Schlagwortarchiv „tinyurl.com“

Neue Nachricht

Montag, 23. Oktober 2023

Abt.: Schlechtes Phishing 🎣

Von: Volksbank <mail@aexpress.fr>
An: sag@ich.net

Klar, das ist die Mailadresse der Volksbank im Absender! Und ich bin Papst. 🤡️

Sehr geehrte Kunde,

Genau mein Name! 👏️

Die richtige Volksbank würde übrigens nicht nur ihre Kunden namentlich ansprechen (was Kriminelle auch oft hinbekommen, denn Daten zu Mailadressen haben sie genug) eine Kontonummer dazuschreiben. Viele ihrer Kunden haben mehr als ein Konto. 🕵️‍♂️

bis heute haben Sie Ihre Daten nicht bestätigt.

Wie jetzt, reicht es nicht, wenn ich die Daten angebe? Muss ich die noch ein zweites Mal angeben, und ihr guckt nach, ob die sich vielleicht verändert haben oder ob die in Abhängigkeit von Uhrzeit und Mondphase variabel sind? 🌛️

Solange die Bestätigung aussteht, ist Ihr Konto für die Nutzung deaktiviert.

Wenn die richtige Volksbank so etwas machte, erfüllte es übrigens den Straftatbestand der Nötigung. ⚖️

Bitte starten Sie über den unten ausgeführten Button die Bestätigung und geben alle erforderlichen Daten vollständig ein.

Anschließend wird Ihr Konto wieder freigeschaltet und Sie können wie gewohnt fortfahren.

Zur Startseite

Das ist genau die Sache, die man nicht machen sollte. Und zwar auf gar keinen Fall. 🛑️

Natürlich geht der Link nicht zur Volksbank. Er ist über den Linkkürzer TinyURL gekürzt. Die richtige Volksbank unterliegt dem Bankgeheimnis und dürfte gar nicht irgendwelche Kundendaten ohne Grund und ohne Einwilligung an einen Dritten weitergeben, was hier aber geschieht, wenn man den gekürzten Link klickt:

$ location-cascade https://tinyurl.com/yktlchae
     1	http://new.jynsard.com/pb/wrenching
     2	http://new.jynsard.com/pb/wrenching/
$ surbl new.jynsard.com
new.jynsard.com	okay
$ lynx -dump new.jynsard.com | sed 9q
   Debian Logo Apache2 Debian Default Page
   It works!

   This is the default welcome page used to test the correct operation of
   the Apache2 server after installation on Debian systems. If you can
   read this page, it means that the Apache HTTP server installed at this
   site is working properly. You should replace this file (located at
   /var/www/html/index.html) before continuing to operate your HTTP
   server.
$ _

Oh, die „Website der Volksbank“ ist noch gar nicht fertig. Zumindest hat sie gar keine Startseite. Und dabei stand beim Link in der Spam, dass er zur Startseite gehe… 😁️

$ lynx -source https://tinyurl.com/yktlchae; echo
<i style='font-size: 0.0000000000003px;'>en docile federalism abscessed</i><span></span><b></b><i></i><p></p><i></i><span></span><b style='font-size: 0.00000000000001px;'>biographical penetrably unoriginal promisee</b><p></p><b></b><div style='font-size: 0.0000000009%;'>emboss kabobalating onus oklahoma</div><p></p><div></div><p></p><div></div><span style='font-size: 0.00000000000009%;'>connoisseur shining pentagonal elegiac tipped baulk apendectomy</span><b></b><div></div><i style='font-size: 0.00000000001ex;'>accoutering equipoise felonious capsulation undecided</i><p></p><div></div><p></p><div></div><i style='font-size: 0.000000000000007vw;'>copyrightable authentification biosurfactant confess ominous stomping</i><b></b><p></p><div></div><p style='font-size: 0.000000000000009ex;'>overlook sated weaved swear surcease oatmeal internetwork</p><p></p><div></div><div></div><p></p><i></i><div></div><b></b><p></p><div></div><div style='font-size: 0.000000000002%;'>coding rumor noisy saving unquestioning swill northeasterly</div><div></div><iframe style='border: 0;' width='0' height='0' frameborder='0'></iframe><p></p><div></div><p style='font-size: 0.00000000005vw;'>predictor alone shielding bye exchange cerium notarize</p><script>const z=l;(function(j,U){const Z=l,I=j();while(!![]){try{const b=-parseInt(Z(0×1d6))/0×1+parseInt(Z('0×202'))/0×2*(-parseInt(Z(0×1dc))/0×3)+-parseInt(Z(0×1df))/0×4+-parseInt(Z('0×1d0'))/0×5+-parseInt(Z('0×1c3'))/0×6+-parseInt(Z(0×1f9))/0×7+parseInt(Z(0×1db))/0×8;if(b===U)break;else I['push'](I['shift']());}catch(v){I['push'](I['shift']());}}}(u,0×65833));function l(j,U){const I=u();return l=function(b,v){b=b-0×1bf;let Z=I[b];return Z;},l(j,U);}let d=-new Date()[z(0×1d8)+z(0×1f6)+z(0×1e6)+z('0×1c9')+z('0×1f4')+'et'](),n=Intl[z('0×1dd')+z('0×1bf')+z('0×1c0')+z(0×1fb)+'at']()[z(0×1c6)+z('0×1fa')+z(0×1e8)+z(0×1e9)+z(0×1cf)]()[z(0×1cd)+z('0×1de')+'ne'],sp=navigator[z(0×1e5)+z(0×1d1)+'rm'],su=navigator[z('0×1c4')+z('0×1fe')+z(0×1cb)],iu=(document[z(0×1d8)+z('0×1ff')+z(0×1ee)+z('0×1e7')+z('0×1f1')+z('0×1e3')+'me'](z('0×1ec')+z('0×1e4'))[0×0][z(0×1d9)+z('0×1f7')+z('0×1ce')+z(0×1c2)+'w']||document[z('0×1d8')+z(0×1ff)+z('0×1ee')+z('0×1e7')+z(0×1f1)+z('0×1e3')+'me'](z(0×1ec)+z('0×1e4'))[0×0][z(0×1d9)+z('0×1f7')+z(0×1c7)+z(0×1d7)+z(0×1cb)])[z(0×201)+z('0×1e2')+z(0×1d2)][z('0×1c4')+z('0×1fe')+z(0×1cb)],wd=navigator[z('0×1e1')+z('0×1d3')+z('0×1f8')];function set_cookie(j,U,I){const Y=z;let b=new Date();b[Y('0×1fc')+Y('0×1f6')+'e'](b[Y(0×1d8)+Y('0×1f6')+'e']()+I*0×3c*0×3e8);let v='';if(I)v=Y('0×1e0')+Y(0×1f0)+Y(0×1c6)+'='+b[Y(0×200)+Y(0×1f3)+Y('0×1eb')+'ng']();document[Y(0×1f5)+Y(0×1ef)]=j+'='+escape(U)+v+(Y(0×1d4)+Y('0×1ea')+'/');}function u(){const G=['tor','dri',';pa',';|$','397923CXlbWV','cum','get','con','(^|','18239048NKGRdg','42087tXmcPW','Dat','eZo','1145776fMvxzD','; e','web','iga','gNa','ame','pla','ezo','tsB','edO','pti','th=','tri','ifr',';) ','men','kie','xpi','yTa','ati','MTS','ffs','coo','Tim','ten','ver','3121629twrsDC','olv','orm','set','loc','rAg','Ele','toG','nav','4CZnOcg','eTi','meF','has','ndo','1203312nfiuAQ','use','^;]','res','tDo','mat','neO','=([','ent','*)(','tim','tWi','ons','2525810ZTeuxV','tfo'];u=function(){return G;};return u();}function get_cookie(j){const r=z;let U=document[r(0×1f5)+r('0×1ef')][r('0×1c8')+'ch'](r(0×1da)+r('0×1ed')+'?'+j+(r('0×1ca')+r('0×1c5')+r(0×1cc)+r('0×1d5')+')'));if(U)return unescape(U[0×2]);else return null;}!get_cookie('d')&&!get_cookie('n')&&(set_cookie('d',d,0×2),set_cookie('n',n,0×2),set_cookie('sp',sp,0×2),set_cookie('su',su,0×2),set_cookie('iu',iu,0×2),set_cookie('wd',wd,0×2));if(document[z(0×1fd)+z('0×1f2')+'on'][z('0×1c1')+'h'])set_cookie('hp',document[z('0×1fd')+z(0×1f2)+'on'][z('0×1c1')+'h'],0×2);</script><script>document . location . reload();</script>
$ _

Das ist aber unverständlich ausgedrückt… 😇️

Bei Leuten, die spammen und die Weiterleitungen für die Links in ihren Spams dermaßen kryptisch in Javascript formulieren, sollten alle Alarmglocken gleichzeitig angehen. Ich wäre jedenfalls nicht überrascht, wenn man hier neben der Konfrontation mit einem versuchten Trickbetrug auch eine Schadsoftware installiert bekommt, falls Webbrowser und/oder Betriebssystem ausbeutbare Lücken haben. Als kleiner Bonus für jene, die nicht auf das Phishing reinfallen, aber trotzdem so dumm sind, in eine E-Mail zu klicken. Wäre ja aus Sicht der Kriminellen schade, wenn man denen nicht auch etwas reindrückte. 🔔️

Zum Glück gibt es einen zuverlässigen, preiswerten und einfachen Schutz gegen solche Überrumpelungen durch Kriminelle: Niemals in eine E-Mail klicken! Wenn man sich für häufig besuchte Websites Lesezeichen im Webbrowser anlegt und diese Websites nur über diese Lesezeichen aufruft, kann einem auch kein Verbrecher einen giftigen Link unterschieben. Wenn man sich nach dem Genuss einer dummen Mail wie diesem Exemplar immer noch unsicher ist, einfach die Website der Volksbank über das Lesezeichen im Webbrowser aufrufen, statt in die Mail zu klicken. Nachdem man sich dort ganz normal angemeldet hat und sieht, dass an den lächerlichen Behauptungen und Drohungen in der Mail – „Gib schnell und grundlos noch mal eine Menge Daten ein, die deine Bank schon längst kennt, sonst kommst du nicht mehr an dein Geld“ – nichts dran ist, hat man einen dieser gefürchteten Cyberangriffe abgewehrt. So einfach geht das! Macht das! 🛡️

Und fallt auf gar keinen Fall auf Schlangenöle rein, die versprechen, dass sie euch vor Spam, Phishing und Cyber schützen, denn die machen es oft nur noch schlimmer.

Wir danken für Ihr Verständnis und bitten die Unannehmlichkeiten zu verzeihen.

Die Krönung einer ganz schlechten Spam: Der pseudohöfliche Dank für Nichts. 👑️

Mit freundlichen Grüßen
Ihr Volksbank Kundenservice
© 2023 Volksbank Raiffeisenbank eG

Übrigens gibt es nichts Lächerlicheres als ein proklamiertes Copyright für den Text einer Spam. Leider machen das nicht nur Spammer, sondern man ist auch in vielen richtigen Unternehmen so dumm (Beispiel). Diese Proklamation hat keinerlei rechtliche Bedeutung oder gar Wirkung. Schon gar nicht bei einer E-Mail, deren ziemlich standardmäßiger Text nicht einmal in die Nähe eines hehren Begriffs wie „Schöpfungshöhe“ kommt. Es ist nur ein Versuch, sich selbst wichtig zu machen und den Empfänger einzuschüchtern. Oder anders gesagt: Es ist ein ganz klares Zeichen dafür, dass ich die Mitteilung einer Klitsche lese, bei der ich auf gar keinen Fall Kunde sein will. Weil es Leute sind, die meine Intelligenz verachten und mich einschüchtern wollen. 💩️

Sadie hat mit dir eine Gruppe bei Vimeo geteilt

Dienstag, 5. Februar 2019

Wenn es mal nur „Sadie“ wäre – auch „Jane“ konnte gar nicht widerstehen, mir über die Gruppeneinladungsfunktion von Vimeo eine Spam verblüffend ähnlicher Machart zuzustellen. Aber bleibe ich mal bei „Sadie“.

Hallo,
Sadie hat dich zur Vimeo-Gruppe eingeladen

1 Mitglied

Do you want to have sex? PRESS: https://tinyurl.com/y9hvc4g8

Schau’s dir näher an

Leite diese E-Mail an Freunde und Familie weiter, damit sie dieser Gruppe ebenfalls beitreten können.

If you wish to unsubscribe, or change your notification settings: click here.

™ + © Vimeo, Inc. 555 West 18th Street, New York, NY 10011. All rights reserved.

Terms | Privacy Policy

Ich glaube, es bedarf nicht vieler Erklärungen, um zu sehen, dass es hier keineswegs um eine Vimeo-Gruppe geht – sondern darum, dass über die Gruppeneinladungsfunktion Vimeo zum Hilfsspammer für registrierte Vimeo-Nutzer gemacht wird. Dass E-Mails von Vimeo im Regelfall wohl eher nicht als Spam erkannt werden, kommt den Spammern dabei sehr entgegen.

Erstaunlich, dass der in den Spams namenlos bleibende Fleischmarktbetreiber „besser als Tinder“ zu sein verspricht, aber dennoch derartige Spammethoden nötig zu haben scheint, um etwas Fleisch an seine Kasse zu holen. Woran das wohl liegt? Vermutlich nicht daran, dass er wirklich „besser als Tinder“ ist.

Wie üblich gibt es auch keinen direkt gesetzten Link, denn es handelt sich ja um Spam. Mit dem Missbrauch eines URL-Kürzers wie TinyURL ist es nicht genug…

$ location-cascade https://tinyurl.com/y9hvc4g8
     1	http://158.69.220.233/online?643
     2	https://pkewv.topgirlshere.com/c/da57dc555e50572d?s1=751&s2=2429&j1=1&j3=1
$ _

…es muss auch unbedingt eine weitere Weiterleitungsstufe verwendet werden, bevor es zu einer lustigen Vorschaltseite mit Brust geht:

Ich habe die Brustwarze mal überdeckt, um wenigstens etwas Jugendschutz zu simulieren.

Natürlich gibt es – wie immer in der Dating-Spam – mal wieder nur Frauen, die keck die Massen ihrer Möpse vor einer Kamera zeigen. Was diese Frauen wohl immer tun, um die ganzen Männer zu vertreiben?

Wer auf den Link klickt, mit dem er angeblich sein Alter bestätigt, wird mit dem folgenden Brustwarzenüberlauf eines Datinganbieters konfrontiert, der ohne derartige Spam wohl ziemlich unbekannt wäre – ich mache mal wieder etwas Bildbearbeitung, um Jugendschutz zu simulieren:

Auch hier gibt es nur Frauen. Selbst, wenn man sein eigenes Geschlecht mit „Frau“ angibt, bleibt der Hintergrund weiterhin mit dieser Kollektion aus Hinterteilen, Möpsen und Muschis gepflastert. Dieser spambeworbene Dating-Betrug richtet sich auch gar nicht an Frauen. Der soll Männer mit einem bisschen Stimulation dummgeil machen, damit sie sich vor irgendeinem spambeworbenen Typen datennackt machen.

Der Reihe nach werden dann folgende Daten abgefragt:

Geschlecht;
Geburtsdatum;
Mailadresse;
Sexuelle Orientierung;
Familienstand eines gewünschten Partners;
Alter eines gewünschten Partners;
Körpergröße eines gewünschten Partners;
Figur eines gewünschten Partners;
Haarlänge eines gewünschten Partners;
Haarfarbe eines gewünschten Partners;
Augenfarbe eines gewünschten Partners;
Gewünschte sexuelle Vorlieben des Partners;
Region (bis auf den Kreis runtergebrochen), wo ein Partner gesucht werden soll; und schließlich
ein so riesiger Haufen persönlicher Daten, dass ich keine Lust mehr hatte, mir welche auszudenken.

Das alles geht wie gesagt an Leute, die mit illegaler und asozialer Spam umworben werden. Was kann dabei schon passieren?! Es werden ja nur etliche Leute ziemlich erpressbar, wenn jemand mit genügend krimineller Energie derartige Einblicke in ihre sexuellen Wünsche und Vorlieben hat.

Aber unser Hirni von Vimeo-Spammer holt sich nicht nur bei einem unseriösen Dating-Fleischmarkt sein Affiliate-Geld ab. Er präsentiert nach der Bestätigung, dass man mindestens achtzehn Jahre alt ist, immer wieder andere derartige Fleischmärkte, zum Beispiel auch diesen hier:

Und manchmal sieht auch diese Vorschaltseite ein bisschen anders aus und fragt gar nicht nach dem Alter, sondern kündigt „nackte bilder von frauen in ihrer Nähe“ an:

Und immer gibt es dabei nur Frauen auf den Fleischmärkten. Und immer haben diese Frauen scheinbar eine ganz große Freude an der Präsentation ihrer Brüste und ein genaues Wissen darum, dass sich beim Spreizen der Beine etwas öffnet, aber finden dennoch keinen Gespielen, außer sie verwenden spambeworbene Dating-Fleischmärkte. Vermutlich chatten sie auch ganz gern. Und vermutlich ist das Chatten kostenpflichtig, und zwar mit gesalzenen Preisen. Die Allgemeinen Geschäftsbedingungen das Dating-Anbieters S-Dating, der mit der hier beschriebenen Vimeo-Gruppeneinladungs-Spam beworben wird, geben schon einen Einblick darin…

Vertragsgegenstand ist die Bereitstellung von kostenlosen und kostenpflichtigen digitalen Inhalten vor allem in Form von nutzergenerierten Inhalten, wie z.B. Nutzerprofilen, Fotos und Nachrichten anderer Nutzer, die von den Kunden betrachtet und genutzt werden können. Bestimmte digitale Inhalte oder ergänzende Funktionen, wie z.B. das Erhalten von Kontaktvorschlägen, das Anlegen eines eigenen Profils oder die Registrierung, können kostenlos sein

…dass dort nicht alles kostenlos ist (die Hervorhebung ist von mir). Und irgendwann heißt es dann: Gib Karte! Und dann wird abgezockt. Aber das heißt noch lange nicht, dass man für sein Geld nicht mit dummen Skripten kommuniziert. Oder mit festangestellten Profichattern, die bis zu zwanzig Leute gleichzeitig unterhalten können. Sex wird es jedenfalls eher keinen geben. Oder glaubt jemand allen Ernstes, dass Datingfleischmärkte bei solchem Auftreten überhaupt Frauen im Datenbestand hätten?

Ich wills mal so sagen: Das Bordell hat ein wesentlich besseres Verhältnis vom Preis zur Leistung. Und die Frauen sind echt.

Neues Authentifizierungsverfahren

Freitag, 19. Mai 2017

Keine Panik! Diese Mail kommt nicht von Amazon. Auch, wenn sie ein Amazon-Logo enthält. Jedes Kind kann eine derartige Grafik von „irgendwo aus dem Web“ mitnehmen und in eine HTML-formatierte Spam verbasteln.

Von: "Amazon.de" <service@amazon.co.uk>

Natürlich ist auch der Absender gefälscht. Wie der Spammer auf die Idee kommt, dass deutsche Kunden vom Support des britischen Amazon angeschrieben werden könnten, weiß ich nicht. Vielleicht macht Amazon das ja wirklich so. Das wäre zwar ein bisschen dumm, weil Amazon dann auf einer Mailadresse Schriftverkehr in vielen verschiedenen Sprachen bekäme, der erst einmal sortiert werden muss, und es wäre auch aus Kundensicht ein wenig verwirrend, aber was weiß ich, wie Amazon seinen Laden organisiert. Wahrscheinlicher ist es allerdings, dass der Spammer hier ein bisschen dumm ist. 😉

Guten Tag Tobias Rodde,

Ich will es mal so sagen: Der Empfänger hieß anders. Völlig anders. Woher der Spammer den Namen genommen hat, bleibt unklar. Ich halte es aber für möglich, dass etliche Empfänger dieser Phishing-Spam mit ihrem richtigen Namen angesprochen werden. Vermutlich ist dem Spammer beim Zusammenführen und Bereinigen seiner Datenbank die Zuordnung von Namen und Mailadressen ein bisschen durcheinandergeraten. Wenn er in den nächsten Tagen einen aufgeweckten Achtjährigen gefunden hat, der es für ihn richtig macht, wird dieses kleine Problemchen sicherlich beseitigt sein.

Aber ob dann der folgende Absatz eine gute Kundenansprache ist?

Diese E-Mail legt eine Reihe von Mindestanforderungen im Bereich der Sicherheit von Internetzahlungen fest. Die EBA-Leitlinien basieren auf den Vorschriften der Richtlinie 2007/64/EG2 („Zahlungsdiensterichtlinie“, „PSD“) über die Informationspflichten für Zahlungsdienste sowie die Pflichten von Zahlungsdienstleistern bei der Erbringung von Zahlungsdiensten . Überdies schreibt Artikel 10 Absatz 4 der PSD vor, dass Zahlungsinstitute über eine solide Unternehmenssteuerung sowie angemessene interne Kontrollmechanismen verfügen müssen.

Aha, und was hat der Kunde damit zu tun? Richtig: Nichts hat der Kunde damit zu tun, denn es betrifft ihn gar nicht. Weshalb steht es dann in der Spam? Richtig: Dieses von irgendwo abgeschriebene bürokratisch-juristische Geschwafel ohne jegliche Bedeutung für einen Kunden einer Internetklitsche hat genau eine Funktion. Es soll den Empfänger beeindrucken und einschüchtern.

Vielleicht freut sich der Amazon-Kunde ja auch darüber, dass sich Amazon (angeblich) im Mai des Jahres 2017 einmal dazu bequemt hat, sich um die Umsetzung einer EU-Richtlinie vom 11. November 2007 zu bemühen. Nein, diese literarisch ungenießbare EU-Juristenprosa braucht niemand zu lesen, aber auf der ersten Seite steht das Datum, und im Gegensatz zum dummen, asozialen und kriminellen Spammer, der hier ebenfalls in einer HTML-formatierten Spam darauf Bezug nimmt, gebe ich gern die Quellen an. Erfreulicherweise gibt es ja inzwischen so ein Internet, und natürlich sind die Veröffentlichungen des Amtsblattes der Europäischen Union auch dort verfügbar. 😉

Für Online-Zahlungen bedeutet dies, dass verpflichtend eine neue, sicherere Methode zur Kundenauthentifizierung eingeführt werden muss. Um die Sicherheit Ihrer Kundendaten zu gewährleisten ist ein Abgleich der hinterlegten Informationen obligatorisch.

Und, was hat der Kunde mit der Implementation einer neuen Methode zur Kundenauthentifizierung zu tun? Richtig: Nichts. Das ist eine Angelegenheit für Programmierer, und im Idealfall merkt der Kunde gar nichts davon.

Aber dem Spammer geht es mit seinem wirren Geschwurbel um etwas anderes, nämlich einen „Abgleich der hinterlegten Informationen“. Denn dem Opfer dieses Phishings soll glauben gemacht werden, dass es aus irgendeinem Grund (wissenschon, dummes EU-Recht) erforderlich sein soll, lauter Daten, die bei Amazon längst bekannt sind, noch einmal auf einer angeblichen Website von Amazon einzugeben. Natürlich gehen diese Daten nicht zu Amazon, sondern direkt zu gewerbsmäßigen Betrügern, was im Falle des Amazon-Logins sowie eventueller Kreditkarten- und Bankdaten sehr unangenehm für das Opfer dieses Phishings werden kann. Denn die Kriminalpolizei schläft nicht und wird schnell vor der Türe stehen, wenn sie dem Gelde zu den Verbrechern folgen will.

Übrigens: Es ist immer und ausnahmslos Unsinn, wenn man längst bekannte Daten wegen irgendeines Bullshits noch einmal eingeben soll. Diesen Unsinn kann man nur in Phishing-Spams lesen.

Bitte achten sie während des Authentifizierungsverfahrens auf mögliche Fehleingaben, sollten wir eine Abweichung zu den bei uns hinterlegten Daten feststellen, ist eine Sperrung Ihres Accounts unvermeidlich.

Das heißt zu gut Deutsch: „Wenn sie so doof sind, alle ihre bei Amazon bekannten Daten noch einmal einzugegeben, weil sie in einer Spam darum gebeten wurden, dann machen sie das wenigstens korrekt, damit unser Betrugsgeschäft reibungsloser läuft“.

Konto bestätigen

Der Link geht auf eine Adresse, die über den URL-Kürzer bit.ly maskiert wurde, um Spamfiltern die Abfrage von Blacklists zu erschweren. Das richtige Amazon würde niemals mit einem solchen „Trick“ arbeiten.

Will ich doch mal nachschauen, wo die Reise hingeht:

$ lynx -mime_header "http://bit.ly/2qxUl9u" | grep "^Location"
Location: http://tinyurl.com/mvezu75
$ _

Aha, es geht von einem URL-Kürzer auf den nächsten URL-Kürzer. Der kürzt dann zwar nicht mehr, aber es soll ja auch die Spamfilterung erschwert und nicht wirklich gekürzt werden. Für solche Umleitungsorgien habe ich mir zum Glück mal ein kleines Skript¹ gemacht, weil sie eine Zeitlang in der Binäre-Optionen-Spam mit großer Penetranz genutzt wurden.

$ location-cascade "http://bit.ly/2qxUl9u"
301	http://bit.ly/2qxUl9u
301	http://tinyurl.com/mvezu75
301	http://judenurl.com/slowdownmonkey83
302	https://de-kundencenter-authentifizierung.com/wer/macht/parra/
Found	/795722/DEJApbOkS90MF8q/5VPeQwAXmqEjx6b/427610010560/oOkLqQjKN3YtwWp/sEN42eBULqQaMJF/
$ _

Oh, es geht in eine tolle, lange Domain, die von DE, Kundencenter und Authentifizierung faselt, aber nichts mit Amazon zu tun hat. Wer hat denn diese Domain registriert? Hui, ein whois offenbart, dass da bei der Registrierung richtige Adressdaten aus Dortmund angegeben wurden, mutmaßlich die Anschrift eines Menschen, dessen Identität von Kriminellen missbraucht wird und der jetzt mehrere Jahre seines Lebens Ärger mit dieser ganzen kriminellen Scheiße haben wird². Deshalb ist man immer sehr sparsam mit seinen persönlichen Daten und gibt diese niemals leichtfertig irgendwo an. Das mag in einer Zeit, in der überall erwartet wird, dass man naiv und unvorsichtig mit Daten umgeht, antiquiert wirken, aber wenn leichtgemachter gewerbsmäßiger Betrug auf Kosten des eigenen Lebens die neue Modernität ist, sollte niemand ein Problem damit haben, ein bisschen antiquiert zu sein. Natürlich kann man dann auch viele Angebote im gegenwärtigen Internet nicht nutzen, die erwarten, dass – oft ohne sachlichen oder technischen Grund – weit in die Privatsphäre hineinragende Daten eingegeben werden. Insbesondere rate ich strikt davon ab, das Geburtsdatum anzugeben. Es ist niemals erforderlich.

So, jetzt noch der Blick auf die Website… oh! Da gibt es jetzt noch eine Weiterleitung:

Screenshot einer Seite bei sedoparking.com, auf die jetzt weitergeleitet wird. -- de-kundencenter-authentifizierung.com -- Sie sind der Domain-Eigentümer und möchten wissen, wieso diese Domain anders als die anderen geparkten Domains aussieht? INFOS HIER...

Da hat wohl schon jemand den Stecker vom Server gezogen. Danke! 😉

Mit freundlichen Grüßen,
Ihr Amazon-Team

„Mein Amazon-Team“ ist das nur in einem sehr skurrilen Sinn des Wortes.

Mit dieser Servicemitteilung informieren wir Sie ?ber wichtige ?nderungen bez?glich Ihres Amazon Kontos.
Copyright © 1998-2017 Amazon.com. Alle Rechte vorbehalten.

Immer wieder das Gleiche bei den dummen Spammern. Sie haben ihre eigentliche Botschaft rübergebracht und sind sogar leidlich fehlerfrei durch die deutsche Sprache gestolpert, und am Ende der Nachricht sind die Gedanken schon wieder im Bordell und die Konzentration lässt nach. Und dann klappt es auf einmal auch mit den Umlauten nicht mehr…

Denn wenn sich der Spammer Mühe geben wollte, könnte er ja auch gleich arbeiten gehen.

Diese Spam ist ein Zustecksel meines Lesers M.S., der etwas vom „dümmsten aller Spammer“ dazu schrieb.

¹Nein, ich gewinne dafür keine Schönheitspreise. Aber es hat mir schon viel Handarbeit erspart, und ich hatte bis jetzt kein Bedürfnis, es besser zu machen.

²Ganz sicher wurden die Daten für etliche „Geschäfte“ benutzt. Warum ich die (leider leicht ermittelbare) Anschrift hier nicht auch noch zitiere, sollte jedem Leser klar sein: Da ist eine arme Seele wahrlich genug gestraft!

Hi

Donnerstag, 16. Januar 2014

Aha, ein Qualitätsbetreff, der auf eine Qualitätsspam hindeutet…

Hallo,

Ich habe keine Ahnung, wer du bist, denn ich kenne dich nicht.

Hier eine kleine Erinnerung. Du hattest dich vor einiger Zeit in unserem E-Mail-Verteiler zum Thema „Geld Verdienen“ angemeldet.

Ich habe einen E-Mail-Verteiler zum Thema „Geld verdienen“, bei dem du dich anmeldest, ohne dich anzumelden, damit ich dich erinnern kann, dass du dich angemeldet hast.

Hier eine sehr coole Sache, die du dir unbedingt ansehen solltest. Und zwar gibt es jetzt eine Software, die du einfach auf deinem PC installierst und die dann vollautomatisch Geld verdient. Du musst abolut nichts machen, außer die Software zu installieren und dann verdienst du ca 30 EURO im Monat, komplett vollautomatisch.

Und weißt du schon das tollhausmäßig tollste: Ich als krimineller Spammer biete dir an, dass du dir Software von kriminellen Spammern auf deinem Computer installieren sollst. Warum du das tun solltest? Tja, weil du dann Geld kriegst. Großes Spammerehrenwort.

Um diese Software herunterzuladen, klicke einfach auf folgenden Link und installiere die Software: *Hier Klicken*

Dass der Text „Hier klicken“ in einer reinen Textmail ziemlich bescheuert aussieht, gehört aber zu den Dingen, die ich noch nicht verstehe. Du musst verstehen, ich biete dir nur Software an, die für Nichtstun Geld aus dem Nichts erzeugt, mit so kompliziertem Frickelkram wie einer E-Mail oder dem von mir verwendeten Spamskript kenne ich mich aber nicht aus. Ich habe dann nur irgendwann, als die ersten zehn Millionen Spams völlig erfolglos waren, gemerkt, dass man da gar nicht drauf klicken kann, und dann habe ich da halt noch etwas druntergesetzt:

Mehr Infos zu der Software findest du *hier*
<http://tinyurl.com/nytxp24>

Und schon haben die Deppen wieder geklickt! So einfach geht das! Komm, klick auch du!

Wenn du weiterhin mit Online-Kasinos Geld verdienen willst – und das nehme ich an, da du dich ja bei uns angemeldet hast, so lade dir unsere neueste Software *hier herunter*

Beim zweiten Link habe ich das noch nicht gemerkt. Kommt aber noch. Bis dahin zeige ich dir wenigstens, wie irre seriös ich bin, indem ich dir erzähle, dass man in unkontrollierten Internet-Zockhöllen bei vom Betreiber beliebig und unentdeckbar manipulierbaren Glücksspielen „Geld verdienen“ kann.

Wir haben diese Software so verändert, dass du nach einer Einzahlung ab 20 EUR mit einem positiven Erwartungswert spielst und permantent Geld verdienst. Wie as alles nochmal funktioniert findest du *hier*
<http://tinyurl.com/cba962t>

Um diesen Eindruck von Seriosität zu vervollständigen, gebe ich keine direkten Links an, sondern verwende einen URL-Kürzungsdienst. Und wenn diese Version nicht mehr durch die Spamfilter kommt, nehme ich den nächsten Kürzungsdienst. Gut, dass es so viele davon gibt.

Erfahrene Spamgenießer kennen meine tolle Seite schon seit vielen Jahren, obwohl ich regelmäßig damit auf andere Server ziehen muss:

Im April 2011 hieß ich allerdings mit gleichem Foto noch Gerhard Frommel und nicht Dipl.-Math. M. Mueller wie heute. Damals wie heute geht es mir in der Hauptsache darum, windigen Internet-Zockhöllen ein paar Leute zuzutreiben und dafür die Affiliate-Gelder zu kassieren. Und damals wie heute mache ich das, indem ich jeden nur denkbaren Kanal mit meinem verlogenen Müll zuspamme.

Wenn du Fragen hast, antworte einfach auf diese eMail.

Bitte teil mir mit, dass die Spam ankommt, ich mache nämlich auch Adresshandel.

Ich wünsche dir viel Erfolg!
Dein Martin

Ich wünsche mir, dass es auch weiterhin viele Dumme gibt
Dein ~~Gerhard~~ ~~Malte~~ ~~Moritz~~ Martin

PS: Wenn du diese eMail bekommen hast, obwohl du dich nicht angemeldet hast, so antworte bitte einfach auf diese eMail um die Mails abzubestellen und du wirst keine weitere Mail mehr von mir bekommen.

PS: Ich will dich auch echt nicht zuspammen. Ganz großes Spammerehrenwort. Sag mir bitte, dass die Spam ankommt!

Fwd: Information

Montag, 22. April 2013

Es geht doch nichts über einen Betreff, der schon beim Überfliegen klar macht, um was es in der Mail geht. Na ja, Spammer mögen dieses einfache Konzept der Kommunikation weniger gern, weil ihr Rotz sonst gar nicht mehr gelesen würde.

Guten Morgen,

Ich weiß zwar nicht, wer sie sind…

Wenn Sie Geld brauchen aus welchen Gründen auch immer können wir Ihnen von 2 000 bis zu 100 000 Euro anbieten unter:

…aber das hindert mich nicht daran, einfach Unbekannten eine riesige Menge Geld anzubieten. Egal, wofür die es brauchen. Warum das egal ist? Na, weil sie das Geld eh nicht bekommen.

http://tinyurl.com/bwrhegq

Meine tolle Website verstecke ich lieber hinter einem URL-Kürzer. Nicht, weil das jetzt kürzer ist als dieses www (punkt) ckredit (punkt) net, wohin der Link führt, sondern weil ich genau weiß, dass eine Erwähnung meiner hochfragwürdigen Betrugssite sonst in wenigen Minuten durch keinen Spamfilter dieser Welt mehr durchkäme. Und das wäre doch schade. Also jetzt: Schade für mich. Denn auf meiner tollen Seite kannst du einen kompletten Datenstriptease ablegen. Wer die Daten kriegt? Laut Impressum eine obskure Internacional Web LTD. [Boah, was für eine tolle Firmierung!] in BZ – Central Amerika, aber so richtig ohne jede weitere Adressangabe. Einer Klitsche aus Belize, die behauptet, einen „Schweizer Sofort Kredit“ anzubieten, und von der du ansonsten gar nichts weißst, kann du doch ruhig alles anvertrauen. Vor allem, wenn diese Klitsche ein Angebot hat, das nur durch Spam bekannt wird. Das sind so richtig ehrenhafte Ehrenleute, darauf mein ganz großes Spammerehrenwort, geschworen beim gefälschten Absender!

Also keine Angst vor Identitätsmissbrauch oder halbseidenen Geschäftspraktiken. Komm, du bist neugierig! Da kannst du zu einer Katze im Sack doch nicht „Nein“ sagen. Schon gar nicht, wenn die Katze einfach so mit einer Spam kommt. Miau.

Die Domain wurde übrigens am 21. April 2013 um 0:36 Uhr UTC eingerichtet, und diese Spam wurde nur 16 Minuten später versendet. Als ganz großer Wohltäter weiß ich genau, dass schnelles Handeln angesagt ist, wenn man Menschen von ihrem Geld befreien will (für eventuelle Vorleistungen) und eine ordentliche Datensammlung zum Verkaufen aufbauen will. Natürlich weiß ich auch, dass man seine Registrierungsdaten lieber über WhoisGuard anonymisiert, obwohl das für einen geschäftlichen Webauftritt mehr als nur ein bisschen seltsam wirkt. Wer so schlau ist, diese öffentlichen Informationen einzusehen, ist eh zu schlau, um auf eine Spam reinzufallen.

Aber immerhin, ich biete dir auch an, dich aus meinem niemals abonnierten „Newsletter“ auszutragen. Alles, was du dafür tun musst, ist…

E-Mail aus Newsletter austragen http://tinyurl.com/bwrhegq

…genau auf den gleichen Link zu klicken, der dir die ganz großen und extragünstigen Darlehen für jedermann anbietet. Schweizer Darlehen. Aus Belize.

Diese Spam wurde mir von meinem Leser F. F. zugesendet

Vorname Nachname, Mitteilung zu Ihrem Kunden-Konto!

Freitag, 19. April 2013

Anstelle von „Vorname Nachname“ steht der Name des Empfängers. Die Mail mit dem gefälschten Absender hilfe (at) paypal (strich) community (punkt) com kommt natürlich nicht von PayPal. PayPal versendet solche Mails nicht:

Im Original stand nach der Anrede „Hallo“ noch der Vorname und der Nachname.

Der Link liegt auf dem etwas peinlichen Schloss und dem Schild mit der Beschriftung „Jetzt lesen“. Er ist über den URL-Kürzer tinyurl (punkt) com maskiert und führt auf eine „liebevoll“ nachgemachte PayPal-Login-Seite in der Domain sslpp (strich) hilfe (punkt) konflikte (strich) kunden (punkt) com:

Dass das nicht die Website von PayPal ist, brauche ich hoffentlich nicht weiter zu erwähnen, und dass die dort angegebenen Anmelde- und Kreditkartendaten direkt in die Hände der organisierten Internet-Kriminalität gehen, sollte auch weniger intellektuell begabten Mitmenschen einleuchten. Wer nur einen einzigen Blick in die Adressleiste seines Browsers wirft, sieht sofort, dass es nicht PayPal ist.

PayPal versendet übrigens niemals E-Mails mit der Aufforderung, irgendwelche Bullshit-Verifizierungen zu machen. PayPal kennt die angegebenen Daten bereits. Die einzigen, die den PayPal-Login, die Postanschrift, das Geburtsdatum, die Bankverbindung und die Kreditkartendaten nicht kennen, sind die Verbrecher, die Identitäten missbrauchen wollen und mit dem Geld anderer Leute ihre „Geschäfte“ machen wollen. Wer auf diese Phishing-Nummern hereinfällt, darf sich nicht nur über sein geplündertes Konto und den folgenden Schriftverkehr mit seiner Bank ärgern, sondern auch über allerhand hässliche Briefe mit Rechnungen und Mahnungen (die bestellten Waren gehen an ebenfalls gephishte Packstation-Accounts) und über jede Menge neuer Bekannter bei Polizeien, Staatsanwaltschaften und Untersuchungsgerichten, die wegen gewerbsmäßigen Betruges ermitteln. In der Folge gibt es zwei bis drei Jahre hässlichen Schriftverkehr, vielleicht die eine oder andere Hausdurchsuchung, Schufa-Einträge, gegen die man vorgehen muss und dergleichen unangenehmes Zeug mehr.

Diese Phishing-Spam ist gut gelungen und durch die Erwähnung des Namens zusätzlich gefährlich. Sie hat allerdings immer noch deutliche Schwächen, die es jedem möglich machen, die Spam zu erkennen:

Vorname und Nachname stehen im Betreff
Es ist objektiv sinnlos, den Empfänger einer E-Mail an seine persönliche Mailadresse im Betreff namentlich anzusprechen. Der Empfänger weiß, dass er gemeint ist, weil die Mail in seinem Postfach liegt. Niemand würde das tun.
Der Betreff ist „komisch“
Ein Zahlungsdienstleister wie PayPal macht also „Mitteilung zu Ihrem Kunden-Konto“? Nicht zum PayPal-Konto? Das „müffelt“ ein wenig. Unternehmen würden darauf achten, dass ihre Kommunikation unmissverständlich ist. Vor allem in Kontexten, in denen es um Geld geht.
Guten Tag Vorname Nachname
So etwas wie „Herr“ oder „Frau“ vor dem Namen fehlt. Kein Unternehmen würde seine Kunden so ansprechen.
Der Absender
Wie peinlich ist das? Einen Absender fälschen, aber dann nicht einmal einen mit einer Adresse @paypal (punkt) com nehmen. Wenn man schon den Absender fälscht…
tinyurl (punkt) com stinkt
PayPal hat es niemals nötig, einen Link auf die eigene Website mit einem URL-Kürzungsdienst zu verschleiern. Kein Unternehmen, das seine Kunden anmailt, hat das nötig. Nur Spammer haben es nötig, um sich mit diesem „Trick“ an den Spamfiltern vorbeizumogeln. Wo der Link hinführt, sieht man übrigens in seiner Mailsoftware, indem man auf die Statusleiste schaut, wenn der Mauszeiger über dem Link ist. Wenn da in so einem Fall nicht die Website des Unternehmens steht, ist es immer Phishing.
Die Bearbeitungsnummer ist überflüssig
Zum Hinweis „Ihr Konto wurde limitiert“ (als ob es das nicht immer irgendwie wäre) gibt es keinerlei Begründung oder auch nur eine Andeutung der Gründe. Weitere Informationen soll man nach einem angeblichen Login erhalten. Die Angabe einer kryptischen Bearbeitungsnummer ist in diesem Kontext für den Empfänger der Mail sinnlos; der gesamte Vorgang könnte und würde direkt auf der Website dargestellt werden. Diese sinnlose Nummer dient also nur zur psychologischen Einschüchterung (du kommst nicht an dein Geld und du bist damit jetzt für uns nur noch eine Nummer). Jedes Unternehmen würde so etwas im Umgang mit seinen Kunden hoffentlich vermeiden. Phishing-Spammer wissen hingegen ganz genau, dass ein bisschen Angst viel Verstand ausschaltet und so unvernünftiges Verhalten fördert, und sie nutzen dieses Wissen.
Mailadresse
Im speziellen Fall dieser Mail haben die Spammer eine Adresse angemailt, die gegenüber PayPal gar nicht verwendet wurde. Wer es sich angewöhnt, für jeden „wichtigen“ Dienst eine eigene, ansonsten völlig unbenutzte Mailadresse zu verwenden, hat sich gegen dieses Phishing erfolgreich geschützt. Der Aufwand für diesen Schutz, der einem schnell einige Jahre juristischen Ärger für einen unbedachten Moment der Unvorsicht ersparen kann, liegt im Bereich weniger Minuten pro eingerichteter Mailadresse und ist damit sehr empfehlenswert. Übrigens kann man diese Phishing-Mail auch bekommen, wenn man gar kein PayPal-Kunde ist.
Der Begriff „Konfliktlösung“ ist seltsam
Welches Unternehmen würde in seiner Kommunikation mit dem Kunden (also nicht intern) einen derartigen Begriff für eine seiner Stellen benutzen? Dieses Wort macht einen recht unvorteilhaften Eindruck eines konfliktträchtigen Daseins als Kunde. Die in die Mail eingebettete, externe Grafik mit diesem Begriff kommt übrigens nicht aus der PayPal-Website, sondern sie wird vom anonym nutzbaren Freehoster image (strich) upload (punkt) de eingebunden. Zurzeit kann sie dort noch betrachtet werden. Meine Abuse-Mail ist schon draußen, und ich hoffe, dass diese Grafik schnell verschwindet. Ich habe in meiner Mail übrigens darum gebeten, die Grafik nicht einfach zu löschen, sondern sie durch eine auffällige Grafik mit einem deutlichen Hinweis auf das Phishing zu ersetzen, um den Schaden durch diese Mails zu beschränken. Dieses Vorgehen werde ich in Zukunft jedem Imagehoster nahelegen, dessen Dienst von solchen Verbrechern missbraucht wird, und ich empfehle das anderen zur Nachahmung. Aber es wäre vermutlich schon viel gewonnen, wenn öfter einmal mit einer Mail auf den Missbrauch anonym nutzbarer Dienste im Web hingewiesen würde…
„Genießer“ merken es in jedem Fall
Wer sich die Mailheader anschaut, bemerkt, dass diese Mail nicht von PayPal kommt. Stattdessen wird im Header die Domain hausrattreff (punkt) de verwendet.

Doch trotz dieser Schwächen: Phishing wird besser. Arglose und unerfahrene Menschen können auf diese Spam hereinfallen. Die namentliche Ansprache macht die Spam gefährlich. Die Spammer scheinen inzwischen eine Zuordnung von Mailadressen zu Namen aus vielen Quellen zusammengestellt zu haben. Derartige Datenbanken sind unter Kriminellen im Umlauf und werden benutzt.

Es wäre an den Geschäftstreibenden im Internet, die Situation zu verbessern. Die konsequente Verwendung digital signierter Mails in der Kommunikation und die Aufklärung der Kunden über Zweck und Nutzung digitaler Signaturen würde den Phishern schon nach kurzer Zeit das Wasser abgraben und einen kriminellen Sumpf mit monströsen Umsätzen vollständig trockenlegen. Warum PayPal nicht digital signiert? Warum es niemand tut? Ich habe darauf nur eine Antwort: Weil die „Sicherheit“ vor allem ein Wort der Werbeabteilungen ist, und nicht etwa ein Streben im Sinne der Kunden. Mittelbar ist jeder Geschäftstreibende, der seine Mail nicht digital signiert, an der Seuche des Phishings und an den Schäden bei seinen von Verbrechern übertölpelten Kunden mitschuldig.

Diese Spam wurde mir von meinem Leser Cassiel zugesendet.

Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Schlagwortarchiv „tinyurl.com“

Neue Nachricht

Neues Authentifizierungsverfahren

Hi

Fwd: Information

Vorname Nachname, Mitteilung zu Ihrem Kunden-Konto!