Kategoriearchiv „Phishing“

Targobank – Datenabgleich

Samstag, 4. Juli 2015

Aber ich bin da doch gar nicht Kunde. 😉

Absender: Targobank <direkt (at) targobank (punkt) de>

Dieser Absender ist gefälscht. (Jeder Absender in einer Spam ist gefälscht.) Diese E-Mail kommt nicht von der Targobank.

Screenshot der Darstellung der HTML-formatierten Spam in der Mailsoftware

Hui, Design!

Ich halte diese Phishing-Spam für gefährlich, weil sie überdurchschnittlich gut gemacht ist. Wer Kunde bei der Targobank ist und darauf reingefallen ist, sollte sich sofort mit der Bank in Verbindung setzen, um den Schaden zu minimieren.

Sehr geehrte Damen und Herren,

Genau mein Name!

Eine richtige Bank würde ihre Kunden natürlich mit Namen ansprechen, und weil gar nicht so wenige Kunden mehrere Konten haben, würde sie auch noch erwähnen, auf welches Konto sich die Mail bezieht.

Ein Spammer kann im Allgemeinen – wenn er nicht aus einem Hack oder anderen Quellen eine Zuordnung von Mailadressen zu Bankdaten hat – nicht wissen, welche Kontonummer seine Empfänger haben. Ein vorsichtiger Umgang mit Bankdaten und die Verwendung einer eigenen E-Mail-Adresse ausschließlich für die Kommunikation mit der Bank sind ein wichtiger und sehr wirksamer Schutz gegen Phishing.

unser System hat festgestellt das Ihr Telefon-Banking PIN aus Sicherheitsgründen geändert werden muss.

Da bin ich aber froh, dass „euer System“ nicht festgestellt hat, dass ich ohne Grund 20.000 Øre berappen muss!

Bitte nutzen das unten angefügte Formular um die Änderung Ihres Telefon-Banking PIN kostenfrei zu ändern.

Das „unten angefügte Formular“ ist eine an die Spam angehängte HTML-Datei, die im Browser so aussehen würde¹:

Das Wichtigste daran ist, wo die eingegebenen Daten hingehen. Diese Frage beantwortet sich leicht durch einen Blick in den Quelltext der HTML-Datei:

<form [...] method="POST" action="http://a.dbbanking.ru/de/targo/login/targo.php"  >

Die Daten gehen also nicht zum Server der Targobank, sondern zum Server unter der von Kriminellen kontrollierten, russischen Domain a (punkt) dbbanking (punkt) ru. Das ist auch der Grund, weshalb man der „Targobank“ so viele Dinge sagen soll, die die richtige Targobank längst kennt, wenn man dort Kunde ist, zum Beispiel die eigene Kontonummer. Allein die hier angegebenen Daten reichen für die Übernahme des Kontos durch die Kriminellen, und ich bin mir sicher, dass nach dem Absenden noch weitere Daten für eine angebliche „Sicherheitsprüfung“ abgefragt werden – sehr beliebt sind wegen ihrer „vielseitigen kriminellen Verwendbarkeit“ Kreditkartendaten.

(Hinweis: Andernfalls belasten wir Ihr Konto mit 18,99€ und fordern die Änderung schriftlich über den Postweg bei Ihnen an.)

Damit ein Mensch auch so wirklich doof wird, darauf reinzufallen, wird er mit technokratischen Entgelt-Forderungen gefügig gemacht – so frei nach dem Motto: „Wir haben ein Sicherheitsproblem, zahlen sie bitte grundlos zwanzig Euro. Die Gebührentabelle, nach der wir dieses Geld erheben, haben wir uns einfach aus dem Hintern gezogen“.

Es handelt sich übrigens um langsame Verbrecher:

Ihren Telefon-Banking PIN können sie hier, oder wie folgt ändern:

1. Öffnen Sie die Datei im Anhang Ihrer Email und wählen Sie „öffnen mit“ aus.
2. Füllen Sie alle vorgesehenden Felder aus und klicken dann auf „Daten absenden“..
3. Ihr Telefon-Banking PIN aktiviert sich nach 5-7 Werktagen.

Die brauchen fast eine Woche, bis sie alles aus dem Konto rausgeholt haben, was sie rausholen wollen.

Für weitere Fragen ist unser Online Support unter: direkt (strich) pin (at) targobank (punkt) de 24Std. für Sie erreichbar.

Was, die sind nur 24 Stunden erreichbar? Und wenn die Frage einen Tag später kommt, hat man eben Pech gehabt? Tja, so etwas kommt raus, wenn die Phisher in Sprachen schreiben, deren Subtilitäten sie nicht verstehen. Ein Autor, der Deutsch kann, hätte „rund um die Uhr“ geschrieben und nicht das irreführende Ergebnis aus einer Computerübersetzung verwendet.

Es ist wieder einmal wie so oft bei den Phishing-Spams: Wenn der eigentliche Phishing-Kram formuliert ist, werden die Spammer oft ein wenig nachlässig und ihnen passieren kleine und zuweilen auch große und sehr peinliche Fehler. Wer sich nicht in Panik versetzen lässt (Sicherheitsmaßnahme der Bank, das wird teuer, wenn ich nicht reagiere) und gründlich liest, wird beinahe jede Phishing-Spam an solchen Details erkennen.

Targobank AG & Co. KG
Kasernenstr. 10
40213 Düsseldorf

Ihre Targobank

Wer es jetzt immer noch nicht bemerkt hat: Die Targobank hat mit dieser Spam nichts zu tun. Es ist eine Mail von Verbrechern, die ihre kriminellen Geschäfte mit fremden Konten machen wollen und die das Geld anderer Leute bei Koks und Nutten verprassen wollen.

Beratungstermin kostenlos unter:
info (at) targobank (punkt) de

Copyright © 2013 TARGOBANK

Oh, eine Mail von 2013 diente den Spammern als Vorlage… 😉

¹Ich rate strikt davon ab, Anhänge aus Spams zu öffnen, wenn man nicht weiß, wie man ein gut gesichertes System herstellt. Ein Virenscanner und eine „personal firewall“ machen kein gut gesichertes System. Das bisschen befriedigte Neugierde ist den möglichen Ärger niemals wert.

Diese Spam ist ein Zustecksel meines Lesers M.S.

YOUR EMAIL ACCOUNT IS FULL UPGRADE NOW

Samstag, 27. Juni 2015

Nein, die folgende, sehr auffällig in HTML gesetzte Spam kommt nicht von einem E-Mail-Provider, sondern von einem Spammer. Sie kommt auch auf Mailadressen an, die keinerlei Probleme mit dem Speicherplatz auf der Server haben. Sie sieht so aus:

Screenshot der Spam

Bitte auf keinen Fall diese Spam beklicken! Einfach löschen und vergessen! Sie kommt nicht von einem E-Mail-Provider. (Ja, ich wiederhole mich.) Das behauptete Problem liegt nicht vor. Jeder kann diese Spam bekommen! Es handelt sich offenbar um einen Phishing-Versuch, vielleicht sogar um etwas wesentlich Übleres.

Dear sag (at) ich (punkt) net

„Liebe Mailadresse“ ist immer eine gute Anrede!

We noticed your e-mail account has almost exceed it’s limit. And you may not be able to send or receive messages any moment from now

Ihr sendet zwar mit gefälschter Absenderadresse aus der Domain admin (punkt) com und habt nichts mit dem Server zu tun, auf dem eure Opfer ihre Mail empfangen, aber ihr wollt wissen, wie viel Platz das Mailpostfach dort belegt. Dafür behauptet ihr in einem hübschen Bildchen, es seien 1969 MiB von verfügbaren 2000, so richtig gucke mal mit Balken, der kaum noch Platz hat.

Your E-mail Account will be closed if you fail to increase Storage capacity Kindly Click here [sic!] to increase your storage capacity by 30.00GB Free..

Die Lösung, die ihr dafür vorschlagt, ist nicht etwa, Platz zu schaffen, indem nicht mehr benötigte Mails gelöscht werden – denn zwei GiB sollten selbst für die Korrespondenz eines neurotischen Zwangsschreibers ausreichend sein¹ – sondern klicki klicki in eine Spam zu machen. Auf den Text „Click here“, den man wirklich nur in Spams und unerwünschter Reklame liest, weil kein fühlendes Wesen so einen dummen Technosprech schreiben würde. Das wird auch nicht besser, wenn ihr mechanonett „kindly“ davor schreibt, dann aber das Wichtigste „vergesst“, nämlich, diesen Text auch noch zu verlinken.

Macht aber nichts, habt ihr euch gesagt, dann tippen wir eben nochmal „Click here“, diesmal aber mit einem Link.

Click here to add up free 20GB storage.

Großes Kino aus einem kleinen Gehirn!

Natürlich geht der Link nicht in die Domain, in der die Empfänger ihre Mail empfangen. Die „Reise“ geht stattdessen in die Domain turbolinktar (punkt) info, und der Link funkt über einen URI-Parameter zurück, dass die Spam angekommen ist und welche Mailadresse der Empfänger hatte.

Erstaunlicherweise funktioniert der Phishzug noch nicht einmal. Die Domain turbolinktar (punkt) info existiert zwar (und sie ist sogar alt), sie wird aber zurzeit zu keiner IP-Adresse aufgelöst. Das sieht ein kleines bisschen danach aus, als hätte ein Hosting-Provider, der die kriminellen Machenschaften dieses Packs mitbekommen hat, die Notbremse gezogen. Leider bedeutet das nicht, dass das Phishing auf E-Mail-Konten (denn genau darum scheint es sich hier zu handeln) nicht schon in einer halben Stunde über einen anderen, flugs angemieteten Server irgendwo in der Welt wieder läuft.

Ach ja, wenn man mit dem Klicken nicht schnell macht…

If not gotten from you in the next 24 hours, We shut down your E-mail Account,

…wird übrigens der Mailaccount plattgemacht. Nur, damit man auch nicht lange überlegt. Nichts macht einem Spammer nämlich so viel Sorge wie die Vorstellung, dass ein „an sich geeignetes“ Opfer durch einfaches Nachdenken bemerkt, wie dumm und dünn der Bullshit in der Spam ist. Und deshalb hetzen Spammer gern, insbesondere beim Phishing. Da wird dann erzählt, dass man nur ganz wenig Zeit hat, um Druck aufzubauen; wohlwissend, dass Stress dumm macht.

Until after proper verification before you can access your E-mail Account Again….!!!

Wow, „verification“ kenne ich sonst immer von den Banken, bei denen ich nicht Kunde bin und „von denen“ ich „E-Mail“ kriege, um mein Konto zu verifizieren. Denen darf ich dann immer alles noch mal sagen, was die Banken längst schon wissen. Aber natürlich nie auf deren eigenen Servern, immer nur an eher obskuren Orten im Internet…

Thanks.
Domain Security 2014/2015.

Wie, nächstes Jahr wollt ihr aufhören? Das wär schön! 😀

Und nun noch etwas ganz Wichtiges!

Da die Website der Spammer zurzeit nicht existiert, weiß ich nicht, worum es wirklich ging. Es scheint mir aber sicher, dass es sich um Phishing handelt, mutmaßlich auf E-Mail-Passwörter (und damit vor allem auch auf Leute, die für viele verschiedene Dienste immer wieder das gleiche Passwort benutzen).

Bitte, achtet immer darauf, wo ihr eure Passwörter eingebt!

Ein Passwort ist eine Sicherheitsmaßnahme, die nur funktionieren kann, wenn das Passwort geheimgehalten und nur dort verwendet wird, wo man sich mit diesem Passwort identifiziert. Deshalb sollte man bei jeder Passworteingabe besonders aufmerksam sein und sich immer vor der Eingabe vergewissern, dass man das Passwort wirklich dort verwendet, wo man sich mit diesem Passwort identifiziert. Bei einem Webdienst kann man dies etwa tun, indem man in die Adresszeile seines Browsers schaut.

Diese Vorsicht ist der einzige und wichtigste Schutz gegen den Missbrauch von Zugangsdaten. Sobald dieses Passwort einem Dritten mitgeteilt wurde, ist es kompromittiert.

Bitte seid so vorsichtig! Wenn diese Vorsicht mit einem klug gewählten Passwort kombiniert wird, das in keinem Wörterbuch zu finden ist, keinen Namen und kein Geburtsdatum enthält, das im günstigsten Falle eine völlig sinnlose Zeichenfolge ist, dann ist viel für die Sicherheit im Internet getan. Und das sollte es wert sein.

Danach stellt sich nur noch eine Frage: Ist mein Passwort sicher genug? 😉

Danke, M., dass du mir das weitergeleitet hast.

¹Zum Vergleich: Unser täglich Spam ist ein Blog, das seit beinahe achteinhalb Jahren nahezu täglich mit Text befüllt wird. Es enthält ferner Leserkommentare. Das Blogsystem speichert bei Korrekturen auch die vorherigen Versionen, und ich lösche die im allgemeinen nicht. Der gesamte Datenbestand – mit technischen Zusatzdaten wie Schlagwörtern, Kategorien, Metadaten aller Art – in der Datenbank umfasst in diesem Moment 21,1 MiB, dazu wurden 153 MiB weitere Daten (hauptsächlich Bilder) hochgeladen. Wenn ich für dieses Blog „nur“ zwei GiB zur Verfügung hätte, dann hätte ich in diesen achteinhalb Jahren lediglich ein Zehntel davon belegt. Kein Mensch bekommt leicht ein Gibibyte voll! Es ist verdammt viel Platz!

Aus aktuellem Anlass: mTAN-Phishing

Dienstag, 23. Juni 2015

Ein aktueller Hinweis auf einen Artikel bei Heise Online – ich selbst habe die Spam noch nicht gesehen und kann mir gut vorstellen, dass es sich um eine personalisierte¹, „gut“ gemachte Spam handelt, die vor allem Kunden zu Gesicht bekommen:

mTAN-Trojaner hat es erneut auf Android-Nutzer abgesehen

Gefälschte E-Mails im Namen der Postbank machen aktuell die Runde und fordern Nutzer dazu auf, eine SSL-Zertifikat-App zu installieren

Das ist mal etwas deutlich anderes als „Bestätigen sie ihre Information weil… ähm… wissen schon, wegen der Sicherheit“ und der Aufforderung, einer „Bank“ auf einer obskuren Website alles noch einmal zu sagen, was die Bank schon längst weiß.

Ich kann mir kaum vorstellen, dass diese Form des Phishings erfolgreich sein könnte, aber wenn ich nur etwas länger drüber nachdenke, gilt das für beinahe jeden Betrug, den ich jeden Tag zu Gesicht bekomme. Leider fällt immer wieder jemand darauf herein.

Deshalb noch einmal ganz klar für jeden Menschen zum Mitschreiben, Merken und Mitteilen: Wenn ihre Bank sie in einer E-Mail dazu auffordert, eine App für ihr Smartphone oder Tablet aus einer unbekannten Quelle zu installieren, rufen sie sofort den Kundendienst ihrer Bank an und fragen sie so deutlich und genervt wie nur irgend möglich, was die Technik-Spezialexperten bei ihrer Bank geraucht haben, um diese Idee zu entwickeln! Vielleicht bekommen sie ja etwas von diesem tollen Kraut ab… 😉

Etwas weniger flappsig gesagt: Wenn sie wirklich Kunde bei einer Bank sind, die allen Ernstes von ihnen einfordert [!], dass sie aus Sicherheitsgründen [!!] Apps für Smartphone und Tablet aus unbekannter Quelle [!!!] installieren, um „Online-Banking“ betreiben zu können [!!!!], dann wechseln sie sofort fristlos die Bank und stellen sie ihrer jetzigen Bank sämtliche ihnen dabei entstehenden Kosten in Rechnung² und überlegen sich schon einmal in aller Ruhe eine Schadenersatzforderung für den sonstigen ihnen entstehenden Aufwand! Es handelte sich bei einem solchen Schritt nur um eine Maßnahme zum Selbstschutz vor den Folgen der Organisierten Kriminalität im Internet. Die Bank, bei der sie Kunde sind, setzte ihre Sicherheit nämlich grob fahrlässig aufs Spiel, und sie hätte damit jede Vertrauensgrundlage für irgendein Vertragsverhältnis zerstört.

Ich hoffe aber, dass kein wirkliches Kreditinstitut jemals auf eine dermaßen dämliche, solches Phishing geradezu mit dem Megafon herbeirufende und den Kriminellen offen zuarbeitende Idee käme. Und deshalb sind sie vermutlich gut beraten, solche Spam einfach unbesehen zu löschen, genau so, wie auch die anderen Phishing-Spams.

Ich muss allerdings eingestehen, dass die meisten Banken noch nicht einmal dazu bereit sind, ihre E-Mail digital zu signieren, so dass die Kunden überhaupt erst die Möglichkeit hätten, den Absender und den unveränderten Inhalt einer E-Mail „der Bank“ zu überprüfen. Und das, obwohl diese defensive Maßnahme, die jedes Phishing erschwerte, im Betrieb keinen Cent Geld kostete, in der technischen Einrichtung aus der Portokasse bezahlbar wäre und die gesamte dafür erforderliche Technik kostenlos und frei zur Verfügung stünde. Von daher würde mich auch eine weitergehende, grob fahrlässige Dämlichkeit bei einigen Banken nicht überraschen. Vielleicht sollten sie das ihrer Bank auch mal deutlich mitteilen. Damit es besser wird. Damit es weniger Arbeit für die Kriminalpolizei gibt. Damit es weniger Geldwäsche über fremde Konten gibt. Damit es weniger Betrug gibt. Damit weniger Opfer der Internet-Kriminalität ihre Geschichte bei der Polizei oder gar vor einem Untersuchungsrichter erklären müssen, weil sie als Kontoinhaber ins Visier der Ermittler geraten sind. Für die Bank kostenlos. Für alle anderen Menschen – ja, fast jeder kann vom Betrug betroffen sein – eine Verbesserung des Lebens.

Auf diesem trüben Hintergrund würde es mich nicht wundern, wenn diese interessante (und für mich neue) Form des Phishings darauf zurückginge, dass einige Banken ihren Kunden sehr ähnliche Zumutungen aufbürdeten.

¹Nach den diversen Datenlecks der letzten Jahre haben die Verbrecher sehr viel Material, um sehr gezieltes Phishing zu machen, wenn sie wollen.

²Dies versteht sich als lebenspraktischer Ratschlag, der dem „gesunden Menschenverstand“ folgt, nicht als juristische Beratung.

[ PayPal ] 💳 Secure your account now ✉

Sonntag, 14. Juni 2015

Oh, ihr könnt ja lustige Zeichen. Genau das Richtige für die Grabverweigerer aus der Generation Jamba, die ihren durch technisch vorangetriebene Verdummung und Infantilisierung erworbenen funktionalen Analphabetismus ebenfalls durch allerlei lustige Zeichen überspielen. Und ihr glaubt wohl sogar, dass dadurch eure dumme Spam ein bisschen mehr wie eine Mail von PayPal aussieht? Ich muss euch enttäuschen, denn dafür fehlt euch zu viel vom Talent, Buchstaben sinntransportierend zu Wörtern, Sätzen, Mitteilungen zu gruppieren.

PayPal

This is an automated email, please do not reply

Immerhin, automatisiert versendet wurde diese Mail, das stimmt also. Allerdings nicht von PayPal.

Dear Client,

Genau mein Name!

You Must Confirm Your Informations!

Und warum? Handelt es sich um eine Anordnung Gottes?

Please click on the following link to Confirm It:

Click here to Confirm Your Account Informations.

You Must Confirm Your Information To Save It .

Genau, ständige Wiederholung inhaltsleerer Befehle ist der neue PayPal-Stil, und info (strich) customer (strich) pl (punkt) esy (punkt) es ist die neue PayPal-Domain.

Thanks You For Helping,
Support Team

Nach so viel Wiederholung autoritärer Aufforderungen wirkt der Dank fast verdächtig… 😀

Need Assistance? We‘re happy to help by phone at 1-518-741-xxxx, Monday to Friday 9:00am to 5:00 pm EST, or by email

Wer diese Mail für eine echte Mail von PayPal hält, sollte noch ganz andere Telefonnummern wählen!

Copyright 2015. All rights reserved.

Und als kleines Krönchen auf den gärenden Bullshit das deklarierte „geistige Eigentum“ auf den Text einer Mail.

Spammer, verklag mich doch für dieses Zitat hier!

Amazon Konto Verifikation!

Freitag, 5. Juni 2015

Diese Mail fällt nicht nur wegen ihres doofen Betreffs auf, sondern auch dadurch, dass 461 Mailadressen als Empfänger eingetragen sind, was natürlich den gewünschten Eindruck von „Amazon schreibt mich an, weils ein Problem mit meinem Account gibt“ zerstört. Die tiefere Bedeutung der Header-Zeile BCC muss sich der Spammer noch einmal von einem Achtjährigen erklären lassen.

Der Text ist dann auch genau so doof, wie es diese Mail schon auf dem ersten Blick verspricht:

Hallo lieber Amazon User ,
Sie müssen eine Verifikation Durchführen , weil leider alle Amazon
Daten Verloren Gingen.
Wir bitten sie auf der Angegebenen Webseite ( Siehe Unten ) , Den Link
zu öffnen , und sich dort einzuloggen und ihre daten erneut ein zu
geben.

Der Link zur Verifikation:
http://amzn.co.at/index/?[ID entfernt]

Mit Freundlichen Grüßen,
Ihr Amazon CO Team.

So so, leider sind alle Amazon-Daten verlorengegangen… 😀

Gut, dass darauf niemand reinfallen kann, weil es so krachend dumm ist!

Die verlinkte Website „verzichtet“ auf normales HTML und erzeugt ihre „Inhalte“ aus mit Javascript entschlüsselten, zuvor verschlüsselten Daten. 😯

Das ist natürlich ein bisschen… verdächtig, denn ein Phisher brauchte sich niemals solche Mühe zu geben. Mit an Sicherheit grenzender Wahrscheinlichkeit handelt es sich hier um einen Versuch, dem Besucher Schadsoftware zu installieren. Ich bin gerade viel zu unmotiviert, die vorsätzlich kryptischen Methoden zu analysieren, um nachzuschauen, was genau getan wird und ob es am Ende wenigstens zum Schein noch eine Phishing-Seite gibt und begnüge mich mit der Einsicht, dass dumm formulierte und technisch mies gemachte Phishing-Spams zurzeit manchmal auf perfide ausgearbeitete und wahrscheinlich hochinfektiöse Seiten führen. Oder: Auch den scheinbar dümmsten Spammer darf man nie unterschätzen.

Und deshalb klickt man niemals, niemals, niemals in eine Spam – und erlaubt auch generell nicht jeder dahergelaufenen Website die Ausführung von Javascript-Code im Browser. Ein Browser-Addon wie NoScript ist eine unverzichtbare Sicherheitssoftware, die derartige Angriffe an der Wurzel verhindert, selbst, wenn die Schadsoftware so aktuell sein sollte, dass der Virenscanner keine Chance hätte.

Diese Spam aus dem Beklopptenbrutschrank des Internet ist ein Zustecksel meines Lesers E.T.

Reminder: Your account has been suspended now please update

Freitag, 22. Mai 2015

Diese zurzeit recht häufige Spam mit dem gefälschten Absender services (at) paypal (punkt) cc kommt nicht von PayPal. Es handelt sich um eine Spam, mit der Menschen dazu überrumpelt werden sollen, Kreditkartendaten und Zugangsdaten für PayPal an Verbrecher zu übergeben. Einfach löschen!

Important Notice

Aber ganz wichtig! Da ist nicht mal Platz für einen Anredeversuch.

Warning,

Alarm!!!

Some information on your account appears to be missing or incorrect.

Irgendwas erscheint irgendwie fehlend oder falsch – ALARM!

Please confirm your information promptly so that you can continue to enjoy all the benefits of your PayPal account.

Also kümmer dich schnell darum, sonst geht der Segen deines PayPal-Kontos für dich vorüber und…

If you don’t confirm your information, we‘ll limit what you can do with your PayPal account.

…wir machen irgendwelche nicht näher ausgeführten Beschränkungen an dich, den wir nicht einmal mit Namen ansprechen können und dessen PayPal-Konto wir auch nicht mit der dafür verwendeten E-Mail-Adresse identifizieren können.

Here’s a link to all the legal details

Validate your account Here

Also klick schon! Der Link geht natürlich nicht auf die Website von PayPal, und auch nicht in irgendeine Domain, sondern zu einer Website, die unter der IP-Adresse 46.19.46.129 auf dem Port 3350 verfügbar ist.

Thank you for being a PayPal customer.

Du mich auch, Phisher!

Please do not reply to this email. We are unable to respond to inquiries sent to this address. For immediate answers to your questions, visit our Help Center by clicking „Help“ located on any PayPal page or email.

Der Verweis auf den Link für die Hilfe in PayPal-Mails ist besonders lustig, wenn er in einer angeblichen Mail von PayPal steht, die keinen Link auf die Hilfe enthält.

Copyright � 2015 PayPal, Inc. All rights reserved. PayPal is located at 2211 N. First St., San Jose, CA 95131.

Und das mit dem ©-Zeichen übst du auch nochmal. Frag mal einen Achtjährigen nach der HTML-Entität dafür, dann klappts auch. Obwohl, wo du so doof spammst, kann ich dir ja sagen, dass du © verwenden musst…

Das Problem: Paypal Sperrung

Freitag, 3. April 2015

Achtung, keine Tischkanten in Gebissnähe! Diese Qualitätsspam hält, was der Betreff schon verspricht. Es ist eine gnadenlos schlechte Phishing-Spam, an deren Gestaltung und Formulierung garantiert kein Gehirn beteiligt war:

Sehr geehrte/r Benutzer/in!

Wir bitten Sie um einer Unterstatzung [sic!] bei der Freistellung [sic!] Ihres PayPal Konto.
Es sind uns auffullige Aktivituten aufgefallen [sic!] in der Zeit Ihres letzen Aufrufs,
Ihr PayPal-Konto ist vorabergehend [sic!] gesperrt

Fremde IP-Adresse lautet 159.161.77.64

Wo liegt das Problem?
Bei Ihrer letzten Anmeldung sind uns auffallige Aktivitaten aufgefallen [sic!].

Was ist die Losung? [sic!] Bitte bestatigen Sie Ihre Personalitat durch folgenden Button [sic!] und geben Ihre Personliche Daten ein, damit wir Ihr Account freischalten konnen.
Schliesslich, konnen Sie Ihr Paypal-Konto wieder uneingeschrankt nutzen.

Klicken Sie bitte Jetzt Zugriff wiederherstellen.

Viele Grabe!! [sic!]

Email id:55v1d _ f3sd2668×2ga

Ohne Worte. Aber mit vielen Gräbern.

Konto-Status

Donnerstag, 2. April 2015

Oh, wie schön: Etwas Phishing inmitten der ganzen Vorschussbetrüger. Bei welcher Bank bin ich denn heute mal wieder so sehr „Kunde“, dass sie nicht einmal meinen Namen kennt?

Lieber PayPal Kunde,

Ah ja, bei PayPal.

Aufgrund der jüngsten betrügerischen Aktivitäten haben wir ein neues Online-Sicherheitssystem für den maximalen Schutz der persönliche Daten [sic!] unserer Kunden gestartet.
Nach dieser Tatsache, [sic! Komischer Begriff und falsches Komma.] wird Ihnen angeboten, ihr PayPal-Konto zu aktualisieren.

Wie üblich, wenn PayPal mir schreibt, sind Grammatik, Wortwahl und Zeichensetzung ein bisschen komisch. Und wenn PayPal etwas an seiner Programmierung ändert, dann muss ich deshalb tätig werden. Ein großes Problem der Phisher ist und bleibt es, dass ihnen kaum gute Gründe einfallen, warum man jetzt seine Anmeldedaten auf einer anderen Seite als auf der Anmeldeseite eingeben sollte.

Um Ihr PayPal-Konto zu aktualisieren, liegt Ihnen in Ihrer E-Mail Adresse [sic! Deppen Leer Zeichen] ein Formular zur Verfügung [sic! Ausdruck].

Da dieser Phisher nicht so wirklich gut deutsch kann, weiß er auch nicht, wie er es ausdrücken soll, dass es einen Mailanhang gibt…

Bitte laden Sie das Formular aus [sic!], rufen Sie über Ihren Internet-Browser [sic!] und folgen Sie den Anweisungen auf dem Bildschirm.

…den man öffnen, ausfüllen und beklicken soll. Es handelt sich dabei um ein HTML-Dokument mit der stolzen Größe von 177,9 KiB, das einem die Möglichkeit einräumt, die gegenüber PayPal benutzte Kombination von Mailadresse und Passwort direkt an die organisierte Internet-Kriminalität zu senden. Dem Idioten, der diesen ziemlich aufgeblähten HTML-Code mutmaßlich aus der echten PayPal-Seite schnell zusammenkopiert hat, ohne ihn auch nur halbwegs zu verstehen…

Screenshot der Darstellung der angehängten HTML-Datei im Browser

…ist leider während der Arbeit sein Wörterbuch verloren gegangen, so dass er nicht mehr nachschlagen konnte, was „new“ denn jetzt auf deutsch heißt.

Hinweis: Das Formular muss in einem modernen Browser geöffnet werden, dass JavaScript aktiviert hat [sic!]. (z.B. Internet Explorer, Mozilla Firefox)

Von nichts könnte ich weniger abraten als davon, einem Spammer das Privileg einzuräumen, Programmcode auszuführen. In diesem Fall wäre es relativ harmlos gewesen, denn hier dient ein verhältnismäßig komplexes Skript nur dazu, zu verbergen, dass die Daten nicht etwa an die Domain von PayPal gesendet werden, sondern an die ungleich weniger Vertrauen erweckende Domain s (punkt) psereu (punkt) us, die erst frisch vor einer Woche unter Angabe mutmaßlich irgendwo abgegriffener Daten registriert wurde. (Der vermutlich völlig unbeteiligte Einwohner der USA, dessen Identität hier von Verbrechern missbraucht wird, darf sich vermutlich in Kürze wegen des gewerbsmäßigen Computerbetrugs anderer Leute mit dem FBI herumschlagen. Das ist einer der Gründe, weshalb man sehr zurückhaltend mit seinen Daten umgehen sollte – egal, wie viel „Datenschutz“ auch versprochen wird.)

In einem zweiten Schritt „darf“ man übrigens einen umfassenden Datenstriptease hinlegen und jede Menge Daten gegenüber „PayPal“ angeben, die das echte PayPal schon lange kennt. Was machen die Verbrecher mit solchen Daten? Na ja, das übliche: Kreditkartenbetrug und hin und wieder mal unter einer fremden Identität auftreten, damit andere Leute ins Visier der Ermittler geraten.

Nach Abschluss dieser Phase [sic! Meinen die eine Mondphase?!] wird die Aktualisierung Ihres PayPal-Kontos normal funktionieren.

Genau wie vorher.

Wir entschuldigen uns für die Unannehmlichkeiten und danken Ihnen für Ihre Zeit.

Ja ja, ich verachte euch auch!

Für weitere Informationen kontaktieren Sie bitte den Kundenservice.

Es war offenbar kein Platz mehr auf dem Mailpapier, so dass nichts von Substanz gesagt werden konnte.

Mit freundlichen Grüßen,

PayPal-Team.

Ihr mich auch!