Von diesen Paypal Emails hab ich alle paar Tage 2-3 ... und immer wieder der gleiche Quatsch ... aber scheinbar muss es ja Menschen geben, die drauf reinfallen ...
SPAM - "Best of"
-
-
Email von "A1" mit Quittung oder Rechnung ... ZIP-Archiv als Anhang ... darin eine EXE mit PDF-Datei-Icon ... macht die was? Bisher noch nicht als sehr bedrohlich erkannt (9/55 Trojan Midie / Generic).
Interessant daran vielleicht: Die EXE ist weder gepackt noch verschlüsselt, Resourcen wurden ausgetauscht mit UpdateResource (typisches PADDINGXXPADDING), offenbar wird die "MS Jet OLE DB 4.0" Engine verwendet zum Zugriff auf eine "search.mdb", und es ist sogar ein SQL-Statement lesbar:
Außerdem ist anscheinend noch eine Grafik enthalten, sieht aus wie eine PNG mit teils obfuskierten Chunks.
Auf der Suche nach den auffälligen Inhalten bin ich auf einen interessanten Dienst gestoßen: invincea Cynomix, eine cloudbasierte Malware-Analyse.
Hier zwei Uploads: N44315 und N44321 (als Bestandteil des Namens der Malware-Datei). Bisher noch kaum Ähnlichkeiten entdeckt, aber vielleicht ändert sich das bald.
-
Ja neee, is klaaar:
Quote[ ###.http://postimg.org/80tfs1qef/4245.gif ]
E-Mail Adresse
*@*.*
Datum
03. November 2015
Wichtiger Hinweis zur Datenspeicherung
Sehr geehrter Paypal Kunde,wie Sie bereits wissen, wurde die Vorratsdatenspeicherung per Gesetz verabschiedet und auch wir sind gezwungen zu handeln.
Durch diese Gesetzesänderung werden Sie nun aufgefordert, Ihre bestehenden Daten zu bestätigen respektive zu aktualisieren!{ ###-kundendienst.de/ }
Zum Formular
Hilfe Kontakt Sicherheit App Angebote
Copyright © 1999-2015 PayPa1. Alle Rechte vorbehalten. PayPal (Europe) S.a r.l. et Cie, S.C.A., Societe en Commandite par Actions. Eingetragener Firmensitz: 22-24 Boulevard Royal, L-2449 Luxembourg, RCS Luxembourg B 118 349. -
Du weißt, dass deine Kontaktdaten "verbrannt" sind, wenn ...
Quote<http://i.imgur.com/***.png>
26. Feb. 2016 00:31:28 MEZ
Referenznummer: ***
Guten Tag {Geschäftsführer der Firma},Sie haben eine Zahlung über ?69,99 EUR an PornHub.com Limited (Ltd.) (info@pornhub.com) gesendet.
Alle Details zu dieser Zahlung finden Sie in dieser E-Mail.
________________________________Verkäufer
PornHub.com Limited (Ltd.)
info@pornhub.com Mitteilung für Verkäufer
Sie haben keine Mitteilung eingegeben.
Lieferadresse
{Geschäftsführer der Firma}
{eine Email der Firma zum Einkaufen, aber nicht für PayPal zum Bezahlen}
Versanddetails
Der Verkäufer hat noch keine Versanddetails angegeben.
Über Geld redet man nicht. Geld sendet man mit der PayPal-App.<http://i.imgur.com/***.png>
Beschreibung Stückpreis Anzahl Betrag
1 Monat Membership Pornhub.com
Artikelnummer: xid-4922 ?69,99 EUR 1 ?69,99 EUR
Versandkosten ?0,00 EUR
Versicherung - nicht angeboten ----
Summe ?69,99 EUR
Zahlung ?69,99 EURZahlung gesendet an info@pornhub.com
Probleme mit dieser Zahlung?Wenn diese Zahlung nicht von Ihnen persönlich ausgeführt worden ist, klicken Sie bitte auf Konfliktlösung, um die Zahlung zu stonieren.
<http://www.hilfecenter-paypal.com//konfliktloesung/loading.php?Id=***=&secure=***&cgi=***&dispatch=Mg==&session=***==&flow=***==>
Konfliktlösung / Zahlung stornierenSie werden anschließend auf die PayPal Konfliktlösungs-Seite weitergeleitet und aufgefordert eine Konfliktlösung durchzuführen.
Bitte antworten Sie nicht auf diese E-Mail. Dieses Postfach wird nicht überwacht, deshalb werden Sie keine Antwort erhalten. Wenn Sie Hilfe benötigen, loggen Sie sich in Ihr PayPal-Konto ein, und klicken Sie oben rechts auf einer der PayPal-Seiten auf den Link Hilfe.
Anstelle unserer HTML-E-Mails können wir Ihnen Benachrichtigungen auch als Reintext zusenden. Wenn Sie Ihre Optionen für E-Mail-Benachrichtigungen ändern wollen, loggen Sie sich in Ihr Konto ein und klicken Sie unter "Mein Profil" auf Einstellungen.
-
Quote
Uns ist durch Sicherheitsprüfungen aufgefallen, dass Ihr Amazon Konto unter Verdachtbetrug steht!
:ani_lol: Hach, immer diese Griechen ... darauf ein Ouzo! (Bullyparade - Rick Kavanian - Klatschkaffee mit Dimitri)
-
So langsam wird es richtig wissenschaftlich ... heute erreichte mich eine Mail mit einem ZIP-Anhang, der ein ziemlich komplexes JavaScript-Dokument enthält. Dessen Sinn erschließt sich mir bisher nicht so recht, es könnte sich aber vielleicht um einen Generator für Zufalls-Spam-Texte handeln, der Bayes-Filter "verlernen" soll.
Hier mal ein kurzer Ausschnitt:
Quotevar uUXTro = [('defend','unequivocally','n')+'hh'+('rebuff','wetting','eater','indirect','lH')+'CNAl', 'A'+'iR'+'Nh'+('bleaching','lameness','expand','cD')+'nBHy', 'E'+'xpan'+('hermes','unfortunately','visit','producers','dEnviron')+'me'+'nt'+'Stri'+('varlet','learner','ngs'), ('goodfornothing','regression','apocryphal','welding','')+'%'+('centered','chaotic','TE')+'MP%', ''+('samurai','implicit','superb','.')+'exe', ('fears','livecam','R')+'un', 'A'+'ct'+'in'+'ce'+'nt'+'ivei'+('impetus','snapshot','vi')+('rural','bragging','fiendish','limits','nc')+'enti'+'ve'+'eXincentiv'+('presidents','engine','complaints','eObinc')+'en'+'ti'+'ve'+'je'+'ince'+'nt'+'ivect', 'sFtalU', 'FlAYMT', ('romantic','klein','syracuse','W')+'Sc'+'ince'+'ntiver'+'ip'+'tinc'+'entive.' + ('cannon','cases','S'), 'AmvHaUzPHrP', ('squatter','catering','overtime','platinum','h')+'in'+'ce'+('sponsorship','ringtones','menstruation','nt')+'iv'+'ee'+('healthy','kingston','disinherit','li')+'nc'+('awarded','stumble','en')+'ti'+('marketplace','elegantly','vociferous','nikon','vel'), 'UJcMlBfkOA', 'G'+('condescending','unwound','jetblack','rRAF')+'Ka'+('apologetic','edgar','medieval','je')+'To', 'Min'+'ce'+'ntiv'+'eS'+('steppe','agree','forum','Xi')+'nc'+'en'+('ground','messaging','strasburg','intentional','ti')+'ve'+('telescope','around','burmese','ML')+'in'+'ce'+('follower','stewart','nt')+('appraisal','valuation','iv')+'e2' + '.'+'in'+'ce'+('economics','polar','hellish','majority','nt')+('godson','dissection','forestry','iv')+'eXMi'+'ncenti'+('scandinavia','smashing','levitra','ve')+'LH'+'in'+'ce'+'nt'+'iveT'+'TP'];
-
Schön, wenn Phisher an der Syntax für MIME-Mails scheitern:
Quote--=_b6887a654bd8f3fc5b2162b2b1fd11cc Content-Transfer-Encoding: quoted-printable Content-Type: text/plain; charset=ISO-8859-1 Mailprogramm kann Inhalt nicht anzeigen --=_b6887a654bd8f3fc5b2162b2b1fd11cc Content-Transfer-Encoding: quoted-printable Content-Type: text/html; charset=ISO-8859-1 Hallo <= /span> I, Dein Bild wurde von uns= erem Team gepr=FCft un<= /span>d ist nun freigeschaltet.
...
-
Quote
Subject: Digital versions of software products are much cheaper.
Im Vergleich zu ... analoger Software? Ach deshalb letztens die Frage nach Analogrechnern! :ani_lol:
-
die meinen wohl datenträger los.
auf der einen oder anderen seite habe ich den selben fehler auch schon mal gesehen... -
Heute an die ebay-Adresse unserer Firma:
Subject: Ihre PAYBACK Punkte sind vom Verfall bedroht - jetzt handeln!
From: PAYBACK.DE Service <service(§)pay»h«ack.org>...
Sie können die Ablauffrist um 1 Jahr verlängern, indem Sie sich bei uns einloggen unter folgendem Link:
-
Im Vergleich zu ... analoger Software? Ach deshalb letztens die Frage nach Analogrechnern! :ani_lol:
Klar, digitale Software wiegt auch weniger...
-
Quote
Bin 21 Jahre, sehr nette Studentin.
Suche einen Mann, der bereit ist, meine Finanzsorgen zu verringern.
Kann gerne die Weihnachtstage mit Dir verbringen.
Ich werde deine leidenschaftlichste Geliebte.
Hey, super! :daumen: — Aber warum bekomme ich solche Mails erst seit der Woche nach Weihnachten?!
-
Quote
Sehr geehrte/r Vorname Name,
leider mussten wir gerade feststellen, dass unsere Zahlungsaufforderung Nummer 123456789 bis heute erfolglos blieb. Nun gewähren wir Ihnen nun letztmalig die Chance, den ausbleibenden Betrag unseren Mandanten GiroPay24 GmbH zu decken.
Aufgrund des andauernden Zahlungsausstands sind Sie verpflichtet dabei, die durch unsere Inanspruchnahme entstandene Kosten von 92,06 Euro zu bezahlen. Bei Rückfragen oder Unklarheiten erwarten wir eine Kontaktaufnahme innerhalb von zwei Werktagen. Um weitete Kosten auszuschließen, bitten wir Sie den ausstehenden Betrag auf unser Bankkonto zu überweisen. Berücksichtigt wurden alle Zahlungseingänge bis zum 10.02.2017.
Vertragsdaten:
Vorname Name
Straße Nr.
PLZ OrtTelefon: 0123456789
Bitte überweisen Sie den fälligen Betrag unter Angaben der Artikelnummer so rechtzeitig, dass dieser spätestens zum 16.02.2017 auf unserem Konto verbucht wird. Falls wir bis zum genannten Datum keine Zahlung verbuchen, sind wir gezwungen Ihre Forderung an ein Inkassounternehmen zu übergeben. Sämtliche damit verbundenen Kosten werden Sie tragen müssen.
Die detaillierte Forderungsausstellung NR123456789, der Sie alle Buchungen entnehmen können, fügen wir bei.
Mit verbindlichen Grüßen
Rechtsanwalt Malte Zainer
https://www.google.de/search?q=Malte+Zainer
In der Anlage fand sich eine Datei "Datum Vorname Name.zip", die Virustotal mit 5/56 als Trojaner erkannte.
-
Wieder mit echter E-Mailadresse
E-Scheck zur heutigen Auszahlung (20.02.2017 / Account mail@vorname-name.de)QuoteSehr geehrte(r) Kundennr. 77777,
Sie erhalten einen elektronischen Scheck der Sie zur
heutigen Auszahlung - wie folgt - berechtigt:Ihr Account: mail@vorname-name.de
Interne IBAN: DE98 7654 ( anzeigen )
Saldo nach Anmeldung am 20.02.2017: + 2.163,00 €
Um diese Auszahlung auf Ihr Bankkonto erhalten,
folgen Sie bitte diesen Anweisungen auf unserer Seite.Mit freundlichen Grüßen,
Ihr Online Banking Team
-
Vorsicht Hetzner-Kunden:
Aktuell Phishing-Mails in Umlauf, angeblich muss man WHOIS-Daten auch für *.de-Domains über einen englischsprachigen Service bestätigen, der die konsoleH simuliert.
Auffällig: "Multipart MIME" Email mit Klartext-Anteil mitten in der HTML-Mail; Domain "ican-and-support.com" (die ICANN hat aber zwei N); und zuständig wäre ja eigentlich die DENIC.
-
Hey, super! :daumen: — Aber warum bekomme ich solche Mails erst seit der Woche nach Weihnachten?!
Wahrscheinlich ein Knoten im W-Lan Kabel.
Im Moment gibt es wieder jede Menge von Peih Pahl,
ich soll meine Daten eingeben. Ich gebe aber die von andern Leuten ein , damit die sich über den Umsatz auf ihrem Konto freuen. :lol: -
Aktuell häufen sich Pseudo-Ransom-Emails, die behaupten, man hätte peinliches Verhalten von mir aufgezeichnet, insbesondere dass ich mich selbst dabei mit meiner Webcam gefilmt hätte ... aber isch 'abe gar keine Webcam angeschlossen!
Also zahle ich auch kein Erpressungsgeld, um die nicht existierenden Videos von mir löschen zu lassen. Erst recht nicht in Bitcoin, wenn ich doch eh kein Wallet habe.
-
Participate now!
Don’t have an account yet? Register yourself now and be a part of our community!