Account Alerts – Byggvir of Barley

Phishing Amazon

Angeblich notwendige Datenaktualisierung für Amazon

Auch ich erhielt eine Aufforderung meine Amazon-Daten zu aktualisieren. Nur: Unter der E-MAil-Adresse bin ich nicht bei Amazon registriert. Dass diese Adresse überhaupt in den Adresslisten der Betrüger ist, wundert mich schon, denn diese Adresse verwende ich so gut wie nie.

Hinter der Link unter dem Bestätigen-Button verweist nur über eine IP-Adresse auf den Server (http://61.219.82.98/thomas@example.com) und und überträgt gleich meine E-Mail Adresse mit. Der Server hört auch auf den „Namen“ 61-219-82-98.HINET-IP.hinet.net. Diese Adresse gehört zu einer Firma in Taiwan, Internet Dept., DCBG, Chunghwa Telecom Co., Ltd.

Alles nicht so ergiebig. Ich bemühe wget und ändere die E-Mail Adresse auf die Domain für Beispiele. Nun geht es weiter zu sls3amazon.com. Diese Domain wurde über www.publicdomainregistry.com registriert. Die Daten für den Registrant sind sehr offensichtlich gefälscht. Angeblich ist der Registrant „Gina Wild“ und hat die E-Mail Adresse highrolls@t-online.de. Was ich bekomme, ist eine Datei mit obfuskiertem Code. Dies ist mir zu viel JavaScript für einen Sonntag Nachmittag. Also nehme ich den Firefox zur Hilfe.
„Phishing Amazon“ weiterlesen

Phishing: Sparda-Bank

Ganz frisch auf dem Tisch – ins Postfach kam eine Sparda-Bank Phishing Mail. Die Seite wird noch nicht von den Sicherheitstools als Phishing-Seite erkannt.

Außer einer Umleitung zu einer Seite mit dem netten Hinweis „You Just Got Hacked By S@NT3T3“ bietet die Phishing Seite keine neuen Erkenntnisse. Allerdings funktionieren die bekannten Postfächer bei Google, Yahoo und Microsoft immer noch. Was mich doch sehr erstaunt.

Nur noch der Vollständigkeithalber, die Phishing Mail:
„Phishing: Sparda-Bank“ weiterlesen

SPAM: Sie erhalten Geld

Heute fand sich eine angebliche Überweisung auf mein PayPal™ Konto unter de Spam Mails. Absender ist Nik Battle <williamlekvxkyk@mail.bokf.com> Nun bin ich etwas verwirrt. Hat nun Michael Wolber 8 Euro oder Carmen Kroger 3,50 Euro überwiesen? Und warum soll ich bestätigen, dass dies richtig ist? Wenn sie oder er es getan haben, dann haben sie oder er es getan! Und warum schreibt mir nicht servide@paypal.de, sondern Nik Battle? Und wieso nent sich Nik in der E-Mail-Adresse william…? Fragen über Fragen und eine Antwort: Betrug!
„SPAM: Sie erhalten Geld“ weiterlesen

SPAM: Paypal Account Aktualisierung

Über die SPAM Mails mit den angeblich notwendigen Account Aktualisierungen bei Paypal habe ich schon genug geschrieben. Hier nur ein kurzes Update der in letzter Zeit verwendeten Domains und Sub-Domains:

Second Level Domains

datakontrolle.com
datakontrolle.su
data-verify.su
konto-aktualisieren.su
konto-aktuell.com
kontokontrolle.su
meindata.su
privatkunden.su
sichereskonto.com

Derzeit funktioniert nur die Domain kontokontrolle.su, die am 18. März 2014 mit der E-Mail Adresse rawixidawax@hotmail.com 😉 eingerichtet wurde.

Sub-Domains

paypal.com.de.cgi-bin.webscr.cmd-login-submit.datakontrolle.com/privatkunden/
paypal.com.de.cgi-bin.webscr.cmd-login-submit.datakontrolle.su/privatkunden
paypal.com.de.cgi-bin.webscr.cmd-login-submit.dispatch.privatkunden.su/cgi-bin/
paypal.com.de.data-kontrolle.konto-aktuell.com/cgi-bin/
paypal.com.de.data-kontrolle.sichereskonto.com/cgi-bin/
paypal.com.de.login-submit-data.konto-aktualisieren.su/cgi-bin/
paypal.com.de.login-submit-dispatch.data-verify.su/cgi-bin/
paypal.com.de.login-submit-verify.meindata.su/privatkunden/
paypal.com.de.submit.secure.data.id842878240245619797512.kontokontrolle.su/privatkunden/

Die Links lassen sich daran erkennen, dass sie mit paypal.com.de. beginnen und quasi zwei Top Level Domains vortäuschen: .com und .de. Alle bei mir aufgeschlagenen Links enden entweder mit /privatkunden/ der /cgi-bin/.

SPAM: Bestätigen Sie ihre Paypal

[tawarning] Tun Sie es nicht. Wenn Sie diese Mails bekommen können Sie leicht an der Adresse des Links erkennen, dass es sich nicht um Paypal handelt. Die tatsächliche Domain ist nicht paypal.com.de, sondern konto-aktuell.com. Außerdem nutzt Paypal sichere, verschlüsselte Verbindungen mittels https und nicht offene Verbindungen über http.
„SPAM: Bestätigen Sie ihre Paypal“ weiterlesen

Vorsicht Falle: amazon-kundenbetreuung.de

Zur Zeit verbreiten die Spamer eine E-Mail mit dem Betreff [News] Newsletter-Service März 2013, die behauptet, von Amazon zu stammen und Prüfung der Konten zu dienen.

Dies ist eine Phishing Mail und die verlinkten Seiten sind gefälscht. Deshalb die Warnung:

Finger weg von den Links!
Auf keinen Fall die Formulare mit echten Daten ausfüllen!

Wer auf den Trick herein gefallen ist, wird sicher eine Bestellung in seinen Bestellvorgängen finden und sollte, wenn noch möglich, diese umgehend stornieren.

„Vorsicht Falle: amazon-kundenbetreuung.de“ weiterlesen

Fraud: Important Notice From PayPal®

Heute ist PayPal dran, vor ein paar Tagen war es die Postbank. Nein, der Accout wird nicht gesperrt und die Mail ist auch nicht von PalPal.

Maus / Finger weg vom Link

From: „alert1@secure-mail.paypal.com“<alert1@secure-mail.paypal.com>
Subject: Important Notice From PayPal®
Date: Thu, 13 Dec 2012 08:10:45 +0100

Protecting Yourself Online

For your security, your online account profile has been locked due to inactivity or because of too many failed login attempts.

We have decided to put an extra verification process to ensure your identity and your internet account security.

Failure to do this within 24hrs will lead to the temporary suspension of your online access to your account for security reasons.

Regards

Die HTML-Kenntnisse des Spammers lassen dabei wieder mal deutlich zu wünschen übrig. Ich habe den Code daher für dieses Seite etwas überarbeitet.

Google Accounts Alert: Suspicious sign in prevented

Google Account Alert: Suspicious sign in prevented

Heute fand ich erstmals eine Warnung in meinem Postfach, dass ein verdächtiger Login in meinen Google Account beobachtet wurde. Angeblich stammt die Mail von accounts-noreply@google.com. Angehängt ist wie so oft bei diesen Versuchen eine ZIP-Datei – in diesem Fall Google_Accounts_Alert-7882-WVD-6539.zip – die ein Windows-Programm Google_Accounts_Alert.exe enthält. Also: Wieder ein plumper Versuch einen Trojaner zu verbreiten. Aber ich bin mir sicher, es gibt genug DAU, die darauf rein fallen.

„Google Accounts Alert: Suspicious sign in prevented“ weiterlesen

M	D	M	D	F	S	S
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	31

M	D	M	D	F	S	S
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	31