Schlagwortarchiv „Screenshot“

Juliana Pate sent you a message on Facebook

Mittwoch, 25. August 2010

Wie jetzt? Mir? Ich bin doch gar nicht bei Facebook!

Mal reinschauen:

Huch, und diese angebliche Nachricht „von Facebook“ ist auch schon seit fast einer Woche unterwegs, ehe sie endlich den Weg zu mir findet. Und ganz toll, „Facebook“ benutzt jetzt eine andere Adresse im Internet. Das Ding ist natürlich HTML-formatiert, und die Links führen alle zu upsuch (punkt) com. Wer sich so verbirgt, ist bestimmt ein total seriöser Zeitgenosse. Mal anschauen, was es da gibt:

Aha, „Facebook“ ist jetzt also die Betrugsapotheke namens „Canadian Pharmacy“, die ähnlich wie ein gewisses „Casino“ jeden Tag dreimal die Adresse im Internet wechselt, weil es bei diesem „Geschäft“ wirklich nicht auf Kundenbindung ankommt.

Aber glauben diese Pimmelpillen-Betrüger wirklich, dass jemand, der gerade so überrumpelt wurde, in besonderer Kauflaune ist?

Thank you for your EXPRESS payment

Freitag, 6. August 2010

Wie jetzt, ich habe was bezahlt. Dabei habe ich doch gar kein Geld, mit dem ich bezahlen könnte…

***PLEASE DO NOT REPLY TO THIS MESSAGE***

Antworten sinnlos, denn der Absender ist wie immer gefälscht.

Dear exxxx (at) hxxxxxxu.de,

Und wenn man jemanden nicht mit Namen anreden kann, denn wirkt es bestimmt total überzeugend, wenn man ihn einfach mit seiner Mailadresse anspricht. Leute, mit denen man geschäftlich zu tun hat, müssen ja persönlich angesprochen werden. Wer würde denn dabei Wert auf eine persönliche, kundenbindende Note legen?

Thank you for your online payment of $500.00. Your payment will be applied on Fri, 6 Aug 2010 19:26:27 +0300

Wow, fünfhundert Dollar habe ich gelegt. Mit welchem Konto? Fehlanzeige. An wen? Fehlanzeige. Total überzeugend. Genau wie die Angabe des Zeitpunktes für diese tolle Transaktion, bei der dieser Spammer keinen Bock hatte, es gut zu machen und deshalb einfach die rohe Ausgabe der Standardfunktion asctime() eingefügt hat. So richtige Alarmstimmung will da einfach nicht aufkommen, und dabei braucht dieser Spammer doch so eine richtige Alarmstimmung, denn er will ja, dass jemand…

Remember you can manage your account online, view statements and pay your bill at www.mycardcare.com/express.

…unüberlegt in einer Spam rumklickt, um diesen angeblichen Vorgang noch irgendwie zu stoppen. So fünfhundert Dollar sind ja keine Kleinigkeit.

Die Mail sieht zwar wegen der betont bescheidenen Formatierung nicht so aus, aber es handelt sich um eine HTML-formatierte Mail. Der Link auf mycardcare (punkt) com kann deshalb auch bequem woanders hinführen, und das tut er auch. Dieser Link geht zu opus22 (punkt) org (slash) x (punkt) html.

Damit ist das Opfer aber noch lange nicht am Ziel, denn dort findet sich erstmal nur eine über ein meta http-equiv... realisierte Weiterleitung auf eine andere tolle Seite in der Domain hoopdotami (punkt) cz (punkt) cc, schön mit einer Affiliate-ID, über die der Spammer wohl seine schäbigen Spamgroschen verdient. Aber mit der Weiterleitung allein ist es noch nicht getan, denn da ist noch ein kleiner unsichtbare IFRAME drin. Was so klammheimlich im Hintergrund dem System reingewürgt werden soll, habe ich jetzt nicht näher untersucht – ein einfacher Aufruf (natürlich nicht im Browser, sondern mit curl und mit dem passenden Referer und einem User-Agent, der einen Internet Explorer simulieren soll) liefert nur eine leere Seite. Trotzdem gut möglich, dass hier bestimmte Systeme gezielt attackiert werden, die Heimlichkeit des Vorgehens lässt nichts Gutes ahnen.

Der eigentliche Zweck der Spam ist jedoch die Weiterleitung. Statt irgendwelcher Informationen über eine Zahlung, die ich veranlasst habe, gibt mir diese tolle Seite einen „liebevoll“ nachgebauten Windows-Desktop, der so tut, als ob er meine Windows-Platten durchscannt…

…und allerlei Probleme, Viren, Trojaner und dergleichen findet. Und das auf meiner Linux-Kiste!

Dass diese tolle Datei antivirus_25.exe, die da so frei zum Download angeboten wird…

Screenshot des Download-Dialoges

…alles andere als ein Virenscanner ist, sollte wohl klar sein. Hier wird einfach unerfahrenen Benutzern Angst vor einer enormen Kompromittierung des Systemes gemacht, damit sie ein Software herunterladen und installieren, die ausschließlich über kriminelle Spam verbreitet wird. Die ganzen alarmierenden Meldungen…

Screenshot der alarmierenden Meldungen

…sind reine JavaScript-Programmierungen, die nur im Browser laufen. (Um meinen „Spaß“ daran zu haben, habe ich extra kurz JavaScript aktiviert, es ist bei mir grundsätzlich abgeschaltet.) Hier kommt es den Kriminellen, die so etwas machen, sehr entgegen, dass sich ein großer Teil des Dateimanagements und der Systemverwaltung in Microsoft Windows aus Anwendersicht wie eine Website „anfühlt“, so dass mit derart einfachen Mitteln eine unvernünftig machende Stimmung erzeugt werden kann. Das System wurde nicht auf Viren, Trojaner und Co gescannt, und diese ganzen scheinbaren Meldungen sind reine Irreführung. So etwas auf einer Linux-Box zu sehen, ist allerdings nicht erschreckend, sondern erheiternd. Ein wegen einer „Überweisung“ von fünfhundert Dollar eh schon gestresster Windows-Anwender, der mit JavaScript-Programmierungen konfrontiert ist, die es unmöglich machen, das Browserfenster zu schließen und ständig schreckliche Alarmmeldungen vor die Augen stellen, wird allerdings weniger heitere Stimmung entwickeln – und sich wohl gar nicht so selten dazu entschließen, die „Antivirus-Software“ herunterzuladen und zu installieren…

Wer sich wegen einer derart irreführenden Seite allerdings ein bisschen Software runtergeladen und auf seinem Windows installiert hat, der hat jetzt ein Problem, das eventuell sogar eine komplette Neuinstallation seines Rechners (mit Plattmachen der Festplatte) erfordert. Ich kann es nicht oft genug sagen: In eine Spam klickt man nicht. Niemals. Das gilt besonders für jene unerfahrenen Nutzer, die „Zielgruppe“ derartiger Bauernfängereien sind.

Kayley Connolly added you as a friend on Windows Live

Donnerstag, 15. Juli 2010

Aber ich bin doch gar nicht bei Windows Live! Mal reinschauen:

Diese Mail wurde abgesandt über eine dynamische IP-Adresse aus Indonesien, was nicht gerade nach Microsoft Live aussieht, sondern eher nach einem Bot auf einem feindselig übernommenen Privatrechner. Da überrascht es nicht weiter, dass alle Links in dieser Mail – egal, was für ein Linktext steht – auf die gleiche Adresse auf den ebenfalls nicht nach Microsoft aussehenden Server norkarealty (punkt) us führen.

Und wer jetzt glaubt, dass hier jemand einfach „nur“ ein paar Passwörter abphishen will, der hat den gleichen ersten Gedanken wie ich gehabt. Dieser Gedanke ist falsch, denn ein Klick auf den Link führt einfach nur auf eine Weiterleitung zu einer anderen tollen Seite*, die gar keine Passwörter will, sondern…

…ihre Besucher dazu bewegen möchte, Geld für nicht lizenzierte Softwarekopien auszugeben. Eine tolle Quelle für Software, die vielleicht auch gleich erklärt, wo denn die Spammer ihre Botnetze herhaben. Deshalb soll man auch ganz schnell kaufen und ja nicht nachdenken, denn die tollen Angebote dort gibt es nur noch heute zum halben Preis, und das gilt vermutlich für jeden Tag des Jahres.

Ob wohl eine solche Überrumpelung durch eine nachgemachte „Freundanfrage“ dazu geeignet ist, Vertrauen in diese tollen Anbieter zu erwecken?!

*Der Screenshot sieht etwas „leer“ aus, weil ich im Browser JavaScript, Plugins und IFRAMES abgeschaltet habe, bevor ich mir den Dreck anschaute. Diese Mindestmaßnahme würde ich jedem empfehlen, der sich unbedingt einmal anschauen will, was das eigentlich für komische Links in der Spam sind – und bitte auch immer nachschauen, ob der Link irgendwo eine ID oder gar die Mailadresse im Klartext enthält, denn die Spammer freuen sich, wenn sie wissen, dass die Spam bei bestimmten Adressen auch ankommt. Für den Nutzer dieser Adresse hat das allerdings Folgen, und zwar bis zu zweihundert am Tag.

Schau dir meine Fotos auf Facebook an – von dir ist bestimmt auch eins dabei

Samstag, 15. Mai 2010

Es ist selten, dass ich Unternehmen beim Namen nennen kann, die mein Postfach mit Spam vermüllen, aber in diesem Fall kann ich es – denn „Facebook“ hat eine so unerschütterliche Selbstgewissheit beim Geschäftemachen und Spammen, dass man dort schon seit Monaten auf offene Spamreklame setzt, um immer noch mehr Leute zu Anwendern einer kommerziellen Website mit undurchschaubarer Haltung zum Datenschutz zu machen. Diese Mail stammt völlig klar von „Facebook“, sie kommt vom Server mx-out (punkt) facebook (punkt) com, sie ist heute morgen bei mir eingetroffen und nur eine von etlichen Mails der gleichen Strickweise, die mir immer wieder völlig unverlangt von Facebook zugestellt werden (zum Vergrößern und bequemen Lesen in das Vorschaubild klicken):

Ich hatte dergleichen in den letzten acht Monaten mehrere hundert Mal, und in der Anfangsphase dieser Spamkampagne habe ich in sehr galligem Ton, aber doch begründet „Facebook“ als ein Unternehmen benannt, das auf Werbung durch Spam setzt. Ich finde es nach wie vor schrecklich, dass Facebook trotz seiner offenen und verachtenswerten, über viele Monate durchgezogenen Spammerei immer noch genügend Leute zu finden scheint, die gerade darauf anspringen. Bei mir landen derartige Mails seit langer Zeit dort, wo sie von ihrer Natur her hingehören, nämlich im glibberigen Sieb des Spamfilters, wo sie mit den Anpreisungen von Pimmelpillen, Betrugscasinos, „Geschäftsvorschlägen“ aus Nigeria und allerlei Versuchen, Rechner mit Schadsoftware zu übernehmen, eine ekelhafte Einheit bilden.

Offenbar setzt „Facebook“ in dieser Spamwerbung – wie auch sonst beinahe jeder kriminelle Spammer – dabei auf immer alarmierendere Betreffzeilen. Was anfangs mit dem Geschwafel von einer „Einladung“ begann, kann jetzt schon einmal ankündigen, dass Fotos von mir auf der Dreckssite von „Facebook“ veröffentlicht sind, um beim Empfänger die gewünschte Alarmstimmung zu verursachen, die den kritischen Geist ausschaltet und so die Bedingungen dafür verbessert, dass jemand in einer derartigen Spam herumklickt oder sich sogar bei „Facebook“ anmeldet, um zu sehen, was an Bildmaterial von ihm im Internet kursiert. Zu dieser widerwärtigen Methodik passt es, dass seit einigen Tagen ein Nutzer von „Facebook“ sogar Leute zu dieser Dreckssite „einladen“ kann, ohne dass er selbst davon weiß, und so etwas ist kein Einzelfall. Auch in solchen Nachrichten mit vorsätzlich gefälschtem Absender zeigt sich eine für Spam typische Methodik, und ich wäre angesichts der offenen Mailspam von „Facebook“ gar nicht mehr überrascht, wenn sich herausstellen sollte, dass dieser Missbrauch persönlicher Daten auf „Facebook“ selbst zurückgeht.

Wenn mir jemand echte „Einladungen“ über diesen Spammer zukommen lässt, so sollte er dabei dieses wissen: Wer sich zum Kumpel und Gehilfen von asozialen Spammern macht, kann nicht mein Freund sein. Nicht im Internet. Und auch sonst nirgends. Darüber hinaus kotzt es mich an, wenn meine Mailadresse an Spammer weitergegeben wird, und das gilt um so mehr, wenn es sich da um große, datensammelnde Unternehmen mit undurchschaubaren Einstellungen zum Datenschutz und fragwürdigem Geschäftsmodell handelt.

Ich wünsche Facebook von ganzem Herzen eine innige Bekanntschaft mit dem Insolvenzverwalter und ein Gerichtsverfahren, in welchem es für die zur Werbung angewandten Methoden Rechenschaft ablegen muss.

Über 300 Spiele – goldene Möglichkeiten.

Mittwoch, 9. Dezember 2009

Na, wer hier wohl im Spamversand goldene Möglichkeiten sieht? Ach, es ist mal wieder der „Laden“, der sich jetzt nicht mehr „Euro VIP“ nennt, weil diese Bezeichnung wirklich nirgends mehr durch ein Spamfilter kommt. Stattdessen nennt er sich im Absender neben der gefälschten Adresse „Great Casino“, es gibt den gleichen Sondermüll aber auch in der Geschmacksrichtung „Euro Gaming Palace“ und „Ruby Royale Casino“ – die anderen Phantasienamen zu den Wegwerfdomains der Casino-Spammer wollte ich mir nicht anschauen.

Natürlich betreiben die nicht selbst ein Casino, sondern kassieren Provision dafür, dass sie Idioten in das „Magic Box Casino“ treiben, wo dann illegale und durch niemanden kontrollierte Glücksspiele angeboten werden. Allerdings klingt das in den Spams natürlich etwas anders:

Setzen Sie sich und schnallen Sie sich an! Starten Sie jetzt eine fantastische Reise, auf der Sie die besten Spiele erleben und tolle Bonusse erhalten.

http://www.gameprimeeuro.net/de/

Kurz und schmerzhaft wird der gleiche Unfug versprochen, mit dem jetzt schon seit Jahren Millionen von Menschen belästigt werden, weil sich offenbar immer noch ein paar hundert Deppen finden, die darauf anspringen.

Nun, da setze ich mich doch mal, schnalle mich an und schaue mir mal mit einem besonders gesicherten System an, was diese Gangster im Moment für Websites bauen, um die Leute zu betrügen.

Zunächst einmal öffnet auf der oben zitierten URL nur ein Frameset mit einem einzigen Frame, der von einer anderen Adresse nachgeladen wird. Damit man dies nicht so leicht nachvollziehen kann, wird die nachgeladene Adresse in Form numerisch angegebener HTML-Entities „codiert“, aber hey, Leute, das ist wirklich schwach, das kann ja ein vierjähriger Nachwuchshacker auf dem Kackpott durchschauen. Die dargestellte Seite liegt unter der URL…

http://id777casino.com/cccasino/de/index.html

[Man sieht hier sehr hübsch, dass die auf diesem einen Server, dessen Domainnamen sie nicht ganz schon schnell verbrennen wollen, offenbar ein paar ihrer tollen „Casinos“ mehr abgelegt haben.]

…und sieht so aus:

Hier hat sich mal wieder so richtig das Streben nach graphischer Exzellenz mit der unfassbaren Dummheit der Kriminellen kombiniert. Man stellt sich doch so einige Fragen, wenn man diese tolle Website sieht. Zum Beispiel fragt man sich unwillkürlich, warum so ein „Great Casino“, das in seiner URL etwas von „Game“, „Prime“ und „Euro“ faselt, sich auf seiner Website denn „CC-Casino“ nennt. Da scheint jemand keinen großen Wert auf eine konsistente Firmierung zu legen. Und dann fragt man sich, was dieser tolle, dunkelgraue Sportflitzer im Zentrum der graphischen Gestaltung…

150 € kostenlos!

…mit einem Bonus von 150 Euro zu tun haben könnte. Soll man sich jetzt etwa für 150 Euro so ein tolles Auto kaufen? Nun, dieses Auto hat es offensichtlich sehr viel günstiger gegeben, denn es ist allzu offensichtlich, dass es mit einem Raytracing-Programm erstellt wurde – vermutlich hat der Designer dieser tollen Website irgendwo das Modell im Internet gefunden, etwas dunkler gemacht, ein Bild rendern lassen und es reingefummelt, damit so eine kriminelle Dreckssite mal wieder neu und frisch aussieht.

Am meisten bohrt natürlich im Betrachter dieser Website die nahe liegende Frage, warum ein doch regel- und gewerbsmäßig mit Geld umgehendes Casino so große Probleme damit haben sollte…

Über 320 Casinospiele - Progressiver Jackpot 2,247,133.17 ?

…das Währungssymbol richtig darzustellen. Von der Kleinigkeit, dass auf einer deutschsprachigen Website das Komma und der Punkt in der Zahlendarstellung genau falschrum verwendet werden, einmal ganz zu schweigen. Allein beim Zustandekommen dieses Jackpots hätte ja einen Umsatz in mindestens der zehnfachen Höhe gemacht, das wäre doch genug Geld, jemanden mit dem Internet zu beschäftigen, der auch etwas kann und solche Peinlichkeiten vermeidet.

Nun gut, den permanent hochzählenden Jackpot haben die Betrüger über JavaScript realisiert. Dieses Skript ist zurzeit unter der URL…

http://www.thepalacegroup.com/scripts/tickerScript.js

…verfügbar. Ist es nicht toll, wie die Gangster ihr Projekt über diverse Server verteilen? Der kleine JavaScript-Fetzen zum Hochzählen sieht übrigens so aus:

var jackpots = JP1; 
var jackpotsTotal = 0; 
var jackpotsInc = new Array();

function doTotals(){ 
  if(incrementTotals==true) 
    setInterval(incTotals, 1000);
  jackpots.splice(15,3); 
  for(i in jackpots) 
    jackpotsTotal += Number(jackpots[i]); 
  jackpots[15] = jackpotsTotal;
}

function displayTotal(id){ 
  jackpotsInc[id] = id; 
  value = formatTotal(jackpots[id]); 
  document.getElementById(id).innerHTML = value; 
}

function formatTotal(data){ 
  data += ""; 
  x = data.split(""); 
  xr = x.reverse(); 
  for(i=0; i<xr.length; i++){ 
    if(i==0) 
      tmpStr = xr[i]; 
    else if(i==2){ 
      tmpStr += "."; 
      tmpStr += xr[i]; 
    }
    else if(i==5){ 
      tmpStr += ","; 
      tmpStr += xr[i]; 
    }
    else if(i==8){ 
      tmpStr += ","; 
      tmpStr += xr[i]; 
    }
    else{ 
      tmpStr += xr[i]; 
    } 
  } 
  x = ((tmpStr.split("")).reverse()).join("");

  if(currencyAlign=="right") 
    return x + currency; 
  else 
    return currency + x; 
}

function incTotals(){ 
  for(i in jackpotsInc){ 
    jackpots[i] = Number(jackpots[i]) + 26; 
    document.getElementById(i).innerHTML = formatTotal(jackpots[i]); 
  } 
}

Wer ein bisschen JavaScript lesen kann, versteht hier schon das Prinzip – für jeden anderen sei es hier kurz erklärt. Hier wird nicht etwa aufwändig mit einem Rechner im Internet kommuniziert, um den Zähler hochzuzählen, sondern es wird in der Funktion incTotals einfach lokal im Browser hochgezählt, und zwar um einen stets konstanten Wert. Nicht einmal an eine Zufallszahl, die es nicht ganz so offensichtlich machen würde, hat dieser tolle Programmierer gedacht. Um es einmal ganz deutlich für jeden zu sagen: Dieses Hochzählen hat nichts mit dem Anwachsen irgendeines Jackpots in irgendeinem Casino zu tun, sondern ist in diesem Zusammenhang ein ganz billig programmierter Beschiss, den jeder JavaScript-Anfänger besser hinbekäme.

[Das Array mit den Werten für die Variable JP wird wiederum von einer anderen tollen Domain nachgeladen, und zwar genau ein Mal beim Seitenaufruf.]

Wer hätte von kriminellen Spammern auch etwas anderes erwartet?

Ach ja, das kaputte Währungssymbol. Na ja, das ist mal wieder eines der üblichen Probleme, es wurde ganz einfach in der falschen Zeichencodierung angegeben – vermutlich beim Kopieren der JavaScript-Anteile in der Zwischenablage des Editors. Warum sollte man sich bei so einem Beschiss auch Mühe geben, wenn man doch sowieso nur unbelehrbare Idioten als „Zielgruppe“ hat – und dass man einfach vor der Spamaktion mal einen Blick auf die Dreckssite wirft, wäre auch zu viel der Mühe gewesen.

Das Beste Online Casino

Sonntag, 1. November 2009

Helloween ist noch gar nicht richtig vorbei, und schon spukt es auch im November weiter in meinem Postfach herum, das verbrecherische Werben für das Magic Box Casino unter etlichen Namen und Internetadressen.

Laden Sie jetzt Stars Casino herunter und erleben Sie ein ganz neues und frisches Onlined Casino!

Klar doch, ein ganzes Casino runterladen…

Unsere einzigartige Software wartet darauf von Ihnen heruntergeladen zu werden!

- Downloaden Sie die Software und geniessen Sie den Spass
– Registrieren Sie sich
– Machen Sie eine Mindesteinzahlung von 20 Euro
– Vergessen Sie nicht Ihren 100% Willkommens Bonus anzufordern und zu geniessen

Immerhin sprechen die jetzt nicht mehr von hunderten von Euro, die man dort einzahlen soll, um irgendeinen obskuren Bonus in virtuellen Jetons ausgezahlt zu bekommen. Aber auch der kleine Betrag ist weg, und das Geschäft der Spammer und der Betreiber des illegalen, durch niemanden kontrollierten und beliebig manipulierbaren Glücksspieles lohnt sich.

Stars Casino guarantiert Ihnen eine magische Online-Gaming-Umgebung […]

Aber voll die Magie! Aus der schnellen Übersetzung rettet sich ein „u“ ins Deutsche, Mails tauchen plötzlich zu hunderten im Posteingang auf, und Geld verschwindet einfach so!

[…] mit diesen Vorteilen:

- Riesiger 100% bis zu 1000 Euro Willkommens Bonus
– Mehr als 35 exklusive Spiele
– Neue und aufregende Slots und zunehmende Jackpots
– Schnelle Ein- und Auszahlungen mit hervorragendem 24/7 Kundendienst

Klar doch, voll der Bonus und die Spiele. Und wie aufregend das doch alles ist. Der Jackpot nimmt zu, und der Zocker nimmt ab, wenn er zuviel verzockt.

Machen Sie sich zum Download bereit und spielen Sie jetzt! Wir versprechen Ihnen, Sie werden sich sehr freuen!
http://www.beststarscasino.net/DE/

Da ich bislang immer die Erfahrung gemacht habe, dass die Verbrecher auch mal an ihrem Sitedesign rumfummeln, wenn sie einen neuen Texter haben, gab ich mir einmal auf einem besonders gesicherten Rechner einen Klick in die Spam.

Und in der Tat, das Design hat mal wieder verändert. Früher haben die ja mal Flash benutzt, um einen Zähler einfach mit der Zeit hochzählen zu lassen und so einen anwachsenden Jackpot vorzutäuschen, das wurde ihnen aber zu blöd (vielleicht wussten die gar nicht, dass man das disassemblieren und verstehen kann, und dass so der Beschiss sofort auffällt) und dann nahmen sie doch lieber einen statischen Text auf der Website.

Inzwischen haben die nicht nur ein anderes Farbschema…

…sondern auch wieder Verwendung für Flash. Auf dem letzten „S“ von „STARS“ hat sich ein glitzriges Funkeln gelegt, und dafür hat man mal eben den gesamten Titelbereich in Flash gemacht. Wenn jetzt nur noch jemand dem tollen Grafiker sagte, dass man Craps…

Detail der Startseite

…mit zwei Würfeln und an einem speziellen Tisch spielt, denn würde mich das dümmliche Grinsen des dort reingephotoshopten Glatzkopfes mit seinen drei Blasebälgen auch nicht so sehr zum Lachen reizen, zumal die damenlose Hand da links nicht gerade gelungen ist und die „Würfelhand“ Zeichen einer beginnenden Elephantitis zeigt. Aber ich will mich mal nicht lustig machen…

Wenn man ein bisschen runterscrollt, sieht man auch die vielen Wege, auf denen man dort sein Geld an Kriminelle loswerden kann.

Darin hat sich noch ein besonders fröhlicher, aber wohl eher unfreiwilliger Scherz verborgen, denn das soll eine…

…“Secure Site“ sein, natürlich auch mit so einem hübschen kleinen abgeschlossenen Schloss dazu. Warum auch immer, die Seite wird nicht einmal über HTTPS verschlüsselt übertragen, und jeder Browser wird sagen, dass es sich hier um eine unsichere Internetverbindung handelt. Oder glaubt jemand, dass diese Verbrecher das Geld für ein Sitezertifikat einer Zertifizierungsstelle ausgeben würden, wo sie sich womöglich noch persönlich identifizieren müssten. Nein, da fummeln die lieber so ein Bildchen rein und glauben fest an die Dummheit und Unwissenheit der Menschen. Denn so richtig dumme und unwissende Menschen freuen sich bestimmt hündisch darüber, dass sie schon auf der Download-Seite darauf hingewiesen werden…

…dass der Internet-Explorer eine kleine Sicherheitswarnung anzeigt, wenn man sich „das Casino runterladen“ will. Rot markiert steht da, was zu tun ist: Gar nicht erst lesen, sondern einfach auf „Ausführen“ klicken. Die haben das ja so gesagt auf der Website eines in der BRD illegalen Casinobetreibers, da wird das schon seine Richtigkeit haben.

Ach ja, BRD. Auch, wenn das so nicht im Grundgesetze steht und auch wenn Werber und Politiker sich alle Mühe geben, Denglisch zur neuen Nationalsprache zu machen – hier wird doch immer noch von den meisten Menschen Deutsch gesprochen. Das heißt aber noch lange nicht, dass sich die Verbrecher einmal die Mühe machen würden, einen Screenshot von einer deutschen Windows-Version in deutscher Sprache auf ihrer deutschen Seite zu machen – Mühe ist ja anstrengend, und die Deppen merken sowieso nichts.

Zum Glück ist es ganz einfach, die Download-Seite zu finden, weil der gesamte untere Bereich dieser neckischen Reklame für ein illegales Glücksspiel ein Link auf die Download-Seite ist. Früher haben die den Download einfach über JavaScript starten lassen, aber das hat sich wohl als kontraproduktiv erwiesen, weil so eine Sicherheitswarnung des Browsers den meisten Menschen doch noch zu denken gibt. Deshalb jetzt diese tolle Download-Seite, die solchen Bedenken den Wind aus den Segeln nehmen will…

Ach ja, und dann ist da noch der ganz tolle Bonus, von dem die da schwafeln, damit man auch ja schön viel einzahlt, um dafür doppelt so viel Spielgeld zu bekommen. Der Hinweis, wie man da drankommt, befindet sich unter dem Link „Aktionen“, und es ist mal wieder so ein echter Geheimtipp:

Man muss nur den hochgeheimen und sehr überzeugend aussehenden Code STARS1000 eingeben, um dieses „fantastische Angebot in Anspruch nehmen zu können“ – das wird hier übrigens von Spammern zugesagt, die Geld dafür kriegen, dass sie Leute in das „Magic Box Casino“ zerren, und es kann gut sein, dass das „Magic Box Casino“ gar nichts davon weiß. Macht aber nicht, Hauptsache, es wird erstmal so richtig eingezahlt. Und je größer der Betrag ist, desto besser.

So, ich muss jetzt etwas gegen die Kopfschmerzen tun, das Grün dieser Website ist körperverletzend!

Phishing: Lieb PayPal Customer

Freitag, 16. Oktober 2009

Das hatten wir heute schon einmal, wenn auch mit weniger peinlichem Betreff.

Warnung Notification

Klar doch, so etwas kommt immer in der falschen Sprache und ohne persönliche Anrede, denn PayPal hat kein Interesse an irgendeiner Kundenpflege. Allein das ist ein deutliches Indiz, dass man es mit einer Mail von Betrügern zu tun hat. Hier kann man es noch an gewissen anderen – ähm – Schwächen bemerken, aber so massiv, wie gerade die Phishing-Spams hier reinkommen, wird der Text wohl morgen schon ausgereift sein. Dass jemand auf dieses Geschreibsel reinfällt, erscheint mir ja schon unglaublich:

Lieb PayPal Costumer,

Es ist uns nicht entgangen, dass dein PayPal® account-Informationen muss im Rahmen der Aktualisierung unserer anhaltendes Engagement fьr Ihr Konto zu schьtzen und zu reduzieren der Fall von Betrug auf unserer Website. Wenn Sie kцnnten Bitte nehmen Sie sich 5-10 Sie wird nicht ausgefьhrt, in Zukunft keine Probleme mit der Online – Dienst.

Jedoch nicht aktualisiert Ihre Eintrдge werden auf dem Konto Ergebnis Suspension. Bitte aktualisieren Ihre Eintrдge vor Oktober 08, 2009.

Sobald Sie aktualisiert haben Ihre Konto werden Ihre PayPal® Kontobewegungen nicht unterbrochen werden und wird wie gewohnt weiter.

Klicken Sie auf Hier aktualisieren Sie Ihr PayPal-Konto Informationen

Der Link geht mal wieder auf ein gehacktes Forum. Und für jene, die ganz neugierig sind, zeige ich jetzt mal, wie es aussieht, wenn man da draufklickt – mit einem besser formulierten Text könnte ein erheblicher Teil der naiveren PayPal-Kunden auf den fiesen Betrug dieser Phisher reinfallen.

Der Klick führt auf eine HTML-Datei, die bei einem gehackten Forum über eine Sicherheitslücke hinterlegt wurde. Diese Seite selbst enthält nur eine Weiterleitung auf clan punkt barabaka punkt biz / ts / webscr.php mit den GET-Parametern cmd = _login-run und dispatch mit einer endlos langen, base64-codierten Kennung, über welche die Spammer wahrscheinlich feststellen, dass ihr durch einen Hack hochgeladener Code noch aktiv ist und weiter mit Spam beworben werden kann.

Die hier für den Betrug verwendete Domain ist bei Manager Peterhost, ul Professora Popova 37B, St. Petersburg gehostet, als Registrar ist ein Sergey Khomenko ohne Anschrift aus der schönen großen Stadt Moskau eingetragen. Letzteres dürfte ein reiner Phantasiename sein. Der Hoster ist schon von mir angemailt worden, aber nach meinen bisherigen Erfahrungen mit russischen Hostern verspreche ich mir davon nichts, nicht einmal eine Eingangsbestätigung. Allerdings gehe ich davon aus, dass auch der Hoster ein Betrogener ist. Auch der Betreiber des gehackten Forums hat schon seine Mail und wird wahrscheinlich ein großes Eigeninteresse daran haben, dass dieser Müll von seinem Server verschwindet – aber auf dieser Seite ist das alles ein Kampf gegen Windmühlen, wahrscheinlich werden zurzeit tausende von gehackten Websites von diesen Verbrechern missbraucht.

Mal so am Rande gefragt: Wo ist eigentlich der Kampf gegen die Internet-Kriminalität? Ich bin überzeugt, dass ein Tätigwerden des BKA deutlich mehr Wirkung beim Hoster entfalten würde als die Mail eines Namenlosen ohne Wohnsitz aus dem fernen fernen Deutschland – vor allem, wenn dabei mit russischen Behörden zusammengearbeitet würde. Aber von einem „sicheren Internet“ redet man ja nur im Wahlkampf und wenn man den Menschen Zensur und andere Einschränkungen verkaufen will. Die wirkliche Kriminalität scheint allen Beteiligten gleichgültig zu sein, und deshalb werden immer wieder arglose Menschen um tausende von Euros abgezockt.

[Für Originalgröße der folgenden Screenshots die Vorschaubilder anklicken]

Wenn der gläubige PayPal-Kunde diesen Bildschirm sieht, kann ich nur hoffen, dass er auch auf die Adresszeile seines Browsers schaut und misstrauisch wird. Denn darin erscheint nicht die vertraute Domain paypal.com, sondern die Domain eines Betrügers. Es würde mich nicht wundern, wenn in kommenden Versionen des Betruges versucht würde, die Adresszeile des Browsers auszublenden.

WICHTIGER HINWEIS: Solche Internetadressen wie die einer Bank, eines Auktionshauses oder eines Dienstes zur Online-Bezahlung gibt man immer von Hand ein. Niemals auf einen Link in einer E-Mail klicken. Niemals auf die Lesezeichen (für IE-Freunde: Favoriten) des Browsers verlassen, diese sind für Kriminelle manipulierbar. Niemals mit administrativen Berechtigungen im Internet surfen, damit nicht unter Ausnutzung von Sicherheitslücken die Zuordnung der Domainnamen zu IP-Adressen manipuliert werden kann. Selbst mit solchen Vorkehrungen ist kein Computer unter keinem Betriebssystem völlig sicher, es gilt, unter allen Umständen aufmerksam zu bleiben. Keine Sicherheitssoftware kann bewusste Vorsicht und Aufmerksamkeit ersetzen.

Wenn ein argloser Anwender hier seine Mailadresse und sein PayPal-Passwort eingegeben hat (ich habe hier ein paar mit Schimpfwörtern gesalzene Phantasiedaten genommen, um den Datenbestand der Kriminellen ein wenig zu verseuchen), geht es nicht gleich weiter, sondern es wird eine Fehlermeldung angezeigt, dass man sich mit falschen Daten angemeldet hat:

Erst, wenn man zwei Mal nacheinander die gleiche Eingabe gemacht hat, geht es weiter. Diese Verbrecher wollen als einen ganz sauberen Datenbestand haben und sich nicht weiter mit Tippfehlern herumschlagen, wenn sie die Bankkonten anderer Leute für ihre betrügerischen Geschäfte plündern. Die wollen so wenig zeitlichen Aufwand wie nur irgend möglich dafür betreiben, dass sie ihre Betrugsgeschäfte durchziehen.

Nach dem Einsammeln der PayPal-Anmeldedaten haben diese Bastarde schon einen großen Schritt gemacht und könnten eigentlich unter irgendeinem Vorwand abbrechen – ein komplettes PayPal-Konto stünde ihnen bereits zur Verfügung. Aber die werden auch daran nicht satt und treiben es noch ein bisschen bunter, denn nach erfolgreicher Anmeldung…

…erhält man nicht etwa die gewohnte Kontenübersicht (obwohl genau das noch in der Überschrift steht), sondern ein Formular für „Bestatigen Mein Konto.“ (in genau dieser Schreibweise). Wenn man diese Eingabemaske sieht, ist es eigentlich schon zu spät, aber der Schaden lässt sich jetzt noch beliebig verschlimmern. In diesem tollen Formular kann man nämlich einen kompletten Datensatz über sich selbst an die hochkriminellen Spammer geben, einschließlich Anschrift und Geburtsdatum und Nummer des Ausweises (Numero von CIN ist aber nicht gerade deutsch). Das sind Daten, über die sich jeder Kriminelle freut, wenn er seine ganz besonderen „Geschäfte“ machen will.

Also bitte niemals niemals niemals auf ein Phishing reinfallen.

In jeder echten Mail der Bank, von PayPal oder jedem anderen Unternehmen, bei dem man Kunde ist, wird man persönlich angesprochen – und es wird hoffentlich auch überall darauf hingewiesen, dass man die Internetadresse von Hand eingeben soll. Und selbst, wenn eine Mail mit persönlicher Ansprache kommt, sollte man skeptisch bleiben, denn die Verbrecher kommen immer wieder einmal an persönliche Daten – im Zweifelsfall zum guten, alten Telefon greifen und einfach einmal nachfragen. Dieses bisschen Vorsicht kann sehr viel Geld sparen.

Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.