Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Schlagwortarchiv „Screenshot“

PayPal – Sicherheitsüberprüfung

Mittwoch, 27. Februar 2013

Achtung! Diese Mail kommt nicht von PayPal! Es handelt sich um einen Phishing-Versuch von Kriminellen.

Das nenne ich mal ein gutes Design für eine Phishing-Spam!

*Sehr geehrter Kunde,* um Ihr Kundenkonto noch mehr Sicherheit zu gewähren, haben wir das M-Tan Verfahren eingeführt. Dieses Verfahren ist aus dem Onlinebanking bekannt und zählt zu einem der schnellsten und sichersten. Sobald Sie eine Zahlung tätigen, bekommen Sie eine PIN auf Ihr Handy, um die Zahlung zu verifizieren. Falls Sie noch keine Handynummer für das M-Tan Verfahren hinterlegt haben, können Sie dies hier tun. Nach einer kurzen Überprüfung Ihrer Daten, steht das Verfahren sofort für Sie bereit. Wir benachrichtigen Sie umgehend per E-Mail, wenn das M-Tan Verfahren aktiv ist. Mit freundlichen Grüßen Ihr PayPal Kundenservice

Das gute Design kann allerdings kaum über inhaltliche Schwächen hinwegtäuschen:

Dass es keine Mail von PayPal ist, zeigt sich nicht nur an der eigenwilligen Formulierung „um Ihr Kundenkonto noch mehr Sicherheit zu gewähren“, sondern auch an der unpersönlichen Anrede. Der Link geht dann auch nicht etwa auf die deutschsprachige PayPal-Webseite, sondern auf die fragwürdige Domain kunden37 (punkt) secure (strich) paypal (punkt) de, die natürlich nichts mit PayPal zu tun hat. Jeder kann sich eine Domain registrieren, auch eine, die den Namen einer beliebigen Firma als Namensbestandteil enthält – und Verbrecher machen das gern.

Auf der richtigen Website von PayPal könnte man hingegen alles nachlesen, um sicher zu erkennen, dass es sich hier um Phishing handelt:

Phishing (zusammengesetzt aus den Begriffen password und fishing, also das „Fischen“ nach Passwörtern) funktioniert nach dem immer gleichen Prinzip: Internet-Nutzer bekommen eine E-Mail oder einen Link in einer E-Mail zugeschickt, der nach einer offiziellen Mitteilung eines bekannten Unternehmens aussieht und meist sogar mit originalen Logos und Internet-Adressen versehen ist. Beim Klick auf diesen Link können Daten abgefangen werden.

Daran erkennen Sie echte PayPal-E-Mails

  • Sie können sich darauf verlassen: Unsere E-Mails kommen immer ohne Anhang.
  • Wir sprechen Sie immer mit vollständigem Vor- und Nachnamen an.
  • Wir werden Sie in E-Mails nie auffordern, Ihre Kreditkartennummer oder Kontoverbindung, Ihr Passwort, Ihre E-Mail-Adresse oder Ihren vollständigen Namen, die PIN oder TAN Ihres Bankkontos direkt preiszugeben. Das geschieht ausschließlich in Ihrem PayPal-Konto.

Wenn Sie sich nicht sicher sind, ob Sie es mit einer Phishing-Mail oder einem seriösen Link zu tun haben, öffnen Sie ein neues Browser-Fenster. Gehen Sie auf www.PayPal.de und geben Sie auf dieser selbst aufgerufenen Seite Ihr Passwort ein. E-Mails, die auf eine Phishing-Mail hindeuten, können Sie an spoof@paypal.com weiterleiten. Danach sollten Sie die Mails aus dem E-Mail-Konto löschen.

Die Phishing-Site ist zum Glück mittlerweile vom Hoster aus dem Netz genommen worden, so dass ich nicht mehr abschließend nachvollziehen kann, wie die Betrugsnummer hier läuft.

Aber ich habe folgenden Verdacht:

  1. Es wird auf einer „liebevoll“ nachgemachten PayPal-Seite die Eingabe der PayPal-Anmeldedaten gefordert – frei nach dem Motto „Melden sie sich an“
  2. Diese Anmeldedaten gehen an die Verbrecher, die damit vollständigen Zugriff auf das PayPal-Konto bekommen. Sie können betrügerische Geschäfte darüber abwickeln, Geld bewegen und das Geld auf das Konto eines Muli überweisen, der dann über Western Union, MoneyGram oder durch Bargeld-Übergabe weiterleitet.
  3. Die angegebene Handynummer wird nicht für irgendein MTAN-Verfahren eingetragen. Dies ist nur der Vorwand, der angebliche Grund für diese „Mitteilung von PayPal“.
  4. Es ist aber auch gut möglich, dass die so mitermittelte Handy-Nummer verbrecherisch benutzt wird, dass also „alarmierende“ SMS-Nachrichten oder gar Anrufe „von PayPal“ kommen, um darüber eine zusätzliche Betrugsnummer durchzuführen. Wenn das der Fall ist, weiß ich nicht, wie hier vorgegangen wird. Möglichkeiten gibt es einige, bis hin zur telefonischen Abfrage von weiteren Daten (Kreditkarte, Bankkonto) unter ausgelöstem Stress.

Es ist also nur das „gewöhnliche“ Phishing – mit einer Unsicherheit, ob die Telefonnummer für weitere Betrügereien verwendet wird. Die persönlich genutzte Telefonnummer ist generell ein Datum, das man nur sehr sparsam an andere weitergeben sollte, auch wenn sich in letzter Zeit eine bedenkliche Tendenz feststellen lässt, dass sie in allen möglichen Kontexten (zum Beispiel für die Nutzung von Google-Diensten) ohne sachlichen Grund dreist und unter der Behauptung zusätzlicher „Sicherheit“ eingefordert wird. Ein Telefonanruf geht wesentlich intensiver in die private Spähre hinein, als das eine E-Mail jemals könnte, und gewerbsmäßige Betrüger wissen ebenso wie windige Kaufleute, wie in solchen Situationen jener Stress ausgelöst werden kann, der zur Unvernunft führt.

Im Falle dieser Mail gilt einmal mehr: Wer niemals in eine Mail klickt und die Adresse von Websites wie PayPal, eBay oder seiner Bank immer direkt in die Adresszeile seines Browsers eingibt, kann auf das Phishing über Mail kaum hereinfallen.

Deshalb: Niemals in eine Mail klicken!

Danke für die Zusendung dieser aktuellen Phishing-Spam an S. K.

Mitteilung !

Montag, 25. Februar 2013

Diese Mail, die behauptet, von einem Absender namens „Commerz Bank“ zu kommen (ganz so, als wüsste die Commerzbank nicht mehr, wie sich ihre eigene Firmierung schreibt), ist nur echt mit einem Splenk vor dem Ausrufezeichen! Die gefälschte Absenderadresse ist infos (at) commerz (punkt) de. Diese Mail ist scheinbar ohne Inhalt, denn sie enthält nur eine extern eingebettete JPEG-Grafik [in Originalgröße betrachten]:

Sehr geehrter Kunde, Wir möchten Sie darüber informieren, dass Ihr Konto von einem nicht autorisierten Computer zugegriffen wurde. Bitte besuchen Sie uns bestätigen, dass Sie der Inhaber des Kontos sind. https (doppelpunkt) (doppelslash) www (punkt) commerzbanking (punkt) de (slash)

Der in 53,8 KiB transportierte Text ist so lächerlich wie die meisten Phishing-Texte.

Sehr geehrter Kunde,

Wie üblich hat der Spammer keine verdammte Ahnung, wie seine Leser heißen. Kein Unternehmen, dass auch nur ein bisschen Wert auf seine Kunden legt, würde zu einer so unpersönlichen Ansprache gegenüber namentlich bekannten Menschen greifen.

Wir möchten Sie darüber informieren, dass Ihr Konto von einem nicht autorisierten Computer zugegriffen wurde.

Diese Computer aber auch immer… :mrgreen:

Bitte besuchen Sie uns bestätigen, dass Sie der Inhaber des Kontos sind.

https://www.commerzbanking.de/

Wie jetzt, ich denke, ich bin „Sehr geehrter Kunde“? Und da soll ich noch bestätigen, dass ich das bin?! Na ja, wenn die Spammer und Phisher sich mit ihren Texten ein bisschen Mühe geben würden, könnten sie ja auch gleich arbeiten gehen…

Diese tolle Grafik ist verlinkt mit http (doppelpunkt) (doppelslash) mail (punkt) aronfeld (punkt) com (slash) commerz (slash), was nicht gerade die Website der Commerzbank ist. Dort kann man eine „liebevoll“ nachgemachte Website der Commerzbank genießen, auf der man sich „einloggen“ kann…

Screenshot der betrügerischen Phishing-Site, Login

…was natürlich in Wirklichkeit bedeutet, dass man seine Zugangsdaten an Kriminelle übermittelt. In einem zweiten Schritt „kann“ man dann seine Kreditkartendaten an Kriminelle geben:

Screenshot der betrügerischen Phishing-Site, Eingabe der Kreditkartendaten

Mit diesen Daten können die Verbrecher eine Menge betrügerischer „Geschäfte“ auf Kosten anderer Leute machen, um auch weiterhin ein hübsches Leben ohne diese ganze lästige Mühe führen zu können. Danach – ich habe mal flugs ein paar Daten aus dem Fake Name Generator übertragen, damit die Phisher ein bisschen mehr Schrott in ihren gesammelten Daten haben – geht es weiter zur echten Website der Commerzbank, auf der man zwar jede Menge Reklame für die Commerzbank lesen kann, aber kein Wort über die laufende Phishing-Masche. Da die Website der Commerzbank vorsätzlich so gestaltet ist, dass man über die Suchfunktion gefundene Informationen zum Thema Phishing nicht bequem verlinken kann (Gruß von den gedankenlosen Schwachköpfen, die dort das Web machen), habe ich keine Lust, einen Link auf den gut versteckten Text innerhalb der Commerzbank-Website zu setzen und sage es kurz mit eigenen Worten: Niemals wird irgendeine Bank in einer E-Mail dazu auffordern, Konten zu bestätigen, indem Daten eingegeben werden, die der Bank längst bekannt sind. Das wäre ja auch objektiv schwachsinnig. Wenn das Konto von Kriminellen missbraucht werden konnte, haben die Kriminellen bereits die Daten.

Wer trotzdem alarmiert von der Mail war, die ja immerhin einen kriminellen Angriff auf das eigene Konto zu behandeln vorgab; wer deshalb kurz gedankenlos war und darauf reingefallen ist, sollte unbedingt und sofort Kontakt zur Commerzbank aufnehmen, um die Karte sperren zu lassen und das weitere Vorgehen in dieser Sache abzusprechen.

Wer dabei noch einen Gruß von mir mit loswerden möchte, kann ja mal anmerken, dass es nicht stimmt, dass über JavaScript realisierte Links in Websites irgendwie besser sind als das einfache, gute, alte HTML und dass das Verstecken relevanter Informationen über typische Betrugsnummern im Internet vor allem der organisierten Internet-Kriminalität nützt und damit den Kunden der Commerzbank schadet. Denn der gegenüber der Commerzbank angerichtete Schaden ist etwas, wofür alle Kunden der Commerzbank ein kleines bisschen in Haftung genommen werden – über allgemeine Gebühren, geringere Einlagenzinsen, höhere Darlehenszinsen und so weiter. Das allein kann man auch durchaus zum Anlass nehmen, darüber nachzudenken, ob man wirklich dazu bereit ist, weiter für eine Gedankenlosigkeit zu bezahlen, die vor allem ein paar Leuten nützt, die außer ihrer Mutter wohl niemand vermissen würde, wenn es sie nicht gäbe.

[NewsCenter] Wichtige Mitteilung Feb. 2013

Sonntag, 17. Februar 2013

In der Tat, wir haben Februar 2013, aber was ist daran jetzt so wichtig? Oder gar so neu? 😀

Screenshot der HTML-Darstellung der Spam

Soso, das soll also eine Mail von Amazon sein. Interessanterweise ist als (gefälschte) Absenderadresse aber nicht irgendwas (at) amazon (punkt) com angegeben, sondern mail (at) service (punkt) de, was die ganze Sache gleich unglaubwürdiger macht. Ich mein ja nur, Spammer: Wenn du schon den Absender fälschst, kann du es auch gut und überzeugend machen.

Aber jemand, der die Dinge gut macht, wird eben kein krimineller Spammer. Nur dieses Pack, das bei jeder kleinen Mühe oder intellektuellen Anstrengung denkt „Da könnte ich ja gleich arbeiten gehen“, kommt auf die Idee, vom Internet-Betrug zu leben.

Februar 2013

Ah, ich verstehe: Beim Internet-Unternehmen Amazon weiß niemand, dass die Mails bereits mit einem Datum im Header kommen, das selbstverständlich von jedem Mailclient dieser Welt angezeigt wird (es kann sogar in jedem vernünftigen Programm als Sortierkriterium verwendet werden). Und deshalb wird einfach das Datum noch einmal reingeschrieben, aber natürlich nicht so exakt wie im Mailheader, sondern als Monatsangabe. Das sieht wirklich ziemlich doof aus.

Wichtige Kundenmitteilung

Die kommt natürlich auch bei Leuten an, die keine Kunden sind.

Sehr geehrte Kundin, sehr geehrter Kunde,

Der Absender hat nicht die geringste Ahnung, wie die Empfänger dieses Müllbriefes heißen – und das unterscheidet ihn von Amazon. Keine Unternehmung würde darauf verzichten, ihre Kunden mit Namen anzusprechen.

Wir möchten Sie auf [sic!] die neuen Amazon Bestimmungen [sic! Deppen Leer Zeichen!] vom 01.02.2013 in Kenntnis setzen.

Wie soll man diesen Strunz verstehen? Soll ich mich jetzt auf einen Papierstapel mit irgendwelchen „neuen Bestimmungen“ stellen, um darauf stehend über irgendetwas Ungenanntes in Kenntnis gesetzt zu werden? Mit Grammatikfehler? :mrgreen:

Und überhaupt: „Bestimmungen“! Man könnte denken, der Verfasser dieses Bullshits hat noch nie einen deutschsprachigen Brief eines Unternehmens an seine Kunden aufmerksam gelesen. (Ja, „aufmerksames Lesen“ ist auch so eine Mühe, die der Spammer nicht mag.) Sicher, die „bestimmen“ so einiges, aber die nennen das niemals so. Auf deutsch spricht Amazon von den „Nutzungsbedingungen“, und wie man durch einfaches Betrachten der Amazon-Seite mit den Nutzungsbedingungen herausbekommt, wurden diese zum letzte Mal am 5. September 2012 geändert und nicht etwa wie behauptet am 1. Februar 2013. Wer schon nicht bei der unpersönlichen Ansprache skeptisch geworden ist, sollte spätestens bei dieser Kleinigkeit bemerken, dass diese Mail nicht von Amazon kommt. Oder soll man etwa glauben, dass Amazon nirgends seine aktuellen „Bestimmungen“ rechtsverbindlich veröffentlicht? Um das zu glauben, müsste man aber schon ein bisschen blöd sein…

Amazon arbeitet kontinuierlich an der Weiterentwicklung [Bingo!] bestehender Sicherheitssysteme [Bingo!], der Einführung neuer Technologien [Bingo!] sowie sicherheitsorientierter Produkte [Bingo!] um potenziellen Schaden [Bingo!] im Vorfeld zu vermeiden.

Mein Bullshit-Detektor hat wegen eines Überlaufes die Funktion verweigert.

Wo liegt das Problem?
Bearbeitungsnummer: 165.48-D889

Sehr informativ! Und so kundenorientiert! :mrgreen:

Um gewährleisten zu können, das kein Unbefugter Zugang zu Ihrem Mitgliedskonto hat, ist eine einmalige Zuordnung Ihres Mitgliedskontos durch Eingabe von personenbezogenen Daten erforderlich.

Um zu gewährleisten, dass niemand anders das Amazon-Konto für Betrügereien missbraucht, soll es also erforderlich sein, dass man Amazon gegenüber Daten erneut angibt, die Amazon schon längst kennt? Oder vielleicht noch ein paar zusätzliche Daten? Dann ist eine missbräuchliche Anmeldung durch jemanden anders nicht mehr möglich? Und nicht etwa, indem ein Passwort geändert wird? Man muss nicht sehr lange nachdenken, um zu bemerken, wie hirnrissig dieser angebliche Ansatz zur „Erhöhung der Sicherheit“ ist.

Was mache ich jetzt?
Bitte registrieren Sie Ihre Daten [sic!] innerhalb von 7 Tagen [sic! Komma fehlt] um eine eventuelle Sperrung [sic!] Ihres Mitgliedskontos [sic!] zu vermeiden.

Großes Kino! Allein schon die Ausdrucksweise „registrieren sie ihre Daten“. Das soll man auch schön schnell und unüberlegt tun, weil sonst ist schon in einer Woche das „Mitgliedskonto“ futsch. Oder vielleicht auch nicht, wie im Worte „eventuell“ anklingt.

Mit freundlichen Grüßen
Ihr Kundenteam

Mit feindlichen Grüßen
Ihr dummer Phishing-Spammer

Weiter

Wer auf diesen freundlichen orangefarbenen Button klickt, lasse alle Hoffnung fahren! Natürlich liegt dort kein Link zur Amazon-Website, wie man es bei einer echten Mail von Amazon erwarten könnte, sondern ein über den Kürzungsdienst url9.de maskierter Link. Dieser führt auf eine „liebevoll“ nachgemachte Amazon-Seite…

Screenshot der betrügerischen Seite zum Phishen von Amazon-Kundendaten

…in der Domain security (strich) team (punkt) info. Diese wirklich einmal gut klingende Domain haben sich die Verbrecher frisch am 15. Februar 2013 registriert, und die dabei angegebenen Registrierungdaten (die ich wegen der Nutzungsbedingungen [ja!] der Whois-Informationen für die TLD .info hier nicht wiedergebe) erwecken überdeutlich den Eindruck, dass sie nicht zutreffen, obwohl die Adresse existiert. Einmal ganz davon abgesehen, dass Amazon wohl nicht in einem etwas größeren Einfamilienhaus in einer dorfähnlichen Gemeinde in Nordrhein-Westfalen untergebracht sein wird. 😀

Die betrügerische Website ist über die Cronon AG bei Strato [bewusst nicht verlinkt!] gehostet. Ich hätte gern einmal die übliche Mitteilung an Strato gesendet, damit dieser phishige Amazon-Spuk ganz schnell vom Netz genommen wird, habe damit jedoch wegen der großartigen Künste des Webdesigners bei Strato so meine Probleme. Die Kontaktseite wurde von jemanden geschrieben, dessen JavaScript-Kenntnisse so großartig sind, dass in einer JavaScript-Endlosschleife immer wieder kleinere Versionen der Kontaktseite geladen werden, während der Speicherbedarf des Browsers in die Höhe schnellt – offenbar findet man es bei Strato zu „unübersichtlich“, wenn einfach nur die wichtigsten Kontaktadressen in ganz klassischem HTML aufgeführt werden (gern mit Links auf Unterseiten für spezielle Anliegen) und die Funktion einer Kontaktaufname schwellenlos erfüllt wird. Wie schnell die geringfügig indirektere Mitteilung an die Cronon AG zur Beendigung des Hostings einer Phishing-Site führt, werde ich in den nächsten Stunden (oder hoffentlich: Minuten) erleben. Ich bin aber alles in allem guter Dinge.

Amazon-Deutschland- 11,10178 Berlin
Telefon: 0049 885 44856- Telefax: 0049 421 84841- E-Mail: info@amazon-deutschland

Nein, die Spam kommt nicht von Amazon-Deutschland, auch wenn die Fußzeile das so sagt. Ich habe die Fußzeile nur zitiert, um einmal mehr auf die besondere Faulheit und Dummheit der Spammer hinzuweisen. Natürlich ist die angegebene Mailadresse nicht korrekt, ihr fehlt die TLD .de. Nachdem der spammende, phishende Idiot sich seiner Aufgabe entledigt hat, seinen Betrugstext zu verfassen, ließ seine Aufmerksamkeit deutlich nach, was an diesen kleinen Angaben sichtbar wird. Die Anschrift (immerhin die Geschäftsadresse von Amazon, die würden darauf wert legen) ist zudem sonderbar formatiert, der trennende Strich sieht wie ein Bindestrich aus.

Denn wenn sich der Spammer Mühe geben würde, könnte er ja gleich arbeiten – er will aber davon leben, dass er die Dummen und Unerfahrenen im Internet betrügt.

Wer so unerfahren ist, dass er darauf reingefallen ist und wer in der angeblichen „Verifizierung“…

Ein weiterer Screenshot eines Details der betrügerischen Website

…Daten eingegeben hat, die sowohl sein Amazon-Konto für den Missbrauch durch Kriminelle öffnen als auch über die Angabe einer Postanschrift mit Geburtstag den Missbrauch der Identität durch die gleichen Kriminellen ermöglichen, der darf sich auf einen riesengroßen Haufen Probleme in den nächsten Wochen, Monaten und Jahren einrichten. Auch wenn ich keine Versicherungen mag: Der Abschluss einer Rechtsschutzversicherung ist zu empfehlen, und zwar noch, bevor die erste Strafanzeige wegen Betrugs oder wegen Geldwäsche kommt, weil diese Daten von üblen Verbrechern für gewisse „Geschäfte“ verwendet wurden. Fünf Minuten Nachlässigkeit im Denken bringen Ärger für zwei bis drei Jahre und viele neue Bekannte bei den Staatsanwaltschaften und Polizeien. Garantiert. Wenn sie im darauf folgenden Schritt sogar noch die Kreditkartendaten angegeben haben, sollten sie unbedingt und sofort Kontakt mit ihrer kontoführenden Bank aufnehmen, bevor es zu einem Missbrauch der Kreditkarte durch die Internet-Kriminellen kommt.

Und ganz generell: Wenn sie eine E-Mail von einer Unternehmung bekommen, bei der sie Kunde sind; wenn sie in dieser E-Mail aufgefordert werden, auf einen Link in dieser E-Mail zu klicken: KLICKEN SIE NICHT! Auch nicht, wenn sie persönlich angesprochen werden, denn die Verbrecher haben schon jede Menge persönlicher Daten aus allen möglichen Quellen abgreifen können. Besuchen sie die Website des Unternehmens direkt, indem sie die Adresse in der Adresszeile ihres Browser eingeben (oder ein Lesezeichen verwenden)! Melden sie sich dort an und schauen sie, ob sie dort ebenfalls einen Hinweis präsentiert bekommen! Wenn nicht: Unterrichten sie das Unternehmen über die Phishing-Spam, damit andere vor der Phishing-Spam gewarnt werden können, um den Schaden kleiner zu machen! Das Internet ist ein viel zu schöner Ort, um dummen, asozialen Verbrechern darin zu viel Raum zu geben.

Die Spam ist ein Zustecksel meines Lesers H. G.

15 Prozent Rabatt für die Optimierung der Webseite.

Mittwoch, 23. Januar 2013

Spammer's Hall of Shame: SEOweb -- Wir machen dich ganz groß bei Google!

In die „Hall of Shame“ kommen nur die ganz Harten. Die, bei denen man schon ausgesprochen weich in der Birne sein muss, wenn man auf ihre hingestümperten Betrugsnummern hereinfällt. Die, bei denen vor Lachen beinahe erstickt, wenn man nur versucht, das Gesehene zu beschreiben. Wenn du hier landen willst, Spammer, denn musst du schon ein großes Opfer bringen und dich vollständig enthirnen lassen…

Das ist ja ein großartiger Betreff, der wieder einmal ganz spamtypisch mit einem Punkt abgeschlossen wurde. (Dies ist übrigens eine Regel, die mir zuverlässig ein gutes Zehntel des täglichen Mülls aussortiert, denn Spammer machen diesen Punkt recht oft, richtige Menschen hingegen so gut wie nie.)

Und die Mail schockiert mich mit der Wirklichkeit meines marginalisierten Webauftritts, macht mir aber auch ein großes, unwiderstehliches Angebot:

Guten Tag, wir haben bemerkt, dass Ihre Internetseite [sic!] in Google nicht gut sichtbar ist. Das kann zur Folge haben, dass Ihre Kunden Sie nicht auffinden können. Falls Sie das ändern möchten, bieten wir Ihnen die Optimierung Ihrer Webseite an. [sic! Nicht Website, sondern Seite, denn hier schreibt der Profi…]

Die Optimierung der Internestseite bringt sehr schnelle und langhaltige [sic!] Ergebnisse ohne zusätzliche Monatsgebühren!

Auf Ihrer Webseite haben wir ziemlich schwerwiegende Optimierungsfehler sowohl im Code der Seite als auch in ihrem Inhalt gefunden. [sic! Denn der Inhalt ist ja etwas völlig anderes als der Code.] Das ist der Hauptgrund für die niedrige Position Ihrer Webseite in den Suchmaschienen. [sic! Mit „ie“.]

Dank den von uns vorzunehmenden Änderungen wird Ihre Webseite die Top-Ten-Position [sic!] in Google erreichen.

Wir laden Sie auf unsere Webseite ein. [sic! Eine Einladung auf eine Seite.]

http://www.seoweb-opt.net

Speziell für Sie haben wir einen Rabatt in Höhe von 15 Prozent für die Optimierung der Webseite vorbereitet. In der Bestellung reicht es nur den Code: „PROM21″ einzugeben. [sic! Im Satzbau reicht es nur so unbeholfen zu formulieren.]

SeoWeb – Optimierung
http://www.seoweb-opt.net

Oh, wie nett, dass dieser freundliche Spammer sich so sehr darum kümmern will, mich in Google nach oben zu zaubern. Einfach, indem er Änderungen an meiner Website… ähm, sorry… Webseite vornimmt – wer würde einem Spammer nicht sofort einen Zugang zum Server geben, damit er das auch machen kann und da obendrauf noch ein bisschen Geld legen, wenn es doch schon ganz persönlich und nur für mich jetzt einmalig günstige 15% billiger ist.

Ich konnte da jedenfalls kaum widerstehen!

Und deshalb habe ich mir die Website von diesem ganz großen Google-Zauberer kurz angeschaut¹. Oh, die schaut aber „professionell“ aus:

Screenshot der Website dieser Spammer, Betrüger und Idioten namens SEOweb

Mit einer Erde, die wie so ein Browser eine Adresszeile hat, in der ich irgendwelche URLs eingeben kann. Und einer Lupe, mit der ich mir dieses schon überdimensionierte Eingabefeld anschauen kann. Ich weiß ja nicht, was für ein Kraut die Jungs geraucht haben, denen diese tolle optische Metapher in ihr Kopfödland geschossen ist, aber davon hätte ich auch gern etwas. Nur eben nicht gerade, wenn ich Websites designe oder versuche, ernsthafte Texte zu schreiben, um Kunden für eine Dienstleistung zu werben. :mrgreen:

Fast noch wichtiger: Auf der Website… ach nee… Webseite gibt es auch eine FAQ, in der ich nachlesen kann, was diese Leute für mich tun wollen. Die Beschreibung dessen, was sie mir antun wollen, klingt darin so:

Die Optimierung der Webseite besteht in der Modifizierung von ihren Inhalten, Titeln, internen Links und URL-Adressen sowie in der Anpassung ihres Codes an einen der W3C-Standards, damit die Webseite für die Internetsuchmaschinen, z. B. Google, „benutzungsfreundlich“ sein kann. Die Positionierung ist die Erstellung von Artikeln und externen Links, die von den anderen Webseiten her kommen.

Gut, mit dem klaren flüssigen Deutsch haben es diese Webzauberer nicht so, aber dafür können die etwas ganz anderes und sehr bedeutungsschwanger Klingendes. Wow! Anpassung an einen der W3C-Standards. Ein Raunen irrwitziger Wichtigkeit will sich durch das Web in mein Bewusstsein drängeln! Will ich mal hoffen, dass es sich nicht um SVG handelt, da ich nach wie vor für das Veröffentlichen von Websites auf HTML setze. Und für diese „Modifizierung von meinen Inhalten“ wollen die bei mir rumeditieren dürfen, damit ich vielleicht auch eine schnuckelige Schadsoftwareschleuder für die Internet-Mafia betreibe. Was bin ich da doch heiß drauf! Vor allem, weil es auch noch so billig ist:

Die Kosten der Optimierung sind von der konkreten Webseite abhängig und sie betragen üblicherweise 149 EUR.

Na gut, lassen wir das. Es gibt dort ja nicht nur die hohlen Texte, in denen mir das Blaue vom Himmel versprochen wird, sondern auch die Berichte zufriedener Kunden, gleich auf der Startseite. Die haben doch sicher ganz überzeugende Gründe für mich, warum ich Geld dafür ausgeben soll, dass Spammer auf einen von mir (selbstverständlich auch juristisch) verantworteten Server rumfuhrwerken dürfen. Zum Beispiel dieser angebliche „Hartmut Witten“:

Nach zwei Wochen seit der Einführung der Optimierung "sprang" ich auf die 3.Stelle in Google. Ich empfehle Ihnen die Firma SeoWeb. -- Hartmut Witten - M&T GmbH

Das ist doch schön, der empfiehlt mir nicht nur die „Firma SeoWeb“, sondern gibt sogar seine Firmierung „M&T GmbH“ an. Und er will mit seiner mutmaßlich betriebswichtigen Firmenhomepage auf der dritten Stelle im Google-Suchergebnis gelandet sein. Nein, nicht nur gelandet, sondern „gesprungen“. Was liegt da näher, als diesen ganz großen SeoWeb-Hüpfer und erwähnenswerten Referenzkunden einfach mal mit Google zu suchen, um sich dieses Wunder mit eigenen Augen anzuschauen:

Screenshot des Google-Suchergebnisses für eine Suche nach M&T GmbH

Och! 😆

¹Den Aufruf einer von Spammern beworbenen Website sollte man nur mit einem besonders gesicherten System wagen. Spammer sind kriminell und technisch oft auf dem neuesten Stand. Ein Antivirenprogramm und eine „personal firewall“ sind kein besonders gesichertes System. Ein Klick in eine Spam ist sehr gefährlich. Wer nicht weiß, wie man seinen Computer absichert, sollte gar nicht erst darüber nachdenken. Der Ärger, den man sich dadurch einhandeln kann, wiegt das bisschen befriedigte Neugierde nicht auf.

Übrigens, Vorschussbetrüger…

Freitag, 26. Oktober 2012

Übrigens, Vorschussbetrüger,

deine unglaubwürdige Geschichte vom Lotteriegewinn bei einer tollen Lotterie, die Gewinne an Leute verteilt, ohne dass diese dafür ein Los kaufen müssen, wird kein bisschen glaubwürdiger…

Screenshot der betrügerischen Mail

…wenn du sie in eine HTML-formatierte Mail reinschreibst, aber KEINE BESSERE FORM der HERVORHEBUNG als die GROSSSCHREIBUNG EINZELNER WÖRTER kennst, ganz so, als wäre das gar keine HTML-Mail, in der man unter anderem fett und kursiv setzen kann. Und dass du dann in einem Anflug Strebens nach gestalterischer Exzellenz die hirnkitzelige Idee ausgebrütet hast, dass so eine Mail vielleicht seriöser und ernsthafter aussieht, wenn man als Schriftart „MS Comic Sans“ verwendet, zeigt, dass du ein richtiger total kompetenter Spezialexperte bist, wie man ihn bei jeder „Lotterie“ der Vorschussbetrüger finden kann.

Sagt dir dein dich genießen müssender
Nachtwächter

Twitter-Phishing

Dienstag, 16. Oktober 2012

Offenbar benötigen die Kriminellen mal wieder eine Menge neuer Twitter-Accounts, so dass das Phishing nach Twitter-Anmeldedaten zurzeit eine Seuche ist.

Im Allgemeinen beginnt es damit, dass jemand, dem man folgt (und dessen Account vermutlich selbst gephisht wurde), eine Direktnachricht derartigen Inhaltes versendet:

hey, someone is spreading nasty rumors about you http://bit.ly/WcQVnf

Das wirkt bei jemanden, der sonst in Deutsch zu zwitschern pflegt, natürlich unglaubwürdig und somit kann die Spam schnell erkannt und angemessen behandelt werden.

Wer von dieser Nachricht beunruhigt wurde und wissen will, was das für ekelhafte Gerüchte sind, die dort angeblich von jemanden verbreitet werden und wer von dieser Neugier getrieben auf den (im Moment immer über bit (punkt) ly gekürzten) Link klickt, landet auf einer „liebevoll“ nachgemachten Login-Seite von Twitter:

Screenshot der Twitter-Phishing-Seite

Die Zugangsdaten, die man dort eingibt, gehen nicht zu Twitter, sondern direkt zu kriminellen Spammern. Dass es sich nicht um Twitter handelt, wird schnell klar, wenn man einen Blick in die Adresszeile seines Browsers wirft:

Detail mit der URL der Phishing-Seite

Damit das nicht jeder sofort bemerkt, über den dummen Versuch lacht und den spammenden Account als Spam meldet, wurde eben eine alarmierende Direktnachricht versendet, die geeignet ist, das kritische und vorsichtige Erwägen abzuschalten, damit möglichst viele Menschen dumm in eine Spam klicken. Gerade bei Twitter, diesem idealen Biotop für Spammer mit seinem Stummeltext-Charakter und den überall verwendeten URL-Kürzern gilt aber in ganz besonderer Weise:

INTERNET! Vor jedem Klick auf einen Link: Gehirn benutzen!

Wenn man auf der angeblichen Twitter-Anmeldeseite unter twivvter (punkt) com seinen Benutzernamen und sein Passwort eingegeben hat und auf „Sign in“ geklickt hat, gibt es erst einen Hinweis, dass die Seite nicht mehr existiert, und danach kommt es zu einer Weiterleitung auf die Twitter-Startseite. Die Anmeldedaten sind danach in der Hand von Phishern, die mit diesem Account machen können, was immer sie wollen. Sie können den Zugang ändern, sie können weitere Phishing-Nachrichten versenden, sie können jede mit dem Twitter-Account verbundene Anwendung für ihre Zwecke benutzen (Twitter wird oft über seine OAuth-Schnittstelle als allgemeiner, zentraler Logindienst für andere Websites verwendet). Sie können sich gegenüber anderen Websites mit dem gephishten Twitter-Account authentifizieren und somit an vielen Stellen im Internet mit falschem Namen auftreten. Sie haben vollkommenen Zugriff auf alle Profilinformationen des Accountinhabers, zum Beispiel auch auf seine Mailadresse und in vielen Fällen auf seinen Wohnort und seinen Namen, so dass sie fiese, kriminelle Mails mit persönlicher Ansprache verfassen können. Wenn der gephishte Accountinhaber sein Passwort auch an anderen Stellen verwendet hat, dann haben sie Zugriff auf etliche weitere Accounts, die sie für ihre kriminellen Zwecke missbrauchen können – vor allem Mailaccounts mitsamt eventuell zugehörigen Adressbüchern und Posteingängen kommen ihnen immer sehr gelegen. Wenn dann auch noch PayPal, Flattr, eBay oder Amazon benutzbar werden…

Einmal ganz davon abgesehen, dass Kriminelle nach Übernahme eines Twitter-Accounts gegenüber anderen mit fremder Identität auftreten können, was auch eher klassische Betrugsmöglichkeiten eröffnet.

Und das alles, weil man wegen einer einzigen, schon nach fünf Sekunden Nachdenken völlig unglaubwürdigen niederträchtigen Behauptung für einen kurzen Augenblick den kritischen Verstand ausgeschaltet hat und mit dem unter unbewussten Regungen zuckenden Resthirn genau das gemacht hat, was die Kriminellen wollten.

Ich würde ja gar nicht darüber schreiben, wenn ich nicht in den letzten Tagen mehrfach erlebt hätte, dass deutschsprachige Twitter-Nutzer auf dieses Phishing reingefallen sind und somit selbst zu Spamschleudern wurden. Darunter waren auch einige, denen ich ob ihres Auftretens auf Twitter und ihren dabei durchschimmernden Kreis von Betätigungen und Interessen eine gewisse Intelligenz zuschreiben würde. Es sei also niemand hochmütig und glaube, auf so eine billige Masche könne er nicht hereinfallen! Das einzige was hilft, ist das Einschalten des Gehirnes, bevor man etwas im Internet macht.

Dieses Phishing war nämlich recht einfach als solches zu erkennen:

  • Falsche Sprache der Direktnachricht
    Bei einem Menschen, der überwiegend in deutscher Sprache twittert, fällt das Englisch gegenüber einem ebenfalls deutschsprachigen Twitterer schon sehr auf.
  • Dumme Direktnachricht
    Dass jemand niederträchtige, gemeine Gerüchte verbreitet, ist nicht unbedingt ein toller Köder, wenn trotz 50 verbleibender Zeichen Platz überhaupt nicht auf die Natur der Gerüchte eingegangen wird, sondern stattdessen ein Link kommt. So etwas sollte immer skeptisch machen.
  • URL der Phishing-Seite
    Ein kurzer Blick in die Adressleiste hätte schnell klargemacht, dass es sich nicht um die Website von Twitter handelt.
  • Dummheit der Spammer
    Ich habe vor dem Klick einen Blick in das Profil der Person geworfen, die mir angeblich diese Direktnachricht gesendet hat, und dort habe ich neben den vertrauten Tweets der vergangenen Tage auch schon die ersten offensichtlichen Spamtweets (Ganz viel Fett in ganz kurzer Zeit verbrennen) in englischer Sprache gesehen.

Generell ist davon abzuraten, auf Links zu klicken, die einem in so fragwürdiger Weise und ohne bessere Erläuterung zugesteckt werden. Es gibt da draußen im Internet jede Menge Websites, die von Kriminellen erstellt wurden, um den aufrufenden Rechner mit Schadsoftware zu übernehmen, wann immer das möglich ist. Es ist leider erschreckend oft möglich, weil viele Menschen jeder beliebigen Website im Internet das Recht einräumen, JavaScript in ihrem Browser auszuführen und Plugin-Inhalte in Seiten einzubetten. Dies sind die beiden größten Sicherheitslücken im heutigen Web. Abhilfe gegen derartige Angriffe ist ein Plugin, dass diese Privilegien nur gewährt, wenn sie explizit vom Nutzer freigeschaltet werden, etwa NoScript für Firefox.

Aber natürlich geht das alles auch in intelligent, wenn sich Kriminelle Mühe geben würden. Eine besser formulierte Direktnachricht in der passenden Sprache – etwa: „Man behauptet über dich, du wärst ein Nazi, stimmt das?“ gefolgt von einem Link – ist erregender und überzeugender, die Phishing-Seite kann auf einer Subdomain liegen, die wenigestens mit www (punkt) twitter (punkt) com gefolgt von ein paar kryptischen Zeichenfolgen beginnt, und der mit Phishing übernommene Account muss nicht sofort für offensichtliche Spam mitbenutzt werden. Ein solches Vorgehen könnte eine enorme Überzeugungskraft und damit eine verheerende Wirkung entfalten.

Hier gibt es nur einen Schutz, und der besteht in einer festen, angesichts der gegenwärtigen Internetkriminalität bewusst kultivierten Gewohnheit: Niemals irgendwo anmelden, nachdem man auf einen Link geklickt hat, sondern immer die Adressen der Dienste, bei denen man sich anmelden möchte, von Hand eintragen oder ein Lesezeichen im Browser verwenden. Wer das macht und niemals davon abweicht, kann nicht auf diese Weise gephisht werden. Und wer zu faul dazu ist, für eine Anmeldung nicht auf einen Link in einer Mail oder einer Direktnachricht oder eine andere Form der Mitteilung zu klicken, sondern stattdessen einen Eintrag im Lesezeichenmenü zu benutzen, der macht sich mit dieser Faulheit zum willigen und billigen Schergen der organisierten Kriminalität im Internet.

Zahlen Sie 100 Euro ein und erhalten Sie 300 Euro auf Kosten des Hauses

Mittwoch, 10. Oktober 2012

Seien Sie bei der im Festival Club angebotenen Action mit dabei.

Zahlen Sie 100 Euro ein und erhalten Sie 300 Euro auf Kosten des Hauses!

Mit jeder Menge großartiger Spiele und gewaltigen Jackpots ist dies Ihre Chance, das große Geld zu gewinnen.

Sobald Sie unsere Spiele downloaden oder in der Flash-Version spielen, werden Sie Ihrer ersten Million einen Schritt näher sein!

http://www.netgrandfestival.pl/

Bitte klicken Sie hier, wenn Sie keine Newsletter mehr von uns erhalten wollen:
http://unsubscribe.netgrandfestival.pl/

Ist ja nett, dass ihr mir das mitteilt, aber eine Mail hätte auch genügt. Dieser Text wird nicht besser, wenn er in zweiundzwanzig Kopien binnen eines Tages kommt.

Oh, die Kopien sind ja gar nicht so identisch, zum Abend hin verwendet das „Casino“ eine andere Internetadresse:

http://www.bingograndfestival.pl/

Da werden wohl noch ein paar weitere Adressen verbrannt werden. :mrgreen:

Solche völlig hirnlosen Spamfluten der Magic-Box-Affiliate-Spammer kannte ich aus der Vergangenheit nur, wenn jemand eine neue Website für den alten Beschiss entworfen hat. Und tatsächlich, das Design „Festival Club“ ist zumindest für mich neu:

Screenshot der betrügerischen Website

Das ist übrigens ein Screenshot der deutschen Seiten. Die Texte auf der Betrugssite werden natürlich angepasst (und ja: Sogar in einigermaßen erträgliches Deutsch, wenn auch auf den Unterseiten nicht gerade stilsicher), aber die Texte in den großformatigen Grafiken auszutauschen, war dem Bastler mit der Affinität zu blondäugigen Frauen offenbar zu viel Mühe.

Detail der betrügerischen WebsiteVielleicht war er aber auch einfach nur so viele Stunden lang damit beschäftigt, dieser unpassend erotisierenden Zierfrau mit Photoshop ein farblich und proportional beinahe passendes Händchen dranzusetzen und da dann noch eine Herz Dame (hehe, was für ein kecker Einfall zusammen mit diesem Frauenbild) anzuflanschen, dass das Ergebnis so überzeugend aussieht, wie es eben aussieht. Aber das kann nicht sein, denn genau diese Zierfrau sollte auch schon Leute auf eine obskure russische Poker-Site locken, wie ich eben in einer halben Minute Suchmaschinenbenutzung herausfand. Von dort wurde sie vermutlich mitgenommen. Wie mies der Grafiker ausgerechnet für einen solchen Blickfang die Haare ausgeschnitten hat, ist auch für weniger empfindliche Äuglein gut zu sehen: „Aber Fräulein, sie haben da einen Knick im Kopfe“! :mrgreen:

Alles in allem ist der Designer, der sich an diese Betrugssite gesetzt hat, wesentlich besser als die Stümper, die mich fast das ganze letzte Jahr lang mit ihrem Versagen unterhalten haben. Zu diesem Streben nach gesteigerter Professionalität im Aussehen gehört auch, dass auf solche kindischen und durch einfaches Neuladen als Fake zu erkennende Elemente wie hochzählende JavaScript-Jackpotzähler verzichtet wird. Stattdessen wird viel stärker als in der Vergangenheit versucht, den Eindruck einer größeren Website zu erwecken, indem etwas mehr Text geschrieben wird. Da dieser „Text“ Füllmenge ist und nicht wie gewöhnliche Texte dazu dient, etwas mitzuteilen, liest er sich natürlich oft ein bisschen dümmlich und ist nicht mit großer Sorgfalt erstellt:

[…] Und unsere Jackot-Spiele [sic!] sind zum Bersten voll mit gewaltigen Preisgeldauszahlungen. […]

Toll und super ist übrigens auch, was man unter der Überschrift „Über uns“ lesen kann:

ÜBER UNS Seit 2006 bietet das FestivalClub Casino eine Vielzahl von unterhaltsamen und spannenden Casino-Spielen, die Ihnen ein Festival voll von lebendigen Erlebnissen bequem zu Ihnen nach Hause tragen

So so, seit 2006. Aber die Domain

  • netgrandfestival (punkt) pl
    wurde am 10. Oktober 2012 um 10:42 eingerichtet, ungefähr dreißig Minuten, bevor die erste Spam bei mir ankam; und
  • bingograndfestival (punkt) pl
    wurde exakt sieben Sekunden nach netgrandfestival eingerichtet, weil die Affiliate-Spammer für das Magic Box Casino genau wissen, dass sie ganz viele Domains brauchen, um überhaupt noch durch einen Spamfilter zu kommen.

Scheint ja ein Wandercasino zu sein. So etwas ähnliches wie ein Wanderzirkus. :mrgreen:

Sags auf Hebräisch

Montag, 17. September 2012

Die neuhebräische Sprachgemeinschaft (vor allem Menschen in Israel) ist ja so klein – aber das heißt noch lange nicht, dass es unter diesen wenigen Menschen keine Spammer gäbe, die mit tollen Skripten „Kommentare“ in Blogs schreiben:

Screenshot eines hebräischen Spamkommentares

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.