rechnung OWR GmbH

01. Juli 2015

Guten Tag,

eine Rechnung

GmbH

Nein, kein Witz, das ist wirk­lich die ganze Spam… :D

Der Spammer wollte sich offen­bar nicht die Mühe geben, einen langen, kom­pli­zier­ten Text zu schrei­ben, der dann doch nur läch­er­lich klingt; und so schrieb er eben einen kurzen Text, der dann doch nur läch­er­lich klingt. Der Gewinn ist die ein­ge­sparte Ar­beit.

An dieser Mail hängt ein ZIP-Archiv. Der Em­pfänger soll offen­bar glau­ben, dass es die „Rech­nung“ ent­hält. Wie immer, wenn ein ZIP-Archiv an einer Mail hängt, ist große Vor­sicht ge­boten, denn Spammer „mas­kieren“ durch diese Ver­packung gern Schad­soft­ware vor einem Viren­scanner auf dem Mail­server. Tat­säch­lich ent­hält das ZIP-Archiv eine ein­zige Datei, deren Name auf .pdf_.exe endet. Der Unter­strich vor dem Punkt deutet darauf hin, dass die alte Masche mit Da­teien der Marke .pdf.exe in­zwischen bei ei­ni­gen Anti­virus-Schlan­gen­öl­en zu einem Aus­sor­tieren des krimi­nellen Mülls führt – also wird ein­fach ein Zeichen ein­ge­fügt, bei dem die Kri­mi­nel­len hof­fen, dass es öfter mal von Menschen über­sehen wird.

Natür­lich ist der Anhang das reinste Gift. Er wird aber zur­zeit nur von einem Achtel der gän­gi­gen Anti­vi­rus-Schlan­gen­öle als das er­kannt, was er ist: Ge­fähr­liche Schad­soft­ware. Wer sich auf den „be­quemen auto­ma­tischen Schutz“ durch der­ar­tige Pro­gram­me ver­lässt, ist ver­lo­ren – wer aber die Spam als Spam er­ken­nen kann und nie­mals auf die Idee kommt, einen Mail­an­hang zu öf­fnen, der in einem ZIP-Archiv zu­ge­stellt wurde, tut mehr für seine Com­pu­ter­sicher­heit als je­mand, der sich auf Anti­vi­rus-Schlan­gen­öle ver­lässt.

Ich em­pfehle weiter­hin die In­stal­la­tion von BRAIN.EXE;)

Schneller Nachtrag

Diese Spam scheint die Pest des heutigen Tages zu sein. Hier ist noch eine, die noch schlechter geworden ist:

Betreff: Fakture 7Z3 GmbH

hallo,

beigefügten Rechnung

GmbH

Es gibt noch mehr davon. Das Muster ist immer gleich. Eine an­geb­liche Firma im Be­treff; ein kurzer, pat­ziger Mail­text; die Abk. „GmbH“ als „Unter­schrift“ und im An­hang ak­tuelle, ge­fähr­liche Schad­soft­ware.

Ohne Betreff

30. Juni 2015

Ja, richtig: Diese Spam hat keinen Betreff. Das passt gut dazu, dass sie auch „inhaltlich“ etwas hirnverdorrt ist.

MAN FINANCIAL HELP müssen Sie Ihr Geschäft wieder auf Kurs bringen, TO
Gründung eines neuen Unternehmens oder zu zahlen Sie Ihre Rechnung?
HAST DU gedreht wurde
NACH Banken? BITTE JETZT BEWERBEN schnelle Genehmigung Darlehen mit LOW 3%
ZINSSATZ

Name:
Land:
Benötigte Menge: [sic!]
Beruf:
Laufzeit des Kredits:
Zweck des Darlehens:
Tel:
Adresse:

Email (dangogoagborloaninvestment (at) outlook (punkt) com)
Vielen Dank für das Geschäft mit,
Herr Dan Agbro

Ohne weitere Worte.

Ghaith, rufen Sie mich bitte

29. Juni 2015

Von: info (at) ecron (punkt) de
Antwort an: arakkalmrs (punkt) ghaith (at) yahoo (punkt) com

Herz­lichen Glück­wunsch, Spammer! Du hast be­griffen, wofür dieser Reply-To-Header gut ist. Das schafft nicht jeder. So fällt we­nig­stens nicht un­mittel­bar auf, dass der Ab­sender ge­fälscht ist, wenn man in der Mail auf­ge­fordert wird, zu ant­wor­ten, aber nicht auf „Ant­wor­ten“ in seiner Mail­soft­ware zu klicken.

Mal schauen, ob du auch sonst schlau bist.

Ich schreibe aus dem Hospital.

Wich­tig­ste In­for­ma­tion aller Zeiten! Ich sitze übri­gens beim Blog­gen über deine Spam in einem Ses­sel, dessen Be­zug schon ein­mal bessere Zeiten ge­sehen hat, und ich trinke eine ent­span­nte Tasse Kaffee, mit Kof­fein, ver­steht sich.

Liebe im Herrn

Bes­teste An­rede aller Zeiten! Möge der Em­pfänger fromm sein, denn fromm ist oft auch naiv oder gar rich­tig knüp­pel­dumm – also ideal für Be­trüger.

In Abhдngigkeit von Ihrem guten Profil Ich mцchte Ihre Unterstьtzung bei der Erfьllung meines Willens zu werben.

Du kannst mich nicht mal beim Namen an­sprechen, aber blah­fa­selst von meinem „guten Profil“.

Ich bin Mrs. Ghaith Arakkal von Kuwait ich bin im Alter von 68 Jahre Leiden von Endometriumkarzinom und ich lebe in der Elfenbeinkьste. Ich hatte keine Kinder, und ich bin derzeit eine groЯe Demьtigung meines Mannes Verwandten.

Die Vor­stel­lung, dass du wirk­lich krank und iso­liert bist, wäh­rend du lang­sam unter gro­ßen Schmer­zen kre­pierst, finde ich ja gar nicht so un­er­freu­lich, Spammer. Ist es ei­gent­lich diese El­fen­bein­küste, welche die kyril­lische Code­page be­nutzt, oder ist es dieses Kuwait? :mrgreen:

Bitte, ich mцchte, dass Sie mir helfen, ein gemeinnьtziges Projekt mit dem Geld, das ich von meinem verstorbenen Mann geerbt erstellen. Es ist mein Herz delate husbandsire [sic!] um ein groЯzьgiges Geschenk, um Sie zu machen, um fьr einen guten Zweck in Ihrem Land zu arbeiten.

Ah ja, du kennst mich also nicht, weißt nicht einmal meinen Namen und willst mir Zaster schenken. Aber mit deinem ganzen Geld, das du hast, kannst du keinen rich­tigen Dol­met­scher be­zahlen, der wirk­lich Deutsch kann und nicht wie die Übel­set­zung aus einem Com­puter klingt. Du kannst dir gar nicht vor­stel­len, wie irre glaub­wür­dig das rüber­kommt.

Ich bin zur Zeit auf einem Krankenbett [sic!] und konnte nicht die Durchfьhrung der weiteren Prozess des Sendens alle Details ьber den $ 3,5 Millionen Dollar in ein Zwischenkonto hinterlegt [sic!], ich habe den Anwalt und mit der Hand [sic!] ьber alle wichtigen Dokument zu ihr durch meinen Zustand als informiert Ich werde eine andere Operation in wenigen Tagen ab jetzt wegen thios Krankheit konfrontiert [sic!] teilte ich dem Anwalt, dass Sie ein Freund der Familie meines verstorbenen Mannes und seine seine [sic!] Pflicht, Sie mit den Rechtsweg zu schьtzen sind, damit Sie den Fonds in Ihren Sorgerecht zum Starten des humanitдren Arbeit in Bezug auf meine verstorbenen Mannes Wunsch.

Diese ko­mischen Punkte und Kommas, die man zu­wei­len zwischen die Wörter setzt, sind eben­falls völlig ent­behr­lich und hal­ten die Ent­fal­tung des Textes nur auf. Den Sinn­ge­halt eines sol­chen Ab­sat­zes kann sich doch jeder schnell zu­sam­men­rät­seln, und zur Mo­ti­va­tion gibts auch Geld.

Und, steigt jetzt morgen vor­mittag dein An­walt in ein Flug­zeug, kommt mal kurz nach Deutsch­land, be­sucht mich dort – ich bin ja ein „guter Freund der Familie“ – und gibt mir die 3,5 Mega­dollar nebst seiner Kosten­note und der Auf­stel­lung seiner Un­kos­ten, die ich dann sofort auf der Bank in bar be­gleichen kann? (Der darf meinet­wegen ruhig sechs­stel­lig zu­schla­gen!) Nein, natür­lich nicht. So ein­fache, ein­leuch­ten­de und ziel­füh­rende Ver­fahren werden nie an­ge­wendet, wenn Spam­mer Geld „ver­schen­ken“, das liegt dann immer irgend­wo herum, es wird nie als ver­sich­erter Scheck ver­sendet oder ein­fach auf ein Konto über­wiesen, man muss ganz viel schreiben und tele­fo­nieren und muss im Laufe von vielen Wochen eine finan­zielle Vor­leis­tung nach der anderen über Western Union, MoneyGram und der­gleichen leider le­galer Kom­pli­zen­schaft der Be­trü­ger­ban­den ab­lat­zen – also immer maxi­mal ano­nym und so gut wie bar, weil diese „Millio­nen­ty­pen“ ein­fach keine Bank­kon­ten be­nut­zen. Wäre ja auch nicht so hübsch, wenn sie ver­haftet würden, wäh­rend sie den Zaster ab­holen, damit sie ihn ver­pras­sen können.

bitte endevour

Ist das jetzt eine miss­lun­gene Übel­set­zung von „vain endeavor“ im Ori­gi­nal­text? :D

Wir freuen uns auf Ihre Antwort.

Oh, „Ghaith“ ist in den Plural ge­wechselt. Klar freut ihr euch, ihr gebt näm­lich lieber das Geld anderer Leute aus, wenn ihr ins Bor­dell geht und eure Näs­chen mit Koks pu­dert. Und des­halb ist eure Spam auch so mies ge­macht. Wenn ihr euch beim Be­trü­gen Mühe geben wür­det, könn­tet ihr auch gleich ar­beiten gehen.

GrьЯe.
Mrs. Ghaith Arakkal.

Nein, Spammer: So rich­tig schlau war deine Spam nicht. Wenn du das näch­ste Mal aus drei bis fünf ver­schie­de­nen alten Texten zur Ein­lei­tung eines Vor­schuss­be­tru­ges einen „neuen“ Text kom­po­nierst, dann lass we­nig­stens mal je­man­den drüber­schauen, der die Sprache ver­steht. Und deine Code­page-Pro­bleme mit den lus­ti­gen kyril­lischen Kringeln an­stelle der Um­laute deuten da­rauf hin, dass du auch tech­nisch völ­lig über­for­dert bist und kein In­te­resse hast, solche Fehler zu ver­mei­den – zum Bei­spiel, indem du dein Ge­stro­kel erst­mal tes­test, be­vor du es auf das In­ter­net los­lässt.

Aber viel­leicht sehe ich deinen Text ja in zwei, drei Jahren halb­wegs kor­ri­giert wieder. Es wäre nicht das erste Mal, dass es mir so geht, und deine neu kom­po­nierte Ge­samt­ge­schichte hat durch­aus Po­ten­zial.

Du bist jeden­falls zu doof, etwas daraus zu machen.

Dein dich „genießender“
Nachtwächter

Kleidertausch – kein Geld für neue Kleider?

28. Juni 2015

Oh, mal eine neue Masche der Ver­brecher. Wollen die jetzt beim Ge­schäft mit Ge­braucht­klei­dung mit­machen, das sich bis­lang die Alt­klei­der-Wohl­tätig­keits­simu­lie­re r unterm Na­gel ge­rissen haben? Das lohnt sich doch gar nicht. Auf kei­nen Fall sollte man diesem Pack ir­gend­wel­che Daten ge­ben, die sich für einen Iden­ti­täts­miss­brauch ver­wen­den lassen, nur, weil sie in einer Spam eine nütz­lich klin­gen­de Dienst­leis­tung ver­sprechen. Also auch keine Liefer­an­schrift.

Hallo Eli !

Ja, genau der Name geht ge­rade zu­sammen mit meiner Mail­adresse rum und be­kommt regel­mäßig Spam von Da­ting­be­trü­gern, Schnäpp­chen­brül­lern und an­geb­lichen Ver­siche­rungs­ver­gleichern. Gut, dass des­halb für mich so­fort klar ist, dass es sich hier eben­falls um eine Spam aus­ge­sprochen frag­wür­diger Ge­stal­ten handelt.

Kennst Du schon Deutschlands No.1 Fashion Swap Shop?
Über 100.000 Mitglieder ?swappen? hier bereits ihre neuwertige Kleidung!

Nein, ich pflege es nicht, Läden zu kennen, deren Be­trei­ber aus einem für mich un­be­kann­ten Grund zu der Auf­fas­sung ge­kommen sind, dass ihre Läden ohne aso­ziale und il­legale Spam nicht be­treib­bar sind. Und wenn ich diese Läden dann über so eine Drecks­spam kennen­lerne, dann hat eine ein­zige Spam ge­reicht, um mir einen dauer­haften Ein­druck von so einem Laden zu ver­schaffen; einen Ein­druck, den dieser Laden mit Pim­mel­pil­len-Apo­the­kern, Ab­zock-Ca­si­nos und Reich­werd­ex­per­ten teilt.

http://www.kleider-tauschring.biz/[ID entfernt]/

Moment mal… *tacker tacker tacker*

$ whois kleider-tauschring.biz | grep -y "registration date"
Domain Registration Date:                    Sat Jun 27 22:40:06 GMT 2015

Oh, die Do­main ist erst ges­tern re­gis­triert wor­den, und doch ist schon von „Deutsch­lands Nummer Eins“ und „Hun­dert­tau­send zu­frie­de­nen Mit­glie­dern“ die Rede. Ach ja, es han­delt sich ja auch um den Text aus einer aso­zialen und il­legalen Spam, wer würde da schon etwas Wahres er­warten. :mrgreen:

Einfach deine ungeliebte Kleidung kostenlos an Zamaro.de einschicken ? jedes Teil bewerten wir mit Punkten.

Ich kann mir nichts düm­me­res vor­stellen, als ir­gend­welche immer noch han­del­baren und ver­käuf­lichen Dinge bei einem halb­sei­de­nen Spam­kauf­mann gegen Punkte ein­zu­tauschen. Glas­perlen hätten ja we­nig­stens noch ma­te­riel­len Ge­gen­wert. :mrgreen:

Und dass der Spammer et­was von zamaro (punkt) de be­haup­tet, aber aller­hand andere Domains be­nutzt, sagt hof­fent­lich auch genug. Was immer dieses zamaro (punkt) de macht, das hat alles nichts mit dieser Spam zu tun. :!:

Für Deine erhaltenen Punkte kannst Du Dir gleichwertige Artikel aus dem Shop aussuchen, die von den anderen 100.000 Mitgliedern bereits eingesendet wurden. Das Tolle daran: Bezahlen brauchst Du nur die geringen Versand- und Pack- gebühren, wenn Du Artikel bestellst.

Ich nehme an, das ist alles genau so wahr, wie die 100.000 Mit­glie­der, die sich seit ges­tern auf der Web­site in einer frisch an­ge­mel­deten Domain re­gis­triert haben. Und übri­gens:

Melde Dich jetzt über diesen Newsletter an und erhalte 180 Punkte geschenkt, die Du direkt risikofrei ausgeben kannst!

Einen „News­letter“ be­stellt man be­wusst und ab­sicht­lich, weil man glaubt, etwas davon zu haben. Eine Spam be­kommt man von kri­mi­nellen Zeit­ge­nossen in das Post­fach ge­macht, ob man will oder nicht. Und nichts, was ein Spam­mer an­bietet, ver­dient das Wort „ri­si­ko­frei“ auch nur in einem sku­ril­len Sinn.

http://www.kleider-tauschring.biz/[ID entfernt]

Na gut, mal an­schauen…

$ lynx -dump -mime_header http://www.kleider-tauschring.biz/
HTTP/1.1 301 Moved Permanently
Date: Sun, 28 Jun 2015 10:48:12 GMT
Server: Apache/2.2.22 (Debian)
Location: http://www.klamotten-tauschen.com/
Connection: close
Vary: Accept-Encoding
Content-Length: 3
Content-Type: text/html

Aha, ein­fach nur eine Wei­ter­lei­tung in die Domain www (punkt) klamotten (strich) tauschen (punkt) com. Man be­achte: Ohne Af­fili­ate-Code oder ir­gend­etwas, was da­rauf hin­deutet, dass diese Wei­ter­lei­tung von einem Af­fili­ate-Part­ner ge­macht wurde, der Geld für das An­wer­ben von Leuten be­kommt! Es sieht also so aus, als wäre der Be­trei­ber von klamotten (strich) tauschen (punkt) com selbst für diese in­di­rekte Ver­lin­kung über eine Weg­werf­domain zu­stän­dig, die mit il­legalen und aso­zialen Spam­ak­tionen ver­brannt werden kann. Morgen oder übermorgen, wenn kleider (strich) tauschring (punkt) biz auf jeder Black­list dieser Welt steht, wird ein­fach eine neue Domain für die gleiche Num­mer ge­nom­men, damit die aso­ziale und il­legale Spam wieder an­kommt.

Und was ist jetzt mit dieser an­de­ren Domain. Könnte die Web­site dort wenig­stens 100.000 re­gis­trier­te Nutzer haben? Mal nach­schauen… oha, die Domain wurde ano­nym über ei­nen Whois-Anony­mi­sierer aus dem sonn­igen Pa­na­ma re­gis­triert (was für Pri­vat­leute zum Spam­schutz durch­aus sinn­voll sein kann, bei ge­werb­lichen Auf­trit­ten je­doch alle Alarm­glocken klingeln lassen sollte). Und be­son­ders alt…

$ whois klamotten-tauschen.com | grep -y "creation date"
   Creation Date: 11-jun-2015
Creation Date: 2015-06-11T18:21:00.00Z

…ist diese Domain auch nicht. Es gibt sie erst seit sieb­zehn Tagen. Das will nicht gut zu den Be­haup­tungen aus der Spam passen.

Die Website sieht übrigens so aus:

Screenshot der betrügerischen Website

Offen­ba­rend ist hier auch das kleine „Siegel­chen“ unter der An­melde­klicke, das SSL-Ver­schlüs­se­lung ver­spricht, wäh­rend es sich um ge­wöhn­liches HTTP han­delt, das offen wie eine Post­karte durch das Inter­net trans­por­tiert wird.

Viel Spass wünscht Dir dein
Kleidertausch-Ring

Um das, was man dort er­leben kann, als „Spaß“ zu be­trach­ten, muss man ver­mut­lich einen sehr ver­schro­benen Cha­rakter ha­ben…

Detail der betrügerischen Website: Es kann nur das Geschlecht 'weiblich' angegeben werden, eine andere Möglichkeit besteht nicht.

…oder eine Frau sein. :twisted:

Dieser über Spam vor­an­ge­tra­gene Be­schiss richtet sich nämlich aus­schließ­lich an Frauen.

YOUR EMAIL ACCOUNT IS FULL UPGRADE NOW

27. Juni 2015

Nein, die fol­gende, sehr auf­fäl­lig in HTML ge­setzte Spam kommt nicht von einem E-Mail-Pro­vider, son­dern von einem Spam­mer. Sie kommt auch auf Mail­adres­sen an, die keiner­lei Pro­bleme mit dem Speicher­platz auf der Server haben. Sie sieht so aus:

Screenshot der Spam

Bitte auf keinen Fall diese Spam be­klicken! Ein­fach löschen und ver­gessen! Sie kommt nicht von einem E-Mail-Pro­vider. (Ja, ich wieder­hole mich.) Das be­hauptete Pro­blem liegt nicht vor. Jeder kann diese Spam be­kommen! Es handelt sich offen­bar um einen Phishing-Ver­such, viel­leicht sogar um etwas wesent­lich Übleres.

Dear sag (at) ich (punkt) net

„Liebe Mail­adresse“ ist immer eine gute Anrede!

We noticed your e-mail account has almost exceed it’s limit. And you may not be able to send or receive messages any moment from now

Ihr sen­det zwar mit ge­fälsch­ter Ab­sender­adresse aus der Domain admin (punkt) com und habt nichts mit dem Server zu tun, auf dem eure Opfer ihre Mail em­pfan­gen, aber ihr wollt wissen, wie viel Platz das Mail­post­fach dort belegt. Dafür be­haup­tet ihr in einem hüb­schen Bild­chen, es seien 1969 MiB von ver­füg­baren 2000, so richtig gucke mal mit Balken, der kaum noch Platz hat.

Your E-mail Account will be closed if you fail to increase Storage capacity Kindly Click here [sic!] to increase your storage capacity by 30.00GB Free..

Die Lö­sung, die ihr dafür vor­schlagt, ist nicht etwa, Platz zu schaf­fen, indem nicht mehr be­nö­tigte Mails ge­löscht werden – denn zwei GiB soll­ten selbst für die Korres­pon­denz eines neu­ro­tischen Zwangs­schrei­bers aus­reich­end sein¹ – sondern klicki klicki in eine Spam zu machen. Auf den Text „Click here“, den man wirk­lich nur in Spams und un­er­wünsch­ter Re­klame liest, weil kein füh­len­des Wesen so einen dummen Tech­no­sprech schreiben würde. Das wird auch nicht besser, wenn ihr mech­ano­nett „kindly“ davor schreibt, dann aber das Wich­tig­ste „ver­gesst“, näm­lich, diesen Text auch noch zu ver­linken.

Macht aber nichts, habt ihr euch gesagt, dann tippen wir eben noch­mal „Click here“, dies­mal aber mit einem Link.

Click here to add up free 20GB storage.

Großes Kino aus einem kleinen Gehirn! :mrgreen:

Natür­lich geht der Link nicht in die Domain, in der die Em­pfän­ger ihre Mail em­pfan­gen. Die „Reise“ geht statt­des­sen in die Domain turbolinktar (punkt) info, und der Link funkt über einen URI-Para­meter zurück, dass die Spam an­ge­kom­men ist und welche Mail­adresse der Em­pfän­ger hatte.

Er­staun­lich­er­weise funk­tio­niert der Phish­zug noch nicht ein­mal. Die Domain turbolinktar (punkt) info exis­tiert zwar (und sie ist sogar alt), sie wird aber zur­zeit zu keiner IP-Adres­se auf­ge­löst. Das sieht ein kleines biss­chen da­nach aus, als hätte ein Hosting-Pro­vider, der die kri­mi­nel­len Machen­schaf­ten dieses Packs mit­be­kom­men hat, die Not­bremse ge­zogen. Leider be­deutet das nicht, dass das Phishing auf E-Mail-Kon­ten (denn genau darum scheint es sich hier zu han­deln) nicht schon in einer halben Stunde über einen an­deren, flugs an­ge­mie­te­ten Server ir­gend­wo in der Welt wie­der läuft.

Ach ja, wenn man mit dem Klicken nicht schnell macht…

If not gotten from you in the next 24 hours, We shut down your E-mail Account,

…wird übri­gens der Mail­account platt­ge­macht. Nur, damit man auch nicht lange über­legt. Nichts macht einem Spammer näm­lich so viel Sorge wie die Vor­stel­lung, dass ein „an sich ge­eig­netes“ Opfer durch ein­faches Nach­den­ken be­merkt, wie dumm und dünn der Bull­shit in der Spam ist. Und deshalb hetzen Spammer gern, ins­be­son­dere beim Phishing. Da wird dann er­zählt, dass man nur ganz wenig Zeit hat, um Druck auf­zu­bauen; wohl­wissend, dass Stress dumm macht.

Until after proper verification before you can access your E-mail Account Again….!!!

Wow, „verification“ kenne ich sonst immer von den Banken, bei denen ich nicht Kunde bin und „von denen“ ich „E-Mail“ kriege, um mein Konto zu veri­fi­zieren. Denen darf ich dann immer alles noch mal sagen, was die Banken längst schon wissen. Aber natür­lich nie auf deren eigenen Servern, immer nur an eher obskuren Orten im Internet… :mrgreen:

Thanks.
Domain Security 2014/2015.

Wie, nächstes Jahr wollt ihr aufhören? Das wär schön! :D

Und nun noch etwas ganz Wich­tiges!

Da die Web­site der Spam­mer zur­zeit nicht exis­tiert, weiß ich nicht, worum es wirk­lich ging. Es scheint mir aber sicher, dass es sich um Phishing han­delt, mut­maß­lich auf E-Mail-Pass­wörter (und damit vor allem auch auf Leute, die für viele ver­schie­dene Dienste immer wieder das gleiche Pass­wort be­nutzen).

Bitte, achtet immer darauf, wo ihr eure Pass­wör­ter eingebt!

Ein Pass­wort ist eine Sich­er­heits­maß­nah­me, die nur funk­tio­nie­ren kann, wenn das Pass­wort ge­heim­ge­hal­ten und nur dort ver­wen­det wird, wo man sich mit diesem Pass­wort iden­ti­fi­ziert. Des­halb sollte man bei jeder Pass­wort­ein­gabe be­son­ders auf­merk­sam sein und sich immer vor der Ein­gabe ver­ge­wis­sern, dass man das Pass­wort wirk­lich dort ver­wen­det, wo man sich mit diesem Pass­wort iden­ti­fi­ziert. Bei einem Web­dienst kann man dies etwa tun, indem man in die Adress­zeile seines Browsers schaut.

Diese Vor­sicht ist der ein­zige und wich­tig­ste Schutz gegen den Miss­brauch von Zu­gangs­daten. Sobald dieses Pass­wort einem Dritten mit­ge­teilt wurde, ist es kom­pro­mit­tiert.

Bitte seid so vor­sich­tig! Wenn diese Vor­sicht mit einem klug ge­wähl­ten Pass­wort kom­bi­niert wird, das in keinem Wörter­buch zu finden ist, keinen Namen und kein Ge­burts­datum ent­hält, das im gün­stig­sten Falle eine völ­lig sinn­lose Zeich­en­folge ist, dann ist viel für die Sicher­heit im In­ter­net getan. Und das sollte es wert sein.

Danach stellt sich nur noch eine Frage: Ist mein Passwort sicher genug? ;)

Danke, M., dass du mir das weitergeleitet hast.

¹Zum Vergleich: Unser täglich Spam ist ein Blog, das seit beinahe achteinhalb Jahren nahezu täglich mit Text befüllt wird. Es enthält ferner Leserkommentare. Das Blogsystem speichert bei Korrekturen auch die vorherigen Versionen, und ich lösche die im allgemeinen nicht. Der gesamte Datenbestand – mit technischen Zusatzdaten wie Schlagwörtern, Kategorien, Metadaten aller Art – in der Datenbank umfasst in diesem Moment 21,1 MiB, dazu wurden 153 MiB weitere Daten (hauptsächlich Bilder) hochgeladen. Wenn ich für dieses Blog „nur“ zwei GiB zur Verfügung hätte, dann hätte ich in diesen achteinhalb Jahren lediglich ein Zehntel davon belegt. Kein Mensch bekommt leicht ein Gibibyte voll! Es ist verdammt viel Platz!

Good day Elias Schwerdtfeger NowYou Can Get Med

26. Juni 2015

Wie, jetzt erst?! :D

Nun gut, greife ich mal eine x-be­lie­bige 08/15-Spam raus, wie sie so all­ge­gen­wär­tig ist, dass sie sich kaum noch je­mand an­schaut.

Have a nice day Elias Schwerdtfeger
Here You Can Order Exclusive Pills :-)
http (doppelpunkt) (doppelslash) tulaykumasci (punkt) com (slash) wp (strich) content (slash) themes (slash) breeze (slash) stuck (punkt) php

Hey, Spammer!

Ist ja toll, dass du meine Mail­adresse mit meinem Namen zu­sam­men­ge­kriegt hast. Und noch be­grüßens­werter finde ichs, dass dir gar nichts ge­fähr­liches ein­fällt, um dieses Wissen für deine krimi­nellen Machen­schaften zu be­nutzen – denn auch die nie­drig­sten Preise für ir­gend­welche Pimmel­pillen bräch­ten mich nie­mals auf die Idee, bei einem ge­mein­ge­fähr­lichen Gift­mischer von Spam-Apo­theker zu kaufen. Allein die Tat­sache, dass je­mand Medi­ka­mente ver­kauft und zur Auf­fas­sung kommt, diese gingen nur mit il­legaler und aso­zialer Spam weg… nee, friss deine Gift­pillen ein­fach selbst!

Eben­falls lustig ist die an­ge­ge­bene URL. Diese geht direkt in das Theme-Ver­zeich­nis einer Word­Press-In­stal­lation und legt auf diese Weise Zeug­nis davon ab, dass du…

  1. …ent­weder an­de­ren Leuten Word­Press-Themes mit fern­steuer­barem Tro­janer-Code zum Down­load und zur In­stal­lation an­bie­test, oder…
  2. …dass du an­fäl­lige Word­Press-In­stal­la­tionen crackst, um solchen Tro­janer-Code rein­zu­machen.

In beiden Fäl­len ist voll­kom­men klar, dass man von dir nicht ein­mal ein harm­loses An­gebot an­nehmen sollte, weil du ein Ver­brecher bist.

Dieser Ein­druck wird dann davon ver­stärkt, was unter dem von dir an­ge­ge­benen Link zu finden ist. Natür­lich liegt dort keine Apo­theke, sondern nur ein Weiter­leiter, den du brauchst, weil deine rich­tigen Be­trugs­domains sonst bin­nen einer halben Stunde auf jeder Black­list dieser Welt stün­den. Und dein in Java­Script rea­li­sier­ter Weiter­leiter zieht es vor, etwas kryp­tisch zu sein:

Screenshot eines Terminal-Fenster mit der Ausgabe von lynx -dump -mime_header von der angegebenen URL, die eine in JavaScript programmierte Entschlüsselung verschlüsselten JavaScript-Codes zeigt; der entschlüsselte Code wird dann nach 1,3 Sekunden ausgeführt. Ansonsten gibt es, von einem idiotisch-dadaistischen Titel einmal abgesehen, keine weiteren Inhalte.

Spammer, es besteht kein tech­nischer Grund, da nicht direkt

window.top.location.href = 'http://genericherbpurchase.ru';

rein­zu­schreiben. Das kommt näm­lich bei der „Ent­schlüs­se­lung“ heraus¹. Der ein­zige Grund, wes­halb du das so ver­schlüs­selst, liegt in der Er­schwe­rung auto­ma­tischer Scans. Und dir soll ich Pillen ab­kaufen?

Screenshot der betrügerischen Website. Eine Pimmelpillen-Apotheke der Marke 'Canadian Pharmacy' mit hochnotpeinlichen Amerika-Getümel in deutscher Sprache

Weil du so ein „ka­na­discher Apo­theker“ bist? Dessen Web­site in der TLD für Russ­land liegt? Und der mir am 26. Juni erzählt, dass heute der 4. Juli sei, ganz so, als ob der 4. Juli für mich ir­gend­eine Be­deu­tung habe? (Oder haben die USA in­zwischen ein Stern­chen mehr auf ihrer Flagge, und ich habs noch nicht mit­be­kommen? Wäre gar nicht so schlecht, dann hätte die BRD end­lich mal eine Ver­fas­sung und die Menschen in der BRD Rechte…)

Ach komm, Spammer! Da hät­test du dir die „deutsche Über­set­zung“ deiner Gift­apo­theke auch gleich sparen können.

Dein dich „genießender“
Nachtwächter

¹Um das zu „entschlüsseln“, habe ich einfach den Code editiert und anstelle von setTimeout eine Ausgabeanweisung verwendet. Bei solchen Versuchen ist immer Vorsicht geboten, vor allem, wenn man nicht leicht verstehen kann, was im betrachteten Code geschieht oder wenn man nicht genau weiß, was man tut. Es ist Code von Kriminellen, mit dem herumgespielt wird! In diesem Fall war es trivialer und verständlicher Code…

Your Grant Prize

25. Juni 2015

Frisch aus dem Honigtöpfchen!

Your Email,

Genau mein Name!

Please be informed that your email address has been given a compensation grant for the sum of Nine Hundred and Twenty Thousand Euros cash reward from the United Nations 2015 Charity Program Worldwide.

Und dieser „genau mein Name“ bekommt grund­los 920 Kilo­euro von den Ver­ein­ten Natio­nen ge­schenkt. Sehr glaub­wür­dig.

You are advised to open correspondence with your program payout agent Mr.De Luca Antonelli with telephone number 0039 351 149 xxxx and Email: delucaantonel (at) aim (punkt) com

Leider hatten die „Ver­ein­ten Natio­nen“ keine freien Mail­adres­sen mehr auf ihrem eige­nen Server und müs­sen des­halb mit ob­sku­ren AOL-Adres­sen über Bei­nahe-Millio­nen­be­träge kom­mu­ni­zie­ren.

Aber bevors den Zaster gibt…

Send Your Name, Country of origin and Telephone number.

…bitte erst­mal den „Ver­ein­ten Na­tionen“ mit­tei­len, wer man über­haupt ist. Und an­schließend bitte nicht da­rüber wun­dern, dass die „Ver­ein­ten Na­tionen“ ir­gend­welche fi­nan­zielle Vor­leis­tungen nicht wie jede da­her­ge­lau­fene Ba­na­nen­re­pu­blik auf ir­gend­welchen Bank­kon­ten em­pfan­gen, son­dern nur maxi­mal ano­nym über Western Union (und neu­er­dings, wie mir ge­sagt wurde, an­geb­lich auch gern mal in Bit­coin).

Congratulations,

Ciampi Morganti

Also, Herz­lichen Glück­wunsch zum Geld­ge­schenk für „Deine E-Mail“.

Questa e-mail è stata controllata per individuare virus con Avast antivirus.
http://www.avast.com

Zerti­fi­zierte Spam, mit spa­nischem Avast-Spam­siegel drunter.

Die Avast-Regel filtert weiterhin keine einzige erwünschte Mail, aber jede Menge Spam.

GruЯ!!!

25. Juni 2015

Ich vermute das diese E-Mail eine Uberraschung fur Sie sein wird, aber es ist wahr.

Nein, nach diesem Be­treff bin ich weder über den „In­halt“ noch über die feh­len­den Pünkt­chen über einigen Vo­kalen über­rascht. Dass es nicht einmal einen An­rede­ver­such gibt, ist auch nicht weiter ver­blüf­fend für mich, und dass der lite­rarisch wenig er­quick­liche Text der Spam aus Frag­men­ten zu­sam­men­ge­fum­melt wurde, die schon vor zehn Jahren (und ver­mut­lich ein, zwei Jahr­zehnte davor schon in Faxen und Briefen) be­nutzt wurden, kenne ich zu gut. Mir quillt je­den Tag das Post­fach mit solchem Schrott voll.

Ich bin bei einer routinen uberprufung in meiner Bank (Standard Chartered Bank von Sud Afrika) wo ich arbeite, auf einem Konto gestolen, […]

Bester Ver­schrei­ber in einer Vor­schuss­be­trugs­spam ever!

[…] was nicht in anspruch genommen worden ist, wo derzeit $14.300,00 gutgeschrieben sind. Dieses Konto geh?rte Herrn Christian Eich, der ein Kunde in unsere Bank war, der leider verstorben ist.

Ja und, ich heiße gar nicht Eich.

Damit es mir moglich ist dieses Geld $14.300,000 [sic!] inanspruch zunehmen, benotige ich die zusammenarbeit eines Auslandischen Partner wie Sie, der mir die erforderliche Hilfe geben kann fur diese In anspruchnahme.

Ich stelle zu deinem „Ge­schäfts­vor­schlag“, Spammer, Fol­gendes fest:

  1. Du bist nach eigenen Aussagen Banker und soll­test des­halb viel Wert auf prä­zise und un­miss­ver­ständ­lich an­ge­gebene Zahlen legen, aber kon­sis­tente Dezi­mal­trenner bei der An­gabe der Summe hast du nicht hin­be­kommen. Der Be­trag ist als 14,30 Dollar oder als 14.300 Dollar lesbar. Solche Fehler passie­ren nicht ein­mal einem Hunger­kauf­mann.
  2. Du gehst mit Millionen­be­trägen um und willst dir ein paar Milliönchen unterm Nagel reißen, aber die paar Euro zwan­zig für einen rich­tigen Dol­metscher hast du nicht übrig, so dass jeder Mensch, der auch nur für fünf­zig Euro­cent Hirnes hat, von deinem mecha­nisch zum rein­sten Dada gemachten Kom­mu­ni­ka­tions­ver­such einen ge­sund­heits­ge­fähr­denen Lach­anfall kriegt.
  3. Und wenn du mal einen Part­ner für einen Millionen-Be­schiss brauchst, dann schreibst du ir­gend­welche Leute an, die du so wenig kennst, dass du sie nicht einmal bei ihrem Namen an­sprechen kannst. Selbst ein „Ge­schäft“ mit einer Face­book-Be­kannt­schaft wirkt damit ver­glichen glaub­würdig¹.
  4. Ach ja: Und in Süd­afrika be­nutzt man beim Ver­fassen von E-Mails die kyril­lische Code­page, genau wie in den meis­ten sla­wisch­sprach­igen Län­dern. Des­halb habe ich nicht die ge­ringste Chance, Afri­kaans zu ver­stehen². Da ist so viel Russisch drin.

Sei doch mal ehr­lich zu dir selbst, Spammer! Fin­dest du nicht, dass du wie ein frisch schädel­ent­kernter Voll­idiot rüber­kommst?! Da hilft es dir auch nicht…

Bitte Lesen: http://news.bbc.co.uk/1/hi/world/europe/85 9479.stm

…dass du einen in­zwischen völlig ver­brauch­ten Link in die Web­site der BBC legen kannst, die in der Tat deut­lich seri­öser als deine dumme, durch keiner­lei Hirn­tätig­keit mit­ge­formte Spam ist.

Ihr Anteil ware 30% von der totalen Gange, wahrend die restlichen 70% ist fur mich und meine Kollegen. Wenn Sie interessiert sind, konnen Sie mir bitte eine E-Mail schicken, damit ich Ihnen mehr Details zukommen lassen kann. Bitte, Sie mussen diese Transaktion sehr vertraulich behandeln weil die Transaktion einer DEAL ist.

So so, sehr „ver­trau­lich“: Ich habe diese Spam mit iden­tischem Wort­laut (aber ver­schie­denen Be­treff­zeilen und aus­ge­dachten Namen) übri­gens auf neun ver­schie­denen Adres­sen ge­sehen. Und das war nur heute. Und der Tag ist erst halb rum.

Falls Sie mein Angebot akzeptieren und mit mir zusammenarbeiten, wurde mich das sehr freuen. Sobald ich Ihre Antwort (Adresse,email adresse und Telefonnummer) erhalten habe, werde ich Sie mit den Details vertraut machen und unser Treffen in Europa arrangieren.

Immer­hin, das muss ich dir lassen: Du hast raus­ge­kriegt (oder dir von einem Neun­jährigen er­klä­ren lassen), wofür dieser Reply-to-Header in einer Mail gut ist, so dass man auf „Ant­wor­ten“ klicken kann, um die Spam zu be­ant­wor­ten. Das kriegt nicht jeder hin.

Aber die dort ver­wen­dete ano­nym re­gis­trier­bare und kos­ten­lose Mail­adresse bei AOL will so gar nicht zur „Ver­trau­lich­keit“ passen.

Mit freundlichen Grussen

Richard Etemesi

Du mich auch!

¹Aber kommt jetzt nicht auf die Idee, auf Leute reinzufallen, die sich drüben bei Spambook ihre Opfer suchen. Ich bin mir sicher, dass das läuft, ich bekomme es nur nicht mit.

²Im Gegensatz zum klanglich sehr ähnlichen Niederländisch, das ich nach einigem Einhören relativ gut verstehe…