Dear user of PayPal services,

Ja, weiß „PayPal“ denn gar nicht mehr, dass ich Deutsch spreche? Ihre ganze Website in Deutsch, und immer und überall wird man persönlich angesprochen, aber denn schicken „die“ einem eine Mail, und da ist die Anrede unpersönlich und in der falschen Sprache gehalten. Ob das damit zusammenhängt, dass ich „gehackt“ wurde:

This email is to inform you that we had to block your PayPal account because this ip 86.124.16.142 accessed your account 3 times and tryed to change your billing information. We apologise for the inconvenience but the safety of your account is our main priority.

Boah, das ist ja unfassbar. Da hat eine IP dreimal auf meinen Account zugegriffen. An eurer Ausdrucksweise müsst ihr aber noch ein bisschen arbeiten, wenn ihr Erfolg beim Phishing haben wollt!

To remove the limitation login to your PayPal account!

Aber klar doch, dieser Link geht nicht auf paypal.com, sondern auf unam.mx mit etlichen Subdomains davor. Denn das ist euer einziges Anliegen: Massenhaft neue Konten für eure kriminellen und betrügerischen „Geschäfte“ zu kriegen. Wehe dem, der sich von so einer hingestümperten Phishing-Mail erschrecken lässt und wie ein dressierter Hund auf alles klickt, was nur irgend anklickbar ist!

To remove the limitation, read carefully and complete all the steps listed in the link above. Thank you for using PayPal!The PayPal Team

[Formatierung aus dem Original]

Mann, ihr Phishing-Deppen, wenn man die Grußformel zum Abschluss dermaßen plump über das Clipboard reinklatscht, merken es auch die weniger intelligenten Netznutzer, dass mit eurer Mail etwas nicht stimmen kann. Wenigstens eine neue Zeile für den Gruß und eine weitere neue Zeile für die „Unterschrift“ hätte es schon sein können.

Please do not reply to this email. This mailbox is not monitored and you will not receive a response. For assistance, log in to your PayPal account and choose the Help link located in the top right corner of any PayPal page.

Stimmt, das Antworten auf der gefälschten Mailadresse eines kriminellen Spammers ist vollkommen sinnlos. Und denn sind diese Phisher auch noch zu doof, die Phrase „log in to your account“ zu verinken, wie es beinahe jeder Dienst im Internet tut, wenn er HTML-formatierte Mails raushaut.

Wichtiger Hinweis: Da die Phishing-Masche nach fast einem Jahr der Ruhe jetzt wieder häufiger in meinen Spamordner flattert (fast immer PayPal und eBay), kann es eigentlich gar nicht oft genug gesagt werden: Jede Bank und jedes andere Unternehmen, das seine Kunden mit einer Mail anschreibt, wird in dieser Mail seine Kunden persönlich mit ihrem Namen ansprechen. Ohne jede Ausnahme. Wenn eine derartige Mail ohne persönliche Anrede kommt und zudem unter seltsamen Vorwänden dazu auffordert, dass man sich irgendwo einloggen soll, handelt es sich immer um einen Betrugsversuch, um so genanntes Phishing. Die Anmeldeseite unter dem angegebenen Link mag sehr ähnlich aussehen wie die Anmeldeseite der Bank oder des Unternehmens, sie ist es aber nicht. In der Adresszeile des Browsers mag die vertraute Adresse stehen, es handelt sich bei diesem Anblick aber gar nicht um die Adresszeile. (Solche kriminellen Tricks gehen mit dem Internet-Explorer, und allein das ist ein Grund, diese Seuche nicht im Internet zu verwenden.) Alles, was man auf der Seite, geht direkt in die Hände der organisierten Kriminellen, die von massenhaftem Betrug leben. Man hat davon nur Schaden.

Selbst, wenn man in einer derartigen Mail persönlich angesprochen wird, sollte man bei der kleinsten Unsicherheit telefonischen Kontakt zum vorgeblichen Absender aufnehmen. Es ist niemals auszuschließen, dass persönliche Daten irgendwelcher Unternehmen in die Hände von Verbrechern gelangen – denn der Umgang mit Daten aller Art ist im Zeitalter des unseriösen Marketings über Telefon sehr lax geworden, scheißegal, was in den Gesetzen steht. Wenn in einer derartigen Mail, selbst wenn sie mit Namen und Kundennummer kommt, irgendetwas am Stil oder an der Sprache auffällt, lieber auf Nummer Sicher gehen. Fünf Minuten Nachdenken und etwas Vorsicht können niemals schaden, aber schnell einen Schaden von mehreren tausend Euro und jede Menge nachkommenden Ärger abwenden. Gib Phishern keine Chance!

> Dear Customer,

Oh, wie schön, jetzt werde ich nicht nur ohne Namen angesprochen, obwohl ich doch „Kunde“ sein soll, nein, dieser dumme Versuch kommt auch noch als „Zitat“ aus einer anderen Mail daher. Die übliche Streumunition der Phisher, heute in der Darreichungsform „Extra doof“.

The Mosaik MasterCard Online department temporary disabled your account.

After three unsuccessful login attempts your account was temporary disabled until further investigations. All cards (except the temporary cards) from this account are suspended. BMO Bank of Montreal immediately, or you won’t be able to use your cards again.

> Once you have completed these steps, we will send you an email notifying that your account is available again.

The information you provide us is all non-sensitive and anonymous – No part of it is handed down to any third party.

Mann oh Mann oh Mann, was für eine hanebüchene Story! Nicht nur, dass ihr nicht einmal die Zitateinrückung eurer Abschreiberei entfernt habt, ihr habt euch da echt totalen Müll zusammen geschmiert, der seinen „Inhalt“ erst nach einigem Nachdenken offenbart. So fällt nicht einmal mehr der Dümmste auf das Phishing rein.

Sorry for any inconvenience this may cause and thank you for your patience.

Ich habe keine Geduld und entschuldige gar nichts. Spam ist ja schon übel, aber eine derart dumme Phishing-Spam ist einfach nur noch schmerzhaft. Ob da wohl jemand der folgenden Aufforderung nachkommen wird:

> To continue please click the link below:

http://www3.bmo.com/mosaik

Wenn ja, wird er in der Adresszeile seines Browsers sehen können, dass dieser in einer HTML-Mail gesetzte Link nicht gerade nach bmo.com führt, sondern auf den viel weniger vertrauenswürdigen Server login.mrm.mg – da kann man dann schön seine Daten eingeben, damit ihr die Konten plündern könnt.

2009 BMO Financial Group

Die haben gewiss nichts damit zu tun.

Oh, lange keinen Phishing-Versuch mehr gehabt. Die Masche scheint ja jetzt schon so lange nicht mehr benutzt worden zu sein, dass einige verbrecherische Spammer glauben, dass man es wieder einmal versuchen könnte. Diesmal ist es aber nicht die Volksbank, die Raiffeisenbank, die Citibank oder eine Sparkasse, wo die Kunden um ihr Geld betrogen werden sollen, diesmal ist PayPal dran.

Technische Hinweise:

Die Mail mit dem Betreff „PayPal Notification“ sieht zwar in Farbwahl, Logo, Schriftgrößen und Zeichensätzen durchaus stilecht aus, hat aber den sehr unglaubwürdigen Absender „your (at) mail (punkt) com“ – wenn man schon Adressen fälscht, sollte man als Verbrecher vielleicht ein bisschen um Glaubwürdigkeit bemüht sein. Abgesendet wurde diese Mail nicht etwa von einem richtigen Mailserver, sondern von einer dynamisch von AOL vergebenen IP-Adresse, also von einem Botrechner, der feindselig von Spammern übernommen wurde. (Deshalb wird sie bei mir auch zuverlässig als Spam erkannt.) Die Mail ist HTML-formatiert, das PayPal-Logo wird direkt von der PayPal-Website eingebunden, so dass ein guter Mailclient wie der Thunderbird allein schon deshalb einen Hinweis ausgeben sollte, dass das Nachladen externer Grafiken unterbunden wurde, um die Privatsphäre zu schützen.

Die Spammer haben versucht, im Mailheader anzugeben, dass die Mail mit Microsoft Outlook Express 6.0 erstellt wurde. Der Inhalt der Mail widerspricht dem jedoch, da er lediglich über einen HTML-formatierten Teil verfügt – Outlook Express erzeugt die Mail immer in doppelter Ausfertigung, als HTML und als Text, wenn eine HTML-Mail abgesendet wird. (Auch dieser recht häufige Fehler der Spammer führt bei mir zu einem sofortigen Aussortieren des Sondermülls, ich hoffe, dass das überall so ist. Wer es nötig hat, die Angabe seiner Mailsoftware im Header zu fälschen, der hat es nicht nötig, dass ich mich mit seinem Geschreibsel weiter beschäftige. Ich habe Besseres mit meiner Zeit zu tun.)

Kurz: Gnadenlose Stümperei!

Die Mail:

You have 1 new Security Message Alert!

Klar, ich kriege also ein Sicherheitswarnungen. So ganz ohne persönliche Ansprache, obwohl ich Kunde bei PayPal sein soll. Und völlig ohne weiteren Hinweis, um was es sich handelt, obwohl eine solche Warnung doch gewiss ihre Dringlichkeit hätte – es geht ja um Geld.

Das Wort „Gnadenlose Stümperei“ habe ich ja schon geschrieben…

Log In into your account to resolve the problem.

Und dann soll ich das Problem auch noch lösen! Einfach nur, weil eine Mail mit fragwürdigem Absender, der mich nicht einmal namentlich ansprechen kann, dazu auffordert. Und zwar, ohne dass mir auch nur gesagt wird, worin das Problemchen bestehen könnte. Und ohne jeden Hinweis, dass wegen des möglichen Missbrauches eines PayPal-Kontos die Funktion vorübergehend gesperrt wurde. Alles in meiner Verantwortung.

Boah ey, die Spammer haben ja echt Vorstellungen!

Click here to Log In

Und wer da klickt, landet natürlich nicht bei paypal.com, sondern bei einer ziemlich kryptischen Bandwurm-URL, die nicht einmal versucht, vorzuspielen, dass sie die Adresse von PayPal wäre. Diese liegt auf einem Rechner mit der IP 88.97.204.162. Was man dort geboten kriegt, wird gewiss ganz ähnlich wie eine Anmeldemaske von PayPal aussehen (ich habe es nicht ausprobiert, weil ich keinen gut gesicherten Rechner vor mir habe) und dem Opfer die Möglichkeit geben, seinen Usernamen und sein Passwort einzugeben.

Diese Daten gehen natürlich direkt zu den Verbrechern weiter, die dann erstmal über PayPal das Konto belasten. Da man hierfür nicht so umständliche Dinge wie TANs braucht, ist dieser Betrug wesentlich leichter in klingende Münze umzuwandeln als es mit einem gephisten Zugang zu den „richtigen“ Kontodaten möglich wäre. Ob die Betrüger daraus direktes Kapital schlagen, indem sie Geld abheben und über einen Hilfsgeldwäscher bar nach Russland transferieren lassen, oder ob sie damit betrügerische Geschäfte auf eBay machen, um das Geld in Bares zu verwandeln, das wird das Opfer dieses Betruges schon merken.

Wahrscheinlich wird dieses Ding in ein paar Tagen auch in deutscher Sprache an Mailadressen in .de-Domains gehen, um etwas mehr Wirkung zu entfalten.

WICHTIGE HINWEISE ZUM PHISHING: Der beste Schutz gegen Phishing mit massenhaft versendeter Spam ist die Benutzung des eigenen Kopfes. Die Mails von PayPal kommen immer mit einer persönlichen Ansprache, die den dort angegebenen Namen widergibt. Wo eine solche Ansprache fehlt, handelt es sich niemals um eine Mail von PayPal. So etwas sollte unbesehen gelöscht werden. Leider versäumt es PayPal zurzeit noch, seine Kunden auf diese Form des Betruges hinzuweisen und Anweisungen zu geben, wie man Phishing erkennt und einen Schaden vermeidet. Eventuell sollte PayPal deshalb von Kunden, die diese (oder eine vergleichbare) Mail erhalten haben, auf die gegenwärtige Betrugswelle aufmerksam gemacht werden. Generell gibt: Bei Internet-Diensten, die Geld transferieren, niemals auf einen Link in einer Mail klicken, sondern immer die Internetadresse des Dienstes direkt in die Adresszeile des Browsers eingeben, um auch bei besser vorgetregenen Angriffen nicht in die gestellte Falle zu tappen. (Auch diese Vorgehensweise ist nicht völlig sicher, wenn ein durch Schadsoftware übernommener Rechner den Hostnamen nicht korrekt auflöst und stattdessen die Website von Verbrechern lädt. Das Manipulieren der „Lesezeichen“ oder „Favoriten“ ist oft noch einfacher, deshalb immer von Hand eingeben.) Dieses bisschen Prävention kann schnell viel Geld und viel Nervenkraft sparen.

Und heute mal ein Phishing, das nicht auf Bankdaten aus ist, sondern auf die meist relativ kleinen Beträge für Werbeeinblendungen, mit denen sich viele Websitebetreiber ihre Projekte finanzieren wollen.

Die Mail von info (at) adwords-google.com (natürlich ist dieser Absender gefälscht) liest sich so:

Dear Google AdWords Customer,

Bin ich nicht.

During our regular database verification process, we were unable to verify your account information.

Das ist wieder einmal „ganz großes Kino“ bei einem Phishing-Versuch. Kein Name, keine Kundennummer, keine persönliche Ansprache, aber ein technokratisches Gefasel von irgendwelchen Problemen bei der Überprüfung der Datenbank. Wer ein bisschen unerfahren ist, fällt vielleicht sogar darauf rein.

This might be due to one or more of the following reasons:

Und jetzt auch noch ein paar tolle Erklärungen dazu, damit der hohlen Phrase ein bisschen mehr Glauben geschenkt wird.

1. A recent change in your personal information (i.e. change of address)

Ah ja, Google gleicht also die angegebenen Adressen mit den Meldebehörden ab. Denn wenn man Google eine neue Adresse angegeben hätte, denn wüsste Google die neue Adresse schon. Aber hier geht der kriminelle Phisher wohl davon aus, dass immer mehr Menschen der Datenkrake Google so ziemlich alles zutrauen.

2. Submitting invalid information during initial enrollment process.

Und weil das mit dem Umzug nur eine Minderheit betrifft, wird einfach etwas von der Übermittlung ungültiger Informationen fabuliert, ohne dass dazu auch nur ein kleiner Anhaltspunkt gegeben würde, um was es sich dabei handelt.

3. Inability to accurately verify you account information due to an internal error within or database management system.

Und im Zweifelsfall kann es noch ein technisches Versagen im Google-Rechenzentrum gewesen sein. Das klingt auch „sehr glaubwürdig“, vor allem, wenn es so nebulös und unbestimmt gelassen wird.

Jetzt aber zur Hauptsache:

We would require login in to your Google AdWords so that we can verify that you are the rightful owner of the account. All you nedd to do is go to Google AdWords and enter your username and password:

Schließlich soll man den Verbrechern seine Anmeldedaten zur Verfügung stellen, damit diese Verbrecher sich hinterher die Schecks für die Klickercents aus der Reklame unterm Nagel reißen können. Und damit das funktioniert, noch schnell ein Link:

http://adwords.google.com/select/Login

Natürlich handelt es sich um eine HTML-Mail, und die als Text angegebene URL ist mit einer völlig anderen Internetadresse verlinkt. Diese liegt natürlich nicht bei google.com, sondern auf einem viel weniger Vertrauen erweckenden Server ottoggi.co.kr – dort sieht das arme Opfer dann eine Login-Seite, die so aussieht, als käme sie von Google. Klar, dass die dort eingegebene Kombination aus Username und Passwort nicht an Google, sondern direkt in die Datenbank von schäbigen Betrügern geht.

Wer trotz der Durchsichtigkeit dieser primitiven Masche darauf reingefallen ist, sollte sofort Kontakt zu Google aufnehmen, damit dort eventuelle Manipulationen des Accounts rückgängig gemacht werden, bevor ein Schaden entsteht – und eine Strafanzeige wegen Betruges erstatten.

Dass Google mit dieser Mail nichts zu tun hat, sollte klar sein. Ganz im Gegenteil, man wird dort in den nächsten Tagen viel Arbeit wegen dieser Sache haben. Da wirkt die drangeklatschte „Unterschrift“…

Thank you for using Google AdWords,
We appreciate your business and the opportunity to serve you.
Google AdWords Service

…mehr als nur ein bisschen zynisch.

Wichtige Hinweise zum Thema Phishing: Der beste Schutz vor dieser Form des Betruges ist immer noch die Verwendung des eigenen Kopfes. Die Kriminellen, die auf diese Weise betrügen wollen, können ihre Opfer nicht persönlich ansprechen, weder mit einer Kundennummer noch mit einem Namen. Es handelt sich um millionenfach und wahllos versendete Spam; um Schrotmunition, bei der die Betrüger auf einige Zufallstreffer bei weniger erfahrenen Internetnutzern vertrauen. Jeder Unternehmer im Internet (und natürlich auch jede Bank) wird seine Kunden persönlich ansprechen. Deshalb ist es an sich sehr leicht, Phishing zu erkennen, wenn man beim Lesen seiner Mail einen klaren Verstand behält und sich nicht von möglichen finanziellen Verlusten wegen technischer Probleme oder einer „Sicherheitsprüfung“ ins Bockshorn jagen lässt.

Selbst, wenn eine solche Mail einmal völlig echt und überzeugend wirkt und mit einer persönlichen Ansprache kommt: Niemals einen Link in einer Mail anklicken, wenn es um Geld, Bestellungen, Mailaccounts oder Geschäfte aller Art geht. Manchmal kommen kriminelle Spammer an persönliche Daten. Zurzeit sind solche personalisierten Attacken noch selten, aber das könnte sich schon in naher Zukunft ändern. Daten aller Art werden auf einem stetig wachsenden Schwarzmarkt gehandelt, und es ist so gut wie sicher, dass die Verbrecher der Spam-Mafia sich bereits für die nächsten Phishing-Attacken ausgestattet haben. Immer die Internet-Adresse des jeweilgen Dienstes direkt in den Browser eingeben, und dabei auch nicht auf die leicht manipulierbare Lesezeichen-Funktion (IE-User lesen hier: Favoriten) des Browsers zurückgreifen. Selbst das schafft keine abschließende Sicherheit, wenn etwa die hosts-Datei des Rechners manipuliert wurde – um dies zu erschweren, sollte gängige Internet-Software (Browser, Mailclient, IM-Client etc.) niemals mit einer Benutzeranmeldung verwendet werden, die administrative Rechte am Computer hat. Diese sehr einfachen Maßnahmen schaffen zwar – genau so wie etwa ein Türschloss, das man abschließt, wenn man die Wohnung verlässt – keine vollkommene Sicherheit, aber sie erschweren den Kriminellen ihr hinterhältiges Handwerk.

Wenn der Stil der Mail eines Geschäftspartners einmal nur ein wenig vom gewohnten Stil abweichen sollte, immer eine nach Möglichkeit telefonische Rückfrage machen – vor allem, wenn zusätzlich aus obskuren Gründen zu irgendwelchen Logins aufgerufen wird. Jeder Anbieter, der das Internet zu seiner Geschäftsgrundlage gemacht hat, kennt das Problem des Phishings und wird deshalb volles Verständnis für eine solche, gar nicht übertriebene, Vorsicht haben.

Na, lange keine Phishing-Spam mehr gehabt. Diesmal geht es allerdings nicht um irgendwelche Sparkassen oder Volksbanken, sondern um PayPal – das ist viel gefährlicher, da PayPal-Kunden es ja gewohnt sind, dass sie mit einer Mail angeschrieben werden. Die gefälschte Absenderadresse entspricht allerdings nicht so ganz der Erwartung, da servicepaypal.com niemals von PayPal verwendet wird. Im Moment hat ein Domain-Händler diese Domain.

Betreff: Update Your Billing Records – Urgent Action Required

Aber ganz dringend muss reagiert werden. Am besten, ohne dass man vorher nachdenkt. Denn das lieben solche Verbrecher.

Dear valued PayPal® Customer, […]

Wenn einer nicht nachdenkt, wird er vielleicht nicht einmal bemerken, dass dies die einzige Mail von PayPal ist, in der er nicht mit Namen angesprochen wird. Denn einen Namen können diese kriminellen Spammer – im Gegensatz zu Paypal – auch gar nicht kennen.

[…] Due to recent fraudulent transactions, we have issued the following security requirements.

Tja, wenn man schon ein Komma nach der Anrede setzt, denn sollte man mit einem Kleinbuchstaben fortsetzen. Solche Patzer erlauben sich eben nur Spammer, die ihren Strunz eher etwas schlampig in die Tasten hauen, PayPal schreibt bis in Kleinigkeiten hinein ziemlich fehlerfrei. Und noch viel wichtiger: PayPal schreibt deutsche Kunden auf Deutsch an.

Wer wird bei solchen Schwächen noch glauben, dass es die Leute von PayPal sind, die hier etwas von betrügerischen Transaktionen fabulieren, die zu Sicherheitsmaßnahmen führen, deren Durchführung dann auf die Kunden abgewälzt wird.

It has come to our attention that 98% of all fraudulent transactions are caused by members using stolen credit cards to purchase or sell non existant items. Thus we require our members to add a Debit/Check card to their billing records as part of our continuing commitment to protect your account and to reduce the instance of fraud on our website. Your Debit/Check card will only be used to identify you. If you could please take 5-10 minutes out of your online experience and renew your records you will not run into any future problems with the PayPal® service. However, failure to confirm your records will result in your account suspension.

Ich habe gar keine Kreditkarte. Ob mir PayPal jetzt wohl trotzdem das Konto sperrt? 😉

We are requesting this information to verify and protect your identity. Federal regulations require all financial institutions to obtain, verify, and record identification from all persons opening new accounts or obtaining ongoing payment services. This is in order to prevent the use of the U.S. banking system in terrorist and other illegal activity. For these reasons, PayPal® will utilize services provided by various credit reporting agencies to verify the information you submit to us.

Schon klar, ganz viel offiziell klingender Bullshit. Und mit einem Verweis auf Terrorismus kann man jeden Scheiß rechtfertigen, das haben diese verbrecherischen Spammer schon von der Politik gelernt.

Once you have updated your account records your pending PayPal® account transactions will not be interrupted and will continue as normal.

Das Beste daran: Wenn man diese Spam einfach ignoriert und löscht, denn geht auch alles ganz normal weiter.

To update your billing records please proceed to our secure webform by clicking here.

Wer jetzt noch Zweifel daran hatte, dass es sich um eine Spam handelt, bekommt spätestens beim Blick auf die verlinkte Website völlige Klarheit über den wirklichen Charakter dieses dreisten Versuches. Denn diese Spammer haben es nötig, das Ziel des Links über tinyurl.com zu verbergen. So etwas macht PayPal und auch kein anderer Anbieter echter Dienstleistungen.

Allerdings hat TinyURL schon mitbekommen, dass der Dienst von Spammern missbraucht wird – der Link in der Mail funktioniert nicht mehr und führt auf eine kleine Meldung, dass hier ein Missbrauch vorliegt. Denn niemand hat ein Interesse daran, sich zum Komplizen solcher Verbrecher zu machen.

Thank you for your time,
PayPal® Billing Department.

Aber gerne doch.

Please do not reply to this email. This mailbox is not monitored and you will not receive a response. For assistance, log in to your PayPal account and choose the Help link located in the top right corner of any PayPal page.

To receive email notifications in plain text instead of HTML, update your preferences here.

Und zum Abschluss noch zwei nicht mehr funktionierende Gelegenheiten, auf eine nachgemachte Login-Seite von PayPal in der Hand von kriminellen Spammern zu kommen, auf dass viele Konten übernommen werden können und die Spam-Mafia mal wieder so richtig Geld schaufelt. Spam hat eben immer auch den Chrakter von Schrotmunition.

PayPal Email ID PP247

Ja ja, mit so einer Zahl am Ende sieht das auch nicht überzeugender aus.