#SPAM: PayPal. Sicherererer.

Posted onAuthorTmoWizardLeave a comment

Last Updated on 9 Jahren by TmoWizard

Werte Leserinnen und Leser,

es geht mal wieder um Phishing bei PayPal! Da kam eine E-Mail bei mir an, welche mal wieder die Kreativität der Spammer unter Beweis stellt. Folgenden Betreff kann man da lesen:

Michael Speier, bitte verifizieren Sie sich!

Ja, da steht tatsächlich mein Name drinnen. Und nicht nur das, die Mail kam auch noch auf dem richtigen Mail-Konto an! In der HTML-Version war ursprünglich sogar das Logo von PayPal zu sehen, allerdings bei Pic-Upload.de gespeichert, von wo es aber inzwischen wieder verschwunden ist. Sehr unprofessionell, da nimmt man doch einfach das Original!

 

PayPal. Sicherererer.

Wie ihr ja wißt lasse ich mir meine Mails immer als reinen Text anzeigen. In diesem Fall sieht man erst einmal einen riesen Leerraum und dann den oben stehenden Text. Damit hat sich die Mail auch schon erledigt, denn solch einen Unfug würde PayPal nie von sich geben!

 

Der Inhalt:

Der Einfachheit halber zitiere ich diesen Text komplett am Stück und gebe hernach meinen Senf dazu ab:

PayPal. Sicherererer.

/16.06.2015/
*Guten Tag Michael Speier, *

bitte helfen Sie uns dabei, Ihr PayPal-Konto wieder in Ordnung zu bringen. Bis
dahin haben wir den Zugang zu Ihrem PayPal-Konto vorübergehend eingeschränkt.

*Wo liegt das Problem?*

Bei Ihrer letzten Kreditkartenzahlung sind uns ungewöhnliche Aktivitäten
aufgefallen.

Bearbeitungsnummer: PP-494-248-372-594.

*Was mache ich jetzt? *

Bitte verifizieren Sie sich über folgenden Link durch einen Abgleich Ihrer Daten
als rechtmäßiger Besitzer. Im Anschluss können Sie Ihr Konto wieder
uneingeschränkt nutzen:

Hier Klicken <http://185.62.190.18/index.php?name=Michael&lastname=Speier>

*Warum muss ich mein Konto umgehend verifizieren?*

PayPal überprüft zu ihrer Sicherheit Nutzeraktivitäten, weist ein Nutzeraccount
*Auffälligkeiten* auf, so muss dieser zu ihrer Sicherheit umgehend innerhalb von
24 Stunden, erneut von dem Inhaber verifiziert werden.

*Ereigniss:*

Juni 15 , 2015:<http://www.utrace.de/?query=54.67.23.12>

/Transaction denied from 73.43.24.75/

*Viele Grüße *

*Ihr Team von PayPal Deutschland*

*Sie möchten mit uns Kontakt aufnehmen?*
Am einfachsten geht das unter www.PayPal.de/kontakt
<https://www.paypal.com/de/cgi-bin/helpscr?cmd=_help&t=escalateTab>.
Unsere Kundenhotline erreichen Sie unter *0180 500 66 27*
(Mo.-Fr. 8.00 bis 21.30 Uhr und Sa.-So. 9.00 bis 19.30 Uhr. Für Anrufe aus dem
Festnetz fallen maximal 14 Cent/Min. an, aus Mobilfunknetzen sind es maximal 42
Cent/Min.)

*Hier finden Sie weitere Informationen:*
Online-Shops <https://www.paypal-deutschland.de/shops/> | Sicherheit
<https://www.paypal-deutschland.de/sicherheit/> | Passwort vergessen
<https://www.paypal.com/de/cgi-bin/webscr?cmd=_account-recovery&from=PayPal>

Schon beim ersten von mir markierten Satz geht es los, ich hatte noch nie eine Kreditkarte! :mrgreen: Der tolle Link spricht natürlich auch Bände, 185.62.190.18 ist garantiert die IP von PayPal.de. Laut dem freundlicher Weise verlinktem „utrace“ gibt es diese IP nicht mehr! Dieser Link mit utrace wird übrigens nicht in der HTML-Version der Mail angezeigt.

Der Link mit der nicht mehr vorhandenen IP brachte übrigens eine relativ echt aussehende Seite zum Vorschein, in welchem gleich der eigene Name eingetragen war!

Die beiden anderen IP-Adressen kommen aus den USA, die Erste aus dem Staate New York und die Zweite aus Kansas. Das soll wohl darauf hindeuten, daß die BRD der 51 Staat der USA ist und PayPal Deutschland dort seine Heimat hat! ;-)

 

Rechtschreibung und Grammatik:

Sehr auffällig an dieser Mail ist die fehlerfreie Rechtschreibung, nur mit den Kommas klappt es nicht so ganz! Dabei ist jedoch nur folgender Satz betroffen:

PayPal überprüft zu ihrer Sicherheit Nutzeraktivitäten, weist ein Nutzeraccount *Auffälligkeiten* auf, so muss dieser zu ihrer Sicherheit umgehend innerhalb von 24 Stunden, erneut von dem Inhaber verifiziert werden.

Es ist ein Komma zuviel, was wohl jedem schon mal passiert ist. Außerdem behaupte ich mal, daß nach dem Wort „Nutzeraktivitäten“ ein Punkt hingehört und es folglich danach mit einem Großbuchstaben weiter geht. Man könnte allerdings stattdessen ein Semikolon setzen, dann würde auch die Kleinschreibung wieder passen! Mit dem Komma ist es aber eindeutig falsch, das wissen die Mitarbeiter bei PayPal aber bestimmt.

 

Der Quelltext:

Das Mailprogramm von dem SpinnerSpammer würde mich übrigens auch mal interessieren, solch einen seltsamen Quelltext habe ich nämlich noch nie gesehen! Hier ein kurzer Auszug davon:

<B>Guten Tag Michael Speier,
</B><BR><BR>b<!--dIhXlZv29-->i<!--dIhXlZv29-->t<!--dIhXlZv29-->t<!--dIhXlZv=
29-->e h<!--dIhXlZv29-->e<!--dIhXlZv29-->l<!--dIhXlZv29-->f<!--dIhXlZv29-->=
e<!--dIhXlZv29-->n S<!--dIhXlZv29-->i<!--dIhXlZv29-->e u<!--dIhXlZv29-->n<!=
--dIhXlZv29-->s d<!--dIhXlZv29-->a<!--dIhXlZv29-->b<!--dIhXlZv29-->e<!--dIh=
XlZv29-->i, I<!--dIhXlZv29-->h<!--dIhXlZv29-->r P<!--dIhXlZv29-->a<!--dIhXl=
Zv29-->y<!--dIhXlZv29-->P<!--dIhXlZv29-->a<!--dIhXlZv29-->l<!--dIhXlZv29-->=
-<!--dIhXlZv29-->K<!--dIhXlZv29-->o<!--dIhXlZv29-->n<!--dIhXlZv29-->t<!--dI=
hXlZv29-->o w<!--dIhXlZv29-->i<!--dIhXlZv29-->e<!--dIhXlZv29-->d<!--dIhXlZv=
29-->e<!--dIhXlZv29-->r i<!--dIhXlZv29-->n O<!--dIhXlZv29-->r<!--dIhXlZv29-=
->d<!--dIhXlZv29-->n<!--dIhXlZv29-->u<!--dIhXlZv29-->n<!--dIhXlZv29-->g z<!=
--dIhXlZv29-->u b<!--dIhXlZv29-->r<!--dIhXlZv29-->i<!--dIhXlZv29-->n<!--dIh=
XlZv29-->g<!--dIhXlZv29-->e<!--dIhXlZv29-->n=2E B<!--dIhXlZv29-->i<!--dIhXl=
Zv29-->s d<!--dIhXlZv29-->a<!--dIhXlZv29-->h<!--dIhXlZv29-->i<!--dIhXlZv29-=
->n h<!--dIhXlZv29-->a<!--dIhXlZv29-->b<!--dIhXlZv29-->e<!--dIhXlZv29-->n w=
<!--dIhXlZv29-->i<!--dIhXlZv29-->r d<!--dIhXlZv29-->e<!--dIhXlZv29-->n Z<!-=
-dIhXlZv29-->u<!--dIhXlZv29-->g<!--dIhXlZv29-->a<!--dIhXlZv29-->n<!--dIhXlZ=
v29-->g z<!--dIhXlZv29-->u I<!--dIhXlZv29-->h<!--dIhXlZv29-->r<!--dIhXlZv29=
-->e<!--dIhXlZv29-->m P<!--dIhXlZv29-->a<!--dIhXlZv29-->y<!--dIhXlZv29-->P<=
!--dIhXlZv29-->a<!--dIhXlZv29-->l<!--dIhXlZv29-->-<!--dIhXlZv29-->K<!--dIhX=
lZv29-->o<!--dIhXlZv29-->n<!--dIhXlZv29-->t<!--dIhXlZv29-->o v<!--dIhXlZv29=
-->o<!--dIhXlZv29-->r<!--dIhXlZv29-->&uuml;<!--dIhXlZv29-->b<!--dIhXlZv29--=
>e<!--dIhXlZv29-->r<!--dIhXlZv29-->g<!--dIhXlZv29-->e<!--dIhXlZv29-->h<!--d=
IhXlZv29-->e<!--dIhXlZv29-->n<!--dIhXlZv29-->d e<!--dIhXlZv29-->i<!--dIhXlZ=
v29-->n<!--dIhXlZv29-->g<!--dIhXlZv29-->e<!--dIhXlZv29-->s<!--dIhXlZv29-->c=
<!--dIhXlZv29-->h<!--dIhXlZv29-->r<!--dIhXlZv29-->&auml;<!--dIhXlZv29-->n<!=
--dIhXlZv29-->k<!--dIhXlZv29-->t=2E<BR><BR>

Der Text der Mail ist dort verteilt in den >spitzen Klammern< zu finden, das ist schon sehr merkwürdig!

 

Mein Fazit:

Wieder einmal kann man an solch einer Mail sehen, daß HTML, JavaScript und ähnliches dort nichts verloren haben! Die Mail sah täuschend echt aus, das Problem ist hier die gar nicht vorhandene Kreditkarte. Auch der Text /Transaction denied from 73.43.24.75/ ist dank der IP natürlich ziemlicher Unfug, welche nicht einmal zum anklicken war.

Achtet also weiterhin darauf, daß ihr auf so etwas nicht herein fällt, denn das kann sehr teuer werden! Laßt euch soweit möglich eure E-Mails als reinen Text anzeigen, dann seht ihr auch sofort die gefälschten Links darin. Gut hierbei wäre auch, wenn ihr dazu eine vernünftige Schrift verwendet. Bei vielen Schriftarten sieht man nämlich kaum einen Unterschied zwischen dem großen „I“ und dem kleinen „l“, bei PayPaI.de kann das fatal sein! Z. B. bei Twitter und Facebook sieht das kleine „L“ wie ein großes „i“ aus und umgekehrt, da kann man schnell darauf herein fallen.

 

Grüße nun aus dem Spamkerker von TmoWizard’s Castle zu Augusta Vindelicorum

Y gwir yn erbyn Y byd!

Mike, TmoWizard Zaubersmilie

CC BY-NC-SA 4.0 #SPAM: PayPal. Sicherererer. von TmoWizard ist lizenziert unter Creative Commons Namensnennung-NichtKommerziell-Weitergabe unter gleichen Bedingungen 4.0 international.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Kommentarlinks könnten nofollow frei sein.