Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Kategoriearchiv „Phishing“

Postbank Mitteilung

Donnerstag, 30. März 2017

Postbank

Aufgrund einer Verletzung in unserem System Ich sperrte vorubergehend alle Konten.

Mitteilung ist: hier klicken.

Ja, ist ja schon gut! Nimm deine Tabletten!

Man konnte es vielleicht schon an der patzigen Sprache bemerken: Natürlich kommt diese Spam nicht von der Postbank, und das „Click here“ führt nicht auf eine Website in der Domain der Postbank, sondern…

$ lynx -mime_header http://baj9lnrt.bbc.5starfranchise.com/sk/bmFjaHR3YWVjaHRlckB0YW1hZ290aGkuZGUgCg== | grep -i '^Location'
location: http://banking.postbank.online.login.de.sta.postbank.de.rai.login.pss.nydl.net/rai/logint
$ _

…in eine vorsätzlich irreführende Subdomain von nydl (punkt) net. Dort bekommt man Gelegenheit, auf einer „liebevoll“ (und im Gegensatz zur Phishing-Spam überzeugend) gemachten Postbank-Website den Verbrechern in einem ersten Schritt die Anmeldedaten zum Postbank-Konto zu geben:

Screenshot der Phishing-Seite: Anmeldedaten

Die eingegebenen Anmeldedaten werden – anders als bei schlecht gemachtem Phishing – gleich nach der Eingabe überprüft, so dass meine schnell ausgedachten Fantasiedaten leider nicht akzeptiert wurden. Deshalb kann ich auch keine Screenshots der folgenden Schritte geben, in denen sicherlich alle möglichen persönlichen Daten und Kontoinformationen abgefragt werden, damit die Betrüger fortan die Identität, das Konto und die Kreditkarte anderer Menschen für ihre betrügerischen „Geschäfte“ missbrauchen können.

Die Phishing-Website sieht sehr überzeugend aus, und die angezeigte Adresse in der Adressleiste des Browsers beginnt mit banking (punkt) postbank (punkt) online, was für den oberflächlichen Blick technisch ahnungsloser Menschen ebenfalls überzeugend aussehen kann. Allerdings haben sich die Betrüger kein TLS-Zertifikat besorgt, so dass ein aktueller Firefox vor der Dateneingabe für eine unverschlüsselte Datenübertragung warnt – in folgenden Phishzügen der gleichen Bande wird diese Nachlässigkeit sicherlich korrigiert.

Ich gehe davon aus, dass sehr viele Menschen nach dieser Präsentation des Phishings keinen Zweifel daran entwickeln werden, dass sie sich auf der Website der Postbank anmelden und dementsprechend arglos auch (mit technischen Problemen oder der Sicherheit begründete) überflüssig und sinnlos erscheinende Eingaben machen, wenn sie nur dazu aufgefordert werden.

Tatsächlich gibt es nur einen sicheren Schutz gegen Phishing, wie ich bereits gestern anmerkte: Niemals in eine E-Mail klicken, sondern die Website der Bank immer über ein Browser-Lesezeichen aufrufen. Das ist nicht einmal ein Komfortverlust, aber es kann leicht einen mehrjährigen Ärger ersparen, der entsteht, wenn Konto und Identität für gewerbsmäßigen Betrug verwendet wurden und man dies immer wieder Polizeien, Inkassounternehmen, Anwälten, Untersuchungsrichtern sowie der Schufa und vergleichbaren Auskunfteien in teils zermürbendem Schriftverkehr mitteilen „darf“. In den ersten Verdacht und den „Genuss“ der Strafanzeige gerät nun einmal stets derjenige, dessen Anschrift und Konto verwendet wurden, und dieser Verdacht muss für hunderte von Straftaten immer wieder vor Ermittlern und Unternehmen ausgeräumt werden. 🙁

Und genau deshalb sollten sie niemals in eine E-Mail ihrer Bank klicken, um sich gar nicht erst in diese Gefahr zu bringen. Und auch nicht in eine E-Mail von Amazon, eBay, PayPal, einem Onlinehändler, Facebook, Google oder Twitter. Die Letzteren sind immer noch beliebt bei Phishern, weil sie sich mit einem Facebook-, Google- oder Twitter-Login häufig an sehr viele andere Websites anmelden können und dort mit der Reputation anderer Leute Spam für kriminelle Angebote verbreiten und Betrügereien einleiten können. Natürlich werden durch gephishte Social-Media-Accounts auch fiese personalisierte Betrugsnummern der Marke „Ich sitze hier in Madrid fest, habe kein Geld, kein Zimmer, alles geklaut, kannst du mir bitte ganz schnell dreihundert Euro über Western Union schicken, damit ich hier wieder wegkomme, kriegst du auch am Ersten wieder zurück“ möglich, die überraschend oft erfolgreich sind. Selbst eher oberflächliche Bekannte lässt man nicht gern im Stich, wenn sie übel in der Scheiße hängen.

Wichtige Kundendurchsage

Mittwoch, 29. März 2017

Vorab: Diese E-Mail kommt nicht von der Sparkasse. Es ist eine Spam. Die Sparkasse schreibt solche E-Mails nicht. Der Absender…

Von: Sparkassen-Finanzgruppe <noreply-65454@sparkassen-finanzgruppe.de>

…ist gefälscht. Nicht darauf oder auf ähnliche Spam reinfallen! Alle Daten, die nach einem Klick auf der verlinkten Website eingegeben werden, gehen an Kriminelle, nicht an die Sparkasse.

Sparkasse Finanzgruppe
Wichtige Kundendurchsage
Datum: 26.03.2017

[Die Spam ist vom letzten Sonntag, also schon drei Tage alt.]

Hui, eine „Kundendurchsage“. Da fühlt man sich ja wie im Supermarkt, wenn das konsumfördernde Bandgedudel von einer scharfen und deutlich lauteren Stimme unterbrochen wird: „Bitte beachten sie auch unser Frischfleischangebot des Tages“ nebst Ansage der verbilligten Preise für das Gammelfleisch, das gerade ganz schnell raus muss.

Genau die Vorstellung, die an eine Sparkasse erinnert.

Und, was wird jetzt durchgesagt?

Guten Tag Vorname Nachname,

Erstmal der Name. Im Original stand hier der Vorname und der Nachname des Empfängers. Was dort allerdings nicht stand, war die Kontonummer, um die es geht – denn gar nicht so wenige Menschen unterhalten mehrere Bankkonten. Aber woher sollte der Spammer eine Kontonummer wissen? Die ist doch bei den großen Datenschleudereien der letzten Jahre nicht bekannt geworden. Also kann er keine Kontonummer nennen.

Merke: Wenn ein Kreditinstitut eine Mitteilung zu einem Konto macht, dann steht immer die betreffene Kontonummer dabei. Wenn die Kontonummer nicht erwähnt wird, handelt es sich entweder um Spam oder um Reklame ihres Kreditinstitutes, also um dumme Kommunikationsversuche, die ohne weitere geistige Anstrengung und Lebenszeitvergeudung gelöscht werden können.

in den nächsten Tagen erfolgt eine Aktualisierung unserer Sicherheitsnetzwerke bezüglich des Online-Bankings.

Schön, aber was habe ich damit zu tun? Die Herstellung der Sicherheit ist genau so eine Angelegenheit der Bank wie der Aufbau und die Unterhaltung von Filialen und die technische Vorsorge, dass man sich am Geldautomaten nicht mit einem kleinen Trick den Jackpot im Form einer zügigen Ausgabe sämtlicher bunter Läppchen ziehen kann. Der Kunde bekommt von solchen Dingen nichts mit. Warum auch? Er hat ja auch nichts damit zu tun.

Dabei wird insbesondere die Gewährleistung Ihrer Sicherheit eine große Rolle spielen.

Schön, aber was habe ich damit zu tun? Ach, ich wiederhole mich. 😉

Damit die Aktualisierung allerdings bei Ihnen ausgeführt werden kann, ist eine Bestätigung Ihrer Daten erforderlich, um die Sicherheitsstandards zu erfüllen.

Aha, das funktioniert jetzt angeblich nur, wenn ich gegenüber der Spaßkasse Daten „bestätige“, die die Spaßkasse längst hat. Es ist der Spaßkasse nicht möglich gewesen, sich selbst darum zu kümmern, obwohl die Daten bei der Spaßkasse vorliegen. Und es ist völlig unklar, bei wem dadurch welcher „Sicherheitsgewinn“ entstehen soll, denn es ändert sich ja nichts an der Datenhaltung der Spaßkasse, wenn man dort längst bekannte Daten noch einmal eingibt.

Diese völlig unlogisch klingende und von einem Menschen mit nur durchschnittlichem technischen Verständnis als lachhaft empfundene Behauptung der Spaßkasse ist der klassische Bullshit-Grund, den Phisher in ihren Spams anführen, um den Empfängern zu erklären, warum sie jetzt ihre ganzen Bankdaten noch einmal in einer Website angeben sollten.

Wir leben zurzeit im Jahr 2017. Die erste derartige Phishing-Spam auf Bankkonten mit Online-Banking habe ich in der ersten Hälfte der Nuller Jahren gesehen. Dieser internetgetriebene Trickbetrug hat einen enormen Bart. Es ist eigentlich kaum zu glauben, dass noch jemand darauf hereinfällt – aber ich habe erst vor ein paar Wochen einen rd. sechzigjährigen Mann durchschnittlicher Intelligenz (also wahrlich kein Dummkopf!) erlebt, der in diesem Jahr auf eine derartige Phishing-Spam hereingefallen ist und der Organisierten Kriminalität neben den für einen kriminellen Identitätsmissbrauch hinreichenden persönlichen Daten einen vollen Zugriff auf sein Postbank-Konto gegeben hat. Er hatte tatsächlich vorher nicht ein einziges Mal vom Phishing und den dabei angewendeten Methoden gehört. Sicher, wenn er auf der Postbank-Website danach gesucht hätte, hätte er auch deutliche, allgemeinverständlich formulierte Hinweise in einer Übersicht technischer Begriffe gefunden [Dauerhaft archivierte Version der verlinkten Seite in der Postbank-Website]. Aber: Das Wort war für ihn ein Fremdwort, das er noch nie gehört hatte, bis er selbst zum Opfer der Kriminellen wurde. Wie hätte er auf die Idee kommen sollen, danach zu suchen?

Die Überheblichkeit der „Wissenden“ ist hier völlig fehl am Platze. Besser wären Versuche, jene zu erreichen, die noch nicht wissen. Versuche die man so lange wiederholt, bis jeder weiß, was Phishing ist und wie man sich davor schützt. Die Postbank scheint sich keine besondere Mühe gegeben zu haben, ihn als ihren Kunden darüber aufzuklären (zum Beispiel mit einer kleinen Broschüre, die zusammen mit der normalen Post immer wieder an alle Kunden versendet wird und die von ihrem Design her nicht nach müllwürdiger Reklame mit hochglanzlächelnden Glücksmotiven zum Postbank-Gelb, sondern nach wichtiger, Aufmerksamkeit erfordernder, lesenswerter Information aussieht). Vom Journalisten erwarte ich ja gar nicht mehr, dass er sich im mies bezahlten Ringen um contentindustrielle Werbeplatzvermarktung auch noch um die lebenspraktische Bildung seiner Leser bemüht, aber ein Kreditinstitut dürfte enorme Verluste durch den internetgetriebenen Betrug aller Art haben und sollte allein deshalb ein deutliches Eigeninteresse entwickeln.

Für die Verbrecher ist diese Passivität derer, die eigentlich ein Interesse an der Bekämpfung des Phishings haben müssten, ein unglaublicher Glücksfall. Sie können auch im Jahre 2017 immer noch ein paar Millionen Spams versenden und sich darauf verlassen, das sie hinterher zwanzig bis dreißig Bankkonten und Identitäten anderer Menschen für ihre Betrugsgeschäfte zur Verfügung haben. Die angebliche „Aufklärung“ der Kunden ist ein Feigenblatt, das nur jene erreicht, die schon ein gewisses Wissen um kriminelle „Geschäftsmodelle“ aus anderer Quelle erworben haben.

Klicken Sie diesbezüglich bitte auf die untenstehenden Fläche.
Sie werden daraufhin zu einer sicheren Seite der Sparkassen AG weitergeleitet. Weitere Schritte werden Ihnen auf der Seite mitgeteilt.

Zum Online-Banking

So so, „diesbezüglich“. Ein schönes Wörterbuch hat er, der Phisher.

Dieser – hier mit einem „Click here“ eingeleitete – Teil ist das wichtigste Erkennungszeichen für Phishing. Es soll auf einen Link in einer E-Mail geklickt werden (manchmal auch ein Anhang einer E-Mail geöffnet und ausgefüllt werden), um anschließend irgendwelche Daten zu „bestätigen“.

Genau das sollte man NIEMALS tun!

Wenn man es sich angewöhnt, die Website seiner Bank niemals über einen Link aus einer E-Mail aufzurufen, sondern sie immer direkt im Browser öffnet, kann man gar nicht auf Phishing hereinfallen. Die Webbrowser haben dafür praktische Lesezeichen, so dass man die URL seiner Bank nicht immer wieder von Hand eingeben muss.

Wenn man nach Empfang einer derartigen Mail – und es gibt Phishing-Mails, die deutlich besser als die hier vorliegende gemacht sind – die Website seiner Bank im Browser aufruft und sich dort wie gewohnt anmelden kann, ohne irgendeinen Hinweis zu sehen, dass man etwas tun muss, hat man einen Betrugsversuch erfolgreich abgewehrt. Wenn ein solcher Betrugsversuch gelingt und es auch zu einem Missbrauch der Identität durch die Verbrecherbanden kommt, kann das dem Betroffenen leicht mehrere Lebensjahre mit allerlei Ärger verhageln. Denn die Polizei schläft nicht, und wer als erstes ermittelt wird und nach einer Anklage wegen Betruges als Beschuldigter zur Aussage anreisen muss, ist klar: Der, dessen Name, Anschrift, Konto und Geburtsdatum verwendet wurde. Nebenbei darf man sich dann auch noch mit der Schufa streiten. Und mit allerlei Anwälten und Inkasso-Klitschen, die beidesamt sehr scharfe Briefe schreiben. Und dass es im Rahmen von Ermittlungen in Sachen gewerbsmäßiger Computerbetrug auch einmal zu einer Durchsuchung und Beschlagnahme von Geräten am Arbeitsplatz kommt und dass man das dann anschließend seinen Kollegen und seinem Chef erklären darf, ist gar nicht so selten. 🙁

Niemand will diese Art von Ärger. Deshalb ruft man die Website seiner Bank (und die von eBay, Amazon, PayPal und dergleichen) niemals auf, indem man in eine E-Mail klickt.

Der persönliche Aufwand, den man mit dieser sehr einfachen Vorsichtsmaßnahme hat, ist beinahe gar keiner: Man muss nur einmal die Startseite seiner Bank als Lesezeichen im Webbrowser speichern, fortan dieses Lesezeichen verwenden und um jeden Preis vermeiden, in E-Mails zu klicken, die aussehen, als kämen sie von der Bank. Es ist nicht einmal ein Komfortverlust. Aber es ist ein riesiger Sicherheitsgewinn – der sogar noch in solchen Fällen wirkt, wenn die Website der Bank einmal eine üble XSS-Sicherheitslücke haben sollte, die es Verbrechern ermöglicht, über einen präparierten Link eigenen Code im Kontext der Website der Bank auszuführen. (Nein, das ist keine rein theoretische Gefahr, sondern es ist schon einmal passiert.)

Und auch, wenn Wissende darüber lachen, sage ich es hier lieber noch einmal ganz deutlich: Antivirus-Programme helfen nicht gegen Phishing. Es gibt im Phishing keinen Schadcode, der eine Gefahr für die Computersicherheit darstellt. Phishing zielt nicht auf den Computer, sondern auf die Psyche, das Unwissen, die Unsicherheit oder die Angst des Anwenders.

Vielen Dank für Ihre Geduld und Ihr Verständnis in dieser Angelegenheit.

Vielen Dank für den pseudohöflichen Dank für Haltungen, die ich nicht habe. Vor meinem Arsch ist auch kein Gitter!

Diese E-Mail wurde automatisch generiert. Bitte antworten Sie nicht darauf.
Beachten Sie bitte, dass Ihre Mitteilung an uns via E-Mail nicht verschlüsselt wird.

Natürlich wurde die Spam automatisch generiert. Und ein paar Millionen weitere davon. Und natürlich ist eine E-Mail, die man nicht explizit selbst verschlüsselt, unverschlüsselt. Das heißt, dass sie…

Eine Kenntnisnahme durch Dritte ist daher nicht auszuschließen.

…jeder mitlesen (und sogar verändern) kann, weil sie offen wie eine Postkarte durch das Internet befördert wird. Dass Kreditinstitute mit ihrem doch etwas vertraulichen Geschäftsfeld auch im Jahre 2017 immer noch nicht dazu imstande sind, einen PGP-Schlüssel für die E-Mail-Kommunikation mit ihnen zu hinterlegen, ist auch so ein Hassthema von mir. Niemand würde einen Kontoauszug auf einer Postkarte akzeptieren, niemand würde eine Anfrage nach einem Beratungsgespräch wegen eines Darlehens oder einer Geldanlage auf einer Postkarte verfassen. Aber genau das muten Banken – und zwar nach meinem Kenntnisstand: Sämtliche Banken in der Bundesrepublik Deutschland – ihren Kunden bei der E-Mail-Kommunikation mit Bankmitarbeitern zu.

© 2017 Sparkassen-Finanzgruppe GmbH

Urheberrecht auf eine E-Mail. Fast so wertvoll wie ein kleines Steak. :mrgreen:

Handelsregisternr. HRB 91513B | USt-ID DE 214205098

Natürlich hatte die Sparkasse mit dieser Spam nichts zu tun.

Diese aktuelle Phishing-Spam ist ein Zustecksel meines Lesers B.S.

Sehr gutes Paypal-Phishing

Montag, 27. März 2017

Keine Spam, sondern eine Warnung des LKA Niedersachsen zu einer derzeit „umlaufenden“ Phishing-Spam (die „leider“ noch nicht bei mir angekommen ist):

Eigentlich müsste man den Hut vor der Leistung der Cyberkriminellen ziehen. Die Phishingmail und die zugehörige Webseite sind optisch sehr gut gefälscht und können den einen oder anderen Empfänger schnell dazu verleiten, dem Link „Konto bestätigen“ zu folgen und die geforderten Daten einzugeben

Weiterlesen beim Ratgeber Internetkriminalität der niedersächsischen Polizei

Systemaktualisierung – Vorname Nachname

Montag, 20. März 2017

Im Betreff stand der richtige Vorname und Nachname des Empfängers.

Von: „Volksbank.de“ <soerenvogel@online.de>

Ja ja, mal wieder eine „Bank“, die keine eigene Domain für ihre E-Mail hat. Warum sollte der Spammer sich auch Mühe bei seinem Phishing geben. Wenn er sich Mühe geben wollte, könnte er ja gleich arbeiten gehen.

Diese Spam enthält keinen Text. Sie besteht nur aus einer eingebetteten Grafik, und diese sieht so aus:

Volksbanken / Raiffeisenbanken -- Sehr geehrte Damen und Herren, in letzter Zeit kam es vermehrt zu sicherheitsrelevanten Problemen in Verbindung mit Kundendaten. Daher sind wir verpflichtet, entsprechende Maßnahmen zu ergreifen. Um die Sicherheit ihres Kundenkontos auch weiterhin gewährleisten zu können, bitten wir Sie ihre Kundendaten zu aktualisieren. -- Nach Abschluss des Vorgangs befindet sich ihr Kundenkonto automatisch auf dem aktuellen Stand der Sicherheitsbedingungen nach §§ 12-20 des Bundesdatenschutzgesetzes -- [Fortfahren] -- Vielen Dank für Ihr Verständnis -- Dies ist eine automatisch generierte Nachricht, bitte antworten Sie nicht auf diese E-Mail. -- Werbung -- Bundesverband der Deutschen Volksbanken und Raiffeisenbanken e.V. (BVR) / Schelligenstraße 8 / 10785 Berlin / Telefon / Telefax

Die gesamte Grafik ist verlinkt, also anklickbar. Der Link geht auf den URL-Kürzungsdienst von Google. Spätestens daran sollte jeder bemerken, dass es sich nicht um eine Mail von einer richtigen Bank handelt, denn warum sollte die auch einen indirekten Link setzen.

$ location-cascade https://goo.gl/8V3uLO
301	https://goo.gl/8V3uLO
302	http://331wte0aks.party/?l=c9Dz8U
Found	https://banking.de.volksbank-DJNKLVCVSF-volksbank.ru
$ _

So weit die gewöhnliche Alltagskost des Spamgenießers. Jetzt einmal etwas, was ich nicht so oft erlebe

$ lynx -mime_header https://banking.de.volksbank-DJNKLVCVSF-volksbank.ru | grep '^Location'
Location: banking-privateentry.php?entry=16YHFpxhnuPCN24Kgqf8ys73RevitI&trackid?=1sXr0nAcx2SwLfCYzTNZ
$ _

Eine lokale Weiterleitung, die mich dann endlich zum Ziel bringt und mich mit dem neuesten Schrei des Phishings auf Volksbank-Kunden bekannt macht – aber genau in diesem Moment ist der Webserver der Phisher vom Netz gegangen. 🙂

Offenbar hat der Hoster keine Lust auf die kriminellen Machenschaften seines Kunden gehabt. Da scheint wohl auch jemand anders die Spam „behandelt“ und schließlich gemeldet zu haben. Gut so! Das erspart einigen hundert naiven Menschen, dass ihre Konten geplündert, ihre Kreditkarten von gewerbsmäßigen Betrügern benutzt und ihre persönlichen Daten bei Betrugsgeschäften aller Art angegeben werden – vor allem der Identitätsmissbrauch kann einem Menschen mehrere Jahre seines Lebens verhageln.

Ich wünsche der russischen Polizei viel Erfolg dabei, die Betrügerbande dingfest zu machen! Leider wird sie wohl zunächst einen Menschen ermitteln, dessen Identität und Kreditkarte von Betrügern missbraucht wurden… 🙁

Diese Spam ist ein Zustecksel meines Lesers M.S., der dazu trocken anmerkte, dass er „so viele Konten“ hat, dass er eine App brauchte, um sie alle verwalten zu können…

Daten bestätigen – Überprüfung

Donnerstag, 2. März 2017

PayPal
Regelmäßige Überprüfung

Ja, stimmt! So etwas kommt regelmäßig. Alle paar Tage überprüfen die Spammer, ob inzwischen wieder ein paar neue Leute auf das alte Phishing reinfallen. Die Spam kostet ja auch nichts.

Guten Abend,

Natürlich weiß der Absender – im Gegensatz zum richtigen PayPal – nicht, wie der Empfänger heißt¹. Aber immerhin weiß er ungefähr, welche Tageszeit ist.

zu Ihrer Sicherheit führen wir regelmäßig eine Verifizierung ihrer Daten durch.

Das ist ja nett. Und was habe ich damit zu tun?

So können wir feststellen, dass Sie auch wirklich der Kontoinhaber sind und kein Unberechtigter Ihre Bankdaten benutzt.

Ich sage ja: Das ist nett. Aber wie wollen die jetzt feststellen, dass wirklich ich es bin und nicht Hänschen Unberechtigt aus der Spammer-Krabbelgruppe nach dem Grundkurs „Phishing auf dem Pisspott“? Und warum drohen die mir in diesem Zusammenhang subtil an…

Bis zur Bestätigung besteht ein Sende- und Abbuchungslimit.

…dass ich nicht mehr an mein Geld komme, bis ich endlich aktiv werde, statt mich ganz normal wegen eines regelmäßigen Prüfungskrams anzusprechen?

Nun, die Antwort ist wie immer verblüffend einfach:

  1. Das ist nicht PayPal.
  2. PayPal versendet solche Mails nicht. Das ist eine Spam.
  3. Alles, was in dieser Spam steht, ist Bullshit, der nur geschrieben wurde, um die Empfänger zu überrumpeln, damit diese den Absendern ihre Zugangsdaten geben.

Aber sonst wäre die Spam ja auch nicht hier gelandet. 😉

So bestätigen Sie Ihre Daten in nur wenigen Minuten:

Wer also wieder an sein Geld kommen will, sollte folgende Dinge tun, die nicht einmal besonders viel Zeit kosten:

1
Loggen Sie sich auf paypal.de in Ihr [sic!] Account ein.

In die Spam klicken. Das ist eine HTML-formatierte Spam. Der Text paypal.de ist nicht mit der Domain paypal (punkt) de verlinkt, sondern mit einer Subdomain der Domain tcl (punkt) at. Diese hat nichts mit PayPal zu tun und steht unter der Kontrolle irgendwelcher anderer Gestalten.

Übrigens: Wer sich angewöhnt, niemals in eine E-Mail zu klicken, sondern Websites immer über ein Lesezeichen in seinem Webbrowser aufzurufen, kann auf kein noch so gut gemachtes Phishing reinfallen (und es gibt besseres Phishing als dieses Beispiel). Denn natürlich würde nach einem ganz normalen Login beim richtigen PayPal schnell klar, dass alles wie gewohnt funktioniert, kein Hinweis angezeigt wird und der ganze Unsinn aus der Spam gegenstandslos ist.

Das Beste an dieser sehr einfachen Vorsichtsmaßnahme unter Verwendung des Gehirnes: Sie kostet kein Geld, braucht keine Signaturupdates, legt niemals den Rechner lahm und wirkt völlig zuverlässig gegen Phishing.

2
Sie werden automatisch weitergeleitet.

In der Tat:

$ lynx -mime_header http://s.tcl.at/K | grep '^Location'
Location: http://paypa.l-de-signin-lang-ger.info
$ _

Es geht in eine Subdomain der ausgesprochen unhandlich benannten Domain l (strich) de (strich) signin (strich) lang (strich) ger (punkt) info, bei der man nur durch Hinschauen bemerkt, dass sie mit der Absicht des Phishings eingerichtet wurde. Dies geschah übrigens erst vorgestern…

$ whois l-de-signin-lang-ger.info | grep '^Creation'
Creation Date: 2017-02-28T18:26:23Z
$ whois l-de-signin-lang-ger.info | grep '^Registrant' | sed 5q
Registrant Name: WhoisGuard Protected
Registrant Organization: WhoisGuard, Inc.
Registrant Street: P.O. Box 0823-03411
Registrant City: Panama
Registrant State/Province: Panama
$ _

…und wie gewohnt vollständig anonym unter Benutzung eines Dienstleisters aus dem schönen, sonnigen Panama. Diese Entscheidung der Spammer wurde dadurch motiviert, dass Handschellen immer so eine lästige Einschränkung der Bewegungsfreiheit sind.

3
Folgen Sie den Anweisungen.

Zur Legitimierung

Nun, wer das tut, dort seinen PayPal-Login benutzt und anschließend lauter Daten noch einmal eingibt, die PayPal schon längst kennt, gibt Kriminellen einen Zugriff auf sein PayPal-Konto und hat den Schaden.

Zugangsdatum: 21:49:20 01.03.2017

Eine völlig überflüssige Angabe, denn Datum und Uhrzeit stehen bereits im Mailheader.

Sicherheitshinweis: Sie erkennen Spoof oder Phishing-E-Mails oftmals schon in der Anrede.

Vor allem erkennt man Phishing-Mails daran, dass irgendwelche beim Absender schon längst bekannte Daten „verifiziert“ werden sollen, indem in die E-Mail geklickt wird. Deshalb kann man sich auch so einfach davor schützen, indem man sich angewöhnt, niemals in eine derartige Mail zu klicken. (Und ja, die können auch viel besser gemacht sein als dieses Beispiel.)

Diese Benachrichtigung wurde an xxx@example.com² gesendet, weil Sie in Ihren E-Mail-Einstellungen unter „Benachrichtigung“ den Erhalt aktiviert haben. Bearbeitungsnummer: PP-759xxxx

Diese E-Mail ging an die Mailadresse, die im Header als Empfänger eingetragen wurde, was nicht gerade eine Überraschung, sondern der Normalfall ist. Warum man das noch einmal erwähnen muss? Na, das macht den Text größer, sieht schön technisch aus und soll Dumme beeindrucken.

¹Das ist kein sicheres Merkmal mehr, denn den Spammern sind zu vielen Mailadressen die Namen bekannt.

²Mailadresse hier geändert.

Dieses Prachtexemplar der gegenwärtigen Phishing-Streumunition wurde mir von meinem Leser S.S. zugesteckt.

Kontoaktualisierung

Montag, 20. Februar 2017

Dies ist eine Spam, die Menschen mit einer halbwegs sicher konfigurierten Mailsoftware gar nicht zu Gesicht bekommen. Sie hat nämlich keinen Text, sondern verwendet eine über imgur (punkt) com eingebettete Grafik.

Natürlich hat diese Spam mit Amazon nichts zu tun. Ich habe sie empfangen. Ich käme niemals auf die Idee, Amazon zu benutzen und habe mich dort nicht registriert. Diese Spam geht an jeden, dessen Mailadresse in den Datenbanken der Spammer steht.

Von: Amazon.de <bwadetumd@pub.kiev.ua>

Diese Spammer hat zwar schon verstanden, dass man eine Absenderadresse fälschen kann, er ist aber intellektuell damit überfordert, den Absender so zu fälschen, dass das Ergebnis seiner „Mühe“ auch jemanden beeindrucken könnte. :mrgreen:

Sehr geehrte Damen und Heren, da wir stets um die Sicherheit unserer Kunden bemüht sind, haben wir unser Sicherheitssystem verbessert. Um das Sicherheitsupdate abzuschließen ist es unbedingt erforderlich, dass Sie Ihre bei Amazon hinterlegten Bankdaten aktualisieren. Bitte nehmen Sie sich einen Moment Zeit und folgen Sie unserem Verifizierungsprozess, um Ihr Kundenkonto auch in Zukunft wie gewohnt nutzen zu können. [Jetzt aktualisieren] Wir entschuldigen uns für die entstandenen Unannehmlichkeiten und bedanken uns für Ihr Verständnis. Ihr Amazon-Team

Wie schon gesagt: Es ist ein in einer HTML-formatierten Mail extern verlinktes Bild mit Text und nicht das, wonach es aussehen soll. Der ätzrot überlagerte Text „Spam“ ist natürlich von mir, denn ich möchte kein Bildhoster für Spammer werden und finde es schlimm genug, dass imgur (punkt) com den Kriminellen zurzeit sehr dienstbar ist. Das gesamte Bild ist verlinkt. Egal, wohin man klickt, man landet auf einer Website in der obskuren Domain sicherheit (strich) d3qVeMhk (punkt) top, die ganz sicher nicht von Amazon betrieben wird, denn Amazon hat eine eigene Domain für seine Website. Die Daten, die man dort eingibt, gehen nicht an Amazon, sondern an Kriminelle. Was diese Halunken mit den Bankdaten anfangen werden, kann sich hoffentlich jeder vorstellen – und wer es sich wirklich nicht vorstellen kann, frage einfach einmal bei der Polizei oder bei seiner Bank. Einmal ganz davon abgesehen, dass es nach nur ganz kurzem Nachdenken sehr schwer einsehbar ist, warum man Amazon gegenüber Daten nochmals angeben sollte, die bei Amazon längst bekannt sind und welchen Effekt das für „die Sicherheit“ bei Amazon haben sollte. Man muss nicht lange darüber nachdenken, um zu bemerken, dass die Vorwände aus typischen Phishing-Mails unsinnig sind.

Lobenswerterweise hat Amazon selbst auf seiner Website klare Worte dazu geschrieben:

Amazon E-Mails und SMS-Benachrichtigungen […] fragen Sie niemals nach persönlichen Informationen oder bitten um Datenverifizierung über einen Link in der E-Mail oder SMS.
Alle benötigten Daten müssen IMMER über die Amazon.de Website eingegeben werden. Nachrichten von Amazon enthalten daher nur Anleitungen, wie Sie Ihre Informationen auf der Amazon.de Website selbst verwalten können

Ich lege Amazon nahe, seine eigenen E-Mails auch digital zu signieren und seine Kunden darüber zu informieren, um den Phishing-Sumpf auf lange Sicht auszutrocknen.

Lachen und löschen – das ist die angemessene Haltung bei derartig plumpen Überrumpelungsversuchen. Und wenn man sich einmal nicht sicher ist: Niemals in die Mail klicken, immer die Website über ein Lesezeichen im Browser aufrufen! Wenn man sich dann anmeldet und alles wie gewohnt funktioniert, ohne dass man einen Hinweis sieht, hat man mit dieser ganz einfachen Vorsichtsmaßnahme einen Phishing-Versuch abgewehrt und sich selbst bis zu zwei Jahre voller Ärger aller Art mit Polizeien, Staatsanwälten und Untersuchungsrichtern erspart, denn natürlich wird bei gewerbsmäßigem Betrug ermittelt und natürlich ist der Inhaber eines zum Betrug verwendeten Kontos dabei immer die erste Adresse.

Amazon.de Kundenkonto – Information für Mailadresse

Donnerstag, 26. Januar 2017

Vorab: Natürlich kommt diese Mail nicht von Amazon. Es ist Phishing. Deshalb wird diese Mail hier auch erwähnt.

Anstelle von „Mailadresse“ steht im Betreff die Mailadresse des Empfängers – ganz so, als ob es nicht völlig klar wäre, dass eine E-Mail für die Mailadresse bestimmt ist, die als Empfänger eingetragen ist. Das klingt zwar nicht ganz so gut wie ein richtiger Name, kann aber vielleicht das eine oder andere schlichtere Gemüt überzeugen, sagt sich der Spammer Allerdings: Wenn das Telefon klingelte, und ein Unbekannter dort sagte, dass es sich um eine ganz persönliche Information für die angerufene und eigens noch einmal genannte Telefonnummer handele, bekäme wohl noch der Dümmste einen Anfall spontaner Heiterkeit. Genau so absurd ist die nochmalige Angabe der Mailadresse in einer Mail.

Angesichts der Tatsache, dass die Spammer nach diversen „Datenveröffentlichungen“ der letzten Jahre zu sehr vielen Mailadressen auch einen Namen haben, gehe ich davon, dass im Betreff auch der Name stehen kann. Das wirkt dann natürlich nicht so dümmlich und deutlich alarmierender.

Dem modernen Trend der Spammer folgend, hat auch dieser Spammer vollkommen auf Text verzichtet, um mit seinem Phishing durch die Spamfilter zu kommen. Was er seinen Lesern mitzuteilen hat, sagt er stattdessen in einem 43,5 KiB großen PNG-Bild, das einen Text transportiert. Wer ein anderes Betriebssystem als Microsoft Windows verwendet, stößt sich sofort an der für sein System fremdartigen Typografie. Arial sieht einfach nicht besonders gut aus. Das Bild sieht so aus:

Amazon Kundenschutz -- Donnerstag, 26. Januar 2017 -- Wir haben einen potenziell unbefugten Zugriff auf Ihr Amazon.de Konto festgestellt -- Guten Tag, -- unser Sicherheitssystem hat einen nicht durch Sie autorisierten Bezahlversuch mit Ihrem Amazon.de Kundenkonto festgestellt. Um sie vor finanziellen Schäden zu schützen, haben wir Ihr Kundenkonto temporär eingeschränkt. -- Damit Sie mit ihrem Amazon.de Kundenkonto wieder problemlos online bezahlen können, ist eine Bestätigung Ihrer bei uns angegebenen Daten erforderlich. Bitte klicken sie auf "Weiter (über den Sicherheitsserver)", um den Bestätigungsvorgang zu starten. -- Weiter (über den Sicherheitsserver) -- Warum ist dieser Schritt nötig? -- Dies ist notwendig, um Sie als rechtmäßigen Besitzer zu identifizieren. Wir möchten dadurch verhindern, dass sich Dritte Zugang zu Ihrem Amazon Kundenkonto verschaffen. Auch möchten wir Sie vor einem finanziellen Schaden und den damit verbundenen Folgen beschützen. -- © 1998-2017, Amazon.com Inc. oder Tochtergesellschaften

[Der überlagerte rote Schriftzug ist von mir, denn ich werde nicht gern Bildhoster für Spammer – aber die JPEG-Artefakte im Klickeknöpfchen sind original. Ich habe ein ursprünglich verlustfreies Format nach Bearbeitung verlustfrei wieder gespeichert. Man hat doch bei aller Stabilität der Betrugsmaschen jeden Woche etwas Neues in der Spam. Zum Beispiel verlustfreie PNGs mit JPEG-Artefakten.]

Was von einem Versuch, den „rechtmäßigen Besitzer zu identifizieren“ zu halten ist, der darin besteht, dass man alle längst bei Amazon bekannten Daten noch einmal eingibt, kann sich jeder durch eine Minute Nachdenken herleiten: Jemand, der sich das Amazon-Konto wirklich unterm Nagel gerissen hat, könnte sich alle diese Daten anschauen und sie sogar verändern. Aber für eine Betrügerbande werden die eingegebenen Daten sehr interessant sein.

Die gesamte Grafik ist ein Link. Dieser führt nicht etwa zur Website von Amazon…

$ location-cascade http://epl-digitalrefferycommunications2019.online/5P7BMBQYBD90N9MSOB96C7V5P8HZJQ6W1LUR0D7M7COOP
302	http://epl-digitalrefferycommunications2019.online/5P7BMBQYBD90N9MSOB96C7V5P8HZJQ6W1LUR0D7M7COOP
Found	https://amazon.de.kundenkonto-sicherheitsverifizierung.info
$ _

…sondern auf den „Sicherheitsserver“ einer Betrügerbande, der völlig sicher stellt, dass die Daten nicht an Amazon, sondern an die Betrügerbande gehen. Nach nur einer einzigen Weiterleitung – das ist für gegenwärtige Verhältnisse wenig – landet man in der Website in einer Subdomain der Domain kundenkonto (strich) sicherheitsverifizierung (punkt) info, die…

$ whois kundenkonto-sicherheitsverifizierung.info | grep '^Creation'
Creation Date: 2017-01-13T19:52:11Z
$ whois kundenkonto-sicherheitsverifizierung.info | grep '^Registrant' | head -5
Registrant Name: WhoisGuard Protected
Registrant Organization: WhoisGuard, Inc.
Registrant Street: P.O. Box 0823-03411
Registrant City: Panama
Registrant State/Province: Panama
$ _

…vor 13 Tagen jemand über einen Dienstleister aus dem sonnigen Panama anonym registriert hat. Zusammem mit der Subdomain amazon.de dieser ansonsten sehr unhandlich benannten Domain soll für diese Phishing-Kampagne der Eindruck erweckt werden, es handele sich um eine Domain von Amazon.

Wer dort Daten eingegeben hat, hat ein Problem, denn diese Daten sind jetzt in den Händen von Kriminellen. Wenn Kreditkartendaten eingegeben wurden, sollte die Karte sofort gesperrt werden, um den Schaden klein zu halten. Natürlich ist auch das Amazon-Konto kompromittiert und wird vermutlich schon für betrügerische Geschäfte unter Missbrauch der Identität eines anderen Menschen verwendet, so dass auch Amazon so schnell wie möglich von der Sache unterrichtet werden sollte.

Und dabei gibt es gegen Phishing einen ganz einfachen Schutz. Der besteht allerdings nicht in einer Schlangenöl-Software oder einem auf dem Computer gemalten Heiligenbildchen, sondern in einer Gewohnheit, die man sich recht einfach angewöhnen kann: Niemals in eine E-Mail klicken, weil eine E-Mail eines Unternehmens dazu auffordert, sondern immer die Startseite desjenigen Unternehmens im Browser aufrufen, das einem zum Vorbeischauen auffordert. Die Webbrowser haben dafür seit Mosaic Netscape 0.95 beta aus dem Jahr 1994 sehr praktische Lesezeichenfunktionen, die es einem sehr erleichtern können, sich diese Angewohnheit anzugewöhnen. (In früheren Webbrowsern wie etwa dem vorher sehr populären NCSA Mosaic musste man dafür noch eine HTML-Datei im Editor bearbeiten.)

Wenn man sich auf der garantiert richtigen Seite eingeloggt hat und dort feststellt, dass man trotz der erschröcklichen Mails von eingeschränkten oder gesperrten Accounts keinerlei Probleme bei der Nutzung hat und auch keine Hinweise angezeigt bekommt, dass man handeln muss, hat man übrigens einen Phishing-Versuch erfolgreich abgewehrt. Das war einfach und hat sehr viel mit Ärger verschwendete Lebenszeit eingespart.

Bitte, tut das einfach! 😉

Diese Spam ist ein Zustecksel meines Lesers S. S.

Nachricht von Ihrem Online-Kundenservice

Mittwoch, 25. Januar 2017

Aha! Und welcher „Online-Kundenservice“? Von wem? Ist es die Bank, ist es das Bordell, ist es der preiswerte Segnungsbot der lokalen neuevangelikalen Seelenfänger?

Von: "service (at) barclaycard (punkt) de" <service (at) barclaycard (punkt) de>

Richtig, es ist der „Online-Kundenservice“, der im Namensfeld des Absenders einfach seine Mailadresse wiederholt.

Natürlich ist die Absenderadresse gefälscht. Jeder kann Absenderadressen von E-Mail fälschen. Es ist tatsächlich genau so einfach, als ob man einen ausgedachten Absender auf einen Briefumschlag schriebe.

Aber die Phishing-Masche ist diesmal ein bisschen originell.

Sehr geehrter Herr Vorname Nachname,

Immerhin, der Name stimmt. (Es ist nicht meiner, diese Spam wurde mir zugesteckt.) Wer ebenfalls diese Spam bekommen hat und sich darüber wundert, wo die Spammer seinen Namen her haben, lese bitte hier weiter!

wir haben uns dazu entschieden unseren Teil zur Bekämpfung von terroristischen Organisation beizutragen.

Und der „Kundenservice“ dort – es ist bis jetzt nicht einmal klar, wer der Absender sein soll – hat extratolle geschäftliche Entscheidungen getroffen, die gar nichts mit seinem eigentlichen Geschäft zu tun haben! Nicht, dass dieser „Service“ noch anfängt, seine Kunden zu beschießen, statt sie zu bescheißen… :mrgreen:

Ach ja, übrigens: Das deutsche Wort für „Kundenservice“ ist „Kundendienst“. 😉

Unser neues Sicherheitssystem überprüft in regelmäßigen Abständen ob Sie der legitime Eigentümer der Kreditkarte sind.

Aber das braucht ihr doch gar nicht zu überprüfen, ich habe doch einen Vertrag mit euch, der mich zu legitimen Besitzer macht.

Ein besserer Satz ist euch echt nicht eingefallen, um die paar Millionen Empfänger dieser Spam dazu zu bringen, ihre Kreditkartendarten an irgendwelche Verbrecher zu geben?

Dies soll dabei helfen der widerrechtlichen Benutzung ihrer Kreditkarte vorzubeugen und so die Finanzierung von terroristischen Organisationen zu bekämpfen.

Genau, terroristische Organisationen finanzieren sich über geklaute Kreditkarten und nicht über indirekte Geldflüsse aus Saudi-Arabien! Da muss man aber ganz schön angstdumm geworden sein, bis man auf diesen Vorwand eines Phishers reinfällt.

Sollte das System Abweichungen mit den bei uns hinterlegen Informationen erkennen, sind wir gezwungen ihre Kreditkarte vorerst zu sperren.

Das ist ja ein ganz hochsicheres Sicherheitsverfahren! Einfach noch einmal die Daten eingeben, die bei euch eh schon bekannt sind! Und jemand, der sich des Kontos bemächtigt hat, konnte sich alle diese Daten schon anschauen und sie sogar verändern.

Übrigens: Es gibt Menschen mit mehr als einer Kreditkarte. Es gibt diese Menschen gar nicht mal so selten. Jeder, der gewerbliche und private Gelder trennt, könnte zwei Kreditkarten haben. In einer echten Mail stünde immer eine Kreditkartennummer.

Weiter zur Überprüfung

Genau, und die verlinkte Adresse geht über den URL-Kürzer bit.ly. Mal schauen, wo die Reise hingeht:

$ location-cascade http://bit.ly/2jc6idv
301	http://bit.ly/2jc6idv
301	http://tinyurl.com/z6k7tw7
301	http://judenurl.com/ubler
302	http://banking.barclaycard.de-online-kundenservice-f2v6vgbfdkvfldb.info/barc/card/veri/
Found	/813662/SpBucPC3LVztnHi/glDZ7Eh8OSCVxnd/760531619330/aj8QpCxIFwm4buB/83tNo4lGQsRYSUr/
$ _

Es geht – nach Verwendung dreier URL-Kürzer hintereinander – in die in ihrer Dämlichkeit epische Domain de (strich) online (strich) kundenservice (strich) f2v6vgbfdkvfldb (punkt) info, von der eine Subdomain verwendet wird, damit ein irreführender Eindruck entsteht.

Mit freundlichen Grüßen
Ihr Barclaycard Kundenservice

Um es einmal mit den Worten des Menschen, der mir diese Spam zugesteckt hat, zu sagen: „Ich habe gar keine Barclaycard“. 😉

Ja, das ist Schrotmunition. Diese Mail wird wahllos versendet, es kostet die Spammer ja nichts (oder nicht viel). Wenn auch nur ein paar Handvoll Menschen ihre Daten auf irgendeiner in einer Spam verlinkten Website eingeben, weil sie in einer Spam dazu aufgefordert wurden, hat es sich für die Verbrecher gelohnt. Um Terroristen wird es sich bei denen zwar eher nicht handeln, aber um niederträchtige Halunken allemal.

Diese Phishing-Spam ist ein Zustecksel meines Lesers M. S.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.