Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Schlagwortarchiv „Screenshot“

Merchant Statement

Montag, 6. Mai 2013

Das ist mal wieder so eine richtig überzeugend aussehende „geschäftliche“ E-Mail im Mülleingang (hier als Screenshot aus meinem Thunderbird für den größeren Schmerz bei der Betrachtung):

Betreff: Merchant Statement -- Von: secure punkt fundsxpress punkt com -- Datum: 06.05.2013 11:35 -- An: Mich -- Attached is your Fundsxpress.com Paymentech electronic Merchant Billing Statement. If you need assistance, please contact your Account Executive or call Merchant Services at the telephone number listed on your statement. PLEASE DO NOT RESPOND BY USING REPLY. This email is sent from an unmonitored email address, and your response will not be received by Fundsxpress.com Paymentech. Fundsxpress.com Paymentech will not be responsible for any liabilities that may result from or relate to any failure or delay caused by Fundsxpress.com Paymentech's or the Merchant's email service or otherwise.Fundsxpress.com Paymentech recommends that Merchants continue to monitor their statement information regularly. ---------- Learn more about Fundsxpress.com Paymentech Solutions, LLC payment processing services at Secure.Fundsxpress.com. ---------- THIS MESSAGE IS CONFIDENTIAL. This e-mail message and any attachments are proprietary and confidential information intended only for the use of the recipient(s) named above. If you are not the intended recipient, you may not print, distribute, or copy this message or any attachments. If you have received this communication in error, please notify the sender by return e-mail and delete this message and any attachments from your computer.

Die großen Geheimnisse, wie man eine HTML-formatierte Mail ansprechend gestaltet und wie man Textauszeichnungen wie fettsetzen ANSTELLE DER GROSSBUCHSTABEN benutzt, scheinen bei diesen ganz großen Geschäftemachern eben so wenig angekommen zu sein, wie dieses ebenfalls unfassbare Geheimnis vom Setzen eines Hyperlinks.

Im Anhang hängt ein 207 KiB großes ZIP-Archiv, das – wer hätte das für möglich gehalten! – eine knapp 240 KiB große, ausführbare Datei für Microsoft Windows enthält. Diese Datei wird zurzeit von der Hälfte der gängigen Antivirus-Schlangenöle nicht als das erkannt, was sie ist: Schadsoftware.

Aber in eine derart missratene Spam wird wohl niemand geklickt haben.

AW: Anfrage vom 03.05.2013

Samstag, 4. Mai 2013

Oh, wie „nett“, dass ich auf meine niemals gestellte Anfrage gleich vier Antworten auf vier verschiedene Mailadressen bekommen habe, und zwar binnen einer einzigen Minute. Sonst würde ich das noch übersehen…

Die Spams kommen mit dem Absender m (punkt) kubicki (at) vergleichen56 (punkt) pw, das wird sich demnächst aber wohl ändern.

Hallo ,

Natürlich weiß der Spammer nicht, wer ich bin. Die drei Leerzeichen zwischen Hallo und Komma lassen mich allerdings vermuten, dass da in anderen Fällen ein Geschlecht, ein Vorname und ein Nachname stehen könnten – entsprechende Zuordnungen von Namen zu Mailadressen haben die Spammer ja nach vielen Datenlecks zur Verfügung. Das Geschlecht halte ich für möglich, weil man es mit einer Trefferquote von deutlich über 90 Prozent aus der Endung des Vornamens erschließen könnte. (Vielleicht bin ich da aber in meinen Gedanken einfach nur kreativer als ein Spammer, und das dritte Leerzeichen steht da, weil es da eben steht.) Leider lässt sich der Spammer nicht davon abhalten, seine Drecksmail rauszupusten, nur weil er den Namen nicht kennt, und leider ist er auch zu doof, sein Skript so zu programmieren, dass dann keine Splenks zwischen „Hallo“ und dem Komma stehen. Nun, wenn er sich Mühe gäbe, wäre er ja auch kein Spammer geworden.

nochmals vielen Dank für Ihre Anfrage vom 03.05.2013.

Natürlich weiß ich von keiner Anfrage. Diese Spam scheint also nicht für mich zu sein, gleich mal löschen… 😀

Ich habe eine gute Nachricht für Sie, nach genauerer Überprüfung [Tolle Leistung für einen, der mich nicht kennt!] habe ich festgestellt, dass Sie zukünftig 2.600,- Euro einsparen können.

Nähere Einzelheiten und Informationen können Sie hier einsehen:

http://www.vergleichen56.pw/

Die im Link verwendete Domain wurde gerade erst vor ein paar Stündchen eingerichtet, und natürlich hat der Spammer seine Registrierungsdaten lieber hinter einem Whois-Anonymisierer versteckt, was für geschäftliche Webauftritte in jedem Fall hoch verdächtig ist. Aber unter dieser Wegwerfdomain gibt es sowieso nur eine Weiterleitung auf die immerhin schon vor fast zwei Monaten eingerichtete Domain sparen (strich) 2013 (punkt) com, bei der die Registrierungsdaten auf die gleiche Weise versteckt wurden. Dass die kriminelle und asoziale Spamreklame immer ein Alarmsignal sein sollte, versteht sich von selbst.

In der dort herumliegenden Website¹ kann man dann…

Screenshot der betrügerischen Website

…nicht nur lesen, dass man mehr als fünf lila Lappen dadurch sparen kann, dass man das Angebot einer anderen Krankenversicherung durch einen Kriminellen annimmt, sondern man erhält auch gleich Gelegenheit, neben der gerade zugespammten Mailadresse einen Vornamen, einen Nachnamen, ein Geburtsdatum und eine Anrede zu hinterlegen, dass die nächste Spam etwas besser personalisiert und damit etwas gefährlicher ist. In einem hier nicht als Screenshot abgebildeten zweiten Schritt muss man dies um die Angabe der Postanschrift, der Telefonnummer und des Berufes ergänzen, so dass zudem ein Identitätsmissbrauch durch die Spammer möglich wird. Warum man das tun sollte? Weil man dann an einen „kostenlosen Schnell-Vergleich“ kommt, der aber aus unerklärlichen Gründen nicht so offen kommuniziert werden soll, dass er auf einer Website nachlesbar ist. Natürlich völlig kostenlos, und es lohnt sich und ist günstig. Und kostenlos. Sagt ein Krimineller. Auf einer impressumslosen Website, die unter einer anonym registrierten Domain verfügbar ist. Da kann man doch gar nicht widerstehen, der wird bestimmt nur das Beste wollen! :mrgreen:

Ohne zurzeit Näheres von dieser Betrugsmasche zu wissen, gehe ich davon aus, dass beim Abschluss eines als sehr attraktiv dargestellten Vertrages eine Vorleistung erforderlich wird – für nichts, versteht sich. Weiteres weiß ich erst, wenn die 75jährige „J. Bosch“ auf ihrer Wegwerfmailadresse eine Antwort bekommen hat. Es kann aber auch einfach nur um die Sammlung von Adressmaterial für betrügerische Geschäfte mit der Identität anderer Menschen gehen.

Wer den Datenbestand solcher Spammer ebenfalls ein bisschen vergiften möchte, hat im Fake Name Generator ein gutes Hilfsmittel, das garantiert Anschriften generiert, die es nicht gibt. 😉

Ich hoffe das Sie mit mit meinem Service zufrieden sind und freue mich von Ihnen zu hören.

Besonders freundlich an diesem „Service“ fand ich die quasi gleichzeitige Zustellung an mehrere von mir verwendete Mailadressen. Ich wünsche dem Absender dieses Mülls, dass ihm möglichst schnell seine vereiterten Hoden unter unerträglichen Schmerzen vom Körper fallen mögen – und dass er dabei auf die von ihm selbst angebotene Krankenversicherung zurückgeworfen ist.

Mit freundlichen Grüßen

Maren Kubicki
Verbraucherberatungsservice

Ein Gruß, freundlich wie eine Spam, die einem ins Postfach gemacht wird. Geh sterben, Spammer!

¹Ich habe die Gesichter verpixelt, weil ich davon ausgehen muss, dass das Foto irgendwo aus dem Web „mitgenommen“ wurde.

Update your amorous software

Freitag, 3. Mai 2013

..Hello___Elias «Can cf adia juk nPha hmn rmacy» onl ryq ine dru bzm gst qpq ore is the leading Can ykr adian dru llk gst umn ore which daily ships hundreds of orders to patients internationally. More and more people start purchasing me fzt dica vwe tions in Can sy ada, since they are much more cheaper than American ones and are of the same quality, and manufactured according to the same strict standards. Purchase with «Can ung adia zz nPha fm rmacy» and your me dt dicat qm ions will come right on time well packed and in perfect condition. Privacy and confidentiality are guar kyn anteed! Start new life with «Can all adia lf nPhar hd macy»! ... www.dxxxxxxxxe.ru

Ganz großes Kino, dein in einem vernünftig konfigurierten Mailclient nicht funktionierendes CSS-Gestrokel, Spammer! Und dass deine „Canadian Pharmacy“, die man in dieser Buchstabensuppe noch erahnen kann, ausgerechnet die russische TLD .ru verwendet, das spricht für sich selbst und natürlich für die „Qualität“ deiner viel billigeren Giftpillen

You will want to know what I have found out!

Samstag, 27. April 2013

Oh toll, in der Absenderadresse steht meine eigene Mailadresse. So kann auch ein technischer Laie auf dem ersten Blick sehen, dass der Absender gefälscht ist.

Of course you have never heard of anything like that before because it was impossible for average people!

Natürlich hast du noch niemals von diesem dir völlig unbekannten Ding gehört, weil es nur über kriminelle Spams bekannt gemacht wird. Was dieses dir völlig unbekannte Ding ist, das nur über Spam bekannt gemacht wird? Tja, Ding eben. Sei nicht so neugierig! Halt dich fest und hab keine Flüssigkeit im Mund, denn gleich sage ich dir, was das Ding ist:

Welcome to the brand new revolutionary website! There are over 5,000 people on it already; all of them are busy making money – $70 Every single minute!

Es ist eine Website. :mrgreen:

Diese Website hat sogar 5000 Leser, also fast so viele wie „Unser täglich Spam“, wenn einmal eine besonders erfolgreiche Müllmail die Leser hierher holt. :mrgreen:

Und auf dieser Website bekommt man für Nichts einfach so 70 Dollar in der Minute. Da bringt ein Acht-Stunden-Tag des Nichts hübsche 33.600 Dollar, also mehr, als so mancher Mensch für ziemlich beschissene Arbeit im ganzen Jahr verdient. Wo das Geld herkommt? Na, es regnet von den Geldbäumen herab. Und weißst du was, leichtgläubiges Opfer: Das ist so toll, dass du nur über eine kriminelle Spam mit gefälschtem Absender davon erfährst. Das musst du für eine so tolle Sache halten, dass…

Do not miss your chance to check this out!

…du gleich mal in die Spam reinklickst, um eine ganz tolle Website von Betrügern und kriminellen Spammern zu sehen:

Screenshot der betrügerischen Website

Auf der völlig impressumslosen Einzelseite steht zwar nicht so viel Text zum interessanten Thema, woher das ganze dicke Geld eigentlich kommen soll, sondern es gibt stattdessen nur hingeschriebene Versprechungen, dass du mit einer neuen Methode (wie etwa einem altmodischen Pyramidensystem oder vielleicht auch wieder einem todsicherem Roulettesystem in Online-Casinos) zur finanziellen Unabhängigkeit kommst. Völlig kostenlos. Aber statt dir ein paar echte Informationen zu geben, startet automatisch ein eingebettetes Video und plärrt dich mit substanzlosem Blah voll. Einfach, weil die Macher der Seite davon ausgehen, dass Menschen, die sich zumindest in Geldangelegenheit daran gewöhnt haben, gründlich zu lesen, eh zu intelligent für einen derartigen Beschiss sind. Ja, sogar jemand, der weiß, wie man ein Video durch einen Klick startet, könnte schon zu intelligent dafür sein, und das gleiche gilt für Menschen, die von einer automatisch losplärrenden Seite einen unmittelbaren Fluchtimpuls bekommen und das Browsertab schließen.

Nachdem so in Ansprache und Nichtinformation genügend gesiebt wurde, bist du hoffentlich so doof, auf einer offen betrügerischen Website, die ausschließlich durch kriminelle Spam mit gefälschtem Absender bekannt gemacht wird, deinen Namen und deine Mailadresse einzugeben. Wegen der 70 Dollar pro Minute, die dir ein Spammer verspricht, ohne dir zu sagen, wie das gehen soll. Übrigens, wenn du dich fragst, warum der Spammer nicht einfach seine eigene mühe- und kostenlose Methode einen halben Monat lang durchführt und den Rest des Jahres in Dauerurlaub geht, bist du natürlich auch zu intelligent, um Opfer dieser Masche zu werden.

Und zwei Monate, nachdem du den Spammern ermöglicht hast, eine Datenbank von Namen und Mailadressen extrem leichtgläubiger Gimpel aufzubauen, wunderst du dich darüber, dass du eine Phishing-Mail mit persönlicher Ansprache bekommst…

As soon as you click on the link given above, you will join the unique project that is absolutely FREE until Tomorrow.

Und vor allem: Denk nicht nach und mach schnell. Morgen ist die Betrugsseite nämlich wieder weg.

Do not waste your time, you are awaited at:
www (punkt) moneyonlinehereforcustonesec (punkt) com

Die Domain wurde übrigens erst vor einer Woche angemeldet. Von einer „Frau“, die unglücklicherweise unter einer Anschrift lebt, von der Google Maps behauptet, dass diese Adresse nicht gefunden werden könne. Was für ein schweres Schicksal! :mrgreen:

The clock is ticking! You have to visit the portal before tomorrow to make easy money online.

Wenn du nicht mehr richtig tickst, kann du diesem Angebot eines unbekannten Mitmenschen gar nicht widerstehen.

Battle.net Kontonummer Untersuchung

Montag, 22. April 2013

Warnung! Vor dem Weiterlesen sämtliche Getränke aus dem Mundraum entfernen, um eine Verschmutzung oder Beschädigung persönlich genutzter Datenverarbeitungsanlagen durch herausgeprustete Flüssigkeit zu vermeiden.

Greetings!

Empfänger, ich weiß nicht wer du bist. Und Deutsch ist auch nicht meine Stärke.

Vor kurzem erhalten das Problem der Kontoinvasion schlechter und schlechter [sic!], die die Ausrüstungen und die virtuelle Currency des enormen Spielers [sic!] verursachen, die gestohlen werden. Dieses Schaden streng den Nutzen von Massenspielern [sic!], verursacht auch unsere Firma verlieren viele Kunden.

Habe ich eigentlich schon erwähnt, dass Deutsch nicht meine Stärke ist?

Unsere wieder gestohlen zu werden Firma [sic!] muss einige Messen ergreifen [sic!], unseren allgemeinen Nutzen zu schützen [sic!], um die Sicherheit die Rechnungsprüfungen des Massenspielers zu verbessern und fest widersteht dem Konto [*rofl!*]. Durch die Forschung und die Untersuchung unsere Firma xxx [sic!] zu den Kunden, treffen wir die folgenden Entscheidungen: wir starten ein Paket aktualisierten beweglichen Authenticator Battle.net und der dynamischen Codeschutzkarte [sic!], das die eingedrungenen Konten [sic!] effektiv verhindern kann. Wir schicken den Spielern dieses Paket des CodeSchutzsystems kostenlos.

Habe ich eigentlich schon erwähnt, dass meine vorgeschobenen Gründe, warum du in eine Phishing-Mail klicken sollst, genau so intellektuell unbewaffnet wie mein Deutsch sind?

offnen Sie bitte diese Verbindung:
https (doppelpunkt) (doppelslash) eu (punkt) battle (punkt) net (slash) login (slash) en (fragezeichen) ref (gleich) http (prozent) 3A (prozent) 2F (prozent) 2Feu (punkt) battle (punkt) net (prozent) 2Fwow (prozent) 2Fen (prozent) 2Findex (ampersand) app (gleich) com (strich) wow

Hast du eigentlich schon gemerkt, dass das eine HTML-formatierte Mail ist? Oder um es in Deutsch meine zu sagen, dass das Mail Format in HTML erhalten hat, getroffen die Entscheidung wir, Link zu andere Website gehen als aussieht auf das erste Blick? Denn dieser Link geht in Wirklichkeit in die Domain eu (punkt) eu (strich) batt1e (strich) net (strich) kontonummer (strich) untersuchung (punkt) net, der man sonst ja auf dem ersten Blick ansehen würde, dass sie nichts mit battle.net zu tun hat. Zumal man „Battle“ ja auch mit einem „L“ und nicht mit einer „1″ schreibt. Dass der Domaininhaber eine sehr… ähm… nummerische Mailadresse und ansonsten offensichtlich komplett gefälschte Registrierungsdaten angegeben hat, verrät ein schnelles whois an der Kommandozeile

Wer klickt, kann auf einer „liebevoll“ nachgemachten Battle.net-Site…

Screenshot der Phishing-Site für Battle.net

…den Phishern seine Login-Daten mitteilen. Und die werden damit schon etwas anzufangen wissen.

Wenn Ihr Konto die Kontrolle erfolgreich führt [sic!], schicken wir Ihnen dieses Paket dynamischen beweglichen Authenticator Battle.net [sic!] in Form von E-Mail

In 3 Tage nachdem Sie die E-Mail empfangend [sic!], wenn Sie nicht Ihre Informationen einreichen, wir rechtes [sic!] haben, zum Ihres Kontos zu sperren [sic!], wird jeder Spieler gezwungen, die Sicherheit des Kontos zu schützen. Sie müssen zusammen mit, das ganzes Verhalten bestimmt zu werden uns arbeiten [sic!], von Destruktive Spielen [sic!] unten zu knacken [WTF?!]. Wenn Sie bereits Authenticator Ihr Konto hatten, missachten Sie bitte diese automatische Mitteilung.

Viele Greetings,

Diese großartige Spam erreicht trotz allem Bemühens um angemessenen sprachlichen Ausdruck nur müde zweieinhalb Punkte auf der nach oben offenen Zinker-Skala… 😀

Diese Mail wurde mir von einem Leser zugesendet. Es ist übrigens das erste Mal, dass ich ein Phishing auf Anmeldedaten von Spieleanbietern (in diesem Fall: Blizzard) in einer Spam sehe. Offenbar sind die virtuellen Items und Credits der Spielewelt mittlerweile auf einem Graumarkt wertvoll genug geworden, dass sich solche Angriffe für die Kriminellen lohnen. Aber so lange derartiges Phishing so lächerlich gemacht wird, ist nicht davon auszugehen, dass auch nur ein einziger Empfänger darauf reinfällt. Jedenfalls nicht auf diese „deutsche“ Version.

Vorname Nachname, Mitteilung zu Ihrem Kunden-Konto!

Freitag, 19. April 2013

Anstelle von „Vorname Nachname“ steht der Name des Empfängers. Die Mail mit dem gefälschten Absender hilfe (at) paypal (strich) community (punkt) com kommt natürlich nicht von PayPal. PayPal versendet solche Mails nicht:

PalPal Konfliktlösung -- Guten Tag , Ihr Konto wurde vorübergehend limitiert! Bearbeitungsnummer: PP-8500401 Weitere Informationen finden Sie hier -- Jetzt lesen -- Bei Fragen steht Ihnen unser Kundenservice von Mo.-Fr. 8.30 bis 19.00 Uhr und Sa.-So. 9.00 bis 19.30 Uhr unter der Telefonnummer 0180 500 66 27 zur Verfügung (für Anrufe aus dem Festnetz fallen maximal 14 Cent/Min. an, aus Mobilfunknetzen sind es maximal 42 Cent/Min.)

Im Original stand nach der Anrede „Hallo“ noch der Vorname und der Nachname.

Der Link liegt auf dem etwas peinlichen Schloss und dem Schild mit der Beschriftung „Jetzt lesen“. Er ist über den URL-Kürzer tinyurl (punkt) com maskiert und führt auf eine „liebevoll“ nachgemachte PayPal-Login-Seite in der Domain sslpp (strich) hilfe (punkt) konflikte (strich) kunden (punkt) com:

Screenshot der Phishing-Seite

Dass das nicht die Website von PayPal ist, brauche ich hoffentlich nicht weiter zu erwähnen, und dass die dort angegebenen Anmelde- und Kreditkartendaten direkt in die Hände der organisierten Internet-Kriminalität gehen, sollte auch weniger intellektuell begabten Mitmenschen einleuchten. Wer nur einen einzigen Blick in die Adressleiste seines Browsers wirft, sieht sofort, dass es nicht PayPal ist.

PayPal versendet übrigens niemals E-Mails mit der Aufforderung, irgendwelche Bullshit-Verifizierungen zu machen. PayPal kennt die angegebenen Daten bereits. Die einzigen, die den PayPal-Login, die Postanschrift, das Geburtsdatum, die Bankverbindung und die Kreditkartendaten nicht kennen, sind die Verbrecher, die Identitäten missbrauchen wollen und mit dem Geld anderer Leute ihre „Geschäfte“ machen wollen. Wer auf diese Phishing-Nummern hereinfällt, darf sich nicht nur über sein geplündertes Konto und den folgenden Schriftverkehr mit seiner Bank ärgern, sondern auch über allerhand hässliche Briefe mit Rechnungen und Mahnungen (die bestellten Waren gehen an ebenfalls gephishte Packstation-Accounts) und über jede Menge neuer Bekannter bei Polizeien, Staatsanwaltschaften und Untersuchungsgerichten, die wegen gewerbsmäßigen Betruges ermitteln. In der Folge gibt es zwei bis drei Jahre hässlichen Schriftverkehr, vielleicht die eine oder andere Hausdurchsuchung, Schufa-Einträge, gegen die man vorgehen muss und dergleichen unangenehmes Zeug mehr.

Diese Phishing-Spam ist gut gelungen und durch die Erwähnung des Namens zusätzlich gefährlich. Sie hat allerdings immer noch deutliche Schwächen, die es jedem möglich machen, die Spam zu erkennen:

  1. Vorname und Nachname stehen im Betreff
    Es ist objektiv sinnlos, den Empfänger einer E-Mail an seine persönliche Mailadresse im Betreff namentlich anzusprechen. Der Empfänger weiß, dass er gemeint ist, weil die Mail in seinem Postfach liegt. Niemand würde das tun.
  2. Der Betreff ist „komisch“
    Ein Zahlungsdienstleister wie PayPal macht also „Mitteilung zu Ihrem Kunden-Konto“? Nicht zum PayPal-Konto? Das „müffelt“ ein wenig. Unternehmen würden darauf achten, dass ihre Kommunikation unmissverständlich ist. Vor allem in Kontexten, in denen es um Geld geht.
  3. Guten Tag Vorname Nachname
    So etwas wie „Herr“ oder „Frau“ vor dem Namen fehlt. Kein Unternehmen würde seine Kunden so ansprechen.
  4. Der Absender
    Wie peinlich ist das? Einen Absender fälschen, aber dann nicht einmal einen mit einer Adresse @paypal (punkt) com nehmen. Wenn man schon den Absender fälscht… :mrgreen:
  5. tinyurl (punkt) com stinkt
    PayPal hat es niemals nötig, einen Link auf die eigene Website mit einem URL-Kürzungsdienst zu verschleiern. Kein Unternehmen, das seine Kunden anmailt, hat das nötig. Nur Spammer haben es nötig, um sich mit diesem „Trick“ an den Spamfiltern vorbeizumogeln. Wo der Link hinführt, sieht man übrigens in seiner Mailsoftware, indem man auf die Statusleiste schaut, wenn der Mauszeiger über dem Link ist. Wenn da in so einem Fall nicht die Website des Unternehmens steht, ist es immer Phishing.
  6. Die Bearbeitungsnummer ist überflüssig
    Zum Hinweis „Ihr Konto wurde limitiert“ (als ob es das nicht immer irgendwie wäre) gibt es keinerlei Begründung oder auch nur eine Andeutung der Gründe. Weitere Informationen soll man nach einem angeblichen Login erhalten. Die Angabe einer kryptischen Bearbeitungsnummer ist in diesem Kontext für den Empfänger der Mail sinnlos; der gesamte Vorgang könnte und würde direkt auf der Website dargestellt werden. Diese sinnlose Nummer dient also nur zur psychologischen Einschüchterung (du kommst nicht an dein Geld und du bist damit jetzt für uns nur noch eine Nummer). Jedes Unternehmen würde so etwas im Umgang mit seinen Kunden hoffentlich vermeiden. Phishing-Spammer wissen hingegen ganz genau, dass ein bisschen Angst viel Verstand ausschaltet und so unvernünftiges Verhalten fördert, und sie nutzen dieses Wissen.
  7. Mailadresse
    Im speziellen Fall dieser Mail haben die Spammer eine Adresse angemailt, die gegenüber PayPal gar nicht verwendet wurde. Wer es sich angewöhnt, für jeden „wichtigen“ Dienst eine eigene, ansonsten völlig unbenutzte Mailadresse zu verwenden, hat sich gegen dieses Phishing erfolgreich geschützt. Der Aufwand für diesen Schutz, der einem schnell einige Jahre juristischen Ärger für einen unbedachten Moment der Unvorsicht ersparen kann, liegt im Bereich weniger Minuten pro eingerichteter Mailadresse und ist damit sehr empfehlenswert. Übrigens kann man diese Phishing-Mail auch bekommen, wenn man gar kein PayPal-Kunde ist.
  8. Der Begriff „Konfliktlösung“ ist seltsam
    Welches Unternehmen würde in seiner Kommunikation mit dem Kunden (also nicht intern) einen derartigen Begriff für eine seiner Stellen benutzen? Dieses Wort macht einen recht unvorteilhaften Eindruck eines konfliktträchtigen Daseins als Kunde. Die in die Mail eingebettete, externe Grafik mit diesem Begriff kommt übrigens nicht aus der PayPal-Website, sondern sie wird vom anonym nutzbaren Freehoster image (strich) upload (punkt) de eingebunden. Zurzeit kann sie dort noch betrachtet werden. Meine Abuse-Mail ist schon draußen, und ich hoffe, dass diese Grafik schnell verschwindet. Ich habe in meiner Mail übrigens darum gebeten, die Grafik nicht einfach zu löschen, sondern sie durch eine auffällige Grafik mit einem deutlichen Hinweis auf das Phishing zu ersetzen, um den Schaden durch diese Mails zu beschränken. Dieses Vorgehen werde ich in Zukunft jedem Imagehoster nahelegen, dessen Dienst von solchen Verbrechern missbraucht wird, und ich empfehle das anderen zur Nachahmung. Aber es wäre vermutlich schon viel gewonnen, wenn öfter einmal mit einer Mail auf den Missbrauch anonym nutzbarer Dienste im Web hingewiesen würde…
  9. „Genießer“ merken es in jedem Fall
    Wer sich die Mailheader anschaut, bemerkt, dass diese Mail nicht von PayPal kommt. Stattdessen wird im Header die Domain hausrattreff (punkt) de verwendet.

Doch trotz dieser Schwächen: Phishing wird besser. Arglose und unerfahrene Menschen können auf diese Spam hereinfallen. Die namentliche Ansprache macht die Spam gefährlich. Die Spammer scheinen inzwischen eine Zuordnung von Mailadressen zu Namen aus vielen Quellen zusammengestellt zu haben. Derartige Datenbanken sind unter Kriminellen im Umlauf und werden benutzt.

Es wäre an den Geschäftstreibenden im Internet, die Situation zu verbessern. Die konsequente Verwendung digital signierter Mails in der Kommunikation und die Aufklärung der Kunden über Zweck und Nutzung digitaler Signaturen würde den Phishern schon nach kurzer Zeit das Wasser abgraben und einen kriminellen Sumpf mit monströsen Umsätzen vollständig trockenlegen. Warum PayPal nicht digital signiert? Warum es niemand tut? Ich habe darauf nur eine Antwort: Weil die „Sicherheit“ vor allem ein Wort der Werbeabteilungen ist, und nicht etwa ein Streben im Sinne der Kunden. Mittelbar ist jeder Geschäftstreibende, der seine Mail nicht digital signiert, an der Seuche des Phishings und an den Schäden bei seinen von Verbrechern übertölpelten Kunden mitschuldig.

Diese Spam wurde mir von meinem Leser Cassiel zugesendet.

Die neuen Casinospams

Montag, 15. April 2013

Die Affiliate-Spammer für obskure, vom Veranstalter beliebig manipulierbare und von niemandem kontrollierte Internet-Spielhöllen haben sich zwar kein neues Geschäft ausgedacht, aber sie formulieren ihre Spam inzwischen etwas anders. Das heißt aber noch lange nicht, dass sie ihre Spam irgendwie intelligent formulieren würden.

Hier ein paar willkürlich ausgewählte Beispiele der letzten Tage:

Betreff: Dies ist great stuff [sic!]

Ihre Lieblings-Slots Spiel ist eine Glückssträhne. Go here

Dafür gibts von mir drei güldne Dada-Punkte. 😀

Betreff: Dies ist es

Mal sehen, wie viel Geld können Sie an den Slots zu machen Go here

Oder mal zusehen, mit wie viel Geld man die Zockomaten vollmacht…

Beteff: Nehmen Sie Ihr Stück

Wenn Sie eine Chance, unsere Jackpot gewinnen möchten, registrieren Sie sich bitte hier. Go here

Und immer daran denken, dass der Jackpot mit den Verlusten derer gespeist wurde, die ihn gewinnen wollten.

Die Machart dieser Spam sollte schon nach drei Beispielen klar sein. Der lustige Linktext „Go here“ scheint eine Reaktion darauf zu sein, dass „Click here“ nicht nur bei mir dazu führt, dass die Drecksmail gleich in den Müll sortiert wird. Aber andere Wörter, die nur in solchen Spams vorkommen, konnten die Idioten dann doch nicht vermeiden, etwa „Slot“ und „Jackpot“ – kein fühlender Mensch, mit den sich die Kommunikation lohnt, würde von solchen Dingen schreiben.

Ich bin mir nicht abschließend sicher, ob das immer noch die gleiche Bande ist, die in der Vergangenheit ihre Affiliate-Spam für das Magic Box Casino wie eine Sintflut in die Mailboxen gespült hat. Diese Bande hatte nämlich einen Hang zur etwas ausführlicheren Texten im E-Müll und wies auch immer auf ihre tollen „Geschenke“ in Form virtueller Jetons hin, wenn man dem Laden nur echtes Geld gibt. Bevor es diese recht lange Funkstille in der Casino-Spam gab – ich habe jetzt vier Monate lang nicht mehr diesen Schrott gesehen – hatten sie auch ein relativ fehlerfreies Deutsch in ihren Spams und nicht so ein lächerliches Gestammel. Auf der anderen Seite müssen sie ja ihre Texte ändern, denn irgendwie müssen sie die Spamfilter überlisten. Das ist ihr kriminelles „Geschäft“.

Hier der obligatorische Screenshot der Startseite des potemkinschen Casinos mit dem tollen Namen „D VIP Casino“:

Screenshot der Betrugssite

Nachdem die Spammer für das Magic Box Casino so lange keinen anständigen Grafiker hatten, ist diese Version geradezu gelungen, wenn auch ein bisschen absurd mit aus dem Weltall fliegenden Würfen – und was da an HTML und JavaScript produziert wurde, zeigt ebenfalls die mittlerweile nicht mehr erwartete Qualität eines Menschen, der sich damit auskennt. Dieser Mensch hat vermutlich den Rest der Bande auch mal darauf hingewiesen, dass ein in JavaScript realisierter, schnell hochzählender Jackpotzähler, der beim Neuladen der Seite wieder auf seinem Startwert beginnt, jedem Menschen mit einem IQ oberhalb der Lufttemperatur klarmacht, dass es sich um eine lächerliche Betrugssite handelt. Und deshalb wurde im Casino-Mummenschanz auf dieses Element verzichtet und mit einem bisschen Animated-GIF-Glitzerei und vielen JavaScript-Effekten ein dynamischer Eindruck hergestellt.

Natürlich ist das keine Casino-Site. Hier kann nur die Datei mit dem Namen casino_installer.exe heruntergeladen werden. Wenn man diese Datei auf seinem Windows installiert und sich ans Casino anmeldet, bekommen die Spammer über eine im Installer integrierte Affiliate-ID Geld. Das Casino weiß nichts von den Zusagen über 1.500 Euro Bonus und den ganzen sonstigen Märchen auf der Dreckssite. ClamAV ist übrigens der Meinung, dass dieser Installer einen Trojaner enthält. Angesichts der Tatsache, dass diese Datei sehr aktuell sein kann und dass die Antivirus-Programme immer ein paar Tage hinter der Entwicklung herlaufen, sollte auch eine einzige Erkennung bereits jede Alarmglocke schrillen lassen – aber wer wirklich so doof ist, auf seinem Computer eine Datei auszuführen, nur weil ihm das in einer offensichtlichen Spam von Kriminellen nahegelegt wurde, die ihn für ein illegales Glücksspiel gewinnen wollten, ist eh nicht mehr zu retten. Da hilft kein Antivirus-Schlangenöl mehr, da hilft nur noch das Bolzenschussgerät.

Die in den Spams verlinkte Domain vip (strich) d (strich) casino (punkt) ru wurde vor fünf Tagen eingerichtet. Wenn sie durch keinen Spamfilter dieser Welt mehr hindurchkommt, wird sie weggeworfen. Um Casino und Kundenbindung geht es diesen Verbrechern nicht, nur um Affiliate-Geld, Erzeugung eines irreführenden Eindrucks und vielleicht auch noch um die Installation von Trojanern auf den Computern ihrer Opfer.

Wichtige Meldung: Ihr Konto ist gefährdet

Mittwoch, 13. März 2013

„Gefährdete Konten“ klingt fast so wie „Vom Aussterben bedrohte Tierarten“. :mrgreen:

Der gefälschte Absender der Mail ist info (punkt) asc (at) ing (strich) diba (punkt) de, und natürlich kommt diese Mail nicht von der Bank, sondern von einem kriminellen Phisher.

Sehr geehrter Kunde

Wir haben vor kurzem erkannt das bei ihrem ING-DiBa Konto ein Problem aufgetreten ist.

Wir haben keine Ahnung, wie sie heißen und nennen sie einfach Kunde. Vielleicht heißen sie ja so. Vor kurzem haben wir bei ihrem Konto, das bedauerlicherweise genau so wenig eine Nummer hat wie unsere Empfänger einen Namen haben, ein Problem festgestellt, zu dem wir auch nichts nähreres sagen können. Und weil unsere buchhalterischen Probleme bei Problemen mit dem Konto immer von Herrn und Frau Kunde behoben werden müssen, wollen wir sie mechanisch freundlich darum bitten, uns jede Menge Daten zu geben, die ihre Bank doch schon längst kennt. Weil…

Da bei ING-DiBa Sicherheit groЯgeschrieben wird und wir ihr Konto vor unbefugter Nutzung schьtzen

…wir nicht einmal wissen, wie man „groß“ schreibt; keine Ahnung haben, wie man mit einer russischen Tastatur diese lustigen deutschen Sonderzeichen in eine HTML-formatierte Mail bekommt und auch gerade keinen Dreizehnjährigen mit guten Computerkenntnissen zu Hand haben, der uns mal erklärt, was eine HTML-Entity ist. Solche technischen Grundlagen interessieren uns auch nicht weiter, schließlich wollen wir nur spammen.

Und unser Deutschbeauftragter ist auch gerade ins Wodka-Koma gefallen:

wollen haben wir ihnen eine E –Mail geschickt bitte laden sie das darin enthaltende
Formular und melden sie sich erneut an um
fortfahren zu kцnnen.

Gemeint ist hier der Anhang. Dieser ist eine HTML-Datei mit einem HTML-Formular, das seine Zieladresse hinter einem bisschen JavaScript versteckt, damit der rottige Domainname auch durch die Spamfilter flutscht. Natürlich ist es nicht die Domain der Bank, sondern silairazum (punkt) ru. Wegen dieses Tricks muss die HTML-Datei auch in einem Browser geöffnet werden, und aktiviertes JavaScript haben richtige Opfer sowieso.

Natürlich ist die Seite wie immer „liebevoll“ nachgebaut…

Screenshot der betrügerischen Seite aus dem Dateianhang

…also genau richtig, um Kunden von denjenigen Unternehmen zu überrumpeln, deren von Technik und Internetsicherheit völlig unbeleckte Kaufleute und sonstigen professionellen Lügner auf fälschbares Design setzen, aber auf fälschungssichere digital signierte E-Mail verzichten. Da freuen sich die Kunden dann auch, wenn sie stilecht zur Login-Seite eines Phishers die Warnung vor Phishing sehen können. 😈

Mit freundlichen GrьЯen
ING-DiBa Kundenbetreuung

Warum diese Mailanhänge?

Die Phishing-Spam mit angehängten HTML-Dateien ist zurzeit häufig. Früher wurde meist eine Mail mit einem Link verwendet, der dann zu einer nachgemachten Bankseite unter falscher Domain führte.

Der Grund, weshalb inzwischen Anhänge bevorzugt werden, ist die Sicherheitsfunktion der Browser. Alle heutigen Browser in ihren Werkseinstellungen überprüfen die Adresse einer Seite, bevor sie sie öffnen – und wenn diese Adresse in erkannten Spams verwendet wurde, warnen die Browser auffällig vor dem Phishing- und Betrugsvedacht. Für die Spammer bedeutet das: Selbst, wenn ausreichend viele Mails durch die Spamfilter hindurchkommen, schafft es diese zweite Sicherung nach der Spamfilterung, dass viele Empfänger gewarnt sind und nicht mehr ganz so leichtfertig Zugangsdaten in Formularen auf obskuren Domains eingeben.

Offenbar sorgt diese Sicherheitsmaßnahme für genügende „Gewinneinbrüche“ bei den Kriminellen, so dass sie andere Verfahren ausprobieren.

Der Anhang einer HTML-Datei ist aus Empfängersicht gegenüber dem Link allerdings absurd umständlich:

  1. Der Mailanhang muss lokal gespeichert werden.
  2. Dieser gespeicherte Anhang muss dann geöffnet werden.
  3. Dann erst können Zugangsdaten für einen angeblichen Login und weitere Daten, die der Bank längst bekannt sind (Anschrift, Geburtsdatum, etc.) eingegeben werden.

Dieses Verfahren sollte auch schlichteren Gemütern als vollständig unglaubwürdig auffallen, selbst wenn die Phishing-Spams einmal besser formuliert werden.

Grundsätzlich gilt: Banken versenden solche Mails nicht. Jede E-Mail einer Bank, in der die Empfänger dazu aufgefordert werden, Daten einzugeben, die der Bank längst bekannt sind, ist eine E-Mail von Betrügern. Und generell stinkt jeder Anhang in einer nicht digital signierten E-Mail, deren Absender beliebig gefälscht sein kann.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.