(Fast) Perfekter Spam

Heute war ich wirklich überrascht und auch ein wenig beeindruckt. In meiner Inbox lag eine Mail von der DHL Packstation. Und wenn ich Packstation-Kunde gewesen wäre, dann wär‘ ich vielleicht auch drauf reingefallen.

Der erste Eindruck beim Öffnen: Gut. Denn so schaut die Mail aus:

DHL Spam Bild 1

Doch wie gesagt, ich bin da nicht Kunde. Also mal genauer hinschauen. Nur wenige Rechtschreibfehler sind im Text. Das ist in so fern bemerkenswert, als dass vergleichbare Mails sonst nur so strotzen von merkwürdigen Formulierungen. Deswegen, erstmal ein kurzer Blick auf den Mail-Header:

Das sieht schon ein wenig verdächtig aus. Keine offizielle DHL-Adresse. Doch bevor ich mich über den Quelltext freue, es muss doch auch Otto-Normal-Anwender auf einen Blick sehen, dass das nichts gutes ist. Und siehe da, einmal kurz über den Link in der Mail mit der Maus und schon ist ersichtlich, es scheint, als wenn „.de“ derzeit in „.ru“ liegt.

Eigentlich ist ja jetzt alles klar, aber abschließend noch ein kurzer Blick in den Quellcode. Der schaut so aus:

Und zu guter Letzt der Vollständigkeit halber (und für Google), hier der Header …

Return-Path: <anonymous@ns29215.ovh.net>
Delivered-To: *************@****
Received: (qmail 29750 invoked by uid 0); 11 Apr 2011 20:29:28 +0200
Received: from unknown (HELO ns29215.ovh.net) (91.121.101.34)
by ************* with SMTP; 11 Apr 2011 20:29:28 +0200
Received: (qmail 16970 invoked by uid 1012); 11 Apr 2011 18:15:35 -0000
Date: 11 Apr 2011 18:15:35 -0000
Message-ID: <20110411181535.16969.qmail@ns29215.ovh.net>
To: *************@****
Subject: Verifizieren Sie Ihre Packstation
From: DHL GmbH <dhl-info@packstation.de>
Reply-To:
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit

… und der Quelltext in Schriftform.

<!DOCTYPE HTML PUBLIC „-//W3C//DTD HTML 4.01 Transitional//EN“ „http://www.w3c.org/TR/1999/REC-html401-19991224/loose.dtd“>
<HTML lang=en xml:lang=“en“ xmlns=“http://www.w3.org/1999/xhtml“><HEAD>
<META content=“text/html; charset=windows-1252″ http-equiv=Content-Type>
<META name=GENERATOR content=“MSHTML 8.00.6001.18904″></HEAD>
<BODY><SPAN> <img src=“http://www.dhl.de/content/de/de/paket/privatkunden/packstation/
_jcr_content/par/teaser_0/image.220!.100!.jpg/1259317714042.jpg“>
<P align=left>Sehr geehrter PACKSTATION Kunde,</P>
<P align=left>das Thema Sicherheit schreiben wir in diesem Monat ganz gro&#223; und m&#246;chten Sie darum bitten,<BR>
ab sofort immer Ihre Goldcard mit zur PACKSTATION zu nehmen.<BR>
Zukünftig wird ein LogIn an der PACKSTATION ohne Goldcard nichtmehr m&#246;glich sein.</P>
<BR>
Wenn Sie Ihre PACKSTATION weiterhin wie gewohnt nutzen wollen, ist aufgrund der PACKSTATION Umstellung,<BR>
ein Login auf unserer Verifizierungsseite n&#246;tig um Ihre Daten zu verifizieren.<BR>

<P align=left><A href=“http://srv51.dhl-packstations.w2c.ru:1289/dhl/packstation/verifizierung/“
target=_blank>www.meine-packstation.de/kunden/verifizieren.php</A></P>
<P align=left>Sollten Sie Ihre Packstation weiterhin nichtmehr nutzen, so ist kein weiteres agieren Ihrerseits n&#246;tig.<BR>
Ihre Packstation wird dann innerhalb von 7 Tagen automatisch aus unserem System entfernt.</P>
<P align=left></P>
<P align=left>Wir bedanken uns für Ihr Verst&#228;ndniss.</P>
<P align=left>Mit freundlichen Grü&#223;en <BR>
Ihr PACKSTATION Team<BR><BR>
Servicenummer 01803 / 365 365 (0,18 Euro pro angefangene Minute aus den deutschen Festnetzen.)
</P></SPAN>
<DIV></DIV>
</BODY></HTML>

2 comments

  1. Pingback: Traumfabrik vs. Zwiebelsuppe II » Blog Archive » Die DHL-Spam-Spacken legen nach
  2. Pingback: Traumfabrik vs. Zwiebelsuppe II » Blog Archive » (Update) Mit Name und Anschrift – Update DHL-Spam-Spacken

Kommentar verfassen

Du kannst die folgenden HTML-Codes verwenden:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>