Spam – Kandru.eu

Spam: Anweisungen von PayPal bezüglich der Vorratsdatenspeicherung

Alex — Sat, 26 Dec 2015 13:55:26 +0000

Heute habe ich eine Mail bekommen, die vorgibt, von PayPal zu stammen. Darin wird behauptet, dass aufgrund der eingeführten Vorratsdatenspeicherung persönliche Daten bestätigt oder aktualisiert werden müssen. Die E-Mail im Wortlaut:

Betreff: Wichtige Anweisungen bezüglich der Vorratsdatenspeicherung.

Wichtiger Hinweis zur Datenspeicherung

E-Mail Code: 0843**

Sehr geehrte Damen und Herren,

Wie Sie bereits wissen, wurde die Vorratsdatenspeicherung per Gesetz verabschiedet und auch wir sind gezwungen zu handeln.
Durch diese Gesetzesänderung werden Sie nun aufgefordert, Ihre bestehenden Daten zu bestätigen respektive zu aktualisieren!

Zwar stimmt es, dass die Vorratsdatenspeicherung am 10. Dezember 2015 vom Bundespräsidenten unterzeichnet und am 17. Dezember im Bundesgesetzblatt verkündet wurde, doch muss sie erst innerhal von 18 Monaten umgesetzt werden und betrifft nur Telekommunikationsunternehmen und damit nicht PayPal.

Wer auf den Link zum Formular klickt, wird nach dem E-Mail-Code gefragt. Man sollte ihn nicht eingeben, da die Spammer so wissen, dass man die Mail gelesen hat.

Spam: I will leak your identity

Alex — Sat, 21 Nov 2015 15:16:43 +0000

Viele Spamnachrichten wollen durch die Angst des Empfängers diesen auf ihre Seite locken und/oder ihn dazu bringen, persönliche Informationen als Antwort zu schicken. Die bekanntesten Spammails dieser Art dürften gefälschte Schreiben von Banken sein, welche vorgeben, aus Sicherheitsgründen gewisse Daten abfragen zu müssen. Oft soll sich der Kunde auf einer gefälschten Seite einloggen. Die Absender heben gern eine Dringlichkeit hervor, welche aufgrund angeblicher Loginversuche besteht. Im Falle einer nicht rechtzeitigen Bearbeitung drohen sie möglicherweise mit einer Bestrafung (z. B. mit einer Bearbeitungsgebür in Höhe von 50 €).

In dem vorliegenden Fall wird es mit einer wahren Geschichte verknüpt: Dem erfolgreichen Angriff auf eine Website, durch den einige Daten entwendet wurden. Das war aber auch schon alles.

Betreff: Bentley recommends : I will leak your identity
Von: [email protected]
Antwort an: [email protected]

Unfortunately your data was leaked in the recent hacking of the Patreon
web site and I now have your information. I have your tax id, tax forms,
SSN, DOB, Name, Address, Credit card details and more sensitive data.
Now, I can go ahead and leak your details online which would damage your
credit score like hell and would create a lot of problems for you.

If you would like to prevent me from doing this then you need to send 1
bitcoin to the following BTC address.

Bitcoin Address:
1QAQTyhCzAfvp8uLpneBNamWTNRR1hx9Cp

You can buy bitcoins using online exchanges easily. The bitcoin address
is unique to you. Sending bitcoin takes take, so you better get started
right now, you have 48 hours in total. [email protected] has shared an
article with you

Es handelt sich um einen Erpressungsversuch. Sollte man nicht zahlen, würden die persönliche Daten veröffentlicht werden: Die Steuernummer, das Steuerformblatt (?), die Sozialversicherungsnummer, das Geburtsdatum (wie schlimm!), der Name (oha!), die Adresse (wenns sein muss …), Kreditkarteninformationen und weitere sensible Daten. Die Veröffentlichung könnte sich auf die Kreditwürdigkeit like hell auswirken und eine Reihe weiterer Probleme mit sich bringen – das behauptet der Absender. Die Daten seien von Patreon((Patreon ist eine Crowdfunding-Plattform, von welcher im Oktober 2015 wirklich 15 GB Daten gestohlen wurden.)) entwedet worden.

Nun würde ein seriöser Erpresser (haha) wohl auch beweisen wollen, dass er diese Informationen besitzt und sie daher der E-Mail anfügen. Das wurde hier aber nicht gemacht. Wie denn auch? Selbst wenn der Empfänger ein Nutzerkonto bei Patreon besitzen sollte, ist es dennoch unwahrscheinlich, dass in den bei Patreon gespeicherten Daten die angegebenen Informationen enhalten sind.

Um alles zu verhindern, wird eine Zahlung von einem Bitcon innerhalb von 48 Stunden gefordert. Beim aktuellen Wechselkurs müsste man ungefähr 300 € dafür zahlen. Dass jemand hysterisch 300 € überweist, halte ich für unwahrscheinlich, zumal diejenigen, die allein eine Bitcoinüberweisung vollziehen können, sicherlich nicht auf diese Spammail hereinfallen.

Die Nachricht ist eine Massenspammail. Bei Nichtbeachtung wird nichts passieren. Auf keinen Fall sollte man Bitcoins an die Adresse überweisen!

Andere haben ebenfalls diese Mail bekommen:
Geleakte Daten, Erpressungsversuch – was tun? (Katrin Rönicke, 21. November 2015)
Heads up Patreon users! Scammer warning (Flight-Rising-Forum, 21. November 2015)
Patreon hacked, now someone is threatening to leak my identity (Reddit, 21. November 2015)
AVERY RECOMMENDS : **I WILL LEAK YOUR IDENTITY** (Variante mit Ashley Madison((Ashley Madison ist ein Seitenspungportal mit Datenschutzproblemen. Im Juli 2015 wurden die Daten von 36 Millionen Nutzern entwendet.)) und anderer Bitcoin-Adresse, 17. November 2015)

Inzwischen hat der Geschäftsführer Jack Conte eine E-Mail an alle Patreon-Nutzer gesendet, in welcher er aufklärt, dass die Betrüger nicht an die Daten gekommen sein können.

I learned yesterday evening that some Patreon users have been receiving a scam email. The sender claims to have the recipient’s SSN, credit card number and other personal information. I want to assure everyone that the claims in this email are false, and we are already working with federal law enforcement. Do not reply to the email—it is a scam. The tax forms we store are securely encrypted with RSA 2048-bit encryption, and we do not store full credit card numbers.

If you receive this email I suggest you flag it as spam and ignore any further emails. Do not reply.

Thanks.

Jack Conte, CEO/Co-founder, Patreon

(Quelle: Quisanne via Twitter)

Phishing: Account-Daten von Apple aktualisieren

Alex — Tue, 23 Sep 2014 13:45:23 +0000

In der heutigen Spammail geht es ähnlich wie bei der MasterCard-E-Mail um ein angeblich gesperrtes Benutzerkonto. So soll der Empfänger innerhalb von 48 Stunden seine bei Apple hinterlegten Daten erneut eingeben, damit Apple diese überprüfen kann. Erst dadurch wird der Account entsperrt. Die Webseite, auf der die Daten eingegeben werden sollen, ist natürlich in der E-Mail verlinkt. Auch hier gibt es einige Hinweise darauf, dass durch Phishing versucht wird, an die persönlichen Daten des Empfängers zu gelangen.

Im Login-Formular doppelt sich alles

Die Absenderadresse ist nicht von Apple. Zwar wird Apple support als Absender genannt, allerdings kann als Absendername alles eingetragen werden. Selbst wenn die E-Mail-Adresse von apple.com stammen würde, wäre dies noch lange kein Beweis, dass die E-Mail auch von einem Apple-Server gesendet wurde.
Sollte Apple normalerweise nur auf Deutsch schreiben, dann ist eine E-Mail auf Englisch höchst merkwürdig.
Der Link „Update Now“ führt nicht auf die Seite von Apple, sondern auf die Privatseite eines Österreichers. Mein Browser Opera gibt mir sogar eine Betrugsversuch-Warnung beim Aufrufen, Chromium lässt allerdings den Aufruf zu. Auf der Seite ist ein Log-in-Formular im Apple-Design. Beim näheren Betrachten fällt aber auf, dass es ein Hintergrundbild ist (es ist gekachelt) und nur das Formular kein Text ist.

Durch diese Hinweise ist eindeutig, dass es sich um Phishing handelt. Zunächst sollen die Zugangsdaten entlockt werden, danach auch beispielsweise die Kreditkartennummer und die Antwort auf die Sicherheitsfrage.

Die E-Mail im Wortlaut

Information Regarding Your account:

Hello,
This is an automatic message sent by our security system to let you know that you have 48 hours to confirm your account information.

Your Apple account has been frozen because we are unable to validate your account information.

Once you have updated your account records, we will try again to validate your information and your account suspension will be lifted.
This will help protect your account in the future. This process does not take more than 3 minutes.

To proceed to confirm your account details please click on the link below and follow the instructions.

Update Now >

We thank you for your prompt attention to this matter. Please understand that this is a security measure intended to help protect you and your account and helps us prevent fraudsters from stealing your information. We apologise for any inconvenience..

Thanks,
Apple Customer Support

Phishing: MasterCard angeblich gesperrt

Alex — Wed, 17 Sep 2014 06:23:12 +0000

Mit dieser Phishing-E-Mail beginnt eine Reihe von Blogbeiträgen zur Sensibilisierung gegen Spam. An dieser Stelle werden wir gelegentlich über neue Spam-Mails bloggen, die uns oder andere erreichen.

Der heutige Fall ist interessant, da er eine besondere Technik zur Umgehung von Spamfiltern anwendet. In der E-Mail steht, dass die MasterCard des Empfängers aus Sicherheitsgründen angeblich gesperrt wurde. Zur Entsperrung soll sich der Empfänger auf einer Webseite verifizieren. Die Mail ist Phishing, daher sollte man nicht auf den Link klicken und auf keinen Fall persönliche Daten und Passwörter eingeben! An den folgenden Indizien kann man das erkennen:

Als Absender ist MasterCard <[email protected]> angegeben, allerdings ist bekannt, dass die als Absender angegebene E-Mail-Adresse leicht fälschbar ist. In keinem Fall ist die korrekte (aber unverifizierte) E-Mail-Adresse eines Absenders ein Beweis dafür, dass die E-Mail von diesem stammt.
Die Mail enthält eine Vielzahl von Fehlern sowie Unschönheiten im Text:
Bei einem Deutschtest würde der Autor der Spammail wohl durchfallen. Und dabei gar nicht mal so streng korrigiert.
- Auf den Hauptsatz „Es wurden in den letzten Tagen mehrere Zahlungsversuche über Ihre MasterCard-Kreditkarte festgestellt“ folgt der Nebensatz „um Ihre Finanzen zu schützen“, der sich aber nicht auf den Hauptsatz bezieht. Beim Lesen stolpert man über diese Stelle. Zudem kommt dann der Hauptsatz, auf den sich der Nebensatz bezieht, ohne durch ein Komma abgetrennt zu sein.
- Der Satzbau von „sie ist gesperrt aus Sicherheitsgründen“ ist umgangssprachlich, „sie ist aus Sicherheitsgründen gesperrt“ würde man im Schriftverkehr vorziehen.
- Wenn „indem“ eine Konjunktion ist, muss es zusammengeschrieben werden.
- An mehreren Stellen wird „Sie“ kleingeschrieben, obwohl es dort eine förmliche Anrede ist.
- Es wird mit einer Gebühr von „49,99,- EUR“ gedroht. Allerdings steht das Bindestrich-Minus (eigentlich gehört an so eine Stelle ein längerer Strich wie „–“) bereits für „00“, und ein Betrag wie „49,99,00 EUR“ ist offensichtlich ungültig.
Es ist deutlich erkennbar, dass nur die Anrede Text ist.

Die E-Mail besteht fast ausschließlich aus Bildern. Dies fällt dem Betrachter natürlich nicht unbedingt auf. (Doch es erklärt, wieso der automatische Zeilenumbruch so unregelmäßig ist.) Den Spamfiltern leider auch nicht, da diese normalerweise nur Klartext untersuchen. Untersuchen kann man das, indem man den Text der E-Mail markiert (oder einfach STRG+A für Alles markieren drückt). In diesem Fall kann man deutlich erkennen, dass nur die Anrede wirklicher Text ist. Besser ist aber noch ein guter Mailclient, der eingebettete Grafiken in E-Mails erst nach einer Nachfrage einblendet. Geeignet sind dafür gängige Mail-Programme, aber auch einige Webmail-Clients.
Wenn man über den Link zur Verifizierung mit dem Mauszeiger hovert, kann man gewöhnlich in der Statusleiste das Linkziel erkennen. Führt dieses nicht auf eine Website der MasterCard, sollte man vom Anklicken Abstand nehmen.

Durch diese vier Indizien lässt sich mit Gewissheit sagen, dass es sich um eine Spam-Mail handelt. E-Mails dieser Art nennt man Phishing-Mails. Dabei wird versucht, einen seriösen Anschein zu erwecken, um dem Opfer persönliche Daten sowie Passwörter zu entlocken.

Für alles andere: Frage MasterCard

Sollte unklar sein, ob eine E-Mail von MasterCard oder einem Betrüger stammt, ist es besser, bei MasterCard nachzufragen. Das Unternehmen gibt auf seiner Website auch den Hinweis:

Wichtiger Hinweis: Bitte beachten Sie, dass weder MasterCard noch Ihre kartenherausgebende Bank persönliche Informationen oder Ihre vollständige Kartennummer per E-Mail abfragt. Sollten Sie eine „Phishing E-Mail“ bekommen oder eine verdächtige Seite sehen, können Sie diese gerne [email protected] melden.

Wer doch versehentlich seine Daten eingegeben hat, sollte seine Bank umgehend kontaktieren.

Die E-Mail im Wortlaut

(per Hand abgetippt, da es ja Bilder sind)

Hallo, T. H.

Es wurden in den letzten Tagen mehrere Zahlungsversuche über Ihre MasterCard-Kreditkarte festgestellt, um Ihre Finanzen zu schützen hat unser Sicherheitsteam Ihre MasterCard-Kreditkarte automatisch gesperrt!

Momentan ist es nicht möglich Ihre MasterCard-Kreditkarte zu belasten oder auf diese Geld einzuzahlen, sie ist gesperrt aus Sicherheitsgründen!

Sie können Ihre MasterCard sofort wieder entsperren in dem sie eine Verifizierung durchführen, dieser Vorgang kostet sie nur wenige Minuten.

Sollten sie Ihre MasterCard-Kreditkarte nicht innerhalb 24 Stunden entsperren, wird Ihnen eine neue kostenpflichtige MasterCard Kreditkarte über den Postweg zugestellt.

Dabei wird eine Gebühr von 49,99,- EUR erhoben!

Bitte klicken sie auf den Link um Ihre Verifizierung durchzuführen!
MasterCard | Verifizierung

Mit freundlichen Grüßen,
MasterCard Kundenservice