Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Kategoriearchiv „Phishing“

Laufendes Phishing von Google-Mail-Accounts

Montag, 16. Januar 2017

Symbolbild: Wurm als Köder am AngelhakenDies ist keine Spam, sondern ein Hinweis auf eine laufende Form des Phishings, auf die erstaunlich viele Menschen hereinzufallen scheinen – und natürlich die Aufforderung, nicht darauf hereinzufallen.

Wenn sie den Webmailer eines Freemail-Providers benutzen – ich empfehle ihnen übrigens dringend die Benutzung einer guten Mailsoftware – dort auf ein Bild oder einen Link in einer empfangenen E-Mail klicken und daraufhin aufgefordert werden, sich neu einzuloggen… bis dahin kennen sie das Muster sicher schon… dann achten sie nicht nur darauf, dass wirklich accounts.google.com in der Adresszeile ihres Webbrowsers steht, sondern auch darauf, dass diese Adresszeile nicht mit data: beginnt! [Der Link geht auf einen englischen Text.]

Technisch betrachtet haben die Phisher ihre Phishing-Seite nicht irgendwo im Web abgelegt, sondern einfach in Form einer Data-URL eingebettet, die sich in der Adresszeile des Browsers so präsentiert, dass ein täuschender Eindruck erweckt wird.

Von einer kommenden Ausweitung des Verfahrens auf andere Freemail-Anbieter, auf Social-Media-Sites und auf das Phishing von Bankdaten gehe ich aus.

Deshalb nochmal: Niemals Zugangsdaten in ein Browserfenster eingeben, dessen angezeigte Adresse mit data: beginnt! Noch besser und sicherer ist es freilich, wenn man sich niemals irgendwo anmeldet, nachdem man einen Link in einer Mail, einem Tweet oder in sonst etwas prinzipiell Spambarem geklickt hat, sondern stattdessen immer die Startseite des entsprechenden Webdienstes von Hand aufruft (Browser haben dafür eine praktische Lesezeichen-Funktion), um sich dort dann eventuell anzumelden. Wenn dabei auf einmal keine Anmeldung mehr nötig ist, hat man einen Phishing-Versuch abgewehrt. Diese an sich sehr einfache, aber leider etwas unbequeme Vorsichtsregel hätte übrigens auch diese neue Form des Phishings verhindert.

Hinweis via @benediktg@gnusocial.de

Ihre Postbank – Wichtige Informationen fur Sie

Montag, 26. Dezember 2016

Nein, diese E-Mail kommt nicht von der Postbank. Es ist eine Spam. Sie kommt auch bei Menschen wie mir an, die gar nichts mit der Postbank zu tun haben. Sie wird auch an Honigtopf-Mailadressen gesendet.

Von: Postbank-Center <storm2 (at) bsvst (punkt) ru>

Wenn der Spammer schon eine Absenderadresse fälscht, dann könnte ja auch eine nehmen, die so aussieht, als hätte sie etwas mit der Postbank zu tun.

Datum: 26. Dezember 2016, 07:29 Uhr

Typische Postbank-Arbeitszeiten eben! :mrgreen:

Die eigentliche Mail ist ohne Text; sie besteht in ähnlicher Weise wie die kürzliche Phishing-Kampagne der angeblichen „Deutschen Bankengemeinschaft“ nur aus drei Grafiken. Wer eine gute Mailsoftware in ihren Standardeinstellungen benutzt, sieht gar nichts. Leider tun viele Menschen das nicht, und die sehen den folgenden Überrumpelungsversuch:

Screenshot der Spam -- Postbank -- Sehr geehrter Postbank Kunde, -- Die Sicherheit unserer Kunden steht für uns an erster Stelle. Aus diesem Grund entwickeln wir unsere Sicherheitsstandards stetig weiter. Wir bitten Sie daher, ihr Konto für unsere neuste Digital Zertifizierte Bankingapp freizuschalten. Sie profitieren anschließend von Vorteilen wie dem digitalen Unterzeichnen von Aufträgen oder dem Freigeben von eingehenden Zahlungen. Schützen Sie Ihr Konto gegen unberechtigten Zugriff und sichern Sie sich vor Bedrohungen aus dem Internet ab. Befolgen Sie die nächsten Schritte bitte aufmerksam. Dieser Vorgang nimmt nur wenige Minuten in Anspruch. -- Buttonartige Grafik: Zum nächsten Schritt -- Durch das Herunterladen und Installieren bringen Sie ihr Smartphone auf den neusten Stand. Wir danken für Ihr Verständnis -- Mit freundlichen Grüßen, Ihr Postbank Kundenservice

Der Link auf der Grafik „Zum nächsten Schritt“ führt dann auch nicht in die Website der Postbank, sondern in die Website einer obskuren Subdomain von 92nshffh4 (punkt) ru. Das sieht man übrigens vorm Klicken, wenn man in die Statuszeile seiner Mailsoftware schaut – niemand muss sich also der Gefahr aussetzen, sich dort auch noch Schadsoftware einzufangen. Doch selbst, wenn einem der Blick auf die Statuszeile zuviel Mühe ist, lässt sich diese E-Mail beim Lesen leicht als Sondermüll erkennen.

  1. Die unpersönliche Anrede „Sehr geehrter Postbank Kunde“ (mit Deppen Leer Zeichen) würde in einer echten E-Mail der Postbank nicht verwendet werden.
  2. Normalerweise wird sich eine Mitteilung an einen Bankkunden auf ein bestimmtes Konto beziehen (wenn es keine Reklame der Bank ist). Dieses Konto wird immer genannt werden. Es ist nicht so selten, dass ein Mensch mehrere Konten unterhält. Spammer wissen die Kontonummer in der Regel nicht.
  3. Technische Wartungsarbeiten wie „ihr Konto für unsere neuste [!] Digital Zertifizierte Bankingapp freizuschalten“ gehören weder in den Aufgabenbereich noch in den Möglichkeitsbereich eines Bankkunden; so etwas wird von der Bank erledigt, ohne dass die Kunden überhaupt etwas davon mitbekommen.
  4. Worin liegt der vom Spammer angepriesene Vorteil beim „digitalen Unterzeichnen von Aufträgen“? Aufträge konnten auch vorher rechtssicher erteilt werden, und dies führte zu keinerlei Problemen bei der Abwicklung.
  5. Worin liegt der vom Spammer angepriesene Vorteil beim „Freigeben von eingehenden Zahlungen“? Ist es so typisch für Postbank-Kunden, dass sie sagen: „Nee, diese Buchung mit meinem Weihnachtsgeld, die will ich nicht“?
  6. Das Konto vor unberechtigtem Zugriff zu schützen ist Aufgabe der Bank. Wenn sie diese Aufgabe nicht erfüllen kann, sollte man ihr kein Geld und keinerlei andere Dinge von Wert anvertrauen.
  7. „Wir danken für Ihr Verständnis“ ist eine leserverachtende, pseudohöfliche, arrogant-widerliche Formel zur unterschwelligen Beschimpfung von Menschen, die wohl meist kein Verständnis haben werden. So etwas würde der echten Postbank hoffenlich niemals rausflutschen. Wer auch nur eine Spur Respekt vor seinen Kunden hätte, würde natürlich um Verständnis bitten, statt sich für das nicht vorhandene Verständnis zu bedanken.

So viel nur zu diesen wenigen Worten.

Die in der Spam verlinkte Website ist inzwischen zum Glück nicht mehr erreichbar – offenbar wollte der Hoster nicht zum Komplizen der Verbrecher werden und hat den Stecker gezogen. Es ist davon auszugehen, dass morgen schon die nächste Fuhre Spam mit dann wieder funktionierenden Links ausgeliefert wird. Auf der verlinkten Website eingegebene Daten gehen direkt an die Organisierte Kriminalität, und eine von der verlinkten Website heruntergeladene App für das Smartphone wird das reinste Schadsoftware-Gift sein und aus dem Smartphone ein Smartphone anderer Leute machen. (Ein eventuell laufendes Antivirus-Programm auf dem Smartphone wird vermutlich nicht davor schützen.)

Der beste, wichtigste und wirksamste Schutz vor Phishing und derartigen Überrumpelungen besteht nach wie vor darin, niemals in eine derartige E-Mail zu klicken, und zwar völlig unabhängig davon, wie „echt“ sie aussieht. Einfach die Website der Bank aufrufen und sich dort ganz normal anmelden – wenn wirklich ein Problem vorliegt, das Handeln erfordert, wird das dort ebenfalls unübersehbar angezeigt werden.

Diese leider immer noch erschreckend erfolgreiche Form der Spam funktioniert nur, wenn dem Empfänger ein Link untergeschoben werden kann. Und das geht nur, wenn der Empfänger in die Mail klickt. Deshalb: Immer daran denken, dass E-Mail gefährlich ist, dass der Absender gefälscht sein kann und dass das typische Design einer Bank oder eines Unternehmens leicht imitiert werden kann¹. Niemals in eine E-Mail einer Bank oder eines anderen Unternehmens klicken, mit dem man Geschäfte macht! Immer die Website direkt im Browser aufrufen! Diese ebenso einfache wie wirksame Vorsichtsmaßnahme kann einem sehr viel Geld und Ärger ersparen…

¹Jedes aufgeweckte Kind kann E-Mail-Absender fälschen, genau so, wie jeder Mensch jeden beliebigen Absender auf einen Brief schreiben könnte, der mit der Sackpost versendet wird. Und die Übernahme grafischer Elemente aus einer „corporate identity“ ist von banaler Einfachheit, wie man sehr „schön“ an diesem Postbank-Beispiel gesehen hat. Natürlich könnten Banken endlich damit beginnen, kryptografisch signierte E-Mail zu versenden und unter ihren Kunden für die Überprüfung dieser Signaturen zu werben, um den Phishing-Sumpf ein für allemal auszutrocknen, aber das ist nicht erwünscht. An etwas anderem als den (mutmaßlich politischen) Wünschen kann es nicht scheitern. Es würde im täglichen Prozess kein Geld kosten, wäre in der Programmierung eher unaufwändig und hätte keine damit verbundenen Nachteile. Banken und große Unternehmen, die sich auch im Jahr 2016 noch verweigern, E-Mail kryptografisch zu signieren, sind Helfershelfer der Organisierten Kriminalität und sollten das auch immer wieder einmal von ihren Kunden mitgeteilt bekommen.

Ihr Konto wurde eingefroren, Elias Schwerdtfeger

Freitag, 16. Dezember 2016

Oh, das liegt in der Tiefkühltruhe? Hält sich das Geld da länger? :mrgreen:

(Ich habe kein Konto bei der Deutschen Bank. Diese Mail kommt nicht von der Deutschen Bank. Sie ging an eine im Web „eingesammelte“ Mailadresse. Sie geht an jede Mailadresse, die sich im Web einsammeln lässt. Es ist Spam-Schrotmunition von Phishern.)

Von: „warnung@deutschebank.de“ <info (at) lingerie (strich) gallery (punkt) de>

Hey, Spammer! Wenn du schon deinen Absender fälschst…

Logo der Deutschen Bank Deutsche Bank Mitteilung

…dann kannst du es doch auch so machen, dass es wie eine echte Mail der Deutschen Bank aussieht, die von einer Mailadresse aus der Domain der Deutschen Bank versendet wurde. Ist doch auch nicht mehr Aufwand. So bemerkt jedenfalls jeder, dass es sich um eine weitere, dumme Phishing-Spam handelt.

Gut, dass die Spammer oft dermaßen mies sind, sonst wäre alles noch viel schlimmer. 😉

Sehr geehrter Herr Elias Schwerdtfeger,

Immerhin, das stimmt zur Abwechslung mal.

leider mussten wir aus technischen Gründen Ihr Deutsche Bank Konto temporär einfrieren, da es zu Unstimmigkeiten in Bezug auf Ihren persönlichen Adressdaten gekommen ist, welche veraltet oder ungültig sind. Wir bitten Sie, diese schnellstmöglich zu aktualisieren, da es sonst zu einer dauerhaften Sperre führen kann.

Aber…

  • …erstens würde eine richtige Bank nicht so eine Mail versenden, und
  • …zweitens würde eine richtige Bank in jedem Schriftverkehr wegen eines Kontos angeben, um welche Kontonummer es sich handelt. Dass jemand mehrere Konten hat, ist nämlich gar nicht so selten.

Jetzt beheben!

Wer da klickt, lasse alle Hoffnung fahren!

Der Link geht nicht etwa auf die Website der Deutschen Bank, sondern auf eine Website in der Domain dbkunden (punkt) info, die…

$ whois dbkunden.info | grep '^Creation'
Creation Date: 2016-12-10T23:38:11Z
$ _

…ganz frisch vor noch nicht einmal einer Woche unter Angabe einer offensichtlich unzutreffenden Anschrift eingerichtet wurde. Zurzeit ist diese Website nicht verfügbar, weil offenbar der Hosting-Provider den Stecker gezogen hat, um den Schaden zu begrenzen. Das gefällt mir. Aber in Kürze werden die gleichen Spams mit anderen Links versendet werden.

Nach einem Login werden Sie automatisch nach [sic!] einer Aktualisierung gebeten, welche zwei Minuten Ihrer Zeit erfordert und eine sofortige entsperrung [sic!] Ihres Kontos herbeiführt.

Der Link ist gesetzt, jetzt lässt die Konzentration des unbekannten Autors nach und es häufen sich kleine, auffällige Fehler. 😀

„Aktualisierung“, gern auch „Verifizierung“ genannt, heißt bei Phishern, dass man auf einer Webseite in einer obskuren Domain alle möglichen Daten eingeben soll, die der Bank schon längst bekannt sind. Welchen Zweck dieser Vorgang bei einer richtigen Bank haben sollte, ist eine Frage, die sich schon nach ganz kurzem Nachdenken stellt – gefolgt von der Einsicht, dass es ein völlig sinnloses Verfahren wäre. Und von dieser Einsicht ausgehend braucht es nicht mehr viel weiteres Nachdenken, bis die miese Masche der Kriminellen erkannt und die Spam einfach gelöscht wird. Das ist nur ein kurzes Zucken im Löschfinger. Zumal die Deutsche Bank auf ihrer Website sehr deutlich klarstellt, dass sie niemals vertrauliche Daten über eine E-Mail, eine SMS oder telefonisch abfragen wird¹. Es handelt sich bei derartigen E-Mails also immer um Phishing.

Wir danken Ihnen,
Ihr Serviceteam der Deutschen Bank

Nichts zu danken, ich lösche gern meine Spam.

© 2016 Deutsche Bank Privat -und Geschäftskunden AG, Frankfurt am Main

Nichts ist lächerlicher als die rechtlich vollkommen unwirksame und deshalb dumm wirkende Proklamation „geistigen Eigentums“ auf eine E-Mail.

Diese Spam ist ein weiteres Beispiel dafür, dass auch schlechtes Phishing auf einmal sehr gefährlich werden kann, wenn es mit einer korrekten namentlichen Ansprache des Empfängers kommt und damit für deutlich stärkere Alarmstimmung als ein „Sehr geehrter Kunde“ sorgt.

Zum Glück kennen die Spammer zwar inzwischen viele Zuordnungen von Namen zu Mailadressen, aber noch keine Kontonummern. Sonst wäre eine derartige Phishing-Mail noch viel gefährlicher.

Wer eine E-Mail „von seiner Bank“ bekommen hat, sollte niemals auf den Link in der E-Mail klicken, sondern einfach die Website seiner Bank aufrufen und sich dort wie gewohnt anmelden. Eine echte Sperrung oder ein anderes Problem würde dort sofort nach dem Einloggen angezeigt, vermutlich ergänzt um die Angabe der Kontaktdaten eines Ansprechpartners zur Klärung der Angelegenheit. Diese sehr einfache Haltung ist auch schon der beste Schutz vor Phishing von Bankdaten. Er funktioniert auch dann noch, wenn die Phishing-Spams einmal sehr viel besser gelungen sind als das mir vorliegende Beispiel, das recht durchschnittlich und durchschaubar ist.

Einen Hinweis, wie man eine derartige Spam überzeugender formulieren könnte, möchte ich den Spammern aus hoffentlich nachvollziehbaren Gründen nicht geben… 😉

¹Für den leider nicht unwahrscheinlichen Fall, dass die Deutsche Bank demnächst mal wieder die Struktur ihrer Website auf den Kopf stellen und damit alle bestehenden Links entwerten wird, gibt es hier noch einen Link auf eine dauerhaft archivierte Version des Hinweises. Er findet sich durch Aufklappen von „Aktuelles“.

Wichtige Mitteilung zu Ihrem Bankkonto!

Donnerstag, 8. Dezember 2016

Keine Panik! Das ist eine Spam. Die „Deutsche Bankengemeinschaft“ gibt es nicht. Was in der Spam steht, ist Bullshit. Die Spam löschen! Auf keinen Fall in die Spam klicken und erst recht keine Bankdaten eingeben!

Screenshot Thunderbird. Externe Grafiken werden nicht dargestellt. Sichtbar sind die ALT-Texte der Bilder. Der Text lautet: 3rf45d -- 43w2qfd -- fxcwe56342

Hey, Spammer,

du hast recht. Man kann natürlich eine Phishingmail machen, die so aussieht wie deine, wenn man sie in einem Mailclient anschaut, der keine externen Grafiken nachlädt¹. Aber das wirkt dann auch sehr, sehr lächerlich. Die Tatsache, dass du dir mit deiner von dir erfundenen „Deutsche Bankengemeinschaft“ neben dem für deine kriminelle Tätigkeit missbrauchten Bundesadler so viel Mühe gegeben hast, den Kunden „Sehr geehrter Kunde“ mit einer „Sicherheitsaufforderung“ zu verblenden…

Der gesamte Text liegt in Form einer Grafik vor: Deutsche Bankengemeinschaft -- Sicherheitsaufforderung (Schnittstelle zur Sicherheitsüberprüfung) -- Sehr geehrter Kunde, -- auf Grund gravierender Sicherheitslücken in einigen Online-Banking Sicherheitsverfahren, ist die Deutsche Bankengemeinschaft dazu verpflichtet unmittelbar zu handeln. -- Eine große Anzahl von Bankkunden sind von diesen massiven Sicherheitslücken betroffen. Nachdem wir sie telefonisch leider nicht erreichen konnten, bieten wir ihnen über diesen Weg an ihren Sicherheitsstatus zu überprüfen. -- Für die Überprüfung haben sie 2 Möglichkeiten -- 1. Möglichkeit: -- Vereinbaren sie einen Termin mit ihrer Hausbank und nehmen sie mit: Ihre Kontodaten / EC-Karte und ihren gültigen Personalausweis, ihre aktuelle Mobilfunknummer und 27€ Aufwandsgebühr (manuelle Überprüfung) -- 2. Möglichkeit: -- Überprüfen sie gleich online und kostenfrei, ob sie von einer Sicherheitslücke betroffen sind, indem sie dazu bitte auf den folgenden Link klicken (Sicherheit überprüfen).
Sicherheit überprüfen
Impressum -- Deutsche Bankengemeinschaft (DBG) -- Graurheindorfer Str. 108 -- 53117 Bonn -- Postfach 1253 -- 63002 Bonn -- © 2016 DBG

…vermag diesen lächerlichen Eindruck auch nicht abzumildern.

Ach ja, Lächerlichkeit: Es ist schade, dass du nicht gelernt hast, wann ein Komma gesetzt wird und dass bei allem deinem Streben nach Layout deinem Text doch ein wenig Stil fehlt. Vier klare Komma- und Rechtschreibfehler, ein Grammatikfehler, drei stilistisch ausgesprochen schwache Stellen, und das alles in einem derartigen Kurztext² – da wirkt eine „Bankengemeinschaft“ als Absender, die sich mit einem Hoheitszeichen der Bundesrepublik Deutschland schmückt, sehr unglaubwürdig.

Meint jedenfalls dein dich „genießender“
Nachtwächter

¹Das ist zum Schutz der Privatsphäre unbedingt erforderlich. Eine HTML-formatierte E-Mail kann durch das Nachladen einer Grafik heimlich „zurückfunken“, dass sie gelesen wurde. So lernen Spammer und Werber, wo sich der Aufwand lohnt. Gute Mailsoftware lädt externe Bilder nur auf explizite Anforderung.

²Nein, ich korrigiere die Fehler nicht und streiche sie auch nicht an. Ich habe nämlich schon einmal erlebt, dass hier ein Spammer mitgelesen und meine Verbesserungen in die nächste Spamwelle aufgenommen hat. Es gehört nicht zu meinen Absichten, Spammern zu helfen.

PayPal Verifikation

Samstag, 26. November 2016

Erstmal ein Blick aufs Layout der HTML-formatierten Spam:

Screenshot des Layouts der Spam, wie es in einer Mailsoftware erscheint

Für Menschen, die sich leicht vom Layout verblenden lassen – und da PayPal sich auch im Jahre 2016 noch nicht dazu durchgerungen hat, grundsätzlich digital signierte E-Mail an seine Kunden zu schreiben, besteht ja auch gar keine Möglichkeit, den Urheber der Mail sicherzustellen¹ – ist das eine überzeugende E-Mail „von PayPal“.

Natürlich ist diese Spam nicht von PayPal…

Von: PayPal <paypalsecuria14 (at) online (punkt) de>

…wie man schon am Absender sehen kann.

Schon bitter für den Spammer, wenn er zwar ein tolles Layout für seine Phishing-Kampagne gebaut hat, es aber nicht hinbekommt, seinen Absender so zu fälschen, dass die Mail wie eine echte Mail von PayPal aussieht. Übrigens: In eine E-Mail kann ein beliebige Absenderadresse eingetragen werden (ganz ähnlich, wie man auch einen beliebigen Absender auf einen Briefumschlag schreiben kann). Die Fälschung des Absenders ist also „Kinderkram“. Diese Möglichkeit nicht dazu zu nutzen, einen Absender aus der Domain paypal (punkt) com einzutragen, ist schon sehr sehr blöde.

Aber bin ich mal froh darüber, dass sich die meisten Spammer nicht vorgedrängelt haben, als der Herrgott die Intelligenz verteilt hat, denn sonst würden noch mehr Menschen auf derartiges Phishing hereinfallen.

gammelfleisch@tamagothi.de – Bestätigung erforderlich.

Oh, das ist ja schön, Spammer! Hast du deine Mailadressen mit einem Harvester eingesammelt? Du bist ja ein ganz Großer! 😀

Das echte PayPal spricht seine Kunden übrigens nicht mit ihrer Mailadresse an, sondern mit ihrem für die Registrierung verwendeten Namen. Und wer präventiv für PayPal und andere wichtige Dienste eine eigene, sonst nirgends verwendete Mailadresse benutzt, die auch nicht leicht zu erraten ist – eine Mailadresse ist ja schnell eingerichtet – kann natürlich nicht so leicht von einer „irgendwo eingesammelten“ Mailadresse in einer Phishing-Spam erschrocken werden – wenn es nicht mal wieder ein Datenleck bei eBay oder PayPal gibt, das trotz der erhöhten Gefahr für die rd. 145 Millionen davon betroffenen Kunden monatelang nicht kommuniziert wird.

Online ansehen

Schon klar, mit einer über TinyURL verschleierten Zieladresse des Links.

Mein Dank geht an TinyURL, dass der Link binnen fünfer Minuten nach Meldung dieses Missbrauchs durch Phisher unbenutzbar gemacht wurde! So schnell müsste es immer gehen! Ich hoffe, dass hat vielen naiven Internetnutzern sehr viel Geld, Ärger und juristische Scherereien nach dem eventuellen Missbrauch ihrer PayPal-Konten für Betrug und Geldwäsche erspart.

Sehr Geehrter Kunde,

Das ist mal wieder genau mein Name!

aus Sicherheitsgründen wurde Ihr PayPal-Konto deaktiviert.

Ah ja. In der Tat, ein deaktiviertes Konto ist sicher… :mrgreen:

Und warum wird es nun gesperrt?

Grund dafär sind wiederholt vom Sicherheitssystem verzeichnete,
auffällige Aktivitäten bgzl. Ihrer Kontennutzung. Wir bitten daher um Bestätigung der bei uns hinterlegten Daten, um erneute Aktivierung Ihres PayPal-Kontos vornehmen zu können.

Ah ja, weil es von mir genutzt wird. Und um die Sperrung aufzuheben, soll ich einfach sämtliche von mir bei PayPal angegebenen Daten noch einmal bei PayPal angeben, obwohl jemand, der sich meines Kontos ermächtigt hat, Einblick auf diese Daten hätte oder sie sogar verändern könnte. Das ist purer Sicherheits-Bullshit, wie er von PayPal niemals kommen könnte, aber sehr wohl von einem Kriminellen, der neues Kontomaterial für seine „Geschäfte“ braucht.

Und, was war jetzt die Auffälligkeit?

Informationen zur Auffälligkeit:

IP: 187.154.21.214
Land: Tunisia
Log In: gescheitert

Eine Anmeldung ist gescheitert. Das ist doch eine gute Nachricht, dass andere nicht aufs Konto zugreifen können, und keineswegs ein Grund, das Konto zu sperren. Mit einer IP, die angeblich aus Tunesien kommt. In Wirklichkeit kommt sie übrigens aus Mexiko. Aber Menschen, die das überprüfen, gehören nicht zur „Zielgruppe“ dieses Verbrechers, der vor allem naive Internetnutzer überrumpeln will, und so hat sich der Spammer auch keine Mühe gegeben, seine Scheinbehauptung ein bisschen überzeugender zu machen. Denn wenn der Spammer sich Mühe geben wollte, könnte er ja gleich arbeiten gehen.

Übrigens: Wenn PayPal wirklich so empfindlich wäre, dass bei solchen „Auffälligkeiten“ Konten gesperrt werden, könnte man PayPal weder anonymisierend über Tor, noch über einen Proxyserver oder ein VPN, noch im Urlaub nutzen, ohne vorübergehend den Zugriff auf sein Konto zu verlieren. Diese Vorstellung ist absurd, und es bedarf nur weniger Sekunden Nachdenkens, um das zu bemerken. Aber wer das durch kurzes Nachdenken vor seinem Klick bemerken kann, gehört nicht zur „Zielgruppe“ dieses Verbrechers… ach, ich wiederhole mich!

Identität bestätigen

Das Linkziel ist wieder über TinyURL maskiert.

Übrigens: Wenn man seine Identität durch einen Klick und ein paar Eingaben „bestätigen“ könnte, brauchte auf dieser Welt niemand mehr Ausweise und Pässe; der extreme Aufwand, mit dem man diese Papiere herstellt und fälschungssicher macht, könnte einfach eingespart werden.

Diese Spam wurde automatisch erstellt und bleibt daher ohne Grußformel oder vergleichbare simulierte Höflichkeit patzig. Und jetzt mach schon…

Detail aus der Spam: Bild eines Mannes, der angespannt an seinem Klappcomputer sitzt, mit dem Text 'PayPal Verifizieren' darunter.

…und verifizier PayPal! Egal, wo du gerade bist! Je panischer und gedankenloser du das machst, desto besser für die Verbrecher, die dir diese Phishing-Spam ins Postfach gemacht haben.

Und vor allem: Verifizier PayPal! Nicht etwa dich und deine Daten gegenüber PayPal! Den Phishing-Text haben die Spammer ja schon fertig, was sollen die sich am Ende ihrer Spam noch anstrengende Gedanken um irgendwelche Details machen… :mrgreen:

¹Digitale Signatur von E-Mail ist keine Raketentechnologie, die viel Aufwand erfordert. Die dafür erforderliche Software steht frei und kostenlos zur Verfügung. Der Verzicht von Finanzdienstleistern wie PayPal auf die digitale Signatur jeder E-Mail ist eine Förderung des Phishings und der organisierten Internet-Kriminalität, der keinerlei Vorteil gegenübersteht. Angesichts der Verbreitung und langjährigen Renitenz dieser Dummheit fällt es mir inzwischen schwer, nicht an eine verschwörungsartige Absprache (oder Einflussnahme staatlicher Akteure) zu glauben, deren Ziel es ist, die Verbreitung wirksamer, nützlicher und unentbehrlicher kryptografischer Methoden mit allen Mitteln zu unterbinden, koste es, was es wolle.

Deutsche Bank Konto

Donnerstag, 3. November 2016

Das Deutsche Bank Konto bei…

Von: DeutscheBank <info@dekawooncultuur.be>

…DeutscheBank, ja genau das. Da bist du zwar…

Sehr geehrter Kunde,

…Kunde, oder noch besser, du bist da „Sehr geehrter Kunde“, hast aber keine Kontonummer für das Deutsche Bank Konto (oder die Konten), denn sonst würdest du es noch bemerken, dass du es mit einem Phisher und nicht mit deiner Bank zu tun hast. Dafür…

Ungewohnliche Kontobewegungen es notwending gemacht Ihr Konto einzugrenzen bis zusatzliche Informationen zur Uberprufung gesammelt werden.

…bewegt sich dein Konto, und deshalb…

Zur Zeit haben Sie nur begrenzten Zugang zu Ihrem Deutsche Bank Konto. Wir bitten Sie daher die von uns angeforderten daten zu enrneuern.

…musst du ein paar Daten eingeben, um wieder an dein Konto zu kommen, das sich einfach so bewegt. Und zwar alle Daten, die deine Bank schon lange kennt. Also, sehr geehrter Spamempfänger:

Bestätigen

Klick schon! Und wundere dich nicht darüber, dass…

Screenshot der Phishing-Seite, die allerdings Phishing in spanischer Sprache für die Calxa Bank betreibt

…deine Deutsche Bank oder DeutscheBank sich jetzt CalxaBank nennt und auch nicht mehr Deutsch mit dir sprechen mag, sondern füll trotzdem brav deine Zugangsdaten aus, sende sie ab und gib danach noch mehr Daten.

Komm, das machst du doch auch alles, wenn ich mir keine Mühe mit meinem Phishing gebe. Ich habe keine Lust, mir Mühe zu geben. Sonst könnte ich ja gleich arbeiten gehen… :mrgreen:

Weia, Phisher: So schlecht habe ich es lange nicht mehr gesehen.

NorisBank

Mittwoch, 5. Oktober 2016

Aber da bin ich doch gar nicht. Außerdem schreibt sich dieser Bänksterverein selbst als „norisbank“, also in Kleinbuchstaben, und ich glaube nicht, dass er in eventuellen echten E-Mails von seiner Reklamelinie abweichen und eine sonst niemals verwendete Binnenmajuskel nehmen würde. (Ich werde im Fortlauf des Textes die ganz normale Großschreibung benutzen.) Wer dort Kunde ist, sollte also schon am Betreff merken, dass es sich nicht um eine E-Mail der Norisbank, sondern um eine Spam handelt.

Ungewohnliche Kontobewegungen es notwending gemacht Ihr Konto einzugrenzen bis zusatzliche Informationen zur Uberprufung gesammelt werden.

Die „Norisbank“ hat zwar ihre ganze Umlaute mutmaßlich gegen Zinsen verliehen, aber das Konto bewegt sich.

Zur Zeit haben Sie nur begrenzten Zugang zu Ihrem norisbank Konto. Wir bitten Sie daher die von uns angeforderten Kontodaten zu enrneuern.

Completa le informazioni richieste

>> Bitte klicken Sie hier <<

Auch mit den Sprachen kommt die „Norisbank“ zuweilen ein wenig durcheinander. Aber immerhin weiß sie, was „Click here“ auf Deutsch heißt.

Der Link geht allerdings nicht in die Norisbank, sondern nach der üblichen Kaskade von Umleitungen in eine Subdomain von uid0 (punkt) su, die bereits wohlbekannt…

$ surbl uid0.su
uid0.su	LISTED: PH 
$ _

…für Phishing ist. (Mein Shellskript für SURBL-Abfragen kann sich jeder bei Pastebin runterladen.) Dort gibt es übrigens eine italienische PayPal-Anmeldemaske, und was die mit der Norisbank zu tun haben soll, wird sich auch dem dümmsten Dummkopf nicht mehr erschließen.

Wir entschuldigen uns für jegliche Unannehmlichkeiten.

Spart euch die Entschuldigung und hört auf zu spammen! Und wenn ihr schon nicht anders könnt, weil ihr viel zu verkommen seid, um ohne Spam leben zu können, dann seid in euren Spams wenigstens nicht so unendlich blöd! Bei dermaßen schlechtem Phishing wollen sich ja die Gehirnzellen freiwillig in den Tod stürzen.

Copyright @ 2016 norisbank ist ein Unternehmen der Deutsche Bank Gruppe

Ja, mit deklariertem „geistigen Eigentum“ auf eine E-Mail. Auch so ein Selbstmordimpuls für die letzten Hirnzellen, aber den gibts auch immer wieder von richtigen Unternehmen. Kann den dafür verantwortlichen Menschen bitte mal jemand sagen, wie blöd das ist! Vermutlich sind die dummen Reklameheinis, die sich so etwas ausdenken, so gestrickt, dass sie in jedem Gespräch nach jedem einzelnen gesagten Satz das „geistige Eigentum“ für ihre geniale und schöpferische Sprechleistung deklarieren. Können sie ja auch gern untereinander machen, es ist ja ein halbwegs freies Land. Aber in der Kommunikation mit gewöhnlich denkenden Menschen sieht es affig und lächerlich aus. Und Unternehmungen, die ihre Kunden affig und lächerlich ansprechen, brauchen sich nicht über die Folgen zu wundern, wenn sie auf diese Weise ihre eigene Reputation im Klo runterspülen. Welche Folgen? Hierzu ein kleiner Hinweis von mir: Die Menschen, die zu dumm sind, um so etwas zu bemerken (oder die sich sogar davon beeindrucken lassen), haben wegen ihrer Dummheit nicht die größte Kaufkraft; die anderen sind irgendwann woanders. Nachhaltig.

Aktualisierung

Samstag, 24. September 2016

Oh, ich habe aber lange kein Phishing mehr gesehen…

Von: DKB Bank <bankzaken@dkb.de>

Diese Spam hat niemals einen Server gesehen, der dkb.de heißt. Der Absender ist gefälscht. Sie wurde zusammen mit ein paar weiteren hunderttausend dieser Überrumpelungsversuche über einen gemieteten Server bei einem großen deutschen Hoster versendet.

Guten Tag ,

Genau mein Name!

Wie ich eben gesehen habe, gibt es diese Spams auch mit persönlicherer Ansprache.

Seitdem 01.09.2016 müssen all unsere Kunden Ihre persönlichen Daten bestätigen.

Wieso? Ach, weil ein Datum ist. Und…

Die Bestätigung sorgt dafür, dass die hinterlegten Daten stets aktuell sind und aktiviert zugleich unser neues Sicherheitskonzept.

…weil alles viel aktueller und sicherer ist, wenn die „Kunden“ noch einmal lauter Daten rausrücken, die bei der angeblichen Bank schon längt bekannt sind. Damit auch wirklich – obwohl sich inzwischen überall herumgesprochen haben sollte, was Phishing ist – ein paar Leute darauf reinfallen können…

Wie ein Mitarbeiter von uns festgestellt hat, haben Sie die kostenfreie Bestätigung bis heute nicht durchgeführt. Aus diesem Grund wurde Ihr Konto temporär gesperrt.

…wird einfach behauptet, dass das Konto gesperrt wird. Warum? Na, aus Kundendienst und Freundlichkeit natürlich. Und wegen des weiter oben erwähnten Datums. Ein Kreditinstitut, das wirklich so vorginge, könnte wegen dieser Nötigung angezeigt werden und wäre für den angerichteten Schaden regresspflichtig.

Wer mir nicht glaubt, dass das eine Spam ist, kann sich sehr einfach davon überzeugen, dass das Konto mitnichten gesperrt ist. Danach bitte die Spam löschen und auf gar keinen Fall jemals auf die Idee kommen, irgendwelche beim angeblichen Gegenüber längst bekannten Daten zu „bestätigen“, indem man sie auf einer Website erneut eingibt, die in einer E-Mail verlinkt wurde.

Wo der Link ist? Hier ist er:

Führen Sie bitte die Bestätigung über den unten angezeigten Button durch.

Klicken Sie hier

Ein Klicki-klicki-Link ist der neue Button. :mrgreen:

Wer darauf klickt, sieht eine Login-Seite der falschen Bank:

Screenshot der Phishing-Seite

Die Deutsche Kreditbank AG ist eine Tochter der Bayerischen Landesbank und hat mit der HypoVereinsbank nichts zu tun.

Nach der Bestätigung wird Ihr Konto anschließend freigeschaltet und unter anderem treten auch unsere neuen Sicherheitsvorkehrungen für das so genannte sicheres-bezahlen im Internet [sic!] in Kraft.

Danach ist anschließend und ja… das so genannte sichere Bezahlen im Internet tritt dann auch in Kraft. :mrgreen: Spätestens an dieser Stelle sollte noch der naivste Mensch bemerkt haben, dass keine Bank eine derartige Formulierung wählen würde.

Sollten Sie diese Bestätigung binnen 14 Tagen nicht durchführen, ist eine Freischaltung nur noch über den Postweg möglich.

Bestätigung durchführen

Tja, Spammer, ist schon peinlich, wenn man sich seinen Text aus Bausteinen in einer Sprache zusammensetzt, die man gar nicht richtig versteht – und dabei vergisst, einen Text zu verlinken, damit er nicht wie ein Satzstummel herumsteht.

Mit freundlichen Grüßen
Ihre DKB AG

Freundlich wie eine Ohrfeige
Dein Phishing-Betrüger

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.