Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Schlagwortarchiv „Click here“

Betreff: Wichtige Erneuerungen im Online Banking

Dienstag, 8. September 2015

Schön, dass du im Betreff erwähnst, dass es sich um einen Betreff handelt. Da wäre ich sonst niemals drauf gekommen.

Absender: comdirect bank AG <kundendienst (at) comdirect (punkt) de>

Wer sich unsicher ist: Nein, diese Spam kommt nicht von der Comdirect Bank, sondern von Kriminellen – der Absender ist gefälscht. Wer mir das nicht glaubt, kann ja mal die echte Comdirect Bank fragen.

Sehr geehrte Kundin,
Sehr geehrter Kunde,

Genau mein Name. Und: Genau meine Kontonummer.

Es soll ja Leute geben, die mehrere Konten führen, und das sind gar nicht so wenige. Deshalb wird eine echte Bank in jeder Korrespondenz angeben, auf welches Konto sich der Vorgang bezieht.

Bitte beachten Sie, dass Ihr Online-Banking Zugang bald abläuft, da dieser noch nicht unserem neuen Online-Banking System angepasst wurde.

So so, und wieso ist das mein Problem? Bin ich Admin bei euch? Pflege ich eure Datenbanken? Was kommt als nächstes? „Ihre Überweisung konnte nicht durchgeführt werden, weil sich ihre Kundendaten noch im alten Datenformat befinden“? Oder: „Sie können kein Geld vom Automaten abheben, weil wir unsere Steuerung noch nicht an die neuen Geräte angepasst haben“?

Dies hätte automatisch erfolgen sollen, wurde aber bei einigen Online-Banking Zugängen wegen Überlastung unseres Servers nicht abgeschlossen.

Ach so! Ihr habt nur einen Server, und wenn der um den Ersten rum mal ein bisschen heißläuft, dann kann darauf halt nichts anderes mehr laufen. Ich verstehe!

Diese Online-Banking Zugänge müssen nun manuell aktiviert werden, um einer automatischen Sicherheitssperrung vorzubeugen.

Und, was habe ich damit zu tun, wenn ihr eurer technisches Verfahren ändert? Macht mal! Viel Glück!

Ich blogge hier zum Beispiel über Spam, und als Blogging-System verwende ich WordPress. Davon gibt es manchmal eine neue Version, und dann müssen sogar ein paar Änderungen an der Datenbank durchgeführt werden. Dafür läuft dann ein Skript durch, und kein Leser oder Kommentator oder RSS-Nutzer bekommt davon etwas anderes mit, als dass das Blog für ein paar Sekündchen nicht zur Verfügung steht, um danach völlig problemlos wieder da zu sein.

Der Vergleich mag banal klingen, aber genau so ist das auch bei großen Systemen: Die Änderungen sind systematisch und sie werden automatisch mit einem Skript durchgeführt. Das können Computer ziemlich gut¹… 😉

Sollte Ihr Zugang aus Sicherheitsgründen gesperrt werden, müssen Sie bis zu 28 Tagen warten, bis Sie Zugangsdaten für das neue Online-Banking per Post erhalten und Ihr Online-Banking wieder nutzen können.

Ich wusste ja schon, dass die Sackpost langsam geworden ist, aber das so ein Brief jetzt einen ganzen Monat braucht… :mrgreen:

Bitte führen Sie daher die Aktualisierung so schnell wie möglich durch, um Probleme in Ihrem Online-Banking zu vermeiden. Um Ihren Online-Banking Zugang jetzt zu aktivieren, melden Sie Sich zunächst hier bei Ihrem Online Banking an, und füllen Sie das Online-Formular aus:

Klicken Sie hier – >

Der Link führt natürlich nicht in die Domain der Comdirect Bank, sondern in ein von Kriminellen gecracktes WordPress-Blog, in dem eine Seite hochgeladen wurde, die „liebevoll“ das Design der Comdirect Bank nachbildet. Dort kann man sich anmelden und den Verbrechern anschließend ganz viele Daten mitteilen, die die echte Comdirect Bank schon lange kennt.

Wer darauf reingefallen ist, sollte sich sofort mit seiner Bank in Verbindung setzen, um weiteren Schaden zu vermeiden.

Nach Ausfüllen des Formulars haben Sie den ersten Schritt zur Aktivierung des neuen Online-Bankings beendet. Wir danken Ihnen für Ihre Mitarbeit und Ihr Verständnis

Oh, wie nett, mir wird für meinen ersten Schritt, meine Mitarbeit und mein (nicht vorhandenes) Verständnis gedankt, und…

Vielen Dank für Ihr Verständnis und Ihr Vertrauen in die comdirect.

…natürlich wird mir für mein (nicht vorhandenes) Verständnis und (bei Banken auf unterirdischem Niveau liegendes) Vertrauen gedankt.

Mit freundlichen Grußen,

Mit fehlenden Punkten über dem „u“,

Kundendienst

Unpersönlich-technische Selbstbezeichnung.

¹Ich habe vor ein paar Wochen dieses Blog auf einen neuen Server umgezogen, und ich konnte eine Menge Anpassungen für die neue Umgebung mit ein paar Skripten erledigen. Datenverarbeitung ist keine schwarze Magie, sondern sie besteht darin, dass man die Maschine arbeiten lässt und sich selbst angenehmeren Dingen zuwendet.

Wichtigste Email des Jahres – unbedingt lesen!

Mittwoch, 2. September 2015

Hallo, ich hab Dir am Montag ne wichtige EMail gesandt und bin nicht sicher,
ob Du sie gelesen hast. Daher hier eine kleine Erinnerung:

Hallo, ich kenne dich nicht, und mein Sondermüll ist schon vorgestern nicht an deinem Spamfilter vorbeigekommen.

Ich habe dir auch etwas echt wichtiges zu sagen:

Der Sohn meines Freundes von mir brach vor 2 Jahren sein Studium ab.

Es gibt Leute, die du nicht kennst und die ihr Studium abbrechen.

Ich war baff als ich sah, was aus ihm geworden ist – schau Dir das mal an!

Was daran so toll ist? Ich habe leider zu wenig Platz auf meinem E-Mail-Papier, und deshalb gibts einen klicki klicki Link, an dem eine eindeutige ID hängt, damit ich auch weiß, wer darauf klickt.

Das ist eine Warnung für alle die Kinder haben und vor allem für alle die selbst ein
Studium oder eine Ausbildung gemacht haben. [Siehe Video Nachricht].

Obwohl ich dir in meiner Spam gar nicht sage, um was es geht, ist es eine Warnung und echt jetzt mal total mega wichtig für jeden und alle.

Dies kann und wird wahrscheinlich die wichtigste Videonachricht des Jahrs – oder gar des Lebens? -
für Dich sein. Es kann eine Warnung sein aber auch eine Inspiration.

Es ist noch nicht mal klar, obs eine Warnung ist. Aber es ist wichtig. Verstehst du? Wichtig!

Liebe Grüße,

Thomas

Mit winkewinke,

Dein krimineller Spammer

PS: Ich bin mir sicher, dass Du dankbar sein wirst, dass ich dafür gesorgt hab, dass Du diesese Videonachricht nicht verpassen wirst.

PS: Ich bin mir sicher, dass du zu doof bist, um nach oben zu scrollen, und deshalb sei mir dankbar, dass ich den Link unten noch einmal setze.

Wenn Du Kinder hast, dann sorg dafür dass diese diese Nachricht auch sehen. Es wird
ihren Lebenslauf drastisch beeinflussen – wenn Du es nicht ansiehst negativ und wenn Du es ansiehst,
positiv.

Bitte führ auch deine Kinder zu meinen kriminellen Geschäftsideen.

Click here to unsubscribe

Entf!

Übrigens: Katzen im Sack werden auch dann nicht beliebter, wenn sie mit einer illegalen und asozialen Spam kommen.

Ray Ban Sonnenbrille! Nur 24 Stunden! EXTRA 90% Rabatt!

Mittwoch, 2. September 2015

Nur 24 Stunden! Der Rabatt rennt vor euch weg!

Ray Ban Sonnenbrille! Nur 24 Stunden! EXTRA 90% Rabatt!

Das hast du schon im Betreff gesagt, Spammer!

Im Webbrowser anzeigen: http://brille.bagdubak.org.

Die Spam ist eine HTML-formatierte Mail, und der Link geht nicht auf die im Linktext angegebene URL, sondern zusammen mit einer eindeutigen ID in der URI in die Domain suneus (punkt) com, damit der Spammer auch mitbekommt, bei wem die Spam ankommt und beklickt wird. Von dort wird dann in die Domain bagdubak (punkt) com weitergeleitet, damit die Opfer dieses Trackings nicht merken, dass sie keinen ganz gewöhnlichen Link geklickt haben. Nichts ist einem kriminellen Spammer so zuwider wie das Setzen eines direkten Links.

Es hat aber nichts geholfen. Sowohl suneus (punkt) com als auch brille (punkt) bagdubak (punkt) org stehen bereits auf jeder Blacklist dieser Welt, und die Spam wird zielsicher in den Müll befördert, wo sie hingehört.

Sie erhalten diese E-Mail, weil Sie eine Ray-Ban E-Mail-Abonnent sind. Unsere Datenschutzrichtlinie.

Ach, so nennt man das heute! :mrgreen:

Um aus unserer Mailingliste gestrichen werden, klicken Sie bitte hier: Abmelden Hier.

Wer auf „click here“ klickt, lasse alle Hoffnung fahren!

Copyright ©2006 Ray Ban Inc. All rights reserved…

Wow, von 2006. Diese Spam ist aber lange „gereift“. Deshalb ist sie wohl auch so „gut“ geworden… :mrgreen:

Sonnenbrillen von Ray-Ban nach Modell, Gestellmaterial, Gestellfarbe und Gläserfarbe im Ray-Ban Deutschland Online-Shop kaufen.

Unfassbar! Die Spam ist zu Ende, und da fällt dem Spammer ein, dass er in der Spam vielleicht auch mal mitteilen könnte, um was es geht. Großes Kino im kleinen Köpfchen!

Ob seine Website wohl besser ist als diese gnadenlos miese Spam? Die Domain bagdubak (punkt) org wurde über einen Whois-Anonymisierer aus dem brummenden Peking im Frühling dieses Jahres anonym registriert. Sie dient aber nur als Weiterleiter zum „Shop“ in der Domain neubrille (punkt) com, die im Sommer dieses Jahres ebenfalls anonym registriert wurde. Ob dieser Shop wohl „besser“ als die Spam ist? Ach, ich habe mal einen Screenshot davon gemacht, denn auch hier AUSSER BIS 85% RABATT! Über 2 Brillen, Freies Verschiffen! Bitte auch nach unten scrollen! 😉

Was sich auf dieser Website nicht findet, ist ein Impressum.

Diese Qualitätsspam ist ein Kandidat für eine der schlechtesten Spams dieses Jahres…

Julia und ich können uns nicht entscheiden ob…

Montag, 17. August 2015

Werft doch einfach eine Münze, wenn ihr euch so sehr mit der Entscheidung quält, dass ihr mir das gleich achtfach mailen müsst! Oh, auf der anderen Adresse habe ich auch noch elf davon… weia, müsst ihr es nötig haben!

Hallo Eli!

Der Name ist ja fast richtig! :mrgreen:

Unsere Mitglieder hinterlassen Dir folgende Nachricht:
„Sarah und ich haben Dein Profil auf www.flirt-dreier.com entdeckt und würden Dich gerne kennenlernen.
Wir sind 25 und 26 Jahre alt und studieren beide BWL. Hättest Du Lust uns mal kennenzulernen zum…“

Zum was? Das ist aber auch schade, dass der Platz in E-Mails immer so begrenzt ist. Und ich sitze jetzt hier und soll mich fragen, ob die beiden BWL-Studentinnen mich kennenlernen wollen, um herauszukriegen, ob ich Lust habe, die veröffentlichten Bilanzen einiger DAX-Unternehmen zu analysieren oder ob sie noch andere Interessen haben. Aber der Spammer bietet mir ja einen Weg, und das Hinweisschild auf diesem Weg lautet „Click here“:

Zum Beantworten dieser Nachricht klicke hier:

http://www.flirt-dreier.com/[ID entfernt]

Willst Du erstmal das Profil der beiden ansehen klicke hier:

http://www.flirt-dreier.com/[ID entfernt]

Wie üblich ist das eine Wegwerfdomain, und der Klick ist eine Weiterleitung in die Website unter der Domain whatsfuck24 (punkt) com, also ein „alter Bekannter“. Dieser erstrahlt jetzt freilich in neuem Gewande¹:

Screenshot der betrügerischen Dating-Website

Die schwarzen Balken sind natürlich von mir, und wer sich noch nicht vorstellen kann, was darunter zu sehen wäre, gehört zu denen, wofür ich sie reingemacht habe. 😉

Und überhaupt: Das muss doch unbequem sein mit den Schuhen im Bett. :mrgreen:

Viel Spass beim Flirten zu Dritt
Dein Team von Flirt-Dreier

So so, „Flirten zu dritt“ nennt man das jetzt also…

Keine Dreier-Flirt-Nachrichten mehr?
http://www.flirt-dreier.com/abm/[ID entfernt]

Vor meinem Arsch ist auch kein Gitter!

¹Sorry, ich habe heute einen Clown gefrühstückt…

Sparkasse Online-Konto Aktualisierung

Donnerstag, 13. August 2015

Sehr geehrter Kunde,

Genau mein Name!

HINWEIS: Zugriff auf Ihr Online-Konto läuft kurz.

HINWEIS: Zugriff auf das Spammerhirnchen läuft knapp.

Um weiterhin diesen Vorteil zu nutzen, bitten wir Sie Daten auf den folgenden Link, um zu bestätigen.

Sparkasse Online-Konto Aktualisierung: klicken Sie hier

Toll, in ein gecracktes WordPress-Blog! Da glaubt jeder – die Spam ist ja auch sprachlich wieder einmal extragut geraten – sofort an die Sparkasse und gibt deshalb in einem „Antrag“ lauter Daten ein…

Screenshot eines Details der Phishing-Seite

…die die echte Sparkasse schon lange kennt. Egal, was für einen Sinn das haben soll. So kommen Verbrecher an Konten anderer Leute und an Adressmaterial für betrügerischen Identitätsmissbrauch.

Gut, dass die meisten Phisher so stümperhaft sind.

Schlimm, dass es trotzdem zu funktionieren scheint.

Dank für Ihre Mitarbeit und Verständnis.

Mit freundlichen Grüßen.
Ihre Sparkasse Kundenservice.

Mit mechanischem Gruß vom Phisher.

Mara_89 sucht Dich (3,7 km entfernt) zum hei…

Mittwoch, 12. August 2015

Diese Spam kam bei mir auch mit Jolina, Annika, Maria, Linda, Kira, Sina, Susi, Emma, Lena, Carolin, Pia, Angelina… jedesmal mit einer angehängten 89. Offenbar hat der Spammer eine Liste mit weiblichen Vornamen. Wenn er ein Gehirn hätte, wäre mir das allerdings lieber.

Hallo n!

Denn ein Spammer mit einem Gehirn könnte ja auch mal auf die Idee kommen, seinen Datenbestand durchzuarbeiten. Der Name „n“ wirkt doch sehr unwahrscheinlich.

unser Mitglied Mara_89 lässt Dir folgende Nachricht zukommen:
„Halloooo! Wir wohnen nur 3,7 km entfernt und ich find dich voll süß! Lass uns doch mal heis….“ [Nachricht gekürzt]

Schade, dass der Platz in E-Mail immer so beschränkt ist und dass man und frud deshalb niemals seine und ihre Sätze beenden kann, denn jetzt werde ich nie mehr erfahren, was diese ganzen Frauennamen aus meinem 3,7-Kilometer-Umkreis auf einmal alle mit mir machen wollen. Vermutlich wollen sie einfach nur heiße Suppe essen. :mrgreen:

Wenn Du die Nachricht ganz lesen willst oder das Profil von Mara_89 aufrufen willst [sic! Komma fehlt.] klicke hier:

http://www.umkreis-flirt.co/[ID entfernt]/Mara89/

Wenn Du Ihre Kennenlernanfrage annehmen wilst klicke hier:

http://www.umkreis-flirt.co/[ID entfernt]/anfrage3455456/

Immerhin, im Design des Betruges hat sich etwas getan:

Screenshot der betrügerischen Datingseite WhatsFuck -- Um an unserer exklusiven WHATSFUCK-SEXBÖRSE teilnehmen zu können musst du die folgenden drei Fragen beantworten -- Frage 1: Hast du ein Smartphone? -- Frage 2: Hast du Whatsapp installiert? -- Frage 3: Willst du per Whatsapp heute noch ein Fickdate vereinbaren?

Früher sahen die so aus. Und wenn sie Facebook-Nutzer betrügen wollten, sahen sie so aus. Oder so. Inzwischen scheint jemand bei den Betrügern gemerkt zu haben, dass es selbst latent Schwachsinnige nicht mehr überzeugt, wenn man den Hintergrund tapetenartig mit Frauenfleisch pflastert. Das ist eine Einsicht, zu der ich gratuliere – und so ungern ich das sage: Das neue Design für den spamgetriebenen Dating-Beschiss ist ungleich besser als das alte. Es war allerdings auch nicht wirklich schwierig, es besser zu machen… :mrgreen:

Viel Spass beim Flirten,
Ihr Umkreis-Flirt-Team

Ich finde ja, dass das Wort „Umkreis-Flirt-Team“ einen enormen realdadaistischen Reiz hat.

Du magst nicht flirten?
http://www.umkreis-flirt.co/abm/[ID entfernt]/

Noch mehr Spam? Einfach klicken! Es ist genug für alle da! (Nur für vollständige Sätze ist in den Spams kein Platz, man soll sich ja auf Verbrecher-Sites klicken.)

Stagefright-Virus bedroht ihr Konto

Dienstag, 11. August 2015

Das Wichtigste vorab: Diese E-Mail kommt nicht von der Postbank. Es ist Phishing und der Versuch, ihnen einen Trojaner unterzujubeln. Löschen sie diese E-Mail! Wenn sie das mir als „irgendeinem dahergelaufenen Blogger“ nicht glauben wollen (was durchaus vernünftig ist, denn sie kennen mich nicht und ich kann ein beliebiger Vollidiot sein), überzeugen sie sich davon, indem sie kostenlos bei der Postbank-Hotline für Sicherheitsfragen unter der Telefonnummer 0800 1008906 anrufen und dort noch einmal nachfragen! Und nachdem sie dort die Bestätigung gehört haben, löschen sie diese Spam! Die Postbank versendet solche E-Mails nicht. Kommen sie auf gar keinen Fall auf die Idee, wegen einer E-Mail einer Bank irgendwelche Daten irgendwo einzugeben! Egal, was der Grund dafür sein soll! Es ist eine sehr schlechte Idee, die sie viel Geld kosten kann und ihnen monatelangen Ärger aller Art einbringen kann. Und wenn sie schon die Hotline anrufen, stellen sie dort auch gleich die Frage, warum vor dieser sehr gefährlichen laufenden Betrugsnummer noch nicht prominent auf der Kundenwebsite der Postbank gewarnt wird, denn zurzeit scheint bei der Postbank noch niemand auf diese naheliegende Idee gekommen zu sein – obwohl dort ansonsten geradezu vorbildlich auf gängige Betrugsmaschen hingewiesen wird. Eine prominent platzierte Warnung könnte so viel Schaden verhindern und kostet dabei so wenig Aufwand…

So, jetzt aber…

Es war ja klar, dass die Spammer darauf aufspringen würden. Wer auch nur eine Spur Verantwortung fühlt, wird allerdings niemals auf die Idee gekommen sein, seine Kontoführung mit einem Wischofon¹ zu machen – denn in diesen werksseitig funktionslimitierten Computern für Dumme verbindet sich die Security-Blauäugigkeit der Neunziger Jahre mit der technisch kompetenten organisierten Kriminalität der Zehner Jahre.

Tja, und wer seine Kontoführung nicht mit so einem gefährlichen Spielzeugtelefon macht, der lacht schon beim Anblick des Betreffs, lehnt sich zurück und hat eine Möglichkeit weniger, mit derart plumpen Nummern überrumpelt zu werden.

Diese Spam habe ich übrigens nicht selbst empfangen, sie wurde mir von einem Freund mit Konto bei der Postbank zugesteckt, der schon wegen des…

Von: „Postbank.de“ <do-not-reply@postbank.de>

…in der Spam angegebenen Absenders verunsichert war, ob sie nicht echt sein könnte. Ich hoffe, er hat sich jetzt für alle Zeiten gemerkt, das der Absender einer E-Mail ohne Aufwand gefälscht werden kann und somit gar nichts über die Herkunft einer E-Mail sagt. Was Banken tun können, um solche Verunsicherungen bei Empfängern von kriminellen Phishing-Spams zu verhindern, habe ich schon vor vier Jahren geschrieben und werde es hier nicht wiederholen. Dass die meisten Banken immer noch nichts tun, ist ein Beleg dafür, dass ihnen ihre Kunden egal sind und dass sie sich nicht daran stören, wenn Kriminelle das Geld ihrer Kunden für dicke Autos, Kokain und Prostituierte ausgeben können. Als Kunde einer solchen Bank würde ich die darin ausgedrückte Verachtung in vollem Umfang zurückgeben und mir einen seriöseren Dienstleister für meine Geldsachen suchen.

Sehr geehrte/r Kunde,

Weder kennt diese „Postbank“ den Namen des Empfängers, noch macht sie eine Angabe, auf welches Konto sich diese Mail bezieht². Spätestens an dieser Stelle sollte jedem Empfänger klar sein, dass es sich um eine Spam handelt.

Die Postbank Sicherheitszentrale [sic! Deppen Leer Zeichen] warnt vor einer Sicherheitslücke beim Smartphone-Betriebssystem Android von Google. Hacker könnten die Daten einfach per MMS stehlen [sic!] und ihr Handy karpern. Der Virus schleicht sich von alleine in ihr System [sic! Komma fehlt.] ohne dass Sie es bemerken.

Ich gehe darauf inhaltlich nicht weiter ein, außer vielleicht diese eine Kleinigkeit: Es geht bei Stagefright nicht um „Daten per MMS stehlen“, sondern um „beliebigen Code in eine MMS (oder ein irgendwie, zum Beispiel bei einem Hangout, vom Wischofon verarbeitetes Video) einbetten und unbemerkt ausführen“. Der „Postbank Sicherheitszentale“ aus der wirren Kopfwelt dieser Spammer scheint das nicht so völlig klar zu sein, und offenbar setzen die Kriminellen auch darauf…

Einen ausführlichen Bericht über den Stagefright Virus finden sie auf Hier [sic!]

…dass ihre Opfer mit dem verlinkten Artikel auf Zeit Online intellektuell überfordert sind. Das sind ja immerhin Buchstaben, die Text formen, der gelesen werden will – und übrigens recht unklar ist, da er mutmaßlich von einem Journalisten ohne vertiefte technische Kenntnisse verfasst wurde. Eine etwas klarere Darlegung gibt es bei Heise Online.

So schützt die Postbank Sie!

1. Wenn Sie im Besitz einen Android-Handys dann folgen Sie bitte den Anweisungen!

Aha, die „Postbank“ schützt mich, indem ich den Anweisungen folge. Vielleicht sollten die „Sicherheitsexperten“ dort mal einen Deutschexperten einstellen, damit die Formulierungen nicht so mies klingen… 😀

2. Klicken Sie „hier“ oder öffnen Sie die Datei in ihrem E-Mail Anhang!

Ein Klick auf „Click here“ in einer digital unsignierten Mail eines Unbekannten ist immer ein ganz besonders großer Beitrag zur Computersicherheit… :mrgreen:

3. Füllen Sie alle Daten aus und bestätigen Sie auf „Daten absenden“

Ich denke, die „Postbank“ will mich schützen. Stattdessen soll ich einen Anhang öffnen und ausfüllen. Dieser Anhang ist übrigens eine HTML-Datei. Wer Interesse daran hat: den Quelltext habe ich bei Pastebin hochgeladen. Das Wichtigste steht in Zeile 110, ich habe hier mal den interessanten Teil isoliert:

<form ... action="http://b.adress-datenabgleich.com/postbank_check.php" ...>

Die eingegebenen Daten gehen nicht an einen Server in der Domain der Postbank, sondern über die obskure und vor ein paar Tagen anonym registrierte Domain adress (strich) datenabgleich (punkt) com an einen von Verbrechern kontrollierten Server, der zu diesem Zeitpunkt erfreulicherweise schon vom Internet genommen wurde. (Ein Dank an den Hoster für die schnelle Reaktion! Aber es kann ja auch nicht jeder so langsam wie die Postbank sein, wenn millionenfacher Betrug durchgeführt wird…)

Welche Daten das sind? Diese Daten hier:

Screenshot des Anhanges mit einer Phishing-Seite im Design der Postbank. Unter der Überschrift 'Postbank Stagefright Virus entfernen' soll die E-Mail-Adresse, die Kontonummer und ein Passwort oder eine PIN eingegeben werden.

Wer den Verbrechern so Zugriff auf das Postbank-Konto gegeben hat und ihnen bestätigt hat, unter welcher Adresse die Spam ankommt und beklickt wird, darf sich schon „freuen“:

Screenshot des zweiten Schrittes der Phishing-Seite. Text: Weiteres vorgehen [sic!] -- Wir senden ihnen umgehend eine E-Mail mit einer Software, mit der Sie den Stagefright-Virus entfernen können. -- Gehen Sie Schritt für Schritt nach unserer Anleitung vor und entfernen sie den Stagefright-Virus. -- Sollten Sie nicht wie vorgeschrieben den Stagefright-Virus entfernen und ein Schaden ensteht [sic!], ist die Postbank nicht verpflichtet den Schaden zu erstatten.

Der nigelnagelneue Trojaner, den garantiert noch kein Antivirus-Schlangenöl kennt, wird gleich hinterhergeliefert.

Wir senden ihnen umgehend eine E-Mail mit einer Software mit der Sie den Stagefright-Virus entfernen können.

Die allerdings sehr naheliegende Frage, warum die „Postbank“ nicht gleich jedem ihrer angemailten Kunden eine E-Mail mit einer derartigen Software zusenden sollte, die beantwortet der freundliche Phisher und Cracker nicht.

Übrigens ist „Stagefright“ kein Virus, außer vielleicht in einem eher skurillen Sinn des Wortes. Es ist eine schwere, auf vielerlei Wegen ausbeutbare Sicherheitslücke in Android.

Mit freundlichen Grüßen
Ihre Sabine Heinel
Postbank Newsletter-Redaktion

Wenn das die Freundlichkeit ist, will man den Hass nicht mehr kennenlernen.

¹Wischofon ist mein deutsches Wort für das Reklamewort „smart phone“. Es bezeichnet den Gegenstand nach der Tätigkeit, die am häufigsten auf ihn ausgeführt wird: Wischen mit den Fingern. Ich meine das nicht als Schimpfwort.

²Es ist gar nicht selten, dass jemand mehrere Konten hat.

Re: Signed Invoice

Donnerstag, 6. August 2015

Die ist ja kurz!

Dear Sir,
The attached invoice is for FYI.

Best Regards.

So weit, so schlecht. Bei diesem kurz angebundenen Text erwarte ich eine knackige EXE-Datei in einem ZIP-Archiv; aber nein, es handelt sich wirklich um ein PDF. Dieses PDF sieht aber nicht aus wie eine Rechnung, sondern es sieht so aus:

Screenshot eines Teils des PDFs

So sieht zumindest die obere rechte Ecke des PDFs aus. Sie zeigt den Hinweis, dass es eine angehängte Datei gibt (als ob man das nicht in seiner Mailsoftware gesehen hätte), ein übergroßes PDF-Piktogramm und einen klicki klicki Linktext mit „Click here“. Der Link aus dem PDF ist kein direkter Link, sondern wird über einen URL-Kürzungsdienst umgeleitet. Und zwar auf eine Website…

Screenshot der gefährlichen Website

…die so tut, als sei sie Google, die aber in wenig überraschender Weise mit Google…

Detail: Die angezeigte URL in der Adressleiste des Browsers

…so viel zu tun hat wie eine kaputte Glühlampe mit dem hellen, warmen Sonnenlicht. Natürlich muss man Javascript freischalten, um irgendwas auf dieser Website von Kriminellen zu machen, und was man sich dort alles einfangen kann, verrät schon die Spam, der falsche Eindruck, es handele sich um Google und die merkwürdige Art, in der ein Link auf diese Site platziert wurde.

Selbstverständlich wird – neben dem angebotenen Download von Daten, die Kriminelle mit einer Spam untergejubelt haben – auch gleich das Google-Passwort abgefragt und zu diesem Geschmeiß gesendet, wenn man auf „Download“ klickt – aber ich hatte bei dem schönen Wetter heute keine Lust, den Rest der Javascript-Quelltexte zu lesen. Wenn es neben Phishing auch noch eine aktuelle Kollektion Schadsoftware gibt, bin ich davon nicht überrascht.

Was diese Spam interessant macht, obwohl sie in ihrer Machart eher primitiv ist: Die frühere Vorgehensweise mit dem „Dokument im ZIP-Archiv“ scheint für die Verbrecher nicht mehr so erfolgversprechend zu sein – was leider nicht heißt, dass ich solche Spams nicht mehr sähe – und so suchen sie nach neuen Wegen, um Leute zu überrumpeln.

Deshalb: Immer aufmerksam bleiben! Vor allem, wenn Unbekannte „Rechnungen“ oder „Mahnungen“ in Mailanhängen versenden, aber im Text der Mail nichts Substanzielles mitzuteilen haben (weil man sonst sofort bemerken würde, dass es sich um gegenstandslose Behauptungen handelt). So einen Müll einfach löschen und vergessen, es gibt nämlich Schöneres im Internet als Trojaner und sonstige Schadsoftware.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.