Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Kategoriearchiv „Phishing“

Konto-Status

Dienstag, 19. Januar 2016

Nein, diese E-Mail kommt nicht von PayPal. Sie hat niemals einen Server von PayPal gesehen. Es handelt sich um Phishing. Wer Daten eingibt und absendet, übergibt sie an Kriminelle.

Von: service (at) paypol (punkt) co

Fast richtig!

Hey Spammer, wenn du schon einen Absender fälschst, kannst du es auch gleich richtig machen. Ach, da bist du zu doof für?! Oder du weißt gar nicht, dass das geht?! Gut so!

Lieber PayPal Kunde,

Genau mein Name! :mrgreen:

Aufgrund der jüngsten betrügerischen Aktivitäten haben wir ein neues Online-Sicherheitssystem für den maximalen Schutz der persönliche Daten unserer Kunden gestartet.

Wie, PayPal hat betrogen?! :mrgreen:

Nach dieser Tatsache, wird Ihnen angeboten, ihr PayPal-Konto zu aktualisieren.

Aha, die programmieren sich da einen zurecht, aber sie sind nicht dazu imstande, einfach mal ein paar Daten zu konvertieren (zumal sie das mit an Sicherheit grenzender Wahrscheinlichkeit gar nicht müssten), und deshalb muss man alles noch einmal eingeben. Sehr glaubwürdig!

Um Ihr PayPal-Konto zu aktualisieren, liegt Ihnen in Ihrer E-Mail Adresse ein Formular zur Verfügung.

Tja, im Rest der deutschsprachigen Welt spricht man von einem Mailanhang. 😀

Bitte laden Sie das Formular aus, rufen Sie über Ihren Internet-Browser und folgen Sie den Anweisungen auf dem Bildschirm.

So so, „das Formular ausladen“. Das ist mal wieder ein Qualitäts-Spamdeutsch heute!

Apropos Deutsch:

Detail aus dem Mailanhang mit einer nachgemachten PayPal-Loginmaske und einem Button 'New anmelden'.

„New anmelden“ ist nicht die gelungendste aller Eindeutschungen. :mrgreen:

Hinweis: Das Formular muss in einem modernen Browser geöffnet werden, dass JavaScript aktiviert hat. (z.B. Internet Explorer, Mozilla Firefox)

Klar, ganz wichtig! Denn der Spammer schreibt da nicht so gern die Domain seines Phishing-Servers, an den die Daten alle gehen, direkt und im Klartext rein. Sonst kennt den bald jeder Spamfilter. Und das wäre schlecht für das „Geschäft“ des Spammers.

Nach Abschluss dieser Phase wird die Aktualisierung Ihres PayPal-Kontos normal funktionieren.

Vorher übrigens auch. 😀

Wir entschuldigen uns für die Unannehmlichkeiten und danken Ihnen für Ihre Zeit.
Für weitere Informationen kontaktieren Sie bitte den Kundenservice.

Oh, wie höflich! Und…

Mit freundlichen Grüßen,

PayPal-Team.

…freundlich sind die auch noch! Aber PayPal ist das nicht.

Warum da nicht ein Link auf eine Phishing-Seite gesetzt wurde, sondern ein Anhang gemacht wurde, obwohl das irgendwie verdächtig aussieht? Ganz einfach: Selbst bei Menschen mit restriktiv konfiguriertem Browser gibt es oft Ausnahmen für lokale Dateien.

PayPal würde das übrigens niemals so machen. Warum nicht? Aus Sicherheitsgründen. Was das mit Sicherheit zu tun hat? Ich will es mal so sagen: Hier könnt ihr überprüfen lassen, ob euer PayPal-Passwort sicher genug ist.

Wer drauf reingefallen ist, hat das Wichtigste schon gelesen – für alle anderen: Ein Passwort ist eine Sicherheitsmaßnahme, die nur dann funktioniert, wenn das Passwort ausschließlich dort verwendet wird, wo es Zugang gewähren soll und niemals irgendwo anders. Im Falle des PayPal-Passwortes ist das die Login-Seite auf der Website von PayPal. Und sonst nirgends. Niemals! Wenn das Passwort nur ein einziges Mal an einer anderen Stelle eingegeben wurde, ist es als kompromittiert zu betrachten und sollte sofort geändert werden.

Eigentlich eine Banalität und Selbstverständlichkeit.

Aber eben auch eine der wichtigsten Maßnahmen für die Sicherheit bei passwortgeschützten Diensten.

Vierundfünfzig Prozent…

Dienstag, 1. Dezember 2015

Dies ist keine Spam, sondern ein Hinweis auf eine aktuelle Meldung bei Heise Online.

Vierundfünfzig Prozent der getesteten Polizeibeamten in Berlin haben es nicht geschafft, eine Phishing-Mail zu erkennen und unmittelbar zu löschen, und sieben Prozent der Beamten haben auf eine nicht digital signierte E-Mail hin sogar dienstliche Benutzernamen und Passwörter [!] in eine dafür eingerichtete Website eingegeben – und zwar binnen nur vierzig Minuten:

Der falsche Absender, eine IT-Firma, benutzte das Corporate Design der Polizei mit geringen Abweichungen und forderte die Empfänger auf, ihre dienstlichen und privaten Kennwörter in einem „sicheren Passwortspeicher der Polizei Berlin (SPS)“ zu hinterlegen. 466 Mails wurden bis 13 Uhr verschickt, etwa 40 Minuten später sperrte die IT-Sicherheitsabteilung der Polizei die verlinkte Webseite

Dass es „nur“ sieben Prozent waren, könnte also leicht daran liegen, dass viele Polizeibeamte nicht zu ihrer E-Mail gekommen sind, weil sie auch Dienstaufgaben zu erledigen hatten.

Vielleicht sollte jemand den Polizeibeamten erklären, wie man digitale Signaturen dienstlicher Mails anwendet und die Mitarbeiter schult, nicht auf den beliebig fälschbaren Absender einer E-Mail und nicht auf das beliebig gestaltbare Design einer HTML-formatierten Mail, sondern auf die digitale Signatur zu achten.

Ach!

Verify your information!

Freitag, 27. November 2015

Von: AppLe <contact2015 (at) ruedesfleurs (punkt) com>

Komm, Spammer! Wenn du schon den Absender fälschst, dann kannst du es wenigstens so machen, dass das Ergebnis nicht wie der Versuch eines hirnlosen Vollidioten wirkt! Ach, du bist ein hirnloser Vollidiot? Na, dann ist ja alles in Ordnung… 😀

Alle Zeilenumbrüche sind unverändert zitiert

Wir brauchen Ihre Hilfe, um ein Problem mit Ihrem Konto zu lösen.

Es scheint, dass jemand verwendet Ihre Apple-ID um ein Fenster zu Icloud von einem
nicht autorisierten Computer zu öffnen.

Entsperrt Ihren iTunes-Konto.

Um uns zu helfen dieses Problem zu lösen, klicken Sie auf den untenstehenden Link,
um die Überprüfung Ihrer persönlichen Daten durchführen

klicken Sie hier

Für weitere Informationen, kontaktieren Sie bitte Kundenservice.

Mit freundlichen Grüssen

iCloud-Team

Vermutlich arbeitet Yoda auch bei Apple, so dass einige Formulierungen etwas seltsam geraten sind. Aber das Memo, dass sich die Marke „Icloud“ in Wirklichkeit als „iCloud“ schreibt, sollte er doch wenigstens gelesen haben.

Der spamtypische Click-here-Link geht natürlich nicht zu Apple, sondern zu einer Website in der Domain duzkymedia (punkt) com. Das Design der Phishing-Seite entspricht weitgehend dem Phishing-Versuch vom Anfang dieses Monats, so dass ich keinen weiteren Screenshot mache.

Zahlung auf Ihr Bankkonto!

Donnerstag, 26. November 2015

Wie jetzt? Auf mein Bankkonto?! Ich habe doch gar keins… 😀

Diese Spam fand ich in meinem Honigtopf. Sie kann an jede E-Mail-Adresse gehen, die irgendwie im Web zu finden ist.

Hallo,
Ich habe die Zahlung, wenn Sie m“ochten [sic!], dass ich den Erhalt von meiner Bank verbundenen bin. [sic!] die Lieferadresse ist Friedrich Schneider, Im Wiesengrund 10, 75015 Bretten.
Schiff heute [sic!]? Ich empfehle ich dieses Modell [sic!] und diese Farbe will:
https://cgi.ebay.de/ws/eBayISAPI.dll?ViewItem&item=5430537705
Danke sieht die Anzahl nachvollziehbar. [sic!]

Die Spam ist HTML-formatiert, und der Link geht nicht etwa – wie der Linktext vermuten lassen soll –zu eBay, sondern in eine Domain mit einer gecrackten Website einer buddhistischen Gemeinschaft – der Betreiber hat die Phishing-Seite zum Glück sehr schnell entfernt.

Leider steht zu befürchten, dass die Spammer noch etliche weitere gecrackte Websites für ihre Überrumpelung missbrauchen. Zum Glück sind die „Formulierungskünste“ des unbekannten Autors dieser Spam ausgesprochen bescheiden, so dass kaum jemand darauf hereinfallen kann.

Attention, You have deferred mails seducer

Samstag, 21. November 2015

Vor jedem anderen Wort: Diese E-Mail…

Screenshot der Phishing-Mail

…kommt natürlich nicht von Skype. Sie hat niemals einen Server von Microsoft gesehen. Mein Exemplar wurde von einer dynamischen IP-Adresse eines italienischen Zugangsproviders aus versendet, stammt also mit an Sicherheit grenzender Wahrscheinlichkeit von einem mit krimineller Schadsoftware übernommenen Privatrechner.

Die Spam ist auch bei mir angekommen. Ich habe kein Microsoft-Konto, und ich habe niemals in meinem Leben Skype benutzt oder mich dafür registriert – ich bevorzuge nämlich Kommunikationskanäle, die dezentral sind und keine eingebaute Abhörschnittstelle haben.

Skype

Aha, du willst „Skype“ sein? Dein gefälschter Absender kam aber aus der Domain cramco (punkt) com. Ich meine ja nur: Wenn du schon einen Absender für deine kriminellen Drecksspams fälschst, kannst du das ja eigentlich auch ein bisschen überzeugender machen… ach, geht nicht, weil du ein dummer Vollpfosten bist? Na gut, dann bleib eben dumm, Spammer! Schade, dass man daran meist nur langsam stirbt.

You have deferred mail.

Aha, ich habe also keinen Namen, mit dem ich bei Skype registriert bin. Und verzögerte Post. Sehr überzeugend, vor allem, wenn der…

View mails.

…klicki klicki Link gar nicht zu Skype oder zu Microsoft geht, sondern in das Include-Verzeichnis eines mit einem Crack übernommenen WordPress-Blogs, das in griechischer Sprache geführt wird. Freundlicherweise hat der Hoster dieser Website auf einen Hinweis hin ganz schnell die kriminelle Scheiße weggemacht, aber es steht zu befürchten, dass du gerade tausende WordPress-Blogs gecrackt und in Phishing-Sites und Schadsoftwareschleudern verwandelt hast.

Von einem Klick kann ich übrigens nur abraten, denn die „kostenlose Sicherheitsüberprüfung“ und die Übernahme des Computers durch Kriminelle, wenn eine ausbeutbare Lücke auf dem Computer besteht, kommt gleich hinterher. Derartige Überrumpelungen sind oft tagesaktuell, so dass das (eh schon fragwürdige) Antivirus-Programm versagt. Dagegen hilft übrigens – neben der Benutzung möglichst aktueller Software und eines möglichst aktuellen Betriebssystemes – nur ein Browser-Addon wie NoScript zusammen mit der Browsereinstellung, dass Plugin-Inhalte erst nach explizitem Klick aktiviert werden. Unter den Bedingungen der voll entwickelten und technisch kompetenten Internet-Kriminalität der Zehner Jahre ist es einfach eine unfassbar dumme Idee, jeder übern Weg laufenden Website aus einem anonymisierenden Medium zu gestatten, dass sie Skriptcode im Browser ausführen kann. Es handelt sich schlicht um eine der ganzen Welt zur Verfügung gestellte Schnittstelle, Programme auf beliebigen Computern laufen zu lassen – weder Werber mit ihren gesteigerten „Bedürfnissen“ der klandestinen Rezipientenüberwachung noch Verbrecher mit ihren gesteigerten „Bedürfnissen“ nach Geld, Mailadressen, Kontakten, Namen, Anschriften, Bankkonten und Internetaccounts anderer Menschen können diesem Angebot widerstehen.

Cordially
Skype team

Wenn du Bratschädel, Matschbirne und Zwielichtgestalt das Skype-Team bist, dann ist mein Blog hier aber Hochliteratur! 😀

© 2015 Skype and/or Microsoft. The Skype name, associated trade marks and logos and the „S“ logo are trade marks of Skype or related entities. Skype Communications S.a.r.l. 23-29 Rives de Clausen, L-2165 Luxembourg.

So so, das bescheuert-einschüchternd proklamierte Urheberrecht auf eine Spam liegt also bei Skype und/oder bei Microsoft… vielleicht liegt es ja noch und/oder ganz woanders oder gar dazwischen. :mrgreen:

Erinnerung: Ihr Konto wird eingeschränkt, bis wir von Ihnen hören.

Samstag, 7. November 2015

Danke für den Punkt am Ende des Betreffs, Spammer, denn der macht das automatische Aussortieren deines infektiösen Sondermülls viel leichter.

Lieber Kunde ,

Bitte beachten Sie, dass Ihre Apple ID wird in weniger als 48 Stunden ablaufen.
Es muss eine Prüfung durchzuführen Ihrer Daten [sic!], sonst Ihren Benutzernamen, werden vernichtet [sic!].
Klicken Sie einfach auf den unten stehenden Link und melden Sie sich mit Ihrer Apple-ID und Passwort.

Überprüfen Sie Ihren Account

Apple-Kundendienst
Copyright 2015 iTunes, Inc. Alle Rechte vorbehalten.

Ich glaube, dass schon angesichts des Tonfalls jedem Menschen klar ist, dass diese E-Mail nicht von Apple kommt. Von einem Klick auf den „unten stehenden Link“ kann ich nur abraten, denn die tolle Website in der Domain hibbic (punkt) com

Screenshot meines Terminalfensters mit der Ausgabe von lynx -dump -mime_header.

…ist ein bisschen „fein“ und spricht nicht mit jedem Browser, sondern versucht ganz offenbar, eine Prüfung der dort angebotenen „Beglückungsideen“ zu erschweren. Ohne, dass ich mir auch nur angeschaut habe, was ich dort in einem Desktop-Browser sehen würde – ich habe zurzeit nicht meine virtuelle Maschine zur Verfügung, in der ich mir Derartiges dann mal in Ruhe anschauen kann, ohne die Übernahme eines Computers durch Kriminelle zu riskieren – klingeln bei mir sämtliche Alarmglocken auf einmal. Dass die gängigen Antivirus-Schlangenöle hier keine Schadsoftware finden, wundert mich nicht weiter, denn die versagen oft bei aktuellen Angriffen.

In jedem Fall gilt: Dass der Link gefährlich ist, sieht man schon daran, dass er aus einer Spam kommt. Mit einem kleinen Hilfsmittel (das sich als Firefox-Browser ausgibt) betrachtet, sieht die Seite übrigens nach ganz ordinärem Phishing aus:

Screenshot der scheinbaren Phishing-Seite

Ein Klick in eine Spam ist immer gefährlich! Selbst, wenn der Rechner nicht gleich durch Schadsoftware übernommen wird, führt die Spam immer zu einer Konfrontation mit kriminellen Überrumpelungsversuchen. Deshalb löscht man die Spam unbeklickt, wenn man sie vor die Augen bekommt! Diese Vorsicht ist wichtiger für die Computersicherheit als ein so genanntes „Antivirusprogramm“.

Payment Details.

Dienstag, 3. November 2015

Danke, mit Punkt am Ende des Betreffs. Sicheres Spammerkmal, automatisch aussortierter Müll. Bitte so weitermachen, Spammer!

FYI,

I made the payment conforming to the proforma invoice on behalf of our sister company. I am attaching the proof of the payment.

keep me updated as soon as you confirm payment.

Kind Regards
Susanne Sцhngen
Address: West Quarter. Lime Street. N: 4 Apartment 22
Pendik / ISTANBUL
Turkey.
Tel: 0296 310 xxxx
Web: www.yadadanismanlik.com

Aha, ich habe also Geld überwiesen bekommen. Von jemandem, der aus der Türkei kommt, aber beim Mailschreiben die kyrillische Codepage verwendet und deshalb „Sцhngen“ mit Nachnamen heißt. Von jemandem, der eine schnell rausgesuchte Adresse angibt, aber nicht einmal den Namen desjenigen zu sagen weiß, dem da Geld überwiesen wurde. Und alles Nähere zu diesen Nullaussagen mit vielen Worten steht dann im Anhang.

Ihr kennt das Muster.

Der Anhang ist… nein, diesmal kein ZIP-Archiv, sondern ein PDF¹. Das ist das Neue daran.

Und da steht nicht etwa drin, um was es geht, sondern darin steht in grafischer Form eines der beliebtesten Textfragmente der Spammer und Reklameidioten, das ansonsten von lebenden und fühlenden Menschen wegen seines impliziten Unsinns niemals getippt wird:

Screenshot des PDFs: This document is password protected. Click HERE to view file securely.

Click here!

Wer auf diesen (oder einen ähnlich doofen) Text klickt, nur, weil man darauf so fein klicken kann, der lasse alle Hoffnung fahren!

Der Link zum angeblich sicheren Anschauen der Datei geht in die Domain freetoair (punkt) ru, und dort erhält man keineswegs nur die Möglichkeit…

Screenshot der Phishing-Seite für Adobe-IDs

…Kriminellen eine Kombination aus Mailadresse und Passwort zu geben. Zusätzlich läuft im Hintergrund ein beachtlicher und für mich auf die Schnelle² nicht zu analysierender Javascript-Apparat ab:

Screenshot der Quelltext-Ansicht des Firefox mit dem vorsätzlich kryptisch formulierten Javascript aus der vorgeblichen Phishing-Seite

Der „kostenlose Sicherheitstest“, der hier von Kriminellen auf den Webbrowser losgelassen wird (und beim Auffinden einer ausbeutbaren Lücke von einer Übernahme des Computers durch Kriminelle gefolgt wird), wird zurzeit von den meisten Antivirus-Schlangenölen nicht als Bedrohung erkannt.

Wer hingegen schlau ist, sich deshalb nicht auf ein Antivirus-Schlangenöl verlässt und mit einem Browser-Addon wie NoScript dafür sorgt, dass nicht jeder dahergeklickten Website das Privileg eingeräumt wird, Programmcode im Browser auszuführen, ist vor solchen Attacken über den Browser weitgehend geschützt – übrigens auch, wenn diese besser vorgetragen werden als in dieser schlecht gemachten Spam. Etwas mehr darüber, wie man seinen Computer absichert (und warum Antivirus-Schlangenöl dabei – im Gegensatz zu den irreführenden und erlogenen Behauptungen in der Reklame – nicht die größte Rolle spielt) habe ich auf meiner Homepage geschrieben.

¹Ihr wisst ja: auf keinen Fall, niemals und bloß nicht Anhänge aus Spams öffnen! Das bisschen befriedigte Neugierde ist den möglichen Ärger nicht wert. Ich habe dieses PDF übrigens betrachtet, indem ich es in Gimp importiert habe… und selbst das noch auf einem besonders gesicherten System. Generell rate ich davon ab, den Adobe Reader zum Lesen von PDFs zu benutzen. Nehmt bitte lieber ein reines Anzeigeprogramm wie Evince (das ist natürlich mein Favorit), das keinen Code anderer Leute auf eurem Computer ausführt, wenn ihr nur lesen wollt. Praktisch jedes PDF, das mir in die Hände kommt, kann ich mit Evince lesen – die einzige Ausnahme war ein Handbuch, das mir vor etwa fünf Jahren übern Weg gelaufen ist. Zum Glück ist es kein Problem, in so einem Fall einfach den fetten, gefährlichen, überkomplexen und bei Kriminellen für Angriffe äußerst beliebten Adobe Reader zu verwenden…

²Um den ausgesprochen kryptisch gecodeten Wust auf der Seite zu durchsteigen, brauchte ich einige Wochen! In denen ich nichts anderes mache! Das ist ausgefeilte, kriminelle Brut! Darüber hinaus sieht auch das verwendete CSS teilweise verdächtig aus, weil kleine grafische Elemente eine auffallend große, base64-codierte Repräsentation haben, als ob Codeausführung durch Bufferüberläufe in Browsern getriggert werden sollte. Dagegen schützt übrigens nur die ausschließliche Verwendung aktueller Software.

Ihr Zugang zu Ihrem Online-Banking läuft bald ab .

Montag, 26. Oktober 2015

Mit Punkt nach dem Betreff. Und mit Plenk vor dem Punkt. Das ist ganz sicher die Onlinebankingbank… 😀

Der unbekannte Absender dieser HTML-formatierten Phishing-Spam ist übrigens der Meinung, dass sein Müll überzeugender aussieht, wenn er einfach fast den ganzen Text kursiv setzt. Ob er damit recht hat? Oder ob er einfach nur vergessen hat, das HTML-Tag wieder zu schließen… :mrgreen:

Lieber Kunde, Ihr Zugang zu Ihrem Online-Banking abgelaufen bald [sic!]. Wenn Sie wollen auch weiterhin mit diesem Service. [sic! Ja, hier ist ein Punkt] bitte auf den Link unten klicken. [sic! Noch ein Punkt] um Ihre Sicherheit Informationen manuell aktualisieren

https://banking.service-sparkasse.de/portal/Starten

Online-Banking ist ausgestattet. [sic!] mit einem umfassenden Sicherheitssystem , das gewährleistet, dass Ihre persönlichen Daten nicht decodiert oder durch nicht autorisierte Personen verändert werden. Nach Beendigung dieser Stufe. ein Mitglied unseres Kundendienst Kontaktieren Sie telefonisch [sic!], um Sie über den Status Ihres Kontos zu informieren und die Aktualisierung abzuschließen.

Bankgeschäfte, wo immer Sie sind! Verwalten Sie Ihre Konten / Einlagen und Online-Banking einfach, schnell und sicher aus dem Büro oder zu Hause. Unabhängig Stunden [sic!] – 24 Stunden am Tag, 365 Tage im Jahr. Sie benötigen lediglich eine Internetverbindung und aktivieren Sie Ihr Konto. [sic!]

Mit freundlichen Gruessen, Ihre Sparkasse Abteilung Konto Sicherheits [sic!]
sparkasse.de 2015 Alle Rechte vorbehalten. Vervielfältigung nur mit Genehmigung der Sparkasse -Finanzportal GmbH.

Ohne weitere Worte.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.