Winke, winke, Darlehen!

Samstag, 4. April 2015

Ein kleines Osterei gefüllt mit alltäglichem Wahnsinn.

Die folgenden drei „handgeschriebenen“ Kommentare auf Unser täglich Spam wurden heute zwischen 0:50 Uhr und 8:30 Uhr von der gleichen IP-Adresse aus Nigeria abgesetzt (und hier natürlich gleich wieder vom Spamfilter aufgegessen). Ich gratuliere dem Spammer zu seinem tollen „Job“ bei einer nigerianischen Betrügerbande, wo er für eine Handvoll Dollar die ganze Nacht lang Suchbegriffe in Google eingibt, das Ergebnis „durcharbeitet“, obwohl er die Sprachen gar nicht beherrscht, und deshalb einfach nur jedes Mal, wenn es eine Möglichkeit eines Kommentars gibt, einen der vielen vom Computer übersetzten Standardtexte seiner Bande über die Zwischenablage einfügt. Ich freue mich für den Spammer, dass auch er eine Arbeit gefunden hat und gebe hier gern meinem Wunsch Ausdruck, dass dieser Mugu in seiner neuen Tätlich… ähm… Tätigkeit Erfüllung, Anerkennung und Selbstwertgefühl finde!

Die Zeilenumbrüche in den Zitaten entsprechen dem Original.

Kommentar von „global rule“, 4. April, 0:50 Uhr:

> Sind Sie ein Geschäftsmann oder eine Frau? Ihr seid in finanzielle
> Schwierigkeiten oder haben Sie
> Brauchen Sie finanzielle Mittel, um Ihr eigenes Geschäft zu starten?
> Benötigen Sie Ihre Schuld zu begleichen
> Darlehen oder Zahlen Sie Ihre Rechnungen oder starten ein nettes
> Geschäft zu? Haben Sie einen niedrigen Kredit-Score und finden Sie es
> schwer zu ein Darlehen von lokalen Banken zu erhalten und Institute
> andere finanzielle?
> Wir bieten Darlehen zu niedrigen Zinssatz von 3 %, sowie mit nicht
> Kredit check, Privatkredit, Schuldenkonsolidierung, Venture Capital,
> Business-Darlehen, Bildung-Darlehen, Darlehen oder „Darlehen aus
> irgendeinem Grund!.“
> Hinweis: Jeder Interessierte Bewerber sollten uns per e-Mail für weitere zurück
> Informationen über unsere Kredit-Programm.
> Name: Monrison-white Firma
> E-Mail: globalloancompany (at) gmail (punkt) com
> Vielen Dank für Ihr Verständnis, Ihr Ansprechpartner als wir Await

Vor allem sehr erfreulich sind die „Darlehen aus irgendeinem Grund“.

Kommentar von „morgan white“, 4. April, 1:06 Uhr

Guten Tag euch allen Ich bin Mr. Jack Warmer, eine legitime, seriöse Geldverleiher. Wir geben Darlehen an die Firma Business Männer und Frauen, die in Business-Transaktion sind, geben wir langfristiges Darlehen über drei bis 30 Jahre maximal bei niedrigen Zinssatz von 2%, in diesem können Sie auch den Betrag, den Sie als Darlehen müssen uns sagen. Darlehen in Pfund Euro angegeben und $ USD die maximale wir geben, ist 500.000.000 sowohl in Pfund Euro und US-Dollar und der minimalen £ 5.000 Euro und US-Dollar, so, wenn Sie wirklich daran interessiert sind, kontaktieren Sie uns unter (monganwhite (at) gmail (punkt) com) mehr Informationen, wie Sie den Kredit zu bekommen.

Das kitzelt im Gehirn und erreicht schon ein paar Schwitt auf der nach oben offenen Dada-Skala: „Darlehen in Pfund Euro angegeben und $ USD die Maximal wir geben“… 😯

Niemand könnte Zweifel daran entwickeln, dass es sich hier um einen Bankier handelt, der Geld verleihen kann. Was beim Lesen aufkommt, das ist so groß, das sind schon keine Zweifel mehr, das sind Dreifel.

Kommentar von „Mr.Cook“, 4. April, 8:23 Uhr

Brauchen Sie von Darlehen @ 2% Zins für Geschäfts- und Privat Zweck? Wenn ja: auszufüllen und.
Name: ===
Benötigte Menge: ===
Dauer: ==
Land: ==
Zweck: ===
Mobiltelefonnummer: ==
E-Mail über: churchfinancialservicesltd (punkt) co (punkt) uk (at) outlook (punkt) com

Ich nehme das Darlehen für Geschäfts- und Privatzweck! 😀

Und ansonsten wünsche ich dem Staat Nigeria, dass er noch Zeiten erlebt, in denen die Polizei nicht bis zum Anschlag korrupt ist, sondern solche Banden hinter Gitter bringt!

Das Problem: Paypal Sperrung

Freitag, 3. April 2015

Achtung, keine Tischkanten in Gebissnähe! Diese Qualitätsspam hält, was der Betreff schon verspricht. Es ist eine gnadenlos schlechte Phishing-Spam, an deren Gestaltung und Formulierung garantiert kein Gehirn beteiligt war:

Sehr geehrte/r Benutzer/in!

Wir bitten Sie um einer Unterstatzung [sic!] bei der Freistellung [sic!] Ihres PayPal Konto.
Es sind uns auffullige Aktivituten aufgefallen [sic!] in der Zeit Ihres letzen Aufrufs,
Ihr PayPal-Konto ist vorabergehend [sic!] gesperrt

Fremde IP-Adresse lautet 159.161.77.64

Wo liegt das Problem?
Bei Ihrer letzten Anmeldung sind uns auffallige Aktivitaten aufgefallen [sic!].

Was ist die Losung? [sic!] Bitte bestatigen Sie Ihre Personalitat durch folgenden Button [sic!] und geben Ihre Personliche Daten ein, damit wir Ihr Account freischalten konnen.
Schliesslich, konnen Sie Ihr Paypal-Konto wieder uneingeschrankt nutzen.

Klicken Sie bitte Jetzt Zugriff wiederherstellen.

Viele Grabe!! [sic!]

Email id:55v1d _ f3sd2668×2ga

Ohne Worte. Aber mit vielen Gräbern.

Konto-Status

Donnerstag, 2. April 2015

Oh, wie schön: Etwas Phishing inmitten der ganzen Vorschussbetrüger. Bei welcher Bank bin ich denn heute mal wieder so sehr „Kunde“, dass sie nicht einmal meinen Namen kennt?

Lieber PayPal Kunde,

Ah ja, bei PayPal.

Aufgrund der jüngsten betrügerischen Aktivitäten haben wir ein neues Online-Sicherheitssystem für den maximalen Schutz der persönliche Daten [sic!] unserer Kunden gestartet.
Nach dieser Tatsache, [sic! Komischer Begriff und falsches Komma.] wird Ihnen angeboten, ihr PayPal-Konto zu aktualisieren.

Wie üblich, wenn PayPal mir schreibt, sind Grammatik, Wortwahl und Zeichensetzung ein bisschen komisch. Und wenn PayPal etwas an seiner Programmierung ändert, dann muss ich deshalb tätig werden. Ein großes Problem der Phisher ist und bleibt es, dass ihnen kaum gute Gründe einfallen, warum man jetzt seine Anmeldedaten auf einer anderen Seite als auf der Anmeldeseite eingeben sollte.

Um Ihr PayPal-Konto zu aktualisieren, liegt Ihnen in Ihrer E-Mail Adresse [sic! Deppen Leer Zeichen] ein Formular zur Verfügung [sic! Ausdruck].

Da dieser Phisher nicht so wirklich gut deutsch kann, weiß er auch nicht, wie er es ausdrücken soll, dass es einen Mailanhang gibt…

Bitte laden Sie das Formular aus [sic!], rufen Sie über Ihren Internet-Browser [sic!] und folgen Sie den Anweisungen auf dem Bildschirm.

…den man öffnen, ausfüllen und beklicken soll. Es handelt sich dabei um ein HTML-Dokument mit der stolzen Größe von 177,9 KiB, das einem die Möglichkeit einräumt, die gegenüber PayPal benutzte Kombination von Mailadresse und Passwort direkt an die organisierte Internet-Kriminalität zu senden. Dem Idioten, der diesen ziemlich aufgeblähten HTML-Code mutmaßlich aus der echten PayPal-Seite schnell zusammenkopiert hat, ohne ihn auch nur halbwegs zu verstehen…

Screenshot der Darstellung der angehängten HTML-Datei im Browser

…ist leider während der Arbeit sein Wörterbuch verloren gegangen, so dass er nicht mehr nachschlagen konnte, was „new“ denn jetzt auf deutsch heißt.

Hinweis: Das Formular muss in einem modernen Browser geöffnet werden, dass JavaScript aktiviert hat [sic!]. (z.B. Internet Explorer, Mozilla Firefox)

Von nichts könnte ich weniger abraten als davon, einem Spammer das Privileg einzuräumen, Programmcode auszuführen. In diesem Fall wäre es relativ harmlos gewesen, denn hier dient ein verhältnismäßig komplexes Skript nur dazu, zu verbergen, dass die Daten nicht etwa an die Domain von PayPal gesendet werden, sondern an die ungleich weniger Vertrauen erweckende Domain s (punkt) psereu (punkt) us, die erst frisch vor einer Woche unter Angabe mutmaßlich irgendwo abgegriffener Daten registriert wurde. (Der vermutlich völlig unbeteiligte Einwohner der USA, dessen Identität hier von Verbrechern missbraucht wird, darf sich vermutlich in Kürze wegen des gewerbsmäßigen Computerbetrugs anderer Leute mit dem FBI herumschlagen. Das ist einer der Gründe, weshalb man sehr zurückhaltend mit seinen Daten umgehen sollte – egal, wie viel „Datenschutz“ auch versprochen wird.)

In einem zweiten Schritt „darf“ man übrigens einen umfassenden Datenstriptease hinlegen und jede Menge Daten gegenüber „PayPal“ angeben, die das echte PayPal schon lange kennt. Was machen die Verbrecher mit solchen Daten? Na ja, das übliche: Kreditkartenbetrug und hin und wieder mal unter einer fremden Identität auftreten, damit andere Leute ins Visier der Ermittler geraten.

Nach Abschluss dieser Phase [sic! Meinen die eine Mondphase?!] wird die Aktualisierung Ihres PayPal-Kontos normal funktionieren.

Genau wie vorher.

Wir entschuldigen uns für die Unannehmlichkeiten und danken Ihnen für Ihre Zeit.

Ja ja, ich verachte euch auch!

Für weitere Informationen kontaktieren Sie bitte den Kundenservice.

Es war offenbar kein Platz mehr auf dem Mailpapier, so dass nichts von Substanz gesagt werden konnte.

Mit freundlichen Grüßen,

PayPal-Team.

Ihr mich auch!

hi gammelfleisch

Donnerstag, 2. April 2015

Oh, das ist aber schön, dass du aus der Zeichenkette vor dem @ einfach eine Anrede gebaut hast. Und vor allem fühle ich mich sofort persönlich davon angesprochen. 😀

Hi gammelfleisch. I‘m waiting for you online now. Jessica gave me your contact. Let’s meet here

Du hast ja keinen Namen, sondern nur einen Link in eine offenbar gecrackte Website in persischer Sprache, die sich um die Behandlung von Augenerkrankungen dreht¹. Dort hast du eine tolle Seite namens backup.html hochgeladen, um sie zu verlinken. So wird auch ohne Nennung eines Namens auf der Stelle klar, mit was für einem Geschmeiß man sich nach dem Klick in diesen „Liebesbrief“ trifft.

Natürlich ist das nur eine – dann mit Affiliate-ID angereicherte – Weiterleitung auf die richtige Website der Spammer unter der Domain myshland (punkt) com, wo einem dann eine der vielen Fassaden angeblicher Dating-Sites entgegentritt:

Wer dort Daten eingibt, weil er meint, entzückende russische Frauen kennenlernen zu können, lasse alle Hoffnung fahren! Diese Daten landen direkt bei Kriminellen, und die werden dafür jede Menge Anwendungen finden, die keinem Menschen gefallen können – ein sehr gefährliches personalisiertes Phishing ist nur eine davon. Das scheint aber nur ein Nebengeschäft zu sein, was sich auch schon daran vermuten ließ, dass die Spammer es nicht einmal für nötig befanden, das im Copyright-Vermerk angegebene Jahr mal schnell an den Kalender anzupassen, denn diese Domain…

Ausgabe des Lookups bei SURBL: myshland.com is on SURBL list: MW

…befindet sich zurzeit in mindestens einer Blacklist für Websites, über die Schadsoftware verteilt wird. Statt warmer Zärtlichkeiten und erregenden Schriftverkehrs gibt es also einen „kostenlosen Sicherheitscheck“ und – wenn Browser und Betriebssystem nicht völlig sicher waren – eine aktuelle Kollektion frischer Trojaner, die kein Mensch auf seinem Computer haben möchte.

Aber dass man es mit Verbrechern zu tun hat, war ja schon an der Spam klar. Deshalb klickt man ja auch nicht in eine Spam.

¹Nein, ich verstehe kein Wort Persisch. Die Sprache habe ich an den paar arabischen Zeichen identifiziert, die es nur in der persischen Sprache gibt, vor allem ein P (B mit drei Punkten) und ein G (auffälliger Doppelstrich) – und daran, dass das Schriftbild von deutlich weniger Punkten und anderen Diakritika über und unter der Schriftlinie als in anderen mit arabischen Zeichen geschriebenen Sprachen ausgezeichnet ist. Den mutmaßlichen Inhalt der Website kann ich anhand der Fotos und Abbildungen erraten. Leider ist meine Mail beim Sitebetreiber nicht angekommen; entweder versteht er kein Englisch (unwahrscheinlich bei einem Mediziner oder doch zumindest einem Menschen mit medizinischer Bildung) oder ich bin an der strikten Internet-Zensur der gegenwärtigen Islamischen Republik Iran gescheitert (was leider wahrscheinlich ist). Die gecrackte Website kann deshalb den Halunken noch lange als Schleuder für ihre diversen Machenschaften dienen. Auch das sind Kollateralschäden einer weitgehenden Internet-Zensur.

Geben Kredite ohne burgen

Mittwoch, 1. April 2015

Das ist aber nett von euch! Wenn ich erstmal eine Burg bauen müsste, um ein Darlehen von euch zu kriegen, brauchte ich ja gar kein Darlehen.

Ansonsten ist es mal wieder ein Härtetest für das Zwerchfell. Der Text wird ja mit leichten Abwandlungen immer wieder verwendet – siehe zum Beispiel den Bullshit aus dem Sommer 2013 – aber das ist eben auch ein Problem: Die Spamfilter kennen diesen Text inzwischen auch. Unser heutiger Spammer hat sich deshalb dazu entschlossen, einen Screenshot einer aktuellen Version des Mülltextes zu machen und diesen als 191,2 KiB schwere JPEG-Grafik in die Mail einzufügen. Da der Mailanhang, der dabei entsteht, base64-codiert wird, kommt es zu einer Übertragung von rd. 250 KiB Daten, nur um rd. 1000 Zeichen Text zu übertragen. Immerhin hat der Spammer einen kurzen Anfall designerischen Exzellenzstrebens gehabt und sich deshalb dazu verstiegen, den Bullshit des Textes durch lustig eingestreute Bullshit-Bildchen aufzulockern, und das Ergebnis dieser eher geringen Mühen sieht beim Empfänger dann so aus:

Screenshot der Ansicht der betrügerischen Spam im Mailprogramm -- und nein, ich habe heute keine Lust, diesen dummen Text abzutippen.

Einfach nur unterwältigend! Ich muss sagen, dass der Absender dieser Spam eine viel größere Begabung zum Komiker denn zum Betrüger hat und lege ihm nahe, diese Gabe etwas besser zu pflegen. Vor allem das Bäumchen mit den Banknoten – übrigens mutmaßlich ohne Lizenz von Shutterstock „mitgenommen“ – macht völlig klar, dass hier Nachrichten aus einer geistigen Welt ins Postfach geprasselt sind, die man gar nicht näher kennenlernen möchte.

Dass in diesem Bilde auch recht klar wird, wie real die als Köder für die Einleitung eines Vorschussbetruges ausgelegten „Darlehen“ sind, ist ein Eingeständnis des Spammers, dem ich nicht widersprechen mag.

Wer allen Ernstes glaubt, ein Darlehen würde mit der Spam ins Haus kommen, nehme sich ein halbes Stündchen entspannter Zeit und lese bitte das Archiv zum Schlagwort „Darlehen“ ein bisschen quer. Leider ist es nicht immer so komisch wie bei der vorliegenden Spam.

Persoenliche E-mail

Montag, 30. März 2015

Die ist bestimmt irre „persönlich“, diese Spam. Das sehe ich schon daran, dass ich sie auf verschiedenen Adressen habe, und auf meiner hauptsächlich genutzten Mailadresse kam sie sogar gleich doppelt an, wohl, damit sie auch doppelt persönlich sei: Einmal um 3:22 Uhr mit dem Absender info (at) bsk (strich) ag (punkt) ch und um 9:29 Uhr mit dem Absender no (strich) reply (at) mx2 (punkt) 4shared (punkt) com.

Da hat es jemand derart nötig, Opfer für seinen Vorschussbetrug zu finden, dass er sich beim Schießen mit E-Mail-Schrotmunition selbst ins Knie schießt. Ich vermute, dass im Kopf kein lohnendes Ziel mehr vorhanden war.

Guten Tag,

Ich heiße aber „Lieber Bruder in Christus Jesus“, so wie neulich, als du eine sterbende, kinderlose Witwe aus Texas warst, die mir ein paar Millionen Dollar schenken wollte.

Ich bin Herr Juan Sebastian Morato, der Auditor General von Unicaja Bank Madrid. Im Zuge meiner Abschlusspruefung, entdeckte ich eine schwimmende Fonds [sic!] auf einem Konto, das 1990 bei der Cam Bank eroeffnet wurde, bevor der Besitz von Unicaja Gruppe gekauft wurde, ich bin der Abschlusspruefer der einem toten Auslaender Herr Kenny, der im Jahr 2004 starb, zugeteilt wurde. Jede Anstrengung, ein Mitglied seiner Familie oder einen naechsten Angehoerigen zu Ermitteln sind gescheitert. Bei meinen Ermittlungen habe ich festgestellt, dass Sie zu den naechsten Angehoerigen gehoeren, da Sie den gleichen Nachnamen tragen [sic!]. Er verstarb ohne Nachkommen oder einen Testament.

Das ist ja toll, dass ich den gleichen Nachnamen wie der Erblasser habe. Warum kannst du mich dann nicht damit ansprechen, Idiot! Ist doch klar, aus dem gleichen Grund, aus dem du mir den Namen des Erblassers erst mitteilst, wenn ich dir gesagt habe, wie ich heiße, weil ich schwimmende Fonds an Land ziehen will.

Meine Absicht ist es, diese Summe von 5,5 Mio. von den oben genannten Konto auf ein sicheres Konto zu ueberweisen.

Ich denke, du bist Banker. Da wirst du doch wohl eine betrügerische Buchung hinbeommen?!

Aber hey, wer glaubte, es ginge hier um eine Erbschaft für jemanden, der wegen des gleichen Nachnamens „verwandt“ ist, sich mit gefälschten Dokumenten einen Erbschein ausstellen lässt und sich damit dann einfach das Geld von der Bank abholen kann: Es ist keine Erbschaft, sondern…

Ich schlage daher vor, dass ich Sie als stillen Teilhaber eintrage und Sie mir ein Konto zur Verfuegung stellen, […]

…man wird stattdessen zum „stillen Teilhaber“ gemacht. Nun, einen besonderen Namen oder so etwas wie Verwandtschaft benötigte man dafür ebensowenig wie eine letztweilige Verfügung des Verstorbenen. Das ist aber auch kompliziert mit diesen ganzen Rechtsbegriffen, woher soll so ein spammender Verbrecher… ähm… spanischer Bankier die auch alle kennen und auch noch halbwegs auseinanderhalten, wenn er aus vielen alten Betrugsmails eine neue Betrugsmail macht?!

Spanien ist übrigens das Land, wo sich hin und wieder mal ein fröhlicher kyrillischer Buchstabe in den Text schleicht:

[…] oder ein neues Konto eroeffnen um dieses Geld dorthin zu ueberweisen. Fuer Ihre Unterstьtzung bei diesem Vorhaben, bin ich bereit, mit einem guten Prozentsatz des gesamten Fonds zu trennen [sic!]. Beim durchsehen der Aufzeichnungen und Akten der verstorbenen Person, entdeckte ich dass

(1) Niemand dieses Konto seit 2004 betrieben hat
(2) Er starb ohne Erben, daher das Geld weiter floss.
(3) Keine andere Person ьber dieses Konto bescheid weiss und auch kein Empfaenger eingetragen ist

Was, in einer Bank gibt es ein Konto, auf das seit zehn Jahren aus dem Nichts das Geld geflossen ist und über das niemand etwas weiß? Nicht einmal in der Buchhaltung? Der Bank würde ich aber kein Geld geben…

Wenn ich mich nicht schnellstens dieser Angelegenheit annehme, wird dieses Geld verfallen […]

…womöglich würde es da einfach verfallen.

[…] und anschliessend in Gesellschaftsmitteln fliessen, von denen nur die Regisseure [sic!] meiner Firma profitieren werden. Ich kann Ihnen dieses Geld rechtlich zukommen lassen, wenn Sie einige notwendigen Genehmigungen, die auf Ihren Namen zugelassen sind ausfuellen, wobei ich Ihnen selbstverstaendlich behilflich sein werde.

Nun, wenn du schon Regisseure in deiner „Firma“ hast, dann lass dir von denen mal helfen, deine Nummer wenigstens ein bisschen überzeugend aufzuführen! So schmeißt sich doch jeder vor Lachen weg, wenn er deine Spam liest.

Bitte geben Sie mir eine Antwort auf meine private E-Mail juan (punkt) morato1 (at) 1email (punkt) eu oder Fax 00 34 917 69x xxx, so dass ich Ihnen detaillierte Informationen ueber die Modalitдten meines Vorschlages zu senden kann.

Tja, dass du mit gefälschtem Absender mailst, habe ich schon gemerkt: Jede deiner „inhaltlich“ gleichen Spams hatte einen anderen Absender. Klar, dass man dir darüber keine Antwort geben kann.

Ich bitte Sie eingehend dieses Schreiben absolut vertraulich zu behandeln. Bitte senden Sie mir Ihre Telefonnummer auf der sie leicht zu erreichen sind. Ich freue mich auf Ihre baldige Antwort.

Ganz vertrauliches und geheimes Geheimschreiben, das offen wie eine Postkarte durch das Internet befördert wurde, bitte sofort nach dem Lesen aufessen! Auch, wenns zehn Stück sind!

Mit freundlichen Gruessen
Herr Juan Sebastian Morato
Fax 00 34 917 69x xxx

Wenn du weiter so doof schreibst, wird das nie was mit dem Geld, dass dir leichtgläubige Deppen über Western Union zustecken, Spammer.

Lieber Freund

Sonntag, 29. März 2015

Qualitätsbetreff, und die Spam hält, was der Betreff verspricht!

Sehr geehrter Herr,
Ich habe eine Investitionsmöglichkeit, um mit Ihnen die die Übertragung einer großen Geldsumme zu teilen. [sic! Oh, wie nett, jemand will Geld mit mir teilen!]
Ich arbeite für ein Finanzierungsinstitut hier in Hong Kong. Ich brauche dich [sic!], mich im Umgang mit der Übertragung eines riesige Summe Geld ($ 12 Millionen USD) aus Hong Kong, um Ihr Land zu unterstützen [sic!].
Alles an dieser Transaktion rechtlich ohne Probleme durchgeführt werden.[sic!]
Sobald das Geld auf Ihr Konto übergegangen ist, werden wir im Verhältnis zu teilen, die von mir und euch zu vereinbaren [sic!].
Kontaktieren Sie mich durch meine private E-Mail-Adresse: wlia24 (punkt) hk (at) aol (punkt) com
Wenn Sie interessiert sind, und ich gebe Ihnen mehr Details.
Ihre schnelle Antwort sind wir dankbar [sic!].

Herzliche Grüße,

Herr Wu Liang.
wlia24 (punkt) hk (at) aol (punkt) com

Ich erspare mir mal jeglichen Kommentar. Derartige Kaliber von spammenden Spam-Bankiers sprechen schon gut für sich selbst.

Änderung Ihrer Telefon-Banking PIN

Sonntag, 29. März 2015

Was, ich habe eine?! Das wusste ich ja noch gar nicht… 😀

Über dem Mailtext ist das Logo der Deutschen Bank aus der Website der Deutschen Bank hotgelinkt¹.

Wichtige Kundenmitteilung:

Referenznummer: # 277-193-1490053

Wichtig! Und mit ganz toller und vor allem wichtiger Nummer. Eine Kontonummer – die spätestens für jemanden mit mehreren Konten wirklich wichtig wäre – gibt es allerdings nicht. Wie kommt das nur?

Bei dieser Phishing-Spam stimmt nicht nur das Design…

Screenshot der Spam

…und das Datum (sie ist vom Freitag)…

Datum: 27. März 2015

…sondern sogar die namentliche Anrede:

Sehr geehrter Herr Elias Schwerdtfeger,

um unsere Kunden bestmöglichst [sic! Die Steigerung von bestmöglich ist dümmstmöglich] schützen zu können, fordern wir in regelmäßigen Abständen dazu auf, Ihre persönliche Telefon-Banking PIN zu ändern.

Wenn die Spam jetzt noch an die richtige Mailadresse für den Namen Elias Schwerdtfeger gegangen wäre und dieser gewisse Elias auch noch ein Konto bei der Deutschen Bank gehabt hätte, dann wäre es eine richtig gefährliche Phishing-Spam – danke nochmal, Frank, für dieses heitere Zustecksel aus deinem Mülleingang! Aber man sieht auch an solchen Fehlschlägen: Die kriminellen Spammer führen allerlei Datenbestände zusammen, um eine überzeugende Ansprache von Empfängern in derartigen Betrugsmails hinzubekommen, und in jenen siebzig bis neunzig Prozent der Fälle, in denen das klappt, ist das Phishing sehr gefährlich. Wo die verwendeten Daten herkommen, die das Phishing so gefährlich machen? Zu einem erheblichen Teil von Unternehmen mit dem Reklameversprechen des bestmöglichsten [Die idiotische Steigerung ist Absicht von mir!] Datenschutzes, zu einem anderen erheblichen Teil aus weiteren Quellen wie trojanisch abgegriffene Smartphone-Daten, gecrackte Foren, gesetzlich erforderliche Angaben in Websites (die Impressumspflicht mit Name und Mailadresse in der BR Deutschland hilft tatsächlich nur Kriminellen, sonst niemanden).

Deshalb immer daran denken: Die Banken versenden derartige Mails niemals. Sie legen weder Links auf Login-Seiten, noch fordern sie auf obskuren Websites in Domains wie deutsche (strich) dbaenderung (punkt) org [sic!] zur Eingabe von Daten auf, die sie längst schon kennen. Es handelt sich immer um Spam. Es handelt sich immer um einen Betrugsversuch. Wenn sie sich doch einmal unsicher sein sollten, klären sie diese Sache einfach telefonisch mit ihrer Bank, denn das ist billiger und nervenschonender als zum Opfer eines Betrugs und eines Identitätsmissbrauchs zu werden und mehrere Monate neben finanziellen Verlusten viel Schreibkram, Lauferei und Ärger zu haben.

Jetzt aber – nach vielen Worten, die leider wieder von viel zu wenig Menschen gelesen werden – noch schnell den Rest der Spam:

Bitte benutzen Sie den, unten angezeigten Button um die Änderung Kostenfrei [sic! Falsche Großschreibung! Falsches Komma!] durchzuführen.

Andernfalls müssen wir Ihr Konto mit 25,99 EUR belasten und die Änderung schriftlich über den Postweg bei Ihnen einfordern. [sic! Wollen die das dann in der Bank von handgeschriebenen Formularen abtippen?! Das wird ein Spaß für die ganze Abteilung!]

Dies ist ebenfalls eine beliebte Masche in betrügerischen Mails: Klicken sie sofort, sonst wird es für sie teuer. Das soll jedes Nachdenken vor dem Klick im Keim ersticken, und es steht zu befürchten, dass das auch öfter mal funktioniert. Wie nahe eine solche Aufforderung einer Nötigung steht, bemerkt leider auch nur jemand, der kurz darüber nachdenkt.

Der echten Deutschen Bank würden jedenfalls sehr geharnischte Briefe eingehen, wenn sie allen möglichen Kunden neben den eh schon unverschämten Gebühren grundlos 26 Øre für selbstgemachte technokratische Abläufe in Rechnung stellte. Und zu was? Zu Recht! (Denn sonst würde die echte Deutsche Bank das einfach machen, wenn sie damit durchkäme…)

Ihren Telefon-Banking PIN können Sie wie folgt ändern:

1. Klicken Sie auf den unten eingeblendeten Button.

2. Füllen Sie alle Daten sorgfältig aus und klicken Sie dann auf „Daten absenden“.

3. Ihren neuen Telefon-Banking PIN erhalten Sie nach 5-7 Werktagen.

Zur Aktivierung

Der Link sollte im Original in die schon oben erwähnte, realsatirische Domain deutsche (strich) dbaenderung (punkt) org gehen – aber leider war dieser Spammer zu blöd, einen Link in einer HTML-formatierten Spam zu setzen und vergaß die Protokollangabe im href-Attribut, so dass der Link nicht funktioniert. Ich habe dennoch keine „Mühe“ gescheut, mir den Quelltext der Spam angeschaut, ein bisschen über die dummen Stümper gelacht und sowohl einen Screenshot der Login-Seite als auch der Datenstriptease-Seite zu Flickr hochgeladen. Warum sollte ein Spammer seine Drecksmail auch nur mal kurz testen, bevor er sie aufs Internet loslässt. Wenn er sich Mühe geben wollte, könnte er ja gleich arbeiten gehen…

Die nächste Spamwelle wird leider funktionierende Links haben, denn sogar ein frisch amputierter Idiot von Spammer bemerkt es, wenn überhaupt niemand die Seite aufruft und fängt dann an, seinen Fehler zu suchen. Tja, gelegentliches Nachdenken bewahrt einen davor, das Nachsehen zu haben, das gilt auch für Kriminelle.

Unser Online Support steht Ihnen von 10-14 Uhr (werktags) für Fragen zur Verfügung.

Wie jetzt, und zwischen 14:01 Uhr und 9:59 Uhr am nächsten Morgen ist das Internet in der Deutschen Bank abgeschaltet?! Weil es in diesem Zeitraum keine Probleme gibt?! Lustig! Da kann ich ja richtig verstehen, dass diese „Deutsche Bank“ nicht auch noch einen Link auf einen oft einfach unbrauchbaren, weil nicht vorhandenen Support legt. 😀

Mit freundlichen Grüßen,

Urlich Bothfehld
Deutsche Bank Sicherheitsabteilung

Überflüssig zu erwähnen, dass diese Spam niemals einen Server gesehen hat, der zur Deutschen Bank gehört.

Wer darauf reingefallen ist, sollte sich unverzüglich mit dem Support der richtigen Deutschen Bank in Verbindung setzen, um weiteren Schaden zu vermeiden. Eine schnelle Zusammenarbeit mit der Kriminalpolizei könnte dazu führen, dass diese Verbrecher auch mal dingfest gemacht werden, und das fände ich sehr begrüßenswert.

¹Was wäre doch gewonnen, wenn die Deutsche Bank bei derartigen Phishing-Wellen einfach das hotgelinkte Bild auf ihrem Webserver durch ein anderes Bild ersetzen würde (und in der Website dann schnell das Bild im Header austauschen würde, was bei vernünftiger Organisation die Bearbeitung einer einzigen Datei ist), zum Beispiel durch ein Bild mit einer deutlichen Warnung vor der Spam. Aber so simple und vor allem so viele – also einen einzigen – Gedanken um den schnellen, wirksamen und einfachen Schutz der eigenen Kunden vor Betrügern in einer akuten Phishing-Welle macht sich bei der Deutschen Bank offenbar niemand. Vermutlich ist der Schaden für die Bank versichert, und wenn die Phisher mit den eingesammelten Daten auch noch einen Identitätsmissbrauch machen, handelt es sich aus Sicht der Deutschen Bank um ein Problem anderer Leute, so genannter „Kunden“. Wenn sie Kunde bei der Deutschen Bank sind, sollten sie das wissen und es auch mal gegenüber der Deutschen Bank deutlich machen!