SPAM: Angebliche Commerzbank Mitteilung

[tawarning onall=“Yes“] Heute morgen war wieder eine Pishing-Mail für Commerzbank Kunden unterwegs.

Ahngeblich wurde auf das Konto von einem nicht autorisierten Computer zugegriffen. Gefahr erkannt, Gefahr gebannt; doch dioe Gefahr liegt im getarnten Link, der nicht zur Commerzbank führt, sonder auf eine gefälschte Seite zum Abfangen der Anmeldung.

Angebliche Mitteilung der Commerzbank
Angebliche Mitteilung der Commerzbank

„Dabei habe isch doch gar kein Auto – äh – Konto.“

Die obige Warnung der Commerzbank ist eine Fake. Der Link führt auf eine gefälschte Anmeldeseite über die Anmeldedaten geklaut werden.

Screen Shot der gefälschten Siete
Screen Shot der gefälschten Siete

Und siehe da, nach Eingabe zufälliger Zahlen erscheint in Chromium eine Warnung.

Warnung vor der Pishing Seite mdsideas.com.
Warnung vor der Pishing Seite mdsideas.com.

Im oberhalb des Kopfes der HTML-Seite steht, wo die Pisher die Commerzbank-Seite geklaut haben.

<!– saved from url=(0350)https://www.commerzbanking.de/P-Portal2/XML/IFILPortal/pgf.html?WSPL_ID=S-8ksWYJ5rf21NuZ78j7pZYvxbllRL55rhCc5.29oZJKW.t4BheUQhRaBfJvWQ52HUC00HbiaV3hrdpj7A4yA1k5GhR3ImjD5HPtWNw028fbsP7Il3uYb3Z6-5qle9cip44FmTTYtEFGvtf0sCJh2D-Vp-tIx-Q-u4QZ85wYAgeiRM1RD0znp7F1ZCCPwoFC&tab=800&doc=/de/gb/hauptnavigation/onlinebanking/bereichsgabelseite_onlinebanking.htm –>

Hier der Text-Teil der Mail:

</span></span></a></p>
<p>
<img src=“https://www.commerzbanking.de/P-Portal1/XML/IFILPortal/cms/images/logo.png“></p>
<p>&nbsp;</p>
<p>Sehr geehrter Kunde,</p>
<p> Wir möchten Sie darüber informieren, dass Ihr Konto von einem nicht autorisierten Computer zugegriffen wurde.</p>
<p> Bitte besuchen Sie uns bestätigen, dass Sie der Inhaber des Kontos sind.</p>
<p><a href=“http://mdsideas.com/scripts/“>
https://www.commerzbank.de/</a></p>

</tr>
</table>

Jungs und Mädels, fehlerfreies Deutsch habt ihr nun geschafft; aber HTML habt ihr noch nicht gelernt. Ein Spam Score von 35.0 ist sehr hoch. Wollt ihr nicht oder könnt ihr nicht besser? Das ist ja langweilig.

Genug für heute.

AddBlock fliegt gleich bei mir raus

Ich habe gerade einen sehr guten Artikel zu Adblock Plus Undercover – Einblicke in ein mafioeses Werbenetzwerk gelesen. Ich mag zwar keine Werbung, aber solche Methoden mag ich noch viel weniger. Da ich mir nicht sicher sein kann, dass diese Software in Zukunft nicht noch andere Dinge auf meinem Rechner macht, ist AdBlock Plus bei mir Geschichte. Wozu soll ich einen Werbeblocker installieren, der nichts blockiert? Extras – Add-Ons – Erweiterungen – Deinstallieren und Tschüss!

Rufmord – Gewinnmitteilungen in meinem Namen

An der Beschwerde-Front zu den Spam Mail [1] herrscht Ruhe. Offenbar wurden die Mails nur am 19. und 20. Juni verschickt. Heute kam nur eine Mail „user unkown“ Mail herein, so dass ich ein wenig Zeit zum Nachforschen habe. Dieses Netz (vplanet.net) wird auch für anderen Spam genutzt. Die Google-Suche förderte einen Beitrag bei anti-spam-ev.de als Top Ergebnis zu Tage. Dort wird vermutet, dass die angeschriebenen E-Mail Adressen aus einem Datenleck bei gmx.de stammen. Da ich nur Beschwerden von GMX Nutzern bekommen, könnte diese Vermutung richtig sein. Ich habe auch eine „Unknown User“ Rückmeldung für einen gmx-Account bekommen, der wahrscheinlich in der Zwischenzeit gelöscht wurde.

Ich habe auch GMX-Accounts, bekomme auf diesen Accounts aber keinen SPAM; in den gesammelten Spam Mails über die letzten 10 Monate gibt es keine Hinweise auf vplanet.net.

Das Muster bei anti-spam-ev.de deutet auf einen Muttersprachler als Autor der Mails hin. Ansonsten ist der Aufbau mit dem Hoax auf meine Kosten sehr ähnlich.

Ein Hinweis auf 93.171.216.169 zeigt, dass über dieser Server auch die anderegg-as.com Spam Mails verteilt werden. Heureka! Damit schließt sich der Kreis: Anderegg-AS, MS-Transporte Schwab, Loy-Transport oder … alles eine Gruppe; ich habe hier wohl die Ursache für den Rufmordversuch.

Genug für heute, gute Nacht!

  1. [1]Artikel vom 20.06.2013

SPAM: Arbeitsangebote von arbeiten-google.com

[tawarning onall=“Yes“] Die Arbeitsangebot machen nun schon den größten Teil der Spam Mails aus. Nun haben sie sich eine Domain arbeiten-google.com (mx.arbeiten-google.com / 67.159.12.94) eingerichtet. Die Mail Adressen sind sehr verschieden. Es werden hier wohl einfach alles als E-Mail Adresse akzeptieren.

Date: Tue, 25 Jun 2013 22:21:08 -0500
From: <e66b3f8@example.com>,
<thomas@example.com>
X-Mailer: The Bat! (v3.5) Home
To: <e66b3f8@example.com>,
<thomas@example.com>
Subject: Aktuelle Stellenausschreibungen
Hallo, Wir haben eine ausgezeichnete Gelegenheit für einen Lehrling Antragsteller, einem schnell wachsenden Unternehmen beizutreten.

Ein zu Hause Key Account Manager Position ist eine große Chance für die Eltern zu Hause zu bleiben
oder jede Person, die in den Komfort von zu Hause aus arbeiten möchte.

Dies ist ein Teilzeitjob / flexible Stunden nur für die Europäer, dies ist im Hinblick auf unsere nicht mit einer Niederlassung derzeit in Europa,
auch weil von PayPal und eBay Politik die verbietet direkt mit den Bewohnern einiger Länder zu arbeiten.

Voraussetzungen: Computer mit Internetzugang, gültige E-Mail-Adresse, gute Tipp-Fertigkeiten.
Wenn Ihnen die obige Beschreibung passt und Ihren Anforderungen erfüllt, bewerben Sie sich auf diese Anzeige unter Angabe Ihrer Lage.

Sie werden die Abwicklung von Bestellungen von Ihrem Computer machen. Wie viel Sie verdienen, liegt an Ihnen.
Der Durchschnitt liegt in der Region von 750 EUR – 1000 EUR pro Woche, je nachdem, ob Sie arbeiten Voll-oder Teilzeit.

Region: nur Europäer.

Wenn Sie weitere Informationen wünschen, kontaktieren Sie uns bitte, teilen Sie uns mit wo Sie sich befinden, unsere Job-Referenznummer – 75370-21/9HR.
Bitte nur ernsthafte Bewerber.

Wenn Sie interessiert sind, antworten Sie bitte auf: Herschel@arbeiten-google.com

Was die doppelten oder x-fachen Adressen mit Zufallszeichenfolgen sollen ist mir nicht ganz klar? Spam-Filter irritieren?

Hier die bei mir aufgetretenen Antwortadressen:

  1. Adele@arbeiten-google.com
  2. Alvaro@arbeiten-google.com
  3. Arturo@arbeiten-google.com
  4. Bernardo@arbeiten-google.com
  5. Carmine@arbeiten-google.com
  6. Dennis@arbeiten-google.com
  7. Earline@arbeiten-google.com
  8. Elbert@arbeiten-google.com
  9. Elvin@arbeiten-google.com
  10. Gerardo@arbeiten-google.com
  11. Gina@arbeiten-google.com
  12. Herbert@arbeiten-google.com
  13. Herschel@arbeiten-google.com
  14. Isaac@arbeiten-google.com
  15. Jacklyn@arbeiten-google.com
  16. Kent@arbeiten-google.com
  17. Laurence@arbeiten-google.com
  18. Margie@arbeiten-google.com
  19. Paul@arbeiten-google.com
  20. Raquel@arbeiten-google.com
  21. Rosella@arbeiten-google.com
  22. Shelby@arbeiten-google.com
  23. Wm@arbeiten-google.com

Und weil es so schön ist, hier die Job-Referenznummern:

  1. 01421-62/2HR
  2. 06554-20/3HR
  3. 07733-14/7HR
  4. 08266-37/4HR
  5. 08278-52/9HR
  6. 19026-40/3HR
  7. 19371-79/8HR
  8. 30927-98/3HR
  9. 31192-80/7HR
  10. 37286-36/3HR
  11. 39392-15/5HR
  12. 45937-83/3HR
  13. 51963-78/3HR
  14. 62498-57/6HR
  15. 66579-60/7HR
  16. 74606-50/5HR
  17. 75370-21/9HR
  18. 80174-80/3HR
  19. 83922-73/2HR
  20. 84271-64/6HR
  21. 84672-37/1HR
  22. 92450-51/1HR
  23. 92459-85/2HR
Update 13.03.2014:
Jetzt sind diese Mails wieder mit neuen Domains unterwegs.
Siehe: Arbeitsangebote für einen Lehrling Antragsteller

SPAM in meinem Namen mit meiner Adresse (Fortsetzung)

Dank einiger mehr oder minder netter Zuschriften habe ich gestern von einer verbesserten Version der Mail erfahren. Die Mail ist jetzt um meine Telefonnummer und dem Hinweis auf einen 24 Stunden Hotline ergänzt. Bisher gab es aber nur einen Anruf – 0:50 Uhr, aber da litt ich unter seniler Bettflucht.
„SPAM in meinem Namen mit meiner Adresse (Fortsetzung)“ weiterlesen

SPAM in meinem Namen mit meiner Adresse

Alle, die sich über 150 Euro oder einen andern Betrag und den Gewinn der LADY INCOGNITO – Lustmuschi oder einem 15 x 3,3 cm Loveclone Super Real Dong (ist der nicht etwas klein?) gefreut haben, muss ich bitter enttäuschen: Von mir bekommen ihr nichts, denn die Mitteilung stammt nicht von mir. Hier sind wir – wahrscheinlich besonders ich – Opfer eines böswilligen Scherzes. Auslöser dürfte dieses Blog sein.

Gewinnmitteilung
Gewinnmitteilung
Es gibt jetzt auch eine verbesserte Version mit Telefonnummer.

„SPAM in meinem Namen mit meiner Adresse“ weiterlesen

Arbeitsangebote: Manager fur Warenverteilung gesucht

[tawarning align=“left“ onall=“yes“]Dank einer kleinen Anfrage habe ich eine neue Domain und zwei IP-Adressen gefunden: crescent-trust.com, 141.101.116.197 ,141.101.117.197. Die Domain wurde erst gestern, am 17. Juni 2013 eingerichtet.

Dieses Prinzip passt zu den Betrügern, über die ich in drei früheren Artikel[1] berichtet habe.

Die Seite ist von der Original-Seite der Firma crescent-trust.co.uk kopiert. Nicht einmal die Mail Adresse wird in den Seiten ersetzt. Nur in dem Kontaktformular gibt es einen kleinen, feinen Unterschied; das Original enthält eine Karte für die Anfahrt, die in der gefälschten Seite durch ein Kontaktformular ersetzt ist; zum Vergleich siehe die beiden unteren Bilder.

„Arbeitsangebote: Manager fur Warenverteilung gesucht“ weiterlesen

  1. [1]15. Mai 2013 (1), 15. Mai 2013 (2), 22. Mai.2013

Bewerbungen an hotmail.com E-Mail Adressen

Derzeit laufen verstärkt Spam für dubiose Arbeitsangebote. Hier wird keine Firma mehr genannt, sondern nur eine Antwortadresse Troy-Goodwin@hotmail.com oder BrendaGelber@hotmail.com und verschiedenen Betreff.

Update 21.06.2013

Weitere E-Mail Adressen:

  1. Beth-Wagner@hotmail.com,
  2. sato.masayasu@hotmail.com,
  3. KyraHenderson@hotmail.com

Weitere Adressen

  • Administrator
  • Regional administrotor
  • Regional Manager to work with a client base
  • Regional Finance Director
  • Finance Director

Mein guter Rat: Finger weg.

Hier ein Muster:

„Bewerbungen an hotmail.com E-Mail Adressen“ weiterlesen

Arbeitsangebote von Anderegg Allround Service

[tawarning align=“left“ onall=“yes“] Vor einigen Tagen bekam ich einen Hinweis, dass die Betrüger auch unter dem Firmennamen Anderegg Allround Service agieren und dazu die Domain anderegg-as.com auf dem Server mit der bekannten IP-Adresse 109.163.237.38[1], nutzen. Sie haben sich tatsächlich der Mühsal unterzogen, den Inhalt ins Adobe Flash Format zu konvertieren. Im Firefox unter Linux baut sich die Seite nicht sonderlich elegant auf. Jungs, daran muss noch etwas gearbeitet werden.

Ansonsten nichts neues.

Update 16.06.2013

Ich hätte den Artikel vielleicht ein paar Tage früher schreiben sollen. Am Samstag erhielt ich ein Anruf mit der Nachfrage, ob ich mir sicher wäre, dass dies Betrug ist. Da war der unterschriebene Arbeitsvertrag raus. Da die ersten Bestellungen bereits unterwegs sind, bevor der Arbeitsvertrag beginnt, ist es zwar nicht sinnlos eine Mail zu schreiben, dass man den Arbeitsvertrag widerruft, aber der Ärger kommt mit großer Wahrscheinlichkeit ins Haus; und mit den ersten Paketen schnell die Polizei. Da ist es ratsam schneller zu sein, selbst zur Polizei zu gehen und Anzeige zu erstatten. Auf keinen Fall die Pakete nach Arbeitsanweisung weiterleiten. Zurückschicken und Bestellung stornieren.

  1. [1]Siehe den Artikel: Fake: Versandmitarbeiter für MS Transporte Schwab – Team (2) vom 10. April 2013