Ich stelle es mal im Blog ein, obwohl die Masche ein alter Hut ist. Mir ist aufgefallen, dass meine Postfächer – vor allem bei web.de – seit dem Jahreswechsel mit einer regelrechten SPAM-Kampagne zu McAfee Antivirus geflutet werden. Bleibt zwar alles im SPAM-Filter hängen – ich mag aber nicht ausschließen, dass doch Mails durchkommen und Leute darauf hereinfallen. Denn es wird eine Zahlungserinnerung für die Rechnung zur Erneuerung des Abos erinnert. Ist in meinem Fall eindeutig Spam, denn ich 'abe gar kein McAffe, Signorina.
Anzeige
Massive Spam-Welle
In meinem Web.de-Postfach stapeln sich im SPAM-Ordner die Mails mit dem Betreff "Zahlungsrückstand" und einer zufälligen Rechnungsnummer (siehe folgendes Bild). Einige Mails mit dem Betreff "McAfee" gibt es auch noch.
Der Text der Mail ist mit persönlicher Ansprache – jedenfalls, soweit dies als dem E-Mail-Alias hervorgeht, gehalten und enthält eine "freundliche Erinnerung, dass die Rechnung xxxxxx für die Verlängerung meiner Antivirensoftware noch nicht bezahlt wurde. Dann bedauert der Absender der Rechnung, dass mein McAfee-Abonnement zum Schutz vor Viren am Zustelltag abgelaufen sei.
Um Druck aufzubauen, heißt es noch, dass mein Gerät mit x gefährliche Viren infiziert sei und Identitätshackern ausgesetzt sei. Die Zahl der angeblich gefundenen Viren variiert dabei. Ich sage es mal so: "Mein Gerät, ein Kartoffelroder von Grünwelt" hat mit Sicherheit keine Viren – und auf meinem Windows ist kein McAfee installiert. Mag aber bei anderen Nutzern ähnlich sein.
Anzeige
Mail-Body als Grafik
Was auffällt: Die optisch als Text erscheinende Mail ist letztendlich eine Grafik – die Phisher wollen so die Filter der Provider austricksen, da der Text nicht direkt gelesen werden kann. Nur am Mail-Ende gibt es einen Textteil, der aus der "Kunden-E-Mail, einer gezinkten Rechnungsnummer, einem Rabattangebot von 93% (nur heute) und einer Jetzt bezahlen-Schaltfläche besteht. Und es gibt die Ankündigung, dass mein Konto gesperrt würde, wenn ich mein Abonnement nicht innerhalb von 48 Stunden verlängere. Netterweise gibt es auch noch einen "Unsubscribe"-Link.
"Unsubscribe"-Link ignorieren
Das Ganze ist natürlich Lug und Betrug, auf keinen Falls diesen "Unsubscribe"-Link anklicken, um die SPAM-Mail-Zustimmung zu stoppen. Dann wissen die Phisher, dass der Empfänger diese Mails gelesen hat und werden verstärkt phishen. Ich habe den Link bei Virustotal prüfen lassen, der wird von allen Virenscannern als sauber akzeptiert.
Ziel-URL wird als Phishing erkannt
Ich habe dann noch den Link der Schaltfläche zum Bezahlen in die Zwischenablage kopiert, vom Referrer-Teil befreit und dann auf Virustotal prüfen lassen.
Immerhin zwei der Sicherheitsanbieter erkennen die Zielseite als Phishing. Damit ist der Sachverhalt eigentlich zur Genüge aufgeklärt – also alles ein Fake. Ich stelle das Ganze hier so ausführlich im Blog dar, weil mir bei McAfee sofort mein Beitrag McAfee Abo-Falle bei HP-PC? ins Gedächtnis springt. War zwar anders gelagert, weil dort eine Abo-Falle lauerte. Aber die Fälle zeigen, dass da bei einigen Opfern Geld abzugreifen ist.
Anzeige
…geht bei mir schon seit mindestens 3 Monaten so!
landet allerdings alles im SPAM ordner…
absender adresse ist immer ".edu" (für education)
habe ebenfalls nirgendwo McAfee installiert und der
ehemals "gute" Virenscanner kommt mir auch heute
nicht mehr auf den PC.
als ich mir einen neuen laptop gekauft hatte, war der
vorinstalliert (DELL) und es hatte einige mühen gebraucht
um den "wirklich ganz" vom system zu entfernen – das programm war recht hartnäckig
Habe das gleiche bei Web.de und bin bisher von Lead/Affiliate Spam ausgegangen und nicht von klassischem Phishing. Steigert auch nicht gerade die Glaubwürdigkeit wenn man damit so zugemüllt wird.
Bei mir auch bei gmx.de, also nicht nur web.de betroffen. Gehören aber eh zum gleichen Konzern, von daher…
Was würd' ich diesen Phishenden nur gern antworten ….
Ich habe nach deren Angaben hunderte von Viren eingefangen, seltsamerweise gefühlte 80 Abonnements & ebenso viele Zahlungsrückstande. Nie war MaAfee auf einem Rechner im Laufe der Geräte und Jahre installiert.
Oh ja, nett ausgedrückt würd' ich denen gern sagen wie lächerlich und erbärmlich das Ganze ist. – Alas, leider geht das nicht ….
(ich fange diese Mails stets mit "PopMan" ab und gebe eine bounce-Nachricht – also dass meine MailAdresse nicht existiert. Aber die Absender sind offensichtlich automatisch generiert & so wird das Problem auch noch eine Weile weiter existieren.
…wir müssten die mal so richtig schön "anonym" zurück zutexten, damit bei denen die Datenbank komplett überläuft…(natürlich mit einer fake Mail Adresse)
Und du meinst die rückadresse kommt irgendwo an? :-D
Das kannst du am besten in den Phishing Eingabemasken, der Post mit den Anmeldedaten lässt sich mit einem Scriptschnipsel sehr einfach 2^16 mal abschicken. Das bringt dann was wenn das ganze auf einem billigen Shared Hosting Paket läuft und der Scamer die Daten an eine Mail Adresse weiter schickt, da die SendMail Funktion hier gewöhnlich auf x mal pro Stunde oder Tag beschränkt ist. Der Scamer bekommt dann erstmal keine Mails mehr. Wenn es direkt an Telegram geht kann man so schnell feststellen das der Scamer den Bot abschaltet um nicht den Kanal vollgebloatet zu bekommen. (hier auf jeweils 10 Sekunden Pause im infinite loop achten sonst lehnt Telegram den Post ab)
Ich erstelle eigene Filterregeln, um der Spam-Welle Herr zu werden. Mittlerweile erhalte ich nur noch max. 5 Spam-Mails pro Tag. Nur für die eigenen Filterregeln rufe ich web.de auf, gewöhnlich rufe ich meine E-Mails mit Mozilla Thunderbird ab.
Hallo liebe Lesergemeinschaft.
Ich habe meinen email-Filter mal auf "Agressiv"eingestellt,nicht auf "Normal"
Habe auch mal die Headers,und deren Wege,analysiert,auch den ganzen String der
Textprogrammierung.Interessant welche Hintergrunddetails zu Tage treten.
Aber die Filter "lernen" aus den Wörtern.Seitdem Rechnung,Zahlung,Fristsetzung,
Inkasso etc.programmiert sind,ist momentan Ruhe.Wer was von mir will möge einen
BRIEF zu meinem Postkasten senden.Oder an der Haustür klingeln!!!
Aber so wie Herr Born sagt als Graphik versenden,es wird immer raffinierter.
Was mir suspekt vorkommt,gleich weg.Alles Trash und Müll!!!
Was passiert denn, wenn man auf den Unsubscrube Button drückt?
Können die dann Daten abrufen oder schicken die nur mehr Mails?
Leider ist mir das gerade eben passiert und ich Trau mich gar nicht mehr mein Handy anzuschalten.
vermutlich nur mehr Spam
Dankeschön, das dachte ich mir auch. Hab trotzdem jetzt mal ein paar Maßnahmen ergriffen.
Wie sollte ich mich verhalten wenn ich ausversehen auf den "unsubsribe" Button geklickt habe und meine Mail Adresse dort eingegeben habe?
Habe jetzt richtig Panik
Nichts machen, und Augen offen halten. Die Mail-Adresse wird halt mehr Phishing bekommen.
Ich mache es bei WEB DE schon immer mit eigenen Filtern. (Einloggen -Einstellungen- eigenen Filter erstellen – sofort löschen). Das sieht man die Dinger erst garnicht.
Leider nach wie vor aktuell. Hab gerade heute eine Mail mit fast identischem Inhalt wie in dem Artikel erhalten und war erstaunt, wie grammatikalisch korrekt das für Spam-Verhältnisse formuliert war… das muss man ihnen lassen, sie arbeiten an sich!