Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Kategoriearchiv „Phishing“

Sicherheitsmassnahmen

Mittwoch, 13. März 2013

Ach, dieser komische ß-Kringel, der immer so viele Probleme macht… 😀

Der (gefälschte) Absender der Mail ist sicherheitsdienst (at) paypal (punkt) net, aber die Mail wurde von einem Server bei einem niederländischen Hoster versendet, der inzwischen von mir über den Missbrauch seiner Dienstleistung unterrichtet wurde. Ich hoffe für den Hoster, dass die Rechnung in Vorkasse bezahlt wurde.

„Sicherheitsdienst“… ein dümmerer Name hätte dem Spammer für seinen gefälschten Absender wirklich nicht einfallen können. :mrgreen:

Sehr geehrter PayPal-Mitglied,
aufgrund eines automatisierten Abgleiches Ihrer Kundendaten
mit Vergleichsstatistiken wurde das Risiko eines
Zahlungsausfalls fur Ihr Konto als uberdurchschnittlich hoch eingestuft.
Dieser Prozess ist fur anti- Betrug, und einige Probleme zu aktualisieren geben Sie heraus.

Sehr geehrter oder geehrte oder geehrtes „Deinen Namen kenn ich nicht“, aufgrund meiner typischen und vollkommen substanzlosen Bullshit-Ausrede eines Phishers gibt es irgendwelche Risiken, und für Anti-Betrug und um deine Probleme auf den neuesten Stand zu bringen, gib mal deine Daten an einen spammenden Phisher heraus.

An der Mail hangen eine HTML-Datei mit vieles dummes JavaScript wo verbergen, dass du nicht senden Datens an PayPal, sondern an Verbrechers wie uns. Aufmachen, ausfullen, ausgenommen werden! Ein Spa? für die ganze Familie!

Und nicht einen Moment fragen, warum du PayPal Infos nochmal geben sollst, die PayPal schon hat! Auch nicht fragen, warum du deine Kreditkartendaten angeben sollst! Einfach machen, weil jemand dazu auffordert, der Deutsch gelernt hat, indem er ein Wörterbuch in alphabetischer Reihenfolge auswendig gelernt hat.

Wir entschuldigen uns fur diese Unannehmlichkeit, aber wir machen diese Aktualisierung fur Ihren eigenen Schutz.

Ich bin pseudohöflich und entschuldige mich dafür, dass ich dich betrügen will. Deshalb schreibe ich auch lieber anonym und mit gefälschtem Absender, denn ich möchte nicht der erste Mensch sein, der zu Tode geohrfeigt wird.

Mit freundlichen Gru?en,
Ihr PayPal Kundenservice

Dieses ß-Kringelchen kriege ich genau so wenig hin wie die komischen Pünktchen über die Vokale. Wenn ich lernen würde, wie das mit der E-Mail technisch funktioniert, käme ich ja gar nicht mehr zum Spammen.

Copyright © 1999-2013 PayPal. All rights reserved
PayPal Germany & Austria Pty Limited
ABN 76 966 195 389 (AFSL 304962)

Dass PayPal mit dieser Mail nichts zu tun hat, sollte klar sein.

Konto-Status

Freitag, 8. März 2013

Natürlich kommt diese Mail nicht von PayPal, was sich beim Lesen auch schnell zeigt:

Lieber PayPal Kunde,

Du bist Kunde und ich weiß nicht, wie du heißst.

Aufgrund der jngsten betrgerischen Aktivit¦ten haben wir ein neues Online-Sicherheitssystem fr den maximalen Schutz der pers￶nliche Daten unserer Kunden gestartet.
Nach dieser Tatsache, wird Ihnen angeboten, ihr PayPal-Konto zu aktualisieren.

Ich schreibe Deutsch und weiß nicht, wie man diese komischen deutschen Vokale mit den Pünktchen drüber in eine HTML-formatierte Mail kriegt. Wenn ich das einfach nachlesen und verstehen würde, wäre das ja echte Mühe. Und wenn ich mir Mühe geben würde, könnte ich doch gleich arbeiten.

Um Ihr PayPal-Konto zu aktualisieren, liegt Ihnen in Ihrer E-Mail Adresse ein Formular zur Verfgung.
Bitte laden Sie das Formular aus, rufen Sie ber Ihren Internet-Browser und folgen Sie den Anweisungen auf dem Bildschirm.

Ich weiß auch nicht so ganz genau, wie man Dinge auf Deutsch formuliert. Deshalb liegt ein Formular zur Verfügung, das sie ausladen sollen. Das ist übrigens eine HTML-Datei von Kriminellen, die unbedingt erfordert, dass du JavaScript erlaubst. Da kannst du dann lauter lustige Angaben zu ihrem PayPal-Account und ihrer Kreditkarte machen, und die schickst du dann an mich. Das habe ich da natürlich nicht ganz so direkt in den HTML-Quelltext reingeschrieben, sondern ein bisschen verklausuliert, damit man auch gleich merkt, dass ich so richtig lichtscheues Gesindel bin:

Ausschnitt des versteckten, über JavaScript implementierten Submit-Buttons aus der angehängten HTML-Datei

Dein Browser macht aus dieser lustigen sedezimalen Zahlenfolge ein Starttag für ein HTML-Formular, das alle Daten an http (doppelpunkt) (doppelslash) media (punkt) cds (punkt) ed (punkt) cr (slash) images (slash) al (punkt) php sendet. Natürlich ist das nicht die PayPal-Homepage, schließlich bin ich ein widerwärtiger Krimineller, der vom Internetbetrug lebt und mal wieder ein paar Konten phishen will.

Hinweis: Das Formular muss in einem modernen Browser ge￶ffnet werden, dass JavaScript aktiviert hat. (z.B. Internet Explorer, Mozilla Firefox)
Nach Abschluss dieser Phase wird die Aktualisierung Ihres PayPal-Kontos normal funktionieren.

In meinem hochhirnrissigen Text habe ich das Wort JavaScript mit der Downloadseite für Java verlinkt. Ich bin schließlich Verbrecher, kein Techniker, und deshalb muss ich solche Unterschiede nicht kennen.

Nach Abschluss deines Datenstriptease habe ich wieder ein Konto mehr.

Wir entschuldigen uns fr die Unannehmlichkeiten und danken Ihnen fr Ihre Zeit.
Fr weitere Informationen kontaktieren Sie bitte den Kundenservice.

Ich tue so, als wäre ich höflich, aber ich bin ein kriminelles Arschloch, das dir mit einer hingestümperten Spam das Geld aus der Tasche ziehen will und deine persönlichen Daten für kriminelle Geschäfte missbrauchen will, damit ich den Gewinn habe und du den Ärger. Für weitere Informationen geh einfach auf die PayPal-Website und lies dort die Informationen zum Thema Phishing! Der in diesem Kontext wichtigste Satz darin lautet übrigens: „Sie können sich darauf verlassen: Unsere E-Mails kommen immer ohne Anhang.“

Mit freundlichen Gr￟en,
PayPal-Team.

Copyright ᄅ 1999-2013 PayPal. Alle Rechte vorbehalten.

PayPal (Europe) S.¢ r.l.et Cie, S.C.A.
Soci←t← en Commandite par Actions
Registered office: 22-24 Boulevard Royal, L-2449 Luxemburg
RCS Luxemburg B 118 349
PayPal Email ID PP59

Mit mechanischen Grüßen von einem spammenden Idioten, der nicht einmal die HTML-Entitäten für die wichtigsten europäischen Sonderzeichen kennt, aber seinen Empfängern gegenüber so tut, als sei er ein großer Dienstleister im Web.

PayPal – Sicherheitsüberprüfung

Mittwoch, 27. Februar 2013

Achtung! Diese Mail kommt nicht von PayPal! Es handelt sich um einen Phishing-Versuch von Kriminellen.

Das nenne ich mal ein gutes Design für eine Phishing-Spam!

*Sehr geehrter Kunde,* um Ihr Kundenkonto noch mehr Sicherheit zu gewähren, haben wir das M-Tan Verfahren eingeführt. Dieses Verfahren ist aus dem Onlinebanking bekannt und zählt zu einem der schnellsten und sichersten. Sobald Sie eine Zahlung tätigen, bekommen Sie eine PIN auf Ihr Handy, um die Zahlung zu verifizieren. Falls Sie noch keine Handynummer für das M-Tan Verfahren hinterlegt haben, können Sie dies hier tun. Nach einer kurzen Überprüfung Ihrer Daten, steht das Verfahren sofort für Sie bereit. Wir benachrichtigen Sie umgehend per E-Mail, wenn das M-Tan Verfahren aktiv ist. Mit freundlichen Grüßen Ihr PayPal Kundenservice

Das gute Design kann allerdings kaum über inhaltliche Schwächen hinwegtäuschen:

Dass es keine Mail von PayPal ist, zeigt sich nicht nur an der eigenwilligen Formulierung „um Ihr Kundenkonto noch mehr Sicherheit zu gewähren“, sondern auch an der unpersönlichen Anrede. Der Link geht dann auch nicht etwa auf die deutschsprachige PayPal-Webseite, sondern auf die fragwürdige Domain kunden37 (punkt) secure (strich) paypal (punkt) de, die natürlich nichts mit PayPal zu tun hat. Jeder kann sich eine Domain registrieren, auch eine, die den Namen einer beliebigen Firma als Namensbestandteil enthält – und Verbrecher machen das gern.

Auf der richtigen Website von PayPal könnte man hingegen alles nachlesen, um sicher zu erkennen, dass es sich hier um Phishing handelt:

Phishing (zusammengesetzt aus den Begriffen password und fishing, also das „Fischen“ nach Passwörtern) funktioniert nach dem immer gleichen Prinzip: Internet-Nutzer bekommen eine E-Mail oder einen Link in einer E-Mail zugeschickt, der nach einer offiziellen Mitteilung eines bekannten Unternehmens aussieht und meist sogar mit originalen Logos und Internet-Adressen versehen ist. Beim Klick auf diesen Link können Daten abgefangen werden.

Daran erkennen Sie echte PayPal-E-Mails

  • Sie können sich darauf verlassen: Unsere E-Mails kommen immer ohne Anhang.
  • Wir sprechen Sie immer mit vollständigem Vor- und Nachnamen an.
  • Wir werden Sie in E-Mails nie auffordern, Ihre Kreditkartennummer oder Kontoverbindung, Ihr Passwort, Ihre E-Mail-Adresse oder Ihren vollständigen Namen, die PIN oder TAN Ihres Bankkontos direkt preiszugeben. Das geschieht ausschließlich in Ihrem PayPal-Konto.

Wenn Sie sich nicht sicher sind, ob Sie es mit einer Phishing-Mail oder einem seriösen Link zu tun haben, öffnen Sie ein neues Browser-Fenster. Gehen Sie auf www.PayPal.de und geben Sie auf dieser selbst aufgerufenen Seite Ihr Passwort ein. E-Mails, die auf eine Phishing-Mail hindeuten, können Sie an spoof@paypal.com weiterleiten. Danach sollten Sie die Mails aus dem E-Mail-Konto löschen.

Die Phishing-Site ist zum Glück mittlerweile vom Hoster aus dem Netz genommen worden, so dass ich nicht mehr abschließend nachvollziehen kann, wie die Betrugsnummer hier läuft.

Aber ich habe folgenden Verdacht:

  1. Es wird auf einer „liebevoll“ nachgemachten PayPal-Seite die Eingabe der PayPal-Anmeldedaten gefordert – frei nach dem Motto „Melden sie sich an“
  2. Diese Anmeldedaten gehen an die Verbrecher, die damit vollständigen Zugriff auf das PayPal-Konto bekommen. Sie können betrügerische Geschäfte darüber abwickeln, Geld bewegen und das Geld auf das Konto eines Muli überweisen, der dann über Western Union, MoneyGram oder durch Bargeld-Übergabe weiterleitet.
  3. Die angegebene Handynummer wird nicht für irgendein MTAN-Verfahren eingetragen. Dies ist nur der Vorwand, der angebliche Grund für diese „Mitteilung von PayPal“.
  4. Es ist aber auch gut möglich, dass die so mitermittelte Handy-Nummer verbrecherisch benutzt wird, dass also „alarmierende“ SMS-Nachrichten oder gar Anrufe „von PayPal“ kommen, um darüber eine zusätzliche Betrugsnummer durchzuführen. Wenn das der Fall ist, weiß ich nicht, wie hier vorgegangen wird. Möglichkeiten gibt es einige, bis hin zur telefonischen Abfrage von weiteren Daten (Kreditkarte, Bankkonto) unter ausgelöstem Stress.

Es ist also nur das „gewöhnliche“ Phishing – mit einer Unsicherheit, ob die Telefonnummer für weitere Betrügereien verwendet wird. Die persönlich genutzte Telefonnummer ist generell ein Datum, das man nur sehr sparsam an andere weitergeben sollte, auch wenn sich in letzter Zeit eine bedenkliche Tendenz feststellen lässt, dass sie in allen möglichen Kontexten (zum Beispiel für die Nutzung von Google-Diensten) ohne sachlichen Grund dreist und unter der Behauptung zusätzlicher „Sicherheit“ eingefordert wird. Ein Telefonanruf geht wesentlich intensiver in die private Spähre hinein, als das eine E-Mail jemals könnte, und gewerbsmäßige Betrüger wissen ebenso wie windige Kaufleute, wie in solchen Situationen jener Stress ausgelöst werden kann, der zur Unvernunft führt.

Im Falle dieser Mail gilt einmal mehr: Wer niemals in eine Mail klickt und die Adresse von Websites wie PayPal, eBay oder seiner Bank immer direkt in die Adresszeile seines Browsers eingibt, kann auf das Phishing über Mail kaum hereinfallen.

Deshalb: Niemals in eine Mail klicken!

Danke für die Zusendung dieser aktuellen Phishing-Spam an S. K.

Mitteilung !

Montag, 25. Februar 2013

Diese Mail, die behauptet, von einem Absender namens „Commerz Bank“ zu kommen (ganz so, als wüsste die Commerzbank nicht mehr, wie sich ihre eigene Firmierung schreibt), ist nur echt mit einem Splenk vor dem Ausrufezeichen! Die gefälschte Absenderadresse ist infos (at) commerz (punkt) de. Diese Mail ist scheinbar ohne Inhalt, denn sie enthält nur eine extern eingebettete JPEG-Grafik [in Originalgröße betrachten]:

Sehr geehrter Kunde, Wir möchten Sie darüber informieren, dass Ihr Konto von einem nicht autorisierten Computer zugegriffen wurde. Bitte besuchen Sie uns bestätigen, dass Sie der Inhaber des Kontos sind. https (doppelpunkt) (doppelslash) www (punkt) commerzbanking (punkt) de (slash)

Der in 53,8 KiB transportierte Text ist so lächerlich wie die meisten Phishing-Texte.

Sehr geehrter Kunde,

Wie üblich hat der Spammer keine verdammte Ahnung, wie seine Leser heißen. Kein Unternehmen, dass auch nur ein bisschen Wert auf seine Kunden legt, würde zu einer so unpersönlichen Ansprache gegenüber namentlich bekannten Menschen greifen.

Wir möchten Sie darüber informieren, dass Ihr Konto von einem nicht autorisierten Computer zugegriffen wurde.

Diese Computer aber auch immer… :mrgreen:

Bitte besuchen Sie uns bestätigen, dass Sie der Inhaber des Kontos sind.

https://www.commerzbanking.de/

Wie jetzt, ich denke, ich bin „Sehr geehrter Kunde“? Und da soll ich noch bestätigen, dass ich das bin?! Na ja, wenn die Spammer und Phisher sich mit ihren Texten ein bisschen Mühe geben würden, könnten sie ja auch gleich arbeiten gehen…

Diese tolle Grafik ist verlinkt mit http (doppelpunkt) (doppelslash) mail (punkt) aronfeld (punkt) com (slash) commerz (slash), was nicht gerade die Website der Commerzbank ist. Dort kann man eine „liebevoll“ nachgemachte Website der Commerzbank genießen, auf der man sich „einloggen“ kann…

Screenshot der betrügerischen Phishing-Site, Login

…was natürlich in Wirklichkeit bedeutet, dass man seine Zugangsdaten an Kriminelle übermittelt. In einem zweiten Schritt „kann“ man dann seine Kreditkartendaten an Kriminelle geben:

Screenshot der betrügerischen Phishing-Site, Eingabe der Kreditkartendaten

Mit diesen Daten können die Verbrecher eine Menge betrügerischer „Geschäfte“ auf Kosten anderer Leute machen, um auch weiterhin ein hübsches Leben ohne diese ganze lästige Mühe führen zu können. Danach – ich habe mal flugs ein paar Daten aus dem Fake Name Generator übertragen, damit die Phisher ein bisschen mehr Schrott in ihren gesammelten Daten haben – geht es weiter zur echten Website der Commerzbank, auf der man zwar jede Menge Reklame für die Commerzbank lesen kann, aber kein Wort über die laufende Phishing-Masche. Da die Website der Commerzbank vorsätzlich so gestaltet ist, dass man über die Suchfunktion gefundene Informationen zum Thema Phishing nicht bequem verlinken kann (Gruß von den gedankenlosen Schwachköpfen, die dort das Web machen), habe ich keine Lust, einen Link auf den gut versteckten Text innerhalb der Commerzbank-Website zu setzen und sage es kurz mit eigenen Worten: Niemals wird irgendeine Bank in einer E-Mail dazu auffordern, Konten zu bestätigen, indem Daten eingegeben werden, die der Bank längst bekannt sind. Das wäre ja auch objektiv schwachsinnig. Wenn das Konto von Kriminellen missbraucht werden konnte, haben die Kriminellen bereits die Daten.

Wer trotzdem alarmiert von der Mail war, die ja immerhin einen kriminellen Angriff auf das eigene Konto zu behandeln vorgab; wer deshalb kurz gedankenlos war und darauf reingefallen ist, sollte unbedingt und sofort Kontakt zur Commerzbank aufnehmen, um die Karte sperren zu lassen und das weitere Vorgehen in dieser Sache abzusprechen.

Wer dabei noch einen Gruß von mir mit loswerden möchte, kann ja mal anmerken, dass es nicht stimmt, dass über JavaScript realisierte Links in Websites irgendwie besser sind als das einfache, gute, alte HTML und dass das Verstecken relevanter Informationen über typische Betrugsnummern im Internet vor allem der organisierten Internet-Kriminalität nützt und damit den Kunden der Commerzbank schadet. Denn der gegenüber der Commerzbank angerichtete Schaden ist etwas, wofür alle Kunden der Commerzbank ein kleines bisschen in Haftung genommen werden – über allgemeine Gebühren, geringere Einlagenzinsen, höhere Darlehenszinsen und so weiter. Das allein kann man auch durchaus zum Anlass nehmen, darüber nachzudenken, ob man wirklich dazu bereit ist, weiter für eine Gedankenlosigkeit zu bezahlen, die vor allem ein paar Leuten nützt, die außer ihrer Mutter wohl niemand vermissen würde, wenn es sie nicht gäbe.

Systemadministrator

Mittwoch, 20. Februar 2013

Ja, bin ich! (Ein bisschen.)

Ihre Mailbox ist 2GB Satz von unseren Administrator überschritten [sic!], die Sie gerade im Einsatz bei 2.30GB, können Sie nicht senden oder neue Mitteilungen empfangen, bis Sie Ihrem Posteingang zu bestätigen. Füllen Sie das untenstehende Formular aus, um Ihr Konto zu bestätigen.

Du aber eher weniger, Spammer

Wegen der Meteroitenexplosionen über russischen Elektronen haben 2,3 GiB einen Hüpfer auf unsere Serverdiskette gemacht und sind dort ausgerechnet in ihrem Postfach gelandet, das jetzt Übergewicht hat. Wegen der Auswirkungen der Druckwelle können sie nichts mehr machen, schon gar nicht mailen. Für die Aufräumarbeiten brauche ich unbedingt ihre Daten, denn die wurden auf der Serverdiskette von unherschwirrenden Glasscherben zerschnitten. Also seien sie so doofgläubig, dass sie einem Typen mailen, wer sie überhaupt sind, denn das weiß der Typ nicht, der in gnadenlosen Worthülsen so tut, als ob er für sie zuständig sei. Machen sie also mal.

Füllen Sie die erforderlichen Informationen und senden Sie eine E-Mail an:

Aber senden sie ihre Zugangsdaten nicht an die gefälschte Absenderadresse info (at) web (punkt) de, sonst kommen sie nicht bei diesem „Systemadministrator“ an. Wo sie es hinsenden sollen, hat der „Administrator“ allerdings noch nicht in sein Skamskript reingefummelt bekommen, er lernt noch. Vielleicht in der zweiten Phishing-Spam-Welle.

Jetzt aber schnell noch die Daten:

(1) E-mail: [sic!]
(2) Benutzer:
(3) Passwort:
(4) Passwort bestätigen: [sic!]

Bitte vergessen sie auf keinen Fall, ihr Passwort doppelt zu tippen. Dass sie es beim Schreiben einer Mail im Klartext lesen können, ist dabei eine große Erleichterung gegenüber dem normalen Anwendungsfall für diese Sicherung.

Danke
Systemadministrator

Danke zurück, ich habe schon lange nicht mehr so über einen Phishing-Stümper gelacht!

Die Mail wurde mir von meinem Leser Kisho zugesteckt. Danke nochmal. Ich heiße übrigens nicht Frank, sondern Elias… 😉

[NewsCenter] Wichtige Mitteilung Feb. 2013

Sonntag, 17. Februar 2013

In der Tat, wir haben Februar 2013, aber was ist daran jetzt so wichtig? Oder gar so neu? 😀

Screenshot der HTML-Darstellung der Spam

Soso, das soll also eine Mail von Amazon sein. Interessanterweise ist als (gefälschte) Absenderadresse aber nicht irgendwas (at) amazon (punkt) com angegeben, sondern mail (at) service (punkt) de, was die ganze Sache gleich unglaubwürdiger macht. Ich mein ja nur, Spammer: Wenn du schon den Absender fälschst, kann du es auch gut und überzeugend machen.

Aber jemand, der die Dinge gut macht, wird eben kein krimineller Spammer. Nur dieses Pack, das bei jeder kleinen Mühe oder intellektuellen Anstrengung denkt „Da könnte ich ja gleich arbeiten gehen“, kommt auf die Idee, vom Internet-Betrug zu leben.

Februar 2013

Ah, ich verstehe: Beim Internet-Unternehmen Amazon weiß niemand, dass die Mails bereits mit einem Datum im Header kommen, das selbstverständlich von jedem Mailclient dieser Welt angezeigt wird (es kann sogar in jedem vernünftigen Programm als Sortierkriterium verwendet werden). Und deshalb wird einfach das Datum noch einmal reingeschrieben, aber natürlich nicht so exakt wie im Mailheader, sondern als Monatsangabe. Das sieht wirklich ziemlich doof aus.

Wichtige Kundenmitteilung

Die kommt natürlich auch bei Leuten an, die keine Kunden sind.

Sehr geehrte Kundin, sehr geehrter Kunde,

Der Absender hat nicht die geringste Ahnung, wie die Empfänger dieses Müllbriefes heißen – und das unterscheidet ihn von Amazon. Keine Unternehmung würde darauf verzichten, ihre Kunden mit Namen anzusprechen.

Wir möchten Sie auf [sic!] die neuen Amazon Bestimmungen [sic! Deppen Leer Zeichen!] vom 01.02.2013 in Kenntnis setzen.

Wie soll man diesen Strunz verstehen? Soll ich mich jetzt auf einen Papierstapel mit irgendwelchen „neuen Bestimmungen“ stellen, um darauf stehend über irgendetwas Ungenanntes in Kenntnis gesetzt zu werden? Mit Grammatikfehler? :mrgreen:

Und überhaupt: „Bestimmungen“! Man könnte denken, der Verfasser dieses Bullshits hat noch nie einen deutschsprachigen Brief eines Unternehmens an seine Kunden aufmerksam gelesen. (Ja, „aufmerksames Lesen“ ist auch so eine Mühe, die der Spammer nicht mag.) Sicher, die „bestimmen“ so einiges, aber die nennen das niemals so. Auf deutsch spricht Amazon von den „Nutzungsbedingungen“, und wie man durch einfaches Betrachten der Amazon-Seite mit den Nutzungsbedingungen herausbekommt, wurden diese zum letzte Mal am 5. September 2012 geändert und nicht etwa wie behauptet am 1. Februar 2013. Wer schon nicht bei der unpersönlichen Ansprache skeptisch geworden ist, sollte spätestens bei dieser Kleinigkeit bemerken, dass diese Mail nicht von Amazon kommt. Oder soll man etwa glauben, dass Amazon nirgends seine aktuellen „Bestimmungen“ rechtsverbindlich veröffentlicht? Um das zu glauben, müsste man aber schon ein bisschen blöd sein…

Amazon arbeitet kontinuierlich an der Weiterentwicklung [Bingo!] bestehender Sicherheitssysteme [Bingo!], der Einführung neuer Technologien [Bingo!] sowie sicherheitsorientierter Produkte [Bingo!] um potenziellen Schaden [Bingo!] im Vorfeld zu vermeiden.

Mein Bullshit-Detektor hat wegen eines Überlaufes die Funktion verweigert.

Wo liegt das Problem?
Bearbeitungsnummer: 165.48-D889

Sehr informativ! Und so kundenorientiert! :mrgreen:

Um gewährleisten zu können, das kein Unbefugter Zugang zu Ihrem Mitgliedskonto hat, ist eine einmalige Zuordnung Ihres Mitgliedskontos durch Eingabe von personenbezogenen Daten erforderlich.

Um zu gewährleisten, dass niemand anders das Amazon-Konto für Betrügereien missbraucht, soll es also erforderlich sein, dass man Amazon gegenüber Daten erneut angibt, die Amazon schon längst kennt? Oder vielleicht noch ein paar zusätzliche Daten? Dann ist eine missbräuchliche Anmeldung durch jemanden anders nicht mehr möglich? Und nicht etwa, indem ein Passwort geändert wird? Man muss nicht sehr lange nachdenken, um zu bemerken, wie hirnrissig dieser angebliche Ansatz zur „Erhöhung der Sicherheit“ ist.

Was mache ich jetzt?
Bitte registrieren Sie Ihre Daten [sic!] innerhalb von 7 Tagen [sic! Komma fehlt] um eine eventuelle Sperrung [sic!] Ihres Mitgliedskontos [sic!] zu vermeiden.

Großes Kino! Allein schon die Ausdrucksweise „registrieren sie ihre Daten“. Das soll man auch schön schnell und unüberlegt tun, weil sonst ist schon in einer Woche das „Mitgliedskonto“ futsch. Oder vielleicht auch nicht, wie im Worte „eventuell“ anklingt.

Mit freundlichen Grüßen
Ihr Kundenteam

Mit feindlichen Grüßen
Ihr dummer Phishing-Spammer

Weiter

Wer auf diesen freundlichen orangefarbenen Button klickt, lasse alle Hoffnung fahren! Natürlich liegt dort kein Link zur Amazon-Website, wie man es bei einer echten Mail von Amazon erwarten könnte, sondern ein über den Kürzungsdienst url9.de maskierter Link. Dieser führt auf eine „liebevoll“ nachgemachte Amazon-Seite…

Screenshot der betrügerischen Seite zum Phishen von Amazon-Kundendaten

…in der Domain security (strich) team (punkt) info. Diese wirklich einmal gut klingende Domain haben sich die Verbrecher frisch am 15. Februar 2013 registriert, und die dabei angegebenen Registrierungdaten (die ich wegen der Nutzungsbedingungen [ja!] der Whois-Informationen für die TLD .info hier nicht wiedergebe) erwecken überdeutlich den Eindruck, dass sie nicht zutreffen, obwohl die Adresse existiert. Einmal ganz davon abgesehen, dass Amazon wohl nicht in einem etwas größeren Einfamilienhaus in einer dorfähnlichen Gemeinde in Nordrhein-Westfalen untergebracht sein wird. 😀

Die betrügerische Website ist über die Cronon AG bei Strato [bewusst nicht verlinkt!] gehostet. Ich hätte gern einmal die übliche Mitteilung an Strato gesendet, damit dieser phishige Amazon-Spuk ganz schnell vom Netz genommen wird, habe damit jedoch wegen der großartigen Künste des Webdesigners bei Strato so meine Probleme. Die Kontaktseite wurde von jemanden geschrieben, dessen JavaScript-Kenntnisse so großartig sind, dass in einer JavaScript-Endlosschleife immer wieder kleinere Versionen der Kontaktseite geladen werden, während der Speicherbedarf des Browsers in die Höhe schnellt – offenbar findet man es bei Strato zu „unübersichtlich“, wenn einfach nur die wichtigsten Kontaktadressen in ganz klassischem HTML aufgeführt werden (gern mit Links auf Unterseiten für spezielle Anliegen) und die Funktion einer Kontaktaufname schwellenlos erfüllt wird. Wie schnell die geringfügig indirektere Mitteilung an die Cronon AG zur Beendigung des Hostings einer Phishing-Site führt, werde ich in den nächsten Stunden (oder hoffentlich: Minuten) erleben. Ich bin aber alles in allem guter Dinge.

Amazon-Deutschland- 11,10178 Berlin
Telefon: 0049 885 44856- Telefax: 0049 421 84841- E-Mail: info@amazon-deutschland

Nein, die Spam kommt nicht von Amazon-Deutschland, auch wenn die Fußzeile das so sagt. Ich habe die Fußzeile nur zitiert, um einmal mehr auf die besondere Faulheit und Dummheit der Spammer hinzuweisen. Natürlich ist die angegebene Mailadresse nicht korrekt, ihr fehlt die TLD .de. Nachdem der spammende, phishende Idiot sich seiner Aufgabe entledigt hat, seinen Betrugstext zu verfassen, ließ seine Aufmerksamkeit deutlich nach, was an diesen kleinen Angaben sichtbar wird. Die Anschrift (immerhin die Geschäftsadresse von Amazon, die würden darauf wert legen) ist zudem sonderbar formatiert, der trennende Strich sieht wie ein Bindestrich aus.

Denn wenn sich der Spammer Mühe geben würde, könnte er ja gleich arbeiten – er will aber davon leben, dass er die Dummen und Unerfahrenen im Internet betrügt.

Wer so unerfahren ist, dass er darauf reingefallen ist und wer in der angeblichen „Verifizierung“…

Ein weiterer Screenshot eines Details der betrügerischen Website

…Daten eingegeben hat, die sowohl sein Amazon-Konto für den Missbrauch durch Kriminelle öffnen als auch über die Angabe einer Postanschrift mit Geburtstag den Missbrauch der Identität durch die gleichen Kriminellen ermöglichen, der darf sich auf einen riesengroßen Haufen Probleme in den nächsten Wochen, Monaten und Jahren einrichten. Auch wenn ich keine Versicherungen mag: Der Abschluss einer Rechtsschutzversicherung ist zu empfehlen, und zwar noch, bevor die erste Strafanzeige wegen Betrugs oder wegen Geldwäsche kommt, weil diese Daten von üblen Verbrechern für gewisse „Geschäfte“ verwendet wurden. Fünf Minuten Nachlässigkeit im Denken bringen Ärger für zwei bis drei Jahre und viele neue Bekannte bei den Staatsanwaltschaften und Polizeien. Garantiert. Wenn sie im darauf folgenden Schritt sogar noch die Kreditkartendaten angegeben haben, sollten sie unbedingt und sofort Kontakt mit ihrer kontoführenden Bank aufnehmen, bevor es zu einem Missbrauch der Kreditkarte durch die Internet-Kriminellen kommt.

Und ganz generell: Wenn sie eine E-Mail von einer Unternehmung bekommen, bei der sie Kunde sind; wenn sie in dieser E-Mail aufgefordert werden, auf einen Link in dieser E-Mail zu klicken: KLICKEN SIE NICHT! Auch nicht, wenn sie persönlich angesprochen werden, denn die Verbrecher haben schon jede Menge persönlicher Daten aus allen möglichen Quellen abgreifen können. Besuchen sie die Website des Unternehmens direkt, indem sie die Adresse in der Adresszeile ihres Browser eingeben (oder ein Lesezeichen verwenden)! Melden sie sich dort an und schauen sie, ob sie dort ebenfalls einen Hinweis präsentiert bekommen! Wenn nicht: Unterrichten sie das Unternehmen über die Phishing-Spam, damit andere vor der Phishing-Spam gewarnt werden können, um den Schaden kleiner zu machen! Das Internet ist ein viel zu schöner Ort, um dummen, asozialen Verbrechern darin zu viel Raum zu geben.

Die Spam ist ein Zustecksel meines Lesers H. G.

Dringende Mitteilung!

Montag, 11. Februar 2013

Aber ganz dringend!

Sie haben sich erfolgreich mit Ihrer Karte registriert .

Fragt sich nur, mit welcher Karte. War es die Pik Drei oder die Herz Sieben? Oder war es gar meine Visitenkarte? Und wo habe ich mich damit jetzt registriert? Moment, der Absender behauptet, „Visa – MasterCard“ zu sein? Fragen über Fragen… :mrgreen:

Bitte aktivieren Sie Ihr Konto.

Fragt sich nur, für wen. :mrgreen:

Um das Papier zu halten, aktualisieren Sie bitte Ihre Informationen.

Ach so, das ist gar keine Phishing-Spam, das ist ein großer dadaistischer Lyriker. So einer wie O. T. Zinker.

Klicken Sie hier, um die Aktivierung gehen.

Klicken sie! Gehen sie nicht über Los! Ziehen sie keine 3000 Mark ein! Ist ein total vertrauenswürdiger Link, der nicht etwa auf die Domain eines Kreditinstutes geht, sondern auf eine IP-Adresse aus dem IP-Range einer taiwanesischen Limited, die Hosting-Dienste anbietet und aus meiner Sicht nicht besonders professionell wirkt. Da kann man dann den Weg zur Aktivierung der eigenen Kreditkartendaten für die organisierte Internet-Kriminalität gehen… wenn man es schafft, eine derartig hingestümperte Phishing-Mail überhaupt ein bisschen glaubwürdig zu finden. Und um das zu schaffen, muss man sich nur vorher sein Gehirn wegklicken. Dann klappts auch mit dem „Klicken sie hier“ der Phisher.

Dieses Exemplar aus dem Beklopptenbrutschrank des mies gemachten Phishings wurde mir von meinem Leser Irrelephant zugesteckt.

Sehr geehrter Kunde

Samstag, 9. Februar 2013

Die Absenderadresse contact (punkt) update (at) postbank (punkt) de ist natürlich gefälscht, und diese Mail kommt nicht von der Postbank.

Sehr geehrter Kunde,

Spammer, das hast du schon im Betreff gesagt. Toller Betreff, übrigens, da weiß man gleich, um was es geht. Nicht.

Übrigens ist „Kunde“ ein ziemlich blöder Ersatz für eine persönliche Anrede, auf die niemand verzichten würde, der wirklich einen Kunden anspricht. Selbst einem Hund gibt man einen Namen, um ihn anzusprechen (außer man heißt Lieutenant Columbo, der hat seinen Hund immer nur „Hund“ genrufen) – aber die Empfänger dieser Phishing-Strunzmail sollen wirklich glauben, dass sie von der Postbank nicht beim Namen gerufen werden?!

Im Jahr 2012 hat unsere IT-Abteilung nach den besten Lösungen gegen Internetbetrug gesucht. Mit sehr guten Ergebnissen haben wir ein sichereres System für online-Banking [sic!] entwickelt.

Das ist doch eine tolle Nachricht. Und was habe ich damit zu tun?!

Wir aktualisieren derzeit unser online-System. Dazu gehört die Installation von neuer Sicherheitssoftware für 2013. Wir bitten um Ihre Mitarbeit, Ihre Daten mit unserem neuen System zu verknüpfen. [sic!] Mit dieser Innovation [sic!] wollen wir, dass unsere Kunden nutzen das Internet banking besser und sicherer zu machen [sic!], damit in Zukunft Sie unbeschwert unsere online-Dienste verwenden können. Für dieses System erfolgreich zu sein müssen Sie die Schritte und abzuschließen. [sic!]

[Woran erinnert mich nur diese eigentümliche Wortstellung? Klingt sehr, wie eine slawische Sprache, die annähernd wörtlich ins Deutsche übersetzt wird. Merke, Spammer: Das Wörterbuch ist kein Ersatz für einen Deutschkurs.]

Ach so, dass habe ich damit zu tun. Ihr habt also im Jahr 2012 einen neuen Text für eure meist brotdummen Phishing-Mails entwickelt und lasst den jetzt massenhaft auf die Leute los, selbst noch auf solche, die kein Konto bei der Postbank haben. Und denen wollt ihr weismachen, dass die Kunden etwas tun müssen, wenn die Postbank irgendwas auf ihren Servern verbessert oder installiert, nämlich „ihre Daten mit dem neuen System zu verknüpfen“. Klingt ja auch viel besser als: „Die Daten, die einen Zugriff auf das Konto erlauben und die der Postbank selbstverständlich bekannt sind, auf einer obskuren Website eingeben“. Für die Zukunft und so, ganz unbeschwert und leichtsinnig.

nach Abschluss erfolgt eine automatische Aktualisierung Ihrer Daten in unserem System. Sie werden bald angegangen [sic!], von einem von unserer Mitarbeiter auf die Aktualisierung erfolgreich abgeschlossen. [sic!] Vielen Dank für Ihre Zeit und Zusammenarbeit.

Nach Abschluss dieser Dateneingabe erfolgt eine automatische Aktualisierung des Datenbestandes der organisierten Internet-Kriminalität. Wer das gemacht hat, wird von einem Verbrecher nach der Aktualisierung erfolgreich abgeschossen. Dafür bedanken wir uns pseudohöflich, obwohl wir den Menschen mit dieser Drecksspam etwas von ihrer Lebenszeit geraubt haben und sie mit einem kriminellen Phishing-Versuch belästigt haben.

Verwenden Sie den Link:

Aktualisieren Sie Ihre Online-bankieren [sic!]

Oh toll, endlich mal ein anderer Text als „Klicken sie hier“. Leider vermag dieser Text auch nicht zu überzeugen.

Dr. M.Daberkow
IT/Operations
POSTBANK DE

Mit Gruß vom Phisher, der nicht einmal die Domain der Postbank richtig anzugeben vermag. Das macht diesen Auftritt noch überzeugender!

Diese Phishing-Mail ist ein Zustecksel meines Leser Irrelephant – und sie zeigt, dass die Phisher sich inzwischen etwas mehr Mühe mit ihren Mails geben. Das dürfte darauf zurückzuführen sein, dass auf die allzu plumpen Maschen niemand mehr hereinfällt.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.