Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Kategoriearchiv „Phishing“

PayPal Verifikation

Samstag, 26. November 2016

Erstmal ein Blick aufs Layout der HTML-formatierten Spam:

Screenshot des Layouts der Spam, wie es in einer Mailsoftware erscheint

Für Menschen, die sich leicht vom Layout verblenden lassen – und da PayPal sich auch im Jahre 2016 noch nicht dazu durchgerungen hat, grundsätzlich digital signierte E-Mail an seine Kunden zu schreiben, besteht ja auch gar keine Möglichkeit, den Urheber der Mail sicherzustellen¹ – ist das eine überzeugende E-Mail „von PayPal“.

Natürlich ist diese Spam nicht von PayPal…

Von: PayPal <paypalsecuria14 (at) online (punkt) de>

…wie man schon am Absender sehen kann.

Schon bitter für den Spammer, wenn er zwar ein tolles Layout für seine Phishing-Kampagne gebaut hat, es aber nicht hinbekommt, seinen Absender so zu fälschen, dass die Mail wie eine echte Mail von PayPal aussieht. Übrigens: In eine E-Mail kann ein beliebige Absenderadresse eingetragen werden (ganz ähnlich, wie man auch einen beliebigen Absender auf einen Briefumschlag schreiben kann). Die Fälschung des Absenders ist also „Kinderkram“. Diese Möglichkeit nicht dazu zu nutzen, einen Absender aus der Domain paypal (punkt) com einzutragen, ist schon sehr sehr blöde.

Aber bin ich mal froh darüber, dass sich die meisten Spammer nicht vorgedrängelt haben, als der Herrgott die Intelligenz verteilt hat, denn sonst würden noch mehr Menschen auf derartiges Phishing hereinfallen.

gammelfleisch@tamagothi.de – Bestätigung erforderlich.

Oh, das ist ja schön, Spammer! Hast du deine Mailadressen mit einem Harvester eingesammelt? Du bist ja ein ganz Großer! 😀

Das echte PayPal spricht seine Kunden übrigens nicht mit ihrer Mailadresse an, sondern mit ihrem für die Registrierung verwendeten Namen. Und wer präventiv für PayPal und andere wichtige Dienste eine eigene, sonst nirgends verwendete Mailadresse benutzt, die auch nicht leicht zu erraten ist – eine Mailadresse ist ja schnell eingerichtet – kann natürlich nicht so leicht von einer „irgendwo eingesammelten“ Mailadresse in einer Phishing-Spam erschrocken werden – wenn es nicht mal wieder ein Datenleck bei eBay oder PayPal gibt, das trotz der erhöhten Gefahr für die rd. 145 Millionen davon betroffenen Kunden monatelang nicht kommuniziert wird.

Online ansehen

Schon klar, mit einer über TinyURL verschleierten Zieladresse des Links.

Mein Dank geht an TinyURL, dass der Link binnen fünfer Minuten nach Meldung dieses Missbrauchs durch Phisher unbenutzbar gemacht wurde! So schnell müsste es immer gehen! Ich hoffe, dass hat vielen naiven Internetnutzern sehr viel Geld, Ärger und juristische Scherereien nach dem eventuellen Missbrauch ihrer PayPal-Konten für Betrug und Geldwäsche erspart.

Sehr Geehrter Kunde,

Das ist mal wieder genau mein Name!

aus Sicherheitsgründen wurde Ihr PayPal-Konto deaktiviert.

Ah ja. In der Tat, ein deaktiviertes Konto ist sicher… :mrgreen:

Und warum wird es nun gesperrt?

Grund dafär sind wiederholt vom Sicherheitssystem verzeichnete,
auffällige Aktivitäten bgzl. Ihrer Kontennutzung. Wir bitten daher um Bestätigung der bei uns hinterlegten Daten, um erneute Aktivierung Ihres PayPal-Kontos vornehmen zu können.

Ah ja, weil es von mir genutzt wird. Und um die Sperrung aufzuheben, soll ich einfach sämtliche von mir bei PayPal angegebenen Daten noch einmal bei PayPal angeben, obwohl jemand, der sich meines Kontos ermächtigt hat, Einblick auf diese Daten hätte oder sie sogar verändern könnte. Das ist purer Sicherheits-Bullshit, wie er von PayPal niemals kommen könnte, aber sehr wohl von einem Kriminellen, der neues Kontomaterial für seine „Geschäfte“ braucht.

Und, was war jetzt die Auffälligkeit?

Informationen zur Auffälligkeit:

IP: 187.154.21.214
Land: Tunisia
Log In: gescheitert

Eine Anmeldung ist gescheitert. Das ist doch eine gute Nachricht, dass andere nicht aufs Konto zugreifen können, und keineswegs ein Grund, das Konto zu sperren. Mit einer IP, die angeblich aus Tunesien kommt. In Wirklichkeit kommt sie übrigens aus Mexiko. Aber Menschen, die das überprüfen, gehören nicht zur „Zielgruppe“ dieses Verbrechers, der vor allem naive Internetnutzer überrumpeln will, und so hat sich der Spammer auch keine Mühe gegeben, seine Scheinbehauptung ein bisschen überzeugender zu machen. Denn wenn der Spammer sich Mühe geben wollte, könnte er ja gleich arbeiten gehen.

Übrigens: Wenn PayPal wirklich so empfindlich wäre, dass bei solchen „Auffälligkeiten“ Konten gesperrt werden, könnte man PayPal weder anonymisierend über Tor, noch über einen Proxyserver oder ein VPN, noch im Urlaub nutzen, ohne vorübergehend den Zugriff auf sein Konto zu verlieren. Diese Vorstellung ist absurd, und es bedarf nur weniger Sekunden Nachdenkens, um das zu bemerken. Aber wer das durch kurzes Nachdenken vor seinem Klick bemerken kann, gehört nicht zur „Zielgruppe“ dieses Verbrechers… ach, ich wiederhole mich!

Identität bestätigen

Das Linkziel ist wieder über TinyURL maskiert.

Übrigens: Wenn man seine Identität durch einen Klick und ein paar Eingaben „bestätigen“ könnte, brauchte auf dieser Welt niemand mehr Ausweise und Pässe; der extreme Aufwand, mit dem man diese Papiere herstellt und fälschungssicher macht, könnte einfach eingespart werden.

Diese Spam wurde automatisch erstellt und bleibt daher ohne Grußformel oder vergleichbare simulierte Höflichkeit patzig. Und jetzt mach schon…

Detail aus der Spam: Bild eines Mannes, der angespannt an seinem Klappcomputer sitzt, mit dem Text 'PayPal Verifizieren' darunter.

…und verifizier PayPal! Egal, wo du gerade bist! Je panischer und gedankenloser du das machst, desto besser für die Verbrecher, die dir diese Phishing-Spam ins Postfach gemacht haben.

Und vor allem: Verifizier PayPal! Nicht etwa dich und deine Daten gegenüber PayPal! Den Phishing-Text haben die Spammer ja schon fertig, was sollen die sich am Ende ihrer Spam noch anstrengende Gedanken um irgendwelche Details machen… :mrgreen:

¹Digitale Signatur von E-Mail ist keine Raketentechnologie, die viel Aufwand erfordert. Die dafür erforderliche Software steht frei und kostenlos zur Verfügung. Der Verzicht von Finanzdienstleistern wie PayPal auf die digitale Signatur jeder E-Mail ist eine Förderung des Phishings und der organisierten Internet-Kriminalität, der keinerlei Vorteil gegenübersteht. Angesichts der Verbreitung und langjährigen Renitenz dieser Dummheit fällt es mir inzwischen schwer, nicht an eine verschwörungsartige Absprache (oder Einflussnahme staatlicher Akteure) zu glauben, deren Ziel es ist, die Verbreitung wirksamer, nützlicher und unentbehrlicher kryptografischer Methoden mit allen Mitteln zu unterbinden, koste es, was es wolle.

Deutsche Bank Konto

Donnerstag, 3. November 2016

Das Deutsche Bank Konto bei…

Von: DeutscheBank <info@dekawooncultuur.be>

…DeutscheBank, ja genau das. Da bist du zwar…

Sehr geehrter Kunde,

…Kunde, oder noch besser, du bist da „Sehr geehrter Kunde“, hast aber keine Kontonummer für das Deutsche Bank Konto (oder die Konten), denn sonst würdest du es noch bemerken, dass du es mit einem Phisher und nicht mit deiner Bank zu tun hast. Dafür…

Ungewohnliche Kontobewegungen es notwending gemacht Ihr Konto einzugrenzen bis zusatzliche Informationen zur Uberprufung gesammelt werden.

…bewegt sich dein Konto, und deshalb…

Zur Zeit haben Sie nur begrenzten Zugang zu Ihrem Deutsche Bank Konto. Wir bitten Sie daher die von uns angeforderten daten zu enrneuern.

…musst du ein paar Daten eingeben, um wieder an dein Konto zu kommen, das sich einfach so bewegt. Und zwar alle Daten, die deine Bank schon lange kennt. Also, sehr geehrter Spamempfänger:

Bestätigen

Klick schon! Und wundere dich nicht darüber, dass…

Screenshot der Phishing-Seite, die allerdings Phishing in spanischer Sprache für die Calxa Bank betreibt

…deine Deutsche Bank oder DeutscheBank sich jetzt CalxaBank nennt und auch nicht mehr Deutsch mit dir sprechen mag, sondern füll trotzdem brav deine Zugangsdaten aus, sende sie ab und gib danach noch mehr Daten.

Komm, das machst du doch auch alles, wenn ich mir keine Mühe mit meinem Phishing gebe. Ich habe keine Lust, mir Mühe zu geben. Sonst könnte ich ja gleich arbeiten gehen… :mrgreen:

Weia, Phisher: So schlecht habe ich es lange nicht mehr gesehen.

NorisBank

Mittwoch, 5. Oktober 2016

Aber da bin ich doch gar nicht. Außerdem schreibt sich dieser Bänksterverein selbst als „norisbank“, also in Kleinbuchstaben, und ich glaube nicht, dass er in eventuellen echten E-Mails von seiner Reklamelinie abweichen und eine sonst niemals verwendete Binnenmajuskel nehmen würde. (Ich werde im Fortlauf des Textes die ganz normale Großschreibung benutzen.) Wer dort Kunde ist, sollte also schon am Betreff merken, dass es sich nicht um eine E-Mail der Norisbank, sondern um eine Spam handelt.

Ungewohnliche Kontobewegungen es notwending gemacht Ihr Konto einzugrenzen bis zusatzliche Informationen zur Uberprufung gesammelt werden.

Die „Norisbank“ hat zwar ihre ganze Umlaute mutmaßlich gegen Zinsen verliehen, aber das Konto bewegt sich.

Zur Zeit haben Sie nur begrenzten Zugang zu Ihrem norisbank Konto. Wir bitten Sie daher die von uns angeforderten Kontodaten zu enrneuern.

Completa le informazioni richieste

>> Bitte klicken Sie hier <<

Auch mit den Sprachen kommt die „Norisbank“ zuweilen ein wenig durcheinander. Aber immerhin weiß sie, was „Click here“ auf Deutsch heißt.

Der Link geht allerdings nicht in die Norisbank, sondern nach der üblichen Kaskade von Umleitungen in eine Subdomain von uid0 (punkt) su, die bereits wohlbekannt…

$ surbl uid0.su
uid0.su	LISTED: PH 
$ _

…für Phishing ist. (Mein Shellskript für SURBL-Abfragen kann sich jeder bei Pastebin runterladen.) Dort gibt es übrigens eine italienische PayPal-Anmeldemaske, und was die mit der Norisbank zu tun haben soll, wird sich auch dem dümmsten Dummkopf nicht mehr erschließen.

Wir entschuldigen uns für jegliche Unannehmlichkeiten.

Spart euch die Entschuldigung und hört auf zu spammen! Und wenn ihr schon nicht anders könnt, weil ihr viel zu verkommen seid, um ohne Spam leben zu können, dann seid in euren Spams wenigstens nicht so unendlich blöd! Bei dermaßen schlechtem Phishing wollen sich ja die Gehirnzellen freiwillig in den Tod stürzen.

Copyright @ 2016 norisbank ist ein Unternehmen der Deutsche Bank Gruppe

Ja, mit deklariertem „geistigen Eigentum“ auf eine E-Mail. Auch so ein Selbstmordimpuls für die letzten Hirnzellen, aber den gibts auch immer wieder von richtigen Unternehmen. Kann den dafür verantwortlichen Menschen bitte mal jemand sagen, wie blöd das ist! Vermutlich sind die dummen Reklameheinis, die sich so etwas ausdenken, so gestrickt, dass sie in jedem Gespräch nach jedem einzelnen gesagten Satz das „geistige Eigentum“ für ihre geniale und schöpferische Sprechleistung deklarieren. Können sie ja auch gern untereinander machen, es ist ja ein halbwegs freies Land. Aber in der Kommunikation mit gewöhnlich denkenden Menschen sieht es affig und lächerlich aus. Und Unternehmungen, die ihre Kunden affig und lächerlich ansprechen, brauchen sich nicht über die Folgen zu wundern, wenn sie auf diese Weise ihre eigene Reputation im Klo runterspülen. Welche Folgen? Hierzu ein kleiner Hinweis von mir: Die Menschen, die zu dumm sind, um so etwas zu bemerken (oder die sich sogar davon beeindrucken lassen), haben wegen ihrer Dummheit nicht die größte Kaufkraft; die anderen sind irgendwann woanders. Nachhaltig.

Aktualisierung

Samstag, 24. September 2016

Oh, ich habe aber lange kein Phishing mehr gesehen…

Von: DKB Bank <bankzaken@dkb.de>

Diese Spam hat niemals einen Server gesehen, der dkb.de heißt. Der Absender ist gefälscht. Sie wurde zusammen mit ein paar weiteren hunderttausend dieser Überrumpelungsversuche über einen gemieteten Server bei einem großen deutschen Hoster versendet.

Guten Tag ,

Genau mein Name!

Wie ich eben gesehen habe, gibt es diese Spams auch mit persönlicherer Ansprache.

Seitdem 01.09.2016 müssen all unsere Kunden Ihre persönlichen Daten bestätigen.

Wieso? Ach, weil ein Datum ist. Und…

Die Bestätigung sorgt dafür, dass die hinterlegten Daten stets aktuell sind und aktiviert zugleich unser neues Sicherheitskonzept.

…weil alles viel aktueller und sicherer ist, wenn die „Kunden“ noch einmal lauter Daten rausrücken, die bei der angeblichen Bank schon längt bekannt sind. Damit auch wirklich – obwohl sich inzwischen überall herumgesprochen haben sollte, was Phishing ist – ein paar Leute darauf reinfallen können…

Wie ein Mitarbeiter von uns festgestellt hat, haben Sie die kostenfreie Bestätigung bis heute nicht durchgeführt. Aus diesem Grund wurde Ihr Konto temporär gesperrt.

…wird einfach behauptet, dass das Konto gesperrt wird. Warum? Na, aus Kundendienst und Freundlichkeit natürlich. Und wegen des weiter oben erwähnten Datums. Ein Kreditinstitut, das wirklich so vorginge, könnte wegen dieser Nötigung angezeigt werden und wäre für den angerichteten Schaden regresspflichtig.

Wer mir nicht glaubt, dass das eine Spam ist, kann sich sehr einfach davon überzeugen, dass das Konto mitnichten gesperrt ist. Danach bitte die Spam löschen und auf gar keinen Fall jemals auf die Idee kommen, irgendwelche beim angeblichen Gegenüber längst bekannten Daten zu „bestätigen“, indem man sie auf einer Website erneut eingibt, die in einer E-Mail verlinkt wurde.

Wo der Link ist? Hier ist er:

Führen Sie bitte die Bestätigung über den unten angezeigten Button durch.

Klicken Sie hier

Ein Klicki-klicki-Link ist der neue Button. :mrgreen:

Wer darauf klickt, sieht eine Login-Seite der falschen Bank:

Screenshot der Phishing-Seite

Die Deutsche Kreditbank AG ist eine Tochter der Bayerischen Landesbank und hat mit der HypoVereinsbank nichts zu tun.

Nach der Bestätigung wird Ihr Konto anschließend freigeschaltet und unter anderem treten auch unsere neuen Sicherheitsvorkehrungen für das so genannte sicheres-bezahlen im Internet [sic!] in Kraft.

Danach ist anschließend und ja… das so genannte sichere Bezahlen im Internet tritt dann auch in Kraft. :mrgreen: Spätestens an dieser Stelle sollte noch der naivste Mensch bemerkt haben, dass keine Bank eine derartige Formulierung wählen würde.

Sollten Sie diese Bestätigung binnen 14 Tagen nicht durchführen, ist eine Freischaltung nur noch über den Postweg möglich.

Bestätigung durchführen

Tja, Spammer, ist schon peinlich, wenn man sich seinen Text aus Bausteinen in einer Sprache zusammensetzt, die man gar nicht richtig versteht – und dabei vergisst, einen Text zu verlinken, damit er nicht wie ein Satzstummel herumsteht.

Mit freundlichen Grüßen
Ihre DKB AG

Freundlich wie eine Ohrfeige
Dein Phishing-Betrüger

Letzte Warnung!!!

Mittwoch, 7. September 2016

Ihre Mailbox überschritten die Speichergrenze von 2,0 GB
Definiert durch den Administrator ist derzeit 2.30GB, kann nicht
senden oder neue Nachrichten erhalten, bis Sie Ihre E-Mail bestätigen

Klicken Sie auf den folgenden Link, um Ihre E-Mail zu bestätigen

Klicken Sie hier

dank
Systemadministrator

Ohne Worte.

Neues Tan-Verfahren!

Freitag, 22. Juli 2016

Der Absender dieser Spam (die ihren Empfänger übrigens mit Namen anspricht) ist gefälscht. Sie kommt nicht von der ING-DiBA AG, sondern von Kriminellen, die ihre Opfer dazu bringen wollen, Zugangsdaten für ihr Konto herauszurücken. Es ist „gutes altes Phishing“, wie ich es inzwischen eher selten sehe, und das macht es in meinen Augen eher noch etwas gefährlicher. Die HTML-formatierte Spam sieht so aus:

Sehr geehrter Herr xxxxxxx, -- Nach dem BSI-Standard 100-1, sind wir dazu verpflichtet alte, unsichere Technologien durch aktuelle Standards zu ersetzen. Aus diesem Grunde löst das neue photoTAN-Verfahren das teilweise noch im Einsatz befindliche, veraltete iTAN-Verfahren ab. -- Über den unten angezeigten Button gelangen Sie direkt zur Legitimation Ihrer Persönliche Daten und der Entwertung Ihrer aktuellen iTAN-Liste.Nach erfolgreicher Legitimation Ihrer persönlichen Daten und der Entwertung ihrer iTAN-Listen erhalten sie automatisch von uns einen für das neue TAN-Verfahren benötigten Legitimations-PIN kostenlos auf dem Postweg zugesandt. -- Zur Legitimation -- Mit freundlichen Grüße, -- Ihr ING-DiBa Team -- An diese E-Mail-Adresse können keine Antworten gesendet werden. Weitere Informationen bekommen Sie bei unsererm ING DiBa Kundeservice. -- Mit dieser Servicemitteilung informieren wir Sie über wichtige änderungen bezüglich Ihres ING DiBa Kontos. -- © 2016 ING-DiBa AG, Theodor-Heuss-Allee 2, 60486 Frankfurt am Main, Deutschland

Natürlich geht sie auch an Menschen, die keine Kunden der ING-DiBa sind. Es ist Schrotmunition. Nicht darauf reinfallen! Und wer schon darauf reingefallen ist: Sofort Kontakt mit der Bank aufnehmen, um den Schaden einzugrenzen!

Von: ING-DiBa <info (at) ing (strich) diba (punkt) nl>

Wie schon gesagt: Dieser Absender ist gefälscht. Es ist kinderleicht, den Absender einer E-Mail zu fälschen. Man kann einfach den Absender hineinschreiben, den man haben möchte. Deshalb sollte man niemals eine E-Mail nur wegen ihres Absenders für vertrauenswürdig halten¹.

Sehr geehrter Herr xxxxxxx,

Und jetzt, nachdem die Spammer nach teilweise verheerenden Datenschutzvorfällen zu sehr vielen Mailadressen auch einen Namen haben, ist auch eine persönliche Anrede mit richtigem Vornamen und Nachnamen kein sicheres Zeichen mehr, dass man es nicht mit einer Spam zu tun hat.

Nach dem BSI-Standard 100-1, [Komma zu viel] sind wir dazu verpflichtet [Komma fehlt] alte, unsichere Technologien durch aktuelle Standards zu ersetzen [„Standards“ und „Technologien“ sind zwei semantisch sehr verschiedene Dinge, so dass diese „Verpflichtung“ objektiv sinnlos ist]. Aus diesem Grunde löst das neue photoTAN-Verfahren das teilweise noch im Einsatz befindliche, veraltete iTAN-Verfahren ab.

Immerhin, den referenzierten Standard gibt es wirklich. Er hat zwar ein etwas anderes Thema, aber wer kurz beim Bundesamt für Sicherheit in der Informationstechnik nachschaut, was das für ein Standard ist, statt das unverstandene Wort zu überfliegen und sich darüber zu freuen, dass er es nicht verstehen muss, der ist eh viel zu intelligent, um auf so einen plumpen Betrug hereinzufallen.

Über den unten angezeigten Button gelangen Sie direkt zur Legitimation Ihrer Persönliche Daten [sic!] und der Entwertung Ihrer aktuellen iTAN-Liste [sic!]. Nach erfolgreicher Legitimation Ihrer persönlichen Daten und der Entwertung ihrer iTAN-Listen erhalten sie automatisch von uns einen für das neue TAN-Verfahren benötigten Legitimations-PIN kostenlos auf dem Postweg zugesandt.

Zur Legitimation

So so, „Entwertung ihrer aktuellen TAN-Liste“… kann man sich gar nicht selbst ausdenken, diesen Bullshit. Ich vermute mal, dass die Opfer Gelegenheit bekamen, die komplette TAN-Liste abzutippen oder ein Foto davon einzusenden – die in der Spam verlinkte Phishing-Seite ist zum Glück bereits verschwunden.

Übrigens: Banken versenden solche Aufforderungen niemals. Warum sollten sie auch. Die brauchen nur in ihrer Datenbank ein paar TANs als ungültig markieren, und schon gehen sie nicht mehr. (Das müssen sie können, weil eine TAN-Liste verloren gehen oder gestohlen werden kann.) Dafür bedarf es keiner weiteren „Entwertung“ und keiner sinnlosen Mail mit „Klick mal, ich bin ein Link aus einer Mail“.

Ach ja, der Link. Er war über bit (punkt) ly gekürzt, um das Linkziel zu verschleiern. Wo der Link hingeht, sieht man übrigens, wenn sich der Mauszeiger über dem Link befindet und man in seiner Mailsoftware in die Statuszeile schaut.

Ein richtiges Unternehmen, das Kontakt zu seinen Kunden pflegt, wird vielleicht auf viele komische Ideen kommen, aber sicherlich niemals auf die Idee, die eigene Website vor den Kunden zu verstecken. Solche Ideen haben nur Spammer. Sie müssen ja an den Spamfiltern vorbeikommen, und deshalb gibt es keine direkten Links, sondern eine Hüpfprozession entlang diverser über HTTP oder Javascript realisierter Weiterleitungen.

Wenn man sich dann anschauen will, wo die Reise hingeht, ist das schon ein bisschen nervig:

$ lynx -mime_header http://bit.ly/2atHQSe | grep '^Location'
Location: http://blg.to/fipSTeN
$ lynx -mime_header http://blg.to/fipSTeN | grep '^Location'
Location: http://theshortme.net/safgewga
$ lynx -mime_header http://theshortme.net/safgewga | grep '^Location'
Location: http://kontoverifikation.net/start/validation
$ _

Die Domain kontoverifikation (punkt) net

$ whois kontoverifikation.net | grep '^Creation'
Creation Date: 2016-07-15T02:11:26Z
$ _

…wurde ganz frisch vor einer Woche eingerichtet, und zwar nicht von einer Bank, sondern von einer Privatperson mit einer kostenlos und anonym einzurichtenden E-Mail-Adresse bei mail (punkt) ru.

Mit freundlichen Grüße [sic!], Ihr ING-DiBa Team

An diese E-Mail-Adresse können keine Antworten gesendet werden. Weitere Informationen bekommen Sie bei unsererm ING DiBa Kundeservice.

Der Absender dieser Mail ist gefälscht.

Mit dieser Servicemitteilung informieren wir Sie über wichtige änderungen [sic!] bezüglich Ihres ING DiBa Kontos.
© 2016 ING-DiBa AG, Theodor-Heuss-Allee 2, 60486 Frankfurt am Main, Deutschland

Übrigens: Es ist gar nicht auszudenken, wie erfolgreich wohl eine neue Phishing-Masche sein könnte, wenn die Spammer sich wenigstens die Mühe geben würden, fehlerfreies Deutsch zu schreiben. Ist doch nicht so schwierig, da jemanden drüberschauen zu lassen, der auch Deutsch kann und ein paar Fehlerchen zu korrigieren, bevor man die Mail abschickt. Aber wenn der Spammer sich Mühe geben wollte, könnte er ja gleich arbeiten gehen…

¹Wer vertrauenswürdige E-Mail-Kommunikation wünscht, kommt nicht umhin, sich mit digitaler Signatur zu befassen. Es ist in der Anwendung viel einfacher, als die meisten Menschen sich das vorstellen.

Sparda Bank – Aktueller Sicherheitshinweis

Samstag, 28. Mai 2016

Aber ich bin da doch gar nicht. Ach, ist ja auch eine Spam.

Lange kein Phishing mehr gehabt.

Sparda Bank – Aktueller Sicherheitshinweis

Das steht doch schon im Betreff.

Sehr geehrter Kunde, Grüße von Ihrer Sparda-Bank!

Genau mein Name!

Spätestens an dieser Stelle sollte jeder bemerken, dass es sich um eine Spam handelt. Eine echte E-Mail der Sparda-Bank würde nämlich immer…

  1. …den Kunden persönlich und namentlich ansprechen; und
  2. …möglichst früh im Text angeben, auf welchen Vertrag oder welches Konto sich die E-Mail bezieht, denn viele Kunden haben mehrere Konten oder laufende Darlehen oder dergleichen.

Nur kann sich der Spammer halt keine Kontonummer ausdenken, die bei jedem Empfänger passt. Aber „sehr geehrter Kunde“ passt immer.

Wir haben festgestellt, dass Sie Ihre persönlichen Daten bis heute nicht bestätigt haben.

Aha, darum geht es also in einem „aktuellen Sicherheitshinweis“. Und ich dachte schon, da steht drin, dass die Geldautomaten heute im Jackpot-Modus laufen und dass man eventuell überschüssige ausgegebene Banknoten doch bitte zur Filiale bringen soll, um riesige Geldverluste bei der Bank seines Vertrauens zu vermeiden. 😉

Aber das Beste an diesem Phishing-Trick ist: Wie, jetzt erst wollen die meine Daten? Nicht schon, als ich angeblich Kunde geworden bin? Haben die mir einfach Geld gegeben, ohne sich ein Ausweisdokument von mir zeigen zu lassen?

Diese Phisher denken sich doch immer wieder so richtig extratolle Gründe aus, um Leute dazu zu bringen, dass sie ihr Konto Kriminellen zur Verfügung stellen.

Tatsächlich hat es aber für die Sicherheit überhaupt keinen Wert, wenn man gegenüber einer Bank (oder sonstigen Unternehmung) lauter Daten noch einmal angibt, die der Bank (oder sonstigen Unternehmung) längst bekannt sind. Die einzigen, die an solchen Angaben Interesse haben können und die deshalb solche Angaben einfordern, sind gewerbsmäßig agierende Betrüger, die sich für die Datenakquise als Bank (oder sonstige Unternehmung) ausgeben, um danach mit dem Geld anderer Leute mal so richtig groß einkaufen zu gehen.

Um Ihnen weiterhin einen sicheren Service anbieten zu können, ist die Bestätigung Ihrer persönlichen Daten notwendig. Ihr Nutzerkonto wurde temporär gesperrt.

Wie bitte? Was hat die Korrektmeit „meiner persönlichen Daten“ mit der Sicherheit der Dienstleistung einer Bank zu tun? Die hätte auch sicher zu sein, wenn ich nur als Daisy Duck aus Entenhausen bekannt wäre.

Nach Abschluss der Bestätigung wird Ihr Nutzerkonto automatisch freigeschaltet.
Die Bestätigung können Sie über den unten ausgeführten Button starten.

Die gleichen Leute, die im vorigen Absatz von „Sicherheit“ gefaselt haben, erzählen jetzt, dass ich die „Sicherheit“ durch einen Klick in eine nicht digital signierte E-Mail herstellen kann, wie sie mir jeder der potenziell acht Milliarden Internetteilnehmer zusenden könnte. Das sind Spezialexperten für Sicherheit! Und damit wirklich ein paar Naive so dumm sind, dass sie darauf reinfallen…

Kommen Sie dieser E-Mail innerhalb 14 Tagen nicht nach, ist die Freischaltung nur über den Postweg möglich. Dabei wird eine Bearbeitungsgebühr in Höhe von 79,95€ fällig, welche wir anschließend von Ihrem Konto abbuchen werden.

…werden in ein paar Tagen angeblich grundlos achtzig Euro fällig, weil man auf eine E-Mail nicht reagiert – was ja auch daran liegen könnte, dass die Zustellung gescheitert ist, dass die E-Mail als Spam aussortiert wurde oder dass sie an eine wegen Spamverseuchung nicht mehr aktiv genutzte E-Mail-Adresse geht. Deshalb kommen derartige Fristsetzungen aus Gründen der Rechtssicherheit ja auch nicht über E-Mail, sondern immer mit der Sackpost.

Jetzt anmelden

Der Link führt natürlich nicht zur Website der Sparda-Bank, sondern zum Server mit der IP-Adresse 190.123.45.36 (nein, es wird im Link keine Domain verwendet), der im sonnigen Panama gehostet ist. Alles, was man dort an Daten eingibt, geht direkt an Verbrecher.

Immerhin hat der Hoster schnell auf die Abuse-Mail reagiert. Der von den Phishern angemietete Server ist bereits vom Netz. Vermutlich wird jetzt ein anderer Server irgendwo auf der Welt verwendet.

Wir bitten Sie die Umstände zu entschuldigen und bedanken uns bei Ihnen für Ihr Verständnis.

Oh, so ein pseudohöflicher Dank nach einer unverschämten Belästigung ist genau das, was in mir immer das akute Bedürfnis nach negativem sozialen Feedback in Form eines eingeschlagenen Fressbrettes auslöst. Leider hat der Idiot von Spammer dieses kleine Juwel der Kundenverachtung aus echten Texten echter Unternehmungen abgeschrieben – ich durfte derartige Unverschämtheiten jedenfalls immer wieder einmal lesen. Bei jemanden, der kein Masochist ist, sollten derartige Phrasen nur dazu führen, dass man Verträge so schnell wie möglich (und im Zweifelsfall unter Vorwand) kündigt und derart kundenverachtende Klitschen mit ihrer Arschlochsprache fortan vollständig meidet.

Mit freundlichen Grüßen
Ihre Sparda Bank

Mit intelligenzverachtenden Grüßen
Dein Phishing-Spammer

Diese Spam ist ein Zustecksel meines Lesers M.S.

Ihr PayPal-Konto ist eingeschränkt

Mittwoch, 20. April 2016

„Leer“ ist das Wort, „leer“… 😀

Von: PayPal <noreply (at) paypal (punkt) de>

Natürlich ist der Absender gefälscht. Diese (relativ gut gemachte) Phishing-Spam hat niemals einen Server von PayPal gesehen.

E-Mail-Adresse
gammelfleisch@tamagothi.de

Hey, Spammer! Die Empfänger-Mailadresse steht bereits im To-Header und ist damit eine völlig überflüssige Angabe. Und auch…

Datum
20.04.2016

…das Datum steht im Header und wird in jeder Mailsoftware angezeigt.

Aber vermutlich glaubst du, dass deine Spam besser und „offizieller“ aussieht, wenn sie möglichst viele in einer E-Mail sinnlose Angaben enthält, die in einem Sackpost-Brief sinnvoll wären.

Sicherheitsmaßnahme

Auch auf die Gefahr hin, mich immer wieder zu wiederholen…

Lieber Kunde

…kennt PayPal einen anderen Namen für seine Kunden als „Lieber Kunde“ und würde diesen anderen Namen in seiner Anrede verwenden. Da die Spammer inzwischen aus diversen Datenlecks viele Zuordnungen von Klarnamen zu Mailadressen haben, ist eine völlig unpersönliche Anrede kein sicheres Erkennungszeichen für jeden Phishing-Versuch mehr, aber wo sie auftritt, ist immer noch klar, dass man es mit Betrügern zu tun hat.

Im Zusammenhang damit, dass angeblich Probleme mit einem Konto vorliegen, sollte das zu sofortigen Zuckungen im Löschfinger führen.

unser Sicherheitsteam musste Ihr Nutzerkonto bedauerlicherweise einschränken. Der Grund dafür ist, dass wir eine verdächtigte Zahlungstransaktion erfasst haben. Dies war also eine reine Sicherheitsmaßnahme.

Aha, ein Bezahldienst schaltet ein Konto ab, weil es zum Bezahlen benutzt wird. Gut zu wissen. 😀

Und was kann man dagegen tun?

Wir bitten Sie deshalb Ihre Daten binnen 7 Tagen zu bestätigen, damit Sie Ihr Konto wie gewohnt weiter nutzen können.

Richtig: „Seine Daten bestätigen“. Also: Dem angeblichen „PayPal“ der Spammer lauter Daten mitteilen, die das richtige PayPal schon längst kennt. Und damit man das auch ja richtig macht, wird es hier noch einmal erklärt:

Was muss ich jetzt machen?

  • Folgen Sie dem Button [sic!]
  • Verifizieren Sie sich
  • Sie können Ihr Konto uneingeschränkt nutzen

Zur Überprüfung

Man soll „dem Button folgen“. Klingt ja auch viel besser als „auf einen Link in einer E-Mail klicken“, ist aber genau das. Genau genommen klingt es nicht einmal besser, sondern einfach nur dümmlich. Dieser Link führt nicht etwa zu PayPal, sondern zum URL-Verlängerer (Ja, die Welt ist so reif!) megaurl.co, der dann zu einer Website in die Domain paysecuree (punkt) com weiterleitet. Diese Domain…

$ whois paysecuree.com | grep -i '^registrant'
Registrant Name: James Axxxxx
Registrant Organization: N/A
Registrant Street: Oxxxxx 20   
Registrant City: Ede
Registrant State/Province: Other
Registrant Postal Code: 6xxxGK
Registrant Country: NL
Registrant Phone: +31.068416xxxx
Registrant Phone Ext: 
Registrant Fax: 
Registrant Fax Ext: 
Registrant Email: aledax23@gmail.com
$ _

…gehört nicht PayPal und hat nichts mit PayPal zu tun. Ich habe ein paar Dinge unkenntlich gemacht, obwohl es offen zugängliche Daten sind, weil ich davon ausgehe, dass hier die Identität eines anderen Menschen missbraucht wird. Der Mensch mit dieser Anschrift tut mir leid, denn er wird wegen der asozialen Kriminalität anderer Leute eine Menge Ärger und Laufereien bekommen, auf die ein Mensch gut verzichten kann. So etwas ist übrigens auch ein Grund, weshalb man immer sparsam mit seinen persönlichen Daten umgeht und sie nicht überall eingibt, wo man sie eingeben kann. Auch nicht für eine Handvoll Glasperlen… ähm… für einen kostenlos nutzbaren Dienst im Web oder für eine kostenlos nutzbare App oder dergleichen. Und auch nicht bei Anbietern, die „seriös“ aussehen, denn das Wichtigste beim Betrug ist nun einmal ein „seriöses“ Aussehen.

Diese Webseite, die nicht von PayPal ist und die übrigens den Titel „Ihr Konto wurde vorübergehend eingefroren“ trägt, sieht übrigens so aus:

Screenshot der Phishing-Seite

Sie funktioniert übrigens nicht ohne Javascript. Wer – wie ich es unbedingt empfehle – nicht jeder dahergelaufenen Seite in einem anonymisierenden, technischen Medium das Ausführen von Code im Webbrowser gestattet, sondern dieses Privileg nur ausgewählten Seiten geben möchte und deshalb ein scheinbar „unbequemes“ Browser-Addon wie NoScript verwendet und PayPal die Ausführung von Javascript erlaubt hat, bemerkt spätestens beim Nichtfunktionieren dieser Seite, dass etwas nicht stimmt.

Aber vermutlich ist niemand, der sich auch nur rudimentäre Gedanken um Computersicherheit macht, so weit gekommen. Es gibt vorher genug Alarmzeichen, obwohl die Spam zugegebenermaßen gut gemacht ist:

  1. Die Spam geht an willkürlich eingesammelte Mailadressen. Wer für einen Dienst wie PayPal eine eigene Mailadresse verwendet, die nirgends anders verwendet wird und deshalb nicht „eingesammelt“ werden kann, merkt sofort, dass etwas nicht stimmt.
  2. PayPal versendet solche E-Mails mit Klickmich-Aufforderung nicht.
  3. PayPal spricht seine Kunden persönlich an.
  4. Jeder Mensch, der weiß, dass man gegenüber E-Mail gar nicht misstrauisch genug sein kann, klickt nicht in die Spam, sondern ruft die PayPal-Website auf und meldet sich dort ganz normal an. Wenn dabei kein Problem angezeigt wird, ist unmittelbar klar, dass die E-Mail eine Spam ist.
  5. Ein PayPal-Link, der nicht in die Website von PayPal geht, ist hochverdächtig.
  6. Ein paar Formulierungen – insbesondere dieses „Folgen Sie dem Button“ statt einer Form von „Click here“, die immer häufiger von Spamfiltern aussortiert wird – sind doch ein bisschen zu lächerlich, um echt sein zu können.

Mit freundlichen Grüßen
Ihr Team für Kundensicherheit

Ja, ihr mich auch mal!

Copyright © 1999-2016 PayPal. Alle Rechte vorbehalten. PayPal (Europe) S.à r.l. et Cie, S.C.A., Société en Commandite par Actions. Eingetragener Firmensitz: 22-24 Boulevard Royal, L-2449 Luxembourg RCS Luxembourg B 118 349.

Nein, diese Spam kommt natürlich nicht von PayPal. Aber weil ich das immer wieder sage, sage ich es auch hier, und zwar mal mit etwas deutlicheren Worten: Wer „geistiges Eigentum“ auf den massenhaft reproduzierten Standardtext einer E-Mail proklamiert, macht sich lächerlich und stellt sich selbst als Vollidiot dar. Unter einem Brief, der mit der Sackpost an seinen Empfänger zugestellt wird, würde auch niemand so einen hirnlosen Rotz schreiben, wenn er mehr Intelligenz als eine frisch amputierte Laborratte hat und die Intelligenz der Leser seiner Briefe nicht gerade offen verachten möchte. Unter einer E-Mail ist es genau so dumm. Und diese Dummheit ist nicht die Dummheit von Spammern, sie ist direkt von PayPal abgeschaut, denn es ist die Dummheit PayPals, die man in jeder E-Mail von PayPal „genießen“ darf.

Deshalb noch ein kleiner Nachschlag von mir, in leicht jovialem Ton, der sinngemäß auch auf viele Kreditinstitute übertragbar ist:

Hey, PayPal,

könnt ihr bitte mal mit diesem von jedem Kriminellen leicht über die Zwischenablage zu imitierenden Bullshit mit dem „Copyright“ und dem „All rights reserved“ unter euren E-Mails aufhören, der keinerlei Funktion hat, juristisch bedeutungslos ist und einfach nur so dumm ist, dass es weh tut! Ich wäre euch sehr dankbar dafür.

Stattdessen könnt ihr einfach mal etwas sinnvolles mit euren E-Mails machen. Zum Beispiel könntet ihr damit beginnen, sie digital zu signieren, um den Phishing-Betrügern das Leben wenigstens ein bisschen schwerer zu machen. Technische Verfahren und Software zu ihrer Umsetzung stehen seit rd. 25 Jahren (ja, das ist ein Vierteljahrhundert, also ungefähr fünfzig Erdzeitalter der Informationstechnik) jedem zur Verfügung, der sie nutzen will, und inzwischen sogar Frei und kostenlos. Wenn ihr dann auch noch euren Kunden erklärtet, was eine digitale Signatur ist, warum eine digitale Signatur bei der Nutzung eines Mediums, in dem jeder seinen Absender fälschen kann, erforderlich ist und wie man die digitale Signatur überprüft (und gegebenenfalls selbst nutzt) und keine einzige unsignierte E-Mail mehr heraussendetet, hättet ihr fast alles gegen das Phishing getan, was ihr tun könntet – denn es wäre nicht mehr möglich, eine Mail von euch zu fälschen.

Wenn ihr digitale Signaturen nutztet, hätten sich viele Probleme erledigt.

Dass ihr das nicht tut, obwohl es praktisch keine Kosten verursachte, zeigt, dass ihr es nicht tun wollt. Und dass ihr das nicht tun wollt, zeigt, dass euch die Sicherheit des Zahlungsverkehrs eurer Kunden scheißegal ist, denn sonst würdet ihr Betrugsmöglichkeiten im Keim ersticken, wenn es nahezu kosten- und aufwandslos möglich wäre.

Ich hoffe, dass jeder eurer Kunden daraus die richtigen Schlüsse ziehen kann.

Ich hoffe ferner, dass ihr für diese eure Fahrlässigkeit einmal haftbar gemacht werdet und die dadurch bei anderen Menschen angerichteten Schäden erstatten müsst.

Ich befürchte aber, dass ich das nicht mehr erlebe.

Statt, dass ihr euren E-Mails etwas sinnvolles hinzufügt, nämlich eine digitale Signatur, fügt ihr ihnen etwas sinnloses hinzu, nämlich einen Hinweis, dass ihr für das großartige „Werk“ den vollen Schutz des „geistigen Eigentums“ beansprucht.

Ihr macht euch damit zu Freunden der Phisher. Aus Dummheit.

Nur, ums euch mal gesagt zu haben.
Der Nachtwächter

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.