Phishing – Kandru.eu https://kandru.eu Informatives rund um die IT Sat, 26 Dec 2015 13:55:26 +0000 de-DE hourly 1 https://wordpress.org/?v=5.5 Spam: Anweisungen von PayPal bezüglich der Vorratsdatenspeicherung https://kandru.eu/spam-anweisungen-von-paypal-bezueglich-der-vorratsdatenspeicherung/ https://kandru.eu/spam-anweisungen-von-paypal-bezueglich-der-vorratsdatenspeicherung/#respond Sat, 26 Dec 2015 13:55:26 +0000 https://kandru.eu/?p=250 Weiterlesen Spam: Anweisungen von PayPal bezüglich der Vorratsdatenspeicherung]]> Heute habe ich eine Mail bekommen, die vorgibt, von PayPal zu stammen. Darin wird behauptet, dass aufgrund der eingeführten Vorratsdatenspeicherung persönliche Daten bestätigt oder aktualisiert werden müssen. Die E-Mail im Wortlaut:

Betreff: Wichtige Anweisungen bezüglich der Vorratsdatenspeicherung.

Wichtiger Hinweis zur Datenspeicherung

E-Mail Code: 0843**

Sehr geehrte Damen und Herren,

Wie Sie bereits wissen, wurde die Vorratsdatenspeicherung per Gesetz verabschiedet und auch wir sind gezwungen zu handeln.
Durch diese Gesetzesänderung werden Sie nun aufgefordert, Ihre bestehenden Daten zu bestätigen respektive zu aktualisieren!

Zwar stimmt es, dass die Vorratsdatenspeicherung am 10. Dezember 2015 vom Bundespräsidenten unterzeichnet und am 17. Dezember im Bundesgesetzblatt verkündet wurde, doch muss sie erst innerhal von 18 Monaten umgesetzt werden und betrifft nur Telekommunikationsunternehmen und damit nicht PayPal.

Wer auf den Link zum Formular klickt, wird nach dem E-Mail-Code gefragt. Man sollte ihn nicht eingeben, da die Spammer so wissen, dass man die Mail gelesen hat.

]]> https://kandru.eu/spam-anweisungen-von-paypal-bezueglich-der-vorratsdatenspeicherung/feed/ 0 Phishing: Account-Daten von Apple aktualisieren https://kandru.eu/phishing-account-daten-von-apple-aktualisieren/ https://kandru.eu/phishing-account-daten-von-apple-aktualisieren/#respond Tue, 23 Sep 2014 13:45:23 +0000 http://kandru.eu/?p=92 Weiterlesen Phishing: Account-Daten von Apple aktualisieren]]> Warnung im Opera-BrowserIn der heutigen Spammail geht es ähnlich wie bei der MasterCard-E-Mail um ein angeblich gesperrtes Benutzerkonto. So soll der Empfänger innerhalb von 48 Stunden seine bei Apple hinterlegten Daten erneut eingeben, damit Apple diese überprüfen kann. Erst dadurch wird der Account entsperrt. Die Webseite, auf der die Daten eingegeben werden sollen, ist natürlich in der E-Mail verlinkt. Auch hier gibt es einige Hinweise darauf, dass durch Phishing versucht wird, an die persönlichen Daten des Empfängers zu gelangen.

  1. Im Login-Formular doppelt sich alles
    Im Login-Formular doppelt sich alles

    Persönliche Daten

    Die Absenderadresse ist nicht von Apple. Zwar wird Apple support als Absender genannt, allerdings kann als Absendername alles eingetragen werden. Selbst wenn die E-Mail-Adresse von apple.com stammen würde, wäre dies noch lange kein Beweis, dass die E-Mail auch von einem Apple-Server gesendet wurde.

  2. Sollte Apple normalerweise nur auf Deutsch schreiben, dann ist eine E-Mail auf Englisch höchst merkwürdig.
  3. Der Link „Update Now“ führt nicht auf die Seite von Apple, sondern auf die Privatseite eines Österreichers. Mein Browser Opera gibt mir sogar eine Betrugsversuch-Warnung beim Aufrufen, Chromium lässt allerdings den Aufruf zu. Auf der Seite ist ein Log-in-Formular im Apple-Design. Beim näheren Betrachten fällt aber auf, dass es ein Hintergrundbild ist (es ist gekachelt) und nur das Formular kein Text ist.

Durch diese Hinweise ist eindeutig, dass es sich um Phishing handelt. Zunächst sollen die Zugangsdaten entlockt werden, danach auch beispielsweise die Kreditkartennummer und die Antwort auf die Sicherheitsfrage.

Die E-Mail im Wortlaut

Information Regarding Your account:

Hello,
This is an automatic message sent by our security system to let you know that you have 48 hours to confirm your account information.

Your Apple account has been frozen because we are unable to validate your account information.

Once you have updated your account records, we will try again to validate your information and your account suspension will be lifted.
This will help protect your account in the future. This process does not take more than 3 minutes.

To proceed to confirm your account details please click on the link below and follow the instructions.

Update Now >

We thank you for your prompt attention to this matter. Please understand that this is a security measure intended to help protect you and your account and helps us prevent fraudsters from stealing your information. We apologise for any inconvenience..

Thanks,
Apple Customer Support

]]> https://kandru.eu/phishing-account-daten-von-apple-aktualisieren/feed/ 0 Phishing: MasterCard angeblich gesperrt https://kandru.eu/phishing-mastercard-angeblich-gesperrt/ https://kandru.eu/phishing-mastercard-angeblich-gesperrt/#comments Wed, 17 Sep 2014 06:23:12 +0000 http://kandru.eu/?p=76 Weiterlesen Phishing: MasterCard angeblich gesperrt]]> Mit dieser Phishing-E-Mail beginnt eine Reihe von Blogbeiträgen zur Sensibilisierung gegen Spam. An dieser Stelle werden wir gelegentlich über neue Spam-Mails bloggen, die uns oder andere erreichen.

Der heutige Fall ist interessant, da er eine besondere Technik zur Umgehung von Spamfiltern anwendet. In der E-Mail steht, dass die MasterCard des Empfängers aus Sicherheitsgründen angeblich gesperrt wurde. Zur Entsperrung soll sich der Empfänger auf einer Webseite verifizieren. Die Mail ist Phishing, daher sollte man nicht auf den Link klicken und auf keinen Fall persönliche Daten und Passwörter eingeben! An den folgenden Indizien kann man das erkennen:

  1. Als Absender ist MasterCard <[email protected]> angegeben, allerdings ist bekannt, dass die als Absender angegebene E-Mail-Adresse leicht fälschbar ist. In keinem Fall ist die korrekte (aber unverifizierte) E-Mail-Adresse eines Absenders ein Beweis dafür, dass die E-Mail von diesem stammt.
  2. Die Mail enthält eine Vielzahl von Fehlern sowie Unschönheiten im Text:
    Korrektur der MasterCard-Mail
    Bei einem Deutschtest würde der Autor der Spammail wohl durchfallen. Und dabei gar nicht mal so streng korrigiert.
    • Auf den Hauptsatz „Es wurden in den letzten Tagen mehrere Zahlungsversuche über Ihre MasterCard-Kreditkarte festgestellt“ folgt der Nebensatz „um Ihre Finanzen zu schützen“, der sich aber nicht auf den Hauptsatz bezieht. Beim Lesen stolpert man über diese Stelle. Zudem kommt dann der Hauptsatz, auf den sich der Nebensatz bezieht, ohne durch ein Komma abgetrennt zu sein.
    • Der Satzbau von „sie ist gesperrt aus Sicherheitsgründen“ ist umgangssprachlich, „sie ist aus Sicherheitsgründen gesperrt“ würde man im Schriftverkehr vorziehen.
    • Wenn „indem“ eine Konjunktion ist, muss es zusammengeschrieben werden.
    • An mehreren Stellen wird „Sie“ kleingeschrieben, obwohl es dort eine förmliche Anrede ist.
    • Es wird mit einer Gebühr von „49,99,- EUR“ gedroht. Allerdings steht das Bindestrich-Minus (eigentlich gehört an so eine Stelle ein längerer Strich wie „–“) bereits für „00“, und ein Betrag wie „49,99,00 EUR“ ist offensichtlich ungültig.
  3. Markierte MasterCard-E-Mail
    Es ist deutlich erkennbar, dass nur die Anrede Text ist.

    Die E-Mail besteht fast ausschließlich aus Bildern. Dies fällt dem Betrachter natürlich nicht unbedingt auf. (Doch es erklärt, wieso der automatische Zeilenumbruch so unregelmäßig ist.) Den Spamfiltern leider auch nicht, da diese normalerweise nur Klartext untersuchen. Untersuchen kann man das, indem man den Text der E-Mail markiert (oder einfach STRG+A für Alles markieren drückt). In diesem Fall kann man deutlich erkennen, dass nur die Anrede wirklicher Text ist. Besser ist aber noch ein guter Mailclient, der eingebettete Grafiken in E-Mails erst nach einer Nachfrage einblendet. Geeignet sind dafür gängige Mail-Programme, aber auch einige Webmail-Clients.

  4. Wenn man über den Link zur Verifizierung mit dem Mauszeiger hovert, kann man gewöhnlich in der Statusleiste das Linkziel erkennen. Führt dieses nicht auf eine Website der MasterCard, sollte man vom Anklicken Abstand nehmen.

Durch diese vier Indizien lässt sich mit Gewissheit sagen, dass es sich um eine Spam-Mail handelt. E-Mails dieser Art nennt man Phishing-Mails. Dabei wird versucht, einen seriösen Anschein zu erwecken, um dem Opfer persönliche Daten sowie Passwörter zu entlocken.

Für alles andere: Frage MasterCard

Sollte unklar sein, ob eine E-Mail von MasterCard oder einem Betrüger stammt, ist es besser, bei MasterCard nachzufragen. Das Unternehmen gibt auf seiner Website auch den Hinweis:

Wichtiger Hinweis: Bitte beachten Sie, dass weder MasterCard noch Ihre kartenherausgebende Bank persönliche Informationen oder Ihre vollständige Kartennummer per E-Mail abfragt. Sollten Sie eine „Phishing E-Mail“ bekommen oder eine verdächtige Seite sehen, können Sie diese gerne [email protected] melden.

Wer doch versehentlich seine Daten eingegeben hat, sollte seine Bank umgehend kontaktieren.

Die E-Mail im Wortlaut

(per Hand abgetippt, da es ja Bilder sind)

Hallo, T. H.

Es wurden in den letzten Tagen mehrere Zahlungsversuche über Ihre MasterCard-Kreditkarte festgestellt, um Ihre Finanzen zu schützen hat unser Sicherheitsteam Ihre MasterCard-Kreditkarte automatisch gesperrt!

Momentan ist es nicht möglich Ihre MasterCard-Kreditkarte zu belasten oder auf diese Geld einzuzahlen, sie ist gesperrt aus Sicherheitsgründen!

Sie können Ihre MasterCard sofort wieder entsperren in dem sie eine Verifizierung durchführen, dieser Vorgang kostet sie nur wenige Minuten.

Sollten sie Ihre MasterCard-Kreditkarte nicht innerhalb 24 Stunden entsperren, wird Ihnen eine neue kostenpflichtige MasterCard Kreditkarte über den Postweg zugestellt.

Dabei wird eine Gebühr von 49,99,- EUR erhoben!

Bitte klicken sie auf den Link um Ihre Verifizierung durchzuführen!
MasterCard | Verifizierung

Mit freundlichen Grüßen,
MasterCard Kundenservice

]]> https://kandru.eu/phishing-mastercard-angeblich-gesperrt/feed/ 1