Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Kategoriearchiv „Phishing“

Steuerlichen Bekannt – Rückerstattung

Mittwoch, 5. Februar 2014

Oh, ein Qualitätsbetreff! Das wird gewiss eine Qualitätsspam sein. Die gefälschte Absenderadresse ist Benachrichtigung (at) bundesfinanzministerium (punkt) de. Herr Schäuble ist vermutlich nicht amüsiert…

In die Mail ist – extern verlinkt – auch noch das Logo des Bundesministeriums für Finanzen eingebaut, einschließlich Hoheitszeichen.

Sehr geehrter Kunde, [sic!]

Nach den neuesten Berechnungen [sic!] des Einkommens Steuern [sic!], haben wir festgestellt, dass Sie Anspruch auf eine Rückerstattung von uns für einen Betrag von 300,00 € zu erhalten sind. [sic!]

Was sind die Schritte, um für meine Rückerstattungfolgen ? [sic!]

Eine Rückerstattung kann aus verschiedenen Gründen verzögert werden. Zum Beispiel die Vorlage ungültige [sic! Absatz endet hier.]

Datensätze [sic!] oder die Anwendung [sic!] nach Ablauf der Frist.

Wir bitten Sie, Ihre Bankdaten aktualisieren [sic!], so dass Ihre Rückerstattung so bald wie möglich gemacht werden [sic!], und Sie erlauben uns 3 Arbeitstage [sic!], um Ihre Situation zu verarbeiten. [sic!]

Ich schaue mir die Schritte zu folgen >>

Aus Gründen der Sicherheit und der Privatsphäre, ist dieser Link zur Einzelnutzung [sic! Bullshit!] und einer Dauer von 3 Tagen. [sic!]

Vielen Dank und akzeptieren Sie bitte, Frau, Herr, [sic!] Mit freundlichen Grüßen.

Bundesministerium der Finanze.

bundesfinanzministerium – respektiert ihre Privatsphäre
Die Vertraulichkeitsvereinbarung [sic!] finden Sie auf http://www.bundesfinanzministerium.de/

bundesfinanzministerium.de – Bundesministerium der Finanze [sic!] | 2014 Alle Rechte vorbehalten

Ich muss wohl nicht erwähnen, dass der Link in Wirklichkeit nicht etwa zur Website des Bundesministeriums für Finanzen, sondern in meinem Fall in die nicht so offiziell wirkende Domain africajobbrokers (punkt) com geht, was fast so erheiternd wie der Inhalt der Spam ist. Dort kann man seinen Namen, seine Anschrift, seine Telefonnummer, seine Mailadresse, sein E-Mail-Passwort [!], seine Kontonummer, die Antwort auf eine Geheimfrage, die Kreditkartennummer, das Ablaufdatum, die Kartenprüfziffer und sein Geburtsdatum eingeben – und mit einem Klick direkt an die Kriminellen senden.

Aber wer diese lustige Phishing-Spam nicht als Spam erkennt und unbeklickt löscht, der bekommt vermutlich nicht einmal ein Bankkonto eröffnet.

Apple-id aus Sicherheitsgründen deaktiviert!

Mittwoch, 22. Januar 2014

Keine Sorge, diese Mail bekommen auch Leute wie ich, die kein einziges Apple-Gerät herumliegen haben und keine Software von Apple nutzen, aber dafür ein paar Honigtopf-Mailadressen für die Harvester der Spammer unterhalten. Das liegt daran, dass diese Mail nicht von Apple kommt, sondern von Verbrechern…

Online kaufen | Händler finden | 0800 2000 136 [sic!]

Alle Links führen in die Domain www (punkt) newsletter (punkt) eu und enthalten eine eindeutige ID, die zu den Spammern zurückfunkt, dass die Spam angekommen ist und gelesen wird. Wer nicht dreißig bis fünfzig solcher „Nachrichten“ am Tag bekommen möchte, sollte besser nicht darauf klicken… 😉

Das darauf folgende, kleine Bild wird von der Apple-Homepage eingebettet, ich nehme es nicht ins Zitat auf, weil ich damit Urheberrechte verletzen würde. Kriminelle Spammer brauchen sich um so etwas eher keine Sorgen zu machen. Apple lege ich nahe, zum Schutz ihrer Kunden dieses Bild auf dem Server durch eine deutliche Warnung an ihre Kunden zu ersetzen, dass es sich um eine Phishing-Mail handelt.

Apple-id aus Sicherheitsgründen deaktiviert

Unser Spammerchen hat einfach den Betreff wiederholt, um den Eindruck von etwas mehr Inhalt zu erwecken…

Sehr geehrter Kunde,

…damit er um so leichter darüber hinweggehe, dass er an einen Unbekannten schreibt und deshalb eine sehr unpersönliche Anrede benutzen muss.

Ihre Apple-ID wurde aus Sicherheitsgründen deaktiviert!

Und nach dem Betreff und seiner Wiederholung vor der Anrede wird jetzt gleich nach der Anrede zum dritten Mal mit gleichen Worten gesagt, dass da irgendwelche nebulösen Sicherheitsgründe zur Sperrung eines Accounts geführt hätten. Der Autor dieses Kurztextes war sich allerdings nicht mit sich selbst einig darüber, wie er die Bezeichnung „Apple-ID“ zu schreiben hat, und so erheitert er seine unfreiwilligen Leser mit zwei verschiedenen Schreibweisen. Wenn er sich mit irgendetwas Mühe geben wollte, brauchte er ja auch nicht vom Phishing zu leben, der Spammer.

Es wurde von einer anderen IP-Adresse aus eine Anmeldung bei Ihrem Apple-Konto versucht.

Oder anders gesagt: Wer keine feste IP-Adresse von seinem Zugangsprovider zugewiesen bekommt – dafür muss man im Regelfall einen speziellen Vertrag haben und zusätzlich bezahlen – bekommt diese E-Mail nach jeder Neuzuweisung einer IP-Adresse. Viele ADSL-Nutzer würden somit jeden Tag eine derartige Mail bekommen.

Bestätigen Sie bitte noch heute Ihre Identität, andernfalls wird Ihr Konto deaktiviert, um den Schutz der Sicherheit und Integrität der Apple-Gemeinschaft zu gewährleisten.

Und wenn man jetzt nicht ganz schnell reagiert, wird das deaktivierte Konto deaktiviert. So wegen der Sicherheit und wegen der strukturellen Integrität des Warpkerns. Und wie bestätigt man jetzt seine „Identität“? Durch Vorlage eines Internet-Ausweises? Oder durch Einsenden einer eingescannten Geburtsurkunde? Nein, nichts von alledem:

Zur Bestätigung Ihrer Identität folgen Sie bitte dem unten stehenden Link:
Bestätigen >

Man bestätigt seine „Identität“, indem man in einer Spam rumklickt. Der Link geht natürlich nicht auf die Apple-Website, sondern wiederum in die windige Domain newsletter (punkt) eu. Von dort aus führt er über sportliche vier HTTP-Weiterleitungen schließlich in die betrügerische Domain accountapple (punkt) co, die ungefähr so viel mit Apple zu tun hat wie ein Kuhfladen mit einem Pfannkuchen. Diese Domain wurde gestern erst eingerichtet, sie wird bei 1&1 gehostet. Die dabei angegebenen Registrierungsdaten wurden mit an Sicherheit grenzender Wahrscheinlichkeit irgendwo anders durch Phishing oder aus offenen Quellen abgegriffen, missbrauchen also die Identität eines unbeteiligten Dritten, der demnächst unangenehme Briefe von der Kriminalpolizei bekommen wird und dazu Stellung beziehen muss.

Natürlich habe ich 1&1 eben die übliche Mail geschickt, und ich bin recht guter Dinge, dass die Phishing-Site zügig verschwinden wird… 😉

Copyright © 2014 Apple Inc. Alle Rechte vorbehalten.

Nein, Apple hat mit dieser Spam nichts zu tun.

Message sent to: mxxxxxt (at) hxxxxxu (punkt) de

Um den Eindruck von Inhalt zu erwecken, wiederholt der Spammer noch einmal, was im To:-Header der Mail steht.

Message sent from: Apple, olbrichstraße 1, Frankfurt, Baden-Wurttemberg – DE 60488

Ich persönlich habe zwar keine besonders gute Meinung von Apple, aber ich bin mir sicher, dass Apple sowohl mit der Groß-/Kleinschreibung als auch mit der richtigen Schreibweise des Bundeslandes „Baden-Württemberg“ klarkäme. 😀

To unsubscribe, click here

„Click here“, der dümmste und bei dummen Spammern beliebteste Linktext aller Zeiten, immer wieder eine Freude, ihn zu sehen.

Gekrönt wird diese konzentrierte Idiotie von einem eingebetteten Webbug, der zurückfunkt, dass die Mail auch betrachtet wurde und welcher Browser oder Mailclient mit welchem Betriebsystem dafür verwendet wurde – wenn man seine Mailsoftware so konfiguriert hat, dass eingebettete Bilder dargestellt werden. So verifizieren Kriminelle ihre Adressdatenbanken und bereiten folgende Angriffe vor.

Benachrichtigung Paypal Konto!

Dienstag, 21. Januar 2014

Wer andern eine Grube gräbt, sitzt nach langem Graben meist im Dunkeln…

PayPal – Bitte verifizieren Sie Ihre Identitat [sic!]

Hallo [sic!]

Innerhalb unserer Mabnahmen [sic!] zur Gefahrabwendung [sic!], regelmabig [sic!] Bildschirm Aktivitat [sic!] PayPal [sic!]. Wir bitten um Informationen uber [sic!] Sie aus dem wichtigen Grund [sic!]:

Unser System hat ungewohnliche [sic!] Gebuhren [sic!] fur eine Kreditkarte in Verbindung mit Ihrem PayPal-Konto festgestellt. Dies ist die letzte Benachrichtigung, sich bei PayPal [sic!]. Dies ist die letzte Benachrichtigung an bei PayPal anmelden [sic!]. Sobald Sie den Zugang [sic!] werden wir Mabnahmen [sic!], um den Zugang zu Ihrem Konto wieder [sic!].

Einmal verbunden, folgen die Anweisungen zur Aktivierung Ihres Kontos [sic!]! Vielen Dank fur [sic!] Ihr Verstehen [sic!], da wir der Account-Sicherheit zu gewahrleisten [sic!] arbeiten [sic!].

Das Vorgehensweise ist ganz einfach:

Klicken Sie auf den Link unten, um einen sicheren Internet-Browser zu offnen [sic!]. Bestatigen [sic!] Sie, dass Sie der Halter [sic!] des Kontos sind und folgen Sie den Instruktionen.

http (doppelpunkt) (doppelslash) paypal (punkt) com (punkt) de (punkt) cgi (strich) bin (punkt) webscr (punkt) cmd (strich) login (strich) submit (punkt) dispatch (punkt) account (strich) update (punkt) su (slash) cgi (strich) bin (slash)

Bitte nicht auf diese Meldung [sic!] antworten. Die unter dieser Adresse eingegangene Meldungen [sic!] werden nicht durchgesehen und darum bekommen keine Antwort [sic!]. Um Hilfe zu erhalten, Zeichen in Ihr PayPal-Konto [sic!] und klicken Sie auf den Zeiger Hilfe [sic!] in der oberen rechten Ecke jeder PayPal-Seite.

Mit freundlichen Gruben [sic!]
PayPal Account Review Department

Copyright (c) 1999-2014 PayPal. Alle Rechte vorbehalten.

Ohne Worte. 😀

Der Link geht natürlich – unerfahrene Webnutzer können es bei einer so epischen Liste von Subdomains leicht übersehen – in die Domain account-update.su, die nicht PayPal gehört, sondern erst vor einer Woche eingerichtet wurde. Die irreführende Behauptung, dass man mit einem Klick in eine Mail einen „sicheren Browser“ öffne, ist ansonsten so ziemlich die einzige Innovation dieser Phishing-Mail. Neben der innovativen Sprache und Rechtschreibung, versteht sich…

DKB – Konto gesperrt!

Dienstag, 24. Dezember 2013

*Sehr geehrter Kunde,*

Klingt auch mit Asterisken drumherum nicht persönlicher…

Unseren Daten zufolge, wurde ihre Onlinesitzung aus folgenden Grьnden unterbrochen:

1. Versuchtes Einloggen mit falschen Informationen.

2. UnsachgemдЯe Altualisierung ihres DKB Online-Banking Kontos.

Meinen Daten zufolge ist diese Spam aus folgenden Gründen völlig unglaubwürdig:

  1. Unpersönliche Ansprache des angeblichen Kunden
  2. Keine Bezugnahme, um welches Konto es sich handelt (manche Menschen haben mehrere)
  3. Unfähigkeit, diese Pünktchen über Vokalen in deutschen Wörtern zu machen, stattdessen erscheinen lustige kyrillische Kringel
  4. Gnadenlos dämliche Formulierung in „Unsachgemäße Aktualisierung“, die auch noch falsch geschrieben wurde, um es umso deutlicher zu machen
  5. Gnadenlos dämliche Formulierung in „Unseren Daten zufolge“

Wir bitten sie, ihr DKB Konto wiederherzustellen und um ein endgьltiges Sperren ihres Kontos zu vermeiden.

Achtung, es ist weg, das Konto. Deshalb muss es „wiederhergestellt“ werden. Sonst wird das wegge Konto gesperrt. :mrgreen:

Übrigens, nichts ist so lustig wie ein Absatzumbruch mitten im Satz, so dass einen Absatz später der folgende Satzstummel stehen bleibt:

Folgenden Link anzuclicken:

Schon mistig, wenn man die Sprache, in der man spammt, gar nicht versteht. 😀

DKB Deutsche KreditBank AG <http://www.enrichcosmo.com/tmsb/dkb/>

Wer DKB-Kunde ist und diese Adresse mit mit der Homepage seiner Bank verwechselt, verdient es kaum anders als betrogen zu werden.

© 2013 DKB Online-Banking Korporation. Alle Rechte vorbehalten.

Jede idiotische Phishing-Spam voller Vollpfosten-Formulierungen und technischer Fehler klingt gleich viel überzeugender, wenn dafür ein „geistiges Eigentum“ beansprucht wird. Nicht.

technische Stцrung

Freitag, 13. Dezember 2013

Die müssen aber wirklich Probleme mit der Technik haben, wenn sie nicht einmal die richtige Codepage mit den Umlauten angeben können.

Von: Sparkasse De <info (at) sparkasse (punkt) de>

Natürlich ist der Absender gefälscht. Damit das auch weniger erfahrene Zeitgenossen merken, haben die Spammer ein völlig neues Kreditinstitut namens „Sparkasse De“ erfunden. 😀

Sehr geehrter Kunde,

Wie der Empfänger wohl heißt? Der Spammer kann es in seiner millionenfachen Müllmail nicht wissen.

Als vorbeugende Ma?nahme [sic!] alle unsere Kunden sind erforderlich, um Bankkonto zu aktualisieren. [sic!] Bitte durch diesen Link gehen [sic!], um die Aktualisierung selbst zu tun. [sic!]

Sparkasse Bank sicherzustellen [sic!], dass System-Verifikation sorgen jeden Monat, um bessere Dienstleistungen f?r unsere Kunden valable [sic!] bereit zustellen [sic!].

http://sparkasse.de/online/updates

Wer durch diesen Link geht, lasse alle Hoffnung fahren! Anders, als es die Unfähigkeit der Spammer, Umlaute in die Mail zu bringen, vermuten lässt, handelt es sich hier um eine HTML-formatierte Mail. Der Link geht in die deutlich weniger Vertrauen einflößende Domain foxter (punkt) de (punkt) ru. Die Phishing-Site, die dort lag, ist inzwischen entfernt.

Nachdem Update [sic!] wird einer unserer Mitarbeiter Sie kontaktieren, um den gesamten Prozess zu vervollstandigen [sic!]. Wenn der Vorgang abgeschlossen ist,
werden Sie wie gewohnt ihr online-Banking [sic!] mit der Sparkasse verwenden k?nnen.

Und das beste daran: Man kann seine Fernkontoführung auch wie gewohnt nutzen, wenn man diesen Müll einfach löscht.

Wir wollen Ihnen im Voraus f?r Ihre Mitarbeit danken.

Gern geschehen, Spammer

Diese Mail aus der täglichen Spamhölle ist eine Zusendung meines Lesers Cassiel.

Wichtig: Ungewöhnliche Aktivitäten in Ihrem Konto

Dienstag, 3. Dezember 2013

Wie jetzt, bewegt sich das Konto? Beginnt es zu singen? 😀

Loggen Sie sich so bald wie möglich in Ihr Konto ein
Guten Tag!

Ich habe keine Ahnung, wie du heißt.

Wir haben in Ihrem Konto ungewöhnliche Aktivitäten festgestellt. Loggen Sie sich bei Konto ein,
um Ihre Identität zu bestätigen. Solange uns diese Informationen nicht zur Verfügung stehen, ist
Ihr Zugang zu vertraulichen Kontofunktionen eingeschränkt. Wir möchten Ihren Zugang
schnellstmöglich wiederherstellen und entschuldigen uns für diese Unannehmlichkeit.

Ich habe nicht verstanden, dass man in einer HTML-formatierten E-Mail nicht am Ende jeder Zeile einen Zeilenumbruch machen muss, und dass es ziemlich mies aussieht, wenn man es dennoch tut und damit den Mailclient daran hindert, den Text einfach an die Fenstergröße angepasst umzubrechen. Dieser ganze Technikkram ist mir ein bisschen fremd, ich benutze den nur zum Spammen. Ich habe auch kein Problem damit, zu sagen, dass du „deine Identität bestätigst“, wenn du irgendwelche Daten in irgendwelche Felder in einer Webseite eingibst; ganz so, als könnte sich dabei nicht jeder als Angela Merkel ausgeben.

Was ist los?

Auch ansonsten bin ich sprachlich stilsicher und niemals um eine kecke Formulierung verlegen.

Wir haben in Ihrem Konto ungewöhnliche Aktivitäten festgestellt. Das sollten Sie tun Loggen Sie
sich so bald wie möglich in Ihr Konto ein. Wir bitten Sie möglicherweise, Informationen zu
bestätigen, die Sie beim Eröffnen Ihres Kontos angegeben haben. So wird sichergestellt,
dass Sie der Kontoinhaber sind.

Dafür vergesse ich manchmal ein paar Satzzeichen. Das macht aber nichts, denn wer hier immer noch keine Zuckungen im Löschfinger bekommen hat, der bemerkt das vermutlich nicht. Vielleicht ist sogar der eine oder andere so doof und glaubt, dass er seine „Identität bestätigt“, wenn er nach einem Klick in eine obskure E-Mail seine Kreditkartennummer, seinen Namen und sein Geburtsdatum eingibt, obwohl die Bank das alles schon längst kennt.

Ach ja, der Link:

Klicken Sie auf den nachfolgenden Link:

Schützen Sie Ihr Konto

Ich hbae mir heute extra für meine Phishing-Spam einen anderen Linktext als dieses dümmliche „Klicken sie hier“ ausgedacht. :mrgreen:

Der Link führt in eine längliche Subdomain der Domain p4ym3 (punkt) com, und dort gibt es eine „liebevoll“ nachgestaltete PayPal-Loginseite. Nachdem man mir die PayPal-Logindaten gegeben hat, kann man in einem zweiten Schritt die Kreditkartennummer, die Gültigkeit der Karte, die Prüfnummer, die Kontonummer, das Geburtsdatum und die Postleitzahl angeben. Den Namen kriege ich durch einen Login bei PayPal raus. Danach kann ich tatsächlich „eine Identität bestätigen“, und zwar eine andere als meine. Das kommt mir bei meinen kriminellen „Geschäften“ sehr entgegen – und glaub mir: Das Geld anderer Leute gibt sich viel einfacher aus als das eigene.

Wie geht es nun weiter?

Lassen Sie uns Ihr Konto gemeinsam wiederherstellen. Nachdem Sie alle Schritte durchgeführt
haben, antworten wir Ihnen innerhalb von 72 Stunden.

So, jetzt noch was mit „gemeinsam“, und zum Schluss noch einmal…

Viele Grüße

…ein Winke-winke vom knalldoofen Spam-Autor, der sich sicher ist, dass auch dieses Mal wieder zehn bis zwanzig naive, unerfahrene Leute drauf reinfallen.

1und1 Sicherheit – Fehlgeschlagende Zugriffe

Sonntag, 1. Dezember 2013

Das Wichtigste vorab: Diese Mail stammt NICHT von 1&1. Es handelt sich um einen Phishing-Versuch.

Und ja, dieser Versuch kommt gleich mit einem auffälligen Verschreiber im Betreff, damit ein aufmerksamer Leser schon vor dem Lesen weiß, dass es sich nicht um eine Standard-Mail von 1&1 handelt, sondern um den Versuch eines Kriminellen, sich als 1&1 auszugeben.

Lieber Kunde,

Und weil die Mail nicht von 1&1 kommt, ist dem Absender auch keine bessere Ansprache als „Lieber Kunde“ möglich. Dabei hätte er in diesem Fall durchaus den Namen aus der Mailadresse erraten können:

Dies ist eine automatisch generierte E-Mail bezüglich der versuchten Änderung(en), die kürzlich an Ihrem 1und1.de-Konto vorname (punkt) nachname (at) online (punkt) de vorgenommen werden sollten.

[Natürlich ist der Name im Zitat geändert – aber im Original stand eine Mailadresse, die einen Vor- und einen Nachnamen enthielt.]

Aber ein dummes Spamskript ist nun einmal nicht sehr intelligent. Und ein Spammer übrigens auch nicht, wie man an der papierhaft-barocken Formulierung „bezüglich blah blah“ mit Verbhaufen „vorgenommen werden sollten“ am Ende des Satzes erkennen kann, die auch so richtig „fehlgeschlagend“ ist. Jeder richtige Dienstleister, der möchte, dass seine automatisch generierten E-Mails unmissverständlich und modern klingen, schriebe so etwas wie „Sie erhalten diese E-Mail, weil versucht wurde, eine Änderung an ihrem Konto vorzunehmen“. Klare, unverbogene und unmissverständliche Formulierungen sparen nämlich Geld im Support.

Es wurde versucht Ihr Passwort über die Passwort Vergessen Funktion [sic! Mit Deppen Leer Zeichen] zurückzusetzen. Sollten Sie versucht haben die Änderung vorzunehmen, betrachten Sie diese E-Mail bitte als gegenstandslos.

Apropos Dummheit und Formulierungen: Was sagt dieser Absatz? Es wurde versucht, ein Passwort zurückzusetzen. Aha. Und war dieser Versuch erfolgreich? Unwichtig. Muss diese Änderung eines Passwortes irgendwie bestätigt werden? Unwichtig. Gerade, wenn jemand selbst versucht hat, sein Passwort zu ändern, ist eine solche Mail in aller Regel nicht „gegenstandslos“, weil sie typischerweise einen Link (oder in eingen Fällen auch¹: einen Code für die Eingabe in einem zweiten Schritt) enthält, mit dem man diese Änderung bestätigen muss. Dieser Vorgang wird aus naheliegenden Gründen im Text der Mail so erklärt, dass beim Lesen klar wird, was ein Klick bewirkt.

Ein dummer Spammer, der sich keine großen Gedanken macht – sonst könnte er ja gleich arbeiten gehen – formuliert allerdings nicht ganz so klar:

Klicken Sie hier, um loszulegen

Immerhin schreibt er für seinen dummen, nichtssagenden „Click-here“-Linktext nicht „Bezüglich ihrer Loslegung tätigen sie ihren Klick auf diesem unterstrichenen Text“. :mrgreen:

Der Link geht nicht zur Website von 1&1, sondern zu einer Site unter deutlich weniger Vertrauen einflößenden Domain 34 (punkt) 04 (punkt) webmailer1und1 (punkt) org. Die Domain mit dem vorsätzlich irreführenden Namen webmailer1und1 (punkt) org wurde am 15. November dieses Jahres eingerichtet, und natürlich sind die Registrierungsdaten über einen Whois-Anonymisierer verschleiert. (Keine Unternehmung würde die Kommunikation mit solchen Maßnahmen erschweren.)

Jeder kann sich eine Domain registrieren, die als Namensbestandteil eine Firmierung enthält. Das ist an sich nicht illegal. Allerdings wird man es sehr schnell mit der Rechtsabteilung des Unternehmens zu tun bekommen (wenn man nicht gerade eine geduldete Fan-Site betreibt) und hat, wenn man diesen Missbrauch der Firmierung nicht einstellt, eine Markenrechts-Sache am Hals, die einen sehr hohen Streitwert hat und dementsprechend teuer wird. Verbrechern, die von vornherein mit gephishten Daten anderer Menschen und von Computern anderer Menschen aus agieren, sind solche Gefahren allerdings gleichgültig, die bösen, teuren Briefe gehen ja zu jemanden anders. Zum Beispiel zu jemanden, dessen Daten sie durch Phishing gewonnen haben.

Wir bedanken uns für die Nutzung unserer Serviceleistungen und freuen uns auf die weitere Zusammenarbeit.

Das Schlimme an diesem Absatz ist: Ich muss befürchten, dass 1&1 in echten Mails ähnliche Textbausteine an dermaßen unpassenden Stellen benutzt. 🙁

Mit freundlichen Grüßen

Ihre 1&1 Internet AG

1&1 Internet AG, Elgendorfer Str. 57, 56410 Montabaur
Amtsgericht Montabaur HRB 6484
Vorstände: Henning Ahlert, Ralph Dommermuth, Matthias Ehrlich, Thomas Gottschlich, Robert Hoffmann, Markus Huhn, Hans-Henning Kettler, Dr. Oliver Mauss, Jan Oetjen
Aufsichtsratsvorsitzender: Michael Scheeren

Wie schon gesagt, diese Mail stammt nicht von 1&1, dieser Text ist – genau wie der folgende Absatz mit einer in diesem Kontext völlig unpassenden Reklame – vermutlich aus einer echten Mail von 1&1 entnommen.

Schon gewusst?
Mit den 1&1 Produkten können Sie richtig Geld verdienen!

Registrieren Sie sich einfach KOSTENLOS (!) als 1&1 ProfiSeller und empfehlen Sie unsere Produkte Ihren Freunden und Bekannten. Für jeden vermittelten Auftrag erhalten Sie attraktive Provisionen! GARANTIE: Es gibt keine Abnahmeverpflichtung, keinen Mindestumsatz, keinen Mitgliedsbeitrag oder ähnliches. Über 300.000 1&1 Kunden haben sich bereits registriert! Machen Sie jetzt auch mit unter: http://www.profiseller.de/ps-neu

[Dies ist eine automatisch generierte Nachricht, bitte antworten Sie nicht an diesen Absender.]

Abschließende Anmerkung
Mit einer kurzen Meinungsäußerung über 1&1

Diese Phishing-Spam wurde mir von meinem Leser G. K. zugesandt.

Er hat diese Mail am 16. November erhalten, also vor gut zwei Wochen. Damals war dieser Betrug – wie man am Registrierungsdatum der Domain sieht – noch ganz frisch und – trotz gewisser Schwächen in der Formulierung der Phishing-Mail – durchaus gefährlich. Es handelt sich um einen Phishingversuch, der sich speziell auf Kundendaten bei 1&1 richtet. Vermutlich wurden die E-Mails nicht als „Streumunition“ versendet – ich habe nämlich keine erhalten – sondern gezielt an E-Mail-Adressen, die von 1&1 betrieben werden. Die Quelle dieser Adressen ist unklar, aber es gab ja einige große Datenlecks in den letzten Monaten.

G. K. hat diese E-Mail auch an den Kundendienst von 1&1 gesendet. Daraufhin gab es eine Eingangsbestätigung (die vermutlich automatisch versendet wird), und es geschah in den folgenden zwei Wochen nichts.

Oder anders gesagt: Die Unternehmung, die als 1&1 firmiert, wurde von einem ihrer Kunden auf eine laufende Betrugsnummer der organisierten Internet-Kriminalität gegen 1&1-Kunden hingewiesen, und 1&1 hielt es nicht für nötig, mit diesem Hinweis irgendetwas anzufangen. Es gab nicht einmal ein Danke für den Hinweis. Es gab scheinbar auch keinen Versuch, die eigenen Kunden deutlich auf diesen laufenden Betrug hinzuweisen, um sie davor zu schützen. Wenn überhaupt jemand bei 1&1 auf diese Mail reagiert hat – die in der Spam verlinkte Phishingseite ist inzwischen vom Server entfernt worden – dann hat dieser Jemand es nicht für nötig befunden, eine kurze Mitteilung in Form einer Antwort zu schreiben, so etwas wie: „Vielen Dank für ihren Hinweis, unsere Rechtsabteilung lässt zurzeit die Phishingsite mit dem Missbrauch unserer Firmierung entfernen“.

Man scheint es bei 1&1 für wichtiger zu halten, unter hohem finanziellen Aufwand eine glatte Präsentation der angebotenen Dienstleistung in der Fernsehreklame sicherzustellen, als sich um die Sicherheit der Kunden zu kümmern und auf die E-Mail von Kunden zu einem aktuellen und durchaus gefährlichen Betrug zu reagieren.

Meiner Meinung nach sind das falsche Prioritäten. Und meiner Meinung nach sind diese falschen Prioritäten schlecht und dringend änderungsbedürftig. Die Internet-Kriminalität ist gefährlich, und sie erfordert als Reaktion etwas mehr als einen Akt der Verdrängung. Sie verschwindet nämlich nicht, wenn man nicht hinschaut. Sie wird größer, gefährlicher und schlimmer.

Angesichts dieser falschen Prioritäten würde ich zurzeit davon abraten, Kunde bei 1&1 zu werden.

¹Dieses zunächst umständlich wirkende Verfahren mit einem Code für die Eingabe in einem zweiten Schritt ist aus meiner Sicht wesentlich besser. Wenn man Kunden daran gewöhnt, nicht in einer Mail herumzuklicken, ist das eine kleine psychologische Maßnahme gegen Phishing. Ein Phishing wie in dieser Mail funktioniert ja nur, weil viele Menschen es aus ihrer Alltagserfahrung heraus für völlig normal halten, in eine Mail zu klicken. Wird das zu einem ungewöhnlichen Vorgang, weckt due Aufforderung eines Phishers, man solle klicken, einen Verdacht, der zur Aufmerksamkeit führt.

Meldung

Donnerstag, 14. November 2013

Abteilung: Mieses Phishing, stümperhaft durchgeführt.

Neue Sicherheitsfunktionen, loggen Sie sich bitte ein und bestätigen Sie Ihr Konto.

https://www.credit-suisse.com/

Natürlich kommt diese Mail nicht von der Credit Suisse. Es wäre ja auch sehr ungewöhnlich für ein schweizerisches Bankhaus, seine Mails über die dynamische IP-Adresse eines mit Schadsoftware übernommenen Privatrechners aus Belgien zu versenden…

Und natürlich geht der Link dieser HTML-formatierten Mail nicht auf die Homepage der Credit Suisse, sondern in die ungleich weniger Vertrauen erweckende Domain tsetsos (punkt) gr, denn dort ist es einem Kriminellen gelungen, eine „liebevoll“ nachgemachte Login-Seite der Credit Suisse auf nicht ganz legale Weise abzulegen. Die Phishing-Seite ist dort inzwischen entfernt, und das ging wirklich sehr schnell. Dafür noch einmal ein warmes Danke! 😉

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.