Kategoriearchiv „Phishing“

Microsoft Outlook

Donnerstag, 8. August 2024

Keine Spam, aber ein im Kontext interessanter Hinweis auf einen aktuellen Artikel bei Golem. Ich schreibe ja manchmal, nein, eigentlich sogar ziemlich häufig, dass man mit durchgehender Nutzung von digitalen Signaturen den gesamten Phishingsumpf hätte trockenlegen können. Das wäre zurzeit nicht der Fall, wenn die leider sehr populäre und im geschäftlichem Umfeld allgegenwärtige Mailsoftware Microsoft Outlook verwendet wird, denn bei Nutzung dieser Software können die Anwender von Kriminellen beliebig getäuscht werden [Archivversion]:

Die besagte Sicherheitswarnung taucht in der Regel auf, wenn Outlook-Nutzer eine E-Mail von einem Absender erhalten, mit dem sie zuvor gar nicht oder nur selten korrespondiert haben. „Sie erhalten nicht oft E-Mails von xyz@beispiel.com. Erfahren Sie, warum dies wichtig ist“ […] Wie aus dem Bericht von Certitude hervorgeht, bettet Outlook diese Warnung allerdings im HTML-Code als Table-Element unmittelbar vor dem Textkörper der E-Mail ein. Durch CSS-Regeln innerhalb der Mail gelang es den Forschern, sowohl die Schrift- als auch die Hintergrundfarbe der Meldung auf Weiß zu ändern und die Warnung dadurch effektiv unsichtbar zu machen.

Das Verstecken der Phishing-Warnung war den Certitude-Forschern allerdings noch nicht genug. Daher untersuchten sie, ob sich per HTML und CSS auch vortäuschen ließ, dass die empfangene E-Mail verschlüsselt oder signiert ist. Und sie hatten Erfolg: „Signed By [Absender]“ steht über einer Mail, deren Screenshot die Forscher in ihrem Blog teilten. Daneben die entsprechenden Symbole – ein Schloss und ein rotes Siegel.

Microsoft ist der Auffassung, dass es sich nicht um eine Sicherheitslücke handelt, wenn ein Angreifer mit relativ einfachen Mitteln einen völlig falschen Eindruck beim Empfänger erwecken kann – und lässt das bekannte Problem einfach offen. Schon seit Monaten. Mit Schloss und Siegel. 🔐️🛡️✅️

Mit Stable Diffusion erzeugtes Bild Ich bin da natürlich völlig anderer Auffassung. Ein optischer Sicherheitshinweis, der von einem Angreifer nach Belieben ausgeblendet oder hinreichend gut simuliert werden kann, ohne dass ein naiver Anwender das auf dem ersten Blick erkennen könnte, hat für die Sicherheit nicht nur überhaupt keinen Wert, sondern macht sogar die damit versprochene Sicherheit völlig zunichte und verkehrt sie in ihr Gegenteil. „Aber natürlich, Cheffe! Ich habe auf den Link geklickt, die Datei geöffnet und den Zugangscode eingegeben. Das wollten sie doch so. Die Mail war doch von ihnen signiert.“ ist alles andere als ein undenkbares Szenario und kann einen fürchterlichen Schaden verursachen. Hinterher, wenn ein ganzes Unternehmensnetzwerk von Kriminellen übernommen wurde, heißt es in den Medien in der üblichen Albernheit der journalistischen Berichterstattung „Cyber Cyber“ und es gibt Symbolbilder von Maskierten im dunklen Zimmer, die wie die Hypnotisierten auf Matrix-Bildschirmschoner gucken, aber Microsoft ist mehr als nur ein bisschen dafür mitverantwortlich, was natürlich niemals so klar benannt wird.

Wenn sie am Arbeitsplatz Microsoft Outlook verwenden müssen – ich hoffe, dass die meisten Menschen privat eine andere gute Mailsoftware benutzen, aber ich befürchte, diese Hoffnung hat genau so einen geringen Wert wie die Sicherheitsfunktionen von Microsoft Outlook – seien sie also vorsichtig und klicken Sie auf gar keinen Fall in eine E-Mail, ohne sich vorher über einen anderen Kanal als E-Mail (zum Beispiel durch ein Telefongespräch) davon überzeugt zu haben, dass sie wirklich vom scheinbaren Absender kommt!

Generell besteht der beste und wirksamste Schutz vor Phishing darin, niemals in eine E-Mail zu klicken und häufig aufgerufene Websites – des Händlers, des Dienstleisters, der Bank – nur über dafür angelegte Lesezeichen im Webbrowser aufzurufen. Ach ja, und auch niemals das Handy auf eine Sackpost mit QR-Code halten, auch nicht, wenn sie scheinbar von der Bank kommt! Dann kann einem auch kein Verbrecher so leicht einen giftigen Link unterschieben.

Phishing auch mit der Briefpost

Dienstag, 6. August 2024

Hier geht es nicht um eine Spam, sondern um eine aktuelle Mitteilung des Landeskriminalamtes Niedersachsen:

Jede Person, die Mails bekommt, bekommt auch ständig Spammails. Einige mehr, einige weniger. Neben zahlreichen ungewollten Werbemails landen auch immer wieder gefährliche Phishingmails, die vorgeben, von einer Bank zu stammen, in den Mail-Postfächern. Die Täter versenden diese Mails massenhaft an zahlreiche Empfänger gleichzeitig. Dabei können die Mail von schlecht gemacht bis professionell sein. Mal enthalten die Mails keine persönlichen Daten, andere dagegen sprechen die Empfänger bereits persönlich an. Viele Mails enthalten dann offizielle Logos von Banken. Nicht selten bekommt man dann solche Phishingmails von „Banken“, bei denen man nicht einmal Kunde ist oder die voller gravierender Rechtschreibfehler sind. Noch gefährlicher wird es aber, wenn die Täter weitere persönliche Daten kennen und diese in die Mail personalisiert und vollkommen automatisiert einbauen. Da kann dann bereits in einfachen Versionen der Name des Empfängers und die zugehörige Bank stimmen.

Dass diese Gefahr besteht, wissen aber auch die Bankkunden, da inzwischen vielseitig vor den Gefahren gewarnt wird. Die Täter wissen dies ebenfalls und ändern in Teilen die Strategie von Phishingmails. Diese werden nun seit einiger Zeit per Briefpost verschickt (Zur Zeit noch wenige bekanntgewordene Einzelfälle).

Der Bankkunde erhält plötzlich und unerwartet einen Brief mit korrekter postalischer Anschrift und dem Logo/der Anschrift der tatsächlich zugehörigen Bank

Die ziemlich gut gemachten Briefe – Abbildungen gibt es drüben beim LKA Niedersachsen – enthalten einen QR-Code, den man mit seinem Smartphone scannen soll.

Bitte auch mit Briefpost vorsichtig sein. Auch, wenn sie mit namentlicher Ansprache und sogar von der richtigen Bank kommt. Die Kriminellen haben leider jede Menge Daten zur Verfügung. Datenschutz wäre Menschenschutz gewesen, aber leider hat in der Praxis der Bundesrepublik Deutschland ein Autokennzeichen mehr wirksam durchgesetzten Datenschutz als ein Mensch.

Wichtiger Hinweis: Ihr Mailbox-Passwort ist abgelaufen 2024 – gammelfleisch@tamagothi.de

Dienstag, 6. August 2024

Im Orignal stand eine andere Mailadresse, die auch als Empfängeradresse eingetragen war. Die Behauptung in der Spam stmmt nicht. Es handelt sich um Phishing. 🎣️

Wenn man in die Mail klickt und auf der sich öffnenden Website sein Mailpasswort eingibt, hat man dieses Passwort an Kriminelle gegeben. Macht das nicht. Es macht sehr viel Ärger und kann sehr teuer werden.

Von: tamagothi.de <info@lomesqqz.ooguy.com>

$ host lomesqqz.ooguy.com | sed 1q
lomesqqz.ooguy.com has address 98.142.240.228
$ host tamagothi.de | sed 1q
tamagothi.de has address 92.205.191.235
$ _

Eigentlich sieht man ja auch schon an den Hostnamen, dass das völlig verschiedene Rechner sind. Aber offenbar haben inzwischen viele Menschen „benutzerfreundliche“ Mailsoftware, die solche technischen Details wie die Mailadresse des Absenders einfach versteckt, wenn der auch einen Namen angibt, und dann funktioniert so ein Schwindel wie in diesem Beispiel leider auch. So genannte „Benutzerfreundlichkeit“ durch Verstecken technischer Details ist sehr häufig freundlich gegenüber Kriminellen, bringt aber überhaupt keinen Vorteil für den Benutzer.

Ihr Mailbox „gammelfleisch@tamagothi.de“ Passwort läuft ab!

Aha, es läuft ab. 💡️

Das Passwort für Ihre Mailbox gammelfleisch@tamagothi.de ist abgelaufen.

Oder ist es schon abgelaufen? 🤔️

Ein neues Passwort wird vom System generiert.

Sie werden genau 3 Stunden nach dem Öffnen dieser E-Mail automatisch abgemeldet.

Und, mit welchem Passwort soll ich mich danach anmelden? Mein Passwort ist ja abgelaufen. Oder es läuft ab. Oder es riecht schon komisch. 🙀️

Es wird empfohlen, weiterhin Ihr aktuelles Passwort zu verwenden.

Dann lasst es doch gleich so! 😅️

Lesen diese Phisher ihre Texte eigentlich selbst? Ach, die können gar kein Deutsch… 🤡️

Um Ihr aktuelles Passwort weiterhin zu verwenden, verwenden Sie bitte die Schaltfläche unten.

Aktuelles Passwort beibehalten

Natürlich führt der Link nicht in die Domain tamagothi.de, sondern in eine deutlich fragwürdigere Domain, die…

$ surbl pub-869696bd13e3413389dfb4a3ed703a2c.r2.dev
pub-869696bd13e3413389dfb4a3ed703a2c.r2.dev	okay
$ _

…leider noch nicht auf jeder Blacklist steht. Aber das ist jetzt nur noch eine Frage der Zeit und wird sich vermutlich in wenigen Stunden ändern. Dort kann man dann…

Screenshot des angeblichen Anmeldedialoges auf der Phishingwebsite

…sein Mailpasswort an einer anderen Stelle als gegenüber dem Mailserver angeben, damit Verbrecher ein Mailkonto übernehmen können – woran oft viele weitere kriminell „nutzbare“ Dinge hängen, etwa Social-Media-Kanäle, Accounts bei Amazon, eBay und vergleichbaren Websites, betrügerisch ausbeutbare persönliche Kontakte.

Mit Stable Diffusion erzeugtes Bild Man wendet die angedrohte Nichtzugänglichkeit seines Mailpostfaches also nicht ab, indem man auf so eine Spam reagiert, sondern man verursacht sie. Denn während eine Bande von gewerbsmäßigen Betrügern schnell, gut eingespielt und konzentriert (sie haben nicht so viel Zeit dazu) bei einer Website nach der anderen die entsprechenden Mechanismen für „Ich habe mein Passwort vergessen“ auslöst und einen Großteil des digitalen Lebens eines anderen Menschen übernimmt, ist das Postfach schon längst gepwnt und für seinen eigentlichen Nutzer völlig unzugänglich. Wenn die Betrüger so an einen Account bei Amazon oder eBay kommen, wird ebenfalls sehr schnell (sie haben nicht so viel Zeit dazu, aber das sagte ich ja schon) ein bis zu sechsstelliger Schaden durch betrügerische Geschäfte im Namen eines anderen Menschen angerichtet. Und bei diesem anderen Menschen, beim Phishingopfer, schaut dann ein paar Tage später die Kriminalpolizei vorbei. Mit Hausdurchsuchungsbefehl. Wegen Verdachts auf gewerbsmäßigen Betrug. Und danach hat man ganz viel und sehr nachhaltigen Ärger.

Deshalb gibt man nicht auf irgendeiner Website ein Passwort für eine andere Website ein!

Mit Stable Diffusion erzeugtes Bild Es gibt zum Glück für uns alle ein einfaches und sehr wirksames Mittel gegen Phishing, was immer noch eine der häufigsten Betrugsformen im Internet ist: Niemals in eine E-Mail klicken! Wenn man nicht in eine E-Mail klickt, kann einem kein Verbrecher so leicht einen giftigen Link unterschieben. Stattdessen Lesezeichen im Webbrowser anlegen und Websites, bei denen man einen Account hat, nur über diese Lesezeichen aufrufen. Wer sich zum Beispiel nicht selbst um den Betrieb eines Mailservers kümmert, sondern einen Account bei einem Dienstleister hat und so eine Mail bekommt: Einfach die Website des Dienstleisters über das Lesezeichnen aufrufen und sich dort ganz normal anmelden. Wenn es dabei keinen Hinweis auf ein derartiges Problem gibt, hat man einen dieser gefürchteten Cyberangriffe abgewehrt und sich möglicherweise viele zehntausend Euro und jahrelangen Ärger gespart. So einfach geht das! Macht das! 🛡️

Schlangenöl hilft nicht. Meine „Kindersicherung“ für den Webbrowser kannte die Phishing-Website noch nicht. Wer sich darauf verlässt, fällt rein. 😐️

E-Mail wird von tamagothi.de generiert E-Mail-Server für gammelfleisch@tamagothi.de

Was bitte? 😵‍💫️

Entf! 🗑️

Wichtiger Hinweis: Unvollständige Informationen – Aktualisierung zum 25/07/2024 erforderlich

Freitag, 26. Juli 2024

Das ist aber nicht so ganz das im deutschen Sprachraum übliche Datumsformat. Aber huch, der 25. war ja schon gestern! Hat der Spammer etwa wieder seinen Kalender nicht gestellt? Die Spam ist jedenfalls heute nacht um 0:09 Uhr bei mir angekommen.

File:Comdirect Logo 2017.png – Wikimedia Commons

Ah ja! 🤭️

Guten Morgen ,

Genau mein Name! 👍️

Um Ihre Sicherheit zu gewährleisten, haben wir kürzlich unsere Sicherheitsprotokolle aktualisiert.

Aha! Dann ist meine Sicherheit ja endlich wieder gewährleistet. Sehr praktisch. Jetzt brauche ich gar nicht mehr zu gucken, wenn ich über die Straße gehe.

Daher bitten wir Sie, Ihre Kontoinformationen zu überprüfen.

Nur bei den Daten könnte eventuell etwas schiefgegangen sein, und deshalb muss ich nochmal draufschauen, was bedeutet, dass ich der angeblichen Comdirect alles noch einmal in einer Eingabemaske sagen muss, was die richtige Comdirect schon längst weiß. Aber keine Sorge! Bei aller behaupteten Fragilität der Daten hat sich der Kontostand sicherlich nicht erhöht. 😁️

Bitte bestätigen Sie Ihre Angaben, indem Sie auf den folgenden Link klicken :

Kontoinformationen bestätigen

Natürlich führt der Link nicht zur Website von Comdirect, sondern…

$ surbl ccemza.com
ccemza.com	okay
$ mime-header https://ccemza.com/dir/ | grep -i ^location
location: https://aludoors.aluks.com/img/privat/?access=aleofyj
$ surbl aluks.com
aluks.com	okay
$ surbl aludoors.aluks.com
aludoors.aluks.com	okay
$ lynx -dump "https://aludoors.aluks.com/img/privat/?access=aleofyj" | sed -n 36,38p
comdirect Login

Willkommen bei Ihrem Online Banking
$ _

…er ist indirekt gesetzt und führt nach einer Weiterleitung auf eine Website, die sicherlich alles dafür tun wird, nach „Comdirect“ auszusehen. Die verwendeten Domains stehen noch nicht auf den einschlägigen Blacklists. In den Webbrowser verbaute Schutzfunktionen und Addons, die Sicherheit vor Phishing und „Cyber“ bieten sollen, werden also versagen. Wehe den Menschen, die sich auf diese „gefühlte Sicherheit“ verlassen! Nach dem Klick sehen diese Menschen die Phishigseite völlig ungewarnt, und die Seite sieht auf dem ersten Blick echt aus. Es ist ja auch nicht so schwierig, ein bisschen Grafikmaterial und den Quelltext einer fremden Website mitzunehmen, um da etwas eigenes draus zu machen. Jedes aufgeweckte Kind, das einen Editor zu bedienen gelernt hat, kann das. Phisher können das natürlich erst recht. Ich habe mal meine virtuelle Maschine für solche Zwecke hochgefahren, um einen Screenshot von diesem Phishing zu machen. So sieht es aus:

Wer sich vom Design verblenden lässt, wird verblendet sein und glauben, dass es die Website der Comdirect ist. Nur ein Blick in die Adressleiste des Browsers macht klar, dass es eine andere Website ist. Aber da schauen viele Menschen nicht hin. Was übrigens sehr dumm ist. In einem anonymisierenden, abstrakten und technischen Medium ist es noch wichtiger, zu wissen, wo man sich eigentlich befindet, als in jeder anderen Lebenssituation. Das sieht man zum Beispiel an jedem Phishing.

Alle Daten, die man auf dieser irreführenden Website in einem mehrstufigen Prozess eingibt, gehen direkt an Kriminelle. Da sind dann ganz schnell mal hunderttausend Euro weg, mit denen hoffentlich jeder Mensch etwas besseres anfangen könnte. 💸️

Zum Glück gibt es einen sehr einfachen, kostenlosen und – im Gegensatz zu irgendwelchem Schlangenöl für die „gefühlte Sicherheit“ – zuverlässig wirksamen Schutz gegen Phishing, der immer noch häufigsten Betrugsmasche im gegenwärtigen Internet: Niemals in eine E-Mail klicken! Wenn man nicht in eine E-Mail klickt, kann einem kein Verbrecher so einfach einen giftigen Link unterschieben.

Mit Stable Diffusion generiertes Bild Stattdessen für alle Websites von Unternehmen, mit denen man in geschäftlichen Kontakt steht und bei denen man sich über die Website anmelden kann, Lesezeichen im Webbrowser anlegen und diese Websites nur noch über dieses Lesezeichen aufrufen! Auch wenn man eine Mail empfängt, die scheinbar von einem dieser Unternehmen kommt, nicht in die Mail klicken! Wenn man die Mail nicht sofort als Phishing erkennt und löscht, einfach die Website über das Lesezeichen im Browser aufrufen, und sich dort ganz normal anmelden – ich empfehle übrigens die Benutzung eines guten Passwortmanagers. Wenn man nach der Anmeldung sieht, dass die in der Mail behaupteten Probleme gar nicht zu existieren scheinen – man würde sonst ja einen Hinweis darauf sehen – dann hat man einen dieser gefürchteten „Cyberangriffe“ abgewehrt, vor denen so viel Angst herrscht. So einfach geht das! Tut das! 🛡️

Ich danke Ihnen für Ihre Hilfe.

Beste grüße, Ihr Kundenservice-Team

Keine Ursache! 😁️

So, und jetzt noch einen Eimer voll Bullshit:

This e-mail is only for the above addressees. It may contain confidential or privileged information.
If you are not an addressee you must not copy, distribute, disclose or use any of the information in it or any attachments and please notify the sender as soon as possible and delete any copies.
Unauthorised use, dissemination, distribution, publication or copying of this communication is prohibited. Any files attached to this e-mail will have been checked by us with virus detection software before transmission.
You should carry out your own virus checks before opening any attachment.

accepts no liability for any loss or damage which may be caused by software viruses.

Diese E-Mail, die offen wie eine Postkarte durch das Internet befördert wurde und wegen des Verzichts auf digitale Signatur auf ihrem gesamten Transportweg beliebig verändert werden konnte, ohne dass der Empfänger auch nur eine Chance gehabt hätte, diese Manipulation zu bemerken, ist eine ganz geheime Geheimsache von allerhöchster Vertraulichkeit. Sie ist nur für den Empfänger bestimmt, was man eigentlich auch schon daran gesehen hat, dass der Empfänger als Empfänger im Mailheader steht, so dass er die Mail auch empfangen konnte. Sollte man diese Mail irrtümlich erhalten haben, muss man sie sofort löschen und eventuelle Ausdrucke aufessen und hinterher seine Exkremente sorgsam vernichten. Man darf nichts mit dieser Mail. Alles ist verboten. Weil in der Mail steht, dass es verboten ist. Das ist also noch schlimmer als jedes Gesetz und jedes Gerichtsurteil. Aber immerhin: Der Absender, der uns allen alles verbieten will und so viel Wert auf Geheimhaltung legt, dass er seine Mitteilungen offen wie eine Postkarte durch das Internet befördert, hat sein Antivirusschlangenöl über die Mail und über eventuelle Anhänge gegossen, und wer das nicht glaubt, soll gefälligst selbst noch mal prüfen. Denn jegliche Haftung für Schäden durch diese Mail wird vom Absender ausgeschlossen, als ob so ein dummer Spruch hülfe, wenn er wegen vorsätzlicher Sabotage vor Gericht stünde.

Ich rufe da gleich mal den Kundendienst an. Ich kann nämlich gar kein Englisch, und was ich da so halb verstehe, lässt mich daran zweifeln, ob ich den Text überhaupt durch einen Übersetzungsdienst übersetzen lassen darf. 😁️

Wenn solche Textbausteine voller Bullshit nicht auch unter ernsthaften Mails zu lesen wären, würde ich ja herzlich über solche Blödheiten lachen, aber solche – übrigens juristisch völlig unwirksamen und nur den Empfänger beeindrucken und einschüchtern sollenden – Sprüche unter einer Mail sind so dermaßen häufig, dass sie sogar in Phishingspams wiedergegeben werden, damit die Phishingspam ein bisschen echter aussieht. Auch, wenn in diesem speziellen Fall ein kleines Unglück mit der Zwischenablage passiert zu sein scheint. Das macht aber nichts, denn niemand liest dieses unsinnige Gebrabbel. Nicht einmal der Absender, der es schreibt.

Hey, Spammer, verklag mich doch für mein Vollzitat deiner Spam, du Sprechblasenmeister und Kalenderspruchphilosoph! Ich freue mich drauf!

Das muss man wohl hinnehmen, da kann man nichts machen…

Montag, 22. Juli 2024

Hier geht es nicht um eine Spam, sondern um eine aktuelle Meldung der Tagesschau, die im Kontext interessant ist.

Es ist ja journalistisches Sommerloch, und da kann es schon einmal passieren, dass sogar in der Tagesschau der ARD mal eine Meldung mit lebenspraktischer Relevanz auftaucht, die keine Wettervorhersage und keine Wetterwarnung ist. Zum Beispiel dieser Hinweis auf die real existierende Internetkriminalität im Jahr 2024, die immer noch Opfer findet, obwohl die Maschen der Trickbetrüger einen dreißig Jahre lang gewachsenen Bart haben [Archivversion der Tagesschaumeldung]:

Eine 57-Jährige aus Dannenberg (Landkreis Lüchow-Dannenberg) hat nach einer Phishing-Mail ihre Bankdaten angegeben und dadurch mehr als 100.000 Euro verloren.

100.000 Euro sind ziemlich viel Geld, für das ein Mensch ziemlich viel arbeiten muss, bis sie zusammenkommen. So schnell kann es gehen.

Am Samstag hatte die Frau eine E-Mail erhalten.

Ich vermute mal, diese Mail war nicht digital signiert und sah nicht wesentlich anders als andere Phishingmails aus. Wenn persönliche Daten dieser Frau – wegen des „real existierenden“ Datenschutzes – verfügbar waren, kam die Spam vermutlich sogar mit einer persönlichen Ansprache, und vielleicht sogar mit einer passenden Kontonummer. Es ist immer eine gute Idee, mit der Preisgabe von Daten über ein anonymisierendes, technisches Medium sehr zurückhaltend zu sein.

Darin wurde sie nach Angaben der Polizei aufgefordert, ihre Kontodaten zu aktualisieren.

Ich sage es ja, es war wohl eine ganz normale Phishingspam. Als ob es für die Banken irgendeinen Nutzen haben könnte, wenn man Daten, die der Bank längst bekannt sind, noch einmal auf einer Website eingibt. Trotzdem fallen immer wieder Menschen darauf herein, was übrigens auch ein Spiegelbild der kommunikativen Leistung von Bankhäusern gegenüber ihren Kunden und Kundinnen ist. Aber jetzt erfahren wir einmal, was danach passiert:

Kurz danach habe die Frau einen Anruf ihres vermeintlichen Bankberaters erhalten. Dieser gab an, wegen eines Sicherheitsproblems das Bankkonto verifizieren zu müssen. Während der angeblichen Verifizierung habe die 57-Jährige mehrfach ihre Bankdaten angegeben, teilte die Polizei mit. Dadurch konnten bislang unbekannte Täter Geld im niedrigen sechsstelligen Bereich vom Konto abbuchen

Zum Glück für uns alle gibt es einen ganz einfachen, kostenlosen und hundertprozentig sicheren Schutz vor Phishing, der häufigsten Kriminalitätsform im gegenwärtigen Internet: Niemals in eine E-Mail klicken!

Wenn man nicht in eine E-Mail klickt und auch keinen Anhang öffnet, kann einem kein Verbrecher einen giftigen Link unterschieben. Stattdessen einfach ein Lesezeichen für häufig besuchte Websites im Browser anlegen und diese Websites nur über dieses Lesezeichen aufrufen. Hätte sie ganz normal die Website ihrer Bank aufgerufen und sich dort wie gewohnt angemeldet, dann hätte sie gesehen, dass das in der Spam behauptete Problem gar nicht existiert. Sonst hätte sie ja einen entsprechenden Hinweis bekommen. Sie hätte damit einen dieser gefürchteten „Cyberangriffe“ abgewehrt. So einfach geht das. Macht das! 🛡️

Das ist leider die eine lebenspraktisch wichtige Information, die man diesem Tagesschauartikel nicht entnehmen kann. Und wegen dieses Mangels an Aufklärung durch journalistische Medien aller Art ist es sicher, dass Phishing auch in vielen Jahren noch eine zuverlässige Einnahmequelle für solche Trickbetrügerbanden sein wird. Obwohl es eine sehr einfache, keinerlei technische Kenntnisse erfordernde Möglichkeit gibt, sich davor zu schützen. Natürlich ohne jeden Komfortverlust, denn es bleibt ja einfaches Klicken. Nur eben nicht in eine Mail.

Und das finde ich sehr schade. Ich bin nämlich kein Trickbetrüger. Sonst wäre ich froh über solche Artikel, die dafür sorgen, dass ich mich auch in den nächsten Jahren nicht nach einer anstrengenden Arbeit umschauen müsste, sondern mir einfach mit einem fiesen Trickbetrug das Geld anderer Leute unterm Nagel reißen könnte.

Deshalb schreibe ich das schon seit Jahren so. Ich bin ja auch kein Journalist, dem die Leser völlig egal zu sein scheinen… 😐️

Man kann die Sicherheit vor Phishing mit einem ganz einfachen Trick übrigens noch weiter erhöhen: Einfach eine eigene Mailadresse für den Kontakt zur Bank einrichten, die man nirgends anders verwendet oder angibt. Dann wird man eine Phishingspam sofort an der falschen Empfängeradresse erkennen.

Auch darauf weist die Tagesschau nicht hin.

Es ist der Redaktion der Tageschau gleichgültig. Eigentlich ist das schon ein bisschen traurig. Wofür schreiben die eigentlich?

Der Rund funk bei trag

Freitag, 28. Juni 2024

⚠️ Diese Mail kommt nicht vom Beitragsservice. Es ist eine Spam. Es ist ein Phishingversuch. Trickbetrüger versuchen, die Empfänger der Spam zu überrumpeln, damit sie ihre Kreditkartendaten eingeben. Wer darauf reinfällt, hat den Schaden. Bitte einfach den Müll löschen! ⚠️

Deppen Leer Zeichen ins Ex Trem treiben? Spammer: Ja.

Von: Deutschlandradio Beitragsservice <ruckerstattung@mta.blackbirdsrising.com>

$ whois blackbirdsrising.com | grep ^Registrar
Registrars.
Registrar WHOIS Server: whois.tucows.com
Registrar URL: http://tucowsdomains.com
Registrar Registration Expiration Date: 2028-05-01T18:05:02
Registrar: TUCOWS, INC.
Registrar IANA ID: 69
Registrar Abuse Contact Email: domainabuse@tucows.com
Registrar Abuse Contact Phone: +1.4165350123
$ _

Das sieht nicht nach Rundfunk aus der Bundesrepublik Deutschland aus.

Der Rundfunkbeitrag

Das habt ihr schon im Betreff geschrieben.

Sehr geehrte Damen und Herren,

Ja, eines von beiden bin ich. Mein Name oder gar meine Teilnehmernummer sind den Absendern nicht bekannt.

wir möchten Sie darauf hinweisen, dass wir bisher keine Antwort auf unsere vorherigen Nachrichten von Ihnen erhalten haben.

Eure Nachrichten von mir? Ach, da hat nur der Stilexperte ein kleines Nickerchen gemacht. Nee, ich habe eure angeblichen Nachrichten nicht beantwortet. Weil sie gar nicht gekommen sind. Um was geht es überhaupt? Um den Rundfunkbeitrag?

Wir bitten Sie daher, umgehend zu reagieren.

Ich bitte euch, mir umgehend den Buckel runterzurutschen. Aber freundlich und höflichst.

Es besteht die Möglichkeit, dass Ihnen eine Rückerstattung zusteht, falls Ihr Konto überbezahlt wurde oder wenn eine Fehlbuchung vorliegt. Wir möchten sicherstellen, dass Sie alle notwendigen Informationen erhalten und eventuelle Ansprüche geltend machen können.

Aber der so genannte Rundfunkbeitrag wird doch ganz bequem per Bankeinzug abgezockt, jedenfalls in den meisten Fällen. Und der Betrag dieser „Quasisteuer auf das Bewohnen einer Wohnung zur Finanzierung eines politisch in genau dieser Form parteiübergreifend gewollten, absurd aufgeblähten und weitgehend redundanten Rundfunkbetriebes als Anstalt zur Alimentation der Günstlinge der Parteienoligarchie der Bundesrepublik Deutschland“ ist doch für alle gleich teuer.

In der heutigen Zeit ist es wichtig, dass alle relevanten Informationen rechtzeitig zur Verfügung stehen.

Oh, heute erst? Ich will nach gestern zurück!

Deshalb ist es unser Anliegen, Ihnen umfassend und zeitnah Auskunft zu geben, damit Sie stets gut informiert sind.

Schön, dass ihr inzwischen sogar eines dieser modernen angelernten neuronalen Netzwerke benutzt (von Journalisten, Politikern und anderen Nichtsblickern meist mit dem Reklamewort „künstliche Intelligenz“ bezeichnet), um weitschwafelige und verblüffend inhaltsleere Texte in meist glatter Formulierung generieren zu lassen. Aber so viel völlig nichtssagender Bullshit steht in keinem halbwegs offiziellen Brief. Und auch in keiner halbwegs offiziellen Mail.

Bitte klicken Sie auf den untenstehenden Button, um den Status Ihrer Rückerstattung zu überprüfen.
Rückerstattungsstatus überprüfen

Natürlich ist es kein direkt gesetzter Link, es ist ja eine Spam:

$ location-cascade https://cultivatingspirituality.org/enginestart
     1	https://cultivatingspirituality.org/enginestart/
     2	https://derrundfunkbeitrag.com/dradio/
     3	form.php
$ surbl derrundfunkbeitrag.com
derrundfunkbeitrag.com	okay
$ _

Wegen dieser indirekten Verlinkung steht die Domain, in der die Phishingseite gehostet wird, im Moment noch auf keiner Blacklist. Die Phishingseite ist relativ gut gemacht (ich habe zumindest schon viel Schlimmeres gesehen) und sieht so aus:

Die Daten, die man eingibt, gehen direkt an Kriminelle. Mit der Kreditkarte werden alle möglichen Geschäfte gemacht. Das Geld anderer Leute gibt sich nun einmal viel einfacher aus. Da hält sich ein Betrüger doch nicht beim Durchkaufen zurück.

Eine wirkliche Schwäche dieses Phishingversuches ist es übrigens, dass die Teilnehmernummer weder eingegeben werden muss (am besten noch vor der Angabe, wie viel Geld angeblich erstattet wird) noch irgendwo angezeigt wird. Frei nach dem Motto: Wer braucht schon eine Teilnehmernummer, wenn er doch so eine schöne Kreditkartennummer hat? Das wird jemanden, der ein bisschen wacher ist, auf der Stelle skeptisch machen. Leider sind viele Menschen eher nicht so wach. Die Masche ist neu. Ich befürchte, sie wird relativ viele Opfer finden.

Menschen, die richtig wach sind, klicken gar nicht erst in eine Mail, weil das der beste Schutz vor fast allen Formen der Kriminalität im Internet ist. Der Beitragsservice hat eine leicht zu findende Website. Dort wird man durch einen kurzen Blick auf die dort verfügbaren Formulare schnell feststellen, dass es kein Verfahren zur Rückerstattung gibt. Das wäre angesichts des Bankeinzugs auch sonderbar. Nach dieser Feststellung kann man den Müll einfach löschen. Cyberangriff abgewehrt. So einfach geht das! 🛡️

Mit freundlichen Grüßen,
Ihr Rundfunkbeitrag-Team

Freundlich wie ein Kackhaufen vor der Haustür
Eure Trickbetrügerbande

Rundfunkbeitrag Service Center
ARD ZDF Deutschlandradio Beitragsservice 50656 Köln
Telefon: 01806999 55510
E-Mail: info@rundfunkbeitrag.de

Nein, die haben das ganz sicher nicht geschrieben. Die Mail wurde über eine IP-Adresse aus der gequälten Ukraine versendet.

Diese E-Mail enthält wichtige Informationen zur Rückerstattung Ihres Rundfunkbeitrags. Bitte überprüfen Sie Ihre E-Mails regelmäßig und stellen Sie sicher, dass Sie keine wichtigen Nachrichten verpassen.

Diese E-Mail lag im Spamordner schon ganz richtig. Ich hoffe, sie wurde und wird auch woanders automatisch aussortiert.

Erinnerung: Aktivieren Sie Gebührenfrei Mastercard Identity Check!

Freitag, 21. Juni 2024

Habe ich schon mal gesagt, dass es im Moment eine Menge Phishing gibt? 🎣️

Diese Spam hat weder etwas mit Mastercard noch etwas mit…

Von: No-reply@miles-and-more.com

…dem Vielfliegerprogramm der Lufthansa, das mit der Marke „Miles & More“ beworben wird, zu tun. Es ist eine Spam von Trickbetrügern. Von völlig unfähigen Trickbetrügern übrigens, denn sie haben „eine Kleinigkeit“ in ihrer Spam vergessen:

Willkommen zur Registrierung für Gebührenfrei Mastercard® Identity Check™

Sehr geehrte Damen und Herren,

Mastercard® Identity Check™ ist ein von Mastercard® entwickelter Sicherheitsstandard für Kreditkartenzahlungen, der darauf abzielt, das Risiko von Kartenmissbrauch deutlich zu minimieren.

Ab sofort müssen nahezu alle Online-Zahlungen nach Eingabe Ihrer Kartendetails durch die zusätzliche Bestätigung mittels einer mTAN (per SMS) und eines persönlichen Passworts von Ihnen autorisiert werden. Dies gewährleistet einen zusätzlichen Schutz vor unbefugter Nutzung Ihrer Kreditkarte. Dieses Verfahren steht für eine sichere Transaktion auf beiden Seiten.

Ja, das war die ganze Spam.

Der Link auf die Phishingseite fehlt. Es ist ja nur das Wichtigste an einer Phishingspam. Er findet sich übrigens auch nirgends im Quelltext der Spam, stattdessen…

[…]

<p style="margin: 0px;"><font color="#000000"><font face="Lucida Sans Unicode"><font color="#000000" face="Arial"><font face="Lucida Sans Unicode">MastercardÂ® Identity Checkâ„¢ ist ein von MastercardÂ® entwickelter Sicherheitsstandard fÃ¼r Kreditkartenzahlungen, der darauf abzielt, das Risiko von Kartenmissbrauch deutlich zu minimieren.</font></font></font></font></p>

<p style="margin: 0px;"><font color="#000000"><font face="Lucida Sans Unicode"><font color="#000000" face="Arial"> </font></font></font></p>

<p style="margin: 0px;"><font color="#000000"><font face="Lucida Sans Unicode">Ab sofort mÃ¼ssen nahezu alle Online-Zahlungen nach Eingabe Ihrer Kartendetails durch die zusÃ¤tzliche BestÃ¤tigung mittels einer mTAN (per SMS) und eines persÃ¶nlichen Passworts von Ihnen autorisiert werden. Dies gewÃ¤hrleistet einen zusÃ¤tzlichen Schutz vor unbefugter Nutzung Ihrer Kreditkarte. Dieses Verfahren steht fÃ¼r eine sichere Transaktion auf beiden Seiten.</font></font></p>

<p style="margin: 0px;"><br />
<font color="#000000"><font face="Lucida Sans Un

…hört die Spam einfach mitten in einem <font>-Tag auf. Vermutlich ist den Spammern ein kleiner Unfall mit der Zwischenablage passiert. 😁️

Na, vor rd. einem halben Jahr hat es ja noch geklappt mit der Spam fürs Klickmich. Wenn man nicht so genau versteht, was man da macht, weil dieser Technikkram doch immer so hirnt und man Computer doch eigentlich nur zum Betrügen anderer Leute benutzen will, dann wird die gesamte Datenverarbeitung eben Glückssache. 🍀️

Die naheliegende Frage, warum die Spammer einerseits das seit Jahren aus guten Gründen¹ obsolete <font>-Tag verwenden, um andererseits auch mit CSS zu formatieren, kann vermutlich nur der Hirnklempner der Spammer erklären. Ich finde mich in den fremdartigen, exotischen und bizarren Gedankengängen dieser Leute nicht zurecht.

Oh, der Hirnklempner war schon da? Der Kopf ist jetzt mit übelriechender brauner Flüssigkeit gefüllt? Das erklärt es natürlich auch. 💩️

¹Dieses HTML-Tag hat Inhaltsauszeichnung und Formatierung für die Darstellung vermischt, was keine gute Idee war und zu sehr schwer pfleg- und anpassbaren HTML-Quelltexten führte. Es ist heute völlig unnötig, und niemand weint diesem Trümmer aus der Vergangenheit hinterher. Ich habe es vor rd. 15 Jahren das letzte Mal gesehen.

Sofortiges Eingreifen erforderlich

Samstag, 15. Juni 2024

Puh, sehe ich gerade eine Menge schlecht gemachten Phishings. Mal eine Spam davon rauspicken. 🎣️

Von: DКB <chaumetefdiaverb@gmx.com>

So unterzeugend sah schon lange keine Absenderadresse mehr nach einem Kreditinstitut aus. Schade, dass sich diese DKB keinen eigenen Mailserver leisten kann. Die Spam wurde übrigens wirklich über GMX versendet. Und der Quelltext der Spam sieht wie ein heiterer Gruß aus dem vergangenen Jahrhundert aus. Ach ja, wo ich gerade beim Quelltext bin, der fängt übrigens hiermit an:

<p><img alt="" border="0" style="display: block;" width="1"/></p>

Mit Stable Diffusion generiertes Bild Ja richtig. Das sieht aus, als sollte es ein Webbug werden, aber leider war der Absender ein bisschen mit der Vorlage für seine Spam überfordert. Deshalb hat er vor dem Absenden gar nicht mehr mitbekommen, dass da die Angabe der URI des nachzuladenden Bildes im Attribut src fehlt. So wird das natürlich nichts mit dem „nach Hause telefonieren“. Vielleicht macht der Honk es ja bei seinem nächsten Versuch besser, nachdem er sich darüber gewundert haben wird, dass seine Spam nirgends angekommen zu sein scheint. Am Ende sind ja doch immer alle schlau, die einen waren es vorher, die anderen sind es hinterher. 😁️

dkb

Hier sollte vermutlich das Logo der DKB erscheinen. Das Bild wurde anonym und kostenlos bei Postimages gehostet, aber dort schon wieder entfernt. Es kann ja auch nicht jeder so untätig wie Evil Google sein, wenn es um den Missbrauch der kostenlos angebotenen Dienstleistungen durch Trickbetrüger geht.

Guten Tag,

Aber ganz genau mein Name! Und meine Kontonummer! 👍️

um unseren gesetzlichen Verpflichtungen nachzukommen und Sie bestmöglich zu betreuen, bitten wir Sie, Ihre persönlichen Daten zu aktualisieren. Melden Sie sich bitte in Ihrem Banking an, um Ihre Daten zu überprüfen und gegebenenfalls anzupassen. Bei Gemeinschaftskonten nutzen Sie bitte Ihre eigenen Zugangsdaten.

KONTO AKTUALISIEREN

So schade, dass man diesen Banken aus dem Spameingang immer wieder noch mal alles erzählen muss, was diese Banken schon lange wissen. Vielleicht sollten diese Spambanken mal lernen, wie das mit der Datenverarbeitung so funktioniert.

Natürlich gehen alle Daten, die man angibt, direkt zu Betrügern. Es ist Phishing. Deshalb klickt man ja auch nicht in eine Mail, sondern ruft solche Websites immer über ein Lesezeichen im Webbrowser von Hand auf. So kann einem kein Betrüger oder sonstiger Verbrecher einen giftigen Link unterschieben. So einfach ist es, sich vor den gefürchteten Cyberangriffen zu schützen. Macht das! 🛡️

Ansonsten hätte der Link in eine Domain geführt…

$ surbl 74sin88.top
74sin88.top	LISTED: PH ABUSE 
$ _

…die bereits wegen Spam und Trickbetrugs auf allen Blacklists dieser Welt steht. Die meisten modernen Webbrowser sollten hier eine deutliche Warnung anzeigen. Aber darauf kann man sich nicht verlassen, die Blacklists hinken immer ein paar Stunden hinterher. Sicherer ist es, gar nicht erst in eine Mail zu klicken. Dann kann man auch nicht dazu überrumpelt werden, auf einer betrügerischen Website etwas sehr Dummes zu tun.

Mit freundlichen Grüßen
Ihre DKB

Die Freundlichkeit dieser betrügerischen Phisher wird nur noch von ihrem Anstand und ihrer Ehrlichkeit überboten.

Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.