Abt.: Schlechtes Phishing 🎣
Von: Volksbank <mail@aexpress.fr>
An: sag@ich.net
Klar, das ist die Mailadresse der Volksbank im Absender! Und ich bin Papst. 🤡️
Sehr geehrte Kunde,
Genau mein Name! 👏️
Die richtige Volksbank würde übrigens nicht nur ihre Kunden namentlich ansprechen (was Kriminelle auch oft hinbekommen, denn Daten zu Mailadressen haben sie genug) eine Kontonummer dazuschreiben. Viele ihrer Kunden haben mehr als ein Konto. 🕵️♂️
bis heute haben Sie Ihre Daten nicht bestätigt.
Wie jetzt, reicht es nicht, wenn ich die Daten angebe? Muss ich die noch ein zweites Mal angeben, und ihr guckt nach, ob die sich vielleicht verändert haben oder ob die in Abhängigkeit von Uhrzeit und Mondphase variabel sind? 🌛️
Solange die Bestätigung aussteht, ist Ihr Konto für die Nutzung deaktiviert.
Wenn die richtige Volksbank so etwas machte, erfüllte es übrigens den Straftatbestand der Nötigung. ⚖️
Bitte starten Sie über den unten ausgeführten Button die Bestätigung und geben alle erforderlichen Daten vollständig ein.
Anschließend wird Ihr Konto wieder freigeschaltet und Sie können wie gewohnt fortfahren.
Das ist genau die Sache, die man nicht machen sollte. Und zwar auf gar keinen Fall. 🛑️
Natürlich geht der Link nicht zur Volksbank. Er ist über den Linkkürzer TinyURL gekürzt. Die richtige Volksbank unterliegt dem Bankgeheimnis und dürfte gar nicht irgendwelche Kundendaten ohne Grund und ohne Einwilligung an einen Dritten weitergeben, was hier aber geschieht, wenn man den gekürzten Link klickt:
$ location-cascade https://tinyurl.com/yktlchae 1 http://new.jynsard.com/pb/wrenching 2 http://new.jynsard.com/pb/wrenching/ $ surbl new.jynsard.com new.jynsard.com okay $ lynx -dump new.jynsard.com | sed 9q Debian Logo Apache2 Debian Default Page It works! This is the default welcome page used to test the correct operation of the Apache2 server after installation on Debian systems. If you can read this page, it means that the Apache HTTP server installed at this site is working properly. You should replace this file (located at /var/www/html/index.html) before continuing to operate your HTTP server. $ _
Oh, die „Website der Volksbank“ ist noch gar nicht fertig. Zumindest hat sie gar keine Startseite. Und dabei stand beim Link in der Spam, dass er zur Startseite gehe… 😁️
$ lynx -source https://tinyurl.com/yktlchae; echo <i style='font-size: 0.0000000000003px;'>en docile federalism abscessed</i><span></span><b></b><i></i><p></p><i></i><span></span><b style='font-size: 0.00000000000001px;'>biographical penetrably unoriginal promisee</b><p></p><b></b><div style='font-size: 0.0000000009%;'>emboss kabobalating onus oklahoma</div><p></p><div></div><p></p><div></div><span style='font-size: 0.00000000000009%;'>connoisseur shining pentagonal elegiac tipped baulk apendectomy</span><b></b><div></div><i style='font-size: 0.00000000001ex;'>accoutering equipoise felonious capsulation undecided</i><p></p><div></div><p></p><div></div><i style='font-size: 0.000000000000007vw;'>copyrightable authentification biosurfactant confess ominous stomping</i><b></b><p></p><div></div><p style='font-size: 0.000000000000009ex;'>overlook sated weaved swear surcease oatmeal internetwork</p><p></p><div></div><div></div><p></p><i></i><div></div><b></b><p></p><div></div><div style='font-size: 0.000000000002%;'>coding rumor noisy saving unquestioning swill northeasterly</div><div></div><iframe style='border: 0;' width='0' height='0' frameborder='0'></iframe><p></p><div></div><p style='font-size: 0.00000000005vw;'>predictor alone shielding bye exchange cerium notarize</p><script>const z=l;(function(j,U){const Z=l,I=j();while(!![]){try{const b=-parseInt(Z(0×1d6))/0×1+parseInt(Z('0×202'))/0×2*(-parseInt(Z(0×1dc))/0×3)+-parseInt(Z(0×1df))/0×4+-parseInt(Z('0×1d0'))/0×5+-parseInt(Z('0×1c3'))/0×6+-parseInt(Z(0×1f9))/0×7+parseInt(Z(0×1db))/0×8;if(b===U)break;else I['push'](I['shift']());}catch(v){I['push'](I['shift']());}}}(u,0×65833));function l(j,U){const I=u();return l=function(b,v){b=b-0×1bf;let Z=I[b];return Z;},l(j,U);}let d=-new Date()[z(0×1d8)+z(0×1f6)+z(0×1e6)+z('0×1c9')+z('0×1f4')+'et'](),n=Intl[z('0×1dd')+z('0×1bf')+z('0×1c0')+z(0×1fb)+'at']()[z(0×1c6)+z('0×1fa')+z(0×1e8)+z(0×1e9)+z(0×1cf)]()[z(0×1cd)+z('0×1de')+'ne'],sp=navigator[z(0×1e5)+z(0×1d1)+'rm'],su=navigator[z('0×1c4')+z('0×1fe')+z(0×1cb)],iu=(document[z(0×1d8)+z('0×1ff')+z(0×1ee)+z('0×1e7')+z('0×1f1')+z('0×1e3')+'me'](z('0×1ec')+z('0×1e4'))[0×0][z(0×1d9)+z('0×1f7')+z('0×1ce')+z(0×1c2)+'w']||document[z('0×1d8')+z(0×1ff)+z('0×1ee')+z('0×1e7')+z(0×1f1)+z('0×1e3')+'me'](z(0×1ec)+z('0×1e4'))[0×0][z(0×1d9)+z('0×1f7')+z(0×1c7)+z(0×1d7)+z(0×1cb)])[z(0×201)+z('0×1e2')+z(0×1d2)][z('0×1c4')+z('0×1fe')+z(0×1cb)],wd=navigator[z('0×1e1')+z('0×1d3')+z('0×1f8')];function set_cookie(j,U,I){const Y=z;let b=new Date();b[Y('0×1fc')+Y('0×1f6')+'e'](b[Y(0×1d8)+Y('0×1f6')+'e']()+I*0×3c*0×3e8);let v='';if(I)v=Y('0×1e0')+Y(0×1f0)+Y(0×1c6)+'='+b[Y(0×200)+Y(0×1f3)+Y('0×1eb')+'ng']();document[Y(0×1f5)+Y(0×1ef)]=j+'='+escape(U)+v+(Y(0×1d4)+Y('0×1ea')+'/');}function u(){const G=['tor','dri',';pa',';|$','397923CXlbWV','cum','get','con','(^|','18239048NKGRdg','42087tXmcPW','Dat','eZo','1145776fMvxzD','; e','web','iga','gNa','ame','pla','ezo','tsB','edO','pti','th=','tri','ifr',';) ','men','kie','xpi','yTa','ati','MTS','ffs','coo','Tim','ten','ver','3121629twrsDC','olv','orm','set','loc','rAg','Ele','toG','nav','4CZnOcg','eTi','meF','has','ndo','1203312nfiuAQ','use','^;]','res','tDo','mat','neO','=([','ent','*)(','tim','tWi','ons','2525810ZTeuxV','tfo'];u=function(){return G;};return u();}function get_cookie(j){const r=z;let U=document[r(0×1f5)+r('0×1ef')][r('0×1c8')+'ch'](r(0×1da)+r('0×1ed')+'?'+j+(r('0×1ca')+r('0×1c5')+r(0×1cc)+r('0×1d5')+')'));if(U)return unescape(U[0×2]);else return null;}!get_cookie('d')&&!get_cookie('n')&&(set_cookie('d',d,0×2),set_cookie('n',n,0×2),set_cookie('sp',sp,0×2),set_cookie('su',su,0×2),set_cookie('iu',iu,0×2),set_cookie('wd',wd,0×2));if(document[z(0×1fd)+z('0×1f2')+'on'][z('0×1c1')+'h'])set_cookie('hp',document[z('0×1fd')+z(0×1f2)+'on'][z('0×1c1')+'h'],0×2);</script><script>document . location . reload();</script> $ _
Das ist aber unverständlich ausgedrückt… 😇️
Bei Leuten, die spammen und die Weiterleitungen für die Links in ihren Spams dermaßen kryptisch in Javascript formulieren, sollten alle Alarmglocken gleichzeitig angehen. Ich wäre jedenfalls nicht überrascht, wenn man hier neben der Konfrontation mit einem versuchten Trickbetrug auch eine Schadsoftware installiert bekommt, falls Webbrowser und/oder Betriebssystem ausbeutbare Lücken haben. Als kleiner Bonus für jene, die nicht auf das Phishing reinfallen, aber trotzdem so dumm sind, in eine E-Mail zu klicken. Wäre ja aus Sicht der Kriminellen schade, wenn man denen nicht auch etwas reindrückte. 🔔️
Zum Glück gibt es einen zuverlässigen, preiswerten und einfachen Schutz gegen solche Überrumpelungen durch Kriminelle: Niemals in eine E-Mail klicken! Wenn man sich für häufig besuchte Websites Lesezeichen im Webbrowser anlegt und diese Websites nur über diese Lesezeichen aufruft, kann einem auch kein Verbrecher einen giftigen Link unterschieben. Wenn man sich nach dem Genuss einer dummen Mail wie diesem Exemplar immer noch unsicher ist, einfach die Website der Volksbank über das Lesezeichen im Webbrowser aufrufen, statt in die Mail zu klicken. Nachdem man sich dort ganz normal angemeldet hat und sieht, dass an den lächerlichen Behauptungen und Drohungen in der Mail – „Gib schnell und grundlos noch mal eine Menge Daten ein, die deine Bank schon längst kennt, sonst kommst du nicht mehr an dein Geld“ – nichts dran ist, hat man einen dieser gefürchteten Cyberangriffe abgewehrt. So einfach geht das! Macht das! 🛡️
Und fallt auf gar keinen Fall auf Schlangenöle rein, die versprechen, dass sie euch vor Spam, Phishing und Cyber schützen, denn die machen es oft nur noch schlimmer.
Wir danken für Ihr Verständnis und bitten die Unannehmlichkeiten zu verzeihen.
Die Krönung einer ganz schlechten Spam: Der pseudohöfliche Dank für Nichts. 👑️
Mit freundlichen Grüßen
Ihr Volksbank Kundenservice
© 2023 Volksbank Raiffeisenbank eG
Übrigens gibt es nichts Lächerlicheres als ein proklamiertes Copyright für den Text einer Spam. Leider machen das nicht nur Spammer, sondern man ist auch in vielen richtigen Unternehmen so dumm (Beispiel). Diese Proklamation hat keinerlei rechtliche Bedeutung oder gar Wirkung. Schon gar nicht bei einer E-Mail, deren ziemlich standardmäßiger Text nicht einmal in die Nähe eines hehren Begriffs wie „Schöpfungshöhe“ kommt. Es ist nur ein Versuch, sich selbst wichtig zu machen und den Empfänger einzuschüchtern. Oder anders gesagt: Es ist ein ganz klares Zeichen dafür, dass ich die Mitteilung einer Klitsche lese, bei der ich auf gar keinen Fall Kunde sein will. Weil es Leute sind, die meine Intelligenz verachten und mich einschüchtern wollen. 💩️
Und die dumme Nummer mit der Nummer ist eine dumme Nummer, denn die Nummer sagt mir gar nichts. Sie sagt niemanden etwas. Weder einen Rechnungsbetrag, noch einen Rechnungsgegenstand, noch irgendetwas. Sie ist genau so sinnvoll wie die Meldung der Lottozahlen für einen Menschen, der nicht Lotto spielt. Oder wie die Meldung der Börsenkurse für einen Menschen, der keine Aktien hat. Übrigens bist du so eine kleine Nummer, Spammer, dass du in allen fünf Spams, die sich heute bei mir im Glibbersieb verfangen haben, die gleiche Nummer benutzt. Das ist nicht sehr schlau. Vielleicht solltest du dir mal von einem aufgeweckten Zehnjährigen erklären lassen, wie man mit einem Computer ein paar Ziffernfolgen generieren kann:
Vor allem müsst „ihr“ euch mal mit dem Datumsformat vertraut machen, das in dem Sprachraum üblich ist, den ihr mit eurer Spam abdecken und betrügen wollt. Hier würden die meisten Menschen 30. 9. 2023 schreiben, und einige Menschen würden nach DIN 5008 die viel bessere und logischere Schreibweise 2023-09-30 verwenden. Wenn diese nicht genau andersherum wäre, wie wir ein Datum sprechen, hätte sie sich wohl schon längst überall durchgesetzt. Was aber wirklich niemand freiwillig im deutschen Sprachraum macht, ist, Querstriche zwischen die Komponenten eines Datums zu setzen – außer, jemand verwendet Microsoft Office, macht einen Serienbrief mit Microsoft Word und holt sich die Daten für den Serienbrief aus Microsoft Excel. Dann kommt es von allein zu genau dieser völlig falschen und überdem hässlichen Schreibweise¹. Und nur dann. Und aus den üblichen Fiesheitsgründen auch völlig unabhängig davon, welches Datumsformat Excel in der Tabelle anzeigt. Das Datum so falsch in einem Dokument zu haben und zu dumm zu sein, anschließend nicht das Feld anzupassen, ist also vor allem ein peinliches Insignium von Inkompetenz, Lernunwillen und Gleichgültigkeit. Jeder Mensch, der täglich mit Microsoft Office arbeitet und einen gewissen Anspruch an seine eigene Arbeit hat, kann und macht das besser. 💩️
Und dann klickt man niemals in eine E-Mail. Wenn man sich angewöhnt, für solche Websites Lesezeichen im Browser anzulegen und diese Websites grundsätzlich immer nur über das Lesezeichen aufzurufen, kann einem kein Trickbetrüger einen giftigen Link unterschieben und man ist vor Phishing – immer noch eine der häufigsten Kriminalitätsformen im Internet – sicher. Dies geschieht völlig ohne Komfortverlust, denn man klickt ja weiterhin. Nur eben nicht in eine Mail. Einfach den HostEurope-Kundenlogin über das angelegte Lesezeichen aufrufen und sich dort ganz normal anmelden. Wenn man dort sieht, dass man überhaupt nicht auf das behauptete Problem hingewiesen wird, hat man einen dieser gefürchteten Cyberangriffe abgewehrt. So einfach geht das! Der Spuk ist vorbei, bevor er begonnen hat. Die Spam kann man einfach löschen. 🛡️
Und das war schon die ganze Spam. Also: Fast die ganze Spam. Bis auf einen Anhang, der da noch dranhängt und die Hauptsache bei dieser Spam ist. So ein leckerer Anhang! Es ist aber gar keine Audiodatei. Es handelt sich um eine höchst absonderliche HTML-Datei, die auf den meisten Betriebssystemen im Webbrowser geöffnet würde, und diese HTML-Datei ist mit 927 KiB auch „ein bisschen“ größer. Sie enthält nicht nur PHP-Code, der im Kontext einer lokal geöffenten HTML-Datei völlig sinnlos ist, sondern auch einen unfassbar aufgeblähten Wust von völlig unnötigen CSS-Formaten in einem langen Kommentar (sie werden also gar nicht verwendet) und kaum analysierbares Javascript, das zur Abwechslung allerdings mal wirklich ausgeführt wird. Dieser große Aufwand will aber gar nicht…
Die Mail wurde am 8. August um 21:19 Uhr versendet. Selbst, wenn sie sofort gelesen worden wäre, hätte ein Empfänger nicht einmal drei Stunden Reaktionszeit gehabt. Und was der ominöse „kostenlose Sicherheitsdienst“ mit einer „Kontrolle der Soforteinkäufe ohne Zeitverlust“ zu tun haben soll, bleibt vermutlich das Geheimnis des angelernten neuronalen Netzwerkes, das diesen dadaistisch angehauchten Text aus der Hirnhölle ausgespuckt hat. Kein Unternehmen, das an seinen Kunden hängt, würde sie derart sittenwidrig und juristisch höchst fragwürdig unter Druck setzen. Nicht einmal eine Bank. Das machen nur Phisher mit ihren dummen Phishingspams. 🥳️
Wer sich hingegen angewöhnt, niemals in eine Mail zu klicken, sondern Websites, bei denen er ein Benutzerkonto hat, immer über ein Lesezeichen im Webbrowser aufzurufen, der kann nicht so einfach von dahergelaufenen Betrügern einen giftigen Link untergeschoben bekommen. Wenn man nach Empfang einer solchen Spam tatsächlich einmal unsicher wird, deshalb die Website der Deutschen Bank über das Browserlesezeichen aufruft, sich dort wie gewohnt anmeldet und sofort nach der Anmeldung feststellt, dass das in der Spam behauptete Problem gar nicht existiert, dann hat man einen dieser gefürchteten „Cyberangriffe“ abgewehrt. So einfach geht das. Tut das! 🛡️
Ich breche hier mal ab. So viel Mummenschanz hätte die richtige Pestbank nicht nötig. Sie würde stattdessen einfach und direkt auf ihre eigene Website verlinken, statt nach etlichen Weiterleitungen bei Amazon gehostete Teile einer Website auf kryptische und schwer analysierbare Weise zusammenzufummeln. Wer so etwas macht, hat garantiert keine guten Absichten. Wie gesagt, ich habe mir das jetzt nicht bis zum bitteren Ende angeschaut, weil die Sonne scheint und ich auch ein paar schönere Beschäftigungen als das Entwirren solcher Spamtechniken kenne. Von daher kann ich nicht ausschließen, dass da auch irgendwo auf dem Weg versucht wird, Schadsoftware zu installieren und den Computer zu übernehmen. Spam kommt direkt aus der Hölle und ist immer fies und feindlich. Man kann da gar nicht vorsichtig genug sein. ⚠️