spam, not from | youtube

interesting spam/phishing mail i just received. my email client, thunderbird, detected it properly as a phishing attempt. the link looks like coming from youtube, but it leads to something completely different. so, don’t click on links like those, just hover your mouse over them and see where they would lead you to.

pretending to come from youtube.

ppwxkkdil | oder einkommen4 ?

wichtigeNachrichtFürSie

dieser spam, über dessen boshaftigkeit ich ad hoc nichts sagen kann, ist von einer solchen plattheit, dass ich platt bin. er hat alle tarnungsmechanismen ignoriert, sodass ihn mein email-programm lässig unter “junk”-verdacht stellte (mittlere zeile). die betreffzeile “Neue wichtige Nachricht an Sie” ist typisch für das, was man sofort in die tonne tritt, eben alles, was einem vorgaukelt, dass es neu, dringend und eben “wichtig” für uns sei. der absender nennt sich “Marcel Peters”, das ist nicht schlecht, funktioniert auch im deutschen sprachraum. aber schon die mailadressen, so schaurig sie aussehen (ppwxkkdil@jophilly.org und tvaj@jophilly.org), sind nicht konsistent: ist der marcel nun der ppwxkkdil oder der tvaj? und adressiert hat er die mail nur in schwarzkopie an mich, der hauptadressat heißt chrjak.

wie schon → hier und → hier und sicher auch anderswo schon angemerkt, ist das entscheidende aber der link in der mail. wer so blöd ist, auf ihn zu klicken, macht den spam zum volltreffer. wichtig, zum x-ten mal: nicht auf den link klicken, sondern allenfalls den mauszeiger über dem link schweben lassen, dann zeigt sich irgendwo im fenster die adresse, die der link gern ansteuern würde. in diesem fall ist es eine seite in russland, die sich tatsächlich einkommen4 nennt. das kürzel danach (id=soajbtx) sagt dem betrüger genau, wer wir sind, weil diese id mit dieser spam-mail zusammenhängt.

übrigens: die diagnose mit maus-drüber geht natürlich nicht am smartphone.

was vergessen? ja, danke… wer hat denn einkommen4.ru registriert? da hilft uns die ICANN-whois-suche nicht weiter, wohl aber die des russian institute for public networks:

RIPNwhoisSearch

der betreiber der webseite, auf die der spam zielt, nennt sich “privatperson” (also nicht “firma”) und gibt seinen namen mit R01-RU an. mit einem solchen namen könnte man bei der denic, der deutschen registrierungsstelle für webseiten, keine webseite einrichten. R01-RU hat eine webseite, nämlich partner.r01.ru. weiter unten steht dann, dass er die seite im november eingerichtet und für ein jahr bezahlt hat, sowie (s)eine telefon- und faxnummer.

wo partner.r01.ru registriert ist, kann ich auf die schnelle nicht herausfinden. die seite lässt sich aber ansteuern. sie sieht so aus (auch typisch für dubiose machenschaften, ein portal mit einer login-maske):

russischerSpamPartner

hallo, ich bin google | du depp!

dieser blogeintrag war die vorrecherche zu → diesem beitrag, der am donnerstag, also vorgestern, in SWR 2 impuls wissensmagazin lief-

update zum letzten posting, wo es um eine betrugsversuch via email ging, der vermeintlich von linkedIn stammte, aber auf einen türkischen betrüger zurückgeht mails wie diese erreichen vermutlich jeden, der sich eine weile lang im internet bewegt hat und dessen email-adresse dann irgendwie bekannt und unter den spammern verteilt wurde – meist kostenpflichtig; solche mail-adresslisten sind nicht billig. um die sache oben abzurunden, ein betrugsversuch aus kanada, der mich heutemorgen erreichte:

googleFakePhishingMailwieder gehen die warnlichter an: “urgent” steht in der überschrift, also dringlich. die kanadische email-adresse im absender (sie ist, wie oben besprochen, nichts wert, sie gibt es wahrscheinlich gar nicht) fikriyya@clarington.ca hat nichts mit der vermeintlichen absenderin zu tun, die sich “kayla murray” nennt.

in dieser mail führen zwei links zu einer sicherlich unappetitlichen kanadischen seite, die mit yidbrowser.com… beginnt. in diesem fall führt die whois-suche zu einer konkreten adresse:

Original Query: yidbrowser.com

Name: YOAV ENGELBERG

Organization: GRASSLANDMEDIA.CA
Mailing Address: 9909 77 STREET, EDMONTON CA T6A 3B8 CA
Phone: +1.7802002253
Email: YOAV@GRASSLANDMEDIA.CA

yoav engelberg scheint es zu geben, ein facebook-profil weist auf einen jungen kanadier hin, der freunde in alberta hat, der provinz, zu der edmonton gehört. über google maps kann man prüfen, ob es die adresse gibt, und es gibt sie. in google street view ist auch das haus zu sehen, das zu 9909 77 st., edmonton, gehört. es befindet sich in einer rechtwinkligen kurve, ziemlich zentral in edmonton:

googleStreetViewDesPhishingZiels

es kann sein, dass dies eine scheinadresse ist, wo ganz unbescholtene bürger wohnen. wahrscheinlicher ist aber, dass genau dort der ausgangspunkt des betrugs liegt. man müsste mal vorbeischauen und fragen.

auch die telefonnummer scheint mit der adresse übereinzustimmen. gibt man sie in die suchmaschine ein, führt sie zu anderen whois-einträgen dieser person, zum beispiel hat ein yoav engelberg die webseite wallbrowser.com registriert. die phishing-webseite ist eine unterseite der seite yidbrowser.com. was sieht man, wenn man die eingangsseite ansurft? wie bei fast allen spam/betrugswebseiten sieht man da praktisch nichts, nämlich nur ein “hello world” ohne link, impressum etc. (1) der trojaner oder was auch immer uns schaden soll, liegt tiefer in dieser webseite. auch die oberflächen der anderen bei dieser kurzen suche gefundenen webseiten sehen entsprechend dürftig aus; sie soll schließlich niemand ansurfen, sie sind nur platzhalter: bei grasslandmedia.ca finden wir ein foto von gras, den satz “thank you for your interest!” und keinen link nirgendwohin. (2) die unter demselben namen registrierte webseite wallbrowser.com zeigt das wort “kwick”, einige farbflächen und ebenfalls nichts weiterführendes. (3)

dummyWebseitendrei nichtssagende webseiten von yoav engelberg. der betrug liegt tiefer.

hallo, ich bin linkedIn | du depp!

beispiel eines aktuellen betrugsversuchs [unten, ergänzt, einer, der gleich hinterher kam]. mich erreichte vorhin diese mail, und mein web-hoster erkannte richtig: sie könnte ein phishing-spam sein. sehen wir sie uns kurz an:

pseudo_linkedIn_spam

die absenderadresse ist elmi@geldec.de; sie soll mit dem “.de” vertrauen schaffen. erster verdacht: warum ist die mail dann in englisch verfasst? denn die ordentlichen nachrichten von linkedIn bekommt man in seiner landessprache zugestellt. würde man an elmi@geldec schreiben, käme die mail vermutlich als unzustellbar zurück. geldec ist für suchmaschinen unbekannt, aber es steckt das wort “geld” drin, also verdachtsmoment #2.

schließlich und am wichtigsten, und damit verdachtsmoment #3: nie auf den link in einer verdächtigen mail klicken! aber sehr wohl den mauszeiger über der mail schweben lassen. dann sieht man nämlich, wohin er führen würde, nämlich nicht zu linkedIn, sondern zu einer webseite, die mit haber.cinewp.com beginnt. wiegesagt, und wichtig: nur den mauszeiger drüber schweben lassen, oder auch den link kopieren, nicht aber anklicken oder (smartphone) antippen!

was man immer tun kann, ist, zu gucken, wer die webseite haber.cinewp.com registriert hat. dazu dienen so genannte whois-suchen, und weil viele davon auch wieder abzocken sind, rate ich zu einer cleanen whois-seite, nämlich die der icann. wenn man → dort nach haber… sucht, kommt das zum vorschein:

sencerBaba_spammerWhois

ein sencer baba (er schreibt alles klein), von einer angeblichen firma namens web adana, mit postfach 01240 irgendwo in der türkei. dazu eine telefonnummer, die keinen sinn macht. ziemlich sicher stimmt aber die email-adresse, aber nicht die postfach-adresse, über die man den übeltäter anschreiben und abmahnen könnte.

unterm strich: wach sein bei emails von unbekannten absendern, inkonsistenten finden und den link, der in fast jeder bösen email enthalten ist, untersuchen, aber nicht anklicken!