Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Kategoriearchiv „Phishing“

Wichtige Mitteilung zu Ihrem Bankkonto!

Donnerstag, 8. Dezember 2016

Keine Panik! Das ist eine Spam. Die „Deutsche Bankengemeinschaft“ gibt es nicht. Was in der Spam steht, ist Bullshit. Die Spam löschen! Auf keinen Fall in die Spam klicken und erst recht keine Bankdaten eingeben!

Screenshot Thunderbird. Externe Grafiken werden nicht dargestellt. Sichtbar sind die ALT-Texte der Bilder. Der Text lautet: 3rf45d -- 43w2qfd -- fxcwe56342

Hey, Spammer,

du hast recht. Man kann natürlich eine Phishingmail machen, die so aussieht wie deine, wenn man sie in einem Mailclient anschaut, der keine externen Grafiken nachlädt¹. Aber das wirkt dann auch sehr, sehr lächerlich. Die Tatsache, dass du dir mit deiner von dir erfundenen „Deutsche Bankengemeinschaft“ neben dem für deine kriminelle Tätigkeit missbrauchten Bundesadler so viel Mühe gegeben hast, den Kunden „Sehr geehrter Kunde“ mit einer „Sicherheitsaufforderung“ zu verblenden…

Der gesamte Text liegt in Form einer Grafik vor: Deutsche Bankengemeinschaft -- Sicherheitsaufforderung (Schnittstelle zur Sicherheitsüberprüfung) -- Sehr geehrter Kunde, -- auf Grund gravierender Sicherheitslücken in einigen Online-Banking Sicherheitsverfahren, ist die Deutsche Bankengemeinschaft dazu verpflichtet unmittelbar zu handeln. -- Eine große Anzahl von Bankkunden sind von diesen massiven Sicherheitslücken betroffen. Nachdem wir sie telefonisch leider nicht erreichen konnten, bieten wir ihnen über diesen Weg an ihren Sicherheitsstatus zu überprüfen. -- Für die Überprüfung haben sie 2 Möglichkeiten -- 1. Möglichkeit: -- Vereinbaren sie einen Termin mit ihrer Hausbank und nehmen sie mit: Ihre Kontodaten / EC-Karte und ihren gültigen Personalausweis, ihre aktuelle Mobilfunknummer und 27€ Aufwandsgebühr (manuelle Überprüfung) -- 2. Möglichkeit: -- Überprüfen sie gleich online und kostenfrei, ob sie von einer Sicherheitslücke betroffen sind, indem sie dazu bitte auf den folgenden Link klicken (Sicherheit überprüfen).
Sicherheit überprüfen
Impressum -- Deutsche Bankengemeinschaft (DBG) -- Graurheindorfer Str. 108 -- 53117 Bonn -- Postfach 1253 -- 63002 Bonn -- © 2016 DBG

…vermag diesen lächerlichen Eindruck auch nicht abzumildern.

Ach ja, Lächerlichkeit: Es ist schade, dass du nicht gelernt hast, wann ein Komma gesetzt wird und dass bei allem deinem Streben nach Layout deinem Text doch ein wenig Stil fehlt. Vier klare Komma- und Rechtschreibfehler, ein Grammatikfehler, drei stilistisch ausgesprochen schwache Stellen, und das alles in einem derartigen Kurztext² – da wirkt eine „Bankengemeinschaft“ als Absender, die sich mit einem Hoheitszeichen der Bundesrepublik Deutschland schmückt, sehr unglaubwürdig.

Meint jedenfalls dein dich „genießender“
Nachtwächter

¹Das ist zum Schutz der Privatsphäre unbedingt erforderlich. Eine HTML-formatierte E-Mail kann durch das Nachladen einer Grafik heimlich „zurückfunken“, dass sie gelesen wurde. So lernen Spammer und Werber, wo sich der Aufwand lohnt. Gute Mailsoftware lädt externe Bilder nur auf explizite Anforderung.

²Nein, ich korrigiere die Fehler nicht und streiche sie auch nicht an. Ich habe nämlich schon einmal erlebt, dass hier ein Spammer mitgelesen und meine Verbesserungen in die nächste Spamwelle aufgenommen hat. Es gehört nicht zu meinen Absichten, Spammern zu helfen.

PayPal Verifikation

Samstag, 26. November 2016

Erstmal ein Blick aufs Layout der HTML-formatierten Spam:

Screenshot des Layouts der Spam, wie es in einer Mailsoftware erscheint

Für Menschen, die sich leicht vom Layout verblenden lassen – und da PayPal sich auch im Jahre 2016 noch nicht dazu durchgerungen hat, grundsätzlich digital signierte E-Mail an seine Kunden zu schreiben, besteht ja auch gar keine Möglichkeit, den Urheber der Mail sicherzustellen¹ – ist das eine überzeugende E-Mail „von PayPal“.

Natürlich ist diese Spam nicht von PayPal…

Von: PayPal <paypalsecuria14 (at) online (punkt) de>

…wie man schon am Absender sehen kann.

Schon bitter für den Spammer, wenn er zwar ein tolles Layout für seine Phishing-Kampagne gebaut hat, es aber nicht hinbekommt, seinen Absender so zu fälschen, dass die Mail wie eine echte Mail von PayPal aussieht. Übrigens: In eine E-Mail kann ein beliebige Absenderadresse eingetragen werden (ganz ähnlich, wie man auch einen beliebigen Absender auf einen Briefumschlag schreiben kann). Die Fälschung des Absenders ist also „Kinderkram“. Diese Möglichkeit nicht dazu zu nutzen, einen Absender aus der Domain paypal (punkt) com einzutragen, ist schon sehr sehr blöde.

Aber bin ich mal froh darüber, dass sich die meisten Spammer nicht vorgedrängelt haben, als der Herrgott die Intelligenz verteilt hat, denn sonst würden noch mehr Menschen auf derartiges Phishing hereinfallen.

gammelfleisch@tamagothi.de – Bestätigung erforderlich.

Oh, das ist ja schön, Spammer! Hast du deine Mailadressen mit einem Harvester eingesammelt? Du bist ja ein ganz Großer! 😀

Das echte PayPal spricht seine Kunden übrigens nicht mit ihrer Mailadresse an, sondern mit ihrem für die Registrierung verwendeten Namen. Und wer präventiv für PayPal und andere wichtige Dienste eine eigene, sonst nirgends verwendete Mailadresse benutzt, die auch nicht leicht zu erraten ist – eine Mailadresse ist ja schnell eingerichtet – kann natürlich nicht so leicht von einer „irgendwo eingesammelten“ Mailadresse in einer Phishing-Spam erschrocken werden – wenn es nicht mal wieder ein Datenleck bei eBay oder PayPal gibt, das trotz der erhöhten Gefahr für die rd. 145 Millionen davon betroffenen Kunden monatelang nicht kommuniziert wird.

Online ansehen

Schon klar, mit einer über TinyURL verschleierten Zieladresse des Links.

Mein Dank geht an TinyURL, dass der Link binnen fünfer Minuten nach Meldung dieses Missbrauchs durch Phisher unbenutzbar gemacht wurde! So schnell müsste es immer gehen! Ich hoffe, dass hat vielen naiven Internetnutzern sehr viel Geld, Ärger und juristische Scherereien nach dem eventuellen Missbrauch ihrer PayPal-Konten für Betrug und Geldwäsche erspart.

Sehr Geehrter Kunde,

Das ist mal wieder genau mein Name!

aus Sicherheitsgründen wurde Ihr PayPal-Konto deaktiviert.

Ah ja. In der Tat, ein deaktiviertes Konto ist sicher… :mrgreen:

Und warum wird es nun gesperrt?

Grund dafär sind wiederholt vom Sicherheitssystem verzeichnete,
auffällige Aktivitäten bgzl. Ihrer Kontennutzung. Wir bitten daher um Bestätigung der bei uns hinterlegten Daten, um erneute Aktivierung Ihres PayPal-Kontos vornehmen zu können.

Ah ja, weil es von mir genutzt wird. Und um die Sperrung aufzuheben, soll ich einfach sämtliche von mir bei PayPal angegebenen Daten noch einmal bei PayPal angeben, obwohl jemand, der sich meines Kontos ermächtigt hat, Einblick auf diese Daten hätte oder sie sogar verändern könnte. Das ist purer Sicherheits-Bullshit, wie er von PayPal niemals kommen könnte, aber sehr wohl von einem Kriminellen, der neues Kontomaterial für seine „Geschäfte“ braucht.

Und, was war jetzt die Auffälligkeit?

Informationen zur Auffälligkeit:

IP: 187.154.21.214
Land: Tunisia
Log In: gescheitert

Eine Anmeldung ist gescheitert. Das ist doch eine gute Nachricht, dass andere nicht aufs Konto zugreifen können, und keineswegs ein Grund, das Konto zu sperren. Mit einer IP, die angeblich aus Tunesien kommt. In Wirklichkeit kommt sie übrigens aus Mexiko. Aber Menschen, die das überprüfen, gehören nicht zur „Zielgruppe“ dieses Verbrechers, der vor allem naive Internetnutzer überrumpeln will, und so hat sich der Spammer auch keine Mühe gegeben, seine Scheinbehauptung ein bisschen überzeugender zu machen. Denn wenn der Spammer sich Mühe geben wollte, könnte er ja gleich arbeiten gehen.

Übrigens: Wenn PayPal wirklich so empfindlich wäre, dass bei solchen „Auffälligkeiten“ Konten gesperrt werden, könnte man PayPal weder anonymisierend über Tor, noch über einen Proxyserver oder ein VPN, noch im Urlaub nutzen, ohne vorübergehend den Zugriff auf sein Konto zu verlieren. Diese Vorstellung ist absurd, und es bedarf nur weniger Sekunden Nachdenkens, um das zu bemerken. Aber wer das durch kurzes Nachdenken vor seinem Klick bemerken kann, gehört nicht zur „Zielgruppe“ dieses Verbrechers… ach, ich wiederhole mich!

Identität bestätigen

Das Linkziel ist wieder über TinyURL maskiert.

Übrigens: Wenn man seine Identität durch einen Klick und ein paar Eingaben „bestätigen“ könnte, brauchte auf dieser Welt niemand mehr Ausweise und Pässe; der extreme Aufwand, mit dem man diese Papiere herstellt und fälschungssicher macht, könnte einfach eingespart werden.

Diese Spam wurde automatisch erstellt und bleibt daher ohne Grußformel oder vergleichbare simulierte Höflichkeit patzig. Und jetzt mach schon…

Detail aus der Spam: Bild eines Mannes, der angespannt an seinem Klappcomputer sitzt, mit dem Text 'PayPal Verifizieren' darunter.

…und verifizier PayPal! Egal, wo du gerade bist! Je panischer und gedankenloser du das machst, desto besser für die Verbrecher, die dir diese Phishing-Spam ins Postfach gemacht haben.

Und vor allem: Verifizier PayPal! Nicht etwa dich und deine Daten gegenüber PayPal! Den Phishing-Text haben die Spammer ja schon fertig, was sollen die sich am Ende ihrer Spam noch anstrengende Gedanken um irgendwelche Details machen… :mrgreen:

¹Digitale Signatur von E-Mail ist keine Raketentechnologie, die viel Aufwand erfordert. Die dafür erforderliche Software steht frei und kostenlos zur Verfügung. Der Verzicht von Finanzdienstleistern wie PayPal auf die digitale Signatur jeder E-Mail ist eine Förderung des Phishings und der organisierten Internet-Kriminalität, der keinerlei Vorteil gegenübersteht. Angesichts der Verbreitung und langjährigen Renitenz dieser Dummheit fällt es mir inzwischen schwer, nicht an eine verschwörungsartige Absprache (oder Einflussnahme staatlicher Akteure) zu glauben, deren Ziel es ist, die Verbreitung wirksamer, nützlicher und unentbehrlicher kryptografischer Methoden mit allen Mitteln zu unterbinden, koste es, was es wolle.

Deutsche Bank Konto

Donnerstag, 3. November 2016

Das Deutsche Bank Konto bei…

Von: DeutscheBank <info@dekawooncultuur.be>

…DeutscheBank, ja genau das. Da bist du zwar…

Sehr geehrter Kunde,

…Kunde, oder noch besser, du bist da „Sehr geehrter Kunde“, hast aber keine Kontonummer für das Deutsche Bank Konto (oder die Konten), denn sonst würdest du es noch bemerken, dass du es mit einem Phisher und nicht mit deiner Bank zu tun hast. Dafür…

Ungewohnliche Kontobewegungen es notwending gemacht Ihr Konto einzugrenzen bis zusatzliche Informationen zur Uberprufung gesammelt werden.

…bewegt sich dein Konto, und deshalb…

Zur Zeit haben Sie nur begrenzten Zugang zu Ihrem Deutsche Bank Konto. Wir bitten Sie daher die von uns angeforderten daten zu enrneuern.

…musst du ein paar Daten eingeben, um wieder an dein Konto zu kommen, das sich einfach so bewegt. Und zwar alle Daten, die deine Bank schon lange kennt. Also, sehr geehrter Spamempfänger:

Bestätigen

Klick schon! Und wundere dich nicht darüber, dass…

Screenshot der Phishing-Seite, die allerdings Phishing in spanischer Sprache für die Calxa Bank betreibt

…deine Deutsche Bank oder DeutscheBank sich jetzt CalxaBank nennt und auch nicht mehr Deutsch mit dir sprechen mag, sondern füll trotzdem brav deine Zugangsdaten aus, sende sie ab und gib danach noch mehr Daten.

Komm, das machst du doch auch alles, wenn ich mir keine Mühe mit meinem Phishing gebe. Ich habe keine Lust, mir Mühe zu geben. Sonst könnte ich ja gleich arbeiten gehen… :mrgreen:

Weia, Phisher: So schlecht habe ich es lange nicht mehr gesehen.

NorisBank

Mittwoch, 5. Oktober 2016

Aber da bin ich doch gar nicht. Außerdem schreibt sich dieser Bänksterverein selbst als „norisbank“, also in Kleinbuchstaben, und ich glaube nicht, dass er in eventuellen echten E-Mails von seiner Reklamelinie abweichen und eine sonst niemals verwendete Binnenmajuskel nehmen würde. (Ich werde im Fortlauf des Textes die ganz normale Großschreibung benutzen.) Wer dort Kunde ist, sollte also schon am Betreff merken, dass es sich nicht um eine E-Mail der Norisbank, sondern um eine Spam handelt.

Ungewohnliche Kontobewegungen es notwending gemacht Ihr Konto einzugrenzen bis zusatzliche Informationen zur Uberprufung gesammelt werden.

Die „Norisbank“ hat zwar ihre ganze Umlaute mutmaßlich gegen Zinsen verliehen, aber das Konto bewegt sich.

Zur Zeit haben Sie nur begrenzten Zugang zu Ihrem norisbank Konto. Wir bitten Sie daher die von uns angeforderten Kontodaten zu enrneuern.

Completa le informazioni richieste

>> Bitte klicken Sie hier <<

Auch mit den Sprachen kommt die „Norisbank“ zuweilen ein wenig durcheinander. Aber immerhin weiß sie, was „Click here“ auf Deutsch heißt.

Der Link geht allerdings nicht in die Norisbank, sondern nach der üblichen Kaskade von Umleitungen in eine Subdomain von uid0 (punkt) su, die bereits wohlbekannt…

$ surbl uid0.su
uid0.su	LISTED: PH 
$ _

…für Phishing ist. (Mein Shellskript für SURBL-Abfragen kann sich jeder bei Pastebin runterladen.) Dort gibt es übrigens eine italienische PayPal-Anmeldemaske, und was die mit der Norisbank zu tun haben soll, wird sich auch dem dümmsten Dummkopf nicht mehr erschließen.

Wir entschuldigen uns für jegliche Unannehmlichkeiten.

Spart euch die Entschuldigung und hört auf zu spammen! Und wenn ihr schon nicht anders könnt, weil ihr viel zu verkommen seid, um ohne Spam leben zu können, dann seid in euren Spams wenigstens nicht so unendlich blöd! Bei dermaßen schlechtem Phishing wollen sich ja die Gehirnzellen freiwillig in den Tod stürzen.

Copyright @ 2016 norisbank ist ein Unternehmen der Deutsche Bank Gruppe

Ja, mit deklariertem „geistigen Eigentum“ auf eine E-Mail. Auch so ein Selbstmordimpuls für die letzten Hirnzellen, aber den gibts auch immer wieder von richtigen Unternehmen. Kann den dafür verantwortlichen Menschen bitte mal jemand sagen, wie blöd das ist! Vermutlich sind die dummen Reklameheinis, die sich so etwas ausdenken, so gestrickt, dass sie in jedem Gespräch nach jedem einzelnen gesagten Satz das „geistige Eigentum“ für ihre geniale und schöpferische Sprechleistung deklarieren. Können sie ja auch gern untereinander machen, es ist ja ein halbwegs freies Land. Aber in der Kommunikation mit gewöhnlich denkenden Menschen sieht es affig und lächerlich aus. Und Unternehmungen, die ihre Kunden affig und lächerlich ansprechen, brauchen sich nicht über die Folgen zu wundern, wenn sie auf diese Weise ihre eigene Reputation im Klo runterspülen. Welche Folgen? Hierzu ein kleiner Hinweis von mir: Die Menschen, die zu dumm sind, um so etwas zu bemerken (oder die sich sogar davon beeindrucken lassen), haben wegen ihrer Dummheit nicht die größte Kaufkraft; die anderen sind irgendwann woanders. Nachhaltig.

Aktualisierung

Samstag, 24. September 2016

Oh, ich habe aber lange kein Phishing mehr gesehen…

Von: DKB Bank <bankzaken@dkb.de>

Diese Spam hat niemals einen Server gesehen, der dkb.de heißt. Der Absender ist gefälscht. Sie wurde zusammen mit ein paar weiteren hunderttausend dieser Überrumpelungsversuche über einen gemieteten Server bei einem großen deutschen Hoster versendet.

Guten Tag ,

Genau mein Name!

Wie ich eben gesehen habe, gibt es diese Spams auch mit persönlicherer Ansprache.

Seitdem 01.09.2016 müssen all unsere Kunden Ihre persönlichen Daten bestätigen.

Wieso? Ach, weil ein Datum ist. Und…

Die Bestätigung sorgt dafür, dass die hinterlegten Daten stets aktuell sind und aktiviert zugleich unser neues Sicherheitskonzept.

…weil alles viel aktueller und sicherer ist, wenn die „Kunden“ noch einmal lauter Daten rausrücken, die bei der angeblichen Bank schon längt bekannt sind. Damit auch wirklich – obwohl sich inzwischen überall herumgesprochen haben sollte, was Phishing ist – ein paar Leute darauf reinfallen können…

Wie ein Mitarbeiter von uns festgestellt hat, haben Sie die kostenfreie Bestätigung bis heute nicht durchgeführt. Aus diesem Grund wurde Ihr Konto temporär gesperrt.

…wird einfach behauptet, dass das Konto gesperrt wird. Warum? Na, aus Kundendienst und Freundlichkeit natürlich. Und wegen des weiter oben erwähnten Datums. Ein Kreditinstitut, das wirklich so vorginge, könnte wegen dieser Nötigung angezeigt werden und wäre für den angerichteten Schaden regresspflichtig.

Wer mir nicht glaubt, dass das eine Spam ist, kann sich sehr einfach davon überzeugen, dass das Konto mitnichten gesperrt ist. Danach bitte die Spam löschen und auf gar keinen Fall jemals auf die Idee kommen, irgendwelche beim angeblichen Gegenüber längst bekannten Daten zu „bestätigen“, indem man sie auf einer Website erneut eingibt, die in einer E-Mail verlinkt wurde.

Wo der Link ist? Hier ist er:

Führen Sie bitte die Bestätigung über den unten angezeigten Button durch.

Klicken Sie hier

Ein Klicki-klicki-Link ist der neue Button. :mrgreen:

Wer darauf klickt, sieht eine Login-Seite der falschen Bank:

Screenshot der Phishing-Seite

Die Deutsche Kreditbank AG ist eine Tochter der Bayerischen Landesbank und hat mit der HypoVereinsbank nichts zu tun.

Nach der Bestätigung wird Ihr Konto anschließend freigeschaltet und unter anderem treten auch unsere neuen Sicherheitsvorkehrungen für das so genannte sicheres-bezahlen im Internet [sic!] in Kraft.

Danach ist anschließend und ja… das so genannte sichere Bezahlen im Internet tritt dann auch in Kraft. :mrgreen: Spätestens an dieser Stelle sollte noch der naivste Mensch bemerkt haben, dass keine Bank eine derartige Formulierung wählen würde.

Sollten Sie diese Bestätigung binnen 14 Tagen nicht durchführen, ist eine Freischaltung nur noch über den Postweg möglich.

Bestätigung durchführen

Tja, Spammer, ist schon peinlich, wenn man sich seinen Text aus Bausteinen in einer Sprache zusammensetzt, die man gar nicht richtig versteht – und dabei vergisst, einen Text zu verlinken, damit er nicht wie ein Satzstummel herumsteht.

Mit freundlichen Grüßen
Ihre DKB AG

Freundlich wie eine Ohrfeige
Dein Phishing-Betrüger

Letzte Warnung!!!

Mittwoch, 7. September 2016

Ihre Mailbox überschritten die Speichergrenze von 2,0 GB
Definiert durch den Administrator ist derzeit 2.30GB, kann nicht
senden oder neue Nachrichten erhalten, bis Sie Ihre E-Mail bestätigen

Klicken Sie auf den folgenden Link, um Ihre E-Mail zu bestätigen

Klicken Sie hier

dank
Systemadministrator

Ohne Worte.

Neues Tan-Verfahren!

Freitag, 22. Juli 2016

Der Absender dieser Spam (die ihren Empfänger übrigens mit Namen anspricht) ist gefälscht. Sie kommt nicht von der ING-DiBA AG, sondern von Kriminellen, die ihre Opfer dazu bringen wollen, Zugangsdaten für ihr Konto herauszurücken. Es ist „gutes altes Phishing“, wie ich es inzwischen eher selten sehe, und das macht es in meinen Augen eher noch etwas gefährlicher. Die HTML-formatierte Spam sieht so aus:

Sehr geehrter Herr xxxxxxx, -- Nach dem BSI-Standard 100-1, sind wir dazu verpflichtet alte, unsichere Technologien durch aktuelle Standards zu ersetzen. Aus diesem Grunde löst das neue photoTAN-Verfahren das teilweise noch im Einsatz befindliche, veraltete iTAN-Verfahren ab. -- Über den unten angezeigten Button gelangen Sie direkt zur Legitimation Ihrer Persönliche Daten und der Entwertung Ihrer aktuellen iTAN-Liste.Nach erfolgreicher Legitimation Ihrer persönlichen Daten und der Entwertung ihrer iTAN-Listen erhalten sie automatisch von uns einen für das neue TAN-Verfahren benötigten Legitimations-PIN kostenlos auf dem Postweg zugesandt. -- Zur Legitimation -- Mit freundlichen Grüße, -- Ihr ING-DiBa Team -- An diese E-Mail-Adresse können keine Antworten gesendet werden. Weitere Informationen bekommen Sie bei unsererm ING DiBa Kundeservice. -- Mit dieser Servicemitteilung informieren wir Sie über wichtige änderungen bezüglich Ihres ING DiBa Kontos. -- © 2016 ING-DiBa AG, Theodor-Heuss-Allee 2, 60486 Frankfurt am Main, Deutschland

Natürlich geht sie auch an Menschen, die keine Kunden der ING-DiBa sind. Es ist Schrotmunition. Nicht darauf reinfallen! Und wer schon darauf reingefallen ist: Sofort Kontakt mit der Bank aufnehmen, um den Schaden einzugrenzen!

Von: ING-DiBa <info (at) ing (strich) diba (punkt) nl>

Wie schon gesagt: Dieser Absender ist gefälscht. Es ist kinderleicht, den Absender einer E-Mail zu fälschen. Man kann einfach den Absender hineinschreiben, den man haben möchte. Deshalb sollte man niemals eine E-Mail nur wegen ihres Absenders für vertrauenswürdig halten¹.

Sehr geehrter Herr xxxxxxx,

Und jetzt, nachdem die Spammer nach teilweise verheerenden Datenschutzvorfällen zu sehr vielen Mailadressen auch einen Namen haben, ist auch eine persönliche Anrede mit richtigem Vornamen und Nachnamen kein sicheres Zeichen mehr, dass man es nicht mit einer Spam zu tun hat.

Nach dem BSI-Standard 100-1, [Komma zu viel] sind wir dazu verpflichtet [Komma fehlt] alte, unsichere Technologien durch aktuelle Standards zu ersetzen [„Standards“ und „Technologien“ sind zwei semantisch sehr verschiedene Dinge, so dass diese „Verpflichtung“ objektiv sinnlos ist]. Aus diesem Grunde löst das neue photoTAN-Verfahren das teilweise noch im Einsatz befindliche, veraltete iTAN-Verfahren ab.

Immerhin, den referenzierten Standard gibt es wirklich. Er hat zwar ein etwas anderes Thema, aber wer kurz beim Bundesamt für Sicherheit in der Informationstechnik nachschaut, was das für ein Standard ist, statt das unverstandene Wort zu überfliegen und sich darüber zu freuen, dass er es nicht verstehen muss, der ist eh viel zu intelligent, um auf so einen plumpen Betrug hereinzufallen.

Über den unten angezeigten Button gelangen Sie direkt zur Legitimation Ihrer Persönliche Daten [sic!] und der Entwertung Ihrer aktuellen iTAN-Liste [sic!]. Nach erfolgreicher Legitimation Ihrer persönlichen Daten und der Entwertung ihrer iTAN-Listen erhalten sie automatisch von uns einen für das neue TAN-Verfahren benötigten Legitimations-PIN kostenlos auf dem Postweg zugesandt.

Zur Legitimation

So so, „Entwertung ihrer aktuellen TAN-Liste“… kann man sich gar nicht selbst ausdenken, diesen Bullshit. Ich vermute mal, dass die Opfer Gelegenheit bekamen, die komplette TAN-Liste abzutippen oder ein Foto davon einzusenden – die in der Spam verlinkte Phishing-Seite ist zum Glück bereits verschwunden.

Übrigens: Banken versenden solche Aufforderungen niemals. Warum sollten sie auch. Die brauchen nur in ihrer Datenbank ein paar TANs als ungültig markieren, und schon gehen sie nicht mehr. (Das müssen sie können, weil eine TAN-Liste verloren gehen oder gestohlen werden kann.) Dafür bedarf es keiner weiteren „Entwertung“ und keiner sinnlosen Mail mit „Klick mal, ich bin ein Link aus einer Mail“.

Ach ja, der Link. Er war über bit (punkt) ly gekürzt, um das Linkziel zu verschleiern. Wo der Link hingeht, sieht man übrigens, wenn sich der Mauszeiger über dem Link befindet und man in seiner Mailsoftware in die Statuszeile schaut.

Ein richtiges Unternehmen, das Kontakt zu seinen Kunden pflegt, wird vielleicht auf viele komische Ideen kommen, aber sicherlich niemals auf die Idee, die eigene Website vor den Kunden zu verstecken. Solche Ideen haben nur Spammer. Sie müssen ja an den Spamfiltern vorbeikommen, und deshalb gibt es keine direkten Links, sondern eine Hüpfprozession entlang diverser über HTTP oder Javascript realisierter Weiterleitungen.

Wenn man sich dann anschauen will, wo die Reise hingeht, ist das schon ein bisschen nervig:

$ lynx -mime_header http://bit.ly/2atHQSe | grep '^Location'
Location: http://blg.to/fipSTeN
$ lynx -mime_header http://blg.to/fipSTeN | grep '^Location'
Location: http://theshortme.net/safgewga
$ lynx -mime_header http://theshortme.net/safgewga | grep '^Location'
Location: http://kontoverifikation.net/start/validation
$ _

Die Domain kontoverifikation (punkt) net

$ whois kontoverifikation.net | grep '^Creation'
Creation Date: 2016-07-15T02:11:26Z
$ _

…wurde ganz frisch vor einer Woche eingerichtet, und zwar nicht von einer Bank, sondern von einer Privatperson mit einer kostenlos und anonym einzurichtenden E-Mail-Adresse bei mail (punkt) ru.

Mit freundlichen Grüße [sic!], Ihr ING-DiBa Team

An diese E-Mail-Adresse können keine Antworten gesendet werden. Weitere Informationen bekommen Sie bei unsererm ING DiBa Kundeservice.

Der Absender dieser Mail ist gefälscht.

Mit dieser Servicemitteilung informieren wir Sie über wichtige änderungen [sic!] bezüglich Ihres ING DiBa Kontos.
© 2016 ING-DiBa AG, Theodor-Heuss-Allee 2, 60486 Frankfurt am Main, Deutschland

Übrigens: Es ist gar nicht auszudenken, wie erfolgreich wohl eine neue Phishing-Masche sein könnte, wenn die Spammer sich wenigstens die Mühe geben würden, fehlerfreies Deutsch zu schreiben. Ist doch nicht so schwierig, da jemanden drüberschauen zu lassen, der auch Deutsch kann und ein paar Fehlerchen zu korrigieren, bevor man die Mail abschickt. Aber wenn der Spammer sich Mühe geben wollte, könnte er ja gleich arbeiten gehen…

¹Wer vertrauenswürdige E-Mail-Kommunikation wünscht, kommt nicht umhin, sich mit digitaler Signatur zu befassen. Es ist in der Anwendung viel einfacher, als die meisten Menschen sich das vorstellen.

Sparda Bank – Aktueller Sicherheitshinweis

Samstag, 28. Mai 2016

Aber ich bin da doch gar nicht. Ach, ist ja auch eine Spam.

Lange kein Phishing mehr gehabt.

Sparda Bank – Aktueller Sicherheitshinweis

Das steht doch schon im Betreff.

Sehr geehrter Kunde, Grüße von Ihrer Sparda-Bank!

Genau mein Name!

Spätestens an dieser Stelle sollte jeder bemerken, dass es sich um eine Spam handelt. Eine echte E-Mail der Sparda-Bank würde nämlich immer…

  1. …den Kunden persönlich und namentlich ansprechen; und
  2. …möglichst früh im Text angeben, auf welchen Vertrag oder welches Konto sich die E-Mail bezieht, denn viele Kunden haben mehrere Konten oder laufende Darlehen oder dergleichen.

Nur kann sich der Spammer halt keine Kontonummer ausdenken, die bei jedem Empfänger passt. Aber „sehr geehrter Kunde“ passt immer.

Wir haben festgestellt, dass Sie Ihre persönlichen Daten bis heute nicht bestätigt haben.

Aha, darum geht es also in einem „aktuellen Sicherheitshinweis“. Und ich dachte schon, da steht drin, dass die Geldautomaten heute im Jackpot-Modus laufen und dass man eventuell überschüssige ausgegebene Banknoten doch bitte zur Filiale bringen soll, um riesige Geldverluste bei der Bank seines Vertrauens zu vermeiden. 😉

Aber das Beste an diesem Phishing-Trick ist: Wie, jetzt erst wollen die meine Daten? Nicht schon, als ich angeblich Kunde geworden bin? Haben die mir einfach Geld gegeben, ohne sich ein Ausweisdokument von mir zeigen zu lassen?

Diese Phisher denken sich doch immer wieder so richtig extratolle Gründe aus, um Leute dazu zu bringen, dass sie ihr Konto Kriminellen zur Verfügung stellen.

Tatsächlich hat es aber für die Sicherheit überhaupt keinen Wert, wenn man gegenüber einer Bank (oder sonstigen Unternehmung) lauter Daten noch einmal angibt, die der Bank (oder sonstigen Unternehmung) längst bekannt sind. Die einzigen, die an solchen Angaben Interesse haben können und die deshalb solche Angaben einfordern, sind gewerbsmäßig agierende Betrüger, die sich für die Datenakquise als Bank (oder sonstige Unternehmung) ausgeben, um danach mit dem Geld anderer Leute mal so richtig groß einkaufen zu gehen.

Um Ihnen weiterhin einen sicheren Service anbieten zu können, ist die Bestätigung Ihrer persönlichen Daten notwendig. Ihr Nutzerkonto wurde temporär gesperrt.

Wie bitte? Was hat die Korrektmeit „meiner persönlichen Daten“ mit der Sicherheit der Dienstleistung einer Bank zu tun? Die hätte auch sicher zu sein, wenn ich nur als Daisy Duck aus Entenhausen bekannt wäre.

Nach Abschluss der Bestätigung wird Ihr Nutzerkonto automatisch freigeschaltet.
Die Bestätigung können Sie über den unten ausgeführten Button starten.

Die gleichen Leute, die im vorigen Absatz von „Sicherheit“ gefaselt haben, erzählen jetzt, dass ich die „Sicherheit“ durch einen Klick in eine nicht digital signierte E-Mail herstellen kann, wie sie mir jeder der potenziell acht Milliarden Internetteilnehmer zusenden könnte. Das sind Spezialexperten für Sicherheit! Und damit wirklich ein paar Naive so dumm sind, dass sie darauf reinfallen…

Kommen Sie dieser E-Mail innerhalb 14 Tagen nicht nach, ist die Freischaltung nur über den Postweg möglich. Dabei wird eine Bearbeitungsgebühr in Höhe von 79,95€ fällig, welche wir anschließend von Ihrem Konto abbuchen werden.

…werden in ein paar Tagen angeblich grundlos achtzig Euro fällig, weil man auf eine E-Mail nicht reagiert – was ja auch daran liegen könnte, dass die Zustellung gescheitert ist, dass die E-Mail als Spam aussortiert wurde oder dass sie an eine wegen Spamverseuchung nicht mehr aktiv genutzte E-Mail-Adresse geht. Deshalb kommen derartige Fristsetzungen aus Gründen der Rechtssicherheit ja auch nicht über E-Mail, sondern immer mit der Sackpost.

Jetzt anmelden

Der Link führt natürlich nicht zur Website der Sparda-Bank, sondern zum Server mit der IP-Adresse 190.123.45.36 (nein, es wird im Link keine Domain verwendet), der im sonnigen Panama gehostet ist. Alles, was man dort an Daten eingibt, geht direkt an Verbrecher.

Immerhin hat der Hoster schnell auf die Abuse-Mail reagiert. Der von den Phishern angemietete Server ist bereits vom Netz. Vermutlich wird jetzt ein anderer Server irgendwo auf der Welt verwendet.

Wir bitten Sie die Umstände zu entschuldigen und bedanken uns bei Ihnen für Ihr Verständnis.

Oh, so ein pseudohöflicher Dank nach einer unverschämten Belästigung ist genau das, was in mir immer das akute Bedürfnis nach negativem sozialen Feedback in Form eines eingeschlagenen Fressbrettes auslöst. Leider hat der Idiot von Spammer dieses kleine Juwel der Kundenverachtung aus echten Texten echter Unternehmungen abgeschrieben – ich durfte derartige Unverschämtheiten jedenfalls immer wieder einmal lesen. Bei jemanden, der kein Masochist ist, sollten derartige Phrasen nur dazu führen, dass man Verträge so schnell wie möglich (und im Zweifelsfall unter Vorwand) kündigt und derart kundenverachtende Klitschen mit ihrer Arschlochsprache fortan vollständig meidet.

Mit freundlichen Grüßen
Ihre Sparda Bank

Mit intelligenzverachtenden Grüßen
Dein Phishing-Spammer

Diese Spam ist ein Zustecksel meines Lesers M.S.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.