Vorsicht, Abzocke!

Schlech­te Zei­ten sind gute Zei­ten für Betrü­ger. Es kur­sie­ren E‑Mails mit dem Betreff »Ihre Spen­de für die Coro­na-Not­hil­fe zählt dop­pelt«. Der Absen­der lau­tet »aktiondeutschlandhilft@nl.ab-auf-das-schiff.de«.

Die Domain ist schon seit vie­len Jah­ren als Spam­schleu­der bekannt. Unbe­darf­te Inter­net­nut­zer könn­ten auf die Bet­tel­mail trotz­dem her­ein­fal­len, da sie optisch eini­ger­ma­ßen pro­fes­sio­nell gemacht ist und auf den ers­ten Blick eine gewis­se Serio­si­tät aus­strahlt und der Emp­fän­ger sogar mit dem rich­ti­gen Namen ange­spro­chen wird.

Man­cher mag sich täu­schen las­sen. Das liegt dar­an, dass die Betrü­ger sich tar­nen, wie schon der ers­te Teil der Mail-Adres­se ver­rät. Die »Akti­on Deutsch­land hilft« gibt es tat­säch­lich. Sie hat aber ganz sicher mit die­ser betrü­ge­ri­schen E‑Mail nichts zu tun.

Das ist nicht ganz leicht zu erken­nen, da in der Mail mit Bild­ma­te­ri­al der ech­ten Hilfs­or­ga­ni­sa­ti­on gear­bei­tet wird. Die Betrü­ger haben sogar das Logo geklaut und set­zen es unver­än­dert für ihre Zwe­cke ein. Mei­ner Mei­nung nach ein Fall für den Staatsanwalt.

$ tra­cert 62.146.156.207
Rou­ten­ver­fol­gung zu smtptbzg.emms.com [62.146.156.207]
über maxi­mal 30 Hops:

1 <1 ms <1 ms <1 ms xxxxxxxx [xx.xxx.xx.xxx]
2 * * * Zeit­über­schrei­tung der Anforderung.
3 10 ms 12 ms 10 ms xxxxxxxxxxxxxxxxxxxxxx[xx.xxx.xx.xxx]
4 15 ms 14 ms 14 ms de-bfe18a-rd02-ae‑0–0.aorta.net [84.116.191.146]
5 14 ms 15 ms 15 ms de-fra01b-rc1-ae-65–0.aorta.net [84.116.191.125]
6 13 ms 13 ms 14 ms de-fra04c-ri1-ae‑5–0.aorta.net [84.116.133.113]
7 * * * Zeit­über­schrei­tung der Anforderung.
8 * * * Zeit­über­schrei­tung der Anforderung.
9 25 ms 25 ms 24 ms gw.centurylink.er2.nue.content-core.net [212.162.19.34]
10 24 ms 23 ms 25 ms vl3053.r1.nue2.content-core.net [81.17.112.83]
11 22 ms 23 ms 22 ms ro2.r1.c81.nue2.content-colo.net [81.17.113.46]
12 24 ms 31 ms 22 ms smtptbzg.emms.com [62.146.156.207]

Wer den Feh­ler macht, auf Links zu kli­cken, die in den Mail­text ein­ge­baut sind, lan­det auf einer Phis­hing­sei­te der Spam­mer. Fin­ger weg!

Der Ser­ver der Spam­mer – smtptbzg.emms.com mit der IP 62.146.156.207 – gehört zur seit Jah­ren satt­sam bekann­ten und berüch­tig­ten adRom Hol­ding AG.

Nach­trag 17.7.2021

Genau die­sel­be Masche läuft gera­de wie­der nach der Flut­ka­ta­stro­phe.