Kategoriearchiv „Phishing“

Sehr geehrter PayPal Kunde,

Donnerstag, 15. Oktober 2009

Ja, dieser Betreff endet wirklich mit einem Komma!

Sehr geehrter PayPal-Mitglied,

Und mit der simplen Tatsache, dass „Mitglied“ in der deutschen Sprache von sächlichem Geschlechte ist, kennen sich diese Verbrecher auch nicht aus. Den bei PayPal wohlbekannten Namen, der in jeder echten Mail von PayPal erwähnt wird, können sie in ihrer millionenfachen Massenpost natürlich auch nicht kennen.

Vor kurzem haben wir bemerkt, ein oder mehrere Versuche, sich in Ihr PayPal-Konto anmelden aus einer fremden IP-Adresse.

Auch das sonstige Deutsch ist mal wieder ein bisschen holprig…

Wenn Sie Zugriff auf Ihr Konto vor kurzem wдhrend der Reise, die ungewцhnliche Login-Versuche gewesen sein mag, die Sie gestartet.

…und auch die Angabe der korrekten Codepage für die Darstellung deutscher Umlaute ist diesen Idioten gründlich missglückt.

Jedoch, wenn Sie der rechtmдЯige Inhaber des Kontos, klicken Sie auf den untenstehenden Link, um auf das Konto anmelden und den Anweisungen folgen.
https://www.paypal.com/de/cgi-bin/webscr?cmd=login

Die nicht besonders toll formatierte Mail ist natürlich im HTML-Format verfasst, und diese tolle Adresse ist nicht etwa ein Link auf diese tolle Adresse, sondern geht auf ein gehacktes Forum. In diesem Forum war eine Datei mit dem Namen pp.html hinterlegt, die der Login-Seite von PayPal sehr ähnlich sah. Ich schreibe das in der Vergangenheit, weil ich den Betreiber des Forums sofort darüber informiert habe, und der hat daraufhin etlichen kriminellen Dreck aus seinem Forum gelöscht, damit nicht noch mehr Schaden durch das Phishing entsteht und dabei hoffentlich auch mal seine Software aktualisiert. Das empfehle ich übrigens zur Nachahmung, wenn man einen Rechner hat, der besonders gesichert ist, so dass ein Klick in eine Spam gefahrlos ist. (Die bloße Existenz eines Virenscanners und einer Firewall ist keine ausreichende Sicherung.)

Die eingegebene Mailadresse und das Passwort gehen natürlich nicht zu PayPal, sondern auf die Website von Verbrechern. Die werden damit Dinge anfangen, die sich kein Kunde bei PayPal wünschen kann.

Wenn Sie sich dafьr entscheiden, das Ersuchen zu ergдnzen, geben Sie uns keine andere Wahl, auf Ihr Konto vorьbergehend auszusetzen. Es dauert mindestens 72 Stunden fьr die Untersuchung in diesem Fall und wir empfehlen Ihnen, Ihr Konto zu diesem Zeitpunkt zu ьberprьfen.

Sondermüll sofort löschen! Denn…

Thank you for using PayPal!
PayPal Account Review Department
PayPal Email ID PP232

…PayPal hat damit nix zu tun. (Und so etwas wie eine „PayPal Email ID“ ist ein sehr dürftiger Ersatz für eine persönliche Ansprache.)

CITIBANK.DE – Wir sind froh, 25 Euro auf Ihr Konto zu uberweisen (50LC1T)

Freitag, 24. Juli 2009

[Das hier heißt „Unser täglich Spam“, und der Citibank kann man vielleicht manches Schlechte nachsagen, aber noch nicht, dass sie unter die Spammer gegangen ist. Diese Mail kommt nicht von der Citibank. ]

Na, da hat sich ein Phisher aber mal richtig Mühe gegeben. Die Mail sieht wirklich überzeugend aus, das Corporate Design der Citibank ist sehr gut getroffen. Und die meisten Links in der Mail führen auf die Website der Citibank – mir „nur“ zwei Ausnahmen.

Der erste Link sieht so aus:

Wer darauf klickt, kann alle Hoffnung fahren lassen.

Und der zweite Link ist ein bisschen größer und praktisch der Ersatz für eine textuelle Mitteilung in dieser Spam:

[Für Originalgröße auf die Grafik klicken…]

Bei einer solchen Präsentation wundert sich kein Opfer mehr darüber, dass es nicht namentlich angesprochen wird. Dass der Absender sich den nicht gerade deutschen Namen „Dispenses U. Profiled“ [ja, wirklich] gegeben hat, wird wohl auch niemand bemerken. Und denn werden da so freundlich 25 Euro angeboten, dass man gar nicht mehr merkt, dass dieses „Wir sind froh“ nicht gerade nach der Sprache eines in Deutschland lebenden Autoren klingt – und dann fällt auch dieses „uber“ auf, über dem irgendwie so zwei Pünktchen fehlen. Dafür klebt ein dicker roter Punkt ganz unpassend im Text. Aber das kann man alles schon einmal übersehen, vor allem, wenn man gerade mit dem Geld ein bisschen eng ist, und dann klickt man entweder auf die große Grafik oder auf das Feld „Login“ und will sich seine 25 Euro abholen…

Und. Das wird teuer!

„Login“ führt auf die Domain 2b3.com, und die große Grafik auf die Domain chatroom.us.com – beides gewiss keine Internetadressen, die von der Citibank für die Kommunikation mit den Kunden benutzt werden. Dort kann man sich dann „anmelden“, und es wird bestimmt alles sehr ähnlich wie bei der Citibank aussehen. Die eingegebenen Daten gehen direkt in die Hände von Verbrechern, und die werden damit etwas anzufangen wissen, was sich kein Kontoinhaber bei irgendeiner Bank wünschen kann.

Also: Diesen Sondermüll sofort löschen. Kunden der Citibank sollten ihre Bank darüber informieren, damit andere Kunden gewarnt werden – ich halte so etwas nicht für meinen Verantwortungsbereich und bin nicht dafür da, irgendwelchen Bankhäusern kostenlos ihre Probleme zu lösen.

Erheiternd fand ich den Prosatext in der HTML-Mail, der mit CSS unsichtbar gemacht wurde, um diese Mail besser am Spamfilter vorbei zu mogeln. Er enthielt unter anderem die bemerkenswerte Zeile „Vertra:umte Polizisten watscheln bei Laternen“ – *prust!*

Auch keine Lösung

Mittwoch, 15. Juli 2009

Den folgenden Screenshot stammt von einer gehackten Website. Ich bin mit einer französischen Phishing-Spam auf diesen Hack aufmerksam geworden – natürlich geht es einmal mehr um PayPal.

Wer auf den Link in der französischen Mail geklickt hat und hier nun einen Login versucht, der ist aufgeschmissen. Natürlich ist das nicht die PayPal-Website, und natürlich gehen Mailadresse und zugehöriges Passwort nicht zu PayPal, sondern an ein Skript namens Submit.php auf dem gleichen Server. Dieses Skript wird die Daten wohl mit einer Mail an die Verbrecher weitergeben, und schon haben diese frische, neue Konten für ihre Betrugsgeschäfte.

Aber um eines möchte ich jeden Leser noch bitten. Klickt doch mal bitte auf das Bild, um es in vollständiger Größe zu betrachten und schaut auf die Adresszeile des Browsers. Das ist doch mal eine Botschaft: „Kein Alkohol ist auch keine Lösung“ – stimmt, wenn man hier das Phishing nicht erkennt, ist jede Hoffnung verloren, da kann man sich auch getrost das Hirn wegsaufen…

Der Betreiber der Website ist natürlich von mir eben über den kriminellen Hack unterrichtet worden, damit dieser Mist schnell wieder verschwindet.

Details Request

Dienstag, 14. Juli 2009

Im Moment haben es die Phisher aber auch! Und immer wieder sollen PayPal-Kunden mit dieser Nummer übers Ohr gehauen werden, zum Beispiel mit einer (gerade frischen) Mail wie dieser:

Due to upcoming August 2009, and recent changes in PayPal’s Service Agreement you need to submit additional details on your PayPal account.

„Natürlich“ kommt das ohne jede Anrede, nicht einmal mehr zu einem „Dear Customer“ in seiner Peinlichkeit lässt sich der Betrüger hinreißen. Niemand würde einen derart kalten Ton gegenüber seinen Kunden pflegen, nicht einmal PayPal.

Merke: Wenn eine Mail von eBay, PayPal oder sonstwen zu kommen vorgibt, mit dem man Geschäfte macht, und wenn diese Mail nicht einmal mit einer persönlichen, namentlichen Anrede kommt, ist es immer Betrug.

Starting from 2009 all PayPal accounts will come with complete detailed information! Identity protection matters. And PayPal works day and night to help keep your identity safe.

Irgendeinen Grund dafür gibt es nicht. Aber viel Bullshit, um das zu verbergen.

Übrigens: Wenn PayPal seine AGBs (oder hier: sein „Service Agreement“) ändert, bekommen alle Kunden eine Mail mit einem Hinweis auf die neuen Bedingungen – und jeder dieser Kunden wird in jeder dieser Mails namentlich angesprochen.

Secure Server Identity protection matters. Get Verified

Wer da klickt, hat verloren.

Der Link aus der Spam geht nicht etwa auf die Website von PayPal, sondern auf einen Rechner mit der IP-Adresse 218.61.13.33 – und im Gegensatz zu allen Dingen von PayPal wird auch nicht verschlüsseltes HTTPS, sondern ganz ordinäres HTTP verwendet. Es handelt sich um die Website von Betrügern. Diese Website wird auf dem ersten Blick wie PayPal aussehen, und da kann man dann einen Login versuchen… die Verbrecher freuen sich über das Passwort. Endlich wieder ein neues Konto für kriminelle Geschäfte.

Und damit das Opfer auch nicht nachdenkt…

According the new changes in Service Agreement any unverified account will be deleted from the system in 72 hours after receiving this letter.

…schnell noch die Löschung des Kontos androhen, wenn da nicht in 72 Stunden auf den verbrecherischen Link geklickt wird. Angst macht schließlich dumm.

Glaubt wirklich jemand, dass irgendein Unternehmen so kalt und unhöflich mit seinen Kunden umspringen würde?

ACHTUNG: Angesichts der wirklich vielen Versuche des PayPal-Phishings kann ich nur warnen, wenn irgendeine Mail vorgibt, von PayPal zu kommen. Auf keinen Fall zu einem vorschnellen Klick hinreißen lassen! Und schon gar nicht, wenn diese Mail ohne persönliche, namentliche Ansprache ist! Es handelt sich beinahe immer um einen Betrugsversuch. Wenn man sich einmal über die Natur der Mail unsicher ist: Immer Kontakt mit dem Kundenservice bei PayPal aufnehmen und auf keinen Fall auf irgendwelchen Websites, zu denen man mit einer Mail gelotst wurde, irgendwelche Passwörter eingegeben! Darüber freuen sich nur Verbrecher. Immer die PayPal-Seite aufrufen, indem man selbst die Adresse in den Browser eingibt (auch keine „Favoriten“ oder „Lesezeichen“ benutzen, so etwas ist für kriminelle Angreifer manipulierbar)! Mit diesen einfachen Vorsichtsmaßnahmen kann man relativ leicht einen nennenswerten finanziellen Schaden verhindern. KEINE CHANCE DEN PHISHERN!

Microsoft has released an update for Microsoft Outlook

Mittwoch, 24. Juni 2009

Dies ist eine dringende Warnung. Die folgende Mail stammt nicht von Microsoft, und der darin angegebene Link führt nicht auf die Homepage von Microsoft, sondern auf die Homepage von kriminellen Spammern. Was passieren kann, wenn man sich von diesen Schurken Software herunterlädt, sollte niemand selbst ausprobieren.

Critical Update
Update for Microsoft Outlook / Outlook Express (KB910721)

Brief Description
Microsoft has released an update for Microsoft Outlook / Outlook Express. This update is critical and provides you with the latest version of the Microsoft Outlook / Outlook Express and offers the highest levels of stability and security.

Instructions

To install Update for Microsoft Outlook / Outlook Express (KB910721) please visit Microsoft Update Center:
http://update.microsoft.com/microsoftofficeupdate/isapdl/default.aspx?ln=en-us&id=88447083026050659604587117421352589049566726823131

Quick Details

File Name: officexp-KB910721-FullFile-ENU.exe

Version: 1.4

Date Published: Tue, 23 Jun 2009 16:53:46 -0300

Language: English

File Size: 81 KB

System Requirements

Supported Operating Systems: Windows 2000; Windows 98; Windows ME; Windows NT; Windows Server 2003; Windows XP; Windows Vista

This update applies to the following product: Microsoft Outlook / Outlook Express

Contact Us

© 2009 Microsoft Corporation. All rights reserved.
Contact Us |Terms of Use |Trademarks |Privacy Statement

Einmal ganz davon abgesehen, dass jedem auffallen könnte, dass Microsoft keine Updates für Windows 98 mehr anbietet, ist diese kriminelle Spam durchaus professionell gestaltet und bildet den Microsoft-Stil gut nach:

Alle Links mit Ausnahme des angeblichen Download-Links für ein Update führen zu Microsoft. Der Download-Link ist eine URL, die in einer HTML-formatierten Mail mit einem Link auf eine andere Site versehen wurde. Der Domainname dieser Site beginnt ebenfalls mit update.microsoft.com, dies ist allerdings eine Subdomain innerhalb der Domain ill1ki1.net – das kann beim schnellen Überfliegen schon einmal übersehen werden. Wer alarmiert genug ist, wird wohl auch nicht bemerken, dass die Mail gar nicht an ihn gerichtet ist und dass Microsoft es verabsäumt hat, den Hinweis auf den Update auf der Firmenhomepage zu verlinken. Generell sendet Microsoft derartige Mails niemals unverlangt heraus.

Was man dort, auf der verlinkten Website, als „Update für Outlook“ betrügerisch angedreht kriegt und sich auf dem Rechner installieren soll, will ich mir gar nicht anschauen. Es handelt sich gewiss nicht um Dinge, die sich jemand freiwillig, ohne eine derartige Überrumpelung, auf den Rechner spielen würde. Outlook wird davon jedenfalls nicht stabiler und sicherer, aber die Spam-Mafia wird sich durch gezielten Rechnermissbrauch gewiss stabile und sichere Einnahmen zu holen verstehen.

Also: Diese Mail sofort löschen und andere Menschen davor warnen! Vermutlich wird diese Masche in den folgenden Tagen mehrfach versucht werden, auch für andere Programme und mit geringfügigen Änderungen in Details. Eventuell wird es auch eine deutsche Version des Textes geben. Wachsam bleiben und nicht in Panik versetzen lassen, wenn Updates für kritische Sicherheitslücken als unbedingt erforderlich empfohlen werden, dies aber in Form einer Spam geschieht. Es handelt sich immer um einen Betrug, und wer darauf hereinfällt, wird immer zu Schaden kommen.

Phishing: Click to play

Montag, 15. Juni 2009

Dies ist eine typische Phishing-Spam des „Web Zwo Null“, wie man sie als „Nachricht“ bekommen kann, wenn das Profil eines „Freundes“ in einem so genannten „social network“ von Verbrechern übernommen wurde. Dieses Beispiel stammt aus MySpace, die gleiche Masche geht aber fast überall und wird wohl auch fast überall angewendet:

Es handelt sich hier nicht um einen Videoplayer, sondern um eine eingebettete, verlinkte Grafik, die wie ein Videoplayer aussieht. Ich habe diesen Phishing-Versuch auch mit einem animierten GIF gesehen. Wenn man darauf klickt, landet man auch nicht bei einem Video, sondern auf einer nachgemachten Login-Seite von MySpace, die nur durch ihre überlange Adresse (beginnt mit myspace.com) verrät, dass hier etwas nicht stimmen kann. Das Ziel dieses kriminellen Angriffes ist es, dass das Opfer seine Mailadresse und sein Passwort auf der Website von Verbrechern ablegt – diese können damit mindestens ein MySpace-Profil übernehmen, um auf die gleiche Weise weitere Opfer zu finden.

Mit dem MySpace-Profil lässt sich aus der Sicht der Kriminellen schon einiges anfangen, nicht nur weiteres Phishing. Zum Beispiel kann man eine „Werbung“ darin unterbringen, wie ich sie etwa beim „Absender“ der tollen „Video-Nachricht“ im Profil gefunden habe:

So sehr sich das einige Menschen auch wünschen mögen: Dass man bei diesem „Versender“ [URL von mir unkenntlich gemacht] weder billige Kiffe kriegt, die überdem durch einen Urintest nicht nachweisbar ist, noch überhaupt etwas für sein Geld kriegt, dürfte wohl klar sein. Mit Spammern kann man nicht ins Geschäft kommen, man wird nur betrogen. Aber bei einigen Kiffern setzen ja die Verstandesfunktionen schon aus, wenn sie nur eine prächtige Blüte auf einem Bild sehen.

Dieses eine Ad ist übrigens nur ein besonders hervorstechenes „Fundstück“ im übernommenen Profil, es gab noch etliche mehr. Zu diesem ganzen Zeug zum Thema Drogen, Pr0n und Zocken standen die unveränderten Daten des „Freundes“. Wenn man sich gerade um einen Job bewirbt, kann dies alles doch einen etwas schrägen Eindruck hinterlassen, der meist nicht förderlich sein wird… 😉

Da viele Menschen überdem an allen möglichen Stellen im Internet das gleiche Passwort benutzen, können die Spammer oft noch einiges mehr anrichten. In einigen Fällen wird mit den so gewonnenen Daten eine direkte Anmeldung bei PayPal möglich sein, und dann kann mit betrügerischen Transaktionen das Konto geplündert werden. Die Spammer wären dumm, wenn sie es nicht einfach versuchen würden.

Und das alles nur, weil man durch ein scheinbares Video überrumpelt wurde, sein Passwort preiszugeben. Wer das gehackte Profil besucht, erhält diese Möglichkeit gleich noch einmal:

Schließlich setzt ja auch beim Anblick praller Backen bei vielen Menschen der kritische Verstand aus – da übersieht man auch mal schnell, dass der gegenwärtige YouTube-Player doch ein etwas anderes Layout bekommen hat. Schön, dass man von so einem Arsch daran erinnert wird, wie YouTube einmal aussah.

(Übrigens: Wie die Spammer hier den scheinbaren „Abspielen“-Pfeil platziert haben, das ist psychologisch einfach gelungen und sehr perfide! Darauf wird schon geklickt, weil er weg soll.)

WICHTIGE HINWEISE GEGEN PHISHING

Wenn man bei MySpace, FaceBook oder was auch immer angemeldet ist, denn braucht man sich nicht nochmal anzumelden. Wenn man nach irgendeinem Klick in einer Anmeldeseite landet und sein Passwort eingeben soll, dann sollten die Alarmglocken läuten. Einfach in einem weiteren Tab (oder Browserfenster) die Startseite von MySpace, FaceBook oder was auch immer aufrufen und nachschauen, ob man noch angemeldet ist. Wenn dies der Fall ist, hat man gerade einen Phishing-Versuch erlebt, die scheinbare Abmeldung war nur vorgetäuscht.

Wenn dieser Phishing-Versuch von einem offen sichtbaren Profil ausging, dann wurde dieses Profil wahrscheinlich von Kriminellen übernommen. Es hat keinen Sinn, dem Inhaber des Profils eine Nachricht zu senden, denn er wird diese gar nicht mehr erhalten. Vielmehr müssen die Betreiber der Site, also MySpace, FaceBook oder was auch immer sofort auf die missbräuchliche Verwendung des Profils aufmerksam gemacht werden, damit kein weiterer Schaden angerichtet wird. Solche Profile werden in der Regel binnen weniger Minuten gesperrt.

Das gleiche gilt, wenn man – wie im hier gegebenen Beispiel – durch die Nachricht eines „Freundes“ zum Opfer gemacht werden sollte. Das Profil des „Freundes“ ist übernommen und sollte sofort gemeldet werden, damit es nicht zu weiteren Schäden kommt.

Persönliche Mitteilungen im „Web Zwo Null“, die scheinbar ein Video enthalten, sind verdächtig. Das gleiche gilt für die Teilnahme an Online-Gewinnspielen und Umfragen, auch darüber habe ich schon Phishing-Versuche erlebt. In diesen Zusammenhängen ist also erhöhte Aufmerksamkeit gefragt – und wenn nach dem Klick ein Passwort eingegeben werden soll, denn handelt es sich beinahe immer um Phishing.

MySpace-Nutzer aufgemerkt! Es gibt keinen einzigen funktionierenden Besucher-Tracker für MySpace, aber es gibt ein paar Betrüger-Seiten [Ratet mal, warum ich die nicht verlinke…], die so tun, als gäbe es dort einen. Was meint ihr wohl, was die mit dem dort einzugebenden MySpace-Passwort tun werden? Wer auf die unendlich doofe Idee kommt, sich von Leuten, die so etwas anbieten, auch noch Software auf den eigenen Rechner zu spielen, für den kommt jede Hilfe zu spät. Er sollte seinen Computer verkaufen und sich fortan mit einem Matchbox-Auto oder einem Brummkreisel begnügen. Dieser Absatz ist keine Satire. Die Dummheit vieler (wohl gemerkt: nicht aller) MySpace-Nutzer leider auch nicht. Wer seine Zugangsdaten frei Haus liefert, nur, um eine sinnfreie technische Spielerei betreiben zu können, der braucht ja nicht einmal mehr die minimale betrügerische Anstrengung des Phishings, um zu seinem Schaden zu kommen.

Auf keinen Fall für alle Seiten im Internet das gleiche Passwort verwenden, sonst wird der Schaden durch einen einzigen kompromittierten Account schnell immens. Das bisschen Mehraufwand mit verschiedenen Passwörtern ist schnell bares Geld wert, wenn es einmal darauf ankommt. Wer sich nicht für jede Seite ein neues Passwort merken kann, der sollte zumindest überall dort, wo es um direkt oder indirekt Geld geht, jeweils sichere und einzigartige Passwörter benutzen.

Und mehr ist auch nicht nötig. Das kann jeder. So einfach ist der Schutz.

Immer mehr PayPal-Phishing

Sonntag, 14. Juni 2009

Die Tatsache, dass es sich hier um eine mittlerweile uralte Nummer im Betrug handelt, bedeutet leider noch lange nicht, dass auch jeder die betrügerische Absicht erkennt. Die bloße Menge derartiger Versuche in den letzten Tagen ist Grund genug, noch einmal deutlich zu warnen.

Da kriegt man eine Mail, angeblich von „PayPal“, mit dem schröcklichen Betreff „Account Has Been Limited“ mit erschreckenden Hinweisen, beinahe so, als hätte jemand versucht, den Account zu hacken:

Security Center Advisory!

PayPal is constantly working to ensure security by screening accounts daily in our system. We recently reviewed your account, and we need you to verify information to help us provide you with secure service. Until we can collect this information, your access to sensitive account features will be limited or terminated. We would like to restore your access as soon as possible, and we apologize for the inconvenience.

Why is my account access limited?

Your account access has been limited for the following reason(s):

June 09, 2009: We have reason to believe that your account was accessed by a third party. Because protecting the security of your account is our primary concern, we have placed limited access to sensitive PayPal account features. We understand that this may be an inconvenience but please understand that this temporary limitation is for your protection.

Hinter der formellen Sprache und dem etwas alarmierenden Einstieg „Security Center Advisory“ wird allerdings verborgen, dass der Empfänger dieser Mail nicht persönlich angesprochen wird. Das können die Spammer auch gar nicht, denn dieser Schrieb geht wie Schrotmunition millionenfach raus, sogar an Menschen, die gar kein Konto bei PayPal haben. Auch die Tatsache, dass diese Mail gar nicht von PayPal kommt, sondern (in diesem einen Fall) von einer Mailadresse der Domain 3033000424.com, kann ein alarmierter Empfänger leicht übersehen – um dann in geistloser Panik der folgenden Aufforderung Genüge zu tun:

Click here to Remove Account Limitations

Completing all of the checklist items will automatically restore your account to normal access.

Der anklickbare Link führt nicht auf die Homepage von PayPal. Auch die folgenden Links…

Thank you for using PayPal! The PayPal Team

Please do not reply to this e-mail. Mail sent to this address cannot be answered. For assistance, log in to your PayPal account and choose the „Help“ link in the footer of any page.

To receive email notifications in plain text instead of HTML, update your preferences here.

PayPal Email ID PP186

…haben – ganz genau wie diese betrügerische Mail – nichts mit PayPal zu tun. Sie führen im Original auf eine Seite, die unter einer reichlich kryptischen URL abgelegt ist und die so gestaltet ist, dass man sie auf dem ersten Blick für die Login-Seite von PayPal halten könnte. Wer in die Adresszeile seines Browsers schaut, wird freilich merken, dass es sich nicht um PayPal handelt. Dort „darf“ das Opfer dann seine Mailadresse und sein PayPal-Passwort eingeben und glauben, dass es sich damit „anmeldet“, in Wirklichkeit kommen jedoch die Verbrecher aus der Spam-Mafia in den Besitz dieser Daten und werden fortan über das auf diese Weise geenterte PayPal-Konto ihre betrügerischen Geschäfte machen. Je nach individueller Konfiguration in PayPal kann der daraus entstehende Schaden immens sein, er beläuft sich jedoch auch im harmlosesten Fall auf einige hundert Euro. Geld, mit dem man sicherlich etwas besseres anfangen möchte, als es solchem menschlichen Abschaum in den Rachen zu werfen.

Die folgenden Hinweise am rechten Rand der HTML-formatierten Mail sind reinste Realsatire…

Protect Your Account Info

Make sure you never provide your password to fraudulent persons.

PayPal automatically encrypts your confidential information using the Secure Sockets Layer protocol (SSL) with an encryption key length of 128-bits (the highest level commercially available).

PayPal will never ask you to enter your password in an email.

For more information on protecting yourself from fraud, please review our Security Tips at www.paypal.com/securitytips

Protect Your Password

You should never give your PayPal password to anyone, including PayPal employees.

…denn wenn man der Aufforderung in dieser Phishing-Mail gefolgt ist, hat man genau das getan, wovor gewarnt wird: Man hat sein Passwort an betrügerische Schurken gegeben.

Wer auf diese kriminelle Masche reingefallen ist, sollte sofort Kontakt mit PayPal aufnehmen, um den Schaden zu begrenzen – und eine Strafanzeige wegen Betruges erstatten. Es ist zwar nicht zu erwarten, dass diese Verbrecher jemals ermittelt und vor ein Gericht gestellt werden, aber ohne die Strafanzeige geschieht eben gar nichts. Wenn sich die eigene Bank oder PayPal nicht als kulant erweisen, wird man die erlittenen finanziellen Verluste wohl hinnehmen müssen.

WICHTIGE HINWEISE GEGEN PHISHING

Der beste Schutz gegen Phishing ist ein ruhiger und besonnener Verstand bei allen Arbeiten am Computer. Dieser kann durch nichts ersetzt werden.

Immer daran denken, dass jeder mit dem Internet verbundene Rechner ein potenzieller Opfer-Rechner ist. Ob ein bestimmter Rechner angesichts einer gewaltigen und einträglichen Kriminalität auch wirklich zum Opfer wird, hängt in erster Linie vom Menschen ab, der mit diesem Rechner arbeitet. Vertrauen gegenüber einem unbekannten und nicht klar identifizierbaren Gegenüber ist oft eine gefährliche Haltung, und blindes Vertrauen – vor allem, wenn es dabei um Geld geht – eine dumme. Augen auf im Datenverkehr!

Weder das Design einer Mail noch der angegebene Absender einer Mail geben zuverlässigen Aufschluss über die wirkliche Herkunft. Das Design einer beliebigen Unternehmung kann mit sehr geringem Aufwand nachgeahmt werden, die Adresse des Absenders einer Mail kann beliebig gefälscht werden. Bei einer unsignierten Mail ist der Absender niemals bekannt.

Ein Internet-Betrüger legt es auf Überrumpelung an, da er mit ruhigem und besonnenem Verstand meist schnell als Betrüger erkannt würde. Deshalb stehen in typischen Phishing-Mails häufig alarmierende Dinge und Warnungen vor unerwünschten Folgen, wenn der Empfänger nicht schnell reagiert, zum Beispiel die Sperrung von Online-Diensten einer Bank oder sonstige Einschränkungen einer oft täglich benutzten Funktion. Beim Lesen solcher Passagen niemals in Alarmstimmung kommen, sondern ruhig und besonnen bleiben! Dies gilt besonders dort, wo es direkt (etwa bei PayPal oder einer Bank) oder indirekt (etwa bei eBay) um Geld geht. Auf keinen Fall unüberlegt in einer solchen Mail herumklicken! Wo die Betrüger eine Beschleunigung wollen, um der Vernunft seiner Opfer keine Chance zu lassen, sollte man selbst um Entschleunigung bemüht sein. Nichts ist so heiß, wie es gekocht wird.

Die zurzeit zuverlässigste Möglichkeit, eine Phishing-Mail zu erkennen, ist gleichzeitig auch die einfachste – das ist angenehm. Der Empfänger wird nicht persönlich und namentlich angesprochen. Keine Bank und kein anderes Unternehmen würde auf die persönliche Ansprache der Kunden verzichten. Wo eine solche Ansprache fehlt, handelt es sich immer um einen Betrugsversuch. Natürlich kann man bei einem international tätigen Unternehmen wie PayPal auch davon ausgehen, dass man im Falle eines Falles immer in seiner eigenen, bei PayPal konfigurierten Muttersprache angemailt würde.

Auch, wenn eine vergleichbare Mail mit persönlicher Ansprache kommt, vorsichtig bleiben! Auf dem Schwarzmarkt befinden sich etliche vollständige Adressdatensätze mit weiteren persönlichen Angaben, die von den Verbrechern benutzt werden könnten. Wenn irgend etwas ungewöhnlich an der Mail, an ihrem sprachlichen Stil, an ihrem Design ist, immer telefonische Rücksprache halten! Niemals einen Link in einer derartigen Mail anklicken, sondern immer die gewohnte Adresse von Hand in den Browser eingeben, um weitere Aktionen durchzuführen! Vertrauen mag in einer Ehe oder in einer persönlichen Freundschaft gut sein, im Internet ist es unangemessen.

Aus dem letzten Punkt ergibt sich eine weitere, an sich sehr einfache Prävention gegen verfeinerte Betrügereien mit Phishing: Niemals sorglos persönliche Daten rausgeben, die dann zur Handelsware werden können! Weder bei Umfragen am Telefon, noch bei einem Preisausschreiben, noch zur Teilnahme an einem Dienst im Internet, noch für irgendwelche obskuren Rabattsysteme. Wenn sich die Angabe von persönlichen Daten nicht völlig vermeiden lässt, denn wenigstens dafür Sorge tragen, dass diese Daten niemals mit der tatsächlich benutzten Mailadresse zusammengeführt werden können, um einem gerissenen Betrüger eine namentliche Ansprache zu ermöglichen. Wo es um die Angabe von Mailadressen geht, kann man sich mit Leichtigkeit bei einem der vielen derartigen Dienste eine kostenlose Mailadresse beschaffen, die man für keinen anderen Zweck nutzt und einfach wegwirft, wenn sie nicht mehr gebraucht wird. Der „Datenschutz“ ist im Zweifelsfall nicht das Papier wert, auf dem die Zusicherungen gedruckt werden.

Es ist ein guter Schutz, wenn man für die Internet-Adressen seiner Bank, eines Dienstes wie PayPal oder eines Auktionshauses wie eBay keine Lesezeichen (oder beim Internet-Explorer: „Favoriten“) anlegt, sondern diese Adressen stets von Hand tippt. Die Browsereinstellungen können relativ leicht durch kriminelle Manipulation verändert werden. Auf Windows-Systemen ist dieser Schutz allein aber noch nicht ausreichend, da ein krimineller Angreifer (unter anderem) auch eine Hosts-Datei ablegen kann, um diese Adressen zu anderen Servern im Internet umzuleiten. Um dies zu erschweren, sollte man für seine Online-Tätigkeiten niemals ein Benutzerkonto mit administrativen Berechtigungen verwenden. Desweiteren sollte das Mailprogramm, der Browser und andere Internet-Software stets auf einem aktuellen Stand sein, um den Angreifern möglichst wenig Angriffsfläche durch bekannte Fehler und Schwächen zu bieten – und so weit wie möglich, sollte auf den Internet-Explorer verzichtet werden. Die Kombination dieser relativ einfachen Verhaltensweisen zusammen mit einem ruhigen und besonnenen Verstand liefert einen sehr viel besseren Schutz als alle diese Programme, die ihren Anwendern in der Reklame mühelose „Sicherheit“ versprechen.

Ein weiterer, ebenfalls guter Schutz ist es, wenn man für seine Bankgeschäfte, für PayPal und für andere geschäftliche Zwecke jeweils eine spezielle Mailadresse verwendet, die man in keinem anderen Zusammenhang benutzt und die deshalb nicht in die Listen der Spam-Mafia kommen kann. So wird schon an der Empfängeradresse einer Phishing-Mail häufig klar, dass es sich um einen Betrugsversuch handelt. Mailadressen lassen sich bei etlichen Diensten kostenlos einrichten, und für diesen speziellen Zweck muss es sich – anders als im Alltagsgebrauch – nicht um eine besonders einprägsame Adresse handeln. Ganz im Gegenteil, je schwieriger der Aufbau der Adresse für einen Spammer zu erraten ist, desto sicherer ist eine derartige Adresse gegen Phishing.

Sollte man eine Phishing-Mail bekommen, so sollte diese immer an das angeblich absendende Unternehmen weiter geleitet werden (also nicht an die Absenderadresse), damit wenigstens eine Chance besteht, dass Kunden vor dem laufenden, massenhaften Betrug gewarnt werden. Auch erhält das betroffene Unternehmen die Möglichkeit, nach auffälligen Transaktionen Ausschau zu halten und diese gegebenenfalls zu stoppen, wenn es nur von einer aktuellen Phishing-Attacke Kenntnis erhält. Beides geschieht zwar eher selten, aber wenn das Unternehmen gar keine Chance erhält, wird es eben nie passieren – und darüber freuen sich nur die Betrüger. Leider sind die ganzen Sorgfaltspflichten zurzeit einseitig den Kunden solcher Unternehmen aufgebürdet, aber dennoch kann PayPal kein Interesse daran haben, dass sein Ruf als Unternehmen dadurch beschädigt wird, dass dort immer wieder Kunden um teils erhebliche Beträge betrogen werden.

Ganz wichtig: Andere Menschen müssen aufgeklärt werden! Gehen sie nicht zur Tagesordnung über, sondern sprechen sie über solche Angriffe und über einen möglichen Schutz vor solchen Angriffen! Das Internet ist keine Spielwiese der Freaks mehr, bei denen man doch einen gewissen Kenntnisstand voraussetzen konnte, es ist ein Massenmedium, an dem ein großer Teil der Bevölkerung teilhat. Die meisten dieser Menschen sind relativ ahnungslos, und das ist die Chance der Schurken, die diese Menschen betrügen wollen. Da eine solche Aufklärung nicht von den etablierten Massenmedien geleistet wird, müssen wir uns darum kümmern. Besser wäre es, die Tageszeitung würde vor einem gefährlichen Internet-Betrug genau so warnen wie vor einer Bande von Trickbetrügern, die von Haustür zu Haustür streifen, aber das ist zurzeit nicht der Fall. Dass die etablierten Massenmedien in dieser Sache ihrer Verantwortung nicht nachkommen, entbindet aber nicht uns. Deshalb sprechen sie in ihrem persönlichen Umfeld über gefährliche Betrügereien, die ihnen begegnet sind, bloggen sie darüber, und zeigen sie Wege zum Schutz gegen derartige Schweinereien auf. Erst, wenn die betrügerische Spam – und das ist jede Spam, nicht nur Phishing – keinen Erfolg mehr verspricht, wird diese Pest des Internet aufhören.

PayPal-Phishing

Donnerstag, 28. Mai 2009

Nur, um gewarnt zu haben: Inzwischen (nach einer etwas misslungenen ersten Welle) sehen die Phishing-Mails für den Betrug an PayPal-Kunden richtig gut aus:

[Zum Vergrößern auf den Ausschnitt klicken ]

Besonders fröhlich finde ich ja, dass PayPal mich niemals dazu auffordern wird, mein Passwort in eine E-Mail einzugeben. Das ist ja auch nicht der Inhalt dieses Phishings, stattdessen soll ich auf einen Link unterhalb dieser Textes klicken…

Click here to Remove Account Limitations

Completing all of the checklist items will automatically restore your account to normal access.

Thank you for using PayPal! The PayPal Team

…der auf eine Website unter einer russischen Domain führt. Dort kann ich gewiss mein Passwort auf einer Website eingeben, so dass ich es nicht in der Mail tun muss.

Überflüssig zu erwähnen, dass so eine Mail nicht von PayPal kommt. Das kann man bereits daran erkennen, dass man als Kunde nicht persönlich angesprochen wird – darauf würde niemand verzichten, der ein richtiges Geschäft machen will. Die Spammer wissen freilich nichts von meinem Namen, also erschlagen sie mich mit einem Wust toller und den Laien beeindruckender Information über Verschlüsselung und Schutz gegen die Kompromitierung meines PayPal-Accounts. Um genau so eine zu erreichen, wenn ich anbeiße.

Bitte einfach löschen. Und bitte nicht auf die Idee kommen, einen Link in dieser Mail zu klicken. In einem eingebetteten Frame habe ich ein kleines Skript gefunden, das sich unbedingt ein bisschen verstecken wollte. Dieses Skript versucht, die aktuell gespeicherten Cookies über eine nicht ganz durchsichtige Manipulation zu erlangen und diese an eine andere Website weiterzugeben. Ich weiß nicht, mit welchen Browsern dieser Angriff funktioniert und ob er überhaupt funktioniert, aber ich weiß, dass Verbrecher gewiss eine Verwendung für gehackte Accounts bei eBay, irgendwelchem Social-web-Geraffel oder in irgendwelchen Foren haben werden. Aber in ihrem Interesse kann es nicht liegen, wenn ihre Zugänge so missbraucht werden. Es handelt sich hier nicht um eine Mail von Spaßvögeln, sondern um die Tat organisierter, schwer krimineller Menschen, die auf aktuellem technischen Stand sind.

Also nochmal: Bitte einfach löschen.

Danke.