Diese textlich ziemlich dämliche Spam sei in ihrer ganzen HTML-Herrlichkeit als Screenshot wiedergegeben:
Am gelungensten finde ich übrigens das Bild mit den Fragezeichen im Footer. Es gibt geradezu perfekt wieder, was ich mir auch gedacht habe. Auch dieser Spammer hat den Teil der Überzeugung übersprungen… 
Aber ich bin da doch gar nicht Kunde. 😉
Absender: Targobank <direkt (at) targobank (punkt) de>
Dieser Absender ist gefälscht. (Jeder Absender in einer Spam ist gefälscht.) Diese E-Mail kommt nicht von der Targobank.
Hui, Design!
Ich halte diese Phishing-Spam für gefährlich, weil sie überdurchschnittlich gut gemacht ist. Wer Kunde bei der Targobank ist und darauf reingefallen ist, sollte sich sofort mit der Bank in Verbindung setzen, um den Schaden zu minimieren.
Sehr geehrte Damen und Herren,
Genau mein Name!
Eine richtige Bank würde ihre Kunden natürlich mit Namen ansprechen, und weil gar nicht so wenige Kunden mehrere Konten haben, würde sie auch noch erwähnen, auf welches Konto sich die Mail bezieht.
Ein Spammer kann im Allgemeinen – wenn er nicht aus einem Hack oder anderen Quellen eine Zuordnung von Mailadressen zu Bankdaten hat – nicht wissen, welche Kontonummer seine Empfänger haben. Ein vorsichtiger Umgang mit Bankdaten und die Verwendung einer eigenen E-Mail-Adresse ausschließlich für die Kommunikation mit der Bank sind ein wichtiger und sehr wirksamer Schutz gegen Phishing.
unser System hat festgestellt das Ihr Telefon-Banking PIN aus Sicherheitsgründen geändert werden muss.
Da bin ich aber froh, dass „euer System“ nicht festgestellt hat, dass ich ohne Grund 20.000 Øre berappen muss!
Bitte nutzen das unten angefügte Formular um die Änderung Ihres Telefon-Banking PIN kostenfrei zu ändern.
Das „unten angefügte Formular“ ist eine an die Spam angehängte HTML-Datei, die im Browser so aussehen würde¹:
Das Wichtigste daran ist, wo die eingegebenen Daten hingehen. Diese Frage beantwortet sich leicht durch einen Blick in den Quelltext der HTML-Datei:
<form [...] method="POST" action="http://a.dbbanking.ru/de/targo/login/targo.php" >
Die Daten gehen also nicht zum Server der Targobank, sondern zum Server unter der von Kriminellen kontrollierten, russischen Domain a (punkt) dbbanking (punkt) ru. Das ist auch der Grund, weshalb man der „Targobank“ so viele Dinge sagen soll, die die richtige Targobank längst kennt, wenn man dort Kunde ist, zum Beispiel die eigene Kontonummer. Allein die hier angegebenen Daten reichen für die Übernahme des Kontos durch die Kriminellen, und ich bin mir sicher, dass nach dem Absenden noch weitere Daten für eine angebliche „Sicherheitsprüfung“ abgefragt werden – sehr beliebt sind wegen ihrer „vielseitigen kriminellen Verwendbarkeit“ Kreditkartendaten.
(Hinweis: Andernfalls belasten wir Ihr Konto mit 18,99€ und fordern die Änderung schriftlich über den Postweg bei Ihnen an.)
Damit ein Mensch auch so wirklich doof wird, darauf reinzufallen, wird er mit technokratischen Entgelt-Forderungen gefügig gemacht – so frei nach dem Motto: „Wir haben ein Sicherheitsproblem, zahlen sie bitte grundlos zwanzig Euro. Die Gebührentabelle, nach der wir dieses Geld erheben, haben wir uns einfach aus dem Hintern gezogen“.
Es handelt sich übrigens um langsame Verbrecher:
Ihren Telefon-Banking PIN können sie hier, oder wie folgt ändern:
1. Öffnen Sie die Datei im Anhang Ihrer Email und wählen Sie „öffnen mit“ aus.
2. Füllen Sie alle vorgesehenden Felder aus und klicken dann auf „Daten absenden“..
3. Ihr Telefon-Banking PIN aktiviert sich nach 5-7 Werktagen.
Die brauchen fast eine Woche, bis sie alles aus dem Konto rausgeholt haben, was sie rausholen wollen.
Für weitere Fragen ist unser Online Support unter: direkt (strich) pin (at) targobank (punkt) de 24Std. für Sie erreichbar.
Was, die sind nur 24 Stunden erreichbar? Und wenn die Frage einen Tag später kommt, hat man eben Pech gehabt? Tja, so etwas kommt raus, wenn die Phisher in Sprachen schreiben, deren Subtilitäten sie nicht verstehen. Ein Autor, der Deutsch kann, hätte „rund um die Uhr“ geschrieben und nicht das irreführende Ergebnis aus einer Computerübersetzung verwendet.
Es ist wieder einmal wie so oft bei den Phishing-Spams: Wenn der eigentliche Phishing-Kram formuliert ist, werden die Spammer oft ein wenig nachlässig und ihnen passieren kleine und zuweilen auch große und sehr peinliche Fehler. Wer sich nicht in Panik versetzen lässt (Sicherheitsmaßnahme der Bank, das wird teuer, wenn ich nicht reagiere) und gründlich liest, wird beinahe jede Phishing-Spam an solchen Details erkennen.
Targobank AG & Co. KG
Kasernenstr. 10
40213 DüsseldorfIhre Targobank
Wer es jetzt immer noch nicht bemerkt hat: Die Targobank hat mit dieser Spam nichts zu tun. Es ist eine Mail von Verbrechern, die ihre kriminellen Geschäfte mit fremden Konten machen wollen und die das Geld anderer Leute bei Koks und Nutten verprassen wollen.
Beratungstermin kostenlos unter:
info (at) targobank (punkt) deCopyright © 2013 TARGOBANK
Oh, eine Mail von 2013 diente den Spammern als Vorlage… 😉
¹Ich rate strikt davon ab, Anhänge aus Spams zu öffnen, wenn man nicht weiß, wie man ein gut gesichertes System herstellt. Ein Virenscanner und eine „personal firewall“ machen kein gut gesichertes System. Das bisschen befriedigte Neugierde ist den möglichen Ärger niemals wert.
Diese Spam ist ein Zustecksel meines Lesers M.S.
Nein, die folgende, sehr auffällig in HTML gesetzte Spam kommt nicht von einem E-Mail-Provider, sondern von einem Spammer. Sie kommt auch auf Mailadressen an, die keinerlei Probleme mit dem Speicherplatz auf der Server haben. Sie sieht so aus:
Bitte auf keinen Fall diese Spam beklicken! Einfach löschen und vergessen! Sie kommt nicht von einem E-Mail-Provider. (Ja, ich wiederhole mich.) Das behauptete Problem liegt nicht vor. Jeder kann diese Spam bekommen! Es handelt sich offenbar um einen Phishing-Versuch, vielleicht sogar um etwas wesentlich Übleres.
Dear sag (at) ich (punkt) net
„Liebe Mailadresse“ ist immer eine gute Anrede!
We noticed your e-mail account has almost exceed it’s limit. And you may not be able to send or receive messages any moment from now
Ihr sendet zwar mit gefälschter Absenderadresse aus der Domain admin (punkt) com und habt nichts mit dem Server zu tun, auf dem eure Opfer ihre Mail empfangen, aber ihr wollt wissen, wie viel Platz das Mailpostfach dort belegt. Dafür behauptet ihr in einem hübschen Bildchen, es seien 1969 MiB von verfügbaren 2000, so richtig gucke mal mit Balken, der kaum noch Platz hat.
Your E-mail Account will be closed if you fail to increase Storage capacity Kindly Click here [sic!] to increase your storage capacity by 30.00GB Free..
Die Lösung, die ihr dafür vorschlagt, ist nicht etwa, Platz zu schaffen, indem nicht mehr benötigte Mails gelöscht werden – denn zwei GiB sollten selbst für die Korrespondenz eines neurotischen Zwangsschreibers ausreichend sein¹ – sondern klicki klicki in eine Spam zu machen. Auf den Text „Click here“, den man wirklich nur in Spams und unerwünschter Reklame liest, weil kein fühlendes Wesen so einen dummen Technosprech schreiben würde. Das wird auch nicht besser, wenn ihr mechanonett „kindly“ davor schreibt, dann aber das Wichtigste „vergesst“, nämlich, diesen Text auch noch zu verlinken.
Macht aber nichts, habt ihr euch gesagt, dann tippen wir eben nochmal „Click here“, diesmal aber mit einem Link.
Großes Kino aus einem kleinen Gehirn!
Natürlich geht der Link nicht in die Domain, in der die Empfänger ihre Mail empfangen. Die „Reise“ geht stattdessen in die Domain turbolinktar (punkt) info, und der Link funkt über einen URI-Parameter zurück, dass die Spam angekommen ist und welche Mailadresse der Empfänger hatte.
Erstaunlicherweise funktioniert der Phishzug noch nicht einmal. Die Domain turbolinktar (punkt) info existiert zwar (und sie ist sogar alt), sie wird aber zurzeit zu keiner IP-Adresse aufgelöst. Das sieht ein kleines bisschen danach aus, als hätte ein Hosting-Provider, der die kriminellen Machenschaften dieses Packs mitbekommen hat, die Notbremse gezogen. Leider bedeutet das nicht, dass das Phishing auf E-Mail-Konten (denn genau darum scheint es sich hier zu handeln) nicht schon in einer halben Stunde über einen anderen, flugs angemieteten Server irgendwo in der Welt wieder läuft.
Ach ja, wenn man mit dem Klicken nicht schnell macht…
If not gotten from you in the next 24 hours, We shut down your E-mail Account,
…wird übrigens der Mailaccount plattgemacht. Nur, damit man auch nicht lange überlegt. Nichts macht einem Spammer nämlich so viel Sorge wie die Vorstellung, dass ein „an sich geeignetes“ Opfer durch einfaches Nachdenken bemerkt, wie dumm und dünn der Bullshit in der Spam ist. Und deshalb hetzen Spammer gern, insbesondere beim Phishing. Da wird dann erzählt, dass man nur ganz wenig Zeit hat, um Druck aufzubauen; wohlwissend, dass Stress dumm macht.
Until after proper verification before you can access your E-mail Account Again….!!!
Wow, „verification“ kenne ich sonst immer von den Banken, bei denen ich nicht Kunde bin und „von denen“ ich „E-Mail“ kriege, um mein Konto zu verifizieren. Denen darf ich dann immer alles noch mal sagen, was die Banken längst schon wissen. Aber natürlich nie auf deren eigenen Servern, immer nur an eher obskuren Orten im Internet…
Thanks.
Domain Security 2014/2015.
Wie, nächstes Jahr wollt ihr aufhören? Das wär schön! 😀
Und nun noch etwas ganz Wichtiges!
Da die Website der Spammer zurzeit nicht existiert, weiß ich nicht, worum es wirklich ging. Es scheint mir aber sicher, dass es sich um Phishing handelt, mutmaßlich auf E-Mail-Passwörter (und damit vor allem auch auf Leute, die für viele verschiedene Dienste immer wieder das gleiche Passwort benutzen).
Bitte, achtet immer darauf, wo ihr eure Passwörter eingebt!
Ein Passwort ist eine Sicherheitsmaßnahme, die nur funktionieren kann, wenn das Passwort geheimgehalten und nur dort verwendet wird, wo man sich mit diesem Passwort identifiziert. Deshalb sollte man bei jeder Passworteingabe besonders aufmerksam sein und sich immer vor der Eingabe vergewissern, dass man das Passwort wirklich dort verwendet, wo man sich mit diesem Passwort identifiziert. Bei einem Webdienst kann man dies etwa tun, indem man in die Adresszeile seines Browsers schaut.
Diese Vorsicht ist der einzige und wichtigste Schutz gegen den Missbrauch von Zugangsdaten. Sobald dieses Passwort einem Dritten mitgeteilt wurde, ist es kompromittiert.
Bitte seid so vorsichtig! Wenn diese Vorsicht mit einem klug gewählten Passwort kombiniert wird, das in keinem Wörterbuch zu finden ist, keinen Namen und kein Geburtsdatum enthält, das im günstigsten Falle eine völlig sinnlose Zeichenfolge ist, dann ist viel für die Sicherheit im Internet getan. Und das sollte es wert sein.
Danach stellt sich nur noch eine Frage: Ist mein Passwort sicher genug? 😉
Danke, M., dass du mir das weitergeleitet hast.
¹Zum Vergleich: Unser täglich Spam ist ein Blog, das seit beinahe achteinhalb Jahren nahezu täglich mit Text befüllt wird. Es enthält ferner Leserkommentare. Das Blogsystem speichert bei Korrekturen auch die vorherigen Versionen, und ich lösche die im allgemeinen nicht. Der gesamte Datenbestand – mit technischen Zusatzdaten wie Schlagwörtern, Kategorien, Metadaten aller Art – in der Datenbank umfasst in diesem Moment 21,1 MiB, dazu wurden 153 MiB weitere Daten (hauptsächlich Bilder) hochgeladen. Wenn ich für dieses Blog „nur“ zwei GiB zur Verfügung hätte, dann hätte ich in diesen achteinhalb Jahren lediglich ein Zehntel davon belegt. Kein Mensch bekommt leicht ein Gibibyte voll! Es ist verdammt viel Platz!
Spammer, wenn du wenigstens ein paar graue Zellen gehabt hättest, dann hättest du vermutlich gewusst, wozu man den MIME-Type in einer E-Mail angibt und hättest es hinbekommen, dass deine paar Millionen Empfänger etwas anderes als diesen reizvollen HTML-Quältext vor Augen haben:
Das wäre doch wirklich besser, wenn man da den Inhalt statt des Quelltextes sehen könnte, nicht? Vor allem, wenn sich fast die gesamte „Botschaft“ dieser Spam in einem eingebetteten, aus dem Internet nachgeladenen Bild befindet.
Aber es kann ja nicht jeder so ein Gehirn haben, nicht?!
Zumal der dadaistisch hochwertige Text deiner Spam auch dann nicht besser wird, wenn man den idiotischen Text in der Grafik¹ zusätzlich vor Augen hat:
GRAUHAARE: zu Ende für ewig!
Graue Haare? Verjünge um 20 Jahre damit! »
Abmelden Grauwerden? NIE!
In der Tat: Das (Er)Grauen verschont niemand!
Und übrigens, Spammer: Dein unten eingebetteter Webbug, der nach Hause funkt, dass die Spam angezeigt wird, funktioniert natürlich auch nur, wenn du als MIME-Type text/html angibst. Hoffentlich löschst du jetzt deine ganze Datenbank, weil es für dich ja so aussieht, als ob niemand deinen Sondermüll zu Gesicht bekommen hätte.
Noch besser wäre es freilich, wenn du dich selbst löschtest. Abgesehen von deiner Mutter – wenn sie sich nicht schon angesichts ihres Nachwuchses aufgehängt hat – würde dich wirklich niemand vermissen.
¹Die schwarzen Balken im Bild sind natürlich von mir, denn ich muss bei einem Spammer davon ausgehen, dass er sich sein Bildmaterial von „irgendwo aus dem Internet“ mitgenommen hat – und wer mit dem Missbrauch seines Gesichtes durch Spammer gestraft ist, der ist gestraft genug. Und den Schriftzug „Spam“ mache ich rein, um nicht zum unfreiwilligen Hoster für Spammer zu werden…
Spammer!
Glaubst du wirklich, dass deine aufdringliche, asoziale und illegale Spam, mit der du Leitern verkaufen willst, mehr Aussicht auf Erfolg hat…
…wenn sie bei den Empfängern als HTML-Quelltext dargestellt wird, nur weil du zu faul und zu doof bist, vor dem Absenden von ein paar Millionen Drecksspams mal nachzulesen, wofür diese MIME-Type-Angabe im Header gut ist?
Ah, wie ich sehe, glaubst du das nicht… du hast es nämlich nochmal richtig gemacht und gleich hinterhergesendet. Und damit man deine faule und dumme Stümperei beim ersten Versuch besser vergessen kann, hast du deine korrigierte Spam gleich zwei Mal an jede Adresse gesendet. Du bist echt ein ganz Großer!
Du bist ein ganz großer Idiot!
Aber das hat man ja schon an der Spam bemerkt.
Dein dich „genießen“ müssender
Nachtwaechter
Au weia, und das hat dich so mitgenommen, dass dein Wasserschlauch Leute bewusstlos machen kann, dass du auf einmal gar nicht mehr wusstest, wozu die Angabe eines MIME-Type in der E-Mail gut ist:
Und mit Verlaub, dein Text deutet auch auf gewisse Bewusstseinsprobleme hin:
Wasserschlauch, ein KINDERSPIEL, den Garten zu begießen!
Wasserschlauch: ULTRAstarker Wasserschlauch, unbrechbar! »Abmelden Magischer Wasserschlauch
Nur für den Fall, dass du es mangels dazu erforderlicher Wahrnehmungsfähigkeit noch nicht selbst gemerkt hast, ein kleiner Hinweis von mir, Spammer: Das Gehirn der anderen Menschen besteht im Gegensatz zu deinem nur zu rd. 85 Prozent aus Wasser.
Die folgende Mail eines anonymen Reichwerdexperten, der sich zudem in ansprechender Gestaltung von HTML-Mails üben wollte, sei hier in ihrer originalen Einheit aus Inhalt und Design gewürdigt:
Dieser kleine Ausfluss des Strebens nach gestalterischer Exzellenz für geistigen Dünnpfiff kommt ohne weitere Worte.
Oh, was für ein aussagekräftiger Betreff! Wenn es da nicht stände, würde ich gar nicht bemerken, dass eine neue Spam angekommen ist!
Von: LEO Smartkey <service (at) leo (strich) smartkey (punkt) de>
An: Eine von mir niemals für Registrierungen oder irgendeine Kommunikation verwendete E-Mail-Adresse, die man aber dennoch mit einem Harvester einsammeln kann.
Damit sollte völlig klar sein, dass die folgende, wenn auch zugegebenermaßen gut gemachte Reklame-Mail nicht nur übliche Werbung, sondern illegale und asoziale Spam ist, die beim Empfänger den Verdacht nahelegen sollte, es mit betrügerischen „Geschäftemachern“ zu tun zu haben:
Also niemals verblenden lassen, wenn eine Spam mal gut aussieht! (Das kommt ja selten genug vor.) Sie bleibt eine Spam. Sie wird nicht weniger illegal und nicht weniger asozial dadurch, dass sie von jemanden gestaltet wurde, der wenigstens etwas Geschmack hat. Übrigens ist auch die in der Spam verlinkte Website – von einem Klick in eine Spam kann man wegen der davon ausgehenden Gefahr für die Computersicherheit nur abraten! – durchaus gut gemacht und erweckt schnell einen Eindruck, der nicht zum illegalen Werbemittel der Spam passen will, wenn man einmal davon absieht…
…dass das proklamierte Copyright an dieser Website bei einer Klitsche mit dem hübschen Namen „All rights reserved“ liegt. 😀
Die verwendete Domain ist seit dem 4. Oktober 2013 registriert, erweckt also keinen Verdacht zusätzlich zur illegalen Spamwerbung. Die bei der Registrierung gegenüber der DeNIC angegebenen Daten sehen plausibel aus, die Website ist bei 1&1 gehostet. Die E-Mail wurde über eine fest vergebene Business-IP-Adresse der Deutschen Telekom versendet. (Meine Abuse-Mail an die Telekom ist bereits draußen und wird dort bearbeitet.)
Es scheint also tatsächlich der Fall zu sein, dass hier eine echte „Gesellschaft mit beschränkter Hoffnung“ aus der Bundesrepublik Deutschland aus mir nicht näher bekannten Gründen zur Auffassung gelangt ist, dass mechanisch erzeugte, illegale Massenmail an mit Harvestern eingesammelte Mailadressen von Menschen, die niemals irgendein Einverständnis mit dieser Zumüllung erklärt haben, eine gute und billige Werbung sei. Ich kann dieser Unternehmung hierzu nur mit deutlich gereizter Stimme zurufen: Nein, das ist es nicht; es ist sogar eine dumme Scheißidee, die eure Reputation nachhaltig kaputtmachen wird! Ihr stellt euch in eine Reihe mit Pimmelpillen-Apothekern, Betrugscasinos und Vorschussbetrügern. Da wollt ihr nicht wirklich stehen!
Und jetzt zur Mail:
LEO SMARTKEY
Tja, wenn mans schon im Betreff nicht sagt, worum es geht, muss man es eben an anderer Stelle sagen.
Ab jetzt gibt es ein neues Zuhause für Deine Schlüssel, welches für Staunen und Begeisterung bei Dir und im Freundeskreis sorgen wird.
Nun, zumindest ich gehöre nicht zu den Leuten, die bei jeder Gelegenheit irgendein Dingens aus der Tasche holen, um damit andere Leute zu beeindrucken, weil ich das mit meiner Person und meinen Fähigkeiten nicht hinbekomme. Aber wie man an überteuerten Smartphones mit aufdringlichem Markenfetisch und anderen hochpreisigen gadgets sehen kann, scheint das verhungerte Selbstwertgefühl einiger meiner Mitmenschen ja durchaus eine Geschäftsgrundlage zu sein.
Neben dem „Feature“, dass man damit Eindruck machen kann, zeigt sich für mich nur wenig Sinn in einem Produkt, dessen Benutzung zur Folge hat, dass man bei leeren Batterien vor verschlossener Tür steht. Das muss dieses „smart“ aus der Produktbezeichung sein, es scheint zu bedeuten, dass etwas formschön gegossener Kunststoff in einigen Fällen durchaus intelligenter als sein Käufer sein könnte.
Dein LEO Smartkey Team
Vor allem ist es sooooo „mein“… 😀
You received this email as a client or subscriber of KEYOS GmbH
Click here to unsubscribe.
Och, auf einmal ist das Deutsch ausgegangen! Es war wohl ein bisschen zu mühsam, das Spamskript anzupassen, und hey, der Link ist doch drin, das reicht doch…
Aber dafür steht jetzt endlich ein „Click here“ in der Spam – ein Linktext, den kein denkender und fühlender Mensch jemals tippen würde, wenn er einem anderen denkenden und fühlenden Menschen etwas mitteilte. Das ist ein treffsicheres Merkmal zum automatischen Aussortieren der Kommunikationsversuche von Gestalten, deren Fehlen man gar nicht bemerken würde, wenn es sie nicht gäbe.
Our address: Wetzlarer Str. 86, 14482 Potsdam
Phone: (0800) 7627xxxx
Nun, liebe Meteoriten, nutzet eure Chance und fallet feurig und schwer auf Potsdam herab!
Diese E-Mail wurde von Avast Antivirus-Software auf Viren geprüft.
www.avast.com
Und dieser dumme Reklamespruch für das Antivirus-Schlangenöl von Avast ist neben „Click here“ ein weiteres Kriterium, um zielsicher unerwünschte Mail ins virtuelle Tönnchen zu befördern, denn er würde von keinem Menschen, der wirklich etwas mitzuteilen hat, in eine Mail geschrieben.
Warum nicht?
Nun, das hat folgende Gründe:
Und deshalb landet bei mir jede Mail mit dem Avast-Spruch im Glibbersieb. Das hat sich in den vergangenen Monaten noch nicht ein einziges Mal als eine Fehlerkennung erwiesen, es handelte sich immer um E-Müll.
