Hej Macnyt'ere.
Jeg plejer altid at kunne gennemskue spam, evt. efter lidt research, men denne gang er jeg godt nok i tvivl om, hvorvidt der blot er tale om almindelig spam, eller om en eller anden er i gang med at bestjæle mig:
Jeg modtog i morges en mail fra sprogfirmaet Babbel om, at jeg nu havde købt et svensk-kursus for €39.99 / 3 måneder, og at betalingsmetoden er "Store credit".
Nederst i mailen er der en aflysningslink, og når man klikker forsigtigt på det, bliver man omdirigeret til apple.inc login med to-faktor godkendelse og det hele. Men ingen cancellation-sider.
Google skriver umiddelbart ikke noget om en Babbel-spam, så det bestyrkede min frygt for, at det mere var et enkeltstående tilfælde af phishing direkte imod mig, eller at det var et forsøg fra Babbels side på at hive penge ud af mig, for noget jeg ikke har bestilt.
En bekendt mener, at det er spam p.gr.a. de tilknyttede e-mail adresser, og jeg er tilbøjelig til at give ham ret, men derfor vil jeg alligevel gerne gøre en ekstra indsats for at undgå at blive trukket ca. 300,- Kr. for noget, som jeg absolut ikke har bestilt. Og endda svensk!
Jeg vil lige understrege, at jeg end ikke kendte Babbel's navn indtil i morges, og at jeg ikke har downloadet nye apps, endsige købt noget via AppStore, i over et halvt år. Den her kom helt ud af den blå luft.
Babbel support har fået en skarpt formuleret mail og er blevet anbefalet at lade deres sikkerhedsafdeling gå ind i sagen med det samme.
Det kan godt være, at en eller anden udnytter Babbel til phishing, men hvis det er et kynisk forsøg fra Babbl's side på at klemme penge ud af tilfældige mennesker (ligesom de firmaer, som snyder folk til at købe et abonnement ved online-køb), skal I da lige advares imod at indlade jeg med Babbel, indtil de eventuelt ændrer reklamestrategi.
Uden at se den omtalte mail er det svært at vurdere. Jeg ville tjekke den fulde header og se hvilke top-domain der er på de e-mail adresser der anvendes.
Administration af app-store abonnenter:
https://support.apple.com/da-dk/HT202039
Babbel's vejledning om annulering af abonnement:
https://support.babbel.com/hc/en-us/articles/205600298-How-can-I-cancel-a-subscription-
Hvilke "Store credit" er det - App Storen, Babbel's Store - eller en helt anden ukendt ??
Så er jeg tilbage igen, efter at have tilbragt det meste af dagen på Sierra (uf, da, for et grimmer OS at arbejde i; Finder er noget skrammel og Preview er endnu værre), men det er jo en helt anden historie.
Har for lidt siden forwarded spam-mailen til Babbel's support; så må jeg se, hvad de svarer, når de har nærlæst den.
Og Rene: du har helt ret i dit spørgsmål om, hvad "Store credit" mon dækker. Jeg var nervøs for, at min e-mail var blevet misbrugt til en eller anden form for in-app køb, men eftersom jeg aldrig har foreteget et in-app køb, men kun har hørt om det, var det, at jeg begyndte at ryste lidt på poten.
Om lidt fyrer jeg lige op for Firefox og lægger et screendump af mailen op; så kan I jo bedømme, hvor troværdig det tilsyneladende phishing-forsøg var-
Screendump af phishing-forsøg:
Det er spam. For sådan ser Apple egne fakturaer ikke ud.
bliver man omdirigeret til apple.inc login med to-faktor godkendelse
Det er det de er ude efter. Stol ikke på den omdirigering.
Tonny Freimanis skrev:Nederst i mailen er der en aflysningslink, og når man klikker forsigtigt på det, bliver man omdirigeret til apple.inc login med to-faktor godkendelse og det hele. Men ingen cancellation-sider.
Det må du aldrig, aldrig gøre. Nu har de din adgangskode, der er ikke noget "forsigtigt" her, skift straks din adgangskode til Apple-id og sørg for at samme adgangskode ikke bruges andre steder.
Den adgangskode, du har indtastet, er ikke længere sikker.
Tryk aldrig på et link i en e-mail som beder om oplysninger/log ind. Luk Mail, gå direkte til kilden og log ind som du plejer; fx et nyt vindue i Safari eller i dette tilfælde via App Store direkte på din enhed.
Kig ekstra grundigt på mailen, eksempelvis bruges der 3 forskellige måder at angive en dato på (05/22/2019, 27.05.2019 og MAY 24, 2019). Det samme gælder for prisen (henholdsvis 39,99 € og 39.99 €). Bemærk også at første linje i mailen starter med lille bogstav (this email…) og dit Apple-id fremgår ingen steder.
Apple har i øvrigt en vejledning, hvor du også kan anmelde forsøget på phishing:
Sådan undgår du phishing-e-mails, falske virusadvarsler, falske supportopkald og andre svindelnumre
Well, der er ikke kommet nogle sjove fakturaer i min indbakke i løbet af natten, og der var ingen problemer med at logge ind på mit AppleID, men jeg har da skiftet password under alle omstændigheder.
Der er endnu ikke kommet svar fra Babbel, men de har jo også lov til at holde weekend.
Tak for diverse analyser; det er rart at have kompetente og vågne folk omkring sig!
Babbel har lige svaret, at det ER spam, og at de er gået i gang med at (prøve at) stoppe det.
Jeg må så have været en af de første, der blev ramt, for info'en var endnu ikke nået frem til Google.
Tonny Freimanis skrev:Screendump af phishing-forsøg:
Lars tager fejl, Apple's mails ser præcist sådan ud for abonnementer. Det eneste der er underligt, er at den er på engelsk, men måske du foretrækker engelsk i din kontoopsætning. Men i dette tilfælde er gætværk ikke nødvendigt, for du kan tjekke hvilke abonnementer der faktisk er aktive jævnføre mine tidligere links.
Men ellers er her nogle teknikker jeg bruger til at vurdere om en mail er hvad den udgiver sig for. Du kan se hvor links peger til uden at klikke på dem, ved at holde musen over dem. Her er top-domainet interessant. Er det Apple.com eller et eller andet suspect der forsøger at lyde officielt.Tjek top-domainer i headeroplysninger med shift+cmd+h (i apple mail på mac). Her er oplysninger fra en valid apple-mail hvor jeg har stjernet min egen adresse ud.
Det kan virke uoverskueligt, men du kan copy/paste det over i textedit og søge på from, reply og return-path for at finde de relevante adresser. I denne valide mail er de alle en @email.apple.com adresse.
Ja, altså, under normale omstændigheder ville jeg umiddelbart have affærdiget den som spam/phishing, men omstændighederne var lige netop IKKE normale:
Mailen er dateret den 24. maj, og lige netop samme dag købte jeg en brugt iPhone 7, fordi min ellers dejlige 5s'er synger omkvædet efter sidste vers, og selvom 7'eren VAR nulstillet, og selvom der IKKE var problemer med at få den registreret under mit eget AppleID, og selvom Find My iPhone blev slået til uden problemer, KUNNE den telefon IT-paranoidt set godt have været brugt til at bestille det svenskkursus, hvor AppStore IT-paranoidt set godt kunne sende regningen videre til telefonen i stedet for AppleID'et. Altså sådan IT-paranoidt set.
Det var med andre ord altså et lidt for morsomt sammenfald til at det var… morsomt. Og så et svensk-kursus!
Men nu skriver jeg mig den tastaturgenvej til Mail bag øret og tester proceduren, hvis (når) det næste phishing-forsøg lander i min indbakke.
Det skal afslutningsvis lige siges, at jeg får MEGET få spammails, højst 2-3 stykker om måneden, og langt de fleste er meget mere primitive (som regel kun tekst), så den her fik mig altså til at frygte, at nogen var ved (at få Babbel til) at hæve 40 Euro på min konto.
Nå, alt er tilsyneladende gået godt (for mig, ikke for spammeren). Prisen var en let forhøjet puls og besværet med at skifte password på mit AppleID, men i det mindste har jeg nu fået min "peace of mind" tilbage.
Jeg vil lige tilføje, at ud over sproget, så er den suspekt ved ikke at nævne dit navn. En ægte Apple mail ville være startet med Hello/Kære Tonny Freimanis.
Sammenfaldet med ny telefon er selvfølgelig suspekt, men jeg kan ikke se nogen måde telefonen i selv skulle binde for et abonnement. Et eller andet sted skal pengene trækkes. Det skulle i værste fald så være via en indholdstakseret SMS og dermed telefonabonnementet.
Men fint du fik afklaret at det var phishing uden at hoppe på limpinden.
PallMei skrev:Jeg vil lige tilføje, at ud over sproget, så er den suspekt ved ikke at nævne dit navn. En ægte Apple mail ville være startet med Hello/Kære Tonny Freimanis.
Sammenfaldet med ny telefon er selvfølgelig suspekt, men jeg kan ikke se nogen måde telefonen i selv skulle binde for et abonnement. Et eller andet sted skal pengene trækkes. Det skulle i værste fald så være via en indholdstakseret SMS og dermed telefonabonnementet.
Men fint du fik afklaret at det var phishing uden at hoppe på limpinden.
Mailen skrev:
Hello Parantes begynd min e-mail adresse Parantes slut Komma Linieskift
Det fjernede jeg i screendumpet og glemte at skrive det, sorry.
He he, så fik jeg den også, havde heldigvis lige set Tonnys indlæg så var forberedt:-)
Når jeg bliver mistænksom på mails er det første jeg gør at tjekke hvilken adresse det er sendt fra, der står jo meget fint:
"Svar til: Apple" men når jeg tjekker adressen bag "Apple" står der: mation@netvisio.com
Så er den jo nok falsk. Jeg ved ikke om der er andre der har skrevet det samme, synes ikke jeg kunne se det.
@ Henrik:
Jamen, jeg er da glad for, at mit eget stunt nu har hjulpet en Macnyt'er med at undgå at falde i honningkrukken.
Synes du ikke, at den faktisk ser ret troværdig ud?
ja, tak for det:-)
jo, absolut:-(
Hej tak for info, jeg har lige modtaget en også, men denne er med louis@anneruby.dk som afsender og "Svar til" under Apple-navnet. Bare med andre sprog.
Stort tak til Tonny for advarslen og for Henriks opfølgning – I får lige et hjerte hver.
Jeg fik min første Apple-phishing mail i går, dog en anden variant:Valgte Besked → Videresend som bilag i macOS' Mail.app og sendte den til reportphishing@apple.com
Det kan jo aldrig skade…