Gut gefälschte Emails der Deutschen Telekom im Umlauf

Zum Glück sind nicht alle älteren Menschen leichtgläubige Narren oder Technikneuländer. Deswegen erreichte mich heute morgen ein Anruf, ob ich da mal einen Blick drauf werfen könnte.

Gut gefälschte Emails der Deutschen Telekom im Umlauf

Hier erst einmal der Inhalt der Mail mit dem echten Link(*), also nicht drauf drücken:

„Sehr geehrter Kunde,

Ab dem 16. Oktober 2021 werden wir keine E-Mail-Adressen mehr unterstützen,
deren Kontaktinformationen noch nicht aktualisiert wurden.

Bitte besuchen Sie das Telekom Kundencenter <https://elpregon.net.ve/ws.php> für weitere Informationen.

Diese Aktion soll dazu beitragen, Missbrauch auf unseren Servern zu verhindern und Ihre Privatsphäre im Internet und mehr zu schützen.

Ein Bestätigungscode <https://elpregon.net.ve/ws.php> wird Ihnen innerhalb von 24 Stunden per E-Mail zugesandt, sobald dies abgeschlossen ist.

Freundliche Grüße,
Ihre Telekom“

*) In der normalen HTML Version war der Link natürlich nicht direkt zu sehen, weil ist ja als HTML gekommen …

Keine Rechtschreibfehler, alles in UTF-8 mit Umlauten(*). Jetzt mal der Header dazu:

Return-Path: <teldatenschutzen@t-online.de>
Received: from fwd79.dcpf.telekom.de ([10.223.144.105])
         by ehead21b02.aul.t-online.de with LMTP
         id KLbFJDtIaWGlcwAASjMwlQ
(envelope-from <teldatenschutzen@t-online.de>); Fri, 15 Oct 2021 11:22:03 +0200
Received: from spica40.aul.t-online.de ([172.20.102.122]) by fwd79.dcpf.telekom.de
         with esmtp id 1mbJIu-040aDA0; Fri, 15 Oct 2021 11:15:05 +0200
Received: from 35.178.149.175:9839 by cmpweb25.aul.t-online.de with HTTP/1.1 (Lisa V6-9-3-0.0 on API V5-37-0-0); Fri, 15 Oct 21 11:15:04 +0200
Received: from 172.20.102.138:41152 by spica40.aul.t-online.de:8080; Fri, 15 Oct 2021 11:15:04 +0200 (CEST)
Date: Fri, 15 Oct 2021 11:15:04 +0200 (CEST)
From: Telekom Logın <Noreply.>
<teldatenschutzen@t-online.de>kripo
Sender: Telekom Logın <Noreply.>
<teldatenschutzen@t-online.de>
Reply-To: Telekom Logın <Noreply.>
<teldatenschutzen@t-online.de>
To: „noreply@telekom.de“ <noreply@telekom.de>
Message-ID: <1634289304044.4922465.570724ce670bd12ae45b9b590bd6329927fd6b11@spica.telekom.de>
Subject: Mıtteılung Sıe Ihre Anmeldung

*) Umlaute in der Mail, aber nicht korrekt in den Headerfeldern, aber wer würde da als Empfänger schon drauf achten?

Auch wenn in der Email alles korrekt geschrieben wurde, ist gerade im Header der einzige Fehler der Scammer zu finden: „Mıtteılung Sıe Ihre Anmeldung“ ist natürlich Blödsinn. Auch die Emailadresse mit dem Schreibfehler ist offensichtlich: <teldatenschutzen@t-online.de>

Erschreckend ist, daß die Email nur interne Telekomsystem in den Received-Headern hat, von denen die letzten zwei auch gefälscht sein könnten, es aber wohl nicht sind. Nehmen wir das mal so wie es dort steht, dann wurde über irgendeine DTAG-API via HTTP diese Fake-Mail eingeliefert und an echte DTAG Kunden verschickt. Ich vermute ein WebMail oder gleich den „E-Mailcenter“ der DTAG selbst unter Zuhilfenahme von gehackten Zugangsdaten.

Ob das so war und ob 2FA helfen würde, könnte uns nur die DTAG beantworten, die ohne Twitter notorisch schwierig erreichbar ist.Was ist so schwer an einer Emaildresse für Security-Fragen?

Für Euch zu merken: IMMER Absender checken, LINKS checken und bei DTAG Mails steht immer der Anschluß und der Name des Kunden drin!

419 Scam der Uni Osnabrück oder doch der Brasilianischen Regierung :)

Ok, heute habe mal was feines an Scam Email für Euch. Involviert sind: Die Uni Osnabrück und die Brasilianische Regierung, ein 96 jähriger Gönner und sehr, sehr viel Geld 😀

419 Scam der Uni Osnabrück oder doch der Brasilianischen Regierung 🙂

Erstmal zum Inhalt der der Scam-Email:

Hallo,

Sie haben eine Spende von fünf Millionen Euro gewonnen

Ich bin LEONARD H. AINSWORTH, ein australischer Geschäftsmann. Ich bin seit vielen Jahren der Gründer mehrerer sehr erfolgreicher Unternehmen. Nun, ich bin 96 Jahre alt.

2017 habe ich das Giving Pledge unterschrieben und mich den anderen 204 Personen oder Paaren angeschlossen, die versprochen haben, mindestens die Hälfte ihres riesigen Vermögens für philanthropische Zwecke zu verschenken.

Danach kommen jede Menge Links zu echten Seiten. Natürlich noch mehr Geschwaffel und nochmal der Glückwunsch zu den 5 Millionen € 😀 Das der Text in einem holprigen Deutsch daher kommt, daß zwar rechtschreibtechnisch korrekt ist, aber von der Wortwahl her nicht, deutet wohl auf den Einsatz einer Übersetzungssoftware hin.

Das der Text in Deutsch ist geht auch mit unserem ersten Merkmal einher:

Return-path: <maikeller@uni-osnabrueck.de>
To: Recipients <maikeller@uni-osnabrueck.de> 
From: LEONARD H. AINSWORTH <maikeller@uni-osnabrueck.de> 
Date: Wed, 26 Aug 2020 20:30:07 -0700
Subject: Glückwunsch- Spende

Eine etwaige Antwort geht dann an eine völlig andere Wegwerfadresse bei Microsoft:

Reply-To: lenhainsworthgivingpledge@outlook.com

Schauen wir uns mal an, wo das wirklich her kam:

Received: from [131.72.217.136] (helo=webmail.seciju.to.gov.br)
	by ****************** with esmtps (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
	(envelope-from <maikeller@uni-osnabrueck.de>)
	id ****************; Thu, 27 Aug 2020 11:59:45 +0200
Received: from localhost (localhost [127.0.0.1])
	by webmail.seciju.to.gov.br (Postfix) with ESMTP id 5F9CD128ACF;
	Thu, 27 Aug 2020 00:29:25 -0300 (-03)

Ein Webmailserver der brasilianischen Regierung .. Strike \o/  Und das ist auch noch … Trommelwirbel .. Das „Sekretariat für Staatsbürgerschaft und Justiz“ 😉 unbezahlbar sowas 😀

Falls jemand darauf antworten will, sollte er sich klar sein, daß das ein 419 Scam ist, d.b. der Betrüger wird sich irgendwelche Gebühren für die Zahlung, z.b. Notargebühren , Anwaltskosten, Bankkosten usw.  ausdenken und vorher vom Opfer fordern. Benannt wurde das nach dem Paragraphen 419 des nigerianischen Strafgesetzbuches. Ja, denn aus Nigeria wurde die Masche zwar nicht erfunden, war aber in den 80er Jahren so stark verbreitet, daß sich die nIgerianische Justiz genötigt sah, einen eigenen Strafparagraphen einzuführen, die 419 😉

Schlag ins Gesicht der Spammafia – 281 verhaftet

Am Ende immer die gleiche Prozedur: Weg damit in die digitale Mülltonne 🙂

Steuerbetrug durch Ebaykauf

Man bestellt ja öfters mal was bei Ebay, das, obwohl Deutscher Versand dran steht,  meistens dann doch per Luftfracht aus China kommt. In der Regel ist das kein Problem, solange der Betrag unter 25 € bleibt. Wenn er drüber liegt, gibt man halt eine Zollerklärung ab, zahlt die fällige Steuer ( gemeinhin als Zoll bekannt ) und nimmt seinen Neuerwerb mit.

Die Sache mit dem Zollwert

Soweit, so klar, außer.. ja, außer man fällt auf einen weit verbreiteten Trick der Ebay Verkäufer rein: Den Lockvogeleintrag. Dabei hat der Artikel einen auffallend geringen Wert, aber vergleichsweise hohe Transportkosten. Für den Käufer ist das erstmal egal, weil er dem Verkäufer ja den Gesamtbetrag überweisen muß, aber dem Zollamt ist das nicht egal.

Beispiel:

Der Artikel kostet 21 € Warenwert und 110 € Transport aus China.

Der zu zahlende Zoll, setzt sich aus dem Warenwert und den anteilig in der EU abgewickelten Transportkosten zusammen. d.b. vereinfacht : Warenwert € + Transportkosten € * Anteil EU  = Zollwert € .

Bis Peking sind es im Landweg rund 7500km, davon entfallen auf das Gebiet der EU ca. 600km ( Frankfurt/Main -> Polen Ostgrenze ) so kommen wir vereinfacht auf :  21 € + 110 * 6/75 = 29,80  € . Für 4,80 € müßte also die Einfuhrsteuer und Mehrwertsteuer berechnet werden, weil es ja die 25 € Freigrenze gibt.

Würde der Artikel aber 110 € kosten und die Transportkosten wären bei 21 € , sähe das so aus : 110 € + 21 * 6/75 = 111,68  € abzüglich 25 € wären das dann 86,68 € statt der 4,80 € oben. Da waren die hohen Transportkosten ja eine super Sache, oder ?

„Einmal 2 Jahre auf Bewährung bitte..“

Joar.. das Super bringt Euch allerdings dümmstenfalls in den Knast und bestenfalls eine Strafanzeige wegen Steuerhinterziehung. Natürlich will der Staat den Zoll auf die 86,68 € haben und unterstellt Euch und dem Verkäufer, die Kosten für den Transport extra hoch angegeben zu haben, und damit hat er bei Ebay vermutlich Recht, denn der Verkäufer war nur auf eine gute Platzierung seines Produkts scharf, weil die meisten Käufer nach Preis sortieren und ein kleiner Warenwert eine vordere Position gewährleistet. Wenn man als Käufer erst mal für das Produkt Feuer gefangen hat, nimmt man ggf. auch hohen Extrakosten in Kauf.

Resultat der Aktion: Ihr bekommt ein Steuerhinterziehungsverfahren an die Backe und der chinesische Verkäufer lacht sich einen Ast. Gut, der lacht sich nur solange schlapp, bis auch bei ihm wegen gewerbsmäßiger Anleitung zum Steuerbetrug die Handschellen klicken, aber wer weiß schon wie lange das dauert.

Ihr glaubt das nicht ? Na dann geht mal zum Zollamt und laßt Euch erklären, wie das berechnet wird. Da könnt Ihr auch gleich mal lernen was Tacacs ist, wie der Zoll Währungsumrechnungen macht und ob es eine gute Idee war, 10 T-Shirts aus Honduras zu importieren.

Randnotiz 1:

Ist es nicht. Da müßt Ihr eine Einfuhrgenehmigung erwirken. Wenn die gleichen T-Shirts kurz auf dem Boden der USA waren, dann übrigens nicht mehr, dann gibts 2.3% Pauschalverzollung 😀 Honduras war nur ein Beispiel, weil die USA massenhaft aus Honduras importieren, es hätte auch Panama, Mexiko oder sonst ein Dritteweltland sein können.

Randnotiz 2:

Die Beispiele oben sind vereinfacht um das Konzept zu verdeutlichen, in der Realität ist es ein klein wenig komplizierter, aber ihr wolltet ja ohnehin mal beim Zoll vorbeigehen und fragen 😉