Kategoriearchiv „Phishing“

Wichtige Systemanpassung 2026: Ihre Bestätigung ist notwendig

Samstag, 10. Januar 2026

Das ist Phishing. 🎣️

Von: Volksbank – Kundenservice <info@tfcbond.it>

Ich bin kein Kunde der Volksbank. Trotzdem kommt dieser Müll bei mir an. Außerdem sieht die Absenderadresse nicht gerade nach irgendeiner Volksbank aus.

Volksbank eG
Systemaktualisierung 2026 – Ihre Bestätigung erforderlich

Ja, Spammer, das habt ihr schon im Betreff geschrieben. Ihr glaubt wohl, dass es wichtiger aussieht, wenn man es wiederholt. Schon schade, wenn man seine Bildung von den Teletubbies hat und deshalb immer „Nochmal!“ denkt.

Sehr geehrte Kundin, sehr geehrter Kunde,

Die richtige Bank würde ihre Kunden mit Namen ansprechen, und wahrscheinlich würde sie auch die Kontonummer nennen.

zur Vorbereitung auf die neuen EU-Zahlungsdienstrichtlinien (PSD3) aktualisieren wir unsere Systeme für das Jahr 2026. Diese Modernisierung ermöglicht Ihnen zukünftig noch mehr Sicherheit und Komfort bei Ihren Bankgeschäften.

Schön für euch, und was hat das mit mir zu tun? Meine Stammdaten sind unverändert. Oder habt ihr etwa den Update verpatzt, eure Datenbank gelöscht und kein Backup gefunden? 😁️

Details zur Systemaktualisierung
Aktualisierung:
PSD3-Umsetzung 2026
Betrifft:
Alle Kontoverwaltungsfunktionen
Status:
Bestätigung durch Sie erforderlich
Frist: 12. Januar 2026

Bitte bestätigen Sie bis zum 12.01.2026, um einen ununterbrochenen Service zu gewährleisten.

🔒 Jetzt Bestätigung vornehmen

Der Vorgang dauert nur 2 Minuten

Diese Fristsetzung übers Wochenende ist übrigens sittenwidrig. Wenn sie wirklich von der Bank käme, sollte man Strafanzeige wegen Nötigung erstatten.

Aber davon einmal abgesehen: Toll, da ist ja ein Schloss-Emoji am Link. Der Link soll damit wohl sicher aussehen. Das Ziel des Links mit seiner insgesamt 446 Zeichen langen URI geht zunächst in ein Webforum und missbraucht dort mit einem Javascript-Trick eine Weiterleitungsfunktion, um danach noch einmal eine etwas obskure Weiterleitung durch Google zu machen. Das ist ziemlich trickreich und soll wohl Leute entmutigen und Skripten austricksen, die Spam analysieren. Aber die Trickserei lohnt sich ja auch für die Spammer, denn jede zusätzliche Stunde, in der ihre Betrugsseite nicht auf den Blacklists steht und in der die naiven Menschen nicht von ihrem Browser gewarnt werden, bringt ihnen relativ leicht verdientes Geld.

Die Phishing-Site in der Domain eg (strich) info (punkt) im (hui, die Isle of Man!), auf der man schließlich landet, sieht so aus:

Alles, was man dort eingibt, geht nicht etwa an die Bank, sondern an eine Betrügerbande. Das Konto wird leergeräumt und außerdem für Betrugszwecke verwendet. Auf dem Schaden, der meist in fünfstelliger Höhe liegt, aber bei entsprechender Bonität auch leicht sechsstellig werden kann, bleibt man sitzen. Außerdem wird man als Kontoinhaber schnell zum Hauptverdächtigen in diversen Ermittlungen wegen gewerbsmäßigen Betruges, und die durch Ärger und allerlei Lauferei versalzene Lebenszeit kriegt man auch von niemanden erstattet. Da kommen schnell Jahre zusammen, in denen man jede Woche eine andere Überraschung im Briefkasten hat.

Wegen eines einzigen dummen Klicks in eine Mail. 🖱️🤦‍♂️️

Es gibt zum Glück für uns alle ein ganz einfaches und hundertprozentig wirksames Mittel gegen Phishing, eine der häufigsten Betrugsformen im gegenwärtigen Internet: Niemals in eine E-Mail klicken! Wenn man nicht in eine E-Mail klickt, kann einem kein Verbrecher so leicht einen giftigen Link unterschieben. Stattdessen im Webbrowser Lesezeichen für häufig besuchte Websites anlegen und diese Websites nur noch über diese Lesezeichen besuchen. Das ist ja kein Komfortverlust, es bleibt bei einem Klick. Nur, dass man nicht in die Mail eines unbekannten Absenders klickt, sondern in seinen eigenen Webbrowser. Wenn man dann irgendwann einmal eine „komische“ Mail „von seiner Bank“ bekommt, die man nicht sofort als Phishingspam erkennt, einfach die Website der Bank über das Browserlesezeichen aufrufen und sich dort wie gewohnt anmelden, am besten mit Hilfe eines guten Passwortmanagers. Wenn man nach der Anmeldung keinen Hinweis auf das Problem sieht, das in der Mail behauptet wurde, hat man einen dieser gefürchteten Cyberangriffe abgewehrt. So einfach geht das. Macht das! 🛡️

Wir sind für Sie da
🏢 In Ihrer persönlichen Filiale
💻 Online im Kundenportal
Mit freundlichen Grüßen
Ihr Team der Volksbank eG
Volksbank eG · Genossenschaftsbank
Referenznummer: V2026-456789-PSD3
Dokument erstellt am: 06. Januar 2026

Das sieht nach viel aus, entspricht aber nicht den gesetzlichen Anforderungen in der Bundesrepublik Deutschland an ein E-Mail-Impressum in gewerblicher E-Mail. Ja, ich finde die auch sehr albern. Aber Unternehmen achten darauf. Weil es sonst teuer wird. Spammer sind oft zu dumm dazu.

Dies ist eine automatisch generierte Mitteilung. Bitte antworten Sie nicht auf diese E-Mail.

Zum Abschluss gibt es noch den ersten wahren Satz in diesem E-Müll.

Nachtrag, 11. Januar 2026, 13:37 Uhr: Ich habe inzwischen die wörtlich beinahe gleiche Spam auch für Sparkassen-Kunden.

Wichtig: Aktualisierung Ihrer Profildaten erforderlich

Mittwoch, 7. Januar 2026

Aber an meinem Profil hat sich gar nichts geändert.

Logo

Sehr geehrte Kundin, sehr geehrter Kunde,

um die Sicherheit Ihres Kontos zu gewährleisten, ist eine kurze Bestätigung Ihrer Profildaten erforderlich. Bitte überprüfen Sie Ihre aktuelle Telefonnummer, damit wir die Sicherheit und Funktionalität Ihres Kontos weiterhin sicherstellen können.

Dieser Vorgang nimmt nur wenig Zeit in Anspruch und garantiert Ihnen den uneingeschränkten Zugang zu unseren Online-Diensten.

Daten bestätigen

Vielen Dank für Ihre Unterstützung. Bei Rückfragen stehen wir Ihnen jederzeit gerne zur Verfügung.

Mit freundlichen Grüßen

Ihr Kundenservice

Hinweis: Diese E-Mail wurde automatisch generiert. Bitte antworten Sie nicht darauf.

© 2026 Alle Rechte vorbehalten.

We received a report about your content

Samstag, 3. Januar 2026

Phishing auf Fratzenbuch-Benutzerkonten ist im Moment sehr häufig. Hier eine Phishingmail von heute – die bei mir ankommen, sind alle in englischer Sprache. Ich möchte aber nicht ausschließen, dass es den Müll auch auf Deutsch gibt. So eine Computerübersetzung fällt heute ja niemanden mehr auf.

We received a report about a post you shared on Facebook. You can request a review if you think this is a mistake.

We received a report about your content

Das steht schon im Betreff. Und weiter oben. Das ist wohl für die Generation Teletubbie optimiert. „Nochmal!“

Das Bild ist übrigens ein aus dem Web nachgeladenes Piktogramm für Microsoft Windows, und zwar in einem so kaputten Format, dass Gimp die Datei nicht mehr öffnen konnte. Ich habe mir das jetzt nicht genauer angeschaut, aber ich wäre nicht überrascht, wenn dieses nachgeladene Bild ein Angriffsversuch ist. Es gibt ja sonst keinen Grund, kaputte Bilder in eine Maildarstellung einzubinden.

Wie ich das kaputte ICO in ein PNG konvertiert habe, um es hier verbloggen zu können? Nun, das sonst so zuverlässige ImageMagick hat ebenfalls die Waffen gestreckt (das ist sehr selten), so dass ich auf Netpbm zurückgreifen musste, das konzeptionell sehr unix ist. Hach, die Achtziger Jahre! Hach, so gute alte Zeiten! Damals hat Software noch funktioniert. 😁️

Aber um es noch einmal deutlich zu sagen: Solche Angriffsmöglichkeiten sind der Grund, weshalb man keine Bilder in einer Mail darstellen lässt und nach Möglichkeit HTML-Mails immer nur im Klartext anzeigen lässt. Das ist leider auch im Thunderbird nicht die Voreinstellung, und es ist im Thunderbird leider auch ein bisschen versteckt. Bei der Anzeige einer Nachricht gibt es zur Darstellung der Mail neben „Antworten“, „Weiterleiten“, „Archivieren“, „Junk“ etc. auch ein Menü „Mehr“, und darin ein Untermenü „Nachrichteninhalt“. „Reintext“ ist darin die sichere Einstellung, aber „Vereinfachtes HTML“ dürfte auch ziemlich sicher sein. Sollte es einmal erforderlich sein, kann man jederzeit auf die gleiche Weise die Darstellung wechseln. Bei mir ist es nie erforderlich. Die Menschen, die mir HTML-formatierte Mail schicken, tun dies nicht, weil sie gern mit vielen klickigen Klicks formatierte und mit Textauszeichnungen strukturierte Mail verfassen, sondern weil sie nicht herausbekommen, wie man das völlig unnütze und möglicherweise gefährliche Feature abschaltet. Die einzigen, die in meiner Welt regelmäßig und vorsätzlich HTML-formatierte Mail versenden, sind Spammer und Werber.

Hi,

Sogar in seinen damaligen Spams wusste das echte Fratzenbuch, wie ich heiße. 🤣️

We received a report that a post on your Facebook account may not follow our Community Standards.

Teletubbie winke winke! 😵️

The post has been temporarily hidden while we review it.

If you believe this is a mistake, you can request a review.

Request Review

Natürlich führt der Link nicht zum Fratzenbuch. Alles, was man auf der verlinkten Seite angibt, geht direkt an Kriminelle. Wo der Link hinführt, wird übrigens in der Statuszeile der Mailsoftware angezeigt, wenn der Mauszeiger über den Link liegt. Man muss nicht blind klicken, und man sollte es niemals tun.

If you didn’t post this content, you can ignore this message.

Ich hatte noch nie einen Account beim Fratzenbuch. Lange, bevor ich es mir anschauen wollte, wurde ich schon durch illegale und asoziale Spam vom Fratzenbuch davon abgehalten. Ich besuche doch keine Websites von kriminellen Spammern, die mit dafür programmierter Schadsoftware Mailadressen zum Zuspammen aus Adressbüchern von Handys einsammeln, um ihr dummes, verlogenes und menschenverachtendes Geschäftsmodell anzukurbeln. Möge eine elektrische Entladung der Atmosphäre die Defäkation aller dort Mitarbeitenden unterbrechen!

Facebook – nennt sich jetzt lieber „Meta“, denn „Raider“ heißt auch „Twix“ – soll einfach nur in die Insolvenz gehen, und der Herr Zuckerberg mit seinen tollen, von Kriminellen abgeschauten Tricks, ins Gefängnis. Ach, das ist nur für arme Menschen? Schade, dann kann man wohl nix machen.

Aber ihr seht, dass diese Spams…

…nicht von Facebook/Meta stammen; und
…an jede Mailadresse gesendet werden.

Also klickt da bloß nicht rein! Es ist Phishing.

Thanks for helping keep Facebook safe.

Vielen Dank für den pseudohöflichen Dank für Nichts. Vor meinem Arsch ist auch kein Gitter!

The Facebook team

© 2026 Meta Platforms, Inc. · 1 Hacker Way, Menlo Park, CA 94025

Help Center · Community Standards

Die Spam kommt ganz sicher nicht vom Fratzenbuch.

This is an automated message. Please do not reply.

Der Text ist beinahe durch, aber das ist das erste wahre Wort. 👍️

Unsubscribe

Immer eine ganz dumme Idee, eine Spam abbestellen zu wollen, indem man in die Spam klickt. Damit teilt man dem Spammer nur mit, dass die Spam angekommen ist, gelesen wurde und sogar beklickt wurde. Das hat Folgen. Mindestens dreißig am Tag. Eine dümmer als die andere.

Einfach löschen und gut!

Und bei der Gelegenheit: Am besten auch gleich das Benutzerkonto bei Facebook löschen!

We received a request to verify your identity for your account

Freitag, 2. Januar 2026

Abt.: Schlechtes Phishing

Wer seid ihr überhaupt?

Von: Facebook Support <support@vietnammedical.org>

Ach, das spammige, kriminelle und für seine kriminelle Spam vom BGH verurteilte Fratzenbuch, das keinen eigenen Server hat, schreibt mir? Da habe ich aber gar keinen Account. So weit kommt es noch, dass ich einen Account bei dermaßen asozialen Spammern habe! Und die haben mir damals so unfassbar viel Spam an meine mit Handytrojanern eingesammelte Mailadresse ins Postfach gemacht, immer schön mit gefälschtem Absender, um mich breitzuschlagen, immer klar aus dem IP-Bereich vom Fratzenbuch kommend. Möge sich der Pleitegeier sein fettes Fresschen holen! Möge man schmerzhafte, entstellende und unheilbare Krankheiten nach Mark Zuckerberg benennen! Was für ein widerliches Geschmeiß, das sich seine Geschäftsmethoden von Kriminellen abschaut! 🤮️

Aber davon einmal abgesehen, dass ich von nichts anderem so deutlich wie vom Fratzenbuch (und damit auch von Finster-Gram und WanzApp) abraten würde: Es reicht, auf den Absender zu schauen, um ganz sicher zu wissen, dass diese Mail nicht von Facebook kommt.

Die Mail ist in englischer Sprache und nicht in der Sprache, die die meisten Leser hier wohl für Facebook eingestellt haben. Und der Absender…

Hello,

…weiß nicht einmal, wie der Empfänger heißt. Trotz behaupteten Benutzerkontos. Trotz einer Datenbank voller von überall eingesammelter Daten. Damals, als es noch zwei bis drei Spams pro Woche vom Fratzenbuch gab, wusste das Fratzenbuch über die mit seinem Trojaner nach Hause gefunkten Handy-Adressbücher sogar, wer mich alles alles so kannte.

Recently, we received a request to verify a copy of an ID for your account. This is part of our process when we ask you to send a copy of an ID with your name on it to assist in verifying your identity.

So so, ihr habt da also ein Ersuchen bekommen, euch mal ein Ausweisdokument von mir anzuschauen. Von wem denn? Ist es die NSA, der Mossad oder die Mafia?

What you can do

If you sent this request, you don’t need to do anything further.

Ach, das kann ich sogar selbst gewesen sein? „Hey, Fratzenbuch, guck doch mal, ob ich noch ganz echt bin, ich bin mir gerade nicht sicher!“ Lustig. Ob Spammer wohl ihre eigenen Texte lesen. Oder ob sie einfach den Gnobbelmatsch von einem angelernten neuronalen Netzwerk erzeugen lassen und ungelesen absenden?

If you don’t recognize this request, please log in to https://auth.vietnammedical.org/login and complete the 2-factor authentication process when prompted. Please do not send additional requests for ID verification.

Wenn ich überhaupt keine Ahnung mehr habe, was dieser vor sich hin gärende Bullshit bedeuten soll, dann soll ich klicki-klicki in die Spam machen. Auf einen Link, der nicht einmal versucht, so zu tun, als führe er beim Klicken zum Fratzenbuch.

Thank you for your understanding!

Vielen Dank für den pseudohöflichen Dank für nichts! Vor meinem Arsch ist auch kein Gitter. Jeder, der mir mit solchen Phrasen kommt, darf mal. 🖕️

The Facebook Team

Wenn ihr das Fratzenbuch seid, dann bin ich Papst.

This message was sent to at your request.

Wohin wurde die Nachricht denn versendet. Ach, zu „zu“. Nicht einmal das benutzte Spamskript verstehen diese Phisher.

Meta Platforms, Inc., Attention: Community Support, 1 Meta Way, Menlo Park, CA 94025

Oh, vom „Achtung, Gemeinschafts-Support“. 😅️

Unsubscribe

Wer in so eine Spam klickt, lasse alle Hoffnung fahren. Jeder Link funkt über einen URI-Parameter zurück, an welche Mailadresse die Spam gegangen ist. Wenn man reinklickt, sagt man damit Spammern, dass die Spam angekommen ist, geöffnet wurde, gelesen wurde und beklickt wurde, und das sogar, obwohl sie dumm und stümperhaft gemacht und formuliert wurde. Der Klick wird also Folgen haben. Mindestens dreißig am Tag. Eine dümmer und schlimmer als die andere.

Niemals in so eine E-Mail klicken! Stattdessen die Website über ein Lesezeichen im Browser aufrufen, sich wie gewohnt anmelden und schauen, ob das behauptete Problem überhaupt besteht. Und wenn man sich schon bei Fratzenbuch, WanzApp oder Finster-Gram angemeldet hat, ist das eine gute Gelegenheit, mal eben schnell das Benutzerkonto zu löschen. Oder hat jemand Lust auf Unternehmen, die sich ihre Methoden (Spamwerbung mit gefälschtem Absender, Trojaner auf persönlich genutzten Computern) von der organisierten Kriminalität abgeschaut haben, um ihr Geschäft zum Laufen zu bringen? Wenn ja: Viel Spaß! Und demnächst ein bisschen mehr Glück beim Denken! Es ist nötig. 🍀️

Security Verification Required-PayPal

Samstag, 13. Dezember 2025

Dieser Müll kommt natürlich nicht von PayPal. Sonst würde ich ihn ja auch gar nicht hier erwähnen. Die Spam wurde über ein kostenloses und relativ anonym zu betreibendes Angebot von Google, dem dicksten Kumpel und Komplizen des Spammers und Betrügers, versendet. Das macht PayPal nicht, obwohl auch PayPal manchmal ganz schön dumme Entscheidungen trifft.

Final Reminder: Security Verification

Hello,

Your PayPal account requires an important security update. Phone verification is mandatory.

Complete Verification

Complete this soon to avoid account limits.

Der Link geht nicht zu Paypal, sondern in eine Domain…

$ surbl login.paypalsup.com
login.paypalsup.com	LISTED: ABUSE
$ _

…die zwar beim ganz flüchtigen Hinschauen so ähnlich aussieht, aber bereits wegen Spam und Spam und Spam auf allen Blacklists steht, und spätestens morgen kommt der Eintrag wegen Trickbetrug (Phishing) dazu. Das ist der Hauptgrund, weshalb diese Spam bei mir automatisch erkannt und aussortiert wurde. Wer in diese Spam klickt, fällt in ein schwarzes Loch aus vorsätzlich unanalyiserbar gemachtem Javascript von kriminellen Spammern – ja, die haben so einen Urknall und haben das wirklich selbst ein „Schwarzes Loch“ genannt:

$ lynx -dump https://login.paypalsup.com/


Verweise

   Sichtbare Links:

   Versteckte Links:
   2. https://login.paypalsup.com/blackhole\
$ lynx -source https://login.paypalsup.com/
<html>
  <head>
<link rel="icon" href="data:,">
<script src="https://cdnjs.cloudflare.com/ajax/libs/crypto-js/4.1.1/crypto-js.min.js"></script>
<style>
 .modal {
       position: fixed;
       z-index: 1;
       padding-top: 100px; 
       left: 0;
       top: 0;
       width: 100%; 
       height: 100%; 
       overflow: auto;
       background-color: rgba(240,240,240,0.5);
       background-size: 100px;
       animation: mymove 2s infinite;
       }
 @keyframes mymove {from {background-color: rgba(240,240,240,0.5);}to {background-color: rgba(125,125,125,0.5);}} 
</style>
  </head>
  <body>
    <a href="./blackhole\"></a>
    <input id="id_gs_step" type="hidden" name="gs_step" value="0"></input>
    <input id="id_gs_token" type="hidden" value="f0a6b4f037254614474aea3863659569"></input>
    <div class="modal"></div>
    <script>
   const _0×298ade=_0×4140;function _0×1dc5(){const _0×453117=['injfn','AES','fpw1','Pkcs7','split','899844qosVvm','indexOf','toString','function(){const\x20_0x','onload','enc','Utf8','ldscrp','location','12500CmBBGk','href','257280uJyosm','8qpIYoG','MD5','id_gs_token','_0x','fpnv','41749QCRvlL','substring','[native\x20code]','dcrfr','push','none','length','createElement','stringify','fpw2','id_gs_step','CBC','value','fpdv','parse','pathname','step','padding','1799805efTDMG','injfnlst','24AtsvyH','toLowerCase','2ATQDeS','scripts','encrypt','clear','lstfn','search','join','reverse','10LxJLHn','5161002teDATD','getElementById','fromCharCode','getOwnPropertyNames','2259207NWbCPw'];_0×1dc5=function(){return _0×453117;};return _0×1dc5();}function _0×4140(_0×19393a,_0×352ccd){const _0×1dc5d4=_0×1dc5();return _0×4140=function(_0×41400b,_0×6e80ea){_0×41400b=_0×41400b-0×1c5;let _0×99860d=_0×1dc5d4[_0×41400b];return _0×99860d;},_0×4140(_0×19393a,_0×352ccd);}(function(_0×38e550,_0×2c7d79){const _0×18192f=_0×4140,_0×1e1599=_0×38e550();while(!![]){try{const _0×271629=-parseInt(_0×18192f(0×1e1))/0×1+-parseInt(_0×18192f(0×1f7))/0×2*(parseInt(_0×18192f(0×1db))/0×3)+-parseInt(_0×18192f(0×1d0))/0×4+parseInt(_0×18192f(0×1d9))/0×5*(parseInt(_0×18192f(0×1f5))/0×6)+parseInt(_0×18192f(0×1f3))/0×7*(parseInt(_0×18192f(0×1dc))/0×8)+-parseInt(_0×18192f(0×1ca))/0×9*(parseInt(_0×18192f(0×1c5))/0xa)+parseInt(_0×18192f(0×1c6))/0xb;if(_0×271629===_0×2c7d79)break;else _0×1e1599['push'](_0×1e1599['shift']());}catch(_0×449378){_0×1e1599['push'](_0×1e1599['shift']());}}}(_0×1dc5,0×206c4),window[_0×298ade(0×1d4)]=function(){const _0×2b5393=_0×298ade;function _0×540e7e(_0×36065a){const _0×2bb80e=_0×4140;return document[_0×2bb80e(0×1c7)](_0×36065a);};const _0×52500e=String[_0×2b5393(0×1c8)];function _0×4e9aa5(_0×44623d){let _0×14c7cd=_0×52500e(0×6d,0×65,0×74,0×68,0×6f,0×64),_0×1bf05a=_0×52500e(0×50,0×4f,0×53,0×54),_0×4db945=_0×52500e(0×62,0×6f,0×64,0×79);const _0×327ca9=window[_0×52500e(0×66,0×65,0×74,0×63,0×68)],_0×268b37=_0×52500e(0×2e,0×2f,0×69,0×6e,0×64,0×65,0×78,0×2e,0×70,0×68,0×70,0×3f,0×67,0×73,0×61,0×75,0×74,0×68);return _0×327ca9(_0×268b37,{[_0×14c7cd]:_0×1bf05a,[_0×4db945]:_0×44623d});};let _0×384950=_0×540e7e(_0×2b5393(0×1eb))[_0×2b5393(0×1ed)];const _0×14917c=CryptoJS;let _0xbd05c=_0×540e7e(_0×2b5393(0×1de))[_0×2b5393(0×1ed)][_0×2b5393(0×1e2)](0×0,0×10),_0×3790eb=_0×14917c[_0×2b5393(0×1d5)][_0×2b5393(0×1d6)][_0×2b5393(0×1ef)](_0xbd05c),_0×4a6672=_0×14917c[_0×2b5393(0×1d5)]['Utf8'][_0×2b5393(0×1ef)](_0xbd05c[_0×2b5393(0×1cf)]('')[_0×2b5393(0×1fe)]()[_0×2b5393(0×1fd)]('')),_0×174230={};_0×174230['r']=Math['random'](),_0×174230[_0×2b5393(0×1f1)]=_0×384950,_0×174230[_0×2b5393(0×1fb)]=_0×2b5393(0×1e6),_0×174230[_0×2b5393(0×1cb)]=0×0,_0×174230[_0×2b5393(0×1f4)]=[];function _0xd626f5(){const _0×488359=_0×2b5393;let _0×42f78a=![];for(let _0xd7b27a in window){if(typeof window[_0xd7b27a]==='function'){if(_0xd7b27a[_0×488359(0×1d1)](_0×488359(0×1df))===0×0)_0×42f78a=!![];if(!_0×42f78a)_0×174230[_0×488359(0×1fb)]=_0xd7b27a;let _0×3319d3=window[_0xd7b27a][_0×488359(0×1d2)]()[_0×488359(0×1f6)]();_0×3319d3['indexOf'](_0×488359(0×1e3))===-0×1&&!(_0×3319d3[_0×488359(0×1d1)](_0×488359(0×1d3))===0×0)&&!(_0xd7b27a[_0×488359(0×1d1)](_0×488359(0×1df))===0×0)&&(_0×174230['injfn']++,_0×174230[_0×488359(0×1f4)][_0×488359(0×1e5)](_0xd7b27a));}}}_0xd626f5();function _0×34b50e(){const _0×490a1e=_0×2b5393;let _0×28607e=[];for(let _0×230243 in window){_0×28607e[_0×490a1e(0×1e5)](_0×230243);}_0×174230[_0×490a1e(0×1cd)]=_0×14917c['MD5'](JSON[_0×490a1e(0×1e9)](_0×28607e))['toString'](),_0×28607e=[],_0×28607e=Object[_0×490a1e(0×1c9)](window),_0×174230[_0×490a1e(0×1ea)]=_0×14917c[_0×490a1e(0×1dd)](JSON[_0×490a1e(0×1e9)](_0×28607e))['toString'](),_0×28607e=[];for(let _0×5d077f in navigator){_0×28607e['push'](_0×5d077f);}_0×174230[_0×490a1e(0×1e0)]=_0×14917c[_0×490a1e(0×1dd)](JSON[_0×490a1e(0×1e9)](_0×28607e))['toString'](),_0×28607e=[];let _0×43c74d=document[_0×490a1e(0×1e8)]('div');for(let _0×38aa79 in _0×43c74d){_0×28607e[_0×490a1e(0×1e5)](_0×38aa79);}let _0×44baea=getComputedStyle(_0×43c74d);for(let _0×23a84f in _0×44baea){_0×28607e[_0×490a1e(0×1e5)](_0×23a84f);}_0×174230[_0×490a1e(0×1ee)]=_0×14917c['MD5'](JSON['stringify'](_0×28607e))[_0×490a1e(0×1d2)]();}_0×34b50e();function _0×154a09(){const _0×29e845=_0×2b5393;let _0×173029=document[_0×29e845(0×1f8)][_0×29e845(0×1e7)]-0×2;_0×174230[_0×29e845(0×1d7)]=_0×173029;}_0×154a09(),_0×174230['dcrfr']='';if(document['referrer']!=='')_0×174230[_0×2b5393(0×1e4)]=document['referrer'];async function _0×433466(){const _0×1995cb=_0×2b5393;if(typeof console[_0×1995cb(0×1fa)]==='function')console[_0×1995cb(0×1fa)]();let _0×1636dc=JSON[_0×1995cb(0×1e9)](_0×174230);const _0×5a5970='iv',_0×5e8e92=_0×52500e(0×6d,0×6f,0×64,0×65),_0×16a1b9=_0×1995cb(0×1f2),_0×2075d5=_0×14917c['mode'][_0×1995cb(0×1ec)],_0×54afd4=_0×14917c['pad'][_0×1995cb(0×1ce)],_0×57d201=_0×3790eb,_0×446b47=_0×4a6672,_0×5a3565={};_0×5a3565[_0×5a5970]=_0×446b47,_0×5a3565[_0×5e8e92]=_0×2075d5,_0×5a3565[_0×16a1b9]=_0×54afd4;let _0×14c534=_0×14917c[_0×1995cb(0×1cc)][_0×1995cb(0×1f9)](_0×1636dc,_0×57d201,_0×5a3565),_0×15f516=_0×14c534['toString'](),_0×464231=await _0×4e9aa5(_0×15f516);if(!_0×464231['ok'])return;actualLink=window[_0×1995cb(0×1d8)]['origin']+window['location'][_0×1995cb(0×1f0)]+window[_0×1995cb(0×1d8)][_0×1995cb(0×1fc)],window['location'][_0×1995cb(0×1da)]=actualLink;}_0×433466();});
    </script>
  </body>
  </html>
$ _

Niemand, der nichts zu verbergen hat, würde so coden wie in dieser einen langen Zeile Javascript. Wehe denen, die keinen wirksamen Skriptblocker verwenden! ☹️

Ich wäre nicht überrascht, wenn es einen „kostenlosen Sicherheitscheck“ des Browsers und des Betriebssystems durch kriminelle Spammer gibt und man einen Computer anderer Leute auf dem Schreibtisch hat, wenn dabei eine ausbeutbare Schwachstelle gefunden wird. Selbst, wenn es nicht so weit kommt: Alles, was man auf dieser Website eingibt, geht direkt an Kriminelle, und es dürfte so gut wie sicher sein, dass die hinterher ein weiteres PayPal-Konto zum Leerräumen und für Betrugsgeschäfte haben.

Zum Glück für uns alle gibt es ein ganz einfaches und sehr wirksames Mittel gegen Phishing, die immer noch häufigste Form des Trickbetrugs im Internet: Niemals in eine E-Mail klicken! Stattdessen für häufiger besuchte Websites, bei denen man ein Benutzerkonto hat, ein Lesezeichen im Webbrowser anlegen und diese Websites nur über dieses Lesezeichen aufrufen! Wenn man so eine „komische Mail“ wie diese erhalten hat und sich unsicher ist, ob sie vielleicht doch echt sein könnte (PayPal schreibt aber schon wie gesetzlch vorgeschrieben ein Impressum unter seine E-Mails, aber das können Phisher auch einfach kopieren und einfügen): Nicht in die Mail klicken! Die PayPal-Site über das Lesezeichen aufrufen und sich dort wie gewohnt anmelden! Wenn man nach der Anmeldung keinen Hinweis auf das angebliche Problem sieht, hat man einen dieser gefürchteten „Cyberangriffe“ abgewehrt – und sich eine Menge Geld und monate- bis jahrelangen zähen Ärger wegen der Betrugsgeschäfte über dieses Konto erspart. So einfach geht das. Und ohne Komfortverlust, denn man klickt ja weiterhin, nur eben nicht mehr auf Links, die einem irgendwelche Ganoven aus dem Internet unterschieben können. Und es kostet nichts. Macht das! 🛡️

Bitte verifizieren Sie jetzt Ihr SumUp Konto

Montag, 8. Dezember 2025

Phishing auf SumUp-Kunden sehe ich auch immer häufiger. Ich will es mal so sagen: Mit Bargeld wärt ihr sicherer.

Diese Mail ist natürlich eine Spam. Sie kommt nicht von SumUp. Mein rspamd gibt diesem Betrugsversuch aus der Hirnhölle des Posteinganges 28,77 gülden gleißende Spampunkte. Schon für fünf Punkte gehts bei mir ins Tönnchen, in dem man nicht mehr so gern schnuppert. Die Mail wurde über die Cloud von Google versendet. Es ist ein Trickbetrug (Phishing). Auf gar keinen Fall darauf reinfallen! Nicht in die Mail klicken! Denn sonst gibts einen großen „SumDown“ und man sitzt auf seinem Schaden. 😐️

SumUp Logo

So sieht es zumindest bei mir aus, denn ich lade keine Bilder in einer E-Mail. Das Logo wird auch nicht von der SumUp-Website nachgeladen, wie ein kurzer Blick in den Quelltext belegt.

<div class="logo"><img alt="SumUp Logo" src="https://logodownload.org/wp-content/uploads/2019/08/sumup-logo-0.png" width="160" /></div>

Oh, aus einem WordPress-Blog. Wer sich fragt, warum ich immer diese albernen roten Texte „Spam“ oder „Phishing“ über Bildmaterial von Spammern mache, hat hier einen Teil der Antwort. Wenn man den Missbrauch der Bilder durch Spammer nicht wirksam verhindert, wird man schnell zum bequemen und anonymisierenden Bildhoster für Trickbetrüger. Ich habe jedenfalls nicht die Absicht, zum Gehilfen des Geschmeißes zu werden.

Hallo,

So genau wurde ich ja schon lange nicht mehr bei meinem Namen angesprochen!

Willkommen bei SumUp! Bevor Sie mit dem Akzeptieren von Zahlungen beginnen, nehmen Sie sich bitte einen kurzen Moment Zeit, um Ihr Konto zu verifizieren.

Haben die Spammer diesen Absatz aus einer echten Mail von SumUp übernommen? Er klingt schon sehr nach einem Neukunden, der die ersten Einrichtungsschritte machen soll.

So stellen wir sicher, dass Ihre Transaktionen geschützt sind und alle EU-Vorgaben erfüllt werden.

Dieser Bullshit kommt allerdings eher aus der blühenden Fantasie eines Trickbetrügers. Ein Unternehmen, das Zahlungsabwicklung als technische Dienstleistung anbietet, wird ganz sicher nicht den Schutz der Transaktionen und die Einhaltung von gesetzlichen Regelungen in Frage stellen, sondern dafür sorgen, dass das wie unausgesprochene Selbstverständlichkeit erscheint. 😅️

Ich schreibe ja auch nicht in Unser täglich Spam, dass die Website frei von Schadsoftware ist und sicherstellt, die gesetzlichen Regelungen in der Bundesrepublik Deutschland einzuhalten. Da kriegen die Leute ja Angst, wenn man glaubt, so etwas betonen zu müssen! 👻️🤭️

Die Verifizierung ist erforderlich, um Ihr Konto zu aktivieren und die Zahlungsabwicklung freizuschalten.

Ganz schlecht formuliertes Phishing. Das klingt wieder sehr nach Neukunde. Ich tippe mal darauf, dass in der Betrügerbande niemand Deutsch kann.

Mein Konto verifizieren

Der Link geht natürlich nicht zu SumUp, und er ist auch nicht direkt gesetzt:

$ location-cascade https://sddlbd.net/pal
     1	https://sddlbd.net/pal/
     2	https://www.lightofhopeindia.com/de/sumup
     3	https://www.lightofhopeindia.com/de/sumup/
$ _

So so, das Licht der Hoffnung für Indien. 🤣️

Wo der Link hingeht, sieht man übrigens in der Statuszeile seiner Mailsoftware, wenn sich der Mauszeiger über dem Link befindet, ohne dass man klickt. Dieses sddlbd sieht nicht einmal so ähnlich wie SumUp aus. Es sage also niemand, dass man nicht gewarnt ist!

Falls der Button nicht funktioniert, kopieren Sie bitte diesen Link und fügen Sie ihn in Ihren Browser ein:

Fehlt dahinter nicht irgendwas? Zum Beispiel der Link? Wenn ich „Mein Konto verifizieren“ kopiere und in meinen Browser einfüge, komme ich sicherlich nicht zum Ziel. (Dafür müsste ich im Kontextmenü des Links so etwas wie „Linkadresse kopieren“ auswählen.) Ich habe ja schon geschrieben, dass ich glaube, dass in dieser Betrügerbande niemand Deutsch kann.

Die Phishing-Seite neben dem Licht der Hoffnung für Indien, auf der man zu guter Letzt landen soll, sieht übrigens so aus:

Die Zugangsdaten, die man dort eingibt, und alle weiteren Daten, mit denen man anschließend sein Konto „verifiziert“, gehen direkt zu Trickbetrügern. Um zu sehen, dass man nicht bei SumUp ist, reicht es völlig, einmal in die Adressleiste seines Webbrowsers zu schauen.

Noch schlauer ist es allerdings, nicht und niemals in eine E-Mail zu klicken, denn dann kann einem kein Trickbetrüger so leicht einen giftigen Link unterschieben. Stattdessen ein Lesezeichen im Webbrowser anlegen. Wenn dann einmal so eine „komische Mail“ kommt und man unsicher wird, einfach die Website klicki-klicki über das Lesezeichen aufrufen und sich dort wie gewohnt anmelden (hoffentlich mit einem guten Passwortmanager und zugehörigem Browser-Plugin)! Wenn man dort dann keinen Hinweis auf das Problem sieht, das in der Mail behauptet wurde, hat man einen dieser gefürchteten Cyberangriffe abgewehrt, einen Schaden in der Größenordnung einiger tausend bis zehntausend Euro verhindert und sich jahrelangen Ärger erspart, weil das von Betrügern übernommene Konto nicht für Betrugsgeschäfte aller Art missbraucht wurde. So einfach geht das! Einfach niemals in E-Mails klicken! Macht das! 🛡️

Ja, ich weiß selbst, dass es etwas abrupt ist, aber die Spam ist hier schon am Ende. Ohne Gruß und… vor allem… ohne das für gewerbliche E-Mail im Rechtsraum der Bundesrepublik Deutschland obligatorische E-Mail-Impressum. Ist es nicht schön, wie alle rechtlichen Vorgaben eingehalten werden? 😁️

Dieses spezielle Phishing als Spam zu erkennen, ist zum Glück sehr einfach und erfordert keine technischen Kenntnisse, und ich glaube nicht, dass viele darauf reinfallen. Aber man hat nicht immer das Glück, dass Betrüger so dumm sind.

Wichtig, Servicekommunikation (REF-ID: 9596873921575)

Samstag, 6. Dezember 2025

Schon dieser Betreff quietscht vor Wichtigkeit. Da ist eine völlig unverständliche Nummer drin, das muss ja eine wichtige Mail sein. 😁️

Von: VоІksbаnk <admin60586@energie.co.id>
An: undisclosed-recipients:;

Diese Spam ist nicht persönlich, sondern geht an ganz viele Empfänger gleichzeitig. Deshalb steht meine Mailadresse nicht als Empfänger drin. Und die Mailadresse des Absenders in der TLD Indonesiens sieht auch nicht gerade nach der Volksbank aus.

Möchten Sie Ihr VоІksbаnk-Konto aktiv halten?

Aber ich habe gar kein Konto.

Sehr geehrte Kundin, sehr geehrter Kunde,

Genau mein Name!

Mit dieser Mitteilung teilen wir Ihnen mit, dass Ihr Online-Banking-Profil aus Sicherheitsgründen deaktiviert wurde.

Die neuen Regelungen verlangen von Kontoinhabern in regelmäßigen Abständen eine kurze „Bestätigung“ ihrer aktuellen Angaben als Maßnahme gegen unbefugte „Kontonutzung“ und „Geldwäsche“.

Um unsere Dienste weiterhin wie gewohnt nutzen zu können und eine drohende Schließung Ihres Kontos und Ihrer Karte zu vermeiden, tun Sie dies bitte umgehend.

Hinweis: Ohne Bestätigung kann der Zugriff auf bestimmte Funktionen vorübergehend eingeschränkt werden.

Jetzt prüfen

Wer da klickt, hat verloren. Wenn ich also einfach regelmäßig sage, dass meine Lügen bei der Kontoeröffnung stimmen – vielleicht gibt es ja Kriminelle, die sich daran nicht mehr erinnern können – dann hilft das gegen unbefugte Kontonutzung und gegen Geldwäsche, natürlich beides in Anführungszeichen, als gäbe es die Kriminalität in Wirklichkeit gar nicht. Nun, das hilft überhaupt nicht. So ein Schwachsinn würde nicht einmal der Bundesregierung oder der Europäischen Union einfallen. Einmal ganz davon abgesehen, dass die Geldbeträge, mit denen ich es so zu tun habe, noch nie so eklige Wörter wie „Geldwäsche“ gehört haben.

Der Link…

$ lynx -dump "https://www.baidu.com/link?url=FW6JNQb5O-h5P4NXSJ-VClQ1muu7N-8aljS5_MPLy4QIvTQFowPaNUUp7IQ8EXiv&wd=&eqid=8002a42d00da6d720000000669331b9d"
   REFRESH(0 sec): [1]https://starbreakersentertainment.com/

Verweise

   1. https://starbreakersentertainment.com/
$ _

…führt natürlich nicht zur Volksbank, sondern zu Baidu, einer großen und wegen der MP3-Suche auch außerhalb Chinas beliebten chinesischen Suchmaschine, deren Weiterleitungen hier missbraucht werden. Von dort geht es in eine lustige Domain, die ich gerade erst hatte, ebenfalls für Phishing auf Volksbank-Kunden. Inzwischen scheinen die Trickbetrüger aber jemanden gefunden zu haben, der ein bisschen deutsch kann. Deshalb sieht die Spam nicht mehr ganz so peinlich und unfreiwillig komisch aus.

Zum Glück kann man sich ganz einfach vor Phishing schützen, einer der häufigsten Formen des Trickbetrugs im Internet: Niemals in eine E-Mail klicken! Dann kann einem nämlich kein Betrüger einen giftigen Link unterschieben. Stattdessen für Websites, bei denen man ein Konto hat, Lesezeichen im Webbrowser anlegen und diese Websites nur noch über das Lesezeichen aufrufen. Wenn man so eine Mail „von der Volksbank“ bekommt und sich nicht sofort sicher ist, dass es sich um eine Spam handelt: Einfach die Website seiner Bank über das Lesezeichen aufrufen und sich dort wie gewohnt anmelden. Wenn man danach keinen Hinweis auf das Problem sieht, das in einer E-Mail behauptet wird, hat man einen dieser gefürchteten Cyberangriffe abgewehrt und eine Menge Geld und Ärger gespart. So einfach geht das. Macht das! 🛡️

Mit freundlichen Grüßen,

Ihr VоІksbаnk-Team
VоІksbаnkеn Raiffeisenbanken ℗ Alle Rechte vorbehalten

Löschen und gut! 🗑️

Neue Update (VR-211726605)

Donnerstag, 4. Dezember 2025

Oh, schön, eine Nummer im Betreff. Ist kryptisch und für jeden Empfänger unverständlich, muss also voll wichtig sein. 🤭️

Dieser Phishingversuch ist beinahe schon etwas für die Kategorie „Zu dumm zum Spammen“. Angeblich schreibt hier die…

Von: VоІksbаnkеn-VR <8t2rcvts@csure.taxi>
An: undisclosed-recipients:;

…virtuelle Realität der Volksbanken. Vermutlich fährt die gerade Taxi und isst dabei eine Buchstabensuppe. 😂️

s

Ja?

Sehrgeehrter Kunde,

Ah!

Unser neues VR-Dashboard, das dieses Jahr eingeführt wurde, bietet unseren Kunden ein flüssigeres und besseres Erlebnis.
Wir freuen uns, Ihnen unser neues Sicherheitssystem vorzustellen, das Ihre Sicherheit garantiert.
Wir möchten, dass Sie mit dieser neuen Funktion fortfahren, um Ihre Sicherheit zu gewährleisten, indem Sie dem unten stehenden Link folgen

weitere Informationen

Oh, was für eine schöne Domain für den Link!

$ surbl starbreakersentertainment.com
starbreakersentertainment.com	okay
$ _

Diese Domain steht noch nicht einmal auf den Blacklists. Es kommt wohl erst noch. Und das, obwohl man sofort an deutsche Banken und seriöse Geldgeschäfte denkt, wenn man nur die Domain des Links sieht. 🤭️

Danke für Ihre Aufmerksamkeit.

Danke für den pseudohöflichen Dank für Nichts. Bei mir darf auch jeder mal lecken!

Oh, da kommt ja nach über hundert Leerzeilen noch etwas:

there,

Here’s your login code for MoonPay:

837083

This code is valid for 5 minutes. Never share it with anyone.

Not trying to log in?

You can safely ignore this email. We‘re sorry for the spam though.

Thanks,
The MoonPay Team

This service is powered by Eighteenth September Ltd, Suite 108, Premier Building, Victoria, Mahe, The Republic of Seychelles. Visit us at moonpay.com.

Tja, diese lustige Spamprosa hat auch nicht geholfen, die Spam am Spamfilter vorbeizumogeln. Aber dafür sieht jetzt wenigstens etwas an dieser Spam nach Geldgeschäften aus. 😄️