Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Schlagwortarchiv „Screenshot“

Schützen Sie Ihre Postbank Card Online

Sonntag, 28. Juli 2013

So wird das niemals etwas mit dem Phishing! Eine HTML-formatierte E-Mail mit derart lustig gesetzten Absätzen und teilweise so heiterem Deutsch kann wohl kaum jemand ernst nehmen:

Sie haben diese E-Mail erhalten, weil wir gute Gründe zu glauben, dass Ihre VISA-Kreditkarte hatte kürzlich

kompromittiert haben. Um jegliche betrügerische Aktivitäten zu verhindern sind wir verpflichtet, eine Untersuchung in dieser Angelegenheit einzuleiten.

Wenn Ihre Account-Informationen nicht innerhalb der nächsten 72 Stunden aktualisiert, dann werden wir davon ausgehen,

Ihre Kreditkarte betrügerisch ist und ausgesetzt werden. Wir entschuldigen uns für diese Unannehmlichkeit zu entschuldigen,

aber der Zweck dieser Prüfung ist es, sicherzustellen, dass Ihre VISA Konto wurde nicht in betrügerischer Absicht verwendet und um Betrug zu bekämpfen.

Vielen Dank für Ihre prompte Aufmerksamkeit in dieser Angelegenheit. Bitte haben Sie Verständnis, dass dies eine Sicherheitsmaßnahme soll helfen,

schützen Sie und Ihr Konto ist.

Login Secure : https://banking.postbank.de/rai/login

Wie schon gesagt, es ist eine HTML-formatierte Mail. Der Link geht natürlich zu einer völlig anderen Adresse, auch ganz ohne HTTPS, aber dafür mit einer „liebevoll“ nachgemachten Postbank-Anmeldeseite:

Screenshot der betrügerischen Website

Wer da – trotz der lustig formulierten Phishing-Mail – vom abgekupferten Design verblendet ist und deshalb seine Anmeldedaten eingibt und „Absenden“ klickt, übermittelt diese direkt an Kriminelle. Zum Glück macht ein einfacher Blick in die Adresszeile des Browsers klar, dass es sich nicht um die Website der Postbank handelt, so dass ich mich immer wieder darüber wundere, dass noch jemand auf solches Phishing reinfällt. Wer schon einmal auf der Site der Postbank ist, kann ja auch gleich einen Blick in die aktuellen Sicherheitshinweise werfen, dort ist zurzeit eine sehr ähnliche Phishing-Mail erwähnt. Die wichtigsten Hinweise in diesem Text, der leider morgen schon durch einen anderen Text ersetzt sein könnte (weshalb ich hier auch auf eine dauerhaft archivierte Version verlinke), sind diese:

  • Die Postbank fordert ihre Kunden niemals per E-Mail auf, ihre Telefon-Banking PIN oder andere persönliche Daten zu ändern. Werden Sie sofort misstrauisch, wenn Sie eine solche E-Mail erhalten und informieren Sie uns. Vor allem aber: Geben Sie niemals Dritten Ihre PIN bekannt!
  • Folgen Sie keinesfalls Links in E-Mails, deren Quelle Ihnen unbekannt ist oder die Ihnen nicht vertrauenswürdig erscheint und öffnen Sie grundsätzlich keine Dateianhänge bei solchen E-Mails.

Das ist auch schon fast alles, was man zum Thema Phishing wissen muss – und es gilt übrigens auch für jede andere Bank, auch wenn die Werbetexter der Postbank nichts von der Existenz anderer Banken wissen wollen. 😉

Nur eine wichtige Ergänzung scheint mir erforderlich: Den meisten Menschen ist die Quelle jeder E-Mail unbekannt, die sie empfangen. Der Absender einer E-Mail lässt sich beliebig fälschen. Wer nicht gerade ein heiteres Blögchen über Spam führt, schaut sich auch nicht die Mail-Header an und weiß im Regelfall nicht einmal, was das ist. Digitale Signatur ist unüblich. Es gibt im Alltag für die große Mehrzahl der Menschen keine Mail mit halbwegs sicher bekannter Quelle. Der Stil, in dem die Postbank in diesem „Sicherheitshinweis“ die Verantwortung mehr als nur ein bisschen hinterhältig auf ihre Kunden abschiebt, aber selbst nichts dafür tut, dass ihre Kunden überhaupt eine Chance haben, die Quelle einer E-Mail sicherzustellen – zum Beispiel durch digitale Signatur der Mail – ist schon ein bisschen widerlich und kundenverachtend.

Übrigens scheint auch der unbeholfene Phisher zu wollen, dass sich seine Opfer fürs Thema Phishing interessieren. Deshalb hat er in seiner nachgebauten Login-Seite den folgenden Hinweis hinterlegt:

Aktueller Sicherheitshinweis -- Neue Phishing-Mails im Umlauf: So versuchen Betrüger, an Ihre Kontodaten zu gelangen. Jetzt informieren

Wie fürsorglich! :mrgreen:

Sicherheit Netzwerk-Update

Mittwoch, 10. Juli 2013

Bei den vielen guten Phishing-Versuchen der letzten Tage bin ich froh, dass es Phishing auch noch in mies, sprachkrank und dumm gibt. Zum Beispiel in dieser Mail mit dem gefälschten Absender sicherheitsgruppe (at) web (punkt) osu (punkt) cz, der schon darauf hindeutet, dass der Phisher zu glauben scheint, dass eine Mail von der Sparkasse echter wirkt, wenn er keine Absenderadresse der Sparkasse benutzt.

Dieser Phisher hat es aber nicht nur verabsäumt, seinen Mailexperten zur Rate zu ziehen, auch sein Deutschexperte schien gerade nicht greifbar zu sein:

Freitag 05 Juli, 2013, -- Sehr geehrter Kunde, -- Aufgrund der hohen Malware-Angriff auf unsere Datenbank haben wir unsere SSL, um unbefugten Zugriff auf verbesserte Ihrem Online-Bankkonto. -- Mit diesem Verfahren können Sie Ihr Konto vorübergehend deaktiviert werden. Wir bitten Sie, und aktualisieren Sie Ihre Online-Verifizierung Details zur dauerhaften Abschaltung von Ihrem Online-Banking-Konto zu vermeiden.. -- aktualisieren und überprüfen Sie Ihr Konto. -- Mit freundlichen Grüßen, --Sparkassen-Finanzportal GmbH -- Sparkasse Bank Germany Sparkasse Erlangen Hugenottenplatz 5 91054 Erlangen www.sparkasse.de

Natürlich kann man dieses Prachtbeispiel für die Folgen fortgeschrittener cerebraler Zerbröselung von der mir bislang völlig unbekannten „Sparkasse Bank Germany“ aus Erlangen auch bekommen, wenn man gar nichts mit Erlangen zu tun hat.

Freitag 05 Juli, 2013,

Normalerweise fangen die Fehler ja erst in der Anrede an, aber diese mit einem Komma abgeschlossene Mischung aus US-amerikanischer und deutscher Datumsangabe zeigt bereits, dass sich hier jemand nicht die große Mühe gibt.

Sehr geehrter Kunde,

Wir bekommen alle jeden Tag echte Briefe von irgendwelchen Unternehmen, bei denen wir Kunde sind und in denen wir als „Sehr geehrter Kunde“ angesprochen werden. Nicht.

Aufgrund der hohen Malware-Angriff auf unsere Datenbank haben wir unsere SSL, um unbefugten Zugriff auf verbesserte Ihrem Online-Bankkonto.

Ich versuche mal zu verstehen, was der Absender dieses Textes mit seinen unbeholfenen Worten ausdrücken will:

  • Es gibt Malware-Angriffe auf die Datenbank der Sparkasse Bank Germany. Das heißt also, dass es Computer mit installierter Malware gibt, die einen Zugriff auf den Datenbankservercluster der SBG (ich kürze das jetzt mal lieber ab) haben. Diese Computer müssten in den Geschäftsräumen der SBG stehen, denn von außen kommt man da nicht ran.
  • Und deshalb hat die SBG irgendwas mit „ihre SSL“ gemacht, um unbefugten Zugriff aufs Online-Konto zu verbessern, statt das hausinterne Problem zu lösen.

Das ist eine bemerkenswert einleuchtende Strategie aus Monty Pythons Handbuch für die Formulierung mieser Phishing-Mails. :mrgreen:

Mit diesem Verfahren können Sie Ihr Konto vorübergehend deaktiviert werden.

Und weil die so rumpatzen, haben Kunden ein Problem, das sie nur lösen können…

Wir bitten Sie, und aktualisieren Sie Ihre Online-Verifizierung Details zur dauerhaften Abschaltung von Ihrem Online-Banking-Konto zu vermeiden..

aktualisieren und überprüfen Sie Ihr Konto.

…wenn sie in eine… ähm… merkwürdig formulierte Mail klicken, woraufhin sich wundersamerweise ein Browserfenster auftut, in dem eine Seite erscheint, die in ihrem Aussehen so tut, als sei sie eine Seite der SGB, in welcher dann noch einmal alles eingegeben werden muss, was die SBG eh schon weiß, weil sie wegen „ihrer SSL“ so vergesslich geworden ist.

Der Link führte übrigens in die Domain 2476 (punkt) ir – Kunden der SBG sollen offenbar glauben, dass ihre Kontonummer im Domainnamen verschlüsselt ist.

Mit freundlichen Grüßen,

Sparkassen-Finanzportal GmbH

Mit winkendem Gruß von der Übersetzerfront

Eine Gesellschaft mit (deutlich) beschränkter Hoffnung

Sparkasse Bank Germany
Sparkasse Erlangen
Hugenottenplatz 5
91054 Erlangen
www.sparkasse.de

Immerhin ist es den unbekannten Absendern gelungen, die Adresse einer existierenden Sparkassenfiliale zu verwenden, wenn das auch nicht gerade nach der Zentrale mit großem Rechenzentrum aussieht. Für gewöhnlich völlig uninformierte Spamleser führen diesen teilweisen Treffer darauf zurück, dass den Spammern eine echte Mail dieser Filiale als Vorlage für ihre lustige Reise ins Land unbekannter Sprachen diente.

Diese gnadenlos doofe Phishing-Spam ist ein Zustecksel von S.S.

Rechtschreibfehler auf Ihrer Website blahblah.de

Montag, 8. Juli 2013

Da dachte ich gerade schon, dass ich seit einem gefühlten Jahr keine neue Spam-Masche mehr zu Gesicht bekommen habe… und da bekomme ich dieses schöne Zustecksel von S. S. mit einer neuen Masche der Spammer.

Diese Spam ist unter verschiedenen Mailadressen der im originalen Betreff genannten Domain angekommen, die ich hier nicht erwähne. In allen Fällen war der Text identisch, nur die genannten „Fehler“ variierten. Natürlich stand im Original nicht „blahblah.de“, sondern die richtige Domain.

Gefälschte Absenderadresse ist sabrina (punkt) lektorin (at) gmail (punkt) com. Die Mail wurde allerdings nicht über Google Mail mit seinem strikten Vorgehen gegen Spam transportiert; sie geht von der IP-Adresse eines Dienstleisters aus Utah, USA aus. Ob die Mailadresse bei GMail überhaupt existiert oder von jemanden anders benutzt wird, ist fraglich. Empfänger sollen diese Mail ja nicht beantworten, sondern reinklicken…

Sehr geehrte Damen und Herren,

Mir sind ein paar Rechtschreibfehler auf Ihrer Website blahblah.de aufgefallen. Ich hoffe, es macht Ihnen nichts aus, dass ich Sie darauf hinweise.

Hallo, unbekannter Empfänger,

ich habe zwar die Website besucht, aber diesen Link im Footer mit dem Text „Impressum“ habe ich nicht gefunden, so dass ich dich nicht ansprechen kann. Stattdesssen habe ich nach Rächtschraibfelern gesucht, die dort stehen. Du musst verstehen, wenn man so sehr auf der Suche nach Fehlern ist, dann liest man doch nicht auch noch. Stattdessen verwendet man eine Liste mit ganz vielen häufigen Fehlern und sucht sie skriptgesteuert mit Google ab, damit man möglichst schnell ganz viel davon hat – und die Mailadressen kann man dann mit einem schnell angepassten Harvester-Skript rausfischen, dass im Idealfall auch automatisch mailt.

Deshalb geht diese Mail ja auch nicht an die im Impressum genannte Kontaktadresse, sondern an diverse Mailadressen in dieser Domain, die irgendwo in der Site erwähnt werden. Wenn ich mir Mühe geben würde, müsste ich ja auch nicht spammen.

Zum Beispiel:

Fehlerhaftes Wort: läd
Auf dieser Seite: http://blahblah.de/
Fehlerhaftes Wort: warnehmen
Auf dieser Seite: http://blahblah.de/blah-archiv

Wie man in einer HTML-formatierten Mail diese komischen Links reinfummelt, hat mir leider noch niemand erklärt. Vielleicht finde ich ja morgen einen aufgeweckten Neunjährigen, der sich mit diesem HTML-Frickelkram auskennt. Dann muss ich auch nicht mehr so eine Peinlichkeit wie den dümmsten aller dummen Linktexte „Click here“ in meine Mail reinschreiben…

Klicken Sie hier, um es sich anzusehen!

…ohne, dass der auch nur klickbar wäre. :mrgreen:

Fehler auf Websites werfen schnell ein negatives Licht auf denjenigen, den die Website repräsentiert.

Asoziale und illegale Spam wirft zwar schnell ein negatives Licht auf denjenigen, der andere Menschen mit solcher Spam belästigt, aber das ist mir egal. Denn als Spammer habe ich keinen Ruf mehr zu verlieren.

Ich würde Ihnen gerne helfen und die ganze Website blahblah.de auf mögliche Fehler überprüfen und zwar für nur 85€. Dieses Angebot beinhaltet nicht die Überprüfung eines Onlineshops oder eines großen Archivs. Wenn Sie eine derartige Überprüfung wünschen, können wir dies gerne separat vereinbaren.

Also sei bitte so blöd und gib jemanden, der dir mit gefälschter Absenderadresse eine Mail zustellt, fünfundachtzig Euro in die Hand, weil er eine Liste häufiger Fehler googlen kann.

Damit das nicht ganz so bescheuert aussieht, wie es ist, schreibe ich noch ein paar menschelnde Worte darunter.

Ich heiße Sabrina Braun, studiere an der Uni Mainz und habe mir ein kleines Geschäft aufgebaut; ich verdiene meinen Lebensunterhalt während des Studiums, indem ich Websites auf Fehler überprüfe.

Ich bin eine Studentin, die es nicht weiter für erwähnenswert hält, was sie studiert (vermutlich Theoretischen und Angewandten Bullshit) und die mit diesen Spamnummern ihr Studium finanziert. Das klingt doch viel sympathischer als: Ich bin Spammer, der skriptgesteuert Google-Suchen startet, um häufige Fehler in Websites zu finden und dann ebenso skriptgesteuert jede Mailadresse mit seiner Spam zuballert, die in diesen Websites irgendwo erwähnt wird, und ich hoffe, mir mit den 1500 Euro, die nach jeden Tag nach meiner Spamwelle von vielleicht zwanzig darauf hereinfallenden Deppen gelegt werden, auch weiterhin einen verfeinerten Lebensstil leisten zu können, ohne mir diese lästige Mühe machen zu müssen, die fast alle anderen Menschen mit ihrer ekelhaften, anstrengenden Arbeit haben.

Ich glaube, dass wir beide von meinem Service profitieren können. Sie präsentieren Ihren Besuchern eine perfekte Website und ich verdiene mir ein bisschen dazu.

Ich glaube, dass diese noch frische Nummer das Potenzial hat, mir in den nächsten Monaten jede Menge frisches Geld zu geben.

Bezahlt wird erst, wenn meine Arbeit abgeschlossen ist, und natürlich stelle ich Ihnen gerne eine Rechnung aus.

Bezahlt wird erst, wenn ich mein Skript gestartet habe, das eine komplette Domain crawlt, nach meiner Fehlerliste abgrast und eine Report ausgibt, den ich ihnen zumaile. Achtzig Euro für den Aufruf eines Progrämmchens halte ich für einen guten Lohn.

Um alle Rechtschreibfehler auf Ihrer Website zu sehen, klicken Sie einfach hier.
http://sabrina.blogcorrector.com/bericht-bestellen/

Damit es nicht so langweilig wird, mache ich jetzt auch mal einen Fehler. Denn wenn du auf den Link klickst – dieser liegt übrigens in einer Domain, deren Registrierungsdaten über einen Whois-Anonymisierer aus dem brummenden Hong Kong verborgen werden, was für eine gewerbliche Website nicht gerade Seriosität ausstrahlt – dann siehst du nicht etwa die Rechtschreibfehler auf deiner Website, sondern ein Bestellformular:

Screenshot der Website der Rechtschreib-Spammer

Auf dieser Seite kann man nicht nur – *gröhl!*, ach nee: *gröl!* – den Preis selbst angeben, sondern auch seinen echten Namen zusammen mit seiner Mailadresse an die Spammer geben, die dann beim nächsten Mal eine persönliche Ansprache hinbekommen. Wer sich wundert, dass er es jetzt beim Bezahlen auf einmal nicht mehr mit einer Studentin zu tun hat, sondern mit einem Unternehmen aus dem schönen Ungarn, bekommt auch gleich eine tolle Erklärung dafür:

Da ich mit dem System eines ungarischen Unternehmens arbeite, welches mir die Organisation der Rechtschreibprüfungen erleichtert [sic!], und von diesem Unternehmen dann meinen Anteil an der Bezahlung erhalte, wird die Rechnung direkt von ASK FOR Ltd gestellt. Sie können per Paypal, Kreditkarte oder Überweisung zahlen

Ah ja! :mrgreen:

Und wie weiter oben schon angedeutet ist, handelt es sich bei der angebotenen „Dienstleistung“ um nichts weiter als ein Programm, das eine Website durchcrawlt und gegen eine Liste häufiger Fehler abgleicht. Oder, um es mit den Worten „Sabrinas“ zu sagen:

Ich werde Ihnen die Fehler, die ich gefunden habe, per E-mail zusenden. Mein Bericht enthält die (möglichen) Fehler [sic!], sowie meine Korrekturvorschläge und falls nötig zusätzliche Hinweise/Erklärungen.

Es sind natürlich nur „mögliche“ Fehler, weil das kein Mensch mit einem Gehirn macht, sondern ein dummes Skript. Jeder, der schon einmal eine Rechtschreibprüfung in einer Textverarbeitung benutzt hat, weiß um die Schwächen.

Der schwarze Balken im Screenshot (und im Foto aus der Mail, das gleich folgt) ist natürlich von mir, denn ich muss davon ausgehen, dass die asozialen Spammer das Foto von „irgendwo aus dem Internet“ mitgenommen haben, um ihre bescheidene Nummer mit einem menschlich aussehenden Gesicht zu dekorieren, ohne die eigene Anonymität zu verlassen. Ob die in Ungarn beheimatete Limited überhaupt existiert, konnte ich so schnell nicht herausbekommen. Dass die Site kein Impressum hat, versteht sich von selbst.

Mit freundlichen Grüßen,

Angebliches Foto von Sabrina Braun
Sabrina Braun
Studentische Web-Lektorin
www.sabrina.blogcorrector.com

Mit mechanischem Gruß
Deine Spammer mit der neuen Masche

PS:
Wenn Sie meinen Service in Anspruch nehmen, erhalten Sie einen solchen Bericht:
http://sabrina.blogcorrector.com/beispielbericht

Ach so, wenn das Skript gestartet wird, entsteht nach höchstens einer Sekunde Datenverarbeitung so ein Bericht:

Screenshot des Beispielberichtes

Ihre Website blahblah.de zu überprüfen kostet Sie nur 85€.

Für den Start des Skriptes nehmen wir lächerliche fünfundachtzig Euro. 😀

Falls ich diese Nachricht an die falsche Person adressiert haben sollte, entschuldige ich mich hiermit vielmals und wäre Ihnen dankbar, wenn Sie die E-mail an die entsprechenden Kontakte weiterleiten könnten. Vielen Dank!

Vielen Dank, dass du dich nicht weiter daran störst, dass ich meine Drecksspam an jede auf einer Website erwähnte Mailadresse sende, ohne mich um die Angaben im Impressum zu kümmern. Denn selbst zu lesen kostete mich einfach zu viel von meiner Lebenszeit, die ich lieber damit verbringe, das Geld meiner Opfer für angenehmere Dinge auszugeben. Und wenn du dich daran störst: Auch vielen Dank. Meine Höflichkeit ist nur aufgesetzt, denn ich bin ein Spammer.

Danke, S. S., für dieses Zustecksel aus dem täglichen Spamklo…

Und dann war da noch „Ruby Palace“

Dienstag, 25. Juni 2013

Und dabei habe ich nach so viel Funkstille schon geglaubt, dass die Affiliate-Spammer für das „Magic Box Casino“ nach gefühlten vier Jahren Spam jeden naiven Menschen in ein Opfer verwandelt haben und ihre Spamflut deshalb eingestellt haben, weil einfach niemand mehr auf diesen Bullshit hereinfällt.

Aber nein, sie sind wieder da. Und damit ich das auch nicht übersehe, haben sie es mir gleich zweimal im Verlaufe von sechs Stunden gesagt, dass sie wieder da sind – mit ihren üblichen Qualitätsspams aus den üblichen Textbausteinen, die so ausgelutscht sind, dass einem kaum noch etwas dazu einfällt.

Betreff: Starten Sie mit einem sensationellen Willkommens-Angebot durch

Ruby Palace bietet den besten Willkommens-Bonus im Netz! Melden Sie sich gleich an und profitieren Sie von einem Bonus, der Ihre Einzahlungen verdreifacht.

Mehr als 450 Weltklasse-Casinospiele erwarten Sie mit Spannung, Unterhaltung und gewaltigen Gewinnen.

Solange Sie im Ruby Palace spielen, erhalten Sie wöchentliche und monatliche Bonusse und andere Angebote.

Alle Spieler/innen im Ruby Palace profitieren von unserem erstklassigen 24-Stunden-Kundenservice. Wir sind immer für Sie da und Sie können uns über kostenlose Hotlines, E-Mail und Live-Chat kontaktieren.

Registrieren Sie sich noch heute, sichern Sie sich Ihren exklusiven 200% Willkommens-Bonus und genießen Sie den besten Service der Industrie! [sic!]

http://www.extralotrubydream.com/

Hier der obligatorische Screenshot des aktuellen Design-Gestrokels für die Wegwerfseiten:

Screenshot der betrügerischen Website Ruby Palace

Wer auf „Herunterladen & Spielen“ klickt und die heruntergeladene Datei auf seinem Rechner ausführt, lasse alle Hoffnung fahren. Diese Datei kommt von Spammern, und die haben keinen Grund, sich auf das Affiliate-Geschäft mit dem in der BRD illegalen Glücksspiel zu beschränken. Dass hier (zurzeit noch) nur in einem Fall eine mögliche Schadsoftware von Antivirusprogrammen erkannt wird, muss also nichts bedeuten. Software von kriminellen Spammern ist nicht empfehlenswert. Punkt.

Lustig ist, dass die Wegwerfdomains jetzt aus vier Namensbestandteilen bestehen. Offenbar sind alle sinnvollen (und die ganzen sinnlosen) Kombinationen aus drei Bestandteilen inzwischen für Wegwerfdomains „aufgebraucht“. Die Website dieses Casinos wurde übrigens erst gestern frisch eingerichtet, und die bei der Registrierung verwendete australische Anschrift ist Google Maps nicht bekannt – schade, ich hätte gern mal ein paar Fotos des betrieblichen Umfeldes rausgesucht, in dem das Internet für diesen „besten Service der Industrie“ gemacht wird… 🙁

Sechs Stunden später war diese frische Domain offenbar nicht mehr gut genug, wie die zweite automatisch erzeugte Mitteilung dieser lobotomierten Grabverweigerer belegt:

Betreff: Im Ruby Palace werden Einzahlungen jetzt verdreifacht

Registrieren Sie sich noch heute im Ruby Palace und Sie qualifizieren sich [sic!] für einen unglaublichen 200% Bonus auf Ihre erste Einzahlung.

Nachdem Sie sich anmeldeten und wir Ihren Kontostand kräftig aufgestockten [sic!], haben Sie Zugriff auf über 450 der besten Online Casinospiele, einschließlich Thunderstruck II, The Dark Knight™ und Mega Moolah.

Unser Angebot endet natürlich nicht mit dem Willkommens-Bonus. Jede Woche folgen außergewöhnliche Angebote, wie Bonusse auf Einzahlungen und vieles mehr.

Natürlich garantieren wir Ihnen einen Weltklasse-Kundenservice, den Sie täglich, rund um die Uhr mittels Anruf, E-Mail oder Live Chat erreichen können.

Worauf warten Sie noch? Melden Sie sich noch heute an!

http://www.artlotrubygrand.com/

Aus Extraviel Rubin-Traum ist binnen sechser Stunden Kunstgänze Rubin-Groß geworden. Diese Leute wissen gar nicht, wie gut sie als Dadaisten sind! Und dabei wollen sie nur den Spamfiltern voraus sein – ganz so, als ob Wörter wie „Ruby Palace“, „Casino“ und „Bonus mit dreistelliger Prozentangabe“ irgendwo auf dieser Welt noch durch die Filterung kämen.

Ach ja, natürlich liegt auf der anderen Wegwerfdomain, die ebenfalls gestern mit einer angegebenen Anschrift in Polen eingerichtet wurde, genau die gleiche betrügerische Website – die kein eigenständiges Casino ist, sondern ein Affiliate-Geschäft mit dem „Magic Box Casino“, das mit hoher Wahrscheinlichkeit nach der Einzahlung nichts von den tollen Zusagen der Spammer wissen wird.

Sparkasse Konto Nachrichten

Mittwoch, 29. Mai 2013

Ich hätte aber lieber die Sportnachrichten. :mrgreen:

Schlechtes Phishing

Angeblicher Absender dieser Mail ist onlinedat (at) sparkasse (punkt) de. Natürlich ist der Absender gefälscht und diese Mail kommt nicht von der Sparkasse. Die Sparkasse würde auch kaum ihre Kunden mit einer Mail anschreiben, die sie über einen in den USA gemieteten Server versendet.

Sehr geehrter Kunde,

Ja, manchmal bin ich Kunde. Zum Beispiel, wenn ich ein Brot kaufe.

Ihr Online-Banking-Konto wurde eingeschrankt

Huch! Und warum das? Und unter welchem Namen führe ich das Konto? Mit welcher Kontonummer? Bei welchem Kreditinstitut? Und seit wann heißt das Produkt dieses Kreditinstutes „Online-Banking-Konto“? Und warum gibt es keine Umlaute?

Klicken Sie auf den folgenden Link, um alle blockierten Zugriff [sic!] wiederherzustellen.

Anmelden

Und ja nicht darüber wundern, dass der Link gar nicht zur Sparkasse geht! Und bloß nicht die Frage stellen, warum die Sperrung eines Kontos aufgehoben wird, wenn man „der Sparkasse“ lauter Dinge sagt…

Screenshot der Phishing-Seite

…die die Sparkasse schon längst weiß! Einfach einen notdürftig als „Kontoupdate“ verlarvten Datenstriptease machen und an die organisierte Kriminalität weiterleiten! Nicht darüber wundern, dass die zwar vom „Online-Banking-Konto“ sprechen, aber die Daten einer Kreditkarte haben wollen!

Au weia, Phisher, früher habt ihr euch aber auch mehr Mühe gegeben…

Customer Care Account Dept.
© sparkasse.de 2013 Alle Rechte vorbehalten.

Nein, der miese Phish ist nicht alles

Was in diesem Zitat übrigens untergeht: Damit ist die Mail noch lange nicht zu Ende. Der Spammer scheint nämlich der Meinung zu sein, dass eine HTML-Mail erst dann so richtig HTML wird, wenn da auch noch eine Menge aus normaler Lesersicht zunächst völlig unsichtbares JavaScript dranhängt, und so hat er sich entschlossen, die folgenden Skriptversuche zu machen:

Auszug aus dem Quelltext der Spam

Der im Screenshot sichtbare Bereich macht ungefähr ein Viertel des gesamten Codeumfangs aus.

Natürlich wird ein vernünftig konfigurierter Mailclient niemals JavaScript in einer E-Mail ausführen. Aber dieses kleine Beispiel aus der täglichen Spamhölle zeigt einmal mehr, warum man gar nicht vorsichtig genug sein kann, wenn man es mit Spam zu tun hat und warum man auch lächerliche Spam niemals unterschätzen darf. Hier sollen JavaScript-Fragmente von allen möglichen Stellen im Internet abgeholt und lokal ausgeführt werden. Es ist davon auszugehen – nein, ich habe mir das jetzt nicht in allen seinen blutigen Einzelheiten angeschaut – dass auf diesem Wege versucht wird, aktuelle Schadsoftware zu installieren.

Und deshalb benutzt man einen vernünftig konfigurierten Mailclient (ich empfehle „normalen“ Anwendern den Thunderbird, und zwar immer auf aktuellem Stand), bei dem in der Standardkonfiguration die Ausführung solcher Versuche vollkommen auszuschließen ist. Ich weiß gar nicht, mit welcher Software oder mit welchem Webmailer ein derartiger Angriff erfolgversprechend wäre. Aber es muss dermaßen unsichere Software geben, sonst gäbe es nämlich diese Spam nicht. Die Verbrecher sind, was solche Dinge betrifft, auf dem neuesten Stand. Sie leben davon.

Angesichts der Tatsache, dass das Phishing geradezu lächerlich schlecht ist, vermute ich sogar, dass eine im Hintergrund laufende Installation von Schadsoftware der eigentliche Zweck dieser Mail ist – und das Phishing eher eine Nebensache, gar nicht so wichtig für die Absender. Ein Empfänger mit verwundbarer Mailsoftware sieht diese Spam, schaut eine Sekunde drauf, lacht womöglich noch darüber, löscht sie und vergisst sie… und ist damit bereits infiziert.

Merchant Statement

Montag, 6. Mai 2013

Das ist mal wieder so eine richtig überzeugend aussehende „geschäftliche“ E-Mail im Mülleingang (hier als Screenshot aus meinem Thunderbird für den größeren Schmerz bei der Betrachtung):

Betreff: Merchant Statement -- Von: secure punkt fundsxpress punkt com -- Datum: 06.05.2013 11:35 -- An: Mich -- Attached is your Fundsxpress.com Paymentech electronic Merchant Billing Statement. If you need assistance, please contact your Account Executive or call Merchant Services at the telephone number listed on your statement. PLEASE DO NOT RESPOND BY USING REPLY. This email is sent from an unmonitored email address, and your response will not be received by Fundsxpress.com Paymentech. Fundsxpress.com Paymentech will not be responsible for any liabilities that may result from or relate to any failure or delay caused by Fundsxpress.com Paymentech's or the Merchant's email service or otherwise.Fundsxpress.com Paymentech recommends that Merchants continue to monitor their statement information regularly. ---------- Learn more about Fundsxpress.com Paymentech Solutions, LLC payment processing services at Secure.Fundsxpress.com. ---------- THIS MESSAGE IS CONFIDENTIAL. This e-mail message and any attachments are proprietary and confidential information intended only for the use of the recipient(s) named above. If you are not the intended recipient, you may not print, distribute, or copy this message or any attachments. If you have received this communication in error, please notify the sender by return e-mail and delete this message and any attachments from your computer.

Die großen Geheimnisse, wie man eine HTML-formatierte Mail ansprechend gestaltet und wie man Textauszeichnungen wie fettsetzen ANSTELLE DER GROSSBUCHSTABEN benutzt, scheinen bei diesen ganz großen Geschäftemachern eben so wenig angekommen zu sein, wie dieses ebenfalls unfassbare Geheimnis vom Setzen eines Hyperlinks.

Im Anhang hängt ein 207 KiB großes ZIP-Archiv, das – wer hätte das für möglich gehalten! – eine knapp 240 KiB große, ausführbare Datei für Microsoft Windows enthält. Diese Datei wird zurzeit von der Hälfte der gängigen Antivirus-Schlangenöle nicht als das erkannt, was sie ist: Schadsoftware.

Aber in eine derart missratene Spam wird wohl niemand geklickt haben.

AW: Anfrage vom 03.05.2013

Samstag, 4. Mai 2013

Oh, wie „nett“, dass ich auf meine niemals gestellte Anfrage gleich vier Antworten auf vier verschiedene Mailadressen bekommen habe, und zwar binnen einer einzigen Minute. Sonst würde ich das noch übersehen…

Die Spams kommen mit dem Absender m (punkt) kubicki (at) vergleichen56 (punkt) pw, das wird sich demnächst aber wohl ändern.

Hallo ,

Natürlich weiß der Spammer nicht, wer ich bin. Die drei Leerzeichen zwischen Hallo und Komma lassen mich allerdings vermuten, dass da in anderen Fällen ein Geschlecht, ein Vorname und ein Nachname stehen könnten – entsprechende Zuordnungen von Namen zu Mailadressen haben die Spammer ja nach vielen Datenlecks zur Verfügung. Das Geschlecht halte ich für möglich, weil man es mit einer Trefferquote von deutlich über 90 Prozent aus der Endung des Vornamens erschließen könnte. (Vielleicht bin ich da aber in meinen Gedanken einfach nur kreativer als ein Spammer, und das dritte Leerzeichen steht da, weil es da eben steht.) Leider lässt sich der Spammer nicht davon abhalten, seine Drecksmail rauszupusten, nur weil er den Namen nicht kennt, und leider ist er auch zu doof, sein Skript so zu programmieren, dass dann keine Splenks zwischen „Hallo“ und dem Komma stehen. Nun, wenn er sich Mühe gäbe, wäre er ja auch kein Spammer geworden.

nochmals vielen Dank für Ihre Anfrage vom 03.05.2013.

Natürlich weiß ich von keiner Anfrage. Diese Spam scheint also nicht für mich zu sein, gleich mal löschen… 😀

Ich habe eine gute Nachricht für Sie, nach genauerer Überprüfung [Tolle Leistung für einen, der mich nicht kennt!] habe ich festgestellt, dass Sie zukünftig 2.600,- Euro einsparen können.

Nähere Einzelheiten und Informationen können Sie hier einsehen:

http://www.vergleichen56.pw/

Die im Link verwendete Domain wurde gerade erst vor ein paar Stündchen eingerichtet, und natürlich hat der Spammer seine Registrierungsdaten lieber hinter einem Whois-Anonymisierer versteckt, was für geschäftliche Webauftritte in jedem Fall hoch verdächtig ist. Aber unter dieser Wegwerfdomain gibt es sowieso nur eine Weiterleitung auf die immerhin schon vor fast zwei Monaten eingerichtete Domain sparen (strich) 2013 (punkt) com, bei der die Registrierungsdaten auf die gleiche Weise versteckt wurden. Dass die kriminelle und asoziale Spamreklame immer ein Alarmsignal sein sollte, versteht sich von selbst.

In der dort herumliegenden Website¹ kann man dann…

Screenshot der betrügerischen Website

…nicht nur lesen, dass man mehr als fünf lila Lappen dadurch sparen kann, dass man das Angebot einer anderen Krankenversicherung durch einen Kriminellen annimmt, sondern man erhält auch gleich Gelegenheit, neben der gerade zugespammten Mailadresse einen Vornamen, einen Nachnamen, ein Geburtsdatum und eine Anrede zu hinterlegen, dass die nächste Spam etwas besser personalisiert und damit etwas gefährlicher ist. In einem hier nicht als Screenshot abgebildeten zweiten Schritt muss man dies um die Angabe der Postanschrift, der Telefonnummer und des Berufes ergänzen, so dass zudem ein Identitätsmissbrauch durch die Spammer möglich wird. Warum man das tun sollte? Weil man dann an einen „kostenlosen Schnell-Vergleich“ kommt, der aber aus unerklärlichen Gründen nicht so offen kommuniziert werden soll, dass er auf einer Website nachlesbar ist. Natürlich völlig kostenlos, und es lohnt sich und ist günstig. Und kostenlos. Sagt ein Krimineller. Auf einer impressumslosen Website, die unter einer anonym registrierten Domain verfügbar ist. Da kann man doch gar nicht widerstehen, der wird bestimmt nur das Beste wollen! :mrgreen:

Ohne zurzeit Näheres von dieser Betrugsmasche zu wissen, gehe ich davon aus, dass beim Abschluss eines als sehr attraktiv dargestellten Vertrages eine Vorleistung erforderlich wird – für nichts, versteht sich. Weiteres weiß ich erst, wenn die 75jährige „J. Bosch“ auf ihrer Wegwerfmailadresse eine Antwort bekommen hat. Es kann aber auch einfach nur um die Sammlung von Adressmaterial für betrügerische Geschäfte mit der Identität anderer Menschen gehen.

Wer den Datenbestand solcher Spammer ebenfalls ein bisschen vergiften möchte, hat im Fake Name Generator ein gutes Hilfsmittel, das garantiert Anschriften generiert, die es nicht gibt. 😉

Ich hoffe das Sie mit mit meinem Service zufrieden sind und freue mich von Ihnen zu hören.

Besonders freundlich an diesem „Service“ fand ich die quasi gleichzeitige Zustellung an mehrere von mir verwendete Mailadressen. Ich wünsche dem Absender dieses Mülls, dass ihm möglichst schnell seine vereiterten Hoden unter unerträglichen Schmerzen vom Körper fallen mögen – und dass er dabei auf die von ihm selbst angebotene Krankenversicherung zurückgeworfen ist.

Mit freundlichen Grüßen

Maren Kubicki
Verbraucherberatungsservice

Ein Gruß, freundlich wie eine Spam, die einem ins Postfach gemacht wird. Geh sterben, Spammer!

¹Ich habe die Gesichter verpixelt, weil ich davon ausgehen muss, dass das Foto irgendwo aus dem Web „mitgenommen“ wurde.

Update your amorous software

Freitag, 3. Mai 2013

..Hello___Elias «Can cf adia juk nPha hmn rmacy» onl ryq ine dru bzm gst qpq ore is the leading Can ykr adian dru llk gst umn ore which daily ships hundreds of orders to patients internationally. More and more people start purchasing me fzt dica vwe tions in Can sy ada, since they are much more cheaper than American ones and are of the same quality, and manufactured according to the same strict standards. Purchase with «Can ung adia zz nPha fm rmacy» and your me dt dicat qm ions will come right on time well packed and in perfect condition. Privacy and confidentiality are guar kyn anteed! Start new life with «Can all adia lf nPhar hd macy»! ... www.dxxxxxxxxe.ru

Ganz großes Kino, dein in einem vernünftig konfigurierten Mailclient nicht funktionierendes CSS-Gestrokel, Spammer! Und dass deine „Canadian Pharmacy“, die man in dieser Buchstabensuppe noch erahnen kann, ausgerechnet die russische TLD .ru verwendet, das spricht für sich selbst und natürlich für die „Qualität“ deiner viel billigeren Giftpillen

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.