Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Kategoriearchiv „Leserpost“

Sparda Bank – Aktueller Sicherheitshinweis

Samstag, 28. Mai 2016

Aber ich bin da doch gar nicht. Ach, ist ja auch eine Spam.

Lange kein Phishing mehr gehabt.

Sparda Bank – Aktueller Sicherheitshinweis

Das steht doch schon im Betreff.

Sehr geehrter Kunde, Grüße von Ihrer Sparda-Bank!

Genau mein Name!

Spätestens an dieser Stelle sollte jeder bemerken, dass es sich um eine Spam handelt. Eine echte E-Mail der Sparda-Bank würde nämlich immer…

  1. …den Kunden persönlich und namentlich ansprechen; und
  2. …möglichst früh im Text angeben, auf welchen Vertrag oder welches Konto sich die E-Mail bezieht, denn viele Kunden haben mehrere Konten oder laufende Darlehen oder dergleichen.

Nur kann sich der Spammer halt keine Kontonummer ausdenken, die bei jedem Empfänger passt. Aber „sehr geehrter Kunde“ passt immer.

Wir haben festgestellt, dass Sie Ihre persönlichen Daten bis heute nicht bestätigt haben.

Aha, darum geht es also in einem „aktuellen Sicherheitshinweis“. Und ich dachte schon, da steht drin, dass die Geldautomaten heute im Jackpot-Modus laufen und dass man eventuell überschüssige ausgegebene Banknoten doch bitte zur Filiale bringen soll, um riesige Geldverluste bei der Bank seines Vertrauens zu vermeiden. 😉

Aber das Beste an diesem Phishing-Trick ist: Wie, jetzt erst wollen die meine Daten? Nicht schon, als ich angeblich Kunde geworden bin? Haben die mir einfach Geld gegeben, ohne sich ein Ausweisdokument von mir zeigen zu lassen?

Diese Phisher denken sich doch immer wieder so richtig extratolle Gründe aus, um Leute dazu zu bringen, dass sie ihr Konto Kriminellen zur Verfügung stellen.

Tatsächlich hat es aber für die Sicherheit überhaupt keinen Wert, wenn man gegenüber einer Bank (oder sonstigen Unternehmung) lauter Daten noch einmal angibt, die der Bank (oder sonstigen Unternehmung) längst bekannt sind. Die einzigen, die an solchen Angaben Interesse haben können und die deshalb solche Angaben einfordern, sind gewerbsmäßig agierende Betrüger, die sich für die Datenakquise als Bank (oder sonstige Unternehmung) ausgeben, um danach mit dem Geld anderer Leute mal so richtig groß einkaufen zu gehen.

Um Ihnen weiterhin einen sicheren Service anbieten zu können, ist die Bestätigung Ihrer persönlichen Daten notwendig. Ihr Nutzerkonto wurde temporär gesperrt.

Wie bitte? Was hat die Korrektmeit „meiner persönlichen Daten“ mit der Sicherheit der Dienstleistung einer Bank zu tun? Die hätte auch sicher zu sein, wenn ich nur als Daisy Duck aus Entenhausen bekannt wäre.

Nach Abschluss der Bestätigung wird Ihr Nutzerkonto automatisch freigeschaltet.
Die Bestätigung können Sie über den unten ausgeführten Button starten.

Die gleichen Leute, die im vorigen Absatz von „Sicherheit“ gefaselt haben, erzählen jetzt, dass ich die „Sicherheit“ durch einen Klick in eine nicht digital signierte E-Mail herstellen kann, wie sie mir jeder der potenziell acht Milliarden Internetteilnehmer zusenden könnte. Das sind Spezialexperten für Sicherheit! Und damit wirklich ein paar Naive so dumm sind, dass sie darauf reinfallen…

Kommen Sie dieser E-Mail innerhalb 14 Tagen nicht nach, ist die Freischaltung nur über den Postweg möglich. Dabei wird eine Bearbeitungsgebühr in Höhe von 79,95€ fällig, welche wir anschließend von Ihrem Konto abbuchen werden.

…werden in ein paar Tagen angeblich grundlos achtzig Euro fällig, weil man auf eine E-Mail nicht reagiert – was ja auch daran liegen könnte, dass die Zustellung gescheitert ist, dass die E-Mail als Spam aussortiert wurde oder dass sie an eine wegen Spamverseuchung nicht mehr aktiv genutzte E-Mail-Adresse geht. Deshalb kommen derartige Fristsetzungen aus Gründen der Rechtssicherheit ja auch nicht über E-Mail, sondern immer mit der Sackpost.

Jetzt anmelden

Der Link führt natürlich nicht zur Website der Sparda-Bank, sondern zum Server mit der IP-Adresse 190.123.45.36 (nein, es wird im Link keine Domain verwendet), der im sonnigen Panama gehostet ist. Alles, was man dort an Daten eingibt, geht direkt an Verbrecher.

Immerhin hat der Hoster schnell auf die Abuse-Mail reagiert. Der von den Phishern angemietete Server ist bereits vom Netz. Vermutlich wird jetzt ein anderer Server irgendwo auf der Welt verwendet.

Wir bitten Sie die Umstände zu entschuldigen und bedanken uns bei Ihnen für Ihr Verständnis.

Oh, so ein pseudohöflicher Dank nach einer unverschämten Belästigung ist genau das, was in mir immer das akute Bedürfnis nach negativem sozialen Feedback in Form eines eingeschlagenen Fressbrettes auslöst. Leider hat der Idiot von Spammer dieses kleine Juwel der Kundenverachtung aus echten Texten echter Unternehmungen abgeschrieben – ich durfte derartige Unverschämtheiten jedenfalls immer wieder einmal lesen. Bei jemanden, der kein Masochist ist, sollten derartige Phrasen nur dazu führen, dass man Verträge so schnell wie möglich (und im Zweifelsfall unter Vorwand) kündigt und derart kundenverachtende Klitschen mit ihrer Arschlochsprache fortan vollständig meidet.

Mit freundlichen Grüßen
Ihre Sparda Bank

Mit intelligenzverachtenden Grüßen
Dein Phishing-Spammer

Diese Spam ist ein Zustecksel meines Lesers M.S.

Hallo eBay, ist noch alles knusper bei euch‽

Freitag, 15. April 2016

Nutzer der Handy-App von eBay¹ können den folgenden Hinweis in ihrer App sehen:

Screenshot der eBay-App. Im unteren Bereich ist ein Overlay mit folgendem Text eingeblendet: 'Helfen Sie uns, Ihr eBay-Konto zu schützen (Link) Bestätigen Sie Ihre persönlichen Daten'.

Helfen Sie uns, Ihr eBay-Konto zu schützen
Bestätigen Sie Ihre persönlichen Daten

Es handelt sich hier nicht um einen Phishing-Versuch.

Ich war mir auf dem ersten Blick völlig sicher, dass es Phishing ist, und meine einzige Frage war, wie die Phisher es wohl geschafft hätten, ihre Phishing-Einleitung als Overlay in die eBay-App einzublenden. (Ich halte es nicht für unmöglich, dass Kriminelle solche Möglichkeiten finden und ausnutzen – Smartphones sind leider sehr gefährliche und für kriminelle Versuche sehr offene Geräte.)

Ich habe mich (zum Glück) getäuscht.

Diese Meldung kommt wirklich von eBay. Und diese Meldung ist wirklich sehr dumm gestaltet, denn sie drückt bei ihren Empfängern auf die gleichen psychologischen Knöpfe wie typische Phishing-Mails:

  1. Bereits bekannte Kundendaten sollen noch einmal bestätigt werden;
  2. dies soll nicht etwa über einen von der Mitteilung unabhängigen Aufruf der eBay-Website, sondern über einen Link geschehen; und
  3. es ist wegen „der Sicherheit“, wegen „des Schutzes des Kontos“ erforderlich.

Das ist – wenn man einmal von dem von Phishern gern angewendeten zusätzlichen Druckmittel einer Fristsetzung oder aufkommender Kosten absieht – genau die gleiche Ausdrucksweise, mit der Menschen sonst dazu gebracht werden sollen, ihre Konten und persönlichen Daten der Organisierten Kriminalität zur Verfügung zu stellen, indem sie die Zugangsdaten in schnell aufgeschäumten Webseiten im Design der entsprechenden Unternehmen eingeben und absenden. (In jüngerer Zeit wird auch häufig ein HTML-Dokument an die E-Mail angehängt, das man ausfüllen und absenden soll – mit gleichem Ergebnis.)

Auch die unter diesem Link hinterlegte Seite sieht so aus, wie ich es von der ersten Seite eines Phishing-Versuches gewohnt bin, der zunächst Accountdaten haben will, bevor weitere Dateneingaben (Anschrift, Bankverbindung, Kreditkarte) erschlichen werden [die unkenntliche Telefonnummer im Screenshot ist nicht von eBay]:

Screenshot der eBay-Seite zur Datenbestätigung -- Helfen Sie uns, Ihr eBay-Konto zu schützen -- Für noch mehr Sicherheit vergewissern Sie sich bitte, dass Ihre personenbezogenen Daten auf dem aktuellen Stand sind. -- E-Mail -- Mobiltelefon

Und genau das führt eBay gegenüber seinen Kunden als gewöhnliche Form der Kommunikation von eBay zum Kunden ein. Ganz so, als sei das Problem mit Phishing noch nicht groß genug; als müsse man seine Kunden zudem daran gewöhnen, dass genau die gleichen Kommunikationsmuster aus typischen Betrugsmails eine gewöhnliche Form der geschäftlichen Kommuniaktion seien und den Betrug auf diese Weise mit Autorität und Glaubwürdigkeit „aufladen“.

Das erschwert die sichere Erkennung von Phishing und zerstört den Schutz durch einen mit ungewöhnlichen Vorgängen und Aufforderungen aufkommenden Verdacht.

Die Folgen dieser dummen Entscheidung eBays werden nicht lange auf sich warten lassen – arglose Nutzer werden vermehrt auf Phishing-Mails hereinfallen, da sie ihren Stil für einen authentischen eBay-Stil halten. Dies gilt in besonderer Weise, als dass den Kriminellen eine sehr umfangreiche Datenbank mit Mailadressen und Accountdaten zur Verfügung steht, die bei eBay benutzt wurden oder noch werden. (Siehe zur Vorgeschichte dieses Datenlecks meine vorsichtig formulierte Mutmaßung hier auf Unser täglich Spam, als auf einmal hochgefährliches eBay- und PayPal-Phishing in Mail an exklusiv für eBay und PayPal benutzte Mailadressen auftauchte.)

eBay führt sich gerade wie ein Freund und Förderer der Organisierten Kriminalität auf; ganz so, als wollte eBay Phishing zu einem Erfolgsrezept für gewerbsmäßige Betrüger machen.

Das ist schlecht. Und es sollte geändert werden.

Von eBay.

So schnell wie möglich, am besten sofort!

¹Ein Dank für die Screenshots und den Hinweis geht an meinen Leser M.S.

Grüße an Sie

Sonntag, 14. Februar 2016

In ihrem Kampf gegen die leidigen Spamfilter versuchen einige Vorschussbetrüger wieder einmal, ihre „Nachricht“ in Form eines Bildanhanges zum Empfänger zu mogeln.

Das wenigstens, das klappt manchmal:

My Dear Grüße an Sie -- Ich bin Rechtsanwalt Basel Kunle und ich werde wie Sie als Erbe meines verstorbenen Kunden zu stehen, der $5,2 Millionen bei einer Bank hier in Togo hinterlegt. Er starb im Jahr 2007 mit seiner Familie ohne registriert nächsten Angehörigen und Fonds jetzt haben einen offnen begünstigten Mandat. Bei Ihrer Antwort werde ich Ihnen die Detais geben. -- Danke, Basel

Wenn jetzt bei den ganzen Millionen von Dollar noch die paar Dollar fünfzig für einen richtigen Dolmetscher übrig wären, damit das Spamdeutsch nicht wieder acht Schwitt auf der nach oben offenen Dada-Skala erreicht… :mrgreen:

Diese Spam ist ein Zustecksel meines Lesers S.W.

Message notification

Sonntag, 31. Januar 2016

Nun, diese Mail…

Screenshot der HTML-formatierten Spam, die so aussieht, als käme sie von Google -- Google Support -- sag (at) ich (punkt) net -- Mckenna Balley (Google Service) just sent you a message: -- 1/31/2016 -- Message you sent blocked by our bulk email filter -- [Link] Learn more -- [Button] View Messages -- This e-mail was sent to sag (at) ich (punkt) net -- Don't want occasional updates about Google activity? [Link] Change what email Google Service sends you

…kommt nicht von Google. Die Absender haben sich zwar ein bisschen Mühe gegeben, sie so aussehen zu lassen, aber allzuviel Mühe haben sie sich dann doch nicht gegeben, denn sonst hätten sie das aktuelle Logo von Google verwendet¹ und nicht eines, das Google selbst nicht mehr benutzt. Und wenn sich die Spammer nicht nur ein bisschen, sondern richtig Mühe geben würden, dann könnten sie ja auch arbeiten gehen und brauchten nicht zu spammen.

Der Link und der Button führen dann auch erwartungsgemäß nicht zu Google, sondern in die Domain libfin (punkt) by, wo ein Leser mit deaktiviertem Javascript eine weiße Seite zu sehen bekäme. Diese Seite ist mitnichten leer, sondern enthält unsinnigen, vom Computer erzeugten „Text“ und eine vorsätzlich kryptisch formulierte Javascript-Weiterleitung, die nach einer kurzen Verzögerung zur Ausführung der folgenden Javascript-Anweisung führt:

window.top.location.href='http://homesupplementsale.ru';

Wer ein Browser-Addon wie NoScript verwendet und so nicht jeder Website in einem technischen, anonymisierenden Medium das Ausführen von Code im Browser gestattet – was ich wärmstens empfehle – ist hier ans Ende angekommen und auf der sicheren Seite. Ansonsten gibt es die Weiterleitung auf eine Website, deren Fassade wie eine Betrugsapotheke der Machart „Canadian Pharmacy“ aussieht – gegen Erkältungsbeschwerden gibt es dort natürlich keine Hilfe.

Diese Website hat sich im „Web of Trust“ schon einen „beachtlichen“ Ruf erworben, der unter anderem solche Einblicke gibt (Hervorhebung von mir):

Kriminelle Website, die aktiv gefälschte Medikamente verkauft, spammt und Schadsoftware verteilt. Diese kriminelle Website muss in die Blacklists aufgenommen und stillgelegt werden!

Nun, auf den Blacklists ist die kriminelle Website schon. Das ist gut.

Oder so etwas:

Der einzige Zweck dieser Domain/Website ist es, an persönliche und an finanzielle Daten zu kommen, um damit zu betrügen. Eine Spam enthielt einen Link auf eine Website, die offensichtlich in boshafter Weise gecrackt wurde.

Man kann sich jetzt fragen, wie die Spammer auf die Idee kommen, dass eine Nachricht von Google die Bereitschaft des Empfängers erhöhen kann, Pimmelpillen zu kaufen. Das erscheint auch mir sehr unwahrscheinlich. Aber es wird ja auch vor Schadsoftware gewarnt, und auch ohne eingehende Analyse sieht das HTML der Website teilweise sehr verdächtig aus, wie etwa die folgende Zeile:

<img src="a1b4214db9ea8e8c6c9590ebf6e0325863c6.gif?1454249649" alt="" width="0" height="0" /><script type="text/javascript" src="a8bd2a44ce9327e6b8eaeb92899971abfeb9.gif?1454249650"></script>

Niemand, der nichts Übles im Schilde führt, würde eine Javascript-Datei .gif nennen, damit sie wie ein Bild aussieht – von dem auch ansonsten sehr unhandlichen Dateinamen, der jede spätere Pflege der Website erschwert, einmal ganz abgesehen. Der Webserver würde das Javascript ja sonst mit völlig falschem MIME-Type ausliefern, was nur Probleme bereiten kann…

Ich kann es nicht oft genug sagen: NoScript im Browser schützt vor solchen kriminellen Angriffen auf den Browser. Antivirus-Schlangenöl versagt hingegen häufig. Wenn sie bei der täglichen Nutzung des Internet mehr Computersicherheit benötigen oder haben möchten als die von Werbern und Journalisten versprochene „gefühlte Sicherheit“ durch ein Antivirus-Schlangenöl, dann verwenden sie auf jeden Fall einen wirksamen Adblocker (der ausnahmslos alle Ads blockt) und ein Browser-Addon, mit dem sie selbst anderen Websites das Privileg einräumen, Code im Browser auszuführen, statt dieses Privileg von einer Software automatisch an jeden vergeben zu lassen und dabei auf ihr Glück zu hoffen!

Der vom „Journalisten“ völlig unreflektiert und mutmaßlich von Google dafür bezahlt ins CMS übernommene Google-PR-Blah im verlinkten Artikel ist übrigens ein Beispiel für Schleichwerbung, oder, wie Werber und Journalisten (was beinahe zum Selben verkommen ist) diese Leserverachtung neuerdings, damit nicht jeder sofort versteht, wie sein Hirn mit Füßen getreten wird, zu nennen pflegen: „Content Marketing“. Wer so etwas Halbseidenes seinen Lesern zumutet, darf sich nicht darüber wundern, wenn es nichts wird mit seinem Geschäft mit dem Content! Ich sehe derartiges – und manches noch viel deutlichere Beispiel – inzwischen fast jeden verdammten Tag irgendwo, und ich war mehrfach kurz davor, für so etwas eine Kategorie „Schleichwerbung“ in Unser täglich Spam aufzumachen, weil ich diese Form der ungekennzeichneten Reklame für besonders fragwürdig und widerlich halte. Leider lässt es sich fast nie sicher belegen, sondern stets nur begründet vermuten, dass für solche Reklame Geld geflossen ist, und in der Bundesrepublik Deutschland mit ihrem vollumfänglichen Rechtsschutz für beleidigte Leberwürste, der freien Wahl des Gerichts durch den Kläger in Internet-Dingen und der regelmäßig absurden und klägerfreundlichen Rechtsprechung in der Hamburger Dunkelkammer sowie der rechtlichen Grauzone von Pressezitaten unter den Bedingungen des von Verlegern in unbeleuchteten Winkeln des Reichstages herbeilobbyierten „Leistungsschutzrechtes für Presseverleger“ wäre eine Auseinandersetzung mit dieser Unkultur mit einem völlig unkalkulierbaren juristischen Risiko verbunden, das für mich – und für Frank, der mir diesen Server zur Verfügung stellt – potenziell existenzbedrohend ist. Freuen sie sich schon darauf, dass sie in der nächsten Sonntagsrede einer obszönen politischen Selbstfeier hören können, wie wichtig die „Pressefreiheit“ und die „Meinungsfreiheit“ für eine „demokratische“ Gesellschaft sind! Ach!

Diese Spam ist ein Zustecksel meines Lesers E.T.

Die automatische Lastschrift von Pay Online24 konnte nicht durchgeführt werden

Freitag, 22. Januar 2016

Sehr geehrte(r) $Vorname $Nachname,

Natürlich stand da der richtige Name des Empfängers. Wer nicht weiß, wie Spammer an die Namen zu Mailadressen kommen, lese hier weiter und grusele sich!

das von Ihnen gespeicherte Bankkonto [sic! Wir speichern ja alle Bankkonten] wurde nicht hinreichend gedeckt um die Lastschrift vorzunehmen. Unsere Erinnerung blieb bisher leider ohne Erfolg Heute bieten wir Ihnen damit letztmalig die Möglichkeit, den ausbleibenden Betrag unseren Mandanten Pay Online24 GmbH zu überweisen. Aufgrund des bestehenden Zahlungsrückstands sind Sie verpflichtet zusätzlich [sic!], die durch unsere Beauftragung entstandenen Kosten von 52,48 Euro zu bezahlen [sic!]. Die Höhe des Betrags kann aufgrund berechneter Zinsen abweichen [sic!].

Ganz schlimme Mahnung. So schlimm, dass nicht einmal der zu zahlende Betrag drinsteht. Aber allein die Mahngebühr… und Zinsen kommen auch noch drauf… auf einen völlig unbekannten Betrag, der wohl höher als die Gebühr sein wird.

Und nicht nur den Betrag hat der Absender vergessen, sondern auch:

  1. Die Kontonummer des Bankkontos und das Kreditinstitut für den Lastschrifteinzug (viele Menschen und insbesondere Unternehmen haben mehrere Konten).
  2. Der Zeitpunkt, zu dem die Lastschrift angeblich versucht wurde, damit das mal mit dem Kontoauszug verglichen werden kann.
  3. Der eigentliche Rechnungsgegenstand, auf den sich die Forderung bezieht. Der vorliegende Text sagt einfach nur: Zahlen sie grundlos Geld, viel Geld!

Mit solchen Angaben würde ja auch sofort klar, dass es sich nicht um eine Mahnung handelt, sondern um kriminelle Spam – außer, den Verbrechern gelänge es, auch noch die richtige Kontonummer zu erraten.

Namens und in Vollmacht unseren Mandanten Pay Online24 GmbH ordnen wir Ihnen an, die offene Gesamtforderung unverzüglich zu decken [sic!]. Bei Rückfragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb von 24 Stunden [sic!].

Na, dann deckt mal schön! Aber nicht dabei lachen! Die Angabe einer Telefonnummer oder einer Anschrift für die erwartete Kontaktaufnahme hat der angebliche Anwalt, der nur in der kranken Phantasie eines Spammerhirns existiert, leider vergessen. Dafür hat er…

Eine vollständige Forderungsausstellung, der Sie alle Buchungen entnehmen können, befindet sich im Anhang. Die Überweisung erwarten wir bis spätestens 26.01.2016.

…einen Anhang angehängt, den man öffnen soll, wenn man rausbekommen möchte, um was es hier überhaupt geht.

Nun, ich verrate hier kein Geheimnis. Es handelt sich um eine Spam. Das kann man allein daran erkennen, dass im Text der Mail eigentlich nichts steht (dies aber sehr aufregend und verängstigend formuliert), wohl, weil das Mailpapier bereits vollgeschrieben war – und alle Informationen erst im Anhang versprochen werden. Ein krimineller Spammer, der seine Empfänger dazu bringen will, einen Anhang zu öffnen, hat genau eine Absicht: Er will ihnen Schadsoftware installieren.

Der Anhang ist ein ZIP-Archiv, in dem ein ZIP-Archiv liegt, in dem wiederum eine Datei mit der Dateinamenserweiterung .COM liegt. Dies ist eine von Spammern zugestellte ausführbare Datei für Microsoft Windows, und wer darauf doppelklickt, startet ein Programm von Verbrechern und hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen – und zwar von Leuten, die besser mit Handschellen bedient wären.

Wer sich auf sein Antivirus-Schlangenöl verlässt, ist bei dieser recht aktuellen Schadsoftware in vielen Fällen verlassen. Deshalb ist es wichtig, derartige Spam selbst zu erkennen und niemals darin herumzuklicken, sondern sie zu löschen. Generell sollte niemals ein Anhang in einer E-Mail geöffnet werden, der vorher nicht abgesprochen wurde.

Mit verbindlichen Grüßen

Rechtsanwalt Mattis Richter

Übrigens: Richtige Anwälte schreiben (aus Gründen der Rechtssicherheit) Briefe, und senden diese oft freundlicherweise vorab per Mail zu. Ich habe noch nie eine Mail von einem Rechtsanwalt bekommen, in der nicht eine Telefonnummer für schnelle Rückfragen stand – zusammen mit der Anschrift der Kanzlei.

Was hier grüßt, ist ein Verbrecher.

Diese Spam ist ein Zustecksel meines Lesers E.T.

Neu und super: PayPal als Spamlieferant

Freitag, 15. Januar 2016

Unendlich ist die „Kreativität“ der Spammer zwar nicht beim Formulieren ihrer literarisch ungenießbaren Spams, aber sehr wohl bei der Suche nach neuen Vertriebskanälen oder für den Spamtransport missbrauchbaren Diensten.

Zurzeit scheint es Spammern zu gelingen, PayPal als Lieferanten für ihre asozialen und illegalen „Mitteilungen“ zu missbrauchen (Link auf einen englischsprachigen Text).

Es handelt sich dabei um echte E-Mails von PayPal mit einer Rechnung über null Dollar, in deren Mitteilungsfeld dann der Spamtext nebst Link auf wenig empfehlenswerte Websites zu lesen ist. Hier nur ein schnell (von mir) übersetztes Zitat aus dem oben verlinkten Blogeintrag:

Kurz gesagt, und bislang ohne Reaktion von PayPal oder irgendeinen Beleg für das Gegenteil, schaut es so aus, als diene PayPal als Auslieferungsmechanismus für Spam, die natürlich nicht als Spam erkannt wird, da sie eine „erwünschte“ E-Mail von PayPal ist. Die Mitteilung in der Rechnung ist völlig klare Spam, und das ist so gut wie sicher ein Missbrauch des Rechnungssystems von PayPal.

Ich nehme an, dass entweder für einen Absender keine Kosten anfallen, wenn er eine Rechnung über null Dollar versendet, oder aber, dass diese Kosten niedrig genug sind, dass sich solche Spam dennoch lohnt. Auf jeden Fall sollte PayPal dieses Problem in den Griff bekommen. Hierzu sei es mir erlaubt, einen Vorschlag zu machen: Wenn ein PayPal-Account massenhaft Rechnungen über null Dollar versendet, handelt es sich dabei um etwas, was wohl einen Alarm auslösen sollte!

[Hinweis via @benediktg@gnusocial.de]

Ohne Betreff

Dienstag, 5. Januar 2016

Aber dafür mit einem tollen Angebot, dem Segen des Allmächtigen und einer Anrede, die so gut ist, dass sie fast schon so gut wie der Vorname und der Nachname ist:

Hallo. Guten Tag.

Sind Sie in Not von Darlehen finanzielle Hilfe? Oder brauchen Sie nur Kapital für den persönlichen Gebrauch? auch für alles, wir helfen Ihnen, den Erfolg, die Sie verdienen zu erreichen. Also, wenn Sie zu erhalten, Darlehensfonds sind, dann kontaktieren Sie uns bitte für weitere Informationen, wenden Sie sich per E-Mail ID: grameenfinances (at) gmail (punkt) com

Registrieren Sie sich in jeder Höhe der finanziellen Hilfe, die Sie brauchen, zu helfen.

freundlich zurück zu uns.
Vielen Dank und Gottes Segen.

Mit bestem Gruß
Dr. Andy Udaya

Ohne Worte.

Und nein, bei den Darlehensanbietern aus der Spam gibt es keine Darlehen, aber dafür die Möglichkeit, allerlei finanzielle Vorleistungen zu blechen. Dieses – meist über Western Union und Konsorten anonym transportierte – Geld wird dann für die „Bearbeitung“ im nächsten Bordell aufgewändet.

Diese Spam ist ein Zustecksel meines Lesers Richard.

New voicemail 3:35AM

Freitag, 16. Oktober 2015

Wer schreibt denn da?

Von: Whats App <er (punkt) steinnn (at) csu (strich) landtag (punkt) de>

Bwahahahaha!

Muss ich noch erklären, dass diese toll gestaltete HTML-Mail…

Screenshot der angeblichen Whatsapp-Mail

…mit einer angeblichen „New voice message“ eines leider völlig unerwähnten anderen Menschen nicht von WhatsApp kommt? Wenn die Spammer sogar zu doof sind, sich beim Fälschen des Absenders etwas einigermaßen überzeugendes auszudenken, ist es wirklich leicht, niemals auf eine Spam reinzufallen. (Aber Achtung! Viele Spammer machen es viel besser!)

Der Klick auf „Play“ führt dann auch nicht zu WhatsApp, sondern in die Domain lovelessknives (punkt) com. Wer darauf klickt, lasse alle Hoffnung fahren! Erstmal gibt es eine Weiterleitung, die natürlich nicht in Klartext formuliert ist, sondern schön undurchschaubar mit JavaScript und einem bisschen „Kryptografie“ aus dem Spamkindergarten erledigt wird:

Screenshot der Ausgabe von 'lynx -dump -mime_header' in einem Terminalfenster, dabei wird der vorsätzlich kryptische Quelltext der Seite sichtbar

Diese lustig formulierte JavaScript-Weiterleitung führt in die Website der Domain naturalherbsoutlet (punkt) ru, und das, was man dort zu sehen bekommt, ist eine der vielen Inkarnationen der Betrugsnummer „Canadian Pharmacy“ – eine kanadische „Apotheke“ in der russischen TLD, die eher nichts gegen Erkältungsbeschwerden zu verkaufen hat:

Screenshot der betrügerischen Website, die beinahe nur Pimmelpillen und Medikamente mit hohem Potenzial des Medikamentenmissbrauches anzubieten hat -- zum Vergrößern klicken

Aber warum sollte jemand, der glaubt, gleich nach dem Klick eine WhatsApp-Nachricht zu hören, jetzt auf einmal Interesse an Pimmelpillen bekommen? Richtig, das ist schon ein bisschen verdächtig. Deshalb ist wohl die Website auch als „attackierend“ gemeldet und wird in den meisten Browsern nur noch angezeigt, wenn man einen auffälligen alarmroten Hinweis wegklickt, dass man das Risiko eingeht. Ich konnte zwar keine Anzeichen für einen Angriff erkennen, aber ich habe hier auch nicht durchanalysiert und außerdem keinen Standard-Browser verwendet, so dass entsprechender Code möglicherweise gar nicht erst ausgeliefert wird. Links aus einer Spam sind in keinem Fall vertrauenswürdig und können schnell einen Ärger verursachen, der in keinem guten Verhältnis zur befriedigten Neugierde steht. Wer in seinem Browser keinerlei Vorkehrungen trifft, wer also nicht mindestens ein Browser-Addon wie NoScript verwendet, kann nach einem einzigen Klick in eine Spam – die keineswegs so leicht als Spam erkennbar sein muss wie in diesem Beispiel – einen Computer anderer Leute auf dem Tisch stehen haben, denn die Verbrecher sind auf neuestem technischen Stand. Ein so genanntes „Antivirusprogramm“ hilft dagegen eher nicht, es erkennt nur schon bekannte Schädlinge und Angriffe, und niemals die frischeste Brut der Kriminellen. Nicht einmal seinen Hersteller kann ein so genanntes Antivirus-Programm schützen!

Diese Spam ist ein Zustecksel meines Lesers E.T.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.