Einladung? Auszahlungssystem? Ja, nee, ist klar…

Mit welchen Methoden die Phisher, Spammer, Virenversender immer wieder auf Bauernfang gehen, wirklich reizvoll.

Nun schickt mir

eine Mail zur Teilnahme an ihrem Auszahlungssystem. Die halbe Mobiltelefonnummer sieht natürlich hochwichtig aus und sie es ja auch ganz bestimmt. Sie kommt ja immerhin vom Kundensupport. Und ich habe ja auch schon eine Kundennummer dort. Also muss ich ja bei denen sein und die mich kennen!

Äh? Bei wem noch gleich?

Aber bevor ich richtig ins Grübeln komme lockt mich dann natürlich ein tolles Angebot.

Oh, da muss ich aber schnell sein, ist ja nur bis morgen gültig und gibt immerhin fast 1400,- EUR.

Bin gespannt was dann morgen kommt! 😉

Vielleicht sollte ich mir einfach eine neue Mailadresse zulegen. Vielleicht kommt dann dort weniger Spam an.

Ich hätte da auch schon eine Idee. Wie wärs mit

IhrdrecksspammerwichserPhishingArschlöcherVirenversenderBetrügerundsonstigesVerbrechergesockshörtendl
ichaufmichvollzuspammengehtsterbenoderZiegenfickenoderschwimmenmitBetonschuhenundübtWasseratmen
@bussy.de

Ob ich dann überhaupt noch eine Mail bekomme?

Obwohl das bestimmt eine coole Visitenkarte gäbe!

© 2016 – 2018, bussy. All rights reserved.

Phishing, die nächsten – PayPal ist nicht gleich PayPal

PayPal Phishing

Und heute wieder einen neuen dreisten Phishing Versuch im Posteingang. Um es gleich vorweg zu nehmen. Selbstverständlich ist diese Mail keinesfalls von PayPal selbst. Natürlich handelt es sich auch hier wieder um einen sehr dreisten und durchaus ganz „gut“ gemachten Versuch des Identitäsdiebstahls.

Aber woran erkennt der Nutzer denn, dass eine solche Mail nicht echt ist. Die Aufmachung wirkt in diesem Fall ja durchaus so, als könnte sie echt sein.

Anbieter wie PayPal, Amazon, ebay, Facebook und wie sie alle heißen senden niemals solche Mails ohne persönliche und korrekte Ansprache. Die kennen Dich beim Namen unter dem Du dich dort registriert hast, und reden Dich auch mit diesem Namen an. Dabei verwenden Sie immer die Schreibweise, die Du auch bei der Registrierung verwendet hast und nicht die, die man Vielleicht aus einer Mail ableiten könnte.

Wenn Du als User also Max Müller geschrieben hast, dann schreiben sie Dich auch als Max Müller an und nicht als Max Mueller, max.mueller (z.B. als Teil einer E-Mail Adresse)

Die verwendeten Absender E-Mail-Adressen sind immer direkt vom Anbieter und nicht wie bei der mich heute erreichenden Mail z.B. eine 1&1-Adresse. (Ich habe diese Mail dann auch gleich mal mit allen zugehörigen Detailinformationen an 1&1 weitergeleitet. Vielleicht finden die ja heraus, welcher ihrer Kunden sich dort illegaler Methoden bedient, und ziehen entsprechende Konsequenzen daraus.

Generell empfehle ich, falls möglich immer den Provider zu informieren, über den die Mail tatsächlich versendet wurde. Insbesondere bei deutschen Anbietern macht das Sinn, da hier durchaus reagiert wird. Bei einem russischen Mailanbieter kann man sich diese Mühe zumeist sparen.

Neben der fehlenden oder zumeist sehr unpersöhnlichen oder unkorrekten Ansprache deutet noch eine andere Tatsache darauf, dass es sich nicht um eine echte E-Mail handelt. Der Inhalt der Mail ist gar kein geschriebener und formatierter Mailtext, sondern das ganze ist nur ein eingebettetes Bild, das im ganzen als sogenanntes „Clickable-Image“ definiert ist. Man muss also keineswegs den Button am Ende der Mail betätigen um auf die vermeintliche Verifikationsseite geleitet zu werden, sondern jeder Kldick irgendwo in der Mail führt direkt zu der angegebenen Webseite.

Zu erkenne ist dies, wenn man sich den Quelltext der Mail ansieht. Leider ist dies Funktion in Outlook etwas versteckt und manche Mail-Clients bieten sie gar garnicht mehr an (z.B. der in Windows 10 integrierte Mail-Client). Was aber immer geht:

  • Speichern Sie die Mail direkt aus Ihrem präferierten Mailclient heraus in einem Verzeichnis, z.B. dem Desktop ihres PCs
  • Betrachten Sie die Mail nicht mit einem Mail-Client, sondern öffnen Sie die Datei mit einem Editor.
  • Der Inhalt der Phishing mail besteht dabei ledigleich aus folgenden Zeilen:
    • <html><head>
      <meta http-equiv=“Content-Type“ content=“text/html; charset=iso-8859-1″></head><body><a href=“http://[Original-Link aus Sicherheitsgründen entfernt]
      /JKZBEZYUNP5HC0W8GN71YNQCA2UOCFOJDF43A3P6BOGQ7UPU8WQGF6EXE“><img src=“cid:015522113@16122016-2880″></a></body></html>
    • Wie man schon auf den ersten Blick erkennen kann, hat die Mail eigentlich keinen echten Inhalt, sondern besteht nur einem eingebetteten Bild.
  • Der Inhalt einer echten PayPal Mail sieht dagegen völlig anders aus. Sie enthält wie der Quelltext einer Webseite z.B. auch CSS-Informationen über die Definition des Layouts. Das angefügte Beispiel ist heibei aus Sicherheitsgründen sogar noch stark gekürzt, zeigt aber schon in diesen wenigen Zeilen einen sehr deutlichen Unterschied zur Phishing Mail (im Original besteht diese Mail über eine simple Adressänderung übrigens aus über 580 Zeilen HTML Code):
    • MIME-Version: 1.0
      Date: Sat, 17 Dec 2016 14:40:53 +0100
      From: „service@paypal.de“ <service@paypal.de>
      Subject: =?utf-8?Q?Sie_haben_eine_neue_Adresse_hinzugef=C3=BCgt?=
      Thread-Topic: =?utf-8?Q?Sie_haben_eine_neue_Adresse_hinzugef=C3=BCgt?=
      To: [aus Sicherheitsgründen entfernt]
      Content-Transfer-Encoding: quoted-printable
      Content-Type: text/html; charset=“utf-8″<html>
      <head>
      <meta http-equiv=3D“Content-Type“ content=3D“text/html; charset=3Dutf-8″>
      <meta name=3D“viewport“ content=3D“initial-scale=3D1.0,minimum-scale=3D1.0,=
      maximum-scale=3D1.0,width=3Ddevice-width,height=3Ddevice-height,target-dens=
      itydpi=3Ddevice-dpi,user-scalable=3Dno“>
      <title>Sie haben eine neue Adresse hinzugef=C3=BCgt</title>
      <style type=3D“text/css“> =0A=
                  =0A=
              =0A=
      body, td { color:#666; font-family: HelveticaNeueLight,HelveticaNeue-Light,=
      ‚Helvetica Neue Light‘,HelveticaNeue,Helvetica,Arial,sans-serif; font-size:=
       13px; font-weight:normal;}     =0A=
      td.ultility_nav_padding a {=0A=
          color: #666666;=0A=
          font-weight: bold;=0A=
          text-decoration: none;=0A=
          font-family: HelveticaNeueLight,HelveticaNeue-Light,’Helvetica Neue Light’=
      ,HelveticaNeue,Helvetica,Arial,sans-serif;=0A=
          font-size: 13px;=0A=
      }=0A=
      =0A=
      td.column_split_preheader a {=0A=
          color: #666666;=0A=
      [Rest der Mail aus Sicherheitsgründen entfernt]

Der Hintergrund ist hier natürlich auch, dass man jede nur erdenkliche Chance nutzen will, den User möglichst schnell auf die eigene Seite zu leiten. Wie auch schon in meinem letzten Posting zum Amazon Phishing geschrieben geht es vor allem darum, beim User Angst zu erzeugen und eine Drucksituation heraufzubeschwören, die ihn veranlasst, schnell zu handeln. Das Nachdenken des Users soll möglichst unterbunden werden. Um so schneller der User davon überzeugt wird, dass er genau das zu tun hat, was in der Mail gefordert wird, um so schneller ist man an die Daten des Kunden gelangt.

Generell empfehle ich, niemals Links in Mails anzuklicken, sondern sich in einer persönlich geöffneten Browsersitzung direkt beim jeweiligen Anbieter einzuloggen und sein persönliches Profil zu kontrollieren. Sollte tatsächlich ein Problem vorliegen, wird sich der Anbieter hier über die offiziellen Wege mit mir als Kunde in Verbindung setzen.

 

© 2016 – 2018, bussy. All rights reserved.

Phishing, sie versuchen es immer wieder!

Heute ist mal wieder Amazon dran.

Ärgerlich finde ich, dass die Mails oft gut genug gemacht sind, dass dann doch immer wieder unbedarfte Leute darauf hereinfallen.

Es ist einfach aus der Perspektive des IT-affinen Anwenders, der sich sogar beruflich damit beschäftigt den Kopf zu schüttel und sich gar zu fragen, wie kann man darauf nur hereinfallen. Doch das wäre zu einfach.

Ich weiß aus genügeng Erfahrung mit Bekannten, Verwandten und Kunden wie schnell bei gut gemachtem Layout, entsprechender Ansprache dann doch Nutzer darauf anspringen.

Wir müssen hier meiner Meinung nach etwas mehr weg von der reinen Eigenverantwortung der Anwender, sondern es bedarf deutlich drastischerer Strafen und mehr internationaler Zusammenarbeit. Aber woher soll die kommen, wenn Länder sogar auf höchster Ebene untereinander durch solche miesen Machenschaften versuchen sich gegenseitig ihre eigenen Präsidentschaftswahlen zu verhageln. Bei solchen Vorbildern brauch man sich dann auch über nichts mehr zu wundern.

© 2016 – 2018, bussy. All rights reserved.