Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Kategoriearchiv „Phishing“

Account suspicious activity

Freitag, 21. Dezember 2012

Hi elias.schwerdtfeger,

Oh, wie „schön“ ihr die Zeichenkette vor dem @ in der Mailadresse in eine Anrede umformen könnt, damit ich eher glaube, dass diese Spam von Facebook kommt. Fällt euch eigentlich beim Zusammenhacken eurer Spamskripten nicht auf, dass die meisten Namen keine Punkte enthalten… 😀

Your account has been blocked due to suspicious activity.

To activate account, please follow this link:

http://www.facebook.com/confirmemail.php [gekürzt!]

Toll, da macht ihr eine HTML-formatierte Mail, und schreibt da so eine hässliche URL rein, statt einfach einen Text wie „activate account“ zu verlinken. So für Leute wie mich, die gar keinen Facebook-Account haben (und niemals einen haben werden). Aber der Link geht natürlich auf eine ganz andere Website unter der Domain site (strich) dating2012 (punkt) info, natürlich ebenfalls mit eindeutiger ID als Parameter. Was immer ihr dort mal abgelegt hattet, das gibt es leider inzwischen nicht mehr – aber vermutlich war es ein Phishing-Versuch auf Facebook-Accounts.

You may be asked to enter this confirmation code: 6779524

Wie, ihr tut so, als wüsstet ihr gar nicht, dass ich der richtige Account-Inhaber bin, aber schickt mir einen Code zu, mit dem ich mich bestätigen kann. Ich kann nur hoffen, dass Facebook etwas bessere Verfahren hat, um einen Nutzer wieder Zugriff auf sein von Phishern übernommenes Konto zu geben. :mrgreen:

The Facebook Team

Mit Gruß
Deine kriminellen Spammer

Didn’t sign up for Facebook? Please let us know.

Wie, du bist gar nicht bei Facebook. Dann schöpfe bitte gar keinen Verdacht, dass „Facebook“ dir eine Mail wegen deines Facebook-Account schickt, sondern klick auf einen Link in dieser Spam. Großes Spamkino! :mrgreen:

Twitter-Phishing

Dienstag, 16. Oktober 2012

Offenbar benötigen die Kriminellen mal wieder eine Menge neuer Twitter-Accounts, so dass das Phishing nach Twitter-Anmeldedaten zurzeit eine Seuche ist.

Im Allgemeinen beginnt es damit, dass jemand, dem man folgt (und dessen Account vermutlich selbst gephisht wurde), eine Direktnachricht derartigen Inhaltes versendet:

hey, someone is spreading nasty rumors about you http://bit.ly/WcQVnf

Das wirkt bei jemanden, der sonst in Deutsch zu zwitschern pflegt, natürlich unglaubwürdig und somit kann die Spam schnell erkannt und angemessen behandelt werden.

Wer von dieser Nachricht beunruhigt wurde und wissen will, was das für ekelhafte Gerüchte sind, die dort angeblich von jemanden verbreitet werden und wer von dieser Neugier getrieben auf den (im Moment immer über bit (punkt) ly gekürzten) Link klickt, landet auf einer „liebevoll“ nachgemachten Login-Seite von Twitter:

Screenshot der Twitter-Phishing-Seite

Die Zugangsdaten, die man dort eingibt, gehen nicht zu Twitter, sondern direkt zu kriminellen Spammern. Dass es sich nicht um Twitter handelt, wird schnell klar, wenn man einen Blick in die Adresszeile seines Browsers wirft:

Detail mit der URL der Phishing-Seite

Damit das nicht jeder sofort bemerkt, über den dummen Versuch lacht und den spammenden Account als Spam meldet, wurde eben eine alarmierende Direktnachricht versendet, die geeignet ist, das kritische und vorsichtige Erwägen abzuschalten, damit möglichst viele Menschen dumm in eine Spam klicken. Gerade bei Twitter, diesem idealen Biotop für Spammer mit seinem Stummeltext-Charakter und den überall verwendeten URL-Kürzern gilt aber in ganz besonderer Weise:

INTERNET! Vor jedem Klick auf einen Link: Gehirn benutzen!

Wenn man auf der angeblichen Twitter-Anmeldeseite unter twivvter (punkt) com seinen Benutzernamen und sein Passwort eingegeben hat und auf „Sign in“ geklickt hat, gibt es erst einen Hinweis, dass die Seite nicht mehr existiert, und danach kommt es zu einer Weiterleitung auf die Twitter-Startseite. Die Anmeldedaten sind danach in der Hand von Phishern, die mit diesem Account machen können, was immer sie wollen. Sie können den Zugang ändern, sie können weitere Phishing-Nachrichten versenden, sie können jede mit dem Twitter-Account verbundene Anwendung für ihre Zwecke benutzen (Twitter wird oft über seine OAuth-Schnittstelle als allgemeiner, zentraler Logindienst für andere Websites verwendet). Sie können sich gegenüber anderen Websites mit dem gephishten Twitter-Account authentifizieren und somit an vielen Stellen im Internet mit falschem Namen auftreten. Sie haben vollkommenen Zugriff auf alle Profilinformationen des Accountinhabers, zum Beispiel auch auf seine Mailadresse und in vielen Fällen auf seinen Wohnort und seinen Namen, so dass sie fiese, kriminelle Mails mit persönlicher Ansprache verfassen können. Wenn der gephishte Accountinhaber sein Passwort auch an anderen Stellen verwendet hat, dann haben sie Zugriff auf etliche weitere Accounts, die sie für ihre kriminellen Zwecke missbrauchen können – vor allem Mailaccounts mitsamt eventuell zugehörigen Adressbüchern und Posteingängen kommen ihnen immer sehr gelegen. Wenn dann auch noch PayPal, Flattr, eBay oder Amazon benutzbar werden…

Einmal ganz davon abgesehen, dass Kriminelle nach Übernahme eines Twitter-Accounts gegenüber anderen mit fremder Identität auftreten können, was auch eher klassische Betrugsmöglichkeiten eröffnet.

Und das alles, weil man wegen einer einzigen, schon nach fünf Sekunden Nachdenken völlig unglaubwürdigen niederträchtigen Behauptung für einen kurzen Augenblick den kritischen Verstand ausgeschaltet hat und mit dem unter unbewussten Regungen zuckenden Resthirn genau das gemacht hat, was die Kriminellen wollten.

Ich würde ja gar nicht darüber schreiben, wenn ich nicht in den letzten Tagen mehrfach erlebt hätte, dass deutschsprachige Twitter-Nutzer auf dieses Phishing reingefallen sind und somit selbst zu Spamschleudern wurden. Darunter waren auch einige, denen ich ob ihres Auftretens auf Twitter und ihren dabei durchschimmernden Kreis von Betätigungen und Interessen eine gewisse Intelligenz zuschreiben würde. Es sei also niemand hochmütig und glaube, auf so eine billige Masche könne er nicht hereinfallen! Das einzige was hilft, ist das Einschalten des Gehirnes, bevor man etwas im Internet macht.

Dieses Phishing war nämlich recht einfach als solches zu erkennen:

  • Falsche Sprache der Direktnachricht
    Bei einem Menschen, der überwiegend in deutscher Sprache twittert, fällt das Englisch gegenüber einem ebenfalls deutschsprachigen Twitterer schon sehr auf.
  • Dumme Direktnachricht
    Dass jemand niederträchtige, gemeine Gerüchte verbreitet, ist nicht unbedingt ein toller Köder, wenn trotz 50 verbleibender Zeichen Platz überhaupt nicht auf die Natur der Gerüchte eingegangen wird, sondern stattdessen ein Link kommt. So etwas sollte immer skeptisch machen.
  • URL der Phishing-Seite
    Ein kurzer Blick in die Adressleiste hätte schnell klargemacht, dass es sich nicht um die Website von Twitter handelt.
  • Dummheit der Spammer
    Ich habe vor dem Klick einen Blick in das Profil der Person geworfen, die mir angeblich diese Direktnachricht gesendet hat, und dort habe ich neben den vertrauten Tweets der vergangenen Tage auch schon die ersten offensichtlichen Spamtweets (Ganz viel Fett in ganz kurzer Zeit verbrennen) in englischer Sprache gesehen.

Generell ist davon abzuraten, auf Links zu klicken, die einem in so fragwürdiger Weise und ohne bessere Erläuterung zugesteckt werden. Es gibt da draußen im Internet jede Menge Websites, die von Kriminellen erstellt wurden, um den aufrufenden Rechner mit Schadsoftware zu übernehmen, wann immer das möglich ist. Es ist leider erschreckend oft möglich, weil viele Menschen jeder beliebigen Website im Internet das Recht einräumen, JavaScript in ihrem Browser auszuführen und Plugin-Inhalte in Seiten einzubetten. Dies sind die beiden größten Sicherheitslücken im heutigen Web. Abhilfe gegen derartige Angriffe ist ein Plugin, dass diese Privilegien nur gewährt, wenn sie explizit vom Nutzer freigeschaltet werden, etwa NoScript für Firefox.

Aber natürlich geht das alles auch in intelligent, wenn sich Kriminelle Mühe geben würden. Eine besser formulierte Direktnachricht in der passenden Sprache – etwa: „Man behauptet über dich, du wärst ein Nazi, stimmt das?“ gefolgt von einem Link – ist erregender und überzeugender, die Phishing-Seite kann auf einer Subdomain liegen, die wenigestens mit www (punkt) twitter (punkt) com gefolgt von ein paar kryptischen Zeichenfolgen beginnt, und der mit Phishing übernommene Account muss nicht sofort für offensichtliche Spam mitbenutzt werden. Ein solches Vorgehen könnte eine enorme Überzeugungskraft und damit eine verheerende Wirkung entfalten.

Hier gibt es nur einen Schutz, und der besteht in einer festen, angesichts der gegenwärtigen Internetkriminalität bewusst kultivierten Gewohnheit: Niemals irgendwo anmelden, nachdem man auf einen Link geklickt hat, sondern immer die Adressen der Dienste, bei denen man sich anmelden möchte, von Hand eintragen oder ein Lesezeichen im Browser verwenden. Wer das macht und niemals davon abweicht, kann nicht auf diese Weise gephisht werden. Und wer zu faul dazu ist, für eine Anmeldung nicht auf einen Link in einer Mail oder einer Direktnachricht oder eine andere Form der Mitteilung zu klicken, sondern stattdessen einen Eintrag im Lesezeichenmenü zu benutzen, der macht sich mit dieser Faulheit zum willigen und billigen Schergen der organisierten Kriminalität im Internet.

Ihr PayPal-Konto brauch Ihre Hilfe!

Montag, 8. Oktober 2012

Och, das arme Konto! :mrgreen:

PayPal-Problemlösung

[Mailadresse des Empfängers]

Jedes anständige Unternehmen spricht seine Kunden mit der Mailadresse an, wissen wir doch alle. Klingt doch viel persönlicher als dieser Name.

Samstag, 22. September 2012

Guten Tag,

Und den Namen kann man dann auch bequem in der Anrede weglassen. Wegen des persönlichen Klanges. Sonst glaubt noch jemand, hier würde ein Unternehmen zu einem namentlich bekannten Kunden sprechen.

Wo liegt das Problem?

Das größte Problem der Spammer ist es, dass ihre Betrugsmaschen so durchschaubar sind, weil sie die Massenware ihrer Spam als individuelle Mitteilung erscheinen lassen müssen… ach nein, das meint der Idiot ja gar nicht:

Bei Ihrer letzten Kreditkarten Zahlung [sic! Deppen Leer Zeichen!] sind uns ungewöhnliche Aktivitäten aufgefallen.

Vielmehr will er sagen, dass bei einer nicht benannten Zahlung mit einer Kreditkarte ebenfalls nicht benannte ungewöhliche Aktivitäten aufgefallen sind. Vielleicht hat die Kreditkarte ja zu singen begonnen oder so etwas…

Was mache ich jetzt?

Wenn die Kreditkarte wirklich singen sollte, einfach ein handelsübliches Heftpflaster großzügig über die Schallaustrittsöffnung kleben. Aber auf keinen Fall und absolut niemals…

Bitte verifizieren Sie sich durch einen Abgleich Ihrer Daten als rechtmäßiger Besitzer. Im Anschluss können Sie Ihr Konto wieder uneingeschränkt nutzen:

…etwas tun, was ein krimineller Spammer will, der einen nicht einmal mit Namen ansprechen kann. Der will nämlich nur, dass man…

Bearbeitungsnummer:

P-3377-87096214

Prüfungsdatum:

22.09.2012

Frist zur Lösung des Problems:

7 Werktage

Ihr Konfliktlösungs Link:

http://checkservice-payments.com

…in leichter Panik auf den Link klickt und auf einer „liebevoll“ nachgemachten PayPal-Seite den organisiert Kriminellen möglichst viel Zugriff auf das PayPal-Konto und auf die Kreditkarte gibt.

Viele Grüße

Ihr Team

Gängige und wirksame Konfliktlösungen für das „Team“, das solche Mails verfasst hat, bestehen im Teeren und Federn, wenn man der Leute habhaft werden kann – ansonsten einfach den E-Müll löschen.

Danke für diese etwas originelle Phishing-Mail an einen Leser, der sie mir zusandte. Die Zusendung ist übrigens, anders als das Datum in der zitierten Mail vermuten lässt, vom 7. Oktober…

Sie haben eine neue Warnmeldung!

Dienstag, 2. Oktober 2012

Was ist denn da wieder hübsches in meinem Honigtöpfchen für Spammer gelandet? Eine Mail mit der gefälschten Absenderadresse aufmerksam1 (at) meldung (punkt) postbank (punkt) de – und der üblichen Aufforderung, aus irgendeinem Bullshit-Grund ganz schnell irgendwelche der Postbank längst bekannten Daten gegenüber der Postbank zu bestätigen, denn sonst wird das Konto gesperrt und es gibt alle damit verbundenen Probleme…

Sehr geehrter Kunde,

Natürlich hat der Absender keine verdammte Ahnung, wie sein Empfänger heißt. Diese Mail geht schließlich gleichlautend an ein paar hunderttausend Empfänger.

Unseren Daten zufolge, wurde ihre Onlinesitzung aus folgenden Gründen unterbrochen:

Aber ich bin doch online! Was glaubt der Absender, wie ich sonst diese Mail lese?! :mrgreen:

1. Versuchtes Einloggen mit falschen Informationen.

Diese Informationen nennt man, wenn man seine Phishing-Spams nicht mit einem Übersetzungsprogramm erstellen lässt, übrigens auf Deutsch „Anmeldedaten“. Aber es wäre ja auch zu viel verlangt, wenn die Mails eines deutschen Kreditinstitutes an seine deutschen Kunden in korrektem Deutsch formuliert wären.

2. Unsachgemäße Altualisierung [sic!] ihres PostBank Online-Banking Kontos.

Altuali…was?! Und geht das auch in „sachgemäß“?! :mrgreen:

Wir bitten sie, ihr PostBank Konto wiederherzustellen [sic!] und um ein endgütiges Sperren ihres Kontos zu vermeiden. [sic!]

Wie jetzt, erst sperrt ihr es mir… sorry… unterbrecht ihr meine Onlinesitzung, und dann soll ich was wiederherstellen?! Ist das denn nicht mehr da? Ach so, der Satz geht ja nach dem Punkt im nächsten Absatz weiter:

Folgenden Link anzuclicken [sic!]:

PostBank Online-Banking

Dieser folgende Link geht natürlich nicht zur Postbank, sondern zu pd95b3d27 (punkt) dip0 (punkt) t (strich) ipconnect (punkt) de – also zu einem mutmaßlich von Kriminellen mit Schadsoftware übernommenen Privatrechner, der über T-DSL (Deutsche Telekom) mit dem Internet verbunden ist. In der Subdomain von dip0 ist in sedezimaler Schreibweise die (temporäre) IP-Adresse des Rechners codiert, die nach der Einwahl vom DHCP-Server der Deutschen Telekom zugewiesen wurde (in vertrauterer Schreibweise wäre das 217.91.61.39). Der Besitzer dieses Rechners hat sich die Schadsoftware mit an Sicherheit grenzender Wahrscheinlichkeit auf seinen Rechner geholt, indem er in eine andere Spam geklickt hat. Die Schadsoftware betreibt ihrerseits einen im Hintergrund laufenden Webserver für das Phishing und vielleicht noch für weitere Betrugsgeschäfte. So schnell kann man zu jemanden werden, der einen Server für die organisierte Internet-Kriminalität betreibt – und das kann schnell einen unangenehmen Besuch der Kriminalpolizei zur Folge haben, natürlich zur Beweissicherung mit Hausdurchsuchungsbefehl und mit Beschlagnahmung aller Geräte, die auch im entfernteren Sinne dieses Wortes Digitaltechnik sind. Damit man solche Unannehmlichkeiten vermeidet (und um die Welt ganz allgemein ein kleines bisschen besser und schöner zu machen), klickt man ja auch nicht in Spams herum, sondern erkennt diesen Dreck durch einfache Benutzung des handelsüblichen gesunden Menschenverstandes und löscht ihn unbesehen¹.

Wenn der Rechner noch am Netz wäre, würde man nach einem Klick in diese Phishing-Mail eine mehr oder minder hübsche Nachgestaltung des Login-Bildschirmes der Postbank präsentiert bekommen und erhielte die Gelegenheit, Kriminellen die Zugangsdaten zu seiner Kontoführung zu geben. Zum Glück ist dieser Rechner nicht mehr mit dem Internet verbunden…

© 2012 PostBank Online-Banking Korporation. Alle Rechte vorbehalten.

Nein, die Postbank war das nicht. Die Postbank versendet niemals derartige E-Mails, oder, um es mit den Worten der Postbank zu sagen:

Wir werden Sie niemals per E-Mail oder persönlich auffordern, ihre Zugangsdaten zur Überprüfung über das Internet zu versenden. Sollten Sie E-Mails mit einem solchen Inhalt bekommen, ignorieren Sie diese. Ebenso werden Sie niemals E-Mails von uns erhalten, die Sie veranlassen, Webseiten zu öffnen und dort Ihre Zugangsdaten einzugeben.

Wenn nur jeder Kunde von Kreditinstituten solche Hinweise beachten würde, dann gäbe es schon lange nicht mehr diese dumme Betrugsmasche.

¹Außer natürlich, man hat ein besonders gesichertes System zur Verfügung. Die Existenz eines Antivirenprogramms und einer Personal Firewall sind keine besondere Sicherung.

Microsoft Windows Update

Dienstag, 25. September 2012

Die Mails haben den (gefälschten) Absender privacy (at) microsoft (punkt) com, aber sie stammen natürlich nicht von Microsoft. Das fällt übrigens schon beim flüchtigen Lesen auf, ohne dass man eigens einen Blick in die Mailheader werfen müsste, denn die holprig-unbeholfene Ausdrucksweise und die Kleinschreibung des Microsoft-Produktes „windows“ klingen nicht überzeugend nach dem behaupteten Absender. Einmal ganz davon abgesehen, dass Microsoft – wenn man dort überhaupt derartige Mail schriebe – für deutsche Empfänger gewiss einen ins Deutsche übersetzten Text verwendet hätte.

Und vermutlich hätte Microsoft keine Menschen wie mich angeschrieben, die gar kein Betriebssystem von Microsoft verwenden…

Dear Windows User,
It has come to our attention that your Microsoft windows Installation records are out of date. Every Windows installation has to be tied to an email account for daily update. [sic! Wie konnte man nur die ganze Zeit arbeiten, ohne seine Windows-Installation an ein E-Mail-Konto zu binden?]

This requires you to verify the Email Account. Failure to verify your records will result in account suspension. Click on the Verify button below and enter your login information on the following page to confirm your records.

VERIFY

Thank you,

Microsoft Windows Team.

Natürlich führt der Link unter „VERIFY“ nicht zu Microsoft, sondern zu einer schnell hingepfuschten Website mit einem Windows-Logo und der Behauptung:

Your computer is out of date [sic!], and risk is very high. To update your windows installation records, you are required to choose your email address below.

Anders als der etwas kränkelnd formulierte Text vermuten lässt, befindet sich darunter keine Auswahlliste mit sämtlichen Mailadressen im Internet. Darunter befinden sich vielmehr die Logos verschiedener populärer Freemailer sowie ein weiteres Bild „Other emails“. Wenn man auf eines dieses Logos klickt, erhält man die Gelegenheit, seine Mailadresse und das Passwort seines Mailaccounts einzugeben und mit dem Button „Sign in“ direkt an die Kriminellen zu übertragen. Diese werden sich gewiss sehr darüber freuen, dass sie viele neue Mailaccounts für betrügerische Geschäfte und für den Spamversand zur Verfügung haben. Deshalb machen sie diese Phishing-Nummer ja auch. Wenn es sich um einen Account bei GMail, AOL, Yahoo oder Windows Live handelt, bekommen sie auch gleich noch die Adressbücher der Kontakte und ganze Userprofile zur beliebigen Manipulation geliefert. Und wehe, das gleiche Passwort wird auch auf anderen Websites (Facebook, Twitter, LinkedIn, etc.) verwendet.

Wer darauf hereingefallen ist, sollte sofort sein Passwort ändern und alle seine Kontakte aus dem Adressbuch darüber unterrichten, dass sein Mailaccount gehackt wurde (man muss ja nicht gleich zugeben, dass man in akuter Panik auf eine plumpe Phishing-Masche hereingefallen ist) und dass deshalb eventuelle Mails der letzten Stunden mit äußerster Vorsicht zu behandeln sind.

Ein Internet-Betrug ist nämlich viel überzeugender, wenn das Opfer glaubt, den Absender einer Mail persönlich zu kennen. Da wird viel schneller in eine Mail geklickt, ein Anhang geöffnet oder ein „Gefallen“ getan – so etwas wie: „Ich bin in der Klemme. Kannst du mir schnell 300 Euro über Western Union zukommen lassen, ich geb dir das Geld nächste Woche zurück“.

Grundsätzliches

Jeder, der ein Mailpasswort haben will, ist ausgesprochen fragwürdig. Ein Passwort ist eine Sicherheitsmaßnahme, die nur dadurch Wirkung entfaltet, dass das Passwort auch geheim bleibt. Es gibt keinerlei Internetdienst, der auf die Kenntnis von Mailpasswörtern angewiesen ist – mit Ausnahme eines Mailservers.

Das gleiche gilt übrigens auch für andere Passwörter. Solche Versuche, an ein Passwort zu gelangen, sind in beinahe allen Fällen das Treiben von Kriminellen.

Deshalb: Niemals darauf hereinfallen!

Wenn ein Absender, bei dem eine derartige Frage ausnahmsweise einmal legitim erscheint (zum Beispiel ein Provider oder sonstiger Dienstleister, der im Falle eines akuten technischen Problemes Support leistet) eine derartige Frage in einer nicht digital signierten Mail stellt, ist ebenfalls äußerste Vorsicht angesagt. Die Absenderadresse einer Mail kann ohne großen Aufwand beliebig gefälscht werden. Der Verzicht auf eine digitale Signatur in einer derartig heiklen Angelegenheit deutet übrigens – wenn sich eine solche Anfrage bei telefonischer Rückfrage als authentisch erweisen sollte – auf schwere professionelle Mängel hin, die genug Grund sind, so schnell wie möglich einen anderen Dienstleister zu suchen.

Der beste Schutz vor Internet-Kriminalität ist ein funktionierendes und stets aufmerksames Gehirn, dass bei der Benutzung des Computers mitläuft – und eine Haltung, sich nicht von jeder alarmierend formulierten Mail in eine Panik versetzen zu lassen, die die Vernunft dämpft und damit den Verbrechern entgegenkommt.

Ihre PACKSTATION wurde deaktiviert

Montag, 10. September 2012

Wie, ich habe eine Packstation?! 😀

Sehr geehrte/r Packstation-Kunde,

Wir haben wir üblich nicht die geringste Ahnung, wie sie heißen, obwohl…

in den letzten 24 Stunden wurde mehrfach versucht, sich Zugang zu Ihrer PACKSTATION zu verschaffen.

…wir angeblich mit ihnen in einer Geschäftsbeziehung stehen. Aber natürlich sind wir nicht DHL, obwohl wir die Absenderadresse gefälscht haben, sondern Spammer mit einer Phishing-Masche, die gern fremde Anschriften für eigene illegale Geschäfte missbrauchen.

Wir gehen davon aus, dass es sich um einen unberechtigten Zugangsversuch gehandelt hat – daher haben wir aus Sicherheitsgründen Ihre PACKSTATION deaktiviert.

Deshalb machen wir erstmal Alarm. Wer verunsichert und verängstigt ist, ist gleich viel bereiter, etwas unaufmerksamer das zu tun, was Spammer von ihnen wollen. Zum Beispiel…

Durch diese Deaktivierung können Sie nicht mehr auf Ihre PACKSTATION zugreifen. Damit Sie Ihre PACKSTATION weiterhin wie gewohnt nutzen können, ist eine Entsperrung vonnöten.

https://dhl.de/privatkunden/paket/aktivierung.htm?56e4810eh530a32m87

…auf einen Link klicken, um wieder an die Packstation zu kommen. Die Mail ist natürlich HTML-formatiert, und der Link geht auch nicht zu DHL, sondern zum Server pack (strich) station (punkt) be. Dort kann man in einer flugs nachgebauten DHL-Seite seine PostNummer, sein Internet-Passwort und die PIN für die Packstation absetzen. Nachdem man dort brav seine Daten eingegeben hat – ich habe es gerade mit ein paar Phantasiedaten durchprobiert – bedanken sich die Phisher für das Vertrauen und sagen einen, dass man jetzt wieder seine Packstation deutschlandweit nutzen kann.

In Wirklichkeit können diese Halunken natürlich die Packstation nutzen. Und die werden Anwendungen dafür haben, denn sie bleiben bei ihren Geschäften doch lieber unidentifizierbar, damit sie nicht diese hässlichen Handschellen umgelegt bekommen.

Viele Grüße
Dirk Sebastian
Marktkommunikation DHL Paket

So heißt der wirkliche Absender garantiert nicht.

Hinweis: Es besteht keine Gefahr für Ihre PACKSTATION. Diese neue Maßnahme tritt automatisiert nach 3 fehlgeschlagenen Loginversuche ein und dient der Abwehr vor Angriffen.

Was bei der Abwehr von Angriffen wirklich helfen könnte, ist die Beachtung der von DHL gegebenen Sicherheitshinweise. Den im Zusammenhang mit diesem plumpen Phishing wichtigsten Hinweis gebe ich hier gern noch einmal wieder – die Hervorhebung habe ich aus dem Original übernommen:

Aktuell sind wieder verstärkt Phishing-Mails in Umlauf, in denen Sie aufgefordert werden, ihr gesperrtes Packstation Konto zu entsperren. Diese E-Mails verlinken auf eine gefälschte DHL-Seite, auf der man seine PostNummer, Passwort und PIN eingeben soll. Bitte beachten Sie grundsätzlich: DHL Packstation wird Sie niemals nach Ihrer PIN fragen, weder telefonisch, noch postalisch oder per E-Mail!

Ich hoffe, das ist deutlich genug.

Diese Phishing-Spam wurde mir von einer Leserin weitergeleitet. Danke!

Konto-Status

Samstag, 1. September 2012

Lieber PayPal Kunde,

Lieber Spammer,

schön, dass du gleich in der Anrede klar machst, dass es sich um eine kriminelle Spam handelt – denn PayPal würde selbstverständlich seine Kunden mit Namen ansprechen. Wenn PayPal überhaupt solche Mails verschickte – was PayPal niemals tut.

Um Ihr PayPal-Konto zu aktualisieren, liegt Ihnen in Ihrer E-Mail Adresse ein Formular zur Verfügung. [sic!]

Bitte laden Sie das Formular aus [sic!], rufen Sie über Ihren Internet-Browser [sic!] und folgen Sie den Anweisungen auf dem Bildschirm.

Hinweis: Das Formular muss in einem modernen Browser geöffnet werden, dass JavaScript aktiviert hat. [sic!] (z.B. Internet Explorer, Mozilla Firefox)

Der Link geht zwar im Original zu einer Seite zum Herunterladen eines Java-Plugins und hat nichts mit JavaScript zu tun, aber warum sollte so ein Verbrecher auch wissen, was er da tippt. Wenn er von irgendetwas Ahnung hätte, wäre er ja kein stinkender, asozialer Spammer geworden.

Nach Abschluss dieser Phase [sic!] wird die Aktualisierung Ihres PayPal-Kontos normal funktionieren. [sic!]

Wir entschuldigen uns für die Unannehmlichkeiten und danken Ihnen für Ihre Zeit. [sic!]

Für weitere Informationen kontaktieren Sie bitte den Kundenservice.

Mit freundlichen Grüßen,

PayPal-Team.

PayPal Email ID PP565

Copyright © 1999-2012 PayPal. Alle Rechte vorbehalten.

Angehängt ist ein HTML-Dokument, das einem leichtgläubigen Opfer einen vollständigen Datenstriptease ermöglicht, so dass die Verbrecher Zugang zur Kreditkarte und zum PayPal-Account haben. Der Verbrecher hat sich nicht die geringste Mühe gegeben, dieses Dokument ein bisschen anzupassen. Obwohl es nur lokal im Browser angezeigt wird, enthält es noch ein paar PHP-Zeilen, die gewöhnlich von einem Webserver mit PHP-Modul oder durch serverseitigen Aufruf eines PHP-Interpreters ausgeführt würden. Oder meint der das mit JavaScript?

Wenn der Spammer von irgendetwas Ahnung hätte… ach!

Der Zugriff auf Ihr Konto wurde eingeschr?nkt.

Montag, 13. August 2012

Es ist ja nicht so, dass die Spammer nichts an ihren Nummern ändern würden.

Es scheint sogar so zu sein, dass die Spammer genau lesen, wie naive Internetnutzer über typische Maschen im Internetbetrug aufgeklärt werden, um dann ihre Spam ein wenig anzupassen.

Der Absender der folgenden Komposition aus HTML-Gestaltung und Phishing-Mail hat sich etwa folgendes gedacht: „Der Polizist da in der Zeitung, der hat gesagt, dass die Phishing-Mails den echten Mails täuschend ähnlich sehen. Da lasse ich mein PayPal-Phishing doch mal völlig anders als die corporate identity von PayPal aussehen, und schon merken die Leute nicht mehr, dass es eine Phishing-Mail ist. Und dann geben die mir hunderte von neuen Zugangsdaten für meine Betrugsgeschäfte“.

Dann setzte er sich an die Tasten und gestaltete eine beachtliche HTML-Mail.

Und so sah das Meisterwerk des unbekannten Künstlers schließlich aus (zum Vergrößern klicken):

Liebe User PayPal, Ungewöhnliche Kontobewegungen haben es notwendig gemacht Ihr Konto einzugrenzen bis zusätzliche Informationen zur Überprüfung gesammelt werden. Zur Zeit haben Sie nur begrenzten Zugang zu Ihrem Pay Pal Konto. Wir bitten Sie daher die von uns angeforderten Kontodaten zu enrneuern. Bitte klicken Sie hier

Es wird mit Sicherheit ein grandioser Erfolg werden! :mrgreen:

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.