Schlagwortarchiv „Sehr geehrter Kunde“

Wichtige Systemanpassung 2026: Ihre Bestätigung ist notwendig

Samstag, 10. Januar 2026

Das ist Phishing. 🎣️

Von: Volksbank – Kundenservice <info@tfcbond.it>

Ich bin kein Kunde der Volksbank. Trotzdem kommt dieser Müll bei mir an. Außerdem sieht die Absenderadresse nicht gerade nach irgendeiner Volksbank aus.

Volksbank eG
Systemaktualisierung 2026 – Ihre Bestätigung erforderlich

Ja, Spammer, das habt ihr schon im Betreff geschrieben. Ihr glaubt wohl, dass es wichtiger aussieht, wenn man es wiederholt. Schon schade, wenn man seine Bildung von den Teletubbies hat und deshalb immer „Nochmal!“ denkt.

Sehr geehrte Kundin, sehr geehrter Kunde,

Die richtige Bank würde ihre Kunden mit Namen ansprechen, und wahrscheinlich würde sie auch die Kontonummer nennen.

zur Vorbereitung auf die neuen EU-Zahlungsdienstrichtlinien (PSD3) aktualisieren wir unsere Systeme für das Jahr 2026. Diese Modernisierung ermöglicht Ihnen zukünftig noch mehr Sicherheit und Komfort bei Ihren Bankgeschäften.

Schön für euch, und was hat das mit mir zu tun? Meine Stammdaten sind unverändert. Oder habt ihr etwa den Update verpatzt, eure Datenbank gelöscht und kein Backup gefunden? 😁️

Details zur Systemaktualisierung
Aktualisierung:
PSD3-Umsetzung 2026
Betrifft:
Alle Kontoverwaltungsfunktionen
Status:
Bestätigung durch Sie erforderlich
Frist: 12. Januar 2026

Bitte bestätigen Sie bis zum 12.01.2026, um einen ununterbrochenen Service zu gewährleisten.

🔒 Jetzt Bestätigung vornehmen

Der Vorgang dauert nur 2 Minuten

Diese Fristsetzung übers Wochenende ist übrigens sittenwidrig. Wenn sie wirklich von der Bank käme, sollte man Strafanzeige wegen Nötigung erstatten.

Aber davon einmal abgesehen: Toll, da ist ja ein Schloss-Emoji am Link. Der Link soll damit wohl sicher aussehen. Das Ziel des Links mit seiner insgesamt 446 Zeichen langen URI geht zunächst in ein Webforum und missbraucht dort mit einem Javascript-Trick eine Weiterleitungsfunktion, um danach noch einmal eine etwas obskure Weiterleitung durch Google zu machen. Das ist ziemlich trickreich und soll wohl Leute entmutigen und Skripten austricksen, die Spam analysieren. Aber die Trickserei lohnt sich ja auch für die Spammer, denn jede zusätzliche Stunde, in der ihre Betrugsseite nicht auf den Blacklists steht und in der die naiven Menschen nicht von ihrem Browser gewarnt werden, bringt ihnen relativ leicht verdientes Geld.

Die Phishing-Site in der Domain eg (strich) info (punkt) im (hui, die Isle of Man!), auf der man schließlich landet, sieht so aus:

Alles, was man dort eingibt, geht nicht etwa an die Bank, sondern an eine Betrügerbande. Das Konto wird leergeräumt und außerdem für Betrugszwecke verwendet. Auf dem Schaden, der meist in fünfstelliger Höhe liegt, aber bei entsprechender Bonität auch leicht sechsstellig werden kann, bleibt man sitzen. Außerdem wird man als Kontoinhaber schnell zum Hauptverdächtigen in diversen Ermittlungen wegen gewerbsmäßigen Betruges, und die durch Ärger und allerlei Lauferei versalzene Lebenszeit kriegt man auch von niemanden erstattet. Da kommen schnell Jahre zusammen, in denen man jede Woche eine andere Überraschung im Briefkasten hat.

Wegen eines einzigen dummen Klicks in eine Mail. 🖱️🤦‍♂️️

Es gibt zum Glück für uns alle ein ganz einfaches und hundertprozentig wirksames Mittel gegen Phishing, eine der häufigsten Betrugsformen im gegenwärtigen Internet: Niemals in eine E-Mail klicken! Wenn man nicht in eine E-Mail klickt, kann einem kein Verbrecher so leicht einen giftigen Link unterschieben. Stattdessen im Webbrowser Lesezeichen für häufig besuchte Websites anlegen und diese Websites nur noch über diese Lesezeichen besuchen. Das ist ja kein Komfortverlust, es bleibt bei einem Klick. Nur, dass man nicht in die Mail eines unbekannten Absenders klickt, sondern in seinen eigenen Webbrowser. Wenn man dann irgendwann einmal eine „komische“ Mail „von seiner Bank“ bekommt, die man nicht sofort als Phishingspam erkennt, einfach die Website der Bank über das Browserlesezeichen aufrufen und sich dort wie gewohnt anmelden, am besten mit Hilfe eines guten Passwortmanagers. Wenn man nach der Anmeldung keinen Hinweis auf das Problem sieht, das in der Mail behauptet wurde, hat man einen dieser gefürchteten Cyberangriffe abgewehrt. So einfach geht das. Macht das! 🛡️

Wir sind für Sie da
🏢 In Ihrer persönlichen Filiale
💻 Online im Kundenportal
Mit freundlichen Grüßen
Ihr Team der Volksbank eG
Volksbank eG · Genossenschaftsbank
Referenznummer: V2026-456789-PSD3
Dokument erstellt am: 06. Januar 2026

Das sieht nach viel aus, entspricht aber nicht den gesetzlichen Anforderungen in der Bundesrepublik Deutschland an ein E-Mail-Impressum in gewerblicher E-Mail. Ja, ich finde die auch sehr albern. Aber Unternehmen achten darauf. Weil es sonst teuer wird. Spammer sind oft zu dumm dazu.

Dies ist eine automatisch generierte Mitteilung. Bitte antworten Sie nicht auf diese E-Mail.

Zum Abschluss gibt es noch den ersten wahren Satz in diesem E-Müll.

Wichtig, Servicekommunikation (REF-ID: 9596873921575)

Samstag, 6. Dezember 2025

Schon dieser Betreff quietscht vor Wichtigkeit. Da ist eine völlig unverständliche Nummer drin, das muss ja eine wichtige Mail sein. 😁️

Von: VоІksbаnk <admin60586@energie.co.id>
An: undisclosed-recipients:;

Diese Spam ist nicht persönlich, sondern geht an ganz viele Empfänger gleichzeitig. Deshalb steht meine Mailadresse nicht als Empfänger drin. Und die Mailadresse des Absenders in der TLD Indonesiens sieht auch nicht gerade nach der Volksbank aus.

Möchten Sie Ihr VоІksbаnk-Konto aktiv halten?

Aber ich habe gar kein Konto.

Sehr geehrte Kundin, sehr geehrter Kunde,

Genau mein Name!

Mit dieser Mitteilung teilen wir Ihnen mit, dass Ihr Online-Banking-Profil aus Sicherheitsgründen deaktiviert wurde.

Die neuen Regelungen verlangen von Kontoinhabern in regelmäßigen Abständen eine kurze „Bestätigung“ ihrer aktuellen Angaben als Maßnahme gegen unbefugte „Kontonutzung“ und „Geldwäsche“.

Um unsere Dienste weiterhin wie gewohnt nutzen zu können und eine drohende Schließung Ihres Kontos und Ihrer Karte zu vermeiden, tun Sie dies bitte umgehend.

Hinweis: Ohne Bestätigung kann der Zugriff auf bestimmte Funktionen vorübergehend eingeschränkt werden.

Jetzt prüfen

Wer da klickt, hat verloren. Wenn ich also einfach regelmäßig sage, dass meine Lügen bei der Kontoeröffnung stimmen – vielleicht gibt es ja Kriminelle, die sich daran nicht mehr erinnern können – dann hilft das gegen unbefugte Kontonutzung und gegen Geldwäsche, natürlich beides in Anführungszeichen, als gäbe es die Kriminalität in Wirklichkeit gar nicht. Nun, das hilft überhaupt nicht. So ein Schwachsinn würde nicht einmal der Bundesregierung oder der Europäischen Union einfallen. Einmal ganz davon abgesehen, dass die Geldbeträge, mit denen ich es so zu tun habe, noch nie so eklige Wörter wie „Geldwäsche“ gehört haben.

Der Link…

$ lynx -dump "https://www.baidu.com/link?url=FW6JNQb5O-h5P4NXSJ-VClQ1muu7N-8aljS5_MPLy4QIvTQFowPaNUUp7IQ8EXiv&wd=&eqid=8002a42d00da6d720000000669331b9d"
   REFRESH(0 sec): [1]https://starbreakersentertainment.com/

Verweise

   1. https://starbreakersentertainment.com/
$ _

…führt natürlich nicht zur Volksbank, sondern zu Baidu, einer großen und wegen der MP3-Suche auch außerhalb Chinas beliebten chinesischen Suchmaschine, deren Weiterleitungen hier missbraucht werden. Von dort geht es in eine lustige Domain, die ich gerade erst hatte, ebenfalls für Phishing auf Volksbank-Kunden. Inzwischen scheinen die Trickbetrüger aber jemanden gefunden zu haben, der ein bisschen deutsch kann. Deshalb sieht die Spam nicht mehr ganz so peinlich und unfreiwillig komisch aus.

Zum Glück kann man sich ganz einfach vor Phishing schützen, einer der häufigsten Formen des Trickbetrugs im Internet: Niemals in eine E-Mail klicken! Dann kann einem nämlich kein Betrüger einen giftigen Link unterschieben. Stattdessen für Websites, bei denen man ein Konto hat, Lesezeichen im Webbrowser anlegen und diese Websites nur noch über das Lesezeichen aufrufen. Wenn man so eine Mail „von der Volksbank“ bekommt und sich nicht sofort sicher ist, dass es sich um eine Spam handelt: Einfach die Website seiner Bank über das Lesezeichen aufrufen und sich dort wie gewohnt anmelden. Wenn man danach keinen Hinweis auf das Problem sieht, das in einer E-Mail behauptet wird, hat man einen dieser gefürchteten Cyberangriffe abgewehrt und eine Menge Geld und Ärger gespart. So einfach geht das. Macht das! 🛡️

Mit freundlichen Grüßen,

Ihr VоІksbаnk-Team
VоІksbаnkеn Raiffeisenbanken ℗ Alle Rechte vorbehalten

Löschen und gut! 🗑️

Neue Update (VR-211726605)

Donnerstag, 4. Dezember 2025

Oh, schön, eine Nummer im Betreff. Ist kryptisch und für jeden Empfänger unverständlich, muss also voll wichtig sein. 🤭️

Dieser Phishingversuch ist beinahe schon etwas für die Kategorie „Zu dumm zum Spammen“. Angeblich schreibt hier die…

Von: VоІksbаnkеn-VR <8t2rcvts@csure.taxi>
An: undisclosed-recipients:;

…virtuelle Realität der Volksbanken. Vermutlich fährt die gerade Taxi und isst dabei eine Buchstabensuppe. 😂️

s

Ja?

Sehrgeehrter Kunde,

Ah!

Unser neues VR-Dashboard, das dieses Jahr eingeführt wurde, bietet unseren Kunden ein flüssigeres und besseres Erlebnis.
Wir freuen uns, Ihnen unser neues Sicherheitssystem vorzustellen, das Ihre Sicherheit garantiert.
Wir möchten, dass Sie mit dieser neuen Funktion fortfahren, um Ihre Sicherheit zu gewährleisten, indem Sie dem unten stehenden Link folgen

weitere Informationen

Oh, was für eine schöne Domain für den Link!

$ surbl starbreakersentertainment.com
starbreakersentertainment.com	okay
$ _

Diese Domain steht noch nicht einmal auf den Blacklists. Es kommt wohl erst noch. Und das, obwohl man sofort an deutsche Banken und seriöse Geldgeschäfte denkt, wenn man nur die Domain des Links sieht. 🤭️

Danke für Ihre Aufmerksamkeit.

Danke für den pseudohöflichen Dank für Nichts. Bei mir darf auch jeder mal lecken!

Oh, da kommt ja nach über hundert Leerzeilen noch etwas:

there,

Here’s your login code for MoonPay:

837083

This code is valid for 5 minutes. Never share it with anyone.

Not trying to log in?

You can safely ignore this email. We‘re sorry for the spam though.

Thanks,
The MoonPay Team

This service is powered by Eighteenth September Ltd, Suite 108, Premier Building, Victoria, Mahe, The Republic of Seychelles. Visit us at moonpay.com.

Tja, diese lustige Spamprosa hat auch nicht geholfen, die Spam am Spamfilter vorbeizumogeln. Aber dafür sieht jetzt wenigstens etwas an dieser Spam nach Geldgeschäften aus. 😄️

Angebliche Bankbriefe mit QR-Codes

Montag, 1. Dezember 2025

Keine Spam, sondern ein aktueller Hinweis des LKA Niedersachsen zu einem gefährlichen, laufenden Trickbetrug:

Erneut sind gefälschte Schreiben per Briefpost unterwegs, die vorgeben, von einer echten Bank zu stammen. Wieder sind QR-Codes enthalten, die zu Phishingseiten führen

Natürlich ist ein QR-Code in einem Brief genau so gefährlich wie ein Link in einer E-Mail. Wenn man die Website seiner Bank mit einem bequemen Klick über ein dafür angelegtes Lesezeichen im Webbrowser aufruft, statt den scheinbar „bequemen“ QR-Code zu scannen, kann einem niemand so leicht einen giftigen Link unterschieben. Wenn man sich dort wie gewohnt angemeldet hat und keinen Hinweis auf das behauptete Problem sieht, hat man einen dieser gefürchteten „Cyberangriffe“ abgewehrt. So einfach geht das. Macht das! Macht es immer!

Lt. LKA Niedersachsen lauten die Briefe so:

Sehr geehrte Kundin, sehr geehrter Kunde
seit dem 09. Oktober 2025 traten europaweit bedeutende Änderungen im Zahlungsverkehr in Kraft, die sowohl die Schnelligkeit von Überweisungen als auch die Sicherheit im Online-Banking deutlich verbessern werden. Ziel dieser Neuerungen ist es, Zahlungen künftig innerhalb weniger Sekunden abzuwickeln und gleichzeitig Betrugsversuche wirksamer zu verhindern.

Damit Sie auch weiterhin alle Bankdienstleistungen ohne Einschränkungen nutzen können, ist es erforderlich, dass Sie Ihre Kundendaten verifizieren und die aktualisierten Geschäftsbedingungen lesen und bestätigen. Dies muss bis zum Ende des Monats einmalig durchgeführt werden. Detaillierte Informationen zu den Änderungen erhielten Sie in den vergangen Wochen durch das Postfach ihres Online Bankings oder per E-Mail.

Wichtiger Hinweis – bitte sofort handeln!

Ohne die verpflichtende Verifizierung bis spätestens Ende November sehen wir uns leider gezwungen, Ihre Zugänge zu sperren und die Geschäftsbeziehung zu beenden. Bitte führen Sie die Verifizierung daher umgehend durch, um Unterbrechungen im Zahlungsverkehr zu vermeiden.

Verifizierungsablauf: Bitte scannen Sie den untenstehenden Qr-Code, um zur gesicherten Verifizierungsseite zu gelangen. Die von Ihnen eingegebenen Informationen werden im Anschluss automatisiert verarbeitet und geprüft. Während dieses Vorgangs sind keine weiteren Schritte Ihrerseits erforderlich.

Sollten im Rahmen der Prüfung Unstimmigkeiten auftreten oder ergänzende Angaben notwendig sein, wird sich innerhalb der kommenden Wochen ein Kundenberater selbstständig mit Ihnen in Verbindung setzen.

Mit freundlichen Grüßen
Ihre Bank [sic!]

Natürlich würden in einem echten Anschreiben der Bank Kunden namentlich angesprochen und die Kontonummern genannt. Aber angesichts des gegenwärtigen „Industriestandards“ im Datenschutz kann man sich darauf allein nicht verlassen. Deshalb: Niemals einen Link unterschieben lassen! Nicht klicken, nicht scannen! Immer nur die Website direkt aufrufen, sich wie gewohnt anmelden und sich davon überzeugen, ob das behauptete Problem wirklich besteht.

Falls nicht: Strafanzeigen wegen des Betrugsversuches nimmt jede Polizeidienststelle entgegen.

Update Ihres S-ID-Check – Bestätigung notwendig

Mittwoch, 19. November 2025

Was bitte?

Knax Savings bank Sparkassen …

Benachrichtigung zur benötigten Bestätigung

Sehr geehrter,

Kunde, um die Aktualisierung Ihres S-ID-Check abzuschließen, müssen Sie diese Änderung bestätigen.

Sie haben eine Benachrichtigung in Ihrer S-ID-Check-App erhalten.

Bitte öffnen Sie den untenstehenden Link und bestätigen Sie anschließend die Aktualisierung, um den Vorgang abzuschließen: Informationen öffnen

Bedankt voor uw vertrouwen.

© Copyright 2025 by Sparkasse

Was bitte? 🤣️

Wer auf so ein schlecht hingepfuschtes Phishing reinfällt, statt ohne langes Denken auf die Löschtaste zu drücken, wird vermutlich auch nicht mehr erreicht, wenn ich dazu noch etwas schreibe. Aber schön, dass es den pseudohöflichen Dank für Nichts jetzt auch auf Niederländisch gibt. Das sieht für den Absender sicherlich genau so unverständlich wie Deutsch aus. Bedankt voor uw hersenloosheid.

(Nein, ich habe keine Lust, das verwendete Sparkassenlogo, das als Data-URL in Base64-Codierung angegeben wurde, aus dem Quelltext rauszufummeln und mitzuzitieren. Der Spammer hatte ja auch keine Lust, sich wenigstens Mühe zu geben. Und Menschen mit sicher konfigurierter Mailsoftware sehen es eh nicht.)

Ζаhⅼսոցѕрrоbⅼеⅿ: Αktսаⅼіѕіеrսոց еrfοrⅾеrⅼісh, սⅿ Ӏhr Αbоոոеⅿеոt fоrtzսѕеtzеո

Donnerstag, 30. Oktober 2025

Oh, schön, mit lustigen, aber auch etwas versteckten Unicodezeichen im Betreff, damit der Müll durch die Spamfilter kommt. Hat natürlich nicht geklappt, sondern gleich noch mal ein paar Zusatzpünktchen gegeben. 🤭️

Wer schreibt mir denn heute?

Von: СhаtᏀΡТ-Ζаhⅼսոցеո <no-reply@chatgpt.de>

Bis eben wusste ich nicht einmal, dass man bei ChatGPT auch etwas abonnieren kann. Ich nutze ja keine angelernten neuronalen Netzwerke, außer vielleicht, um ein paar Quatschbilder zu machen (das hat längst keinen Sinn mehr, die Bilder sind tendenziell kitschig und unbrauchbar geworden, das dekorative Roboter-Bild an der Seite ist schon anderthalb Jahre alt und stammt aus einer Übergangszeit, in der die Verkitschung noch erträglich und wenigstens einige Bilder noch benutzbar waren) oder um mal zu schauen, ob sich da inzwischen wirklich Spuren von „Intelligenz“ zeigen, die nicht einfach nur aufwändig gekünstelt sind. Aber es gibt immer noch nur den Gnobbelmatsch des künstlichen Dunning-Kruger-Effektes. Unfassbar, dass Menschen mit so einem unbrauchbaren und dummen Schrott ernsthaft etwas anfangen wollen. Unfassbar, dass Journalisten sich auf so einen Schrott verlassen. Oder, dass so genannte „Entscheidungsträger“ – das ist ein modernes deutsches Wort für technisch inkompetente Geldverbrenner – damit die Produktivität steigern wollen. Und jetzt kriege ich angeblich schon Zahlungsprobleme. Mit lustigen Unicode-Zeichen.

Die Spam entspricht vollständig dem normalen Phishing-Schema:

ChatGPT Logo

ChatGPT-Abonnement

Abonnement-Aktualisierung erforderlich | 2025

Sehr geehrte Kundin, sehr geehrter Kunde,

Wir haben festgestellt, dass Ihr ChatGPT-Abonnement aktualisiert werden muss, um Unterbrechungen Ihres Dienstes zu vermeiden.

Wichtig: Wenn Ihr Abonnement nicht innerhalb von 48 Stunden aktualisiert wird, kann der Zugriff auf Premium-Funktionen eingeschränkt oder ausgesetzt werden.

Um einen unterbrechungsfreien Zugriff sicherzustellen, aktualisieren Sie bitte Ihre Abonnementdaten über den folgenden Button:

Abonnement aktualisieren

Wenn Sie Fragen haben oder Hilfe benötigen, steht Ihnen unser Support-Team gerne zur Verfügung.

Vielen Dank, dass Sie ChatGPT nutzen.

Mit freundlichen Grüßen,

ChatGPT Support-Team

OpenAI Services

123 Innovation Way, Virtual City

Tel: +1 (800) 123-4567

© 2025 ChatGPT. Alle Rechte vorbehalten.
Bitte überprüfen Sie offizielle Links und geben Sie Ihre Daten nicht auf verdächtigen Webseiten ein.

Nein, die Telefonnummer ist nicht von mir so hingeschrieben, die steht da wirklich so. Die ist ja einprägsam wie mein Passwort! 🤭️

Aber da steht ja auch, dass ich ChatGPT nutze und sogar dafür bezahle. Das stimmt nicht. Die bedanken sich sogar pseudohöflich dafür. Obwohl es gar nicht stimmt.

Der Link führt in eine Website bei einem kommerziellen Anbieter, bei dem man auf WordPress basierende Websites hosten, einrichten und pflegen kann – und die Phishing-Website dort ist schon weg, weil die meisten anderen Unternehmen als Google eben keine Lust haben, zum besten Freund des Spammers und Betrügers zu werden. Aber wir wissen ja alle, was es dort gegeben hätte: Man konnte sich dort auf einer „liebevoll“ nachgemachten Website „anmelden“, und danach gehört das Konto einem betrügerischen Spammer. Der kann dann zum Beispiel die teuren Premiumzugänge anderer Leute (zurzeit immerhin 276 € pro Jahr¹ für die einfachste Stufe, den billigen Plus-Account) kostenlos einsammeln und irgendwo billiger weiterverkaufen. Vielleicht sogar mehrfach. Und weil es ja angeblich ein „Zahlungsproblem“ gibt, wird vielleicht auch gleich die Kreditkarte übernommen. Er ist ja ein Betrüger, wie man schon an dieser Spam mit dem versuchten Trickbetrug sieht.

Ich bin mal gespannt, ob ich in Zukunft noch häufiger ein Phishing auf Benutzerkonten bei Anbietern angelernter neuronaler Netzwerke sehen werde. Wie viele Leute dafür inzwischen – nach jahrelanger Reklame im contentindustriellen Journalismus unter ständiger Benutzung des Reklamewortes „Künstliche Intelligenz“ – Geld auszugeben bereit sind.

Zum Glück für uns alle gibt es einen sehr einfachen, kostenlosen und fehlerfrei wirksamen Schutz gegen Phishing: Niemals in eine E-Mail klicken! Stattdessen für häufig besuchte Websites, bei denen man ein Nutzerkonto hat, immer ein Lesezeichen im Webbrowser anlegen und diese Websites nur noch über das Lesezeichen aufrufen. Wenn man nicht in eine E-Mail klickt, kann einem kein Trickbetrüger so einfach einen giftigen Link unterschieben. Sollte einmal eine „komische Mail“ ankommen, bei der man nicht sofort weiß, dass es eine Spam ist, nicht in diese Mail klicken, sondern einfach die Website über das Lesezeichen im Browser aufrufen und sich dort wie gewohnt anmelden. Wenn man danach keinen Hinweis auf das angebliche Problem sieht, hat man eine dieser gefürchteten „Cyberattacken“ abgewehrt. So einfach geht das. Macht das! 🛡️

¹Ich hätte das gern verlinkt, aber Open AI hält es für eine gute Idee, seine Preisliste mit vorsätzlicher Technikverhinderung nicht archivierbar zu machen, so dass ich meinen Preis nicht belege. Es ist schon sehr seltsam, dass nur die Preise, also das Wesentliche, in der Preisliste fehlen. Ich habe diese ganzen Klitschen noch nie für besonders vertrauenswürdig gehalten, aber jetzt bin ich mir völlig sicher, dass die kein seriöses Geschäftsmodell haben und klar vorsätzlich am Rande grenzbetrügerischer Machenschaften arbeiten. Warum sonst sollte man die Archivierung einer Preistabelle vorsätzlich sabotieren, wenn man nichts Übles beabsichtigt?

Erinnerung: Identitätsnachweis für Ihr Online-Banking erforderlich

Donnerstag, 23. Oktober 2025

Phishingalarm! 🎣️

Von: Ꮲaypal <postmaster@02b32ad9e2.nxcli.io>

Das ist nicht PayPal.

Paypal, Paypal Icon, Paypal Logo …

Da hilft auch alle eingebettete Grafik nicht, deren Alternativtexte ich sehe, der Absender dieser Spam ist nicht Paypal, und um das zu sehen, muss man nur auf die Absenderadresse schauen. Die Mailadresse des Absenders liegt nicht in der Domain von Paypal. (Das ist übrigens kein sicheres Erkennungszeichen. Aber hier hätte es gereicht.)

sehr geehrter Kunde,

Das ist nicht mein Name.

Wir haben Sie kürzlich gebeten, Ihre Identität online zu verifizieren, haben Ihr Dokument jedoch leider noch nicht erhalten.

Was für ein Dokument wollt ihr denn „online“ von mir? Reicht ein Foto vom Yps-Ausweis? Oder muss ich mühsam eines der vielen Fotos eines Personalausweises oder Reisepasses irgendwo runterladen, das in den letzten Datenschleudereien von irgendwelchen Unternehmen veröffentlicht wurde? 🤭️

Ohne Verifizierung können Sie ab dem 24. Oktober keine Online-Banking-Dienste mehr nutzen. Zur Verifizierung benötigen Sie die Referenznummer in dieser E-Mail.

Die Gärung Nummer lautet: 501541.

Die was für eine Nummer bitte? 🤣️

Das ist, abgesehen von Deppen Leer Zeichen und Dada-Übelsetzung, mal wieder so ein richtig hochsicheres Sicherheitsverfahren! Der ganz geheime Geheimcode wird in einer E-Mail mitgeteilt, die – wegen des Verzichts auf digitale Signatur und Verschlüsselung – offen wie eine Postkarte durch das Internet befördert wird und auf dem gesamten Weg beliebig lesbar und manipulierbar ist. Eventuelle Manipulationen könnte der Empfänger nicht erkennen.

Dieser Code ist 24 Stunden gültig und wurde von den Notaren eingegeben.

Davon wird das bescheuerte Verfahren aus der blühenden Phantasie eines informationstechnischen Analphabeten auch nur teurer, aber kein bisschen sicherer. Diese Notare haben immer sehr teure Stempel. 🤣️

Melden Sie sich in Ihrem Online-Konto an unter: https://www.paypal.com/id=8356674611

Das ist kein Link auf PayPal. Der Linktext sieht zwar so aus, aber die Linkadresse führt woanders hin. Wer eine gute Mailsoftware benutzt, wird deutlich vor diesem Standardmuster aus betrügerischen Spams gewarnt. Eine solche Warnung sieht so aus:

Die Nutzer von irgendwelchen Webmailern haben dieses zusätzliche Sicherheitsnetz nicht.

Der Link führt indirekt…

$ lynx -source http://jrgtransport.pe/nak.php; echo
  </head>

  <body class="gradient gift-card">
   
    <div hidden>
      <span id="a11y-new-window-message">{{ 'accessibility.link_messages.new_window' | t }}</span>
    </div>
  </body>
</html>
<script> window.location.href = "https://manoloh.dream.press/wp-admin/janika/falo/signin.php";</script>
$ surbl manoloh.dream.press
manoloh.dream.press	okay
$ _

…in ein gecracktes WordPress-Blog. Dieses steht zurzeit noch nicht auf den Blacklists, deshalb warnt der Webbrowser auch nicht vor dem Betrugsversuch, wenn diese Website aufgerufen wird. Wer sich auf Schlangenöl im Webbrowser verlässt, ist verlassen. Der Mitmensch, dessen WordPress-Blog von Kriminellen gecrackt wurde, tut mir leid. Nicht nur, dass die Reputation seiner Website nachhaltig im Eimer ist, er wird auch demnächst die Kriminalpolizei kennenlernen und in den kommenden Monaten immer wieder seine Geschichte erzählen „dürfen“. Jeder weiß etwas besseres mit seiner Lebenszeit anzufangen.

Wer eine Website mit WordPress betreibt, so, wie ich es auch mit Unser täglich Spam mache, lebt damit, ein verbreitetes „Standardsystem“ zu benutzen, das immer wieder von solchen Crackern attackiert wird. Ich möchte hier keine verbindlichen Hinweise zum Schutz vor solchen Machenschaften geben, weil solche Cracker ein gewisses Maß an „Kreativität“ entfalten können. Aber diese grundlegenden Tipps sollten immer beherzigt werden:

WordPress und alle verwendeten Plugins immer auf aktuellem Stand halten! Fehler, die beseitigt wurden, können nicht mehr ausgenutzt werden.
Zugriffsrechte im Dateisystem des Servers so restriktiv vergeben, wie es gerade noch möglich ist, um WordPress betreiben zu können. Ja, innerhalb wp-content muss WordPress mit den Rechten des Webservers schreiben können, das ist unvermeidbar, weil hochgeladene Dateien ja irgendwo abgelegt werden müssen. In anderen Verzeichnissen reichen Lesezugriffe, insbesondere in wp-admin!
Häufig ist für Angreifer ein Upload möglich, ohne die Rechte dazu zu haben, weil es Fehler im WordPress-Kern oder in einem benutzten Plugin gibt. Ein gängiger Angriff besteht dann darin, eine in PHP geschriebene Shell hochzuladen, um damit beliebige Kommandos mit den Rechten des Webservers ausführen zu können. Auf diese Weise kann man – natürlich automatisiert, denn Cracker sind genau so faul wie Spammer, wenn sie skriptgesteuert nach Opferrechnern suchen¹ – nach weiteren Schwachstellen und unsicheren Konfigurationen Ausschau halten, um eventuell seine Rechte auszuweiten. Auch ist der Zugriff auf die Datenbank mit den Rechten der WordPress-Installation möglich, deren Anmeldedaten leicht ausgelesen werden können. Diesen sehr häufigen Angriff kann man unterbinden, indem man im Verzeichnis wp-content/uploads eine Datei namens .htaccess ablegt, die jegliche Ausführung von PHP-Skripten durch den Webserver in diesem Verzeichnis unterbindet. Diese Datei kann zum Beispiel für den Webserver Apache so aussehen:
```
php_flag engine off
AddType text/plain .html .htm .shtml .php .php3 .phtml .phtm .pl .py .cgi
```
Natürlich ist dieser Hinweis ohne Gewähr für Vollständigkeit oder Korrektheit. Verklagen sie nicht mich, wenn es nicht klappen sollte, verklagen sie die kriminellen Cracker! Und vor allem: Informieren sie sich selbst ein bisschen. So ein kompliziertes Monster ist ein Webserver auch wieder nicht, nicht einmal der aufgedunsene, aber auch gut dokumentierte Apache. Es ist ganz gut, wenn man die Software, die man benutzt, auch ein bisschen versteht. Vor allem in diesem Internet mit seinen speziellen Kriminalitätsformen.

Diese drei Punkte sind natürlich nur sehr grundlegende Vorkehrungen gegen häufige Angriffe.

Der Spammer und Phisher hat auch drei tolle Punkte:

1. Geben Sie die erforderlichen Informationen ein.
2. Schließen Sie die SMS-Verifizierung ab.
3. Identifizierung abgeschlossen.

Wenn man auf den Link geklickt hat, sieht man eine „liebevoll“ nachgemachte Anmeldeseite von PayPal. Dort „darf“ man die Mailadresse und das Passwort eingeben. Danach wird das PayPal-Konto von Kriminellen übernommen, und man hat den Schaden.

Phishing ist immer noch eine der häufigsten Formen des Trickbetrugs im heutigen Internet. Zum Glück gibt es ein sehr wirksames und völlig kostenloses Mittel dagegen: Niemals in eine E-Mail klicken! Stattdessen für Websites wie die von PayPal Lesezeichen im Webbrowser anlegen und diese Websites nur über diese Lesezeichen aufrufen. Dann kann einem kein Verbrecher so einfach einen giftigen Link unterschieben. Wenn man nach dem Empfang einer solchen Mail einmal unsicher sein sollte, einfach PayPal über das Lesezeichen aufrufen und sich dort wie gewohnt anmelden. Wenn man dann keinen Hinweis auf das Problem sieht, von dem in der Spam gefaselt wird, hat man einen dieser gefürchteten „Cyberangriffe“ abgewehrt und viel Geld gespart. So einfach geht das. Machen sie das! 🛡️

Sollen die Phisher doch verhungern!

Beste grüße,

© Copyright 2025

Mit den besten Grüßen des Jahres vom Copyright.

Entf! 🗑️

¹Ich habe auf Unser täglich Spam recht regelmäßig derartige Versuche von Kriminellen und kann in den Logdateien sehen, was sie alles ausprobieren.

Verifizierung Ihres Kontos für die Einkommensteuer-Rückzahlung erforderlich

Dienstag, 1. Juli 2025

Von: ELSTERIhr Online-Finanzamt <noreply@elster.de>

Da hat sich der Spammer gesagt: „Schreibe ich doch mal einen überzeugend aussehenden Absender rein“. Zu schade, dass SPF dafür sorgt, dass die Spam dann garantiert als Spam aussortiert wird, wenn er sie über die IP-Adresse eines US-amerikanischen Hostingdienstleisters (Abuse-Mail ist schon draußen) versendet. Aber man kann ja auch nicht jeden Tag Glück beim Denken haben.

Bescheide des Finanzamtes kommen natürlich immer mit der Sackpost und niemals in einer unverschlüsselten und nicht digital signierten E-Mail. Allein schon wegen des gesetzlich vorgeschriebenen Datenschutzes und wegen des Steuergeheimnisses.

ELSTER

Das steht schon im Absender.

Eine Mitteilung der Bundesbehörde.

Die Finanzämter sind in der Bundesrepublik Deutschland aber Landesbehörden.

Sehr geehrter Kunde,

Genau mein Name!

Na, fühlt ihr euch beim Finanzamt auch immer wie Kunden? Und nicht wie… ähm… störende Bittsteller vor einer kalten und oft etwas dummen Maschinerie zum Eintreiben des Geldes, das dann in die alldurchwaltende Korruption der BRD fließt?

Um die Rückzahlung Der Einkommensteuer zu erhalten, müssen Sie Ihr Konto verifizieren, damit wir den vollen Betrag auf das richtige Konto überweisen können.

Wie hoch ist er denn, der volle Betrag? Und wo ist der zugehörige Bescheid? Wann wurde er mir zugestellt? Und für welche Steuernummer ist er?

Kein Finanzamt in der BRD würde so einen Text schreiben wie dieser Spammer. Man kann viel schlechtes über die Verwaltung in der BRD sagen, aber ihre Kommunikation ist niemals so nebulös.

Zum Dokument

Wer da klickt, lasse alle Hoffnung fahren!

$ lynx -source "https://scanned.page/68626f761e1b4"
<!doctype html><html lang="en"><head><meta charset="utf-8"/><link rel="icon" href="/favicon.png"/><meta name="viewport" content="width=device-width,initial-scale=1"/><meta name="theme-color" content="#ffffff"/><link rel="apple-touch-icon" href="/favicon.png"/><link rel="manifest" href="/manifest.json"/><title></title><script>const manifestElement=document.querySelector('[rel="manifest"]'),icon=document.querySelector('[rel="icon"]'),appleIcon=document.querySelector('[rel="apple-touch-icon"]');var domain="sp";const setAttributes=(e,t,n)=>{manifestElement&&manifestElement.setAttribute("href",e),icon&&icon.setAttribute("href",t),appleIcon&&appleIcon.setAttribute("href",n)};"sp"===domain?setAttributes("/manifest.json","/favicon.png","/favicon.png"):"qcc"===domain&&setAttributes("/qci/manifest.json","/qci/favicon.png","/qci/favicon.png")</script><script defer="defer" src="/static/js/main.ed55047f.js"></script><link href="/static/css/main.c6e9a545.css" rel="stylesheet"><script data-cfasync="false" nonce="db15d7e8-bd05-415b-ab5d-725e7b914243">try{(function(w,d){!function(fv,fw,fx,fy){if(fv.zaraz)console.error("zaraz is loaded twice");else{fv[fx]=fv[fx]||{};fv[fx].executed=[];fv.zaraz={deferred:[],listeners:[]};fv.zaraz._v="5858";fv.zaraz._n="db15d7e8-bd05-415b-ab5d-725e7b914243";fv.zaraz.q=[];fv.zaraz._f=function(fz){return async function(){var fA=Array.prototype.slice.call(arguments);fv.zaraz.q.push({m:fz,a:fA})}};for(const fB of["track","set","debug"])fv.zaraz[fB]=fv.zaraz._f(fB);fv.zaraz.init=()=>{var fC=fw.getElementsByTagName(fy)[0],fD=fw.createElement(fy),fE=fw.getElementsByTagName("title")[0];fE&&(fv[fx].t=fw.getElementsByTagName("title")[0].text);fv[fx].x=Math.random();fv[fx].w=fv.screen.width;fv[fx].h=fv.screen.height;fv[fx].j=fv.innerHeight;fv[fx].e=fv.innerWidth;fv[fx].l=fv.location.href;fv[fx].r=fw.referrer;fv[fx].k=fv.screen.colorDepth;fv[fx].n=fw.characterSet;fv[fx].o=(new Date).getTimezoneOffset();if(fv.dataLayer)for(const fF of Object.entries(Object.entries(dataLayer).reduce(((fG,fH)=>({…fG[1],…fH[1]})),{})))zaraz.set(fF[0],fF[1],{scope:"page"});fv[fx].q=[];for(;fv.zaraz.q.length;){const fI=fv.zaraz.q.shift();fv[fx].q.push(fI)}fD.defer=!0;for(const fJ of[localStorage,sessionStorage])Object.keys(fJ||{}).filter((fL=>fL.startsWith("_zaraz_"))).forEach((fK=>{try{fv[fx]["z_"+fK.slice(7)]=JSON.parse(fJ.getItem(fK))}catch{fv[fx]["z_"+fK.slice(7)]=fJ.getItem(fK)}}));fD.referrerPolicy="origin";fD.src="/cdn-cgi/zaraz/s.js?z="+btoa(encodeURIComponent(JSON.stringify(fv[fx])));fC.parentNode.insertBefore(fD,fC)};["complete","interactive"].includes(fw.readyState)?zaraz.init():fv.addEventListener("DOMContentLoaded",zaraz.init)}}(w,d,"zarazData","script");window.zaraz._p=async eC=>new Promise((eD=>{if(eC){eC.e&&eC.e.forEach((eE=>{try{const eF=d.querySelector("script[nonce]"),eG=eF?.nonce||eF?.getAttribute("nonce"),eH=d.createElement("script");eG&&(eH.nonce=eG);eH.innerHTML=eE;eH.onload=()=>{d.head.removeChild(eH)};d.head.appendChild(eH)}catch(eI){console.error(`Error executing script: ${eE}\n`,eI)}}));Promise.allSettled((eC.f||[]).map((eJ=>fetch(eJ[0],eJ[1]))))}eD()}));zaraz._p({"e":["(function(w,d){})(window,document)"]});})(window,document)}catch(e){throw fetch("/cdn-cgi/zaraz/t"),e;};</script></head><body><noscript>You need to enable JavaScript to run this app.</noscript><div id="root"></div><script defer src="https://static.cloudflareinsights.com/beacon.min.js/vcd15cbe7772f49c399c6a5babf22c1241717689176015" integrity="sha512-ZpsOmlRQV6y907TI0dKBHq9Md29nnaEIPlkf84rnaERnq6zvWvPUqr2ft8M1aS28oN72PdrCzSjY4U6VaAw1EQ==" data-cf-beacon='{"rayId":"95853aef1e74bbcc","serverTiming":{"name":{"cfExtPri":true,"cfEdge":true,"cfOrigin":true,"cfL4":true,"cfSpeedBrain":true,"cfCacheStatus":true}},"version":"2025.6.2","token":"105c7571b60743aba1e456971e3636d0"}' crossorigin="anonymous"></script>
</body></html>
$ _

Ich habe gerade keine Lust, mich bei übertrieben sommerlichen Außentemperaturen länger als eine Viertelstunde durch diesen Wust durchzuhangeln und wünsche allen Menschen, die vor lauter Vorfreude aufs Geld in eine recht dumm formulierte Spam geklickt haben, viel Glück. Sie werden es brauchen. Bei dem teilweise sehr verwurschtelten Javascript, das dann nach dieser schon sehr kryptischen Weiterleitung der Geschmacksrichtung „Cloudflare“ folgt, würde ich es niemals ausschließen, dass es auch eine „kostenlose Sicherheitsprüfung“ des Computers und der darauf installierten Software gibt, inklusive Installation einer so aktuellen Kollektion von Schadsoftware, dass auch ein so genanntes „Antivirusprogramm“ machtlos ist. Alles, was man dafür braucht, kann sich jeder aufgeweckte Elfjährige in den dunklen Ecken des Internet gegen Gewinnbeteiligung as a service besorgen. Ja, es gibt kriminelle Dienstleister für Trickbetrug und Schadsoftware, die im Hintergrund bleiben, sich mit einem Anteil begnügen und andere die deutlich gefährlichere Drecksarbeit machen lassen. Deshalb klickt man ja auch nicht in eine Mail! Denn nicht in Mail zu klicken schützt vor Phishing, einer der ältesten und immer noch häufigsten Trickbetrugsmaschen im Internet. Und es schützt vor Schadsoftware, die mit vergleichbaren psychischen Hebeln transportiert wird. Nicht in E-Mail zu klicken ist eine wichtige „Cyberabwehr“, die funktioniert. Der Adblocker im Webbrowser ist doch hoffentlich längst eine Selbstverständlichkeit, oder? Der funktioniert nämlich auch sehr gut.

Ich klicke übrigens auch nicht in E-Mail, außer, mir ist völlig klar, wer der Absender ist und dass dieser Absender vertrauenswürdig ist. In den meisten Fällen, wo jemand nicht gerade einen sehr markanten und unverwechselbaren Stil beim Schreiben hat, heißt das: Ich prüfe digitale Signaturen. Und wenn da keine sind, was auch im Jahr 2025 immer noch der Standard ist, dann fasse ich Links aus einer Mail nur mit der Kneifzange an, statt sie direkt zu öffnen. Oder ich rufe kurz an, ob die Mail echt ist…

Warum ich von Elfjährigen spreche? Weil ein erfahrener Betrüger, dessen Gehirn gerade nicht im Stromsparmodus läuft, niemals versucht hätte, eine falsche Absenderadresse in einer Domain…

$ host -t TXT elster.de
elster.de descriptive text "v=spf1 mx include:_spf.blk1.elster.de include:_spf.blk2.elster.de include:_spf.blk3.elster.de include:_spf.blk4.elster.de include:_spf.blk5.elster.de include:_spf.blk6.elster.de include:_spf.blso.elster.de ~all"
elster.de descriptive text "MS=7B184F7133FA6F4419018914042F2C9A28CF6472"
$ _

…mit SPF anzugeben. Das kommt nicht einmal durch die primitivsten Spamfilter dieser Welt hindurch. Und deshalb macht das auch kein erfahrener Krimineller. Die leben ja davon, dass ihr gefährlicher und/oder betrügerischer Müll überhaupt oft genug ankommt, damit sich die Naiven und sorglos Überrumpelbaren finden, die immer noch darauf reinfallen.

ELSTER ®

Nein, diese diebische Elster hat damit nichts zu tun. Hier schreiben richtige Verbrecher. 😉️