Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Schlagwortarchiv „PayPal“

Der Zugriff auf Ihr Konto wurde eingeschr?nkt.

Montag, 13. August 2012

Es ist ja nicht so, dass die Spammer nichts an ihren Nummern ändern würden.

Es scheint sogar so zu sein, dass die Spammer genau lesen, wie naive Internetnutzer über typische Maschen im Internetbetrug aufgeklärt werden, um dann ihre Spam ein wenig anzupassen.

Der Absender der folgenden Komposition aus HTML-Gestaltung und Phishing-Mail hat sich etwa folgendes gedacht: „Der Polizist da in der Zeitung, der hat gesagt, dass die Phishing-Mails den echten Mails täuschend ähnlich sehen. Da lasse ich mein PayPal-Phishing doch mal völlig anders als die corporate identity von PayPal aussehen, und schon merken die Leute nicht mehr, dass es eine Phishing-Mail ist. Und dann geben die mir hunderte von neuen Zugangsdaten für meine Betrugsgeschäfte“.

Dann setzte er sich an die Tasten und gestaltete eine beachtliche HTML-Mail.

Und so sah das Meisterwerk des unbekannten Künstlers schließlich aus (zum Vergrößern klicken):

Liebe User PayPal, Ungewöhnliche Kontobewegungen haben es notwendig gemacht Ihr Konto einzugrenzen bis zusätzliche Informationen zur Überprüfung gesammelt werden. Zur Zeit haben Sie nur begrenzten Zugang zu Ihrem Pay Pal Konto. Wir bitten Sie daher die von uns angeforderten Kontodaten zu enrneuern. Bitte klicken Sie hier

Es wird mit Sicherheit ein grandioser Erfolg werden! :mrgreen:

Hi Dear Friend

Samstag, 9. Juni 2012

Weil gerade so viel PayPal-Phishing bei mir ankommt, sei auch diese wunderschöne Kombination aus dem Streben nach gestalterischer Exzellenz und der Unfähigkeit zum adäquaten Ausdruck hier kurz erwähnt:

Hi Dear Friend, You violated the Terms of Service of 1.8 and we have to block your account. Look for a detailed explanation on the website of ... service. With regards www.paypal.com

Egal, auf welchen Link einer klickt: Sie gehen alle zur Website der Schurken.

Anders, als man auf dem ersten Blick glauben möchte, geht es hier allerdings nicht um Phishing. Vielmehr ist die Zielseite eine kaum durchschaubare JavaScript-Wüste zusammen mit der Aufforderung, doch bitte ein paar Sekunden Geduld zu haben, bis zur eigentlichen Seite weitergeleitet wird. Ich habe das nicht vollständig analysiert, sondern mir nur einen flüchtigen Eindruck davon verschafft. Es wird ein unsichtbarer IFRAME verwendet, um darin verschiedene Multimedia-Dateien darzustellen, es wird versucht, in einem anderen unsichtbaren IFRAME ein kleines PDF darzustellen, es wird ein relativ kleines Java-Applet eingebettet und Flash kommt auch nicht zu kurz. Desweiteren werden mehrfach obskure HTML-Dokumente in anderen unsichtbaren Bereichen geladen.

Oder kurz gesagt: Hier wird mit hoher Wahrscheinlichkeit jede bekannte Sicherheitslücke ausgenutzt, wenn sie offen ist.

Die flapsige Formulierung und der dumme Stil sind vermutlich keine Unfähigkeit, sondern Kalkül. Menschen, die eine derartige Mail mit der Anrede „Hallo lieber Freund“ für eine Geschäftskorrespondenz halten, werden wohl in der Regel auch keine besonders gut gesicherten Rechner verwenden…

Und diese Dummheit einiger Leute versaut dem Rest der Internetnutzer das Leben.

Ihr PayPal Konto ist gesperrt! Ihre Mithilfe ist gefragt.

Freitag, 8. Juni 2012

Die aktuelle PayPal-Phishing-Spam, aufwändig in HTML gesetzt. Nur echt mit dem Deppen Leer Zeichen schon im Betreff.

PayPal – Bitte bestatigen Sie Ihre personlichen Daten

Hallo,

Einfach nur „Hallo“. Einen Namen weiß der kriminelle Spammer schließlich nicht.

Im Rahmen unserer Massnahmen zur Gefahrenabwehr, regelmasig Bildschirm Aktivitat Paypal [sic!].
Wir bitten um Informationen �ber Sie aus dem folgenden Grund:

Unser System erkannt ungewohnliche Gebuhren fur eine Kreditkarte in Verbindung mit Ihrem PayPal Konto.

Wenn man so ein tolles Deutsch schreibt, hilft das ganze HTML drumherum, um es wie eine Mail von PayPal aussehen zu lassen auch nicht mehr weiter. Ich lasse den Rest der Mitteilung mal in ihrem fröhlichen Duktus fließen, ohne sie durch allzu große Anmerkungen zu unterbrechen…

Dies ist die letzte Mahnung [sic!], sich bei PayPal. [sic!] Dies ist die letzte Erinnerung an bei PayPal anmelden. [sic!]
Sobald Sie den Zugang werden wir Massnahmen, um den Zugang zu Ihrem Konto wieder. [sic!]

Einmal verbunden, folgen die Schritte zur Aktivierung ihres Kontos! [sic!]
Vielen Dank fur Ihr Verstandnis, da wir der Account-Sicherheit zu gewahrleisten arbeiten. [sic!]

Das Verfahren ist sehr einfach:

1. Klicken Sie auf den Link unten, um einen sicheren Browser offnen.
2. Bestatigen Sie, dass Sie der Inhaber des Kontos sind und folgen Sie den Anweisungen.

Gehen Sie Zu Ihrem Konto

Natürlich geht es da nicht zu PayPal, sondern zu einer unter der Domain www (punkt) qgrupoasesor (punkt) com abgelegten Phishing-Site. Ob die Ablage der Phishing-Seite in einem beeindruckend langem Unterverzeichnis dieser Website aufgrund einer kriminellen Übernahme des Servers geschah, oder ob das Consulting-Unternehmen, das dort seine Website betreibt, nur Fassade ist, kann ich leider nicht beantworten, weil ich kein Spanisch kann, um den Sachverhalt kurz in einer Mail dazulegen. Und ja, ich habe es bei lateinamerikanischen Sites oft genug auf Englisch versucht, und zwar immer erfolglos…

Achtung! Ihr PayPal-Konto wurde begrenzt!

Freitag, 25. Mai 2012

Dieser freundliche Absender einer HTML-formatierten Mail, der sich „PayPal.com“ nennt, beweist mit seinem liebevoll aus der Betrugsnummer eines anderen Phishers übernommenen Text…

Screenshot der betrügerischen Mail

…dass man als Stümper bei solcher Zweitverwertung eventuelle Probleme mit der Zeichencodierung noch verschlimmern kann. Einmal ganz davon abgesehen, dass der Link zur URL http (doppelpunkt) (doppelslash) alvimei (punkt) it (slash) templates (slash) casino (strich) royale (strich) template (slash) de (slash) Continue (slash) DE (slash) webscr.php geht und nur beim Hingucken klar macht, dass genau die gleichen Halunken, die den Betrug mit den angeblichen Internet-Casinos machen, auch den Betrug mit dem PayPal-Phishing machen.

Warum auch nicht, werden sie sich sagen, es ist ja beides „leicht verdientes Geld“ durch Betrug…

Abgelegt waren die Phishing-Seite und das komplette Design eines angeblichen „Casinos“ übrigens in einem Joomla-CMS eines anderen Menschen, dessen Zugangsdaten vermutlich durch eine Schadsoftware ausgespäht wurden, die er ebenfalls von diesen organisiert Kriminellen untergejubelt bekommen hat. Die Passwörter sind inzwischen geändert, und die Dateien sind gelöscht.

Security Alert

Montag, 23. April 2012

Ein Hinweis vorab: Diese Mail kommt nicht von PayPal. Das Konto bei PayPal ist nicht gesperrt. Es handelt sich um einen Betrugsversuch, um so genanntes Phishing. Die Mail sollte einfach gelöscht werden. Es ist keine weitere Aktion erforderlich.

Diese Phishing-Mail für PayPal-Kunden kommt zurzeit auch mit anderen Betreffzeilen wie „Der Zugriff auf ihr Konto wurde eingeschr“ [sic!].

Liebe User PayPal,

In einer echten Mail von PayPal wird der Kunde immer namentlich angesprochen. Und nicht als „User PayPal“. Vom…

Ungewöhnliche Kontobewegungen haben es notwendig gemacht Ihr Konto einzugrenzen [sic!] bis zusätzliche Informationen zur Überprüfung gesammelt werden.

…Deutsch einmal ganz abgesehen. Und natürlich vom Inhalt, denn einen derartig aussagelosen und dummen Bullshit vom „eingegrenzten Konto“ auf dem „Informationen zur Überprüfung gesammelt werden“, würde PayPal oder irgendein anderes Unternehmen niemals schreiben. Eingegrenztes Konto?! Das klingt ja wie ein Gartenzaun. Mit „ungewöhnlichen Bewegungen“ darin.

Tja, schon mistig, wenn man die Übersetzungen von jemanden erledigen lässt, der die Sprache, in die er übersetzt, eher rudimentär beherrscht.

Zur Zeit haben Sie nur begrenzten Zugang zu Ihrem Pay Pal Konto. [sic! Mit Deppen Leer Zeichen] Wir bitten Sie daher die von uns angeforderten Kontodaten zu enrneuern. [sic!]

Bitte klicken Sie hier »

Worum es geht, ist natürlich das Übliche: Den Menschen verunsichern, alarmieren und damit seine Kritikfähigkeit außer Kraft setzen, und ihm einen Link zum Klicken anbieten. Der führt übrigens zu einer Site mit eine epischen Liste von Subdomains, beginnend mit www.paypal.de, aber endend in der eigentlichen Doamin deutscheberlin.org. Und nein, das ist nicht die PayPal-Website, sondern eine Website unter der Kontrolle krimineller Spammer. Dort sieht man die übliche, „liebevoll“ nachgebaute PayPal-Login-Seite. Wer da seine Mailadresse und sein Passwort eingibt, hat den Verbrechern schon einmal eine Menge Möglichkeit gegeben, aufs Konto zuzugreifen und einmal so richtig abzuräumen.

Das reicht den Verbrechern allerdings nicht. Deshalb darf man hinterher noch ein paar Sicherheitsfragen beantworten. Natürlich nicht die, die man bei PayPal konfiguriert hat, sondern solche…

Screenshot der Phishing-Site

…die es den organisierten Kriminellen auch noch ermöglichen, die eigene Identität zu missbrauchen: Voller Name und Geburtsdatum. Wer das macht, hat vollständig verloren und eine äußerst unerfreuliche, nervenaufreibende und möglicherweise teure Zeit vor sich.

Gut, dass die Phishing-Mails in dieser Version so durchschaubar und schlecht sind, dass niemand darauf hereinfallen wird. Gut, dass jeder weiß, dass PayPal derartige Mails nicht versendet. Gut, dass niemand Websites, bei denen es um „richtiges Geld“ geht aufruft, indem er in eine Mail klickt, sondern dass jeder die Adresse immer in die Adresszeile seines Browsers eingibt.

Ach, wenn es doch nur so wäre! 🙁

Leider werden doch einige Leute Daten eingeben, und zwar andere als der „Hansdieter Strunzmeister“, der sich diese müde Nummer gerade ein bisschen genauer angeschaut hat. (So etwas macht man übrigens nur mit einem besonders gesicherten System, es handelt sich um die Website von schwer kriminellen Zeitgenossen, die auch den Herstellern der Antivirus-Software um ein paar Tage voraus sind. Ein unvorsichtiger Klick in eine Spam kann zur Folge haben, dass man seinen Rechner und seine Internet-Leitung der organisierten Kriminalität zur Verfügung stellt. Wer nicht genau weiß, wie man ein System besonders sichert, sollte gar nicht erst über solche Experimente nachdenken.) Der Hansdieter hat nämlich, nachdem er sogar noch den Mädchennamen seiner Mutter bestätigte, gesehen, dass die Kriminellen zu gern auch noch…

Screenshot der Phishing-Site

…die Kreditkarte für ihre „Geschäfte“ benutzen würden. Und dann hat er sich gefragt, ob es nicht doch ein paar Leute gibt, die da echte Daten eingeben…

Copyright © 1999-2012 PayPal. All rights reserved
PayPal Germany Pty Limited
ABN 93 111 195 389 (AFSL 304962)

Nein, von PayPal ist diese Mail nicht.

Mail von PayPal erhalten?

Dienstag, 10. April 2012

Keine Spam, sondern ein wichtiger Tipp gegen Phishing.

Wer eine E-Mail „von PayPal“ bekommen hat, sollte bei der kleinsten Unsicherheit diesen Hinweis von PayPal beachten:

Wenn Sie sich nicht sicher sind, ob eine von PayPal erhaltene E-Mail wirklich von uns stammt, dann senden Sie bitte die komplette E-Mail inklusive der Betreff-Zeile über die Funktion „Weiterleiten“ an spoof@paypal.com.

Geld ist nämlich viel zu schade, um es der organisierten Internet-Kriminalität zukommen zu lassen.

Danke für den Hinweis an CS

Warnhinweis: PayPal-Phishing

Mittwoch, 14. März 2012

Im Moment kommen hier eine ganze Menge englischsprachige Phishing-Spams für PayPal-Nutzer an, die als (gefälschten) Absender service (at) paypal (punkt) com eingetragen haben. Diese Spams haben variierende Texte und sind auffallend stilsicher formuliert. Wenn sie durch den (hoffentlich vorhandenen) Spamfilter kommen, können sie wegen des Absenders von der Mailsoftware in einen Ordner mit echten Mails von PayPal einsortiert werden.

Wenn sie eine Mail „von PayPal“ bekommen haben, die von Unregelmäßigkeiten in ihrem PayPal-Konto spricht: Keine Panik! Die Mail kommt mit an Sicherheit grenzender Wahrscheinlichkeit nicht von PayPal.

Es ist immer noch recht einfach, die Phishing-Versuche zu erkennen.

  1. PayPal spricht seine Kunden immer namentlich an, die Spams kommen aber mit einer unpersönlichen Ansprache.
  2. Der Link geht nicht auf die PayPal-Website. Das sieht man, wenn man beim Überstreichen des Links mit dem Mauszeiger in die Statusleiste seiner Mailsoftware schaut.
  3. Die Begründungen, dass man etwas „verifizieren“ muss, weil PayPal irgendwelche nicht näher bezeichnete Auffälligkeiten bemerkt haben will, sind hanebüchen und sollen vor allem technisch weniger versierte PayPal-Nutzer verunsichern.

Also nochmal: Keine Panik!

Bei Webdiensten, bei denen es um „richtiges Geld“ geht: Niemals auf einen Link in einer Mail klicken, sondern immer die Adresse von Hand in die Adressleiste des Browsers eingeben! Egal, wie überzeugend diese Mail aussieht, und unabhängig davon, ob man persönlich angesprochen wurde oder nicht. Mit dieser sehr einfachen Vorsichtsmaßnahme kann man wirksam verhindern, dass man in einem Moment der Verunsicherung Zugangsdaten in die Hände von Kriminellen gibt – und das kann einem eine Menge Ärger und Geld sparen.

Wer für PayPal (und vergleichbare Dienste) eine eigens eingerichtete Mailadresse benutzt, die an keiner anderen Stelle angegeben wird, baut eine wichtige zusätzliche Sicherung ein, da eine solche Mailadresse nicht so leicht in die Datenbanken der Spammer geraten kann. Das ist unbedingt empfehlenswert – hilft aber nur, wenn man bei Mails „von PayPal“ auch einen Blick darauf wirft, an welche Mailadresse sich die Nachricht richtet.

Gegen Phishing hilft keine Software. Gegen Phishing gibt es nur ein Mittel: Vernunft.

Deshalb: Niemals in Panik versetzen lassen, niemals unüberlegt in eine Mail klicken, niemals so handeln, wie es die Spammer am liebsten hätten.

Vernunft ist kostenlos, und jeder ist mit der Möglichkeit zur Vernunft ausgestattet.

Unvernunft kann schnell verdammt teuer werden.

Keine Chance den Phishern!

Account Review Department

Freitag, 17. Februar 2012

Oh, wie schön, „PayPal“ schreibt mir mal wieder. Zumindest nennt sich der Absender so, aber seine gefälschte Mailadresse accounts (at) intl0 (punkt) payel (punkt) com kann nicht den Eindruck erwecken, dass es wirklich PayPal ist. Hey, Phisher! Wenn du mit deinem Skript schon Mailadressen fälschen kannst, dann schreib da doch die richtige Domain von PayPal rein!

Ach, du befürchtest, dass dann Rückläufer beim richtigen PayPal landen, dass man dort aufmerksam wird und möglicherweise die Kunden in einer Rundmail vor deinem Betrugsversuch warnt? Na, das verstehe ich ja noch.

Aber das du zu glauben scheinst – ich meine ja nur: wenn du schon einen Namen zur Mailadresse angibst – dass der Betreff einer Mail nicht dafür da ist, kurz zu sagen, um was es überhaupt geht, sondern vielmehr dazu, reinzuschreiben, aus welcher Abteilung die Mail kommt… komm Spammer, das ist wirklich schwach! So etwas macht niemand. Weil es sinnlos ist. So etwas wirst du niemals sehen. So etwas erweckt einen klaren Verdacht, bevor man auch nur irgendetwas anderes in der Mail gesehen hat. Du kriegst vermutlich nicht so oft geschäftliche Mails, ne?! :mrgreen:

Thursday, February 16th, 2012

Immerhin, wenigstens eine zutreffende und wahre Angabe steht in der betrügerischen Spam. Das ist nicht selbstverständlich. 😀

Recently, our system has detected unusual charges to a credit card linked to your PayPal account.

Auf eine persönliche Anrede des Kunden wird ebenso verzichtet wie auf die Angabe der betroffenen Kreditkartennummer – zwei Dinge, die das richtige PayPal vermutlich mitteilen würde, wenn PayPal so etwas mit einer Mail mitteilte.

Access to your account was limited for the following reason:

There are activities of which someone tried to access your PayPal account without your permission. To ensure greater security, we have limited access to your account.

Aber wenn ich eine Kreditkarte oder ein Bankkonto mit einem PayPal-Konto verbunden habe, habe ich das doch selbst gemacht. Das richtige PayPal hat sich dafür ein „tolles“ Verfahren ausgedacht, bei dem zwei geringwertige Transaktionen getätigt werden, deren Höhe man in einem Formular auf der PayPal-Site eintragen muss. So wird sichergestellt, dass das Konto richtig angegeben wurde, und zwar vom Menschen, der da Zugriff auf die PayPal-Verwaltung hat. Jemand anders kann das gar nicht. Weil es nicht möglich ist. Deshalb ist es ja auch nicht geschehen, es wird hier nur behauptet, um ein Problem in den Raum zu stellen und den Empfänger zu erschrecken, damit er möglichst wenig vor den folgenden Schritten nachdenkt. Denn er soll natürlich seine Zugangsdaten an Verbrecher übergeben, damit diese damit betrügerische Geschäfte machen können.

Und hier die tolle Gelegenheit, Verbrechern Zugriff auf die Kreditkarte und das PayPal-Konto zu geben:

We have sent you an attachment which contains all the necessary steps in order to restore your account access. Please download and open it in your browser.

Ein Attachment, das also schon mit der Mail mitgekommen ist, soll ich also runterladen. Großes Kino mal wieder.

Es handelt sich übrigens um eine HTML-Datei, die folgendermaßen aussieht:

Screenshot der angehängten betrügerischen Phishing-Seite für PayPal-Kunden

Etwas lustig ist es ja schon, dass es hier keine Spur um PayPal geht, sondern nur um die persönlichen Daten (die PayPal bereits bekannt sind, aber eben nicht den Betrügern, sonst hätten sie überzeugender formuliert) und – im Bild nicht sichtbar – die Kreditkartennummer, ihr Ablaufdatum und die verification number. Tolle Daten für eine betrügerischen Missbrauch der Identität und ein paar Bezahlvorgänge mit anderer Leute Kreditkarten bei Betrugsgeschäften. Jedenfalls für die Verbrecher, die diese Daten bekommen. Denn natürlich gehen die Eingaben in dieses Formular nicht an PayPal, sondern an die folgende Internetadresse mit ausgesprochen beachtlicher Domain:

http (doppelpunkt) (doppelslash) kcdcylykuzszutdhgpdfkzwuridgzxjhwjilletzpexsgallti (punkt) spteiqnaskqliliasnqxikcmenmn (punkt) ru (slash) (tilde) jeremy (slash) sslchecker (punkt) php

Ich befürchte, dass diese großartige Domain, die vermutlich von einem auf die Tastatur herumkloppenden Pavian im Zustand fortgeschrittener Hirnverkäsung registriert wurde, hier nicht korrekt dargestellt wird, sondern mit ein paar zusätzlichen Leerzeichen dazu gezwungen wird, nicht das Layout zu zerstören. Aber dass es sich nicht um PayPal handelt, dürfte auch so klar sein… 😉

Das der Text „Secure Transaction“ zusammen mit dem Schloss keineswegs bedeutet, dass die Daten über HTTPS übertragen werden, erklärt sich von selbst.

Ein Kleiner Schlenker in die angehängte HTML-Datei. Hier haben die Phisher sehr „einfallsreich“ kommentiert, vermutlich, weil sie davon ausgehen, dass vielleicht doch mal jemand einen Blick in den Quelltext werfen könnte. Einen HTML-Kommentare in seiner unerreichten literarischen Qualität möchte ich nicht vorenthalten – wer das zu technisch findet, einfach überlesen. Die Kommentarzeichen lasse ich im folgenden Zitat weg, um den Genuss nicht vom Wesentlichen abzulenken (und mich vom Tippen der HTML-Entities abzuhalten):

PayPal Verification System
Destinated Only For Locked Accounts

Na, wenn das im Anhang einer Spam steht, muss es ja wohl stimmen… 😀

Wirklich „schön“, dass hier wirklich für jeden Leser ein bisschen was geschrieben wurde.

Aber wieder zurück zur Spam:

(The locator for this issue is PP-388-572-660)

Diese Angelegenheit befindet sich in der Unimatrix Zero.

We thank you for your prompt attention to this matter. Please understand that this is a security measure intended to protect you and your account. We apologise for any inconvenience.

Zum Abschluss bedanken sich die Betrüger noch einmal, dass es immer wieder Leute gibt, die so angstdoof und unerfahren sind, dass sie auf Phishing reinfallen, obwohl das nicht gerade die neueste Masche ist. Natürlich handelt es sich um eine reine Sicherheitsmaßname, nur zum Besten des Opfers und seines Kontos. Eine kleine Entschuldigung wird auch druntergeklatscht.

Thank you,
PayPal Account Review Department

Nochmal vielen Dank von
Deinen Phishing-Stümpern

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.