419 Scam der Uni Osnabrück oder doch der Brasilianischen Regierung :)

Ok, heute habe mal was feines an Scam Email für Euch. Involviert sind: Die Uni Osnabrück und die Brasilianische Regierung, ein 96 jähriger Gönner und sehr, sehr viel Geld 😀

419 Scam der Uni Osnabrück oder doch der Brasilianischen Regierung 🙂

Erstmal zum Inhalt der der Scam-Email:

Hallo,

Sie haben eine Spende von fünf Millionen Euro gewonnen

Ich bin LEONARD H. AINSWORTH, ein australischer Geschäftsmann. Ich bin seit vielen Jahren der Gründer mehrerer sehr erfolgreicher Unternehmen. Nun, ich bin 96 Jahre alt.

2017 habe ich das Giving Pledge unterschrieben und mich den anderen 204 Personen oder Paaren angeschlossen, die versprochen haben, mindestens die Hälfte ihres riesigen Vermögens für philanthropische Zwecke zu verschenken.

Danach kommen jede Menge Links zu echten Seiten. Natürlich noch mehr Geschwaffel und nochmal der Glückwunsch zu den 5 Millionen € 😀 Das der Text in einem holprigen Deutsch daher kommt, daß zwar rechtschreibtechnisch korrekt ist, aber von der Wortwahl her nicht, deutet wohl auf den Einsatz einer Übersetzungssoftware hin.

Das der Text in Deutsch ist geht auch mit unserem ersten Merkmal einher:

Return-path: <maikeller@uni-osnabrueck.de>
To: Recipients <maikeller@uni-osnabrueck.de> 
From: LEONARD H. AINSWORTH <maikeller@uni-osnabrueck.de> 
Date: Wed, 26 Aug 2020 20:30:07 -0700
Subject: Glückwunsch- Spende

Eine etwaige Antwort geht dann an eine völlig andere Wegwerfadresse bei Microsoft:

Reply-To: lenhainsworthgivingpledge@outlook.com

Schauen wir uns mal an, wo das wirklich her kam:

Received: from [131.72.217.136] (helo=webmail.seciju.to.gov.br)
	by ****************** with esmtps (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
	(envelope-from <maikeller@uni-osnabrueck.de>)
	id ****************; Thu, 27 Aug 2020 11:59:45 +0200
Received: from localhost (localhost [127.0.0.1])
	by webmail.seciju.to.gov.br (Postfix) with ESMTP id 5F9CD128ACF;
	Thu, 27 Aug 2020 00:29:25 -0300 (-03)

Ein Webmailserver der brasilianischen Regierung .. Strike \o/  Und das ist auch noch … Trommelwirbel .. Das „Sekretariat für Staatsbürgerschaft und Justiz“ 😉 unbezahlbar sowas 😀

Falls jemand darauf antworten will, sollte er sich klar sein, daß das ein 419 Scam ist, d.b. der Betrüger wird sich irgendwelche Gebühren für die Zahlung, z.b. Notargebühren , Anwaltskosten, Bankkosten usw.  ausdenken und vorher vom Opfer fordern. Benannt wurde das nach dem Paragraphen 419 des nigerianischen Strafgesetzbuches. Ja, denn aus Nigeria wurde die Masche zwar nicht erfunden, war aber in den 80er Jahren so stark verbreitet, daß sich die nIgerianische Justiz genötigt sah, einen eigenen Strafparagraphen einzuführen, die 419 😉

Schlag ins Gesicht der Spammafia – 281 verhaftet

Am Ende immer die gleiche Prozedur: Weg damit in die digitale Mülltonne 🙂

Aber natürlich will ich wissen, was für ein Docx da auf mich wartet!

Aber natürlich will ich wissen, was für ein Docx da auf mich wartet!

Klaro, und ich bin natürlich blöd genug auf den Link zu klicken, damit der Verbrecher weiß, daß die Adresse gelesen wird 🙂

Wem sowas hier ins Haus flattert …

 Microsoft Docx Portal Notifier for info@{eineunsererdomains.de} Mail. 
 
   
RECEIVED: 3/3 pages scanned file awaits your review on info@{eineunsererdomains.de} Microsoft Docx

<a href=“http://uxxxxxxxxx.ct.sendgrid.net/ls/click?upn=MÜLLENTFERNT!“> REVIEW NOW: </a>

by {eineunsererdomains.de} Microsoft Document Portal

direkt in die digitale Mülltonne damit! Wer nur den Absender sieht, so sieht sowas aus.
From: "{eineunsererdomains.de} Microsoft Docu Portal" <ainal@satextilesourcing.com>
To: info@{eineunsererdomains.de}
Subject: 3/3 Pages New Document.

Leicht zu erkennen, daß das nicht von M$ ist und da „wir“ gar nicht mit Windows arbeiten, werden „wir“ natürlich auch nicht das „Online“ Docu Portal von M$ benutzen, oder Ihr etwa??? 😉

Spammer und Scammer drehen immer mehr ab

Heute morgen hatte ich eine merkwürdige Email im Kasten. Gut, das kommt öfters vor, manche davon haben sogar einen legitimen Inhalt, aber diese hier ist derzeit Platz #2 der Hitliste. Platz #1 ist übrigens die leere Spammail, die an tausend Empfänger ging 🙂

Spammer und Scammer drehen immer mehr ab

Schauen wir uns erstmal die Header an:

From: Orabelle Cadwell <orabellekbdcad@hotmail.com>
Date: Mon, 6 Jul 2020 12:03:20 +0000
Subject:  2017-05-27 00:27:08  csq2qvXHzJr

Keine Ahnung ob da jemand einen Kontakt von vor 3 Jahren wiederbeleben wollte, oder ob er sich dachte, daß Zufallsdaten immer ein Datum sein müssen , aber völlig unsinnig wird erst der Inhalt:

https://fksC6I jO1.arpa ,) $>< https://1fCIjOs6k .arpa ,) $>< https://fk1Osj 6CI.arpa ,) $>< https://1Ojs6fkC I.arpa = 09 ,) $>< https://kIs1O6Cj f.arpa ,) $>< https://OIskC 16jf. arpa ,) $>< https://1OjCI ksf6.arpa ,) $>< https://kIC6f js 1O.arpa ,) $>< https://jIks fC16O.arpa ,) $>< https:/ /s 6OfIj1kC.arpa ,) $>< https://1 O6sjfkIC.arpa ,) $>< h ttps://k1sIOjC f6.arpa ,) $>< https://kO1jfI sC6.arpa ,) $>< https://kjIs1Of 6C.arpa ,) $>< https://sf1kCIj 6O.arpa , ) $>< https://OC sk1I6fj.arpa ,) $>< https://6I jO1sfCk.arpa ,) $>< https://s jIk1C6fO.arpa ,) $>< https://6fksIOj1 C .arpa ,) $>< https://1CkI6O jfs.arpa ,) $>< https://Okjf I1 6sC.arpa ,) $>< https://jfI 1sCk6O.arpa ,) $>< https: //6IjOCf s1k.arpa ,) $>< https://jskIOfC16 .arpa ,) $>< https://skjfO1IC6 .arpa ,) $>< https://ksCI61j fO.arpa ,) $>< https://Cs6Ifk j1O.arpa ,) $>< https://6fO IjCk1s.arpa ,) $>< https://jfC16IO ks.arpa ,) $>< https://CsO 1Ifj6k.arpa ,) $>< https://fCsj1I6O k.arpa ,) $>< https://C6O1sf jk I.arpa ,) $>< https://16C OIkfjs.arpa ,) $>< https://Ijf 6sOk1C .arpa ,) $>< https://s6OCf1jk I.arpa ,) $>< https ://Isjk1O6f C.arpa ,) $>< https://Ij 16COfks.arpa ,) $>< https://1 jsCfIkO6.arpa ,) $>< https://6j O1CIfks.arpa ,) $> < https://6CIkfs j1O.arpa ,) $>

Wenn man mal davon absieht, daß es die .arpa Domain zwar gibt, diese aber ausschließlich für PTR Records, also IP zu Domainnamen Umwandlung, benutzt wird und es somit keine wie auch immer generierten Domain im klassischen Sinne gibt, mußte man den Inhalt erst doppelt von „quoted-printable“ zu „lesbar“  umwandeln, was kein Mailprogramm der Welt macht. Schlußfolgerung: Der Block, der übrigens mehrere KB lang ist, dient nur der Verwirrung der Antispamprogramme.

Jetzt wirds richtig wirr, weil den Block oben gab  es als ASCII-Block, als HTML-Block und als .. tada.. PDF-Block 😀 Da wollte jemand auf Nummer sicher gehen 😉

Ok, ich denke, die Mission isterfüllt: Alle sind verwirrt – Der Verfasser, das Antispamprogramm und die 2.500 Empfänger 😀

Schlag ins Gesicht der Spammafia – 281 verhaftet

Das US-Justizministerium hat eine gute Nachricht für alle spamgeplagten Mailboxbesitzer:

Justiznachrichten
Justizministerium
Büro für öffentliche Angelegenheiten
ZUR SOFORTIGEN FREIGABE
Dienstag, 10. September 2019

281 weltweit verhaftet in einer koordinierten internationalen Durchsetzungsaktion, die sich gegen Hunderte von Personen mit geschäftlichen E-Mail-Betrugsmethoden richtet.
74 mutmaßliche Betrüger in den Vereinigten Staaten verhaftet

Die Bundesbehörden gaben heute eine bedeutende koordinierte Anstrengung zur Störung von Business Email Compromise (BEC)-Programmen bekannt, die darauf abzielen, Banküberweisungen von Unternehmen und Privatpersonen, darunter viele ältere Menschen, abzufangen und zu entführen. Operation reWired, eine koordinierte Strafverfolgungsmaßnahme des U.S. Department of Justice, des U.S. Department of Homeland Security, des U.S. Department of the Treasury, des U.S. Postal Inspection Service und des U.S. Department of State, wurde über einen Zeitraum von vier Monaten durchgeführt, was zu 281 Verhaftungen in den Vereinigten Staaten und Übersee führte, darunter 167 in Nigeria, 18 in der Türkei und 15 in Ghana. Verhaftungen wurden auch in Frankreich, Italien, Japan, Kenia, Malaysia und dem Vereinigten Königreich (UK) vorgenommen. Die Operation führte auch zur Beschlagnahme von fast 3,7 Millionen Dollar.

Übersetzt mit www.DeepL.com/Translator

\o/ Strike \o/ Solche Nachrichten brauchen wir öfters 🙂

Quelle: https://www.justice.gov/opa/pr/281-arrested-worldwide-coordinated-international-enforcement-operation-targeting-hundreds

Google Spam – ganz ohne Google :)

Folgender Textbeitrag landete neulich in unserer Spamfalle :

You have 3 lost emails

Google

We have sent you a message.

11/12/2013
3 lost emails has been found and recovered.
View emails
We hope you found this message to be useful. However, if you'd rather not receive future e-mails of this sort, please [Link opt-out here].

Wenn man mal von dem Datum, das 4 !! Jahre in der Vergangenheit liegt absieht, macht die Mail natürlich gar nichts her. Da würde ich nichmal drauf klicken, wenn die wirklich von Google wäre 🙂 Der Opt-Out Link ging dann natürlich an eine völlig andere Webseite : http://www.ads.kalauz.hu/disagreed.php ( keine Panik, liefert nur noch 404 🙂 )

Wie man an den Headern sehen kann :

From: "Support" <polk@link4pc.com>
Message-ID: <5913e6.b157.35c4ec43@link4pc.com>
Subject:  You have 3 lost emails

Kam das nicht mal mit einem gefälschten Googleansender. Als wirklich, was für eine schlampige Arbeit 😀

Auch mal interessant der Spamreport :

 Pkte Regelname Beschreibung 
---- ---------------------- -------------------------------------------------- 
2.4 DATE_IN_FUTURE_03_06 Absendezeit 3 bis 6 Stunden nach Datum in "Received"-Kopfzeilen 
0.0 HTML_MESSAGE BODY: Nachricht enthält HTML 
1.1 MIME_HTML_ONLY BODY: MIME-Nachricht besteht nur aus HTML

Also Angekommen, bevor sie abgesendet wurde 😀 Über soviel Fehler beim Virenverteilen kann  man echt nur noch laut Lachen !

Und die Abzocker legen drauf

Hallo,
 wir wollten dich informieren, dass deine €13.916,15 heute Morgen in dein Bankkonto eingezahlt wurden.
 [Link Guck dir dieses kurze Video an] um herauszufinden wie du an dein Geld kommst.

Dein Geld kann jederzeit ohne Verzögerung abgehoben werden.

[Link Hier findest du heraus wie es funktioniert]

Ich will ja nicht quengeln, aber WO IST MEIN GELD!!!!!! Erst waren es 2000 € , dann 2200 € und jetzt 13.916,15 € . Her damit, ich weiß wie ich an mein Bankkonto komme, aber IHR NICHT! 😀

Ab in die digitale Tonne damit 🙂