Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Schlagwortarchiv „PayPal“

Konto-Status

Donnerstag, 2. Mai 2013

Leer?

PayPal

Ach nein, die schon wieder. Heute sogar mit Link auf die richtige PayPal-Seite, weil das Phishing stattfindet, indem man den Anhang im Browser öffnet, ausfüllt und die Daten an Verbrecher sendet. Allerdings hat diesmal – anders als noch vor ein paar Wochen – auch der Deutschexperte der Phisher einen Blick auf den Text geworfen und den gröbsten Sprachmüll daraus entfernt.

Lieber PayPal Kunde,

Lieber Unbekannter,

Aufgrund der jüngsten betrügerischen Aktivitäten haben wir ein neues Online-Sicherheitssystem für den maximalen Schutz der persönliche Daten unserer Kunden gestartet.

wir nennen uns PayPal. Und wir haben eine technische Änderung durchgeführt. Wir haben jetzt ein neues Online-Sicherheitssystem, das funktioniert, indem man eine Mailadresse und ein Passwort eingibt – also genau so wie das alte.

Nach dieser Tatsache, wird Ihnen angeboten, ihr PayPal-Konto zu aktualisieren.

Und weil wir so eine große, unwälzende und vor allem fantastische technische Änderung gemacht haben, haben sie ein Problem und bekommen von uns das Angebot, etwas tun zu müssen. Tatsache ist, dass das eine der dümmsten „Begrüdungen“ ist, die mir als Phisher einfallen konnten. Oder sind sie schon einmal mit ihrem Personalausweis zur Sparkasse gegangen, weil dort eine interne Software angepasst wurde? :mrgreen:

Um Ihr PayPal-Konto zu aktualisieren, liegt Ihnen in Ihrer E-Mail Adresse ein Formular zur Verfügung.

Auch mein Deutschexperte weiß leider nicht, wie man in einigermaßen verständlichen und wohlklingendem Deutsch beschreibt, dass die Mail einen Anhang hat. Er ist halt genau so ein Experte wie ich und…

Bitte laden Sie das Formular aus, rufen Sie über Ihren Internet-Browser und folgen Sie den Anweisungen auf dem Bildschirm.

…deshalb der Meinung, dass „ausladen“ der richtige Terminus für das Speichern eines Mailanhanges ist.

Hinweis: Das Formular muss in einem modernen Browser geöffnet werden, dassJavaScript aktiviert hat. (z.B. Internet Explorer, Mozilla Firefox).

Ich bin ja selbst so ein Spezialexperte. Deshalb habe ich das Wort „JavaScript“ mit dem Download-Link auf die Laufzeitumgebung für Java verlinkt. Das klingt so ähnlich, und ich habe mir leider nicht genug technisches Verständnis angeeignet, um eine im Browser laufende Skriptsprache von einer plattformunabhängigen Programmiersprache unterscheiden zu können. Das macht aber nichts, denn wer meiner holprig formulierten Spam Glauben schenkt, der weiß so etwas auch nicht.

Warum das mit dem JavaScript so wichtig ist? Na, weil ich lieber nicht direkt in das angehängte HTML-Formular reinschreibe, wo die eingegebenen Daten schließlich hingehen. Solche Betrugsseiten sind ja sonst in Windeseile bei jedem Spamfilter dieser Welt bekannt, und mein Betrugsversuch käme gar nicht mehr bei den Opfern an. Stattdessen drücke ich mich lieber ein bisschen indirekter aus:

Ausschnitt aus dem Anhang der Spam mit verborgener Zieladresse für das HTML-Formular

Wer das „dechiffriert“, stellt fest, dass die Daten nicht an PayPal gehen, sondern an die URL http (doppelpunkt) (doppelslash) familyaffair (punkt) co (punkt) za (slash) admin (slash) logout.php in der TLD Sambias. Da hat mein krimineller Kollege von den Crackern nebenan eine Sicherheitslücke ausgenutzt und diesen Server verwenden wir jetzt eben nach Herzenslust für unsere kriminellen Geschäftchen.

[Den Betreiber der Website habe ich eben mit einer Mail unterrichtet. Ich hoffe mal vorsichtig, dass der Mailserver dort nicht auch kompromittiert ist und dass nur eine Sicherheitslücke im dort verwendeten CMS für den Upload einer Datei ausgenutzt werden konnte.]

Nach Abschluss dieser Phase wird die Aktualisierung Ihres PayPal-Kontos normal funktionieren.

Nachdem sie sich nicht darüber gewundert haben, dass „PayPal“ lauter Daten von ihnen wissen will, die PayPal längst weiß und deshalb brav alle Daten zu Kriminellen übermittelt haben, wird ihr PayPal-Konto so gut funktionieren, wie es vorher auch funktioniert hat.

Wir entschuldigen uns für die Unannehmlichkeiten und danken Ihnen für Ihre Zeit.
Für weitere Informationen kontaktieren Sie bitte den Kundenservice.

Wir tun höflich und sind Phishing-Arschlöcher.

Mit freundlichen Grüßen,
PayPal-Team.

Mit mechanischem Lächeln
Dein Phishing-Dummspammer

Copyright © 1999-2013 PayPal. Alle Rechte vorbehalten.

Natürlich wird für jede E-Mail ein Urheberrecht deklariert. Einfach, weil das so irre beeindruckend klingt. Und so professionell.

PayPal (Europe) S.à r.l.et Cie, S.C.A.
Société en Commandite par Actions
Registered office: 22-24 Boulevard Royal, L-2449 Luxemburg
RCS Luxemburg B 118 349
PayPal Email ID PP59

Nein, PayPal hat mit der Mail nichts zu tun…

Dieses kleine Meisterwerk des Phishings ist eine Einsendung von I. M.-S., die es nicht nur mit Mails versteht, eine einfache Spamdose sehr glücklich zu machen. Danke nochmal.

Vorname Nachname, Mitteilung zu Ihrem Kunden-Konto!

Freitag, 19. April 2013

Anstelle von „Vorname Nachname“ steht der Name des Empfängers. Die Mail mit dem gefälschten Absender hilfe (at) paypal (strich) community (punkt) com kommt natürlich nicht von PayPal. PayPal versendet solche Mails nicht:

PalPal Konfliktlösung -- Guten Tag , Ihr Konto wurde vorübergehend limitiert! Bearbeitungsnummer: PP-8500401 Weitere Informationen finden Sie hier -- Jetzt lesen -- Bei Fragen steht Ihnen unser Kundenservice von Mo.-Fr. 8.30 bis 19.00 Uhr und Sa.-So. 9.00 bis 19.30 Uhr unter der Telefonnummer 0180 500 66 27 zur Verfügung (für Anrufe aus dem Festnetz fallen maximal 14 Cent/Min. an, aus Mobilfunknetzen sind es maximal 42 Cent/Min.)

Im Original stand nach der Anrede „Hallo“ noch der Vorname und der Nachname.

Der Link liegt auf dem etwas peinlichen Schloss und dem Schild mit der Beschriftung „Jetzt lesen“. Er ist über den URL-Kürzer tinyurl (punkt) com maskiert und führt auf eine „liebevoll“ nachgemachte PayPal-Login-Seite in der Domain sslpp (strich) hilfe (punkt) konflikte (strich) kunden (punkt) com:

Screenshot der Phishing-Seite

Dass das nicht die Website von PayPal ist, brauche ich hoffentlich nicht weiter zu erwähnen, und dass die dort angegebenen Anmelde- und Kreditkartendaten direkt in die Hände der organisierten Internet-Kriminalität gehen, sollte auch weniger intellektuell begabten Mitmenschen einleuchten. Wer nur einen einzigen Blick in die Adressleiste seines Browsers wirft, sieht sofort, dass es nicht PayPal ist.

PayPal versendet übrigens niemals E-Mails mit der Aufforderung, irgendwelche Bullshit-Verifizierungen zu machen. PayPal kennt die angegebenen Daten bereits. Die einzigen, die den PayPal-Login, die Postanschrift, das Geburtsdatum, die Bankverbindung und die Kreditkartendaten nicht kennen, sind die Verbrecher, die Identitäten missbrauchen wollen und mit dem Geld anderer Leute ihre „Geschäfte“ machen wollen. Wer auf diese Phishing-Nummern hereinfällt, darf sich nicht nur über sein geplündertes Konto und den folgenden Schriftverkehr mit seiner Bank ärgern, sondern auch über allerhand hässliche Briefe mit Rechnungen und Mahnungen (die bestellten Waren gehen an ebenfalls gephishte Packstation-Accounts) und über jede Menge neuer Bekannter bei Polizeien, Staatsanwaltschaften und Untersuchungsgerichten, die wegen gewerbsmäßigen Betruges ermitteln. In der Folge gibt es zwei bis drei Jahre hässlichen Schriftverkehr, vielleicht die eine oder andere Hausdurchsuchung, Schufa-Einträge, gegen die man vorgehen muss und dergleichen unangenehmes Zeug mehr.

Diese Phishing-Spam ist gut gelungen und durch die Erwähnung des Namens zusätzlich gefährlich. Sie hat allerdings immer noch deutliche Schwächen, die es jedem möglich machen, die Spam zu erkennen:

  1. Vorname und Nachname stehen im Betreff
    Es ist objektiv sinnlos, den Empfänger einer E-Mail an seine persönliche Mailadresse im Betreff namentlich anzusprechen. Der Empfänger weiß, dass er gemeint ist, weil die Mail in seinem Postfach liegt. Niemand würde das tun.
  2. Der Betreff ist „komisch“
    Ein Zahlungsdienstleister wie PayPal macht also „Mitteilung zu Ihrem Kunden-Konto“? Nicht zum PayPal-Konto? Das „müffelt“ ein wenig. Unternehmen würden darauf achten, dass ihre Kommunikation unmissverständlich ist. Vor allem in Kontexten, in denen es um Geld geht.
  3. Guten Tag Vorname Nachname
    So etwas wie „Herr“ oder „Frau“ vor dem Namen fehlt. Kein Unternehmen würde seine Kunden so ansprechen.
  4. Der Absender
    Wie peinlich ist das? Einen Absender fälschen, aber dann nicht einmal einen mit einer Adresse @paypal (punkt) com nehmen. Wenn man schon den Absender fälscht… :mrgreen:
  5. tinyurl (punkt) com stinkt
    PayPal hat es niemals nötig, einen Link auf die eigene Website mit einem URL-Kürzungsdienst zu verschleiern. Kein Unternehmen, das seine Kunden anmailt, hat das nötig. Nur Spammer haben es nötig, um sich mit diesem „Trick“ an den Spamfiltern vorbeizumogeln. Wo der Link hinführt, sieht man übrigens in seiner Mailsoftware, indem man auf die Statusleiste schaut, wenn der Mauszeiger über dem Link ist. Wenn da in so einem Fall nicht die Website des Unternehmens steht, ist es immer Phishing.
  6. Die Bearbeitungsnummer ist überflüssig
    Zum Hinweis „Ihr Konto wurde limitiert“ (als ob es das nicht immer irgendwie wäre) gibt es keinerlei Begründung oder auch nur eine Andeutung der Gründe. Weitere Informationen soll man nach einem angeblichen Login erhalten. Die Angabe einer kryptischen Bearbeitungsnummer ist in diesem Kontext für den Empfänger der Mail sinnlos; der gesamte Vorgang könnte und würde direkt auf der Website dargestellt werden. Diese sinnlose Nummer dient also nur zur psychologischen Einschüchterung (du kommst nicht an dein Geld und du bist damit jetzt für uns nur noch eine Nummer). Jedes Unternehmen würde so etwas im Umgang mit seinen Kunden hoffentlich vermeiden. Phishing-Spammer wissen hingegen ganz genau, dass ein bisschen Angst viel Verstand ausschaltet und so unvernünftiges Verhalten fördert, und sie nutzen dieses Wissen.
  7. Mailadresse
    Im speziellen Fall dieser Mail haben die Spammer eine Adresse angemailt, die gegenüber PayPal gar nicht verwendet wurde. Wer es sich angewöhnt, für jeden „wichtigen“ Dienst eine eigene, ansonsten völlig unbenutzte Mailadresse zu verwenden, hat sich gegen dieses Phishing erfolgreich geschützt. Der Aufwand für diesen Schutz, der einem schnell einige Jahre juristischen Ärger für einen unbedachten Moment der Unvorsicht ersparen kann, liegt im Bereich weniger Minuten pro eingerichteter Mailadresse und ist damit sehr empfehlenswert. Übrigens kann man diese Phishing-Mail auch bekommen, wenn man gar kein PayPal-Kunde ist.
  8. Der Begriff „Konfliktlösung“ ist seltsam
    Welches Unternehmen würde in seiner Kommunikation mit dem Kunden (also nicht intern) einen derartigen Begriff für eine seiner Stellen benutzen? Dieses Wort macht einen recht unvorteilhaften Eindruck eines konfliktträchtigen Daseins als Kunde. Die in die Mail eingebettete, externe Grafik mit diesem Begriff kommt übrigens nicht aus der PayPal-Website, sondern sie wird vom anonym nutzbaren Freehoster image (strich) upload (punkt) de eingebunden. Zurzeit kann sie dort noch betrachtet werden. Meine Abuse-Mail ist schon draußen, und ich hoffe, dass diese Grafik schnell verschwindet. Ich habe in meiner Mail übrigens darum gebeten, die Grafik nicht einfach zu löschen, sondern sie durch eine auffällige Grafik mit einem deutlichen Hinweis auf das Phishing zu ersetzen, um den Schaden durch diese Mails zu beschränken. Dieses Vorgehen werde ich in Zukunft jedem Imagehoster nahelegen, dessen Dienst von solchen Verbrechern missbraucht wird, und ich empfehle das anderen zur Nachahmung. Aber es wäre vermutlich schon viel gewonnen, wenn öfter einmal mit einer Mail auf den Missbrauch anonym nutzbarer Dienste im Web hingewiesen würde…
  9. „Genießer“ merken es in jedem Fall
    Wer sich die Mailheader anschaut, bemerkt, dass diese Mail nicht von PayPal kommt. Stattdessen wird im Header die Domain hausrattreff (punkt) de verwendet.

Doch trotz dieser Schwächen: Phishing wird besser. Arglose und unerfahrene Menschen können auf diese Spam hereinfallen. Die namentliche Ansprache macht die Spam gefährlich. Die Spammer scheinen inzwischen eine Zuordnung von Mailadressen zu Namen aus vielen Quellen zusammengestellt zu haben. Derartige Datenbanken sind unter Kriminellen im Umlauf und werden benutzt.

Es wäre an den Geschäftstreibenden im Internet, die Situation zu verbessern. Die konsequente Verwendung digital signierter Mails in der Kommunikation und die Aufklärung der Kunden über Zweck und Nutzung digitaler Signaturen würde den Phishern schon nach kurzer Zeit das Wasser abgraben und einen kriminellen Sumpf mit monströsen Umsätzen vollständig trockenlegen. Warum PayPal nicht digital signiert? Warum es niemand tut? Ich habe darauf nur eine Antwort: Weil die „Sicherheit“ vor allem ein Wort der Werbeabteilungen ist, und nicht etwa ein Streben im Sinne der Kunden. Mittelbar ist jeder Geschäftstreibende, der seine Mail nicht digital signiert, an der Seuche des Phishings und an den Schäden bei seinen von Verbrechern übertölpelten Kunden mitschuldig.

Diese Spam wurde mir von meinem Leser Cassiel zugesendet.

Laden Sie das Formular aus und bestätigen Sie Ihre PayPal

Dienstag, 16. April 2013

(Gefälschter) Absender: PayPal-Service <contact (at) client (punkt) de>
Empfänger: Recipients <contact (at) client (punkt) de>

Bitte überprüfen Sie Ihre Angaben. Dazu haben wir ein befestigt zu bilden, um diese E-Mail. Bitte laden Sie das Formular aus und befolgen Sie die Anweisungen auf dem Bildschirm.

Hinweis: Das Formular muss in einem modernen Browser, der hat geöffnet werden JavaScript-fähigen (zB: Internet Explorer 7, Firefox 3, Safari 3, Opera 9)

Wir bitten diese Informationen zu verifizieren und schützen Sie Ihre Identität. Dies ist, um die illegale Tätigkeit zu verhindern PayPal-Konten.

Bitte nicht auf diese Email antworten.

Wir entschuldigen uns für etwaige Unannehmlichkeiten, die möglicherweise verursacht. Mit freundlichen Grüßen, PayPal Security Team.

Ohne Worte.

Ihre Reaktion ist erforderlich

Dienstag, 2. April 2013

Stimmt, ich muss die Spam löschen.

Ihre Reaktion ist erforderlich,

Das hast du schon im Betreff gesagt, Spammer. Und es ist beim besten Willen kein Ersatz für eine persönliche Ansprache, wie ich sie bei echtem Mails von PayPal immer hätte. Einmal ganz davon abgesehen, dass solche Mails niemals von PayPal sind.

Wo liegt das Problem?

Fragen über Fragen… 😀

Eine andere Person hat dieses Konto als sein Eigentum beansprucht. Ihm zufolge verlor er sein Zugangs-Passwort und seine E-Mail wurde genutzt.

Soso, „dieses Konto“. Welches das ist, kann der Absender mit der gefälschten Adresse service (at) deutschland (strich) paypal (punkt) com natürlich nicht sagen, denn dies ist ein ganz normaler Phishing-Versuch und nicht etwa eine echte Mail von PayPal.

Wir haben beschlossen, das Konto vorübergehend aktiv zu halten, während wir das Problem lösen. Damit unser Sicherheits-Spezialist [sic!] die Authentizität bestimmen kann, ist es für uns zwingend erforderlich beide Seiten erneut zu überprüfen.

Wie jetzt, beide Seiten? Ich dachte, es geht um „dieses“ Konto. Das ist an eine E-Mail-Adresse und an ein Passwort gebunden, das niemals gemailt wird, kann also auf diese Weise gar nicht „den Besitzer wechseln“. Vermutlich weiß der total spezialisierte Sicherheits-Spezialist so etwas nicht.

Bitte klicken Sie auf ‚reagieren‘, um Ihre Daten zu kontrollieren.

Bwahahaha! Kann man sich wieder gar nicht ausdenken, so etwas!

Dort sehen Sie, welche Informationen wir genau von Ihnen brauchen – und können sie gleich eingeben.

Wer darauf klickt, kann noch einmal auf einer von Kriminellen kontrollierten Website Daten angeben, die PayPal längst bekannt sind. Die Kriminellen freuen sich über das PayPal-Konto und die Kreditkarte.

  • Überprüfen der Kontoinhaberschaft (Grund für diese E-Mail)
  • Reagieren: Bitte benutzen Sie diesen Link [sic!]
    Wird die Kontrolle nicht innerhalb des vorgegebenen Zeitrahmens durchgeführt, müssen wir Ihr Konto vorläufig suspendieren.

Und jetzt nicht länger nachdenken, sonst ist das Konto weg.

Der Link geht natürlich nicht auf die PayPal-Website, sondern zu einer ausgesprochen kryptischen URL in der Domail mossila (punkt) net. Diese Domain wurde frisch am 30. März von jemanden registriert, dessen Name nicht PayPal lautet und dessen angegebene Berliner Anschrift nicht gerade nach der Zentrale eines großen Zahlungsdienstleisters aussieht. Immerhin handelt es sich um eine existierende Adresse, so etwas war ich von den Spammern schon gar nicht mehr gewohnt. Wenn der angegebene Name zu einer wirklichen Person gehört, sind diese Daten mit an Sicherheit grenzender Wahrscheinlichkeit irgendwo „abgegriffen“ worden oder durch Phishing ermittelt worden. Leider wird das die Kriminalpolizei nicht daran hindern, zu Besuch zu kommen – vermutlich gleich mit einem Hausdurchsuchungsbefehl, denn selbstverständlich kommt es bei gewerbsmäßigem Betrug zu Ermittlungen, bei denen jede Spur verfolgt wird. Deshalb ist man eben sparsam mit seinen Daten…

Wir arbeiten daran, die Sicherheit Ihres Kontos zu gewährleisten, und bedanken uns für Ihr Verständnis.

Aber klar habe ich Verständnis. Wenn man als widerliches Arschloch geboren wurde, kann man ja nichts anderes manchen, als die Menschen mit betrügerischer Spam zu „beglücken“.

Bitte antworten Sie nicht auf diese E-Mail. Dieses Postfach wird nicht überwacht, deshalb werden Sie keine Antwort erhalten. Wenn Sie Hilfe benötigen, loggen Sie sich in Ihr Konto ein, und klicken Sie oben rechts auf der Hauptseite auf den Link Hilfe.

Der Absender der E-Mail ist gefälscht.

CB:PP-701-122-408-401:9YG106800D791621M
PP-EMail-ID PP6589.
Copyright @ 1999-2013 Abteilung: Konflict Auflösung. [sic!] Alle Rechte vorbehalten.

Herrlich! Kaum lässt die Aufmerksamkeit der Betrüger nach, weil sie ihren eigentlichen Betrugstext fertiggeschrieben haben, schon schleichen sich kleine Fehler ein. Zum Beispiel, dass das Urheberrecht der Mail [!] bei einer Abteilung liegt, die sich nicht einmal selbst richtig schreiben kann…

PP(Europe) S.à r.l. et Cie, S.C.A. Société en Commandite par Actions
Sitz: 22-24 Boulevard Royal, L-2449 Luxemburg
RCS Luxemburg B 118 349

…während gleichzeitig in der korrekt über die Zwischenablage transportierten Postanschrift von PayPal etwas recht wichtiges fehlt: Die ausgeschriebene und allgemein bekannte Firmierung, wie man sie etwa im Impressum der echten PayPal-Site nachlesen kann… 😀

Na ja, wenn sich Spammer Mühe geben würden, müssten sie ja auch keine Spammer werden.

Sicherheitsmassnahmen

Mittwoch, 13. März 2013

Ach, dieser komische ß-Kringel, der immer so viele Probleme macht… 😀

Der (gefälschte) Absender der Mail ist sicherheitsdienst (at) paypal (punkt) net, aber die Mail wurde von einem Server bei einem niederländischen Hoster versendet, der inzwischen von mir über den Missbrauch seiner Dienstleistung unterrichtet wurde. Ich hoffe für den Hoster, dass die Rechnung in Vorkasse bezahlt wurde.

„Sicherheitsdienst“… ein dümmerer Name hätte dem Spammer für seinen gefälschten Absender wirklich nicht einfallen können. :mrgreen:

Sehr geehrter PayPal-Mitglied,
aufgrund eines automatisierten Abgleiches Ihrer Kundendaten
mit Vergleichsstatistiken wurde das Risiko eines
Zahlungsausfalls fur Ihr Konto als uberdurchschnittlich hoch eingestuft.
Dieser Prozess ist fur anti- Betrug, und einige Probleme zu aktualisieren geben Sie heraus.

Sehr geehrter oder geehrte oder geehrtes „Deinen Namen kenn ich nicht“, aufgrund meiner typischen und vollkommen substanzlosen Bullshit-Ausrede eines Phishers gibt es irgendwelche Risiken, und für Anti-Betrug und um deine Probleme auf den neuesten Stand zu bringen, gib mal deine Daten an einen spammenden Phisher heraus.

An der Mail hangen eine HTML-Datei mit vieles dummes JavaScript wo verbergen, dass du nicht senden Datens an PayPal, sondern an Verbrechers wie uns. Aufmachen, ausfullen, ausgenommen werden! Ein Spa? für die ganze Familie!

Und nicht einen Moment fragen, warum du PayPal Infos nochmal geben sollst, die PayPal schon hat! Auch nicht fragen, warum du deine Kreditkartendaten angeben sollst! Einfach machen, weil jemand dazu auffordert, der Deutsch gelernt hat, indem er ein Wörterbuch in alphabetischer Reihenfolge auswendig gelernt hat.

Wir entschuldigen uns fur diese Unannehmlichkeit, aber wir machen diese Aktualisierung fur Ihren eigenen Schutz.

Ich bin pseudohöflich und entschuldige mich dafür, dass ich dich betrügen will. Deshalb schreibe ich auch lieber anonym und mit gefälschtem Absender, denn ich möchte nicht der erste Mensch sein, der zu Tode geohrfeigt wird.

Mit freundlichen Gru?en,
Ihr PayPal Kundenservice

Dieses ß-Kringelchen kriege ich genau so wenig hin wie die komischen Pünktchen über die Vokale. Wenn ich lernen würde, wie das mit der E-Mail technisch funktioniert, käme ich ja gar nicht mehr zum Spammen.

Copyright © 1999-2013 PayPal. All rights reserved
PayPal Germany & Austria Pty Limited
ABN 76 966 195 389 (AFSL 304962)

Dass PayPal mit dieser Mail nichts zu tun hat, sollte klar sein.

Konto-Status

Freitag, 8. März 2013

Natürlich kommt diese Mail nicht von PayPal, was sich beim Lesen auch schnell zeigt:

Lieber PayPal Kunde,

Du bist Kunde und ich weiß nicht, wie du heißst.

Aufgrund der jngsten betrgerischen Aktivit¦ten haben wir ein neues Online-Sicherheitssystem fr den maximalen Schutz der pers￶nliche Daten unserer Kunden gestartet.
Nach dieser Tatsache, wird Ihnen angeboten, ihr PayPal-Konto zu aktualisieren.

Ich schreibe Deutsch und weiß nicht, wie man diese komischen deutschen Vokale mit den Pünktchen drüber in eine HTML-formatierte Mail kriegt. Wenn ich das einfach nachlesen und verstehen würde, wäre das ja echte Mühe. Und wenn ich mir Mühe geben würde, könnte ich doch gleich arbeiten.

Um Ihr PayPal-Konto zu aktualisieren, liegt Ihnen in Ihrer E-Mail Adresse ein Formular zur Verfgung.
Bitte laden Sie das Formular aus, rufen Sie ber Ihren Internet-Browser und folgen Sie den Anweisungen auf dem Bildschirm.

Ich weiß auch nicht so ganz genau, wie man Dinge auf Deutsch formuliert. Deshalb liegt ein Formular zur Verfügung, das sie ausladen sollen. Das ist übrigens eine HTML-Datei von Kriminellen, die unbedingt erfordert, dass du JavaScript erlaubst. Da kannst du dann lauter lustige Angaben zu ihrem PayPal-Account und ihrer Kreditkarte machen, und die schickst du dann an mich. Das habe ich da natürlich nicht ganz so direkt in den HTML-Quelltext reingeschrieben, sondern ein bisschen verklausuliert, damit man auch gleich merkt, dass ich so richtig lichtscheues Gesindel bin:

Ausschnitt des versteckten, über JavaScript implementierten Submit-Buttons aus der angehängten HTML-Datei

Dein Browser macht aus dieser lustigen sedezimalen Zahlenfolge ein Starttag für ein HTML-Formular, das alle Daten an http (doppelpunkt) (doppelslash) media (punkt) cds (punkt) ed (punkt) cr (slash) images (slash) al (punkt) php sendet. Natürlich ist das nicht die PayPal-Homepage, schließlich bin ich ein widerwärtiger Krimineller, der vom Internetbetrug lebt und mal wieder ein paar Konten phishen will.

Hinweis: Das Formular muss in einem modernen Browser ge￶ffnet werden, dass JavaScript aktiviert hat. (z.B. Internet Explorer, Mozilla Firefox)
Nach Abschluss dieser Phase wird die Aktualisierung Ihres PayPal-Kontos normal funktionieren.

In meinem hochhirnrissigen Text habe ich das Wort JavaScript mit der Downloadseite für Java verlinkt. Ich bin schließlich Verbrecher, kein Techniker, und deshalb muss ich solche Unterschiede nicht kennen.

Nach Abschluss deines Datenstriptease habe ich wieder ein Konto mehr.

Wir entschuldigen uns fr die Unannehmlichkeiten und danken Ihnen fr Ihre Zeit.
Fr weitere Informationen kontaktieren Sie bitte den Kundenservice.

Ich tue so, als wäre ich höflich, aber ich bin ein kriminelles Arschloch, das dir mit einer hingestümperten Spam das Geld aus der Tasche ziehen will und deine persönlichen Daten für kriminelle Geschäfte missbrauchen will, damit ich den Gewinn habe und du den Ärger. Für weitere Informationen geh einfach auf die PayPal-Website und lies dort die Informationen zum Thema Phishing! Der in diesem Kontext wichtigste Satz darin lautet übrigens: „Sie können sich darauf verlassen: Unsere E-Mails kommen immer ohne Anhang.“

Mit freundlichen Gr￟en,
PayPal-Team.

Copyright ᄅ 1999-2013 PayPal. Alle Rechte vorbehalten.

PayPal (Europe) S.¢ r.l.et Cie, S.C.A.
Soci←t← en Commandite par Actions
Registered office: 22-24 Boulevard Royal, L-2449 Luxemburg
RCS Luxemburg B 118 349
PayPal Email ID PP59

Mit mechanischen Grüßen von einem spammenden Idioten, der nicht einmal die HTML-Entitäten für die wichtigsten europäischen Sonderzeichen kennt, aber seinen Empfängern gegenüber so tut, als sei er ein großer Dienstleister im Web.

PayPal – Sicherheitsüberprüfung

Mittwoch, 27. Februar 2013

Achtung! Diese Mail kommt nicht von PayPal! Es handelt sich um einen Phishing-Versuch von Kriminellen.

Das nenne ich mal ein gutes Design für eine Phishing-Spam!

*Sehr geehrter Kunde,* um Ihr Kundenkonto noch mehr Sicherheit zu gewähren, haben wir das M-Tan Verfahren eingeführt. Dieses Verfahren ist aus dem Onlinebanking bekannt und zählt zu einem der schnellsten und sichersten. Sobald Sie eine Zahlung tätigen, bekommen Sie eine PIN auf Ihr Handy, um die Zahlung zu verifizieren. Falls Sie noch keine Handynummer für das M-Tan Verfahren hinterlegt haben, können Sie dies hier tun. Nach einer kurzen Überprüfung Ihrer Daten, steht das Verfahren sofort für Sie bereit. Wir benachrichtigen Sie umgehend per E-Mail, wenn das M-Tan Verfahren aktiv ist. Mit freundlichen Grüßen Ihr PayPal Kundenservice

Das gute Design kann allerdings kaum über inhaltliche Schwächen hinwegtäuschen:

Dass es keine Mail von PayPal ist, zeigt sich nicht nur an der eigenwilligen Formulierung „um Ihr Kundenkonto noch mehr Sicherheit zu gewähren“, sondern auch an der unpersönlichen Anrede. Der Link geht dann auch nicht etwa auf die deutschsprachige PayPal-Webseite, sondern auf die fragwürdige Domain kunden37 (punkt) secure (strich) paypal (punkt) de, die natürlich nichts mit PayPal zu tun hat. Jeder kann sich eine Domain registrieren, auch eine, die den Namen einer beliebigen Firma als Namensbestandteil enthält – und Verbrecher machen das gern.

Auf der richtigen Website von PayPal könnte man hingegen alles nachlesen, um sicher zu erkennen, dass es sich hier um Phishing handelt:

Phishing (zusammengesetzt aus den Begriffen password und fishing, also das „Fischen“ nach Passwörtern) funktioniert nach dem immer gleichen Prinzip: Internet-Nutzer bekommen eine E-Mail oder einen Link in einer E-Mail zugeschickt, der nach einer offiziellen Mitteilung eines bekannten Unternehmens aussieht und meist sogar mit originalen Logos und Internet-Adressen versehen ist. Beim Klick auf diesen Link können Daten abgefangen werden.

Daran erkennen Sie echte PayPal-E-Mails

  • Sie können sich darauf verlassen: Unsere E-Mails kommen immer ohne Anhang.
  • Wir sprechen Sie immer mit vollständigem Vor- und Nachnamen an.
  • Wir werden Sie in E-Mails nie auffordern, Ihre Kreditkartennummer oder Kontoverbindung, Ihr Passwort, Ihre E-Mail-Adresse oder Ihren vollständigen Namen, die PIN oder TAN Ihres Bankkontos direkt preiszugeben. Das geschieht ausschließlich in Ihrem PayPal-Konto.

Wenn Sie sich nicht sicher sind, ob Sie es mit einer Phishing-Mail oder einem seriösen Link zu tun haben, öffnen Sie ein neues Browser-Fenster. Gehen Sie auf www.PayPal.de und geben Sie auf dieser selbst aufgerufenen Seite Ihr Passwort ein. E-Mails, die auf eine Phishing-Mail hindeuten, können Sie an spoof@paypal.com weiterleiten. Danach sollten Sie die Mails aus dem E-Mail-Konto löschen.

Die Phishing-Site ist zum Glück mittlerweile vom Hoster aus dem Netz genommen worden, so dass ich nicht mehr abschließend nachvollziehen kann, wie die Betrugsnummer hier läuft.

Aber ich habe folgenden Verdacht:

  1. Es wird auf einer „liebevoll“ nachgemachten PayPal-Seite die Eingabe der PayPal-Anmeldedaten gefordert – frei nach dem Motto „Melden sie sich an“
  2. Diese Anmeldedaten gehen an die Verbrecher, die damit vollständigen Zugriff auf das PayPal-Konto bekommen. Sie können betrügerische Geschäfte darüber abwickeln, Geld bewegen und das Geld auf das Konto eines Muli überweisen, der dann über Western Union, MoneyGram oder durch Bargeld-Übergabe weiterleitet.
  3. Die angegebene Handynummer wird nicht für irgendein MTAN-Verfahren eingetragen. Dies ist nur der Vorwand, der angebliche Grund für diese „Mitteilung von PayPal“.
  4. Es ist aber auch gut möglich, dass die so mitermittelte Handy-Nummer verbrecherisch benutzt wird, dass also „alarmierende“ SMS-Nachrichten oder gar Anrufe „von PayPal“ kommen, um darüber eine zusätzliche Betrugsnummer durchzuführen. Wenn das der Fall ist, weiß ich nicht, wie hier vorgegangen wird. Möglichkeiten gibt es einige, bis hin zur telefonischen Abfrage von weiteren Daten (Kreditkarte, Bankkonto) unter ausgelöstem Stress.

Es ist also nur das „gewöhnliche“ Phishing – mit einer Unsicherheit, ob die Telefonnummer für weitere Betrügereien verwendet wird. Die persönlich genutzte Telefonnummer ist generell ein Datum, das man nur sehr sparsam an andere weitergeben sollte, auch wenn sich in letzter Zeit eine bedenkliche Tendenz feststellen lässt, dass sie in allen möglichen Kontexten (zum Beispiel für die Nutzung von Google-Diensten) ohne sachlichen Grund dreist und unter der Behauptung zusätzlicher „Sicherheit“ eingefordert wird. Ein Telefonanruf geht wesentlich intensiver in die private Spähre hinein, als das eine E-Mail jemals könnte, und gewerbsmäßige Betrüger wissen ebenso wie windige Kaufleute, wie in solchen Situationen jener Stress ausgelöst werden kann, der zur Unvernunft führt.

Im Falle dieser Mail gilt einmal mehr: Wer niemals in eine Mail klickt und die Adresse von Websites wie PayPal, eBay oder seiner Bank immer direkt in die Adresszeile seines Browsers eingibt, kann auf das Phishing über Mail kaum hereinfallen.

Deshalb: Niemals in eine Mail klicken!

Danke für die Zusendung dieser aktuellen Phishing-Spam an S. K.

Sichtiger hinweis aus PayPal

Freitag, 25. Januar 2013

Ein extratoller Hinweis mit dem (selbstverständlich gefälschten) Absender aufmerksam1 (at) email (punkt) paypal (punkt) com.

Sehr geehrter Kunde,

Um weiterhin unsere
Dienste in Anspruch
nehmen zu kцnnen,
klicken Sie, bitte, auf
den unten stehenden
Link:

https://www.paypal.com/de/cgi-
bin/webscr?cmd=_login-
submit

© 2013 PayPal.com

Die Zeilenumbrüche sind aus dem Original.

Der Link in dieser HTML-formatierten Müllmail geht in Wirklichkeit zur dynamischen IP-Adresse eines Privatrechtners aus dem Adresspool der Deutschen Telekom AG. Der unter Windows XP laufende Rechner wurde mit an Sicherheit grenzender Wahrscheinlichkeit mit Schadsoftware übernommen, und der Besitzer des Rechners wird vermutlich in Kürze Besuch von ein paar „freundlichen“ Beamten der Kriminalpolizei bekommen, die wegen gewerbsmäßigem Betruges ermitteln. Dass die eingegebenen Daten auf der „liebevoll“ nachgemachten PayPal-Login-Seite in die Hände von Kriminellen geraten, ist hoffentlich jedem klar.

Gut ist nur, dass diese Phishing-Mail dermaßen mies ist, dass wohl niemand darauf hereinfallen wird. Solche Mails gibt es allerdings auch in „gut gemacht“. Und die Methodik, geownte Privatrechner zu benutzen, sehe ich immer häufiger in dem Zeug, das sich im glibbrigen Sieb des Spamfilters verfängt.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.