer Google-Bildsuche mit sehr naheliegenden Suchbegriffen. Ich musste nicht einmal scrollen. Warum sollten sich Spammer auch Mühe geben? Wenn sie sich Mühe geben würden, könnten sie doch gleich arbeiten gehen…

Die Site ist… das muss ich zugeben… recht gut gemacht. Wer ein wenig schneller liest und sich vom breit dargebotenen, bildhaften Appell an die Gier angeln lässt, wird nicht bemerken, worum es hier wirklich geht, obwohl es als deutlicher, wenn auch wegen seiner Typografie etwas anstrengend lesbarer Text daruntersteht:

So einfach fuktioniert [sic!] es:

Wir helfen Ihnen kostenlos beim Sparen: Mit unserem Service vergleichen Sie alle privaten Krankenkassen und können so in einen günstigeren Tarif wechseln. Im Durchschnitt können Sie jedes Jahr über 2.000 Euro sparen. Dieser Service ist für Sie vollkommen kostenlos und unverbindlich. Sie selbst entscheiden, ob Sie Ihren Tarif wechseln möchten, oder nicht.

Als kleines Dankeschön bekommen Sie einen Gutschein Ihrer Wahl versandkostenfrei zugeschickt. Diesen dürfen Sie auf jeden Fall behalten.

Und um diesen Gutschein zu bekommen, darf man auf einer kleinen Datenstriptease-Seite folgende Angaben machen:

Geschlecht
Vollständiger Name
Vollständige Postanschrift
Telefonnummer
E-Mail-Adresse
Geburtsdatum
Beruf

Diese Angaben ermöglichen bereits einen Identitätsmissbrauch für kriminelle Zwecke. So machen die Verbrecher mit falschen Angaben ihre „Geschäfte“, und jemand, der sich vor lauter dumm machender Gier für einen von einem Spammer geschwenkten 10-Euro-Schein zum Datenstriptease bereitfand, bekommt dann eben Besuch von der Kriminalpolizei und hat über Jahre hinweg allerlei unerfreulichen Schriftverkehr.

Die Betreiber der Website – nicht vergessen, sie werben mit Spam und sie sind lt. eigenen Angaben eine Limited, also im Härtefall eine „Kapitalgesellschaft“ mit einem Nominalkapital von einem britischen Pfund – sichern in der Datenschutzerklärung zwar das Übliche zu, aber sie sagen auch das Folgende:

Mit Bestätigung der Einwilligungserklärung und der Übermittlung Ihrer Informationen (Bestellung abschließen, durch Klick in der Bestellemail [sic!]) erklären Sie sich damit einverstanden, dass Ihre personenbezogene Daten [sic!] – z.B. Name und Anschrift – zum Zwecke der Vergleichserstellung von unserem Dienstleister verarbeitet und weitergegeben werden.

Tja, und dieser niemals namentlich erwähnte „Dienstleister“ bleibt noch ein bisschen anonymer als der Betreiber einer Website in einer anonymisierten Domain.

Die Masche, umfangreiche persönliche Angaben für einen angeblichen Vergleich von Krankenversicherungen einzufordern, ist übrigens nicht neu. Wer einmal sehen möchte, wie so etwas früher aussah, wird hier auf Unser täglich Spam fündig. Ich kann nicht einmal ausschließen, dass wirklich Krankenversicherungen vorgeschlagen werden – halte Spam aber immer für ein ganz schlechtes Zeichen und würde jedem Menschen nahelegen, sich aus besseren Quellen zu informieren als aus den Angeboten von Spammern.

Mit freundlichen Grüssen,

Julia Preil
Gutschein Service Team [sic! Deppen Leer Zeichen!]

Mit Grüßchen (und „ß“) zurück

Der Nachtwächter
Spam Genuss Manager

Diese Spam ist ein Zustecksel von M. W.

Schützen Sie Ihre Postbank Card Online

Sonntag, 28. Juli 2013

So wird das niemals etwas mit dem Phishing! Eine HTML-formatierte E-Mail mit derart lustig gesetzten Absätzen und teilweise so heiterem Deutsch kann wohl kaum jemand ernst nehmen:

Sie haben diese E-Mail erhalten, weil wir gute Gründe zu glauben, dass Ihre VISA-Kreditkarte hatte kürzlich

kompromittiert haben. Um jegliche betrügerische Aktivitäten zu verhindern sind wir verpflichtet, eine Untersuchung in dieser Angelegenheit einzuleiten.

Wenn Ihre Account-Informationen nicht innerhalb der nächsten 72 Stunden aktualisiert, dann werden wir davon ausgehen,

Ihre Kreditkarte betrügerisch ist und ausgesetzt werden. Wir entschuldigen uns für diese Unannehmlichkeit zu entschuldigen,

aber der Zweck dieser Prüfung ist es, sicherzustellen, dass Ihre VISA Konto wurde nicht in betrügerischer Absicht verwendet und um Betrug zu bekämpfen.

Vielen Dank für Ihre prompte Aufmerksamkeit in dieser Angelegenheit. Bitte haben Sie Verständnis, dass dies eine Sicherheitsmaßnahme soll helfen,

schützen Sie und Ihr Konto ist.

Login Secure : https://banking.postbank.de/rai/login

Wie schon gesagt, es ist eine HTML-formatierte Mail. Der Link geht natürlich zu einer völlig anderen Adresse, auch ganz ohne HTTPS, aber dafür mit einer „liebevoll“ nachgemachten Postbank-Anmeldeseite:

Wer da – trotz der lustig formulierten Phishing-Mail – vom abgekupferten Design verblendet ist und deshalb seine Anmeldedaten eingibt und „Absenden“ klickt, übermittelt diese direkt an Kriminelle. Zum Glück macht ein einfacher Blick in die Adresszeile des Browsers klar, dass es sich nicht um die Website der Postbank handelt, so dass ich mich immer wieder darüber wundere, dass noch jemand auf solches Phishing reinfällt. Wer schon einmal auf der Site der Postbank ist, kann ja auch gleich einen Blick in die aktuellen Sicherheitshinweise werfen, dort ist zurzeit eine sehr ähnliche Phishing-Mail erwähnt. Die wichtigsten Hinweise in diesem Text, der leider morgen schon durch einen anderen Text ersetzt sein könnte (weshalb ich hier auch auf eine dauerhaft archivierte Version verlinke), sind diese:

Die Postbank fordert ihre Kunden niemals per E-Mail auf, ihre Telefon-Banking PIN oder andere persönliche Daten zu ändern. Werden Sie sofort misstrauisch, wenn Sie eine solche E-Mail erhalten und informieren Sie uns. Vor allem aber: Geben Sie niemals Dritten Ihre PIN bekannt!

Folgen Sie keinesfalls Links in E-Mails, deren Quelle Ihnen unbekannt ist oder die Ihnen nicht vertrauenswürdig erscheint und öffnen Sie grundsätzlich keine Dateianhänge bei solchen E-Mails.

Das ist auch schon fast alles, was man zum Thema Phishing wissen muss – und es gilt übrigens auch für jede andere Bank, auch wenn die Werbetexter der Postbank nichts von der Existenz anderer Banken wissen wollen. 😉

Nur eine wichtige Ergänzung scheint mir erforderlich: Den meisten Menschen ist die Quelle jeder E-Mail unbekannt, die sie empfangen. Der Absender einer E-Mail lässt sich beliebig fälschen. Wer nicht gerade ein heiteres Blögchen über Spam führt, schaut sich auch nicht die Mail-Header an und weiß im Regelfall nicht einmal, was das ist. Digitale Signatur ist unüblich. Es gibt im Alltag für die große Mehrzahl der Menschen keine Mail mit halbwegs sicher bekannter Quelle. Der Stil, in dem die Postbank in diesem „Sicherheitshinweis“ die Verantwortung mehr als nur ein bisschen hinterhältig auf ihre Kunden abschiebt, aber selbst nichts dafür tut, dass ihre Kunden überhaupt eine Chance haben, die Quelle einer E-Mail sicherzustellen – zum Beispiel durch digitale Signatur der Mail – ist schon ein bisschen widerlich und kundenverachtend.

Übrigens scheint auch der unbeholfene Phisher zu wollen, dass sich seine Opfer fürs Thema Phishing interessieren. Deshalb hat er in seiner nachgebauten Login-Seite den folgenden Hinweis hinterlegt:

Aktueller Sicherheitshinweis -- Neue Phishing-Mails im Umlauf: So versuchen Betrüger, an Ihre Kontodaten zu gelangen. Jetzt informieren

Wie fürsorglich!

Sicherheit Netzwerk-Update

Mittwoch, 10. Juli 2013

Bei den vielen guten Phishing-Versuchen der letzten Tage bin ich froh, dass es Phishing auch noch in mies, sprachkrank und dumm gibt. Zum Beispiel in dieser Mail mit dem gefälschten Absender sicherheitsgruppe (at) web (punkt) osu (punkt) cz, der schon darauf hindeutet, dass der Phisher zu glauben scheint, dass eine Mail von der Sparkasse echter wirkt, wenn er keine Absenderadresse der Sparkasse benutzt.

Dieser Phisher hat es aber nicht nur verabsäumt, seinen Mailexperten zur Rate zu ziehen, auch sein Deutschexperte schien gerade nicht greifbar zu sein:

Natürlich kann man dieses Prachtbeispiel für die Folgen fortgeschrittener cerebraler Zerbröselung von der mir bislang völlig unbekannten „Sparkasse Bank Germany“ aus Erlangen auch bekommen, wenn man gar nichts mit Erlangen zu tun hat.

Freitag 05 Juli, 2013,

Normalerweise fangen die Fehler ja erst in der Anrede an, aber diese mit einem Komma abgeschlossene Mischung aus US-amerikanischer und deutscher Datumsangabe zeigt bereits, dass sich hier jemand nicht die große Mühe gibt.

Sehr geehrter Kunde,

Wir bekommen alle jeden Tag echte Briefe von irgendwelchen Unternehmen, bei denen wir Kunde sind und in denen wir als „Sehr geehrter Kunde“ angesprochen werden. Nicht.

Aufgrund der hohen Malware-Angriff auf unsere Datenbank haben wir unsere SSL, um unbefugten Zugriff auf verbesserte Ihrem Online-Bankkonto.

Ich versuche mal zu verstehen, was der Absender dieses Textes mit seinen unbeholfenen Worten ausdrücken will:

Es gibt Malware-Angriffe auf die Datenbank der Sparkasse Bank Germany. Das heißt also, dass es Computer mit installierter Malware gibt, die einen Zugriff auf den Datenbankservercluster der SBG (ich kürze das jetzt mal lieber ab) haben. Diese Computer müssten in den Geschäftsräumen der SBG stehen, denn von außen kommt man da nicht ran.
Und deshalb hat die SBG irgendwas mit „ihre SSL“ gemacht, um unbefugten Zugriff aufs Online-Konto zu verbessern, statt das hausinterne Problem zu lösen.

Das ist eine bemerkenswert einleuchtende Strategie aus Monty Pythons Handbuch für die Formulierung mieser Phishing-Mails.

Mit diesem Verfahren können Sie Ihr Konto vorübergehend deaktiviert werden.

Und weil die so rumpatzen, haben Kunden ein Problem, das sie nur lösen können…

Wir bitten Sie, und aktualisieren Sie Ihre Online-Verifizierung Details zur dauerhaften Abschaltung von Ihrem Online-Banking-Konto zu vermeiden..

aktualisieren und überprüfen Sie Ihr Konto.

…wenn sie in eine… ähm… merkwürdig formulierte Mail klicken, woraufhin sich wundersamerweise ein Browserfenster auftut, in dem eine Seite erscheint, die in ihrem Aussehen so tut, als sei sie eine Seite der SGB, in welcher dann noch einmal alles eingegeben werden muss, was die SBG eh schon weiß, weil sie wegen „ihrer SSL“ so vergesslich geworden ist.

Der Link führte übrigens in die Domain 2476 (punkt) ir – Kunden der SBG sollen offenbar glauben, dass ihre Kontonummer im Domainnamen verschlüsselt ist.

Mit freundlichen Grüßen,

Sparkassen-Finanzportal GmbH

Mit winkendem Gruß von der Übersetzerfront

Eine Gesellschaft mit (deutlich) beschränkter Hoffnung

Sparkasse Bank Germany
Sparkasse Erlangen
Hugenottenplatz 5
91054 Erlangen
www.sparkasse.de

Immerhin ist es den unbekannten Absendern gelungen, die Adresse einer existierenden Sparkassenfiliale zu verwenden, wenn das auch nicht gerade nach der Zentrale mit großem Rechenzentrum aussieht. Für gewöhnlich völlig uninformierte Spamleser führen diesen teilweisen Treffer darauf zurück, dass den Spammern eine echte Mail dieser Filiale als Vorlage für ihre lustige Reise ins Land unbekannter Sprachen diente.

Diese gnadenlos doofe Phishing-Spam ist ein Zustecksel von S.S.

Rechtschreibfehler auf Ihrer Website blahblah.de

Montag, 8. Juli 2013

Da dachte ich gerade schon, dass ich seit einem gefühlten Jahr keine neue Spam-Masche mehr zu Gesicht bekommen habe… und da bekomme ich dieses schöne Zustecksel von S. S. mit einer neuen Masche der Spammer.

Diese Spam ist unter verschiedenen Mailadressen der im originalen Betreff genannten Domain angekommen, die ich hier nicht erwähne. In allen Fällen war der Text identisch, nur die genannten „Fehler“ variierten. Natürlich stand im Original nicht „blahblah.de“, sondern die richtige Domain.

Gefälschte Absenderadresse ist sabrina (punkt) lektorin (at) gmail (punkt) com. Die Mail wurde allerdings nicht über Google Mail mit seinem strikten Vorgehen gegen Spam transportiert; sie geht von der IP-Adresse eines Dienstleisters aus Utah, USA aus. Ob die Mailadresse bei GMail überhaupt existiert oder von jemanden anders benutzt wird, ist fraglich. Empfänger sollen diese Mail ja nicht beantworten, sondern reinklicken…

Sehr geehrte Damen und Herren,

Mir sind ein paar Rechtschreibfehler auf Ihrer Website blahblah.de aufgefallen. Ich hoffe, es macht Ihnen nichts aus, dass ich Sie darauf hinweise.

Hallo, unbekannter Empfänger,

ich habe zwar die Website besucht, aber diesen Link im Footer mit dem Text „Impressum“ habe ich nicht gefunden, so dass ich dich nicht ansprechen kann. Stattdesssen habe ich nach Rächtschraibfelern gesucht, die dort stehen. Du musst verstehen, wenn man so sehr auf der Suche nach Fehlern ist, dann liest man doch nicht auch noch. Stattdessen verwendet man eine Liste mit ganz vielen häufigen Fehlern und sucht sie skriptgesteuert mit Google ab, damit man möglichst schnell ganz viel davon hat – und die Mailadressen kann man dann mit einem schnell angepassten Harvester-Skript rausfischen, dass im Idealfall auch automatisch mailt.

Deshalb geht diese Mail ja auch nicht an die im Impressum genannte Kontaktadresse, sondern an diverse Mailadressen in dieser Domain, die irgendwo in der Site erwähnt werden. Wenn ich mir Mühe geben würde, müsste ich ja auch nicht spammen.

Zum Beispiel:

Fehlerhaftes Wort: läd
Auf dieser Seite: http://blahblah.de/
Fehlerhaftes Wort: warnehmen
Auf dieser Seite: http://blahblah.de/blah-archiv

Wie man in einer HTML-formatierten Mail diese komischen Links reinfummelt, hat mir leider noch niemand erklärt. Vielleicht finde ich ja morgen einen aufgeweckten Neunjährigen, der sich mit diesem HTML-Frickelkram auskennt. Dann muss ich auch nicht mehr so eine Peinlichkeit wie den dümmsten aller dummen Linktexte „Click here“ in meine Mail reinschreiben…

Klicken Sie hier, um es sich anzusehen!

…ohne, dass der auch nur klickbar wäre.

Fehler auf Websites werfen schnell ein negatives Licht auf denjenigen, den die Website repräsentiert.

Asoziale und illegale Spam wirft zwar schnell ein negatives Licht auf denjenigen, der andere Menschen mit solcher Spam belästigt, aber das ist mir egal. Denn als Spammer habe ich keinen Ruf mehr zu verlieren.

Ich würde Ihnen gerne helfen und die ganze Website blahblah.de auf mögliche Fehler überprüfen und zwar für nur 85€. Dieses Angebot beinhaltet nicht die Überprüfung eines Onlineshops oder eines großen Archivs. Wenn Sie eine derartige Überprüfung wünschen, können wir dies gerne separat vereinbaren.

Also sei bitte so blöd und gib jemanden, der dir mit gefälschter Absenderadresse eine Mail zustellt, fünfundachtzig Euro in die Hand, weil er eine Liste häufiger Fehler googlen kann.

Damit das nicht ganz so bescheuert aussieht, wie es ist, schreibe ich noch ein paar menschelnde Worte darunter.

Ich heiße Sabrina Braun, studiere an der Uni Mainz und habe mir ein kleines Geschäft aufgebaut; ich verdiene meinen Lebensunterhalt während des Studiums, indem ich Websites auf Fehler überprüfe.

Ich bin eine Studentin, die es nicht weiter für erwähnenswert hält, was sie studiert (vermutlich Theoretischen und Angewandten Bullshit) und die mit diesen Spamnummern ihr Studium finanziert. Das klingt doch viel sympathischer als: Ich bin Spammer, der skriptgesteuert Google-Suchen startet, um häufige Fehler in Websites zu finden und dann ebenso skriptgesteuert jede Mailadresse mit seiner Spam zuballert, die in diesen Websites irgendwo erwähnt wird, und ich hoffe, mir mit den 1500 Euro, die nach jeden Tag nach meiner Spamwelle von vielleicht zwanzig darauf hereinfallenden Deppen gelegt werden, auch weiterhin einen verfeinerten Lebensstil leisten zu können, ohne mir diese lästige Mühe machen zu müssen, die fast alle anderen Menschen mit ihrer ekelhaften, anstrengenden Arbeit haben.

Ich glaube, dass wir beide von meinem Service profitieren können. Sie präsentieren Ihren Besuchern eine perfekte Website und ich verdiene mir ein bisschen dazu.

Ich glaube, dass diese noch frische Nummer das Potenzial hat, mir in den nächsten Monaten jede Menge frisches Geld zu geben.

Bezahlt wird erst, wenn meine Arbeit abgeschlossen ist, und natürlich stelle ich Ihnen gerne eine Rechnung aus.

Bezahlt wird erst, wenn ich mein Skript gestartet habe, das eine komplette Domain crawlt, nach meiner Fehlerliste abgrast und eine Report ausgibt, den ich ihnen zumaile. Achtzig Euro für den Aufruf eines Progrämmchens halte ich für einen guten Lohn.

Um alle Rechtschreibfehler auf Ihrer Website zu sehen, klicken Sie einfach hier.
http://sabrina.blogcorrector.com/bericht-bestellen/

Damit es nicht so langweilig wird, mache ich jetzt auch mal einen Fehler. Denn wenn du auf den Link klickst – dieser liegt übrigens in einer Domain, deren Registrierungsdaten über einen Whois-Anonymisierer aus dem brummenden Hong Kong verborgen werden, was für eine gewerbliche Website nicht gerade Seriosität ausstrahlt – dann siehst du nicht etwa die Rechtschreibfehler auf deiner Website, sondern ein Bestellformular:

Auf dieser Seite kann man nicht nur – *gröhl!*, ach nee: *gröl!* – den Preis selbst angeben, sondern auch seinen echten Namen zusammen mit seiner Mailadresse an die Spammer geben, die dann beim nächsten Mal eine persönliche Ansprache hinbekommen. Wer sich wundert, dass er es jetzt beim Bezahlen auf einmal nicht mehr mit einer Studentin zu tun hat, sondern mit einem Unternehmen aus dem schönen Ungarn, bekommt auch gleich eine tolle Erklärung dafür:

Da ich mit dem System eines ungarischen Unternehmens arbeite, welches mir die Organisation der Rechtschreibprüfungen erleichtert [sic!], und von diesem Unternehmen dann meinen Anteil an der Bezahlung erhalte, wird die Rechnung direkt von ASK FOR Ltd gestellt. Sie können per Paypal, Kreditkarte oder Überweisung zahlen

Ah ja!

Und wie weiter oben schon angedeutet ist, handelt es sich bei der angebotenen „Dienstleistung“ um nichts weiter als ein Programm, das eine Website durchcrawlt und gegen eine Liste häufiger Fehler abgleicht. Oder, um es mit den Worten „Sabrinas“ zu sagen:

Ich werde Ihnen die Fehler, die ich gefunden habe, per E-mail zusenden. Mein Bericht enthält die (möglichen) Fehler [sic!], sowie meine Korrekturvorschläge und falls nötig zusätzliche Hinweise/Erklärungen.

Es sind natürlich nur „mögliche“ Fehler, weil das kein Mensch mit einem Gehirn macht, sondern ein dummes Skript. Jeder, der schon einmal eine Rechtschreibprüfung in einer Textverarbeitung benutzt hat, weiß um die Schwächen.

Der schwarze Balken im Screenshot (und im Foto aus der Mail, das gleich folgt) ist natürlich von mir, denn ich muss davon ausgehen, dass die asozialen Spammer das Foto von „irgendwo aus dem Internet“ mitgenommen haben, um ihre bescheidene Nummer mit einem menschlich aussehenden Gesicht zu dekorieren, ohne die eigene Anonymität zu verlassen. Ob die in Ungarn beheimatete Limited überhaupt existiert, konnte ich so schnell nicht herausbekommen. Dass die Site kein Impressum hat, versteht sich von selbst.

Mit freundlichen Grüßen,

Sabrina Braun
Studentische Web-Lektorin
www.sabrina.blogcorrector.com

Mit mechanischem Gruß
Deine Spammer mit der neuen Masche

PS:
Wenn Sie meinen Service in Anspruch nehmen, erhalten Sie einen solchen Bericht:
http://sabrina.blogcorrector.com/beispielbericht

Ach so, wenn das Skript gestartet wird, entsteht nach höchstens einer Sekunde Datenverarbeitung so ein Bericht:

Screenshot des Beispielberichtes

Ihre Website blahblah.de zu überprüfen kostet Sie nur 85€.

Für den Start des Skriptes nehmen wir lächerliche fünfundachtzig Euro. 😀

Falls ich diese Nachricht an die falsche Person adressiert haben sollte, entschuldige ich mich hiermit vielmals und wäre Ihnen dankbar, wenn Sie die E-mail an die entsprechenden Kontakte weiterleiten könnten. Vielen Dank!

Vielen Dank, dass du dich nicht weiter daran störst, dass ich meine Drecksspam an jede auf einer Website erwähnte Mailadresse sende, ohne mich um die Angaben im Impressum zu kümmern. Denn selbst zu lesen kostete mich einfach zu viel von meiner Lebenszeit, die ich lieber damit verbringe, das Geld meiner Opfer für angenehmere Dinge auszugeben. Und wenn du dich daran störst: Auch vielen Dank. Meine Höflichkeit ist nur aufgesetzt, denn ich bin ein Spammer.

Danke, S. S., für dieses Zustecksel aus dem täglichen Spamklo…

Und dann war da noch „Ruby Palace“

Dienstag, 25. Juni 2013

Und dabei habe ich nach so viel Funkstille schon geglaubt, dass die Affiliate-Spammer für das „Magic Box Casino“ nach gefühlten vier Jahren Spam jeden naiven Menschen in ein Opfer verwandelt haben und ihre Spamflut deshalb eingestellt haben, weil einfach niemand mehr auf diesen Bullshit hereinfällt.

Aber nein, sie sind wieder da. Und damit ich das auch nicht übersehe, haben sie es mir gleich zweimal im Verlaufe von sechs Stunden gesagt, dass sie wieder da sind – mit ihren üblichen Qualitätsspams aus den üblichen Textbausteinen, die so ausgelutscht sind, dass einem kaum noch etwas dazu einfällt.

Betreff: Starten Sie mit einem sensationellen Willkommens-Angebot durch

Ruby Palace bietet den besten Willkommens-Bonus im Netz! Melden Sie sich gleich an und profitieren Sie von einem Bonus, der Ihre Einzahlungen verdreifacht.

Mehr als 450 Weltklasse-Casinospiele erwarten Sie mit Spannung, Unterhaltung und gewaltigen Gewinnen.

Solange Sie im Ruby Palace spielen, erhalten Sie wöchentliche und monatliche Bonusse und andere Angebote.

Alle Spieler/innen im Ruby Palace profitieren von unserem erstklassigen 24-Stunden-Kundenservice. Wir sind immer für Sie da und Sie können uns über kostenlose Hotlines, E-Mail und Live-Chat kontaktieren.

Registrieren Sie sich noch heute, sichern Sie sich Ihren exklusiven 200% Willkommens-Bonus und genießen Sie den besten Service der Industrie! [sic!]

http://www.extralotrubydream.com/

Hier der obligatorische Screenshot des aktuellen Design-Gestrokels für die Wegwerfseiten:

Wer auf „Herunterladen & Spielen“ klickt und die heruntergeladene Datei auf seinem Rechner ausführt, lasse alle Hoffnung fahren. Diese Datei kommt von Spammern, und die haben keinen Grund, sich auf das Affiliate-Geschäft mit dem in der BRD illegalen Glücksspiel zu beschränken. Dass hier (zurzeit noch) nur in einem Fall eine mögliche Schadsoftware von Antivirusprogrammen erkannt wird, muss also nichts bedeuten. Software von kriminellen Spammern ist nicht empfehlenswert. Punkt.

Lustig ist, dass die Wegwerfdomains jetzt aus vier Namensbestandteilen bestehen. Offenbar sind alle sinnvollen (und die ganzen sinnlosen) Kombinationen aus drei Bestandteilen inzwischen für Wegwerfdomains „aufgebraucht“. Die Website dieses Casinos wurde übrigens erst gestern frisch eingerichtet, und die bei der Registrierung verwendete australische Anschrift ist Google Maps nicht bekannt – schade, ich hätte gern mal ein paar Fotos des betrieblichen Umfeldes rausgesucht, in dem das Internet für diesen „besten Service der Industrie“ gemacht wird… 🙁

Sechs Stunden später war diese frische Domain offenbar nicht mehr gut genug, wie die zweite automatisch erzeugte Mitteilung dieser lobotomierten Grabverweigerer belegt:

Betreff: Im Ruby Palace werden Einzahlungen jetzt verdreifacht

Registrieren Sie sich noch heute im Ruby Palace und Sie qualifizieren sich [sic!] für einen unglaublichen 200% Bonus auf Ihre erste Einzahlung.

Nachdem Sie sich anmeldeten und wir Ihren Kontostand kräftig aufgestockten [sic!], haben Sie Zugriff auf über 450 der besten Online Casinospiele, einschließlich Thunderstruck II, The Dark Knight™ und Mega Moolah.

Unser Angebot endet natürlich nicht mit dem Willkommens-Bonus. Jede Woche folgen außergewöhnliche Angebote, wie Bonusse auf Einzahlungen und vieles mehr.

Natürlich garantieren wir Ihnen einen Weltklasse-Kundenservice, den Sie täglich, rund um die Uhr mittels Anruf, E-Mail oder Live Chat erreichen können.

Worauf warten Sie noch? Melden Sie sich noch heute an!

http://www.artlotrubygrand.com/

Aus Extraviel Rubin-Traum ist binnen sechser Stunden Kunstgänze Rubin-Groß geworden. Diese Leute wissen gar nicht, wie gut sie als Dadaisten sind! Und dabei wollen sie nur den Spamfiltern voraus sein – ganz so, als ob Wörter wie „Ruby Palace“, „Casino“ und „Bonus mit dreistelliger Prozentangabe“ irgendwo auf dieser Welt noch durch die Filterung kämen.

Ach ja, natürlich liegt auf der anderen Wegwerfdomain, die ebenfalls gestern mit einer angegebenen Anschrift in Polen eingerichtet wurde, genau die gleiche betrügerische Website – die kein eigenständiges Casino ist, sondern ein Affiliate-Geschäft mit dem „Magic Box Casino“, das mit hoher Wahrscheinlichkeit nach der Einzahlung nichts von den tollen Zusagen der Spammer wissen wird.

Sparkasse Konto Nachrichten

Mittwoch, 29. Mai 2013

Ich hätte aber lieber die Sportnachrichten.

Schlechtes Phishing

Angeblicher Absender dieser Mail ist onlinedat (at) sparkasse (punkt) de. Natürlich ist der Absender gefälscht und diese Mail kommt nicht von der Sparkasse. Die Sparkasse würde auch kaum ihre Kunden mit einer Mail anschreiben, die sie über einen in den USA gemieteten Server versendet.

Sehr geehrter Kunde,

Ja, manchmal bin ich Kunde. Zum Beispiel, wenn ich ein Brot kaufe.

Ihr Online-Banking-Konto wurde eingeschrankt

Huch! Und warum das? Und unter welchem Namen führe ich das Konto? Mit welcher Kontonummer? Bei welchem Kreditinstitut? Und seit wann heißt das Produkt dieses Kreditinstutes „Online-Banking-Konto“? Und warum gibt es keine Umlaute?

Klicken Sie auf den folgenden Link, um alle blockierten Zugriff [sic!] wiederherzustellen.

Anmelden

Und ja nicht darüber wundern, dass der Link gar nicht zur Sparkasse geht! Und bloß nicht die Frage stellen, warum die Sperrung eines Kontos aufgehoben wird, wenn man „der Sparkasse“ lauter Dinge sagt…

Screenshot der Phishing-Seite

…die die Sparkasse schon längst weiß! Einfach einen notdürftig als „Kontoupdate“ verlarvten Datenstriptease machen und an die organisierte Kriminalität weiterleiten! Nicht darüber wundern, dass die zwar vom „Online-Banking-Konto“ sprechen, aber die Daten einer Kreditkarte haben wollen!

Au weia, Phisher, früher habt ihr euch aber auch mehr Mühe gegeben…

Customer Care Account Dept.
© sparkasse.de 2013 Alle Rechte vorbehalten.

Nein, der miese Phish ist nicht alles

Was in diesem Zitat übrigens untergeht: Damit ist die Mail noch lange nicht zu Ende. Der Spammer scheint nämlich der Meinung zu sein, dass eine HTML-Mail erst dann so richtig HTML wird, wenn da auch noch eine Menge aus normaler Lesersicht zunächst völlig unsichtbares JavaScript dranhängt, und so hat er sich entschlossen, die folgenden Skriptversuche zu machen:

Auszug aus dem Quelltext der Spam

Der im Screenshot sichtbare Bereich macht ungefähr ein Viertel des gesamten Codeumfangs aus.

Natürlich wird ein vernünftig konfigurierter Mailclient niemals JavaScript in einer E-Mail ausführen. Aber dieses kleine Beispiel aus der täglichen Spamhölle zeigt einmal mehr, warum man gar nicht vorsichtig genug sein kann, wenn man es mit Spam zu tun hat und warum man auch lächerliche Spam niemals unterschätzen darf. Hier sollen JavaScript-Fragmente von allen möglichen Stellen im Internet abgeholt und lokal ausgeführt werden. Es ist davon auszugehen – nein, ich habe mir das jetzt nicht in allen seinen blutigen Einzelheiten angeschaut – dass auf diesem Wege versucht wird, aktuelle Schadsoftware zu installieren.

Und deshalb benutzt man einen vernünftig konfigurierten Mailclient (ich empfehle „normalen“ Anwendern den Thunderbird, und zwar immer auf aktuellem Stand), bei dem in der Standardkonfiguration die Ausführung solcher Versuche vollkommen auszuschließen ist. Ich weiß gar nicht, mit welcher Software oder mit welchem Webmailer ein derartiger Angriff erfolgversprechend wäre. Aber es muss dermaßen unsichere Software geben, sonst gäbe es nämlich diese Spam nicht. Die Verbrecher sind, was solche Dinge betrifft, auf dem neuesten Stand. Sie leben davon.

Angesichts der Tatsache, dass das Phishing geradezu lächerlich schlecht ist, vermute ich sogar, dass eine im Hintergrund laufende Installation von Schadsoftware der eigentliche Zweck dieser Mail ist – und das Phishing eher eine Nebensache, gar nicht so wichtig für die Absender. Ein Empfänger mit verwundbarer Mailsoftware sieht diese Spam, schaut eine Sekunde drauf, lacht womöglich noch darüber, löscht sie und vergisst sie… und ist damit bereits infiziert.