Das ist mal wieder ein Qualitätsbetreff, aber es gibt nur schlecht gemachtes Phishing. Davon gibt es im Moment mal wieder eine Menge, nachdem ich es monatelang kaum gesehen und noch weniger vermisst habe.
Natürlich kommt diese Mail nicht von PayPal.
Wie man sich kostenlos und völlig sicher vor Phishing schützt, habe ich schon gestern anlässlich eines ganz schlechten Phishings auf Sparkassen-Kunden erklärt und werde es heute nicht wiederholen. Zusammenfassung: Klickt nicht in E-Mails, sondern benutzt ein Lesezeichen in eurem Browser, und ihr seid davor sicher! 🛡️
Deshalb gibt es hier nur den Text der Phishing-Spam mit ein paar fröhlichen Anmerkungen dazu, wie zurzeit die Phishing-Spams aussehen. Teile dieser Anmerkungen können etwas technisch werden, aber es lohnt sich. 🕵️
Von: PP Service <mail@wolfram-schultz.de>
Die Absenderadresse ist zwar gefälscht, aber die Domain dieser Mailadresse sieht nicht einmal so ähnlich wie die Domain von PayPal aus. Natürlich würde das richtige PayPal eine Absenderadresse @paypal.com verwenden, und das wäre für Spammer auch kinderleicht zu fälschen gewesen, aber viele Spammer leiden eben unter diesem erbärmlichen Hirnmangel, gegen den es keine Medikamente gibt. Da wird das Denken dann schnell zum Glücksspiel. 🎰
Betreff: Neue Mitteilung
Stimmt, es ist eine neue Mitteilung. Sie liegt in der automatisch aussortierten Spam, wo sie auch hingehört. 🚮
Denkende und fühlende Menschen schreiben in einen Betreff, um was es in der Mail geht; Spammer, Werber und andere Idioten hingegen versuchen mit dummen Formulierungen eine große Wichtigkeit ihrer intelligenzfrei verfassten Kommunikationsversuche zu simulieren, werden dabei aber oft völlig nichtssagend. Die Ergebnisse reichen dann von der Wiederholung des Absendernamens über „Dringend“ und „Nachricht“ bis hin zu irgendwelchen bedeutungslosen Löffeln Buchstabensuppe. Und oft werden auch ausgerechnet die Wörter weggelassen, falsch geschrieben oder durch dadaistisch anmutende Synonyme ersetzt, um die es eigentlich geht. Fortgeschrittene Spammer setzen dazu noch ein paar Emojis in den Betreff, die im Pesteingang um Aufmerksamkeit schreien sollen. 🚑💰🔔
Was bei diesen Spammern fortgeschritten ist? Der käsige Hirnzerfall natürlich. Sonst leider nichts. 🧠🧀
Die nächste Kleinigkeit bemerken die meisten Menschen gar nicht, weil sie sich nicht den Quelltext der Mail anschauen:
Das PayPal-Logo stammt nicht von der Website von PayPal und es ist auch nicht ein Bestandteil der E-Mail, sondern…
…es wird aus der Wikipedia eingebettet.
Natürlich würde das richtige PayPal so etwas nicht tun, werden dadurch doch Informationen darüber, wann PayPal-Kunden ihre E-Mail von PayPal lesen, an einen Dritten offenbart. Und das ist nun einmal das genaue Gegenteil von Datenschutz.
Menschen mit sicher konfigurierter Mailsoftware, die niemals externe Grafiken aus dem Internet anzeigt (oder noch besser: niemals HTML-Mail in ihrer HTML-Formatierung darstellt, sondern sie auf den reinen Text reduziert), sehen hier nur einen Platzhalter für das Logo, als ob das Bild nicht vorhanden wäre.
Aber Menschen mit sicher konfigurierter Mailsoftware bekommen auch eine sehr lustige Darstellung des Textes präsentiert – Achtung! Gut festhalten:
SRehjr cgeGehirtLe KKukndaino, bseShr TgeGehqrtcer NKuVndle,
aAufCgrIunbd dgeäTndverateNr ENubtzVunbgsvbeTdifngYunigeBn qstLehVt reiOne PAkEtuQalAisJieXruang ZIhVrejr
gDaFteen Wank. vDimesxe KMaßnYahome CisMt hauDs DSiMchperMhelitysgerüngdeon WzwLinwgehnd HerJfoRrdZertliOchC.SKleicbkedn oSive Ddamfür haujf edern Lunftern YstWehYenPdeRn dBuittqon eunGd GbeTfodlgVen ISiee tdiQe
PnoYtwgenRdiNgetn dScOhrHitZteT. WGeVbeXn zSiXe jdaebeKi BIhlre ZDaiteqn UvoellcstädndXig xunFd xkomrrVekft sanh.MUit qfrueugndcliDchHen XGrüßeun,
IXhr GPaTyPnal eKucndlenjsezrvIicZe
🤣👍🏆🤣
Was ist hier passiert?
Es ist eigentlich ganz einfach. Der Spammer lebt nun mal davon, dass seine Spam möglichst oft ankommt und möglichst selten automatisch aussortiert wird. Und jeder Spamfilter wirft eine Mail mit typischen Phishing-Phrasen und angeblichen Links zu PayPal, die dann aber zu irgendwelchen URL-Kürzer wie hier url (punkt) cn gehen, automatisch in den Müll. 🗑️
Es ist also für die gewerbsmäßigen Betrüger etwas schwierig geworden, einen Phishing-Text zu schreiben, der überhaupt noch ankommt, aber dabei auch so plausibel klingt, dass er nicht selbst noch bei den naivsten Lesern zu unwiderstehlichen Ausbrüchen spontaner Heiterkeit führt. 🤡
Da hat sich der Spammer gesagt: Ich mache meinen Text einfach so kaputt, dass er nicht mehr lesbar ist. Ich mache eine HTML-formatierte Spam, streue aber lauter sinnlose Zeichen ein, die ich mit einem ansonsten völlig sinnlosen, aber in HTML-formatierter E-Mail sinnloserweise dennoch möglichen Trick unsichtbar mache. Der Empfänger mit unsicher konfigurierter Mailsoftware sieht diese sinnlosen Zeichen nicht, sehr wohl aber der Spamfilter, wenn er den Text parst. Und so stehen aus der Sicht des Spamfilters keinerlei typische Phishing-Phrasen in meiner Spam, aber für die Empfänger aus meiner Zielgruppe, die keine sicher konfigurierte Mailsoftware verwenden, weil ihnen Privatsphäre, Computersicherheit und der Schutz vor solchen Tricks völlig egal sind, sieht es dann so aus:
Sehr geehrte Kundin, sehr geehrter Kunde,
aufgrund geänderter Nutzungsbedingungen steht eine Aktualisierung Ihrer
Daten an. Diese Maßnahme ist aus Sicherheitsgründen zwingend erforderlich.Klicken Sie dafür auf den unten stehenden Button und befolgen Sie die
notwendigen Schritte. Geben Sie dabei Ihre Daten vollständig und korrekt an.Mit freundlichen Grüßen,
Ihr PayPal Kundenservice
Natürlich geht der Link nicht zu PayPal. Stattdessen wird der URL-Kürzungsdienst url (punkt) cn verwendet, der mir beim Versuch, auf seiner Website einen Ansprechpartner für die Abuse-Meldung zu finden, leider nur eine Fehlermeldung im bronzezeitlichen Schriftsystem der führenden Kultur des kommenden Zeitalters präsentiert hat. Trotz der Fehlermeldung auf der Startseite…
$ mime-header https://url.cn/5UbaPME HTTP/1.1 302 Found Server: nginx Date: Tue, 21 Apr 2020 12:16:58 GMT Content-Type: text/html Content-Length: 0 Connection: keep-alive Location: http://financeden.ru/?TofSpL9HKr $ _
…funktioniert die Weiterleitung leider einwandfrei. Und wie man sieht, wird dabei auch gleich eine eindeutinge ID angehängt, die wohl für jeden Empfänger dieser Spam anders aussieht, so dass die Spammer wissen, unter welchen Mailadressen ihre Spam ankommt, gelesen wird und schließlich sogar beklickt wird. Der Dienstleister mit der Domain url (punkt) cn scheint also massenhafte Kürzungen von URLs über eine API anzubieten, die selbst dann noch funktionieren, wenn auf der Startseite nicht einmal mehr ein Impressum sichtbar wird. Man könnte auch statt des Wortes „Dienstleister“ das klarere Wort „Komplize“ benutzen.
Weil ich diese Spam nicht selbst auf einer meiner Mülladressen empfangen habe, sondern sie mir von meinem Leser A.H. zugesteckt wurde, sehe ich mal von einem Screenshot der Phishing-Seite ab – und habe eben natürlich auch die eindeutige ID ausgetauscht. Wenn man die Phishing-Site mit anderen IDs aufruft…
$ mime-header http://financeden.ru/?1234567890 HTTP/1.1 503 Service Unavailable Server: nginx/1.14.0 (Ubuntu) Date: Tue, 21 Apr 2020 12:26:57 GMT Content-Type: text/html; charset=UTF-8 Connection: keep-alive $ _
…gibt es nur eine weiße Seite und einen Fehler. Mit diesem Trick wollen die Spammer Analysen erschweren, damit ihre fürs Phishing benutzte Domain…
$ surbl financeden.ru financeden.ru okay $ _
…nicht auf den Blacklists landet. Denn dann würden viele Nutzer moderner Browser eine deutliche Warnung vor dem Phishing sehen, wenn sie die Seite aufrufen, und das wäre ja schlecht fürs Geschäft dieser Verbrecher. Und das wollen diese Verbrecher eben nicht.
So, jetzt aber in den Müll damit! 😉