#SPAM: Wer bitte fällt denn auf sowas herein?

Last Updated on 11 Jahren by TmoWizard

Werte Leserinnen und Leser,

da hat mich doch wieder einmal eine interessante E-Mail erreicht, die ich euch natürlich nicht vorenthalten kann.

Dieses mal kam sie angeblich von der Sparkasse und (Ironie des Schicksals!) ausgerechnet ebenfalls eine ähnliche Mail der Sparkasse wird auch beim Nachtwächter behandelt! Der Text ist etwas anders, aber den werden wir gleich noch begutachten! ;-)

 

Der Betreff:

Als erstes hier mal kurz der Betreff der E-Mail als Bild, sonst glaubt mir das vielleicht kein Mensch! Die GMX-Adresse ist (außer AOL) die Älteste die ich habe (1997/1998), die ist also echt. Den ClamAV-Status habe ich in meinem Tutorial (nein, kein weiterer Link von mir dorthin! Der Titel des Tutorials lautet: SeaMonkey-Tutorial: Downloads und Mails unter Linux mit ClamAV prüfen) erklärt, das funktioniert derzeit aber leider nicht mit Windows!

 

Die Sparkasse arbeitet also, wer hätte das denn erwartet! Ihr vielleicht?? Allein schon dieser Betreff hat mich erst einmal ziemlich ungläubig meinen Monitor anstarren lassen. Daß diese E-Mail nicht von der Sparkasse ist war mir übrigens sofort klar, nicht nur wegen dem grauenhaften Text. Ich habe dort zwar mein Konto und mache auch online-Banking, jedoch hat die Sparkasse zwar meine Handynummer und auch die Adresse meines Wohnsitzes, jedoch keine einzige meiner Mail-Adressen!

Man sieht hier übrigens auch, daß die Mail ziemlich neu sein muß. Der Link in der Mail selbst wurde weder von ClamAV als schädlich erkannt (von wegen die Datei ist sauber!), noch wurde die Mail von SpamAssassin als Spam markiert!

 

Der Text:

Hier nun der Text der Mail, der einem wirklich die Haare zu Berge stehen läßt:

So sieht das Ganze jedenfalls bei mir aus, da ich wie bekannt meine Mails als reinen Text anzeigen lasse. Extra für euch nun der Text im HTML-Format (als Bild), wie ihn sich leider immer noch die meisten Leute zu sehen bekommen:

Zumindest das Logo sieht echt aus, das werden sie sich irgendwo geklaut haben, denn auch das liegt nicht einmal auf dem Server der Sparkasse! Und frage mich jetzt keiner, warum da verschiedene Textgrößen angezeigt werden. Wie wir gleich im Quelltext sehen werden, ist da ein abschließendes Tag wohl falsch gesetzt. Wobei da noch mehr Tags falsch sind, ich habe die alle mal grün gefärbt.

 

Der Quelltext:

Schauen wir uns das Ding also mal genauer an, da läßt sich natürlich einiges finden. Meine Arcor-Adresse habe ich unkenntlich gemacht, ein findiger Mensch findet sie aber auf spezielle Art geschützt in meinem Impressum! Bei der GMX-Adresse rentiert sich das nicht mehr, die kennt sowieso schon jeder. 8-) Wie immer habe ich einige Teile des Textes fett markiert, die brauchen wir nämlich noch!

Man erkennt hier übrigens sehr deutlich, daß ich eine Weiterleitung aktiviert habe. In SeaMonkey ist nämlich nur mein Arcor-Konto eingerichtet, alle anderen Mails landen also dort und werden durch entsprechende Filter auf verschiedene Ordner verteilt! Das heißt… nicht ganz richtig, zum versenden habe ich tatsächlich auch das GMX-Konto eingerichtet, rufe damit aber keine Mails ab.

From – Fri Aug 02 11:24:02 2013

X-Mozilla-Status: 0001

X-Mozilla-Status2: 00000000

X-Mozilla-Keys:

Return-Path: <mikespeier@gmx.de>

X-Original-To: tmo***d@arcor.de

Received: from mail-in-14.arcor-online.net (mail-in-14.arcor-online.net [151.189.21.54]) by mail-in-05-z2.arcor-online.net (Postfix) with ESMTP id 3719F116013 for <tmo***d@arcor.de>; Fri, 2 Aug 2013 08:21:01 +0200 (CEST)

Received: from mout.gmx.net (mout.gmx.net [212.227.17.21]) by mx.arcor.de (Postfix) with ESMTP id 2F1689BE5A for <tmo***d@arcor.de>; Fri, 2 Aug 2013 08:21:01 +0200 (CEST)

Received: from host.profitsclub.net ([207.7.80.41]) by mx-ha.gmx.net (mxgmx001) with ESMTPS (Nemesis) id 0LdIFV-1UN2QH2nzd-00iX4I for <mikespeier@gmx.de>; Fri, 02 Aug 2013 08:21:00 +0200

Received: from nobody by host.profitsclub.net with local (Exim 4.69) (envelope-from <konto@Sparkasse.de>) id 1V58jS-0007OI-Tg for mikespeier@gmx.de; Fri, 02 Aug 2013 02:20:58 -0400

To: mikespeier@gmx.de

From: www.sparkasse.de <konto@Sparkasse.de>

Reply-to: Giro@Sparkasse.de

Subject: unser Unternehmen Sparkasse arbeitet

Message-ID: <260238452ca25d798c4ffa60bfc345de@e-soporte.info>

X-Priority: 3

(anti-spam-(anti-spam-mime-version:)) 1.0

Content-Transfer-Encoding: 7bit

Content-Type: text/html; charset=utf-8

Date: Fri, 02 Aug 2013 02:20:58 -0400

X-AntiAbuse: This header was added to track abuse, please include it with any abuse report

X-AntiAbuse: Primary Hostname – host.profitsclub.net

X-AntiAbuse: Original Domain – gmx.de

X-AntiAbuse: Originator/Caller UID/GID – [99 99] / [47 12]

X-AntiAbuse: Sender Address Domain – Sparkasse.de

Envelope-To: <mikespeier@gmx.de>

X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;

X-GMX-Antivirus: 0 (no virus found)

X-UI-Loop:V01:v/4jdgcoSbI=:Yy/AQd0CF4mgfbWK01zB6E7vMrOwHV182nWQspGuZXg=

Mime-Version: 1.0

 

<img width=“180″ height=“60″ src=“http://t0.gstatic.com/images?q=tbn:ANd9GcTP91Gugy_MbV148-y9LYCdoifnuQVdCYmugn1zrkUJVq_l8gAtW2QTmVE“ alt=“sparkasse logo“</p>

<br><br>

Sehr geehrter Kunde,

<br> <br> unser Unternehmen Sparkasse arbeitet im Bereich des Internet-Banking<br>

. <br> seit dem Mittwoch juni 5, 2013, arbeiten wir an einem neuen Sicherheitsoftware fur die Verwendung von Internet -Banking. Mit diesem Service versichen wir Ihnn zusatlichen Schutz gegen Internet -Betrug.Um diesen Service nutzen zu konnen, klicken Sie den untenstehenden Link und fullen die erforderlichen Informationen ein.<big> <a href=“http://mebsemfpa.bi/Giro/Konto/bestatigen/Sparkasse/Sparkasse.htm“>klik hier</a>

<br> Nachdem Sie diese Information bestatigen wird Ihr Internet -Banking automatisch mit der neuen Software aktualisiert. Danach werden Sie per Telefon von einem der Mitarbeiter der Abteilung Internet-Banking kontaktiert, um die Installation abzuschlieBen .Vielen Dank fur Ihre Zeit und Zusammenarbeit.

<br> Mit freundlichen GruBen,

<br></b>

<br> <i>Kundenservice Internet-Banking<br>

. <i>2013 Sparkasse Online.<i>

HTML ist eine Kunst, diese Mail aber ist beinahe schon ein Kunstwerk! ;-) <big> und </b> klappt nicht, ersteres ist eine größere Schriftart, z. B. für eine Zwischenüberschrift bei einem Absatz, das „b“ steht jedoch für „bold“ also fett. Wozu außerdem 3 mal der öffnende „italic“-Tag <i>  gesetzt wurde, das wissen wohl nur noch die Götter!

Ich mache mir diesmal nicht die Mühe und sehe nach, wo die verschiedenen Server denn alle stehen und wem die gehören. Die beiden Mail-Konten der Stadtsparkasse sollten jedoch richtig sein ebenso wie natürlich deren Server bzw. die Domain echt ist.

 

Mein Fazit:

Wer auf diese Mail hereingefallen ist, dem ist wirklich nicht mehr zu helfen! Alleine schon bei den Rechtschreibfehlern stellen sich mir sämtliche Haare auf, von der Grammatik schweigen wir mal komplett. Daß außerdem keine einzige Bank irgend welche Daten von den Kunden fordert ist ebenfalls ein Punkt, den man nicht oft genug wiederholen kann.

Ein weiterer Punkt ist die E-Mailadresse, welche meiner Bank (tatsächlich die Sparkasse!) gar nicht bekannt ist! Online-Banking, z. B. Überweisungen oder so, tätige ich über mein altes Handy und einer auch schon älteren Nummer per SMS-TAN und Werbung von denen bekomme ich ganz altmodisch per Brief.

Weiterhin sieht man an dem seltsamen Link, warum ich immer wieder gegen HTML-Mails schimpfe! Das Zeug ist einfach viel zu gefährlich und gehört meiner Meinung nach ebenso verboten wie Flash, JAVA oder JavaScript in einer E-Mail. Für Anwender von Thunderbird empfehle ich übrigens, daß sie sich ein Add-on wie Adblock Plus oder Adblock Edge installieren, das funktioniert dort nämlich ebenfalls!

Gestraft gehört übrigens Microsoft für ihr Betriebssystem Windows, bei welchem normaler Weise bekannte Dateiendungen wie *.exe oder so ausgeblendet sind. Eine Datei namens „liesmich.pdf.exe“ wird dadurch nämlich als „liesmich.pdf“ angezeigt, was einem Eindringling natürlich Tür und Tor öffnet. Leider wissen das die meisten Anwender nicht, so daß man bei ihnen wirklich leichtes Spiel hat! Bei dieser Mail ist das jedoch egal, da sie keinen Anhang besitzt.

Wieder einmal habe ich euch eine Mail gezeigt, bei der man im normalen Text leichtes Spiel hat. Man erkennt sofort, daß der Link garantiert nicht zur Sparkasse führt. Bei dieser Mail dürfte es aber auch so jedem klar sein, da Rechtschreibung und Grammatik wirklich unter aller Sau sind. Bitte sagt es auch euren Bekannten und Verwandten weiter, daß sie bei E-Mails vorsichtig sein sollen. Ein System ist schnell verseucht, obwohl schon Kleinigkeiten wie der reine Text für mehr Sicherheit beitragen können!

 

Viel nächtliche Grüße nun aus TmoWizard’s Castle zu Augsburg

Carpe Noctem!

Mike, TmoWizard

#SPAM: Wer bitte fällt denn auf sowas herein? von TmoWizard ist lizenziert unter Creative Commons Namensnennung-NichtKommerziell-Weitergabe unter gleichen Bedingungen 4.0 international.