Schlagwortarchiv „Sehr geehrter Kunde“

Stagefright-Virus bedroht ihr Konto

Dienstag, 11. August 2015

Das Wichtigste vorab: Diese E-Mail kommt nicht von der Postbank. Es ist Phishing und der Versuch, ihnen einen Trojaner unterzujubeln. Löschen sie diese E-Mail! Wenn sie das mir als „irgendeinem dahergelaufenen Blogger“ nicht glauben wollen (was durchaus vernünftig ist, denn sie kennen mich nicht und ich kann ein beliebiger Vollidiot sein), überzeugen sie sich davon, indem sie kostenlos bei der Postbank-Hotline für Sicherheitsfragen unter der Telefonnummer 0800 1008906 anrufen und dort noch einmal nachfragen! Und nachdem sie dort die Bestätigung gehört haben, löschen sie diese Spam! Die Postbank versendet solche E-Mails nicht. Kommen sie auf gar keinen Fall auf die Idee, wegen einer E-Mail einer Bank irgendwelche Daten irgendwo einzugeben! Egal, was der Grund dafür sein soll! Es ist eine sehr schlechte Idee, die sie viel Geld kosten kann und ihnen monatelangen Ärger aller Art einbringen kann. Und wenn sie schon die Hotline anrufen, stellen sie dort auch gleich die Frage, warum vor dieser sehr gefährlichen laufenden Betrugsnummer noch nicht prominent auf der Kundenwebsite der Postbank gewarnt wird, denn zurzeit scheint bei der Postbank noch niemand auf diese naheliegende Idee gekommen zu sein – obwohl dort ansonsten geradezu vorbildlich auf gängige Betrugsmaschen hingewiesen wird. Eine prominent platzierte Warnung könnte so viel Schaden verhindern und kostet dabei so wenig Aufwand…

So, jetzt aber…

Es war ja klar, dass die Spammer darauf aufspringen würden. Wer auch nur eine Spur Verantwortung fühlt, wird allerdings niemals auf die Idee gekommen sein, seine Kontoführung mit einem Wischofon¹ zu machen – denn in diesen werksseitig funktionslimitierten Computern für Dumme verbindet sich die Security-Blauäugigkeit der Neunziger Jahre mit der technisch kompetenten organisierten Kriminalität der Zehner Jahre.

Tja, und wer seine Kontoführung nicht mit so einem gefährlichen Spielzeugtelefon macht, der lacht schon beim Anblick des Betreffs, lehnt sich zurück und hat eine Möglichkeit weniger, mit derart plumpen Nummern überrumpelt zu werden.

Diese Spam habe ich übrigens nicht selbst empfangen, sie wurde mir von einem Freund mit Konto bei der Postbank zugesteckt, der schon wegen des…

Von: „Postbank.de“ <do-not-reply@postbank.de>

…in der Spam angegebenen Absenders verunsichert war, ob sie nicht echt sein könnte. Ich hoffe, er hat sich jetzt für alle Zeiten gemerkt, das der Absender einer E-Mail ohne Aufwand gefälscht werden kann und somit gar nichts über die Herkunft einer E-Mail sagt. Was Banken tun können, um solche Verunsicherungen bei Empfängern von kriminellen Phishing-Spams zu verhindern, habe ich schon vor vier Jahren geschrieben und werde es hier nicht wiederholen. Dass die meisten Banken immer noch nichts tun, ist ein Beleg dafür, dass ihnen ihre Kunden egal sind und dass sie sich nicht daran stören, wenn Kriminelle das Geld ihrer Kunden für dicke Autos, Kokain und Prostituierte ausgeben können. Als Kunde einer solchen Bank würde ich die darin ausgedrückte Verachtung in vollem Umfang zurückgeben und mir einen seriöseren Dienstleister für meine Geldsachen suchen.

Sehr geehrte/r Kunde,

Weder kennt diese „Postbank“ den Namen des Empfängers, noch macht sie eine Angabe, auf welches Konto sich diese Mail bezieht². Spätestens an dieser Stelle sollte jedem Empfänger klar sein, dass es sich um eine Spam handelt.

Die Postbank Sicherheitszentrale [sic! Deppen Leer Zeichen] warnt vor einer Sicherheitslücke beim Smartphone-Betriebssystem Android von Google. Hacker könnten die Daten einfach per MMS stehlen [sic!] und ihr Handy karpern. Der Virus schleicht sich von alleine in ihr System [sic! Komma fehlt.] ohne dass Sie es bemerken.

Ich gehe darauf inhaltlich nicht weiter ein, außer vielleicht diese eine Kleinigkeit: Es geht bei Stagefright nicht um „Daten per MMS stehlen“, sondern um „beliebigen Code in eine MMS (oder ein irgendwie, zum Beispiel bei einem Hangout, vom Wischofon verarbeitetes Video) einbetten und unbemerkt ausführen“. Der „Postbank Sicherheitszentale“ aus der wirren Kopfwelt dieser Spammer scheint das nicht so völlig klar zu sein, und offenbar setzen die Kriminellen auch darauf…

Einen ausführlichen Bericht über den Stagefright Virus finden sie auf Hier [sic!]

…dass ihre Opfer mit dem verlinkten Artikel auf Zeit Online intellektuell überfordert sind. Das sind ja immerhin Buchstaben, die Text formen, der gelesen werden will – und übrigens recht unklar ist, da er mutmaßlich von einem Journalisten ohne vertiefte technische Kenntnisse verfasst wurde. Eine etwas klarere Darlegung gibt es bei Heise Online.

So schützt die Postbank Sie!

1. Wenn Sie im Besitz einen Android-Handys dann folgen Sie bitte den Anweisungen!

Aha, die „Postbank“ schützt mich, indem ich den Anweisungen folge. Vielleicht sollten die „Sicherheitsexperten“ dort mal einen Deutschexperten einstellen, damit die Formulierungen nicht so mies klingen… 😀

2. Klicken Sie „hier“ oder öffnen Sie die Datei in ihrem E-Mail Anhang!

Ein Klick auf „Click here“ in einer digital unsignierten Mail eines Unbekannten ist immer ein ganz besonders großer Beitrag zur Computersicherheit…

3. Füllen Sie alle Daten aus und bestätigen Sie auf „Daten absenden“

Ich denke, die „Postbank“ will mich schützen. Stattdessen soll ich einen Anhang öffnen und ausfüllen. Dieser Anhang ist übrigens eine HTML-Datei. Wer Interesse daran hat: den Quelltext habe ich bei Pastebin hochgeladen. Das Wichtigste steht in Zeile 110, ich habe hier mal den interessanten Teil isoliert:

<form ... action="http://b.adress-datenabgleich.com/postbank_check.php" ...>

Die eingegebenen Daten gehen nicht an einen Server in der Domain der Postbank, sondern über die obskure und vor ein paar Tagen anonym registrierte Domain adress (strich) datenabgleich (punkt) com an einen von Verbrechern kontrollierten Server, der zu diesem Zeitpunkt erfreulicherweise schon vom Internet genommen wurde. (Ein Dank an den Hoster für die schnelle Reaktion! Aber es kann ja auch nicht jeder so langsam wie die Postbank sein, wenn millionenfacher Betrug durchgeführt wird…)

Welche Daten das sind? Diese Daten hier:

Screenshot des Anhanges mit einer Phishing-Seite im Design der Postbank. Unter der Überschrift 'Postbank Stagefright Virus entfernen' soll die E-Mail-Adresse, die Kontonummer und ein Passwort oder eine PIN eingegeben werden.

Wer den Verbrechern so Zugriff auf das Postbank-Konto gegeben hat und ihnen bestätigt hat, unter welcher Adresse die Spam ankommt und beklickt wird, darf sich schon „freuen“:

Der nigelnagelneue Trojaner, den garantiert noch kein Antivirus-Schlangenöl kennt, wird gleich hinterhergeliefert.

Wir senden ihnen umgehend eine E-Mail mit einer Software mit der Sie den Stagefright-Virus entfernen können.

Die allerdings sehr naheliegende Frage, warum die „Postbank“ nicht gleich jedem ihrer angemailten Kunden eine E-Mail mit einer derartigen Software zusenden sollte, die beantwortet der freundliche Phisher und Cracker nicht.

Übrigens ist „Stagefright“ kein Virus, außer vielleicht in einem eher skurillen Sinn des Wortes. Es ist eine schwere, auf vielerlei Wegen ausbeutbare Sicherheitslücke in Android.

Mit freundlichen Grüßen
Ihre Sabine Heinel
Postbank Newsletter-Redaktion

Wenn das die Freundlichkeit ist, will man den Hass nicht mehr kennenlernen.

¹Wischofon ist mein deutsches Wort für das Reklamewort „smart phone“. Es bezeichnet den Gegenstand nach der Tätigkeit, die am häufigsten auf ihn ausgeführt wird: Wischen mit den Fingern. Ich meine das nicht als Schimpfwort.

²Es ist gar nicht selten, dass jemand mehrere Konten hat.

Sparkasse Online-Konto Aktualisierung

Dienstag, 21. Juli 2015

Sehr geehrter Kunde,

Wir sind derzeit die Aktualisierung unserer Datenbank, Sparkasse zeigen, dass der Zugriff auf Ihr Online-Konto läuft kurz.
Um weiterhin diese Vorteile nutzen, bitten wir Sie Daten auf den folgenden Link, um zu bestätigen.

Sparkasse Online-Konto Aktualisierung: klicken Sie hier
Mit freundlichen Grüßen,

Ihr Sparkasse Kundenservice

Gibt es noch jemanden auf dieser Welt, dem nicht schon wegen der Sprache dieser Mail sofort klar ist, dass es sich um Phishing handelt? Jemand, der sich auch nicht darüber wundert, dass er vom dümmsten Linktext der Internetgeschichte „klicken sie hier“ nicht etwa in die Domain der Sparkasse, sondern in die Domain hospitalio (punkt) com (punkt) mx geführt wird, was übrigens spätestens beim Blick in die Adresszeile des Browsers deutlich sein sollte, wenn man in die Mail geklickt hat? Und der dann dort, auf so einer Seite…

…der „Sparkasse“ eine Menge Daten mitteilt, die die richtige Sparkasse schon längst kennt, ohne sich zu fragen, welchen Zweck das haben könnte?

Nun, wenn es solche Menschen noch gibt, verstehe ich ehrlich gesagt nicht, dass die ein Konto führen können und geschäftsfähig sind. Vermutlich ist an solchen Leuten auch ein kleiner Link in die richtige Website der Sparkasse verschwendet:

Ihre Sparkasse wird Sie niemals dazu auffordern, aus einer E-Mail heraus Webseiten zu öffnen, um dort Kontodaten einzugeben.

Mehr muss ein Sparkassen-Kunde in dieser Sache nicht wissen – auch nützlich für den Fall, dass es mal gut vorgetragenes, wirklich gefährliches Phishing gibt: Alle E-Mails mit Links auf Seiten zur Dateneingabe sind nicht von einer Sparkasse. Was in der verlinkten Seite leider nicht so deutlich wird: Das gleiche gilt für Mailanhänge. Alle E-Mails, an denen ein Formular zur Dateneingabe angehängt wurde, sind ebenfalls nicht von einer Sparkasse – und völlig unabhängig davon sollten unverabredet zugestellte Mailanhänge generell niemals geöffnet werden, weil es sich um den zurzeit wichtigsten Verbreitungsweg für Schadsoftware handelt. (Und nein, ein Antivirus-Programm hilft in so einem Fall oft nicht. Das bedeutet im Zweifelsfall: Das Antivirus-Programm hilft überhaupt nicht. Also niemals einen unverabredet zugestellten Mailanhang aufmachen! Das hilft nämlich.)

BetreffAW: Ihr Onlinebanking-Zugang

Montag, 20. Juli 2015

Es ist mir auch ohne das Wort „Betreff“ im Betreff klar, dass es sich um einen Betreff handelt.

Die E-Mail ist HTML-formatiert und ahmt im Großen und Ganzen das Design der Website der Comdirekt Bank AG nach. Das großformatige, für eine E-Mail völlig ungeeignete Layout wird sicherlich häufig nicht gut lesbar dargestellt.

Wer diese Mail bekommen hat und sich unsicher ist: Nein, trotz des Layouts kommt diese Mail nicht von der Comdirekt Bank AG, sondern von Kriminellen, die Menschen zur Preisgabe ihrer Daten überrumpeln wollen, damit sie das Konto übernehmen können. Ich kann leider nicht beurteilen, ob die Comdirekt Bank AG zurzeit ihre Kunden vor dem laufenden Phishing warnt, da die Comdirekt Bank AG eine Website betreibt, die ohne aktiviertes Javascript keine Inhalte darstellt. Einer in meinen Augen unseriösen und verachtenswerten Unternehmung wie einem Kreditinstitut werde ich gewiss nicht gestatten, Code in meinem Browser auszuführen…

Screenshot eines Details aus der Comdirekt-Bank-Website: 'In Ihrem Browser ist JavaScript deaktiviert. Die Nutzung der comdirect-Website ist ohne JavaScript nicht möglich. Sollten Sie weiterhin Probleme mit dem Zugriff auf die Seite haben, wenden Sie sich bitte während unserer Servicezeiten an unsere Hotline unter der Rufnummer 04106 - 708 xx xx.' Es gibt übrigens keinen sachlichen oder technischen Grund, öffentlich lesbare Inhalte nicht in textueller Form zu hinterlegen – also so, wie es zum Beispiel hier bei Unser täglich Spam geschieht. Wenn die Comdirekt-Bank Interessierten und Kunden auf der Startseite – siehe Screenshot rechts – verkündet, dass dies nicht möglich sei, handelt es sich um eine Unwahrheit; in Wirklichkeit sind die Betreiber dieser Website aus mir unbekannten Gründen unwillens, die einfachen Dinge auf einfachem Wege zu machen. Welche Gründe das sein könnten, gehört zu den Fragen, über die ich nur spekulieren kann, und keine meiner Annahmen würfe ein gutes Licht auf die Comdirekt Bank AG.

Jetzt aber zur Spam:

Sehr geehrte Kundin,
Sehr geehrter Kunde,

wie Sie wissen, wird unser online-banking stets aktualisiert, um immer den höchsten Standart [sic!] an Synchronität [oha!] und Sicherheit beizubehalten. Um sicherzustellen, dass Sie das neue System des online-bankings problemlos und synchron nutzen [sic!] können, müssen Ihre persönlichen Address- und Telefondaten noch einmal von Ihnen bestätigt werden. Dies ist notwendig um keine alten Daten in das neue Onlinebanking zu übernehmen [sic!]. Um Ihre persönlichen Daten zu aktualisieren, melden Sie sich hier bitte zunächst bei Ihrem Onlinebanking an.

Klicken Sie hier – >

Sehr geehrtes Namenloses,

für den gar nicht so seltenen Fall, dass sie mehrere Konten haben, sagen wir ihnen nicht, um welches Konto es sich handelt. Wir fummeln ständig an unserem Technozauber für die Internet-Fernkontoführung herum, und sie wissen das ja schon. Das machen wir wegen Standarten, Sicherdingsbums und zeitlicher Übereinstimmung. Damit sie das Dingens jetzt weiter nutzen können, müssen sie uns eine Menge Daten mitteilen, die wir schon längst wüssten, wenn wir ihre Bank wären. Warum? Damit wir nicht versehentlich veraltete Daten benutzen. Ihre vertragliche Verpflichtung, Änderungen umgehend mitzuteilen, bleibt davon natürlich unberührt. Und jetzt melde sie sich an und klicken sie auf „klick hier“, einem dummen Text, der nur in Spams und anderen unerwünschten Mails zu finden ist! Wundern sie sich nicht darüber, dass die Website der „Comdirekt Bank“ jetzt in einer russischen Domain liegt, und wundern sie sich auch nicht darüber, dass der Link indirekt gesetzt ist und einen Umweg über eine andere gehackte Website geht!

Die Phishing-Seite sieht so aus:

Herzallerliebst auch die Warnung vor Wischofon-Trojanern! Aber natürlich sollte man generell niemals in eine E-Mail klicken, um die Website einer Bank aufzurufen, denn damit wird man leicht von Verbrechern überrumpelt. Seit ungefähr 21 Jahren¹ haben Webbrowser so genannte „Lesezeichen“.

Nachdem Sie das Formular im Onlinebanking ausgefüllt haben, wird von Ihnen kein weiterer Schritt zur Aktualisierung benötigt. Sie werden innerhalb von 48 Stunden nach dem Ausfüllen des Formulars von einem Mitarbeiter unserer online-banking Abteilung telefonisch kontaktiert, um die Aktualisierung Ihres Online-Banking abzuschließen. Vielen Dank für Ihr Verständnis und Ihr Vertrauen in die comdirect.

Nachdem sie aufs Phishing reingefallen sind, sind sie fertig und brauchen nichts mehr zu tun. Sie müssen nur noch eines tun: In den nächsten Stunden jemanden, der sie anruft, weitere Daten am Telefon sagen! Vielen Dank für ihre Dummheit und ihr Vertrauen in etwas Layout in einer HTML-formatierten Mail – aber da können sie ja auch gar nicht anders, weil die meisten Kreditinstitute sich nach wie vor ohne jeden technischen und sachlichen Grund dagegen verwehren, grundsätzlich nur noch digital signierte E-Mail an ihre Kunden zu versenden, um auf diese Weise den Absender und den unveränderten Inhalt überprüfbar zu machen und so den Phishing-Sumpf langsam auszutrocknen. Die dafür erforderliche Technik steht sogar schon viel länger zur Verfügung als die Lesezeichen in Webbrowsern, und sie kostet nichts.

Vielen Dank für Ihr Verständnis und Ihr Vertrauen in die comdirect.

Ach ja, und danke, dass sie volles Verständnis dafür haben, dass ich als Spammer es nicht so mit der Sorgfalt habe und deshalb sehr nachlässig werde, wenn ich meinen eigentlichen Betrugstext fertig habe.

Mit freundlichen Grußen [sic!],

Kundendienst,

Mit freundlichem Gruseln
Dein Phishing-Spammer

¹Der erste Webbrowser mit Lesezeichen war meines Wissens der Mosaic Netscape 0.95 beta aus dem Jahr 1994.

Avanafil und Cialis generica zum Sonderpreis

Sonntag, 1. März 2015

Sehr geehrte Kunden,

Jeder ist Kunde, wenn die Spammer die Mailadresse haben…

Wir möchten Ihnen unser allerneustes Produkt – Sai Ivana (Avanafil) vorstellen.

Oh, wie neu! Spam für Pimmelpillen. Vorgestellt von einem namenlosen „Wir“, das gewiss eine sehr vertrauenswürdige Unternehmung ist. Und Vertrauen ist ja wichtig, vor allem, wenns um Medikamente geht.

Probieren Sie das neue Wirkstoff Avanafil für einen Aktionspreis von 29,00 Euro für 4 Stück, bzw. 59,00 Euro für 10 Stück.

Aber was solls, vielleicht hat der Kunde ja mal Glück und bekommt für sein Geld nichts geliefert, so dass er wenigstens am Leben bleibt.

Der Wirkstoff Avanafil hat, im Vergleich zu anderen Potenzmittel, kaum zu spürende Nebenwirkungen und die Wirkung tritt schon nach kurzer Zeit in Kraft. Der Aktionspreis gilt bis zum 28.02

„Kaum zu spürende Wirkungen und sofort eintretende Nebenwirkungen“, habe ich mich da eben verlesen. Und der „Aktionspreis“ – das Versenden von ein paar Millionen Spams ist ja eine tolle „Aktion“ – gilt nur noch bis gestern. Damit man auch schnell klickt und nicht lange nachdenkt.

Auch wird in dieser Woche Cialis generica zum Sonderpreis angeboten

Wenigstens kann man bei der Angabe „diese Woche“ keine gröberen Schnitzer machen.

Zur Homepage

Wer da klickt, lasse alle Hoffnung fahren. Natürlich hat der Link wieder eine eindeutige ID, damit zum Spammer mit der tollen Betrugsapotheke „Pillentank“ auch ja „zurückgefunkt“ werde, dass die Spam angekommen ist und vom Empfänger beklickt wird. Das bisschen befriedigte Neugierde wird also Folgen haben, so zwischen dreißig und fünfzig jeden verdammten Tag. Deshalb klickt man ja auch nicht in eine Spam.

Sollten Sie zukünftig diesen Newsletter nicht mehr erhalten wollen, klicken Sie bitte hier

Du mich auch!

Konto Aktivierungs-Hinweis‏‏‏‏‏

Mittwoch, 19. November 2014

Nach dem „gut“ gemachten Phishing gestern jetzt mal die Hausmannskost des Posteingangs: Mies gemachtes Phishing.

Von: Sparkasse <wlmott (at) embarqmail (punkt) com>

Wenn man schon eine Absenderadresse fälscht, könnte man ja darauf achten, dass sie wenigstens wie eine Adresse der Sparkasse aussieht… na ja, Spammer eben, die haben es nicht so mit der Gehirnbenutzung.

Sehr geehrter Kunde,

Die warme, persönliche Menschlichkeit dieser Ansprache wird nur noch von der darin erteilten Ehre übertroffen.

Wir möchten Sie darauf hinweisen, dass der Zugang zu Ihrem Online-Konto wird in Kürze auslaufen [sic!]. Um auch in Zukunft davon profitieren [sic!], werden wir Sie für Ihre Daten auf den untenstehenden Link zu bitten, zu bestätigen [sic!].

Sparkasse Online-Konto aktualisieren: klicken Sie hier

„Click here“ ist und bleibt der dümmste Linktext aller Zeiten – und da er inzwischen nur noch in Spam vorkommt (oder in Mails, die genau so hirnbröselig wie Spams sind), kann man daraus leicht einen Filter machen.

Schließlich ist so eine Computer ja nicht dazu imstande…

Wir werden dann automatisch wieder Ihre Internet-Banking-Konto [sic!] und Sie werden von einem unserer Mitarbeiter kontaktiert werden. Online-Banking haben Sie schnellen und einfachen Zugriff auf Ihr Konto [sic!]. Sie können leicht die Übertragung mit einem einzigen Mausklick [sic!].

…zu erkennen, dass das „Deutsch“ einer Mail nicht klingt, als käme es von einem Menschen, der in dieser Sprache geschrieben hat. Warum die Idioten nicht einfach jemanden nehmen können, der die Sprache, in der er schreibt, auch ein bisschen kann… ich weiß es nicht.

Immerhin, die Phisher haben es selbst bemerkt, wie schlecht ihr Machwerk ist, so dass sie die Gesamtwirkung erhöhen wollten, in dem sie Online-Banking-Kunden ein bisschen Reklame fürs Online-Banking aus irgendeiner Reklamesite einer Bank in die Spam geklebt haben:

Außerdem bietet es Online-Banking mehr Ihre Vorteile im Überblick:

– Kontozugang rund um die Uhr
– Schneller Zugriff auf Ihr Konto
– Transferlisten, Konto Geschichte, etc. von Ihrem Handy, PC und Tablet einfach und sicher
– Flexibel in jeder Ecke der Welt
– Hohe Sicherheit

Dabei kommt wenigstens die Sprache halbwegs hin. Und ohne solche Hinweise könnte man ja glatt vergessen, was dieses Online-Banking – von mir übrigens „Fernkontoführung“ genannt, weil ich Reklamesprache hasse – eigentlich ist. 😀

Jetzt aber genug Deutsch…

Groeten van het seizoen,
Sparkasse-Finanzportal GmbH Online-Team.

…jetzt gibts niederländische Weihnachtsgrüßchen. Es sind ja auch nur noch 36 Tage bis zum Kassenbimmelfest, dessen synthetischen Engelssang man selbst in der Hölle noch vernehmen kann. Ich mag mich da auch nicht zurückhalten, verfalle allerdings mangels guter niederländischer Sprachkenntnisse ins mir vertrautere Niederdeutsche und sage „Klei mi ann Mors!“.

Das Problem: Paypal Uberprufung

Freitag, 17. Oktober 2014

Hui, ein Qualitätsbetreff! Die unfreiwillig lustige Bande von Phishern, die diese Spam verzapft hat, hat aber in der vergangenen Woche nicht so viel dazugelernt. Nur, um den schneckenhaft rasenden Lernerfolg von dummen Idioten, die naive Menschen betrügen wollen, besser zu dokumentieren, hier die tolle Spam des Tages in ihrer stilsicheren HTML-Formatierung – diesmal mit geringfügig mehr Text als beim letzten Mal, aber nicht mit mehr Inhalt:

Guten Tag!
Sehr geehrte/r Kunde/in! [sic! Doppelt hält besser!]

Wir bitten Sie um einer Unterstutzung bei der Freistellung Ihres PayPal Konto [sic!].
Es sind uns auffallige Aktivitaten aufgefallen [sic!] in der Zeit Ihrer letzen Anmeldung,
Ihr PayPal-Konto ist vorubergehend gesperrt

Wo liegt das Problem?
Bei Ihrer letzten Anmeldung sind uns auffallige Aktivitaten aufgefallen.

Was kann ich machen?
Bitte bestatigen Sie Ihre Personalitat durch folgenden Button [sic!] und fullen Ihre Personliche Daten ein [sic!], damit wir Ihr PayPal Konto freischalten konnen.
Schliesslich, konnen Sie Ihr Paypal-Konto wieder uneingeschrankt nutzen.

Klicken Sie bitte Jetzt Zugriff wiederherstellen.

Lassen Sie uns Ihr Konto gemeinsam wiederherstellen.
Nachdem Sie alle Schritte durchgefuhrt haben, antworten wir
Ihnen innerhalb von 72 Stunden.

Viele Grube!!

Und natürlich…

Copyright (c) PayPal 1999-2014 (Europe) S.r.l. et Cie, S.C.A. message ID: 4869215

…hat PayPal mit diesem Sondermüll gar nichts zu tun.

Unbezahlte Zahlung Nr: DE0072271

Donnerstag, 21. August 2014

Das ist wieder so ein Qualitätsbetreff! Der wird auch gleich von…

Hi, gammelfleisch (at) tamagothi (punkt) de.

…einer Qualitätsanrede gefolgt. Und nein, dabei bleibt es nicht, es kommt sofort…

Sehr geehrter Kunde, […]

…die zweite Qualitätsanrede hinterher.

[…] wir teilen ihnen leider mit, dass wir Zahlung für das letzte Quartal nicht erhalten haben.

Wie immer, wenn die Verbrecher die Leute dazu „motivieren“ wollen, Schadsoftware zu installieren, steht keine konkrete Information in der Spam, nur so einschüchterndes Mahngehabe. Wer wissen will, um was zum hackenden Henker es überhaupt geht…

Im Anhang schicken wir ihnen die entsprechende Rechnung für den Fall, wenn Sie zuvor gesendete Rechnung verloren haben.

…muss schon den Anhang aufmachen. Der ist ein ZIP-Archiv, in dem ein Dokument für Microsoft Word herumliegt. Dieses wurde in sieben Minuten geschrieben und hat 54 Seiten – etwas lang für eine „Rechnung“, und zudem auffallend schnell getippt. Tatsächlich enthält es vor allem Schadsoftware in Form eines Makros – und weil Makros standardmäßig nicht mehr ausgeführt werden, ist die erste Seite eine Aufforderung, doch bitte Makros einzuschalten, weil das Dokument sonst nicht dargestellt werden kann.

Das ist schon gnadenlos doof.

Und wer das macht, ist nicht mehr zu retten. Warum? Na, kurze Frage an jeden gelegentlichen Anwender von Microsoft Office: Habt ihr jemals einen Brief geschrieben, der in Microsoft Word nicht darstellbar war, wenn die Makros abgeschaltet waren? (Dass Makros abgeschaltet sind, ist übrigens – dankenswerterweise – die Standardeinstellung in Microsoft Office.)

Der Müll scheint schon „etwas älter“ zu sein und wird mittlerweile von gut der Hälfte der gängigen Antivirusprogramme erkannt. Zum Glück sollte die dumme Spam für beinahe jedes Gehirn als Spam erkennbar und löschbar sein.

Nr:275276xxx
Tel./Fax.: +493031119xxxx

Ich kann nur hoffen, dass die angegebene Telefonnummer niemanden gehört.

Konto aktivierung Ankündigung‏

Freitag, 8. August 2014

Das klingt ja schon nach einem Meisterwerk der Phishing-Spam. 😀

Der (gefälschte) Absender ist spar (underline) kence (at) q (punkt) com und er nennt sich „Sparkassen“. Dafür hat er allerdings einen ziemlich dummen Absender gefälscht – er hätte eine beliebige andere Mailadresse eintragen können, zum Beispiel auch eine aus der Domain sparkasse (punkt) de.

Sehr geehrter Kunde.

Ohne den Namen des Kunden zu kennen, aber mit einem Punkt dahinter.

Wir möchten Sie darauf hinweisen, dass der Zugang zu Ihrem Online-Konto wird in Kürze auslaufen. Um weiterhin davon profitieren, werden wir Ihre Daten auf den untenstehenden Link bitten um Ihr Konto zu bestätigen.

Aktualisieren Sie Ihre Online-Bankkonto: hier klicken

Wir möchten sie darauf hinweisen, dass wir mangels deutscher Sprachkenntnisse nicht immer sicher in der Wortstellung richtige sind, insbesondere Nebensätze wenn schreiben wir. Dennoch wollen wir davon profitieren, dass sie uns mal eben für die Sparkasse halten und uns alles sagen…

Screenshot der Phishing-Seite, auf die diese Spam verlinkt

…was die Sparkasse schon längst weiß, wenn sie dort Kunde sind. Warum? Damit weder ihr Konto noch ihre Waschmaschine ausläuft. Und jetzt klicken sie schon auf den Link der sagt „Klicken sie hier“ und wundern sie sich nicht, dass der gar nicht auf die Website irgendeiner Sparkasse führt, denn der Absender dieser Mail deutet ja auch nicht auf irgendeine Sparkasse hin. Vielen Dank, denn wir leben davon, dass wir das Geld anderer Menschen ausgeben und die Identität anderer Menschen missbrauchen.

Nach Abschluss dieser Schritt, werden Sie von einem Mitglied unseres Kundendienst über den Status Ihres Kontos kontaktiert werden.

Hinterher wird noch ein Anruf werden, um ihnen die TAN für eine ordentliche Abhebung rauszuleiern.

Die Sparkasse, verstehen wir, wie wichtig die Sicherheit und Vertraulichkeit Ihrer Daten ist. Keeping Kundeninformationen zu sichern, ist eine oberste Priorität für uns.

Weil müssen verstehen, das ist alles wegen Sicherheit und Dings, we are keeping alles total Priorität und ganz uns wichtig Privatsphäre bei uns sichern ist.

Wir freuen uns sehr, an Ihrem Service zu sein.

Unsere Höflichkeit und unser Verlangen, ihnen zu dienen wird nur noch von unserer Ehrlichkeit übertroffen.

Mit freundlichen Grüßen,
Sparkassen Kunden Service.

Mit mechanischen Grüßen
Dein dummer Phisher