Und noch eine Rechnung

Screenshot der Fraud Mail
Betreff: Rechnung Nr. 5986084 vom 9.05.2012
Hallo lieber Kunde/Kundin,

wir sind sehr erfreut Ihnen mitteilen zu können, dass Sie sich für Premium Mail angemeldet haben.
Sie können jetzt bis zu 550 Sms pro Monat umsonst versenden und Ihr Speichervolumen erhöht sich um 12 Gb.

82,49 Euro werden Ihnen monatlich von Ihrem Konto entzogen. Entnehmen Sie die Vertragsdetails bitte dem Anhang, dort finden Sie auch die Erläuterung für Ihre 2 Wochen Kündigungsfrist.

Mit freundlichen Grüssen
Ihr Kundenservice

Schon etwas besser, aber nicht gut genug. Diese Mail-Adresse nutze ich nicht und schon gar nicht unter dem Pseudonym „yvon camille“. Wenn man schon E-Mail Adressen automatisch generiert, sollte man den Vor- und Nachnamen wenigstens auch als Empfänger nehmen und ihn nicht mit „Lieber Kunde“ anreden.

Mein clamav will auch heute die Anhänge nicht als Schadsoftware erkennen. 🙁

Gute Nacht

Paypal: Fortsetzung blockiert ! Oder lieber ?

Screen Shot Paypal Fraud

Heute landete eine obige Mail in meinem Postfach. SpamAssassin hat sie leider durchgelassen. Aber da ich Paypal nutze, ist es nicht ganz einfach die Spreu vom Weizen zu trennen. Eigentlich nichts ungewöhnliches – nur schlechtes Deutsch und die alten Tricks. Interessant ist der angebliche Virenscan und der Hinweis, wie man Spoof- oder Phishing-E-Mails erkennt. Allerdings führt der Link nur zur Hauptseite von Paypal und von dort müsste man noch etwas suchen, um die gewünschte Information zu bekommen. In sich hat es der Link zum Einloggen, der nicht zu Paypal sondern zu einer Seite http://lordandladytantrum.co.uk/… führt. (Den vollständigen Link veröffentliche ich hier lieber nicht.) Eine andere Mail zeigt auf travelling-tots.co.uk. Da wurden wohl wieder ein paar Server gehackt.

Screen Shot der angeblichen Paypal Web Seite
Screen Shot der angeblichen Paypal Web Seite

Ich habe bei Paypal nachgelesen, wie ich echte E-Mails erkennen kann. (Gut, dass ich in diesen Punkten einen robusten Magen habe.) Ich darf mal zitieren:

Daran erkennen Sie echte Paypal E-Mails

Sie können sich darauf verlassen: Unsere E-Mails kommen immer ohne Anhang. Wir werden Sie darin nie auffordern, eine der folgenden Informationen preiszugeben:

Ihre Kreditkartennummer oder Kontoverbindung
Ihr Passwort, Ihre E-Mail-Adresse oder Ihren vollständigen Namen
die PIN oder TAN Ihres Bankkontos

Das ist ja alles ganz nett und wenig hilfreich – die obige Fraud Mail hält sich an diese Erkennungskriterien. Einzige wertvolle Information ist: Keine Anhänge! Aber bedeutet dies auch kein HTML? Ich schaue mal in mein Postfach. Nein, Paypal nutzt auch für die einfachen Zahlungsbestätigungen HTML. Unterschiede zur Fraud Mail: Paypal verwendet den Absender service (at) paypal.de und nicht PayPal (at) paypal.de. Außerdem nutzt Paypal sowohl Text als auch HTML (also doch Anhänge) und nicht wie die Fraud Mail ausschließlich HTML.

Ob Paypal schon etwas von digitalen Signaturen gehört hat? Wahrscheinlich genauso viel wie Banken, Postbank, Sparkassen und Co. Zu umständlich? Wohl kaum! Eher dürften da die geringen zusätzlichen Kosten pro E-Mail eine Rolle spielen. Die Masse macht es eben. Obwohl! DKIM-Signaturen werden schon genutzt. Nur welcher Nutzer sieht dies in seinem Mail-Client?

Belustigend ist auch der Server, der die Mails schickt (siehe Bild 3). Bei Gelegenheit werde ich recherchieren, wer sich hinter diesen Critcom – Trusted Internet Marketing Professionals verbirgt. „Trusted“ müssen die mir mal erklären.

CRITCOM - Trusted Internet Marketing Professionals
CRITCOM - Trusted Internet Marketing Professionals

Ihre Email-Won 915.810,00

Das ist ja unter einer Millionen. Dafür mach ich keinen Finger krumm. Ich habe schon genug Mühen, die vielen Preise, Erbschaften und was weiß ich nicht alles zu verwalten.

Meine E-Mail hat gewonnen, aber steht nicht als To-Adressat in der Mail? Seltsam! Etwas mehr Mühe bei Orthografie und Grammatik wäre auch nicht schlecht. Offensichtlich sind Umlaute dem Schreiber nicht gänzlich unbekannt, aber er geht sehr sparsam mit den doppelten Pünktchen um.

Lästig. Einfach nur lästig. Was mich interessiert: Wer ist noch so dusselig, dass er auf diese Mails herein fällt?

ACH transfer error

Spam Mail ACH transfer error
ACH transfer error
Heute flatterte wieder so eine NACHA fraud Mail in mein Postfach. Wie an der Statuszeile links unter unschwer erkennbar, handelt es sich bei dem angeblichen PDF-Dokument um eine HTML-Seite. Diese lädt von drei verschiedenen Server ein und das selbe JavaScript nach (doppelt hält besser und dreifach noch mehr, es müssen also drei Server gesäubert werden, um das System lahm zu legen), dass wiederum von einem vierten Server eine Seite mit obfuscated JavaScript code nach lädt. Was das letzte Script bewirkt, habe ich noch nicht ausprobiert. Ich würde es auch nur in einer virtuellen Maschine tun, die ich anschließend in Nirwana schicke. Aber heute will ich noch zum Sport.

Siehe auch:

  1. NACHA Alert Trojaner
  2. Update: NACHA Alert

Nachtrag 2: Postbank

Heute hatte ich gleich drei angebliche E-Mails der Postbank mit dem Betreff Kontoüberprüfung im virtuellen Postkasten.

Der Link zur angeblichen Kontoseite ist jetzt: mails.megido.org.il/www.postbank.de/


Siehe auch

  1. „Postbank – Nachtrag“
  2. „Postbank — Wichtig! — Nein, gewiss nicht!“

Postbank — Wichtig! — Nein, gewiss nicht!

E-Mail zum Password fischen
Postbak Password Fischer

Nein, wurde nicht! Ich habe kein Postbankkonto und wer sein Konto schnell leer räumen und sein Geld los werden möchte, der folge den Links und Anweisungen. Keine Angst, das Geld verschwindet nicht, es hat nur jemand anderes. Wer? Weiß der Kuckuck. Sie haben / wissen es nicht und ich leider auch nicht.

Wen ich jetzt vor einem Fehler bewahrt habe, der hebe einen ordentlichen Betrag ab und gönne sich etwas Gutes. Das Geld ist dann zwar auch woanders, aber aber das Gute bleibt.

BTW: In einer Mail können Sie als Absender jeden eintragen. Auch die Postbank.

Gute Nacht