Ihr PayPal-Konto ist eingeschränkt

Mittwoch, 20. April 2016

„Leer“ ist das Wort, „leer“… 😀

Von: PayPal <noreply (at) paypal (punkt) de>

Natürlich ist der Absender gefälscht. Diese (relativ gut gemachte) Phishing-Spam hat niemals einen Server von PayPal gesehen.

E-Mail-Adresse
gammelfleisch@tamagothi.de

Hey, Spammer! Die Empfänger-Mailadresse steht bereits im To-Header und ist damit eine völlig überflüssige Angabe. Und auch…

Datum
20.04.2016

…das Datum steht im Header und wird in jeder Mailsoftware angezeigt.

Aber vermutlich glaubst du, dass deine Spam besser und „offizieller“ aussieht, wenn sie möglichst viele in einer E-Mail sinnlose Angaben enthält, die in einem Sackpost-Brief sinnvoll wären.

Sicherheitsmaßnahme

Auch auf die Gefahr hin, mich immer wieder zu wiederholen…

Lieber Kunde

…kennt PayPal einen anderen Namen für seine Kunden als „Lieber Kunde“ und würde diesen anderen Namen in seiner Anrede verwenden. Da die Spammer inzwischen aus diversen Datenlecks viele Zuordnungen von Klarnamen zu Mailadressen haben, ist eine völlig unpersönliche Anrede kein sicheres Erkennungszeichen für jeden Phishing-Versuch mehr, aber wo sie auftritt, ist immer noch klar, dass man es mit Betrügern zu tun hat.

Im Zusammenhang damit, dass angeblich Probleme mit einem Konto vorliegen, sollte das zu sofortigen Zuckungen im Löschfinger führen.

unser Sicherheitsteam musste Ihr Nutzerkonto bedauerlicherweise einschränken. Der Grund dafür ist, dass wir eine verdächtigte Zahlungstransaktion erfasst haben. Dies war also eine reine Sicherheitsmaßnahme.

Aha, ein Bezahldienst schaltet ein Konto ab, weil es zum Bezahlen benutzt wird. Gut zu wissen. 😀

Und was kann man dagegen tun?

Wir bitten Sie deshalb Ihre Daten binnen 7 Tagen zu bestätigen, damit Sie Ihr Konto wie gewohnt weiter nutzen können.

Richtig: „Seine Daten bestätigen“. Also: Dem angeblichen „PayPal“ der Spammer lauter Daten mitteilen, die das richtige PayPal schon längst kennt. Und damit man das auch ja richtig macht, wird es hier noch einmal erklärt:

Was muss ich jetzt machen?

Folgen Sie dem Button [sic!]

Verifizieren Sie sich

Sie können Ihr Konto uneingeschränkt nutzen

Zur Überprüfung

Man soll „dem Button folgen“. Klingt ja auch viel besser als „auf einen Link in einer E-Mail klicken“, ist aber genau das. Genau genommen klingt es nicht einmal besser, sondern einfach nur dümmlich. Dieser Link führt nicht etwa zu PayPal, sondern zum URL-Verlängerer (Ja, die Welt ist so reif!) megaurl.co, der dann zu einer Website in die Domain paysecuree (punkt) com weiterleitet. Diese Domain…

$ whois paysecuree.com | grep -i '^registrant'
Registrant Name: James Axxxxx
Registrant Organization: N/A
Registrant Street: Oxxxxx 20   
Registrant City: Ede
Registrant State/Province: Other
Registrant Postal Code: 6xxxGK
Registrant Country: NL
Registrant Phone: +31.068416xxxx
Registrant Phone Ext: 
Registrant Fax: 
Registrant Fax Ext: 
Registrant Email: aledax23@gmail.com
$ _

…gehört nicht PayPal und hat nichts mit PayPal zu tun. Ich habe ein paar Dinge unkenntlich gemacht, obwohl es offen zugängliche Daten sind, weil ich davon ausgehe, dass hier die Identität eines anderen Menschen missbraucht wird. Der Mensch mit dieser Anschrift tut mir leid, denn er wird wegen der asozialen Kriminalität anderer Leute eine Menge Ärger und Laufereien bekommen, auf die ein Mensch gut verzichten kann. So etwas ist übrigens auch ein Grund, weshalb man immer sparsam mit seinen persönlichen Daten umgeht und sie nicht überall eingibt, wo man sie eingeben kann. Auch nicht für eine Handvoll Glasperlen… ähm… für einen kostenlos nutzbaren Dienst im Web oder für eine kostenlos nutzbare App oder dergleichen. Und auch nicht bei Anbietern, die „seriös“ aussehen, denn das Wichtigste beim Betrug ist nun einmal ein „seriöses“ Aussehen.

Diese Webseite, die nicht von PayPal ist und die übrigens den Titel „Ihr Konto wurde vorübergehend eingefroren“ trägt, sieht übrigens so aus:

Sie funktioniert übrigens nicht ohne Javascript. Wer – wie ich es unbedingt empfehle – nicht jeder dahergelaufenen Seite in einem anonymisierenden, technischen Medium das Ausführen von Code im Webbrowser gestattet, sondern dieses Privileg nur ausgewählten Seiten geben möchte und deshalb ein scheinbar „unbequemes“ Browser-Addon wie NoScript verwendet und PayPal die Ausführung von Javascript erlaubt hat, bemerkt spätestens beim Nichtfunktionieren dieser Seite, dass etwas nicht stimmt.

Aber vermutlich ist niemand, der sich auch nur rudimentäre Gedanken um Computersicherheit macht, so weit gekommen. Es gibt vorher genug Alarmzeichen, obwohl die Spam zugegebenermaßen gut gemacht ist:

Die Spam geht an willkürlich eingesammelte Mailadressen. Wer für einen Dienst wie PayPal eine eigene Mailadresse verwendet, die nirgends anders verwendet wird und deshalb nicht „eingesammelt“ werden kann, merkt sofort, dass etwas nicht stimmt.
PayPal versendet solche E-Mails mit Klickmich-Aufforderung nicht.
PayPal spricht seine Kunden persönlich an.
Jeder Mensch, der weiß, dass man gegenüber E-Mail gar nicht misstrauisch genug sein kann, klickt nicht in die Spam, sondern ruft die PayPal-Website auf und meldet sich dort ganz normal an. Wenn dabei kein Problem angezeigt wird, ist unmittelbar klar, dass die E-Mail eine Spam ist.
Ein PayPal-Link, der nicht in die Website von PayPal geht, ist hochverdächtig.
Ein paar Formulierungen – insbesondere dieses „Folgen Sie dem Button“ statt einer Form von „Click here“, die immer häufiger von Spamfiltern aussortiert wird – sind doch ein bisschen zu lächerlich, um echt sein zu können.

Mit freundlichen Grüßen
Ihr Team für Kundensicherheit

Ja, ihr mich auch mal!

Copyright © 1999-2016 PayPal. Alle Rechte vorbehalten. PayPal (Europe) S.à r.l. et Cie, S.C.A., Société en Commandite par Actions. Eingetragener Firmensitz: 22-24 Boulevard Royal, L-2449 Luxembourg RCS Luxembourg B 118 349.

Nein, diese Spam kommt natürlich nicht von PayPal. Aber weil ich das immer wieder sage, sage ich es auch hier, und zwar mal mit etwas deutlicheren Worten: Wer „geistiges Eigentum“ auf den massenhaft reproduzierten Standardtext einer E-Mail proklamiert, macht sich lächerlich und stellt sich selbst als Vollidiot dar. Unter einem Brief, der mit der Sackpost an seinen Empfänger zugestellt wird, würde auch niemand so einen hirnlosen Rotz schreiben, wenn er mehr Intelligenz als eine frisch amputierte Laborratte hat und die Intelligenz der Leser seiner Briefe nicht gerade offen verachten möchte. Unter einer E-Mail ist es genau so dumm. Und diese Dummheit ist nicht die Dummheit von Spammern, sie ist direkt von PayPal abgeschaut, denn es ist die Dummheit PayPals, die man in jeder E-Mail von PayPal „genießen“ darf.

Deshalb noch ein kleiner Nachschlag von mir, in leicht jovialem Ton, der sinngemäß auch auf viele Kreditinstitute übertragbar ist:

Hey, PayPal,

könnt ihr bitte mal mit diesem von jedem Kriminellen leicht über die Zwischenablage zu imitierenden Bullshit mit dem „Copyright“ und dem „All rights reserved“ unter euren E-Mails aufhören, der keinerlei Funktion hat, juristisch bedeutungslos ist und einfach nur so dumm ist, dass es weh tut! Ich wäre euch sehr dankbar dafür.

Stattdessen könnt ihr einfach mal etwas sinnvolles mit euren E-Mails machen. Zum Beispiel könntet ihr damit beginnen, sie digital zu signieren, um den Phishing-Betrügern das Leben wenigstens ein bisschen schwerer zu machen. Technische Verfahren und Software zu ihrer Umsetzung stehen seit rd. 25 Jahren (ja, das ist ein Vierteljahrhundert, also ungefähr fünfzig Erdzeitalter der Informationstechnik) jedem zur Verfügung, der sie nutzen will, und inzwischen sogar Frei und kostenlos. Wenn ihr dann auch noch euren Kunden erklärtet, was eine digitale Signatur ist, warum eine digitale Signatur bei der Nutzung eines Mediums, in dem jeder seinen Absender fälschen kann, erforderlich ist und wie man die digitale Signatur überprüft (und gegebenenfalls selbst nutzt) und keine einzige unsignierte E-Mail mehr heraussendetet, hättet ihr fast alles gegen das Phishing getan, was ihr tun könntet – denn es wäre nicht mehr möglich, eine Mail von euch zu fälschen.

Wenn ihr digitale Signaturen nutztet, hätten sich viele Probleme erledigt.

Dass ihr das nicht tut, obwohl es praktisch keine Kosten verursachte, zeigt, dass ihr es nicht tun wollt. Und dass ihr das nicht tun wollt, zeigt, dass euch die Sicherheit des Zahlungsverkehrs eurer Kunden scheißegal ist, denn sonst würdet ihr Betrugsmöglichkeiten im Keim ersticken, wenn es nahezu kosten- und aufwandslos möglich wäre.

Ich hoffe, dass jeder eurer Kunden daraus die richtigen Schlüsse ziehen kann.

Ich hoffe ferner, dass ihr für diese eure Fahrlässigkeit einmal haftbar gemacht werdet und die dadurch bei anderen Menschen angerichteten Schäden erstatten müsst.

Ich befürchte aber, dass ich das nicht mehr erlebe.

Statt, dass ihr euren E-Mails etwas sinnvolles hinzufügt, nämlich eine digitale Signatur, fügt ihr ihnen etwas sinnloses hinzu, nämlich einen Hinweis, dass ihr für das großartige „Werk“ den vollen Schutz des „geistigen Eigentums“ beansprucht.

Ihr macht euch damit zu Freunden der Phisher. Aus Dummheit.

Nur, ums euch mal gesagt zu haben.
Der Nachtwächter

Guten Tag mein lieber Freund

Mittwoch, 20. April 2016

Oh, ein Qualitätsbetreff!

Guten Tag mein lieber Freund

Gute Nacht, mein dummer Spammer,

nun, deinen Ersatz für eine persönliche Anrede hast du schon im Betreff mitgeteilt. Du hättest lieber im Betreff mitteilen sollen, um was es in deiner Spam geht. Aber das machst du ja jetzt.

Jeg bruger dette medie til at informere dig om transaktionen for overfшrsel pе $ 21500000 (Twenty-en million fem hundrede tusinde dollars) i min bank i Kina til dig som en modtager. Det vil vжre 100% sikker, er den finansielle officer af den afdшde kunden.

Für dich aus dem angeblichen „China“, das die kyrillische Codepage verwendet, mag das alles gleich aussehen, aber ich muss dir leider mitteilen, dass die meisten Deutschen kein Dänisch können¹. Deine lächerliche Spam zur Einleitung eines Vorschussbetruges wird also ziemlich wirkungslos bleiben.

Ach ja, und die dänischen Zeichen sehen wie „ø“ und „æ“ aus, nicht wie „ш“ und „ж“. Frag mal ein elfjähiges Hackkind, wie man die Codepage im Content-Type-Header angibt. Und dann verwende da einfach mal eine andere Codepage als die 855, mit der du immer deine russischen Mails schreibst, du da hinten in China! Welche du nehmen solltest, kannst du übrigens in diesem Internet erfahren, das du leider nur zum Spammen verwendest, und nicht, um dich ein bisschen zu bilden. Ach, mit Bildung kannst du die Nutten nicht bezahlen, und deshalb spammst du lieber… gut, ich verstehe! 😀

Dass es seit ein paar Jahrzehnten Unicode und das UTF-8-Encoding gibt, womit man derartige Probleme völlig vermeidet… ach! Woher sollst du das wissen? Im Puff erzählt es dir doch keiner. Und dass du dich aus eigenem Interesse mit der Technik auseinandersetzt, auf deren Grundlage du dein kriminelles Geschäftchen machen willst, wäre doch wirklich zu viel verlangt. Wenn du dir Mühe geben wolltest, könntest du ja gleich arbeiten gehen.

Kontakt venligst pе min private e-mail nedenfor for eventuelle spшrgsmеl og yderligere information.

Aha, wenn ich jetzt irgendwie an die ganz sicheren 2,15 Megadollar von dir verwaltetes, herrenloses Geld eines verstorbenen Kunden oder aber an weitere Lügen von dir kommen will, die ja beidesamt ganz sicher zu haben sind… tja, dann soll ich für meine Antwort deine private Mailadresse nehmen. Welche das ist, scheint dir in diesem Kontext eine völlig nebensächliche Angabe, so dass sich dieser Absatz wie eine Aufforderung zum Erraten einer Mailadresse liest. Aber dafür hast du etwas geschafft, was ich dir ob deiner sonstigen Stümperei gar nicht zugetraut hätte: Du hast einen Reply-to-Header in die Mail gebastelt bekommen. Das kann nicht jeder! Und weil du so ein Könner bist, könnte ich dir einfach antworten, indem ich auf „Antworten“ klicke, ohne, dass ich in eine Mailadresse in deiner Mail klicken müsste und fast schon, als sei alles ganz normal. Dein aus einer Spam eines deiner Kollegen übernommener Absatz mit dem Hinweis, dass der Absender der Spam gefälscht ist und dass man deshalb an eine andere, die angeblich „private“ Adresse antworten soll, ist also überflüssig und dumm.

Med venlig hilsen

Chin sang

e-post: chinsang147 (at) gmail (punkt) com

Нечего на зеркало пенять, коли рожа крива². Nur, damit du mal merkst, dass man auch ganz gut ohne dein Codepage-Problem leben könnte, indem man einfach UTF-8 verwendet. 😀

Ich habe deine Spam gesehen, drüber gelacht und sie gelöscht.

¹Ich kann übrigens auch kein Dänisch. Ich kann es zwar halbwegs flott lesen (und dank der sehr „entspannten Aussprache“ der meisten Dänen deutlich weniger gut verstehen), aber ich habe es nie wirklich gelernt. Feinheiten und peinliche Stilfehler entgehen mir. Ich gehe davon aus, dass der dänische Text ähnlich schlecht sein wird, wie so mancher deutsche Text von Vorschussbetrügern, aber das entgeht mir.

²Ins Deutsche übelsetzt: Gib nicht dem Spiegel die Schuld daran, dass dein Gesicht schief ist.

@AppDiscoveryNow

Dienstag, 19. April 2016

Eurer Selbsteinschätzung, dass sich euer toller Twitter-Kanal, auf dem ihr über Apps twittert, die man sich auf die Wischofone machen kann…

…ohne massive Followspam der Marke „skriptgesteuert jedem folgen, der nicht bei drei auf den Bäumen ist; scheißegal, worüber der twittert, in welcher Sprache der twittert und was das für ein Mensch ist, denn ein paar Prozent von diesen Gestalten werden uns schon zurückfolgen und uns eine Echokammer für unsere Spam-Tweets machen“ wohl niemanden interessieren würde – nun, dieser eurer eigenen Selbsteinschätzung mag ich beim besten Willen nicht widersprechen. Ich halte sie für ausgesprochen passend.

Dass ihr ein völlig sinnfrei ausgewähltes Avatarbildchen verwendet – das einen Schreibtischmonitor mit Ständer darstellt, aus dem ein nach vielen Pannen und einigen schrecklichen Katastrofen nicht mehr gebräuchliches Raumfahrzeug startet – um ein Angebot für Smartphones und Pads zu symbolisieren, unterstreicht den Eindruck eurer spammigen Twitternutzung genau so deutlich, wie eure ohne Not durchgehend über die URL-Kürzungsdienste bit (punkt) ly und puls (punkt) ly verschleierten Linkziele. Dass eure so verlinkte Website einen Menschen, der seinen Webbrowser halbwegs sicher konfiguriert hat und deshalb kein Javascript zulässt, gar nichts anzeigt, ergänzt diesen für euch wenig vorteilhaften Eindruck um ein deutliches Alarmsignal, von allen euren Angeboten die Finger zu lassen und euch auf gar keinen Fall auch noch das Privileg einzuräumen, Code im Browser ausführen zu können. Dabei wäre eure Spam für sich allein schon ein ganz schlechtes Zeichen gewesen…

Ich habe euch eben bei Twitter als Spammer gemeldet und wünsche euch alles Gute auf eurem weiteren Lebensweg. Vielleicht solltet ihr einfach ein Raumfahrzeug benutzen, aber wenn ihr das tut, dann kommt bitte nicht auf die Idee, wieder auf der Erde zu landen.

In letzter Zeit nimmt diese Form der Followspam auf Twitter wieder zu. Und sie ist keineswegs besser gemacht als die frühere Seuche der Followspam. Offenbar gibt es inzwischen wieder genügend Leute, die im Streben nach großen, im Profil angezeigten Zahlen recht unkritisch sind und sehr leicht jemanden zurückfolgen. Diesen Menschen rufe ich zu: Ihr seid die Spam, denn ohne euch gäbe es die Spam nicht. Hört bitte damit auf, die Spam zu sein, damit die Spam verschwindet! Und wenns mal wieder jemand mit dieser dummen Masche versucht, meldet ihn als Spammer – das sind nur drei Klicks, die das Leben aller Twitter-Nutzer besser machen.

Geschäftskontakt

Montag, 18. April 2016

Oh schön, an eine Honigtopf-Adresse.

Geschäftskontakt

Das hast du schon im Betreff gesagt.

Mein Name ist Herr Feng SU Liiie.

Tja, wenn du meinen Namen schon nicht kennst, weil du mich nicht kennst, dann musst du dir eben einen Namen für dich selbst ausdenken.

Ich wende mich an Sie, weil ich einen Geschäft Vorschlag für Sie haben.

Ganz großes Kino! Jemand, der an eine für normale Leser nicht offen sichtbare Mailadresse schreibt, die er mit einem Harvester-Skript eingesammelt hat und der meinen Namen nicht kennt, will mit mir ins Geschäft kommen.

Und um was geht es in diesem Geschäft:

Bitte kontaktieren Sie mich zurück in meine private E-Mail-Adresse unten für weitere Informationen:

fengli20 (at) bigpond (punkt) com

Aha, um eine Katze im Sack, die mit gefälschter Absenderadresse kommt.

Vielen Dank. Kennst du die englische Sprache?

Danke für nichts. Kennst du die Bedeutung eines dir entgegengestreckten Mittelfingers?

Herr SU Liie

Beim Abtippen des oben ausgedachten Namens ist ein „i“ verlorengegangen.

fengli20 (at) bigpond (punkt) com

Bitte nicht vergessen: Die Absenderadresse dieser Mail ist gefälscht, deshalb kann man auch nicht auf „Antworten“ klicken, wenn man in einem Anfall von Dummheit die Mail beantworten will. Der Spammer geht davon aus, dass nur noch die Dümmsten auf so schlechte Spam reinfallen, und die wissen oft nicht, dass man den Text auch wieder hochscrollen kann. Deshalb steht die Adresse da nochmal. Die tiefere Bedeutung des Reply-to-Headers hat der Spammer noch nicht gelernt.

Mit dem Porsche zum Briefkasten…

Samstag, 16. April 2016

…und mit dem Rolls Royce zurück in die Villa. Kurz den
Champagner ausgetrunken und mit dem Helikopter auf die nur ein paar hundert
Meter entfernt ankernde Yacht…

Klingt nach einem heißen Kandidaten für den Preis „Umweltdrecksau des Jahrhunderts“ mit gülden-diamantener Polschmelz-Medaille am blutroten Bande. Aber diese Bezeichnung „Sau“ ist doch nicht so gut, denn sie beleidigt Schweine – mit deren Charakter, Wärme und Menschlichkeit es immer noch ungleich besser aussieht als mit dem Charakter, der Wärme und der Menschlichkeit eines Spammers.

Dies ist kein Traum, so
lebe ich!

Und, warum musst du dann noch illegale und asoziale Spam versenden, um den Leuten…

Klicke
einfach auf diesen Link und werde so Reich wie ich!

…ausgerechnet eine Reichwerdmethode anzudrehen. Flieg doch einfach schön in deinem Privatjet mit angeschlossener Champagnerfabrik kaviarmümmelnd in die Hölle und lass dich da angemessen im feurigsten Ofen unterhalten, statt dich mit so einem kriminellen Kram abzugeben!

Click here to unsubscribe

Ja, du kannst mich auch mal am Arsche klicken!

Über Empfehlung: Nebenjob-Anfrage

Samstag, 16. April 2016

Guten Tag Eli ,

Nahe dran. Aber ist trotzdem nicht mein Name.

derzeit suchen wir Mitarbeiter (m/w) für leichte Nebentätigkeiten, bequem von zu Hause aus.

Oh, hat die Kripo euch alle angeheuerten Briefkästen und Geldwäscher weggeschappt?

Wir bieten Ihnen:
– Flexible Arbeitszeiten / freie Zeiteinteilung
– Arbeiten von zu Hause aus
– Mit ca. 5/10 Stunden pro Woche 500-900 Euro möglich

Jeder, der eine Anschrift in der BRD hat und Zahlungen auf sein Konto empfangen kann, kann auch diesen „Nebenjob“ als Muli machen.

Oder soll man wieder mal Roulette spielen?

Kein Verkauf, keine unseriösen Tätigkeiten – informieren Sie sich unverbindlich:

Ist auch voll seriös, kommt ja nur mit einer illegalen und asozialen Spam. Und beliebt ist der „Job“! Ich habe das Angebot viermal in der Spamsenke. Der „Job“ muss ja nur so weggehen!

http://www.weiter-97.site/

So so, weiter (strich) 97 – der Spammer macht ja nicht mal im Domainnamen einen Hehl draus, dass es sich um eine reine Wegwerfdomain handelt, die dann auf die Betrugsseite weiterleiten soll.

$ lynx -mime_header http://www.weiter-97.site/
HTTP/1.1 301 Moved Permanently
Date: Sat, 16 Apr 2016 11:56:29 GMT
Server: Apache/2.2.22 (Debian)
X-Powered-By: PHP/5.4.45-0+deb7u2
Location: http://www.richpro.de/partner/partnerdoor.php?partnerid=15&bannerid=29
Connection: close
Vary: Accept-Encoding
Content-Length: 3
Content-Type: text/html

   $_

Aha, eine Weiterleitung mit Affiliate-ID. Der Spammer lebt also nicht etwa von den tollen „Jobs“, die er in Spams feilbieten muss, sondern davon, dass er anderen Leuten Opfer zutreibt und dafür ein paar Judasgroschen gibt. Das muss folglich einträglicher als diese „Nebenjobs“ sein, denn sonst würde er gewiss einen dieser „Nebenjobs“ machen.

Und richpro (punkt) de ist eine Domain, die schon mit ihrem Namen nichts Gutes verheißt. Laut DeNIC gehört sie einer „Richpro Internet GmbH“ aus der BRD. Die Reputation im „Web of Trust“ spricht für sich, und eine kurze Websuche vervollständigt schnell den Eindruck, den ich wegen des in der BRD geltenden, vollumfänglichen Rechtsschutzes für beleidigte Leberwürste nicht noch mit eigenen Worten ergänzen möchte. Von der Reichwerdmethode über die Schlankheitspille bis zum Doktortitel gibt es da augenscheinlich alles – und auch Pr0n wird nicht verschmäht. Immer schön über illegale und asoziale Spam vermarktet, versteht sich. Manchmal finde ich es ein bisschen schade, dass die Meteroiten immer an den falschen Stellen runterfallen.

Was es dort wohl geben wird?

$ lynx -mime_header "http://www.richpro.de/partner/partnerdoor.php?partnerid=15&bannerid=29"
HTTP/1.1 301 Moved Permanently
Date: Sat, 16 Apr 2016 12:01:57 GMT
Server: Apache
X-Powered-By: PHP/5.3.29
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM"
Set-Cookie: PSL1391604664=ee5d9a0dc75653f4894898e12ea0cb91; path=/
Set-Cookie: sprache_display=de; expires=Wed, 15-Jun-2016 12:01:57 GMT
Set-Cookie: Partner-ID=15; expires=Wed, 15-Jun-2016 12:01:57 GMT
Set-Cookie: Banner-ID=29; expires=Wed, 15-Jun-2016 12:01:57 GMT
Set-Cookie: Sub-ID=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT
Set-Cookie: Timestamp=1460808117; expires=Wed, 15-Jun-2016 12:01:57 GMT
Location: http://ban.go2cloud.org/aff_c?offer_id=251&aff_id=5029&aff_sub=Aff15
Vary: User-Agent
Content-Length: 0
Connection: close
Content-Type: text/html

$ _

Richtig, die nächste Weiterleitung. Diesmal werden allerdings ein paar Cookies in den Browser gemacht, damit Opfer wiedererkannt werden können – und die Affiliate-ID wird umgeschrieben. Man könnte angesichts dieser Nutzungsform denken, dass die Website unter der Domain richpro (punkt) de in erster Linie dazu dient, die richtigen Affiliate-IDs von asozialen und illegalen Spammern zu verschleiern, indem sie einfach umgeschrieben werden.

Und was hat go2cloud (punkt) org nun anzubieten:

$ lynx -mime_header "http://ban.go2cloud.org/aff_c?offer_id=251&aff_id=5029&aff_sub=Aff15"
HTTP/1.1 302 Found
Cache-Control: no-cache, no-store, must-revalidate
Content-Type: text/html; charset=iso-8859-1
Date: Sat, 16 Apr 2016 12:15:25 GMT
Expires: Sat, 26 Jul 1997 05:00:00 GMT
Location: http://auto-profit-replicator.xyz/?tp=H420f37s&tparam1=1025c7b48f53eb8e774341db9a5855&subID=5029
P3P: CP="NOI CUR OUR NOR INT"
Pragma: no-cache
Server: nginx/1.7.9
Set-Cookie: enc_aff_session_251=ENC02104-1025c7b48f53eb8e774341db9a5855-5029-251-0-0-0-0-DE-0-_-4166663135-_-_-_-_-92.77.88.16-20160416081525-_-223C613D710C396431261B2160574F1A1B4E4042540B510F145B19536E507F42440D330E705D7C5D65; expires=Mon, 16 May 2016 12:15:25 GMT; path=/;
Set-Cookie: ho_mob=eyJtb2JpbGVfZGV2aWNlX21vZGVsIjoiQnJvd3NlciIsIm1vYmlsZV9kZXZpY2VfYnJhbmQiOiJMeW54IiwibW9iaWxlX2NhcnJpZXIiOiI/IiwidXNlcl9hZ2VudCI6Ikx5bngvMi44LjhwcmUuNCBMaWJ3d3ctRk0vMi4xNCBTU0wtTU0vMS40LjEgR05VVExTLzIuMTIuMjMiLCJhY2NlcHRfbGFuZ3VhZ2UiOiJlbiIsImNvbm5lY3Rpb25fc3BlZWQiOiJ4ZHNsIn0=; expires=Mon, 11 Mar 2019 22:55:25 GMT; path=/;
tracking_id: 1025c7b48f53eb8e774341db9a5855
X-Robots-Tag: noindex, nofollow
Content-Length: 288
Connection: Close

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>302 Found</title>
</head><body>
<h1>Found</h1>
<p>The document has moved <a href="http://auto-profit-replicator.xyz/?tp=H420f37s&tparam1=1025c7b48f53eb8e774341db9a5855&subID=5029">here</a>.</p>
</body></html>
$ _

Richtig! Die nächste Weiterleitung. Nichts mögen Spammer so wenig wie einen direkten Link…

Aber immerhin, jetzt sind wir endlich am Ziel:

Nein, der „Auto Profit Replicator“ ist kein „Replikator“ aus dem Star-Trek-Universum. Es ist eine Website, die keinerlei Text enthält, sondern nur ein eingebettetes Video, in dem eine gesichtslose Stimme 36 Minuten lang recht professionell das Gehirn so weichlabert, dass es ausgelöffelt werden kann. Also im Grund der gleiche Bullshit wie bei dem GeldProgramm™. Nur, dass es diesmal nicht mehr aus dem ZDF bekannt ist, sondern von Yahoo Finanzen – aber die Logos von irgendwelchen Unternehmen mit größerer Seriosität als die eines Spammers kann sich der Spammer ja einfach und bequem aus dem Internet einsammeln.

Und naürlich: Jeder wird reich werden, indem er mit Software Wettzettel auf beliebige Börsenereignisse, so genannte Binäre Optionen, handelt. Jede gut dressierte Laborratte könnte das. Man muss gar nichts dafür können. Der Spammer freilich, er lebt lieber nicht von seiner lang und weilig im Video feilgebotenen Methode, sondern davon, dass er Affiliate-Gelder dafür kriegt, Brokern neue Kunden zuzutreiben.

Und das sagt wohl alles über diese Methode, was gesagt werden muss.

Das bisschen Mühe, für die Anpassung an den deutschsprachigen Markt noch ungebrannter Kinder mal schnell das Dollarzeichen aus dem Logo durch ein hier angemesseneres Währungssymbol zu ersetzen, war dem Spammer bei seiner Nummer zu viel Mühe. Denn wenn er sich Mühe geben würde, könnte er doch gleich arbeiten gehen, und diese ganze Anstrengung…

Mit freundlichen Grüßen,

Matthias Maier
Personalabteilung

Auch bekannt unter den Namen…

Jens Winter
Personalabteilung

…und…

Mario Pohl
Personalabteilung

…und…

Malte Schulte
Personalabteilung

Aber hey, was soll an so einem Kleinkram schon beunruhigen. Es geht ja nur um Geld.

Ihr Vorschlag

Freitag, 15. April 2016

Von: Gemma Guarreno <mitteilung (at) ingridjesus2016 (punkt) x10host (punkt) com>
Antwort an: ingrid (punkt) jesus (at) aol (punkt) com

So so, ein verkappter Jesus mit gefälschtem Absender und AOL-Adresse… 😉

ANWALTKANZLEI:DR.GEMMA GUARRENO
Calle Bermudez nr24, 28015 Madrid
Tel: 0034 631 115 xxx
Email: gemmaguareno (at) outlook (punkt) es

Tja, wenn du schon so eine schöne Mailadresse hast, warum trägst du die denn nicht als Reply-to in deine Spam ein, damit man deine Spam beantworten kann, indem man auf Antworten klickt. So fiele wenigstens dümmeren Menschen nicht sofort auf, dass du deinen Absender gefälscht hast.

Mein lieber freund,
Ich mцchte mich erstmals gerne vorstellen. Mein Name ist Gemma Guarreno die persцnliche Investment Berater und Vermцgensverwalterin meines verstorbenen Mandanten Paul Albrecht der ihre familienname tragt..

Nun, mein Familienname ist leider nicht „Albrecht“. Aber bei einem Teil deiner Empfänger wirst du schon Glück haben. Und wenn du noch mehr Glück hast, dann halten einige aus der winzigen Restgruppe mit Nachnamen „Albrecht“ diese fröhlichen kyrillischen Kringel anstelle der Umlaute für ein Zeichen ganz besonderer Echtheit und Glaubwürdigkeit, weil man in Spanien ja bekanntermaßen das kyrillische Alphabet verwendet.

Er war als privater Geschдftsmann im internationalen Bereich tдtig. Im Jahr 2008 starb mein Mandant an einen schweren Herzinfarkt. Mein Mandant war ledig und kinderlos.

Na, wenn er dran gestorben ist, muss der Herzinfarkt ja ziemlich schwer gewesen sein.

Er hinterlieЯ ein Vermцgen im Wert von Ђ10.500.000 (Zehn Millionen fьnfhunderttausend Euro), das sich in einer Bank in Spanien befindet. Die Bank lieЯ mir zukommen, dass ich einen Erbberechtigen, Begьnstigten vorstellen muss.

Zunächst: Glückwunsch, dass du das mit den Punkten als Tausendertrenner hinbekommen hast, denn die Deutschen machen das mit Punkt und Komma genau anders herum wie der größte Teil der Menschheit. Wenn du dir jetzt noch von einem Zwölfjährigen erklären ließest, wie man seine Mail in UTF-8 verfasst, statt die kyrillische Codepage zu benutzen, dann würde aus deinem Djet sogar das hier jedem vertraute Symbol „€“, was viel weniger lächerlich aussähe.

Nach mehreren Recherchen erhielt ich keine weiteren hilfreichen Informationen, ьber die Verwandten meines verstorbenen Mandanten. Aus diesem Grund schrieb ich Sie an, da Sie den gleichen Nachnamen haben. Ich benцtige Ihre Zustimmung und Ihre Kooperation um Sie als den Begьnstigten vorzustellen.

Oh, schön, dass du mich um Zustimmung bittest. Schade nur, dass du die Sprache, in der du schreibst, gar nicht verstehst, so dass…

Alle meine Bemьhungen Verwandte meines verstorbenen Mandanten zu finden, waren erfolglos.

…dir die Sätze in einer etwas komischen Reihenfolge rauskommen.

Infolgedessen wьrde ich vorschlagen das Vermцgen aufzuteilen, Sie erhalten 45% Prozent des Anteils und 45% Prozent wьrde mir dann zustehen. 10% Prozent werden an Gemeinnьtzige Organisationen gespendet.

Na, das ist doch mal ein Vorschlag! Eigentlich schade, dass das Geld gar nicht existiert und dass ich nur mit 4,5 Megaeuro vor Augen eine Vorleistung nach der anderen bezahlen soll – natürlich niemals über eine Banküberweisung, sondern immer anonymisierend über Western Union und Konsorten, damit du mit deiner ganzen Bande nicht in den Knast gehst, sondern damit ihr viel Spaß mit dem Geld naiver Menschen habt.

Alle notwendigen Dokumente beinhalten sinngemдЯ auch das Ursprungszeugnis, um demnach Fragen von der zustдndigen Bank zu vermeiden. Die beantragten Dokumente, die Sie fьr das Verfahren benцtigen, sind legal und beglaubigt. Das Vermцgen enthдlt kein kriminellen Ursprung. Das Verfahren wird einwandfrei ohne Komplikationen erfolgen, die Geldьberweisung wird rechts gemдЯ abgeschlossen. Alles was ich von Ihnen benцtige ist Ihr Vertrauen und eine gute Zusammenarbeit.

Ich denke, es geht um eine Erbschaft. Was soll ich da mit einem Ursprungszeugnis? Willst du mit den Millionen irgendwelchen Tinnef kaufen oder herstellen lassen, auf Lkws laden und mir vor der Tür abstellen?

Kontaktieren Sie mich bitte unter der privaten Telefonnummer 0034 631 115 xxx,
gemmaguareno (at) outlook (punkt) es

Bitte nicht auf „Antworten“ in der Mailsoftware klicken. Die Absenderadresse ist gefälscht.

Die geplante Transaktion wird durch legale Rechtsmitteln fьr Ihren rechtlichen Schutz gefьhrt.

Häh? ❓

Oh, eine Datenstripteasemöglichkeit:

VORNAME
NAME
ANSCHRIFT
TELEFON
FAX
GEB.DATUM
UNTERSCHRIFT

Auf gar keinen Fall vergessen, die Antwortmail zu unterschreiben! 😀

Mit freundlichen Grussen
Dipl.finanzfachanwaltin GEMMA GUARRENO

Mit Winkewinke vom dummen Vorschussbetrugsspammer.

This email has been checked for viruses by Avast antivirus software.
https://www.avast.com/antivirus

Diese E-Mail ist garantiert und völlig sicher eine Spam. Das ist leicht erkennbar an diesem Avast-Werbespruch, mit dem niemand seine Kunden belästigen würde, der Achtung vor seinen Kunden hat – zumal dieser Spruch auch gefährlich ist, wenn er geglaubt wird, denn jeder kriminelle Idiot von Spammer kann ihn eigenhändig unter seine Spam mit frischer Schadsoftware schreiben.

Diese Avast-Werbung in der Mail bedeutet: Unbesehen löschen! Es ist niemals ein Fehler. Der Spruch steht ausschließlich in Spams und in elektronischen Kommunikationsversuchen, die man nicht unbedingt haben muss.

Diese Blogbeitrag wurde automatisch mit der Snakeoil Security Suite auf Viren, Trojaner, Bakterien und Digitalen Mumps geprüft; das Ergebnis dieser Prüfung wird nicht verraten.
Snakeoil Security Suite – klick mich, klick mich!

Hallo eBay, ist noch alles knusper bei euch‽

Freitag, 15. April 2016

Nutzer der Handy-App von eBay¹ können den folgenden Hinweis in ihrer App sehen:

Screenshot der eBay-App. Im unteren Bereich ist ein Overlay mit folgendem Text eingeblendet: 'Helfen Sie uns, Ihr eBay-Konto zu schützen (Link) Bestätigen Sie Ihre persönlichen Daten'.

Helfen Sie uns, Ihr eBay-Konto zu schützen
Bestätigen Sie Ihre persönlichen Daten

Es handelt sich hier nicht um einen Phishing-Versuch.

Ich war mir auf dem ersten Blick völlig sicher, dass es Phishing ist, und meine einzige Frage war, wie die Phisher es wohl geschafft hätten, ihre Phishing-Einleitung als Overlay in die eBay-App einzublenden. (Ich halte es nicht für unmöglich, dass Kriminelle solche Möglichkeiten finden und ausnutzen – Smartphones sind leider sehr gefährliche und für kriminelle Versuche sehr offene Geräte.)

Ich habe mich (zum Glück) getäuscht.

Diese Meldung kommt wirklich von eBay. Und diese Meldung ist wirklich sehr dumm gestaltet, denn sie drückt bei ihren Empfängern auf die gleichen psychologischen Knöpfe wie typische Phishing-Mails:

Bereits bekannte Kundendaten sollen noch einmal bestätigt werden;
dies soll nicht etwa über einen von der Mitteilung unabhängigen Aufruf der eBay-Website, sondern über einen Link geschehen; und
es ist wegen „der Sicherheit“, wegen „des Schutzes des Kontos“ erforderlich.

Das ist – wenn man einmal von dem von Phishern gern angewendeten zusätzlichen Druckmittel einer Fristsetzung oder aufkommender Kosten absieht – genau die gleiche Ausdrucksweise, mit der Menschen sonst dazu gebracht werden sollen, ihre Konten und persönlichen Daten der Organisierten Kriminalität zur Verfügung zu stellen, indem sie die Zugangsdaten in schnell aufgeschäumten Webseiten im Design der entsprechenden Unternehmen eingeben und absenden. (In jüngerer Zeit wird auch häufig ein HTML-Dokument an die E-Mail angehängt, das man ausfüllen und absenden soll – mit gleichem Ergebnis.)

Auch die unter diesem Link hinterlegte Seite sieht so aus, wie ich es von der ersten Seite eines Phishing-Versuches gewohnt bin, der zunächst Accountdaten haben will, bevor weitere Dateneingaben (Anschrift, Bankverbindung, Kreditkarte) erschlichen werden [die unkenntliche Telefonnummer im Screenshot ist nicht von eBay]:

Screenshot der eBay-Seite zur Datenbestätigung -- Helfen Sie uns, Ihr eBay-Konto zu schützen -- Für noch mehr Sicherheit vergewissern Sie sich bitte, dass Ihre personenbezogenen Daten auf dem aktuellen Stand sind. -- E-Mail -- Mobiltelefon

Und genau das führt eBay gegenüber seinen Kunden als gewöhnliche Form der Kommunikation von eBay zum Kunden ein. Ganz so, als sei das Problem mit Phishing noch nicht groß genug; als müsse man seine Kunden zudem daran gewöhnen, dass genau die gleichen Kommunikationsmuster aus typischen Betrugsmails eine gewöhnliche Form der geschäftlichen Kommuniaktion seien und den Betrug auf diese Weise mit Autorität und Glaubwürdigkeit „aufladen“.

Das erschwert die sichere Erkennung von Phishing und zerstört den Schutz durch einen mit ungewöhnlichen Vorgängen und Aufforderungen aufkommenden Verdacht.

Die Folgen dieser dummen Entscheidung eBays werden nicht lange auf sich warten lassen – arglose Nutzer werden vermehrt auf Phishing-Mails hereinfallen, da sie ihren Stil für einen authentischen eBay-Stil halten. Dies gilt in besonderer Weise, als dass den Kriminellen eine sehr umfangreiche Datenbank mit Mailadressen und Accountdaten zur Verfügung steht, die bei eBay benutzt wurden oder noch werden. (Siehe zur Vorgeschichte dieses Datenlecks meine vorsichtig formulierte Mutmaßung hier auf Unser täglich Spam, als auf einmal hochgefährliches eBay- und PayPal-Phishing in Mail an exklusiv für eBay und PayPal benutzte Mailadressen auftauchte.)

eBay führt sich gerade wie ein Freund und Förderer der Organisierten Kriminalität auf; ganz so, als wollte eBay Phishing zu einem Erfolgsrezept für gewerbsmäßige Betrüger machen.

Das ist schlecht. Und es sollte geändert werden.

Von eBay.

So schnell wie möglich, am besten sofort!

¹Ein Dank für die Screenshots und den Hinweis geht an meinen Leser M.S.