Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Kategoriearchiv „Phishing“

Ihr PayPal Konto ist gesperrt! Ihre Mithilfe ist gefragt.

Freitag, 8. Juni 2012

Die aktuelle PayPal-Phishing-Spam, aufwändig in HTML gesetzt. Nur echt mit dem Deppen Leer Zeichen schon im Betreff.

PayPal – Bitte bestatigen Sie Ihre personlichen Daten

Hallo,

Einfach nur „Hallo“. Einen Namen weiß der kriminelle Spammer schließlich nicht.

Im Rahmen unserer Massnahmen zur Gefahrenabwehr, regelmasig Bildschirm Aktivitat Paypal [sic!].
Wir bitten um Informationen �ber Sie aus dem folgenden Grund:

Unser System erkannt ungewohnliche Gebuhren fur eine Kreditkarte in Verbindung mit Ihrem PayPal Konto.

Wenn man so ein tolles Deutsch schreibt, hilft das ganze HTML drumherum, um es wie eine Mail von PayPal aussehen zu lassen auch nicht mehr weiter. Ich lasse den Rest der Mitteilung mal in ihrem fröhlichen Duktus fließen, ohne sie durch allzu große Anmerkungen zu unterbrechen…

Dies ist die letzte Mahnung [sic!], sich bei PayPal. [sic!] Dies ist die letzte Erinnerung an bei PayPal anmelden. [sic!]
Sobald Sie den Zugang werden wir Massnahmen, um den Zugang zu Ihrem Konto wieder. [sic!]

Einmal verbunden, folgen die Schritte zur Aktivierung ihres Kontos! [sic!]
Vielen Dank fur Ihr Verstandnis, da wir der Account-Sicherheit zu gewahrleisten arbeiten. [sic!]

Das Verfahren ist sehr einfach:

1. Klicken Sie auf den Link unten, um einen sicheren Browser offnen.
2. Bestatigen Sie, dass Sie der Inhaber des Kontos sind und folgen Sie den Anweisungen.

Gehen Sie Zu Ihrem Konto

Natürlich geht es da nicht zu PayPal, sondern zu einer unter der Domain www (punkt) qgrupoasesor (punkt) com abgelegten Phishing-Site. Ob die Ablage der Phishing-Seite in einem beeindruckend langem Unterverzeichnis dieser Website aufgrund einer kriminellen Übernahme des Servers geschah, oder ob das Consulting-Unternehmen, das dort seine Website betreibt, nur Fassade ist, kann ich leider nicht beantworten, weil ich kein Spanisch kann, um den Sachverhalt kurz in einer Mail dazulegen. Und ja, ich habe es bei lateinamerikanischen Sites oft genug auf Englisch versucht, und zwar immer erfolglos…

Achtung! Ihr PayPal-Konto wurde begrenzt!

Freitag, 25. Mai 2012

Dieser freundliche Absender einer HTML-formatierten Mail, der sich „PayPal.com“ nennt, beweist mit seinem liebevoll aus der Betrugsnummer eines anderen Phishers übernommenen Text…

Screenshot der betrügerischen Mail

…dass man als Stümper bei solcher Zweitverwertung eventuelle Probleme mit der Zeichencodierung noch verschlimmern kann. Einmal ganz davon abgesehen, dass der Link zur URL http (doppelpunkt) (doppelslash) alvimei (punkt) it (slash) templates (slash) casino (strich) royale (strich) template (slash) de (slash) Continue (slash) DE (slash) webscr.php geht und nur beim Hingucken klar macht, dass genau die gleichen Halunken, die den Betrug mit den angeblichen Internet-Casinos machen, auch den Betrug mit dem PayPal-Phishing machen.

Warum auch nicht, werden sie sich sagen, es ist ja beides „leicht verdientes Geld“ durch Betrug…

Abgelegt waren die Phishing-Seite und das komplette Design eines angeblichen „Casinos“ übrigens in einem Joomla-CMS eines anderen Menschen, dessen Zugangsdaten vermutlich durch eine Schadsoftware ausgespäht wurden, die er ebenfalls von diesen organisiert Kriminellen untergejubelt bekommen hat. Die Passwörter sind inzwischen geändert, und die Dateien sind gelöscht.

Mastercard Verifikations Abgleich!

Freitag, 11. Mai 2012

MasterCard Daten-Abgleich

Mit wem? Ach ja, mit kriminellen Phishern.

Sehr geehrte Damen und Herren,

Die wissen natürlich auch nicht, wie der Empfänger heißt und sprechen ihn deshalb – im Gegensatz zu einem Kreditinstitut – auch nicht mit Namen an.

aufgrund der rasant ansteigenden Probleme durch Cyberkriminalität, sehen wir uns als Ihr Dienstleister dazu gezwungen, für das höchste Maß an Sicherheit für Sie zu sorgen.

Diese hier wissen nicht einmal, wie man diese komischen Vokale mit den Pünktchen darüber in eine HTML-Mail reinbekommt. Klar, das hätten sie sich schnell anlesen können, aber wenn sie sich Mühe geben wollten, wären sie ja keine kriminellen Spammer geworden.

Aber dafür ist der Text jetzt sehr komisch:

Verifizierungsvorgang

Nach langwierigeren Testphasen sowie Überarbeitungen unseres Systems freuen wir uns, Ihnen das neue Secure Transaction System kurz STS vorstellen zu dürfen.

Sie als Kunde werden nach der einmaligen Validation keinen feststellbaren Unterschied wahrnehmen, jedoch werden sie ab diesem Moment abgesicherte Transaktionen im Internet ohne Einschränkungen durchführen können. STS ist für sie Kostenlos und sofort nach erfolgreicher Verifizierung aktiv.

In der Tat, das stimmt. Wer darauf reingefallen ist, wird danach erstmal keinen Unterschied feststellen, wenn er irgendwas mit seiner Kreditkarte macht. Er wird halt nur irgendwann feststellen, dass seine Kreditkartendaten für kriminelle Geschäfte benutzt werden und dass sein Konto geplündert wurde.

Bitte füllen Sie alle nötigen Details auf folgender Seite aus um ihr Verifikation abzuschließen.;Verifikation abschließen

Im Original geht der Link auf mastercards (strich) verifikation (punkt) net, eine recht überzeugend klingende Domain. Den Hosting-Provider der Website habe ich eben über den Vorgang informiert, so dass diese betrügerische Site vermutlich in Kürze verschwunden sein wird. Sie sieht zurzeit übrigens so aus:

Screenshot der betrügerischen Website

„Herzallerliebst“ darin die alarmierend formulierte Warnung:

Sehr geehrte Kunden,
Wegen sicherheitstechnischen Mängeln [sic!] in diversen größeren Onlineshops [sic!] in Deutschland sind wir gezwungen [sic!], unsere Kunden einer Kartenverifizierung zu unterziehen [sic! Eine „Kartenverifizierung“ der Kunden!]. Wenn Sie eine Mastercard besitzen, empfehlen wir Ihnen, diese Kartenverifizierung sofort durchzuführen [Komma fehlt] um eine allfällige Kartensperrung [sic!] zu verhindern. Wenn Sie Ihre Karte nicht verifizieren, sehen wir uns gezwungen, diese binnen 2 Tagen zu Ihrem Schutz [sic!] zu sperren.

Herzlichen Dank für Ihr Verständnis [sic!]

Harald Fischer
Mastercard Sicherheitsteam Deutschland

Auch wenn die technische Gestaltung wesentlich gelungener ist als die Phishing-Spam, muss man nicht besonders wach sein, um an der Sprache zu bemerken, dass kein Unternehmen so mit seinen Kunden kommunizieren würde.

Aber weiter in der Spam:

WICHTIG: Wenn Sie Ihre Kreditkarte regelmäßig nutzen, empfehlen wir Ihnen DRINGEND, dass Sie Ihre Kreditkarte schützen, um möglichen Betrugsversuche auszuschließen.

Mit freundlichen Grüßen,
Mastercard Services

Die wirklichen Sicherheitshinweise von Mastercard kann man übrigens auf der echten Website von Mastercard nachlesen. Ich kann Kartennutzer gar nicht oft genug auffordern, das zu lesen – und fortan jede derartige Mail, auch wenn sie nicht so stümperhaft ist, in den virtuellen Papierkorb zu werfen.

Mastercard Ltd. USA, registriert in America & Washington unter der Nummer 4260907.
Sitz der Gesellschaft: Welken House, 10-11 Charterhouse Square, New York, EC1M 6EH, America.
Autorisiert und reguliert von der Financial Services Authority (FSA) Amerika.

Das mag alles stimmen, aber von Mastercard kommt diese Mail nicht.

My Twitter profile was viewed xxx times today

Dienstag, 24. April 2012

Internet! Vor jedem Klick auf einen Link: Gehirn benutzen!

Folgender Tweet taucht bei vielen Menschen zurzeit in der Twitter-Timeline auf:

My Twitter profile was viewed xxx times today. Click here to see who views your profile tiny.cc/xxxxxxxx

Anstelle von xxx steht natürlich eine immer wechselnde Zahl.

Was ich im Folgenden sage, hat nicht den abschließenden Grad an Gewissheit. Aber ich bin mir sicher, dass es sich um Phishing von Twitter-Accounts handelt.

Wie ich jetzt auf diese absonderliche Idee komme?

Erstens hat nur Twitter genauere Informationen über die Nutzung seines Dienstes durch andere Nutzer. Diese Informationen werden von Twitter nicht veröffentlicht und stehen über keine dokumentierte API zur Verfügung. Es ist schlechterdings für einen Dritten unmöglich, an diese Informationen zu gelangen. (Natürlich wird Twitter für seine eigenen Vermarktungszwecke und sonstigen Geschäftsideen ausführliche Statistiken aller Art erstellen. Geschäfte mit den Web-Zwo-Nulldiensten werden nicht mit ewiger Blumenkraft, sondern mit Datensammeln und Profiling gemacht.)

Zweitens ist die Angabe „Mein Twitter-Profil wurde so und so oft betrachtet“ vollkommen sinnlos. Es gibt hunderte von Client-Programmen für Twitter, die über die Twitter-API alle möglichen Ansichten des Geschehens abrufen und darstellen. Für die meisten Twitter-Nutzer sind diese Tools die eigentliche Twitter-Nutzung. Das gilt insbesondere, wenn Twitter über ein smart phone oder ein pad benutzt wird. Was soll in diesem Umfeld die Angabe, wie oft ein Profil betrachtet wurde, überhaupt bedeuten? Man muss nicht sehr lange nachdenken, um zu erkennen, dass sie bedeutungslos ist.

Drittens führt der Klick auf diesen Link nach ein paar Weiterleitungen [Warum bitte sehr ständig wechselnde Weiterleitungen? Wer hat es schon nötig, sich so zu verstecken?] zu einer Twitter-Seite zur oAuth-Authentifikation, in der man die Möglichkeit erhält, einem Dritten vollständige Schreibrechte in seinem Twitter-Kanal zu erteilen, ohne dass dieser sich auch nur vorgestellt hätte, seinen Dienst erläutert hätte oder irgendetwas anderes preisgegeben hätte als die spamartigen Tweets, die in etlichen Timelines auftauchen. Das ist hochgradig verdächtig. Es stinkt nach Phish. Es stinkt nach einem Berg kommender Spam.

Wer immer noch glaubt, dass man derartigen Anbietern vertrauen kann, soll das gern tun. Ich kann leider nichts gegen Hirnlosigkeit oder eine Entscheidung zum vollständigen Denkverzicht machen. Vermutlich muss da erstmal eine Timeline mit so unappetitlicher und krimineller Spam geflutet werden, dass sich die Staatsanwaltschaft dafür interessiert, damit das Gehirn wieder zu arbeiten beginnt. Obwohl ich mich gestern nacht bereits über dieses Thema auf Twitter ausließ…

Ich bin übrigens extrem skeptisch, wenn jemand vorgibt, sagen zu können, wie oft ein Twitter-Profil aufgerufen wurde und Schreibrechte will. Wie oft ein Profil aufgerufen wird, weiß (nach meinem bescheidenen Erkenntnisstand) nur Twitter selbst. Der Anbieter riecht nach #Spam

…konnte ich mit wachsendem Missvergnügen verfolgen, wie immer mehr Menschen nach diesem Köder schnappten und wie die Timeline sich mit den sinnlosen Zahlen füllte, wie viele Leute jetzt angeblich die Profile besucht haben. (Leider war ich mit einer sehr anstrengenden Lektüre beschäftigt und konnte deshalb nicht weiter eingreifen.) Völlig unkontrollierbare Zahlen übrigens, die man sich auch einfach ausdenken könnte, nicht nur handelsüblich sinnlose. Nach diesem Köder haben auch Menschen geschnappt, bei denen ich mir sicher bin, dass sie alt genug sind und genügend Lebenserfahrung haben, um auf eine derartig primitive Nummer nicht hereinfallen zu müssen.

Meiner resignierenden Bewertung von gestern nacht habe ich nichts mehr hinzuzufügen:

IHR SEID DIE SPAM

[Die Anmerkung von @ernstd ist natürlich witzig gemeint – das wird zugegebenermaßen aus diesem Kontext nicht völlig klar, wurde aber sofort erklärt]

Wenn ihr euch so leicht phishen lasst beim Zwitscherchen, wenn ihr jede mahnende Bemerkung einfach ignoriert, wenn ihr euch von ein paar Bullshit-Zahlen so sehr verblenden lasst, dass ihr völlig Unbekannten aus dem Internet das bleibende Recht einräumt, in eurem Namen etwas auf Twitter zu publizieren, dann seid ihr selbst die Spam!

Würdet ihr euch etwa auch den Bundestrojaner installieren, wenn der euch nur verspräche, dass ihr erfahrt, wie wichtig ihr auf Twitter seid? Mann, mann, mann! Dass Leute vor meinen ungläubigen Glubschen auf ein dermaßen billiges Phishing reinfallen und nichts merken, wenn man sie darauf hinweist, gehört zu den Dingen, über die ich seit einigen Stunden nicht mehr hinweg komme.

Abhilfe – Ein ganz schnelles Tutorial

Wer darauf reingefallen ist und inzwischen festgestellt hat, wie unendlich dumm es war, so zu handeln: Hier eine kurze Beschreibung, wie man dem sicheren Phisher und mutmaßlichen späteren Spammer seine Schreibrechte wieder wegnimmt:

Schritt 1:

Screenshot

Im eigenen Profil die Einstellungen aufrufen. Dazu muss man im Menü, das auf der Silhouette neben dem Suchfeld erscheint, den Punkt „Einstellungen“ auswählen.

Es wird eine Eingabemaske mit dem Account-Einstellungen dargestellt.

Schritt 2:

Screenshot

Auf der linken Seite der Accounteinstellungen befindet sich ein Menü. Hierin ist der Punkt „Apps“ zu wählen.

Schritt 3:

Screenshot

Nun wird eine Liste aller externen Apps dargestellt, denen man jemals einen Zugriff auf seinen Twitter-Account gewährt hat. (Da hat sich eine Menge angesammelt, nicht! Vielleicht wäre sowieso etwas Aufräumen angesagt…) Diese sind absteigend nach Alter geordnet, der frischeste steht also ganz oben. Zusätzlich steht immer darunter, an welchem Tag und um welche Uhrzeit der Zugriff gewährt wurde. Damit sollte es selbst in diesem Fall, wo man gar nichts über den „Dienst“ weiß, dem man einen Schreibzugriff erteilt hat, möglich sein, den richtigen Eintrag zu identifizieren.

Schritt 4:

Dort einfach auf „Zugriff widerrufen“ klicken, und schon kann der eigene Account nicht mehr von diesen Phishern für Spamzwecke missbraucht werden.

Abschließend:

Ich gehe davon aus, dass die eingeräumten Schreibrechte erst in einigen Tagen für massive Twitter-Spam missbraucht werden. Sollte es dann gar nicht mehr möglich sein, aus der Erinnerung zu entscheiden, welche von diesen vielen externen Apps die Spamzugriffe macht, dann gibt es immer noch die Notbremsung. Einfach jeder App, die einem irgendwie spanisch vorkommt oder von der man nicht weiß, wofür sie gut sein soll, den Zugriff entziehen – das schlimmste, was dabei passieren kann, ist, dass man später einige Programme neu gegen Twitter authentifzieren muss. Das kostet jeweils nur ein paar Sekunden, und so viel sollte es einem wert sein, dass die eigene Timeline frei von Spam bleibt – von Spam überigens, für die man im vollen Umfang selbst verantwortlich und gegebenenfalls auch zivilrechtlich haftbar ist oder strafrechtlich zur Verantwortung gezogen weren kann. Schließlich handelt es sich um den eigenen Einflussbereich.

Wer trotz dieser sehr ausführlichen Anleitung noch weitere Fragen zur Vorgehensweise hat: Einfach in die Kommentare posten oder direkt an den Twitter-Support wenden. Der Twitter-Support wird übrigens schneller sein als ich…

Und bitte: In Zukunft vor dem Klicken Gehirn einschalten!

Security Alert

Montag, 23. April 2012

Ein Hinweis vorab: Diese Mail kommt nicht von PayPal. Das Konto bei PayPal ist nicht gesperrt. Es handelt sich um einen Betrugsversuch, um so genanntes Phishing. Die Mail sollte einfach gelöscht werden. Es ist keine weitere Aktion erforderlich.

Diese Phishing-Mail für PayPal-Kunden kommt zurzeit auch mit anderen Betreffzeilen wie „Der Zugriff auf ihr Konto wurde eingeschr“ [sic!].

Liebe User PayPal,

In einer echten Mail von PayPal wird der Kunde immer namentlich angesprochen. Und nicht als „User PayPal“. Vom…

Ungewöhnliche Kontobewegungen haben es notwendig gemacht Ihr Konto einzugrenzen [sic!] bis zusätzliche Informationen zur Überprüfung gesammelt werden.

…Deutsch einmal ganz abgesehen. Und natürlich vom Inhalt, denn einen derartig aussagelosen und dummen Bullshit vom „eingegrenzten Konto“ auf dem „Informationen zur Überprüfung gesammelt werden“, würde PayPal oder irgendein anderes Unternehmen niemals schreiben. Eingegrenztes Konto?! Das klingt ja wie ein Gartenzaun. Mit „ungewöhnlichen Bewegungen“ darin.

Tja, schon mistig, wenn man die Übersetzungen von jemanden erledigen lässt, der die Sprache, in die er übersetzt, eher rudimentär beherrscht.

Zur Zeit haben Sie nur begrenzten Zugang zu Ihrem Pay Pal Konto. [sic! Mit Deppen Leer Zeichen] Wir bitten Sie daher die von uns angeforderten Kontodaten zu enrneuern. [sic!]

Bitte klicken Sie hier »

Worum es geht, ist natürlich das Übliche: Den Menschen verunsichern, alarmieren und damit seine Kritikfähigkeit außer Kraft setzen, und ihm einen Link zum Klicken anbieten. Der führt übrigens zu einer Site mit eine epischen Liste von Subdomains, beginnend mit www.paypal.de, aber endend in der eigentlichen Doamin deutscheberlin.org. Und nein, das ist nicht die PayPal-Website, sondern eine Website unter der Kontrolle krimineller Spammer. Dort sieht man die übliche, „liebevoll“ nachgebaute PayPal-Login-Seite. Wer da seine Mailadresse und sein Passwort eingibt, hat den Verbrechern schon einmal eine Menge Möglichkeit gegeben, aufs Konto zuzugreifen und einmal so richtig abzuräumen.

Das reicht den Verbrechern allerdings nicht. Deshalb darf man hinterher noch ein paar Sicherheitsfragen beantworten. Natürlich nicht die, die man bei PayPal konfiguriert hat, sondern solche…

Screenshot der Phishing-Site

…die es den organisierten Kriminellen auch noch ermöglichen, die eigene Identität zu missbrauchen: Voller Name und Geburtsdatum. Wer das macht, hat vollständig verloren und eine äußerst unerfreuliche, nervenaufreibende und möglicherweise teure Zeit vor sich.

Gut, dass die Phishing-Mails in dieser Version so durchschaubar und schlecht sind, dass niemand darauf hereinfallen wird. Gut, dass jeder weiß, dass PayPal derartige Mails nicht versendet. Gut, dass niemand Websites, bei denen es um „richtiges Geld“ geht aufruft, indem er in eine Mail klickt, sondern dass jeder die Adresse immer in die Adresszeile seines Browsers eingibt.

Ach, wenn es doch nur so wäre! 🙁

Leider werden doch einige Leute Daten eingeben, und zwar andere als der „Hansdieter Strunzmeister“, der sich diese müde Nummer gerade ein bisschen genauer angeschaut hat. (So etwas macht man übrigens nur mit einem besonders gesicherten System, es handelt sich um die Website von schwer kriminellen Zeitgenossen, die auch den Herstellern der Antivirus-Software um ein paar Tage voraus sind. Ein unvorsichtiger Klick in eine Spam kann zur Folge haben, dass man seinen Rechner und seine Internet-Leitung der organisierten Kriminalität zur Verfügung stellt. Wer nicht genau weiß, wie man ein System besonders sichert, sollte gar nicht erst über solche Experimente nachdenken.) Der Hansdieter hat nämlich, nachdem er sogar noch den Mädchennamen seiner Mutter bestätigte, gesehen, dass die Kriminellen zu gern auch noch…

Screenshot der Phishing-Site

…die Kreditkarte für ihre „Geschäfte“ benutzen würden. Und dann hat er sich gefragt, ob es nicht doch ein paar Leute gibt, die da echte Daten eingeben…

Copyright © 1999-2012 PayPal. All rights reserved
PayPal Germany Pty Limited
ABN 93 111 195 389 (AFSL 304962)

Nein, von PayPal ist diese Mail nicht.

Warnhinweis: PayPal-Phishing

Mittwoch, 14. März 2012

Im Moment kommen hier eine ganze Menge englischsprachige Phishing-Spams für PayPal-Nutzer an, die als (gefälschten) Absender service (at) paypal (punkt) com eingetragen haben. Diese Spams haben variierende Texte und sind auffallend stilsicher formuliert. Wenn sie durch den (hoffentlich vorhandenen) Spamfilter kommen, können sie wegen des Absenders von der Mailsoftware in einen Ordner mit echten Mails von PayPal einsortiert werden.

Wenn sie eine Mail „von PayPal“ bekommen haben, die von Unregelmäßigkeiten in ihrem PayPal-Konto spricht: Keine Panik! Die Mail kommt mit an Sicherheit grenzender Wahrscheinlichkeit nicht von PayPal.

Es ist immer noch recht einfach, die Phishing-Versuche zu erkennen.

  1. PayPal spricht seine Kunden immer namentlich an, die Spams kommen aber mit einer unpersönlichen Ansprache.
  2. Der Link geht nicht auf die PayPal-Website. Das sieht man, wenn man beim Überstreichen des Links mit dem Mauszeiger in die Statusleiste seiner Mailsoftware schaut.
  3. Die Begründungen, dass man etwas „verifizieren“ muss, weil PayPal irgendwelche nicht näher bezeichnete Auffälligkeiten bemerkt haben will, sind hanebüchen und sollen vor allem technisch weniger versierte PayPal-Nutzer verunsichern.

Also nochmal: Keine Panik!

Bei Webdiensten, bei denen es um „richtiges Geld“ geht: Niemals auf einen Link in einer Mail klicken, sondern immer die Adresse von Hand in die Adressleiste des Browsers eingeben! Egal, wie überzeugend diese Mail aussieht, und unabhängig davon, ob man persönlich angesprochen wurde oder nicht. Mit dieser sehr einfachen Vorsichtsmaßnahme kann man wirksam verhindern, dass man in einem Moment der Verunsicherung Zugangsdaten in die Hände von Kriminellen gibt – und das kann einem eine Menge Ärger und Geld sparen.

Wer für PayPal (und vergleichbare Dienste) eine eigens eingerichtete Mailadresse benutzt, die an keiner anderen Stelle angegeben wird, baut eine wichtige zusätzliche Sicherung ein, da eine solche Mailadresse nicht so leicht in die Datenbanken der Spammer geraten kann. Das ist unbedingt empfehlenswert – hilft aber nur, wenn man bei Mails „von PayPal“ auch einen Blick darauf wirft, an welche Mailadresse sich die Nachricht richtet.

Gegen Phishing hilft keine Software. Gegen Phishing gibt es nur ein Mittel: Vernunft.

Deshalb: Niemals in Panik versetzen lassen, niemals unüberlegt in eine Mail klicken, niemals so handeln, wie es die Spammer am liebsten hätten.

Vernunft ist kostenlos, und jeder ist mit der Möglichkeit zur Vernunft ausgestattet.

Unvernunft kann schnell verdammt teuer werden.

Keine Chance den Phishern!

Hinweis: Ihre Kreditkarte ist begrenzt!

Sonntag, 19. Februar 2012

Sehr geehrter Inhaber der Kreditkarte,

Ihre Kreditkarte ist aus Sicherheitsgründen begrenzt.

Wir müssen anualy aktualisieren unsere sistem mit neuen Kreditkarten-Informationen.

Bitte laden Sie das beigefügte Formular aus und füllen Sie alle Schritte.

Ihre Kreditkarte wird automaticaly gesichert und einsatzbereit, nachdem Sie das Formular auszufüllen.

Danke,
© 1994-2012 Visa & MasterCard. Alle Rechte vorbehalten.

Hinweis: Ihre Fähigkeiten sind begrenzt!

Sehr geehrtes Absender der Phishing-Spam,

Ihre Fähigkeiten zum Spammen ist eher begrenzt. Das ist aber auch besser, beecause of das Sicherheit.

Sie transslate Ihren Text mit engischen Schreibfelern mit ein softwar, die unerkannte Informationen untouchet lässt. Vorher haben Sie das gleiche sistema für Spanisch nach Englisch used.

Bitte laden Sie ihren Deutschexperten ein und lassen sie ihn einen Blick auf das reasult werfen, bevor Sie es in millons of Exemplaren absenden.

Ihre Spam wird im Spamblog gesichert und einsatzbereit, zu compare mit Ihre nächste unfassbar dumme Stümperei.

Danke,
© 174 v. Chr. bis 2034 Odin & Ares. Eine ansatzlos geschlagene Rechte wird vorbehalten.

PS: Ach ja, das mit den Umlauten in der angehängten HTML-Datei, das üben wir bitte auch gleich bei dieser Gelegenheit…

Account Review Department

Freitag, 17. Februar 2012

Oh, wie schön, „PayPal“ schreibt mir mal wieder. Zumindest nennt sich der Absender so, aber seine gefälschte Mailadresse accounts (at) intl0 (punkt) payel (punkt) com kann nicht den Eindruck erwecken, dass es wirklich PayPal ist. Hey, Phisher! Wenn du mit deinem Skript schon Mailadressen fälschen kannst, dann schreib da doch die richtige Domain von PayPal rein!

Ach, du befürchtest, dass dann Rückläufer beim richtigen PayPal landen, dass man dort aufmerksam wird und möglicherweise die Kunden in einer Rundmail vor deinem Betrugsversuch warnt? Na, das verstehe ich ja noch.

Aber das du zu glauben scheinst – ich meine ja nur: wenn du schon einen Namen zur Mailadresse angibst – dass der Betreff einer Mail nicht dafür da ist, kurz zu sagen, um was es überhaupt geht, sondern vielmehr dazu, reinzuschreiben, aus welcher Abteilung die Mail kommt… komm Spammer, das ist wirklich schwach! So etwas macht niemand. Weil es sinnlos ist. So etwas wirst du niemals sehen. So etwas erweckt einen klaren Verdacht, bevor man auch nur irgendetwas anderes in der Mail gesehen hat. Du kriegst vermutlich nicht so oft geschäftliche Mails, ne?! :mrgreen:

Thursday, February 16th, 2012

Immerhin, wenigstens eine zutreffende und wahre Angabe steht in der betrügerischen Spam. Das ist nicht selbstverständlich. 😀

Recently, our system has detected unusual charges to a credit card linked to your PayPal account.

Auf eine persönliche Anrede des Kunden wird ebenso verzichtet wie auf die Angabe der betroffenen Kreditkartennummer – zwei Dinge, die das richtige PayPal vermutlich mitteilen würde, wenn PayPal so etwas mit einer Mail mitteilte.

Access to your account was limited for the following reason:

There are activities of which someone tried to access your PayPal account without your permission. To ensure greater security, we have limited access to your account.

Aber wenn ich eine Kreditkarte oder ein Bankkonto mit einem PayPal-Konto verbunden habe, habe ich das doch selbst gemacht. Das richtige PayPal hat sich dafür ein „tolles“ Verfahren ausgedacht, bei dem zwei geringwertige Transaktionen getätigt werden, deren Höhe man in einem Formular auf der PayPal-Site eintragen muss. So wird sichergestellt, dass das Konto richtig angegeben wurde, und zwar vom Menschen, der da Zugriff auf die PayPal-Verwaltung hat. Jemand anders kann das gar nicht. Weil es nicht möglich ist. Deshalb ist es ja auch nicht geschehen, es wird hier nur behauptet, um ein Problem in den Raum zu stellen und den Empfänger zu erschrecken, damit er möglichst wenig vor den folgenden Schritten nachdenkt. Denn er soll natürlich seine Zugangsdaten an Verbrecher übergeben, damit diese damit betrügerische Geschäfte machen können.

Und hier die tolle Gelegenheit, Verbrechern Zugriff auf die Kreditkarte und das PayPal-Konto zu geben:

We have sent you an attachment which contains all the necessary steps in order to restore your account access. Please download and open it in your browser.

Ein Attachment, das also schon mit der Mail mitgekommen ist, soll ich also runterladen. Großes Kino mal wieder.

Es handelt sich übrigens um eine HTML-Datei, die folgendermaßen aussieht:

Screenshot der angehängten betrügerischen Phishing-Seite für PayPal-Kunden

Etwas lustig ist es ja schon, dass es hier keine Spur um PayPal geht, sondern nur um die persönlichen Daten (die PayPal bereits bekannt sind, aber eben nicht den Betrügern, sonst hätten sie überzeugender formuliert) und – im Bild nicht sichtbar – die Kreditkartennummer, ihr Ablaufdatum und die verification number. Tolle Daten für eine betrügerischen Missbrauch der Identität und ein paar Bezahlvorgänge mit anderer Leute Kreditkarten bei Betrugsgeschäften. Jedenfalls für die Verbrecher, die diese Daten bekommen. Denn natürlich gehen die Eingaben in dieses Formular nicht an PayPal, sondern an die folgende Internetadresse mit ausgesprochen beachtlicher Domain:

http (doppelpunkt) (doppelslash) kcdcylykuzszutdhgpdfkzwuridgzxjhwjilletzpexsgallti (punkt) spteiqnaskqliliasnqxikcmenmn (punkt) ru (slash) (tilde) jeremy (slash) sslchecker (punkt) php

Ich befürchte, dass diese großartige Domain, die vermutlich von einem auf die Tastatur herumkloppenden Pavian im Zustand fortgeschrittener Hirnverkäsung registriert wurde, hier nicht korrekt dargestellt wird, sondern mit ein paar zusätzlichen Leerzeichen dazu gezwungen wird, nicht das Layout zu zerstören. Aber dass es sich nicht um PayPal handelt, dürfte auch so klar sein… 😉

Das der Text „Secure Transaction“ zusammen mit dem Schloss keineswegs bedeutet, dass die Daten über HTTPS übertragen werden, erklärt sich von selbst.

Ein Kleiner Schlenker in die angehängte HTML-Datei. Hier haben die Phisher sehr „einfallsreich“ kommentiert, vermutlich, weil sie davon ausgehen, dass vielleicht doch mal jemand einen Blick in den Quelltext werfen könnte. Einen HTML-Kommentare in seiner unerreichten literarischen Qualität möchte ich nicht vorenthalten – wer das zu technisch findet, einfach überlesen. Die Kommentarzeichen lasse ich im folgenden Zitat weg, um den Genuss nicht vom Wesentlichen abzulenken (und mich vom Tippen der HTML-Entities abzuhalten):

PayPal Verification System
Destinated Only For Locked Accounts

Na, wenn das im Anhang einer Spam steht, muss es ja wohl stimmen… 😀

Wirklich „schön“, dass hier wirklich für jeden Leser ein bisschen was geschrieben wurde.

Aber wieder zurück zur Spam:

(The locator for this issue is PP-388-572-660)

Diese Angelegenheit befindet sich in der Unimatrix Zero.

We thank you for your prompt attention to this matter. Please understand that this is a security measure intended to protect you and your account. We apologise for any inconvenience.

Zum Abschluss bedanken sich die Betrüger noch einmal, dass es immer wieder Leute gibt, die so angstdoof und unerfahren sind, dass sie auf Phishing reinfallen, obwohl das nicht gerade die neueste Masche ist. Natürlich handelt es sich um eine reine Sicherheitsmaßname, nur zum Besten des Opfers und seines Kontos. Eine kleine Entschuldigung wird auch druntergeklatscht.

Thank you,
PayPal Account Review Department

Nochmal vielen Dank von
Deinen Phishing-Stümpern

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.