Last Updated on 9 Jahren by TmoWizard

Liebe Leserinnen und Leser,

es gibt mal wieder was neues zum Thema SPAM und Phishing! Nach längerer Abstinenz also wieder mal ein Artikel zu einem meiner Lieblingsthemen. :mrgreen: Da zudem ja leider der Server meines Hosters für einige Zeit ausgefallen ist möchte ich mich nebenbei auch noch bei euch entschuldigen, hoffentlich passiert das nicht mehr so schnell!

Wie schon der Titel andeutet ist das eine ziemlich dumme SPAM-Mail, welche sich da in meinem Filter verfangen hat. Sehen wir uns also erst einmal den Text an, wobei ich mir ein paar Kommentare nicht verkneifen kann:

Ihr Amazon-Konto braucht Ihre Unterstützung
———————————————————-
Guten Tag Kunde!

So heiße ich ganz bestimmt!

Die stichprobenartige Besichtigung wurde außergewöhnliche Privatdaten auf Ihrem
Konto festgestellt. Um Sie Ihr Amazon-Account wieder in vollem Umfang benutzen
zu dürfen, müssen Sie Ihre hinterlegten Informationen verifizieren .

Welch hervorragendes deutsch. „außergewöhnliche Privatdaten“, klingt ja mal sehr interessant!

Ihr Acount wird automatisch beschränkt oder blockiert, wenn Sie dieser Anzeige
zur Aktivation nicht fertig stellen .

Account mit nur einem „c“ und bitte was ist eine „Aktivation“?

Wo ist die Sache?

Sache? Welche Sache denn?

Es sind uns Unregelmäßigkeiten bei Ihrer letzten Aktivität aufgefallen.

Abwicklungsnummer: 645-4LG4-966-75K
———————————————————-
Was kann ich tun?

Am besten die Mail gar nicht beachten!

Als ständiger Amazon-Nutzer validieren Sie sich bitte über folgender Link durch
einen Ausgleich Ihrer Personaldaten .

Diesen Link klicken!

Nö, den bekommt ihr nicht, den Klick! Aber ihr liebe Leserinnen und Leser seht hier den Link:

http://www.briserv.com/com/coldfumonkeh/get1.php

Der Server ist allerdings derzeit außer Betrieb:

Service Unavailable

HTTP Error 503. The service is unavailable.

Registriert ist dieser Server übrigens auf eine Firma in Redwood City, Kalifornien!

Um Ihre Zahlungsart zu aktivieren, klicken Sie bitte auf „Mein Konto“ auf
unserer Amazonseite

Ach wie fein! Die geben sogar zu, daß das ihre eigene Amazonseite ist!

beste Grüße
Ihr Team von Amazon
Dies ist eine automatisch versendete Nachricht. Bitte antworten Sie nicht auf
dieses Schreiben, da die Adresse nur zur Versendung von E-Mails eingerichtet ist.

Eine Erweiterung von mir für den letzten Satz:

Bitte antworten Sie nicht auf
dieses Schreiben, da die Adresse nur zur Versendung von SPAM-E-Mails eingerichtet ist.

Weltreise!

Nun schauen wir uns das Teil aber mal genauer an, als erstes die Absenderadresse:

Sicherheitsservice <nabokovalk@yandex.com>

Ähm… Yandex.com? Dann ist ja schon einmal klar, woher die Mail eventuell stammen könnte. Das ist nämlich die bekannteste russische Suchmaschine! Übrigens ist auch die Empfangsadresse interessant, denn die dort stehende gehört mir garantiert nicht.

Diese seltsame Mail scheint mir übrigens weit herumgekommen zu sein, von Yandex.ru zu Yandex.net und Yandex.com und darüber dann zu mir nach Yahoo.de bzw. Yahoo.com, wo sie dann auf mein Konto bei Arcor.de weiter geleitet wurde, wie man dem Quelltest entnehmen kann:

From – Sat Aug 22 22:51:50 2015
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <nabokovalk@yandex.com>
X-Original-To: tmowizard @ arcor.de
Received: from mail-in-06.arcor-online.net (mail-in-06.arcor-online.net [151.189.21.46])
by mail-in-16-z2.arcor-online.net (Postfix) with ESMTP id B1F4B21E77A
for <tmowizard @ arcor.de>; Sat, 22 Aug 2015 22:49:24 +0200 (CEST)
Received: from nm38-vm9.bullet.mail.ir2.yahoo.com (nm38-vm9.bullet.mail.ir2.yahoo.com [212.82.97.159])
by mx.arcor.de (Postfix) with ESMTPS id 3mzBfD4Bhdz7l4X
for <tmowizard @ arcor.de>; Sat, 22 Aug 2015 22:49:24 +0200 (CEST)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.com; s=s2048; t=1440276564; bh=h5hHODmCFojkWA/JcxJJQqOBRIxchSKjj6mvKLbhca8=; h=From:To:Subject:Date:From:Subject; b=N+nxMSi7HIIlfWfkNuz1IBdIq8YEsiwb5X+x2DIanhU8JopTLPNWM9MY2GaNHroAvikVlRrXkIojpXV59dYYhAbL6XZWGRyi0gsGa6mgE+jSTbtIXI8HY8NFfuUqs8wKhl6y5j1qBWYm9cXNdiuUd33t68oxzlR3DO93uQRxSb5PIM432c8k1FYTTHO7IcdjBjyPk6lG0rtXL5Ys5U3CFL10kX3lj0EkAbrCy+5uPmAqHvINA6l5WV8FYojKqe2mnoqaMoWIiuMKsvMvgijuEIV7i8eHl8sS74iz4mnKlNqf+/e8GJsldhI3CHsvWDRy82J+5kzZItC2GfT2HCCd8A==
Received: from [212.82.98.55] by nm38.bullet.mail.ir2.yahoo.com with NNFMP; 22 Aug 2015 20:49:24 -0000
Received: from [212.82.98.97] by tm8.bullet.mail.ir2.yahoo.com with NNFMP; 22 Aug 2015 20:49:24 -0000
Received: from [127.0.0.1] by omp1034.mail.ir2.yahoo.com with NNFMP; 22 Aug 2015 20:49:24 -0000
X-Yahoo-Newman-Property: ymail-3
X-Yahoo-Newman-Id: 127314.10701.bm@omp1034.mail.ir2.yahoo.com
X-Yahoo-ForwardOnly: from mikspe1711 @ yahoo.de to tmowizard @ arcor.de
X-Yahoo-Forwarded: from mikspe1711 @ yahoo.de to tmowizard @ arcor.de
X-YahooFilteredBulk: 95.108.130.94
Received-SPF: pass (domain of yandex.com designates 95.108.130.94 as permitted sender)
X-YMailISG: BiPf8wQWLDul3zmxgNvcs_.9Oqoe3nDERw2GBtuSBuqORcW3
Y4JfaIJcpUDolrcOf9p4SwxVc5qFSWpLNlLfDA0XB_tinxNjsORZl2vyruzG

(Von mir gekürzt, das würde sonst noch ewig weiter gehen)

hILyRzDPcHDT6eUsU.BLNZFEUODtdSYUY5X8D10sTORmR37efoTF3NR3192A
6CiPeTIk_pDxigvungcidv9XlBvRvif8i_qJ0Osvv13GxNMyIsOyip6uffyk
wDlZV8wB5ckTx2gcjsHdUOACCKKaZC35nRPagvvmbHI0KyhPB8hTthziHgpp
_Mi7oNQHkZWCckj5DtnB
X-Originating-IP: [95.108.130.94]
Authentication-Results: mta1010.mail.ir2.yahoo.com from=yandex.com; domainkeys=neutral (no sig); from=yandex.com; dkim=pass (ok)
Received: from 127.0.0.1 (EHLO forward12.mail.yandex.net) (95.108.130.94)
by mta1010.mail.ir2.yahoo.com with SMTP; Sat, 22 Aug 2015 20:49:23 +0000
Received: from web2j.yandex.ru (web2j.yandex.ru [5.45.198.43])
by forward12.mail.yandex.net (Yandex) with ESMTP id DBF97C21210;
Sat, 22 Aug 2015 23:49:18 +0300 (MSK)
Received: from 127.0.0.1 (localhost [127.0.0.1])
by web2j.yandex.ru (Yandex) with ESMTP id CE6382CC157A;
Sat, 22 Aug 2015 23:49:14 +0300 (MSK)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yandex.com; s=mail;
t=1440276557; bh=h5hHODmCFojkWA/JcxJJQqOBRIxchSKjj6mvKLbhca8=;
h=From:To:Subject:Date;
b=kqTr4QkilHBCm1ItmSzjaRb7bnewe8gxSXs4sVIW3ZUcSbGNqfdOzLMOOraan9wcM
kIHI5lYM0WydEmJO8f/3HCdMrnjiRy6Ja/Soi7qvkumZIAAOVXl00TObrKm32ohaKj
CuEHO9B8QtezU5cyuMgyk1/JtEZxknj94BEruR8k=
Received: by web2j.yandex.ru with HTTP;
Sat, 22 Aug 2015 23:49:14 +0300
From: Sicherheitsservice <nabokovalk@yandex.com>
To: XXXXX@live.de
Subject: =?utf-8?B?QkZXUjk5UzZONzBUWTc5UCDDnGJlcndlaXN1bmcgenVyw7xja2dlcnVmZW4=?=
MIME-Version: 1.0
Message-Id: <161691440276554@web2j.yandex.ru>
X-Mailer: Yamail [ http://yandex.ru ] 5.0
Date: Sun, 23 Aug 2015 01:49:14 +0500
Content-Transfer-Encoding: 8bit
Content-Type: text/html; charset=utf-8

Dort kämen nun der ganze Text der Mail, natürlich in HTML. Mir ist hier jetzt irgendwie nicht klar, wie diese Mal zu mir nach Yahoo gekommen ist! Die von mir hervorgehobene Empfangsadresse gehört mir eindeutig nicht, ich heiße nicht „chris“ und habe auch kein Konto mit @live.de (Microsoft)!

Man sieht hier auch deutlich, daß dieser Phishing-Versuch tatsächlich über Yandex kam und mit deren Mailer (Yamail) erstellt wurde.

Mein Fazit:

Wie immer bei solchen Mails geht es nur um eines: Unsere Daten! Nicht immer sind diese Mails jedoch so einfach zu erkennen wie in diesem Fall, doch dazu kommt ein eigener Artikel. Paßt also weiterhin auf, was da für dummes Zeug in euren Postfächern einschlägt. Sehr oft ist es nämlich nicht das, was es darstellen soll!

Viele Grüße nun aus TmoWizard’s Castle zu Augusta Vindelicorum

Y gwir yn erbyn Y byd!

Mike, TmoWizard

#SPAM – #Phishing: BFWR99S6N70TY79P Überweisung zurückgerufen von TmoWizard ist lizenziert unter Creative Commons Namensnennung-NichtKommerziell-Weitergabe unter gleichen Bedingungen 4.0 international.