Ihrer Sendung 00340489766158649254

29. Juli 2014

Der gefälschte Absender lautet DHL Paket <paket (at) dhl (punkt) de>, und die Ziffernfolge ist jedesmal anders – immerhin, der Spammer hat so viel „Kompetenz“, dass er die Funktion zur Erzeugung von Pseudozufallszahlen gefunden hat. Das schafft nicht jeder.

In die HTML-formatierte Spam eingebettet sind drei GIF-Grafiken: Eine mit dem DHL-Logo, eine weitere mit einer Fußzeile „Deutsche Post DHL“ und eine dritte mit dem Logo von s.Oliver. Natürlich haben diese Unternehmen nichts mit dem Absender zu tun. Die Reputation dieser Unternehmen muss nur dazu herhalten, einer dummen Spam Gewicht zu geben, damit sie zumindest bei einigen Empfängern glaubwürdig aussieht – und damit diese Empfänger dann die angehängte Schadsoftware auf ihrem Computer installieren. Ich werde diese von irgendwo aus dem Internet „mitgenommenen“ Grafiken im Zitat nicht wiedergeben.

Sehr geehrte Kundin, sehr geehrter Kunde,

Genau das ist die richtige Ansprache für namentlich bekannte Kunden

die für Sie bestimmte Sendung 0034881724168793821 wurde an DHL übergeben und wird voraussichtlich am 30.07.2014 zwischen 12:30 – 15:30 Uhr zugestellt.

…die sich dann auch nicht weiter darüber wundern, dass in der Mail eine ganz andere Nummer steht als im Betreff der Mail. :D

Tja, Spammer! Das mit den Pseudozufallszahlen hast du hinbekommen, jetzt musst du noch lernen, wie man die in einer Variablen speichert, um sie mehrfach zu verwenden. In der nächsten Spamwelle kannst du das vielleicht! Oder auch nicht…

Mit freundlichen Grüßen,
Ihr DHL Team

im Auftrag von

Ja ja, „im Auftrag von“. Von nichts. Immer eine gute Sache.

Diese Mail dient lediglich der Information und garantiert nicht die Zustellung der Sendung. Auf diese Mail kann nicht geantwortet werden. Ihre E-Mailadresse wird ausschließlich für die Paketankündigung der oben genannten Sendung genutzt und nicht zu werblichen Zwecken gespeichert. Sollten Sie die Paketankündigung nicht mehr beziehen wollen, klicken Sie bitte hier: DHL Benachrichtigungsservice

Und „klicken Sie bitte hier“, wenn darauf kein Link folgt, ist auch gnadenlos doof. Das ist halt mistig, wenn man die Texte irgendwie schnell aus Mails und aus dem Internet zusammenkopiert und gar nicht mehr drauf achtet, was für ein Müll dabei herauskommt.

Das Zitat des Impressums von DHL spare ich mir mal – auch dort wurden die drei Links auf „Website“, „Kontakt“ und „Impressum“ nicht gesetzt.

Diese Spam hat einen Anhang, und das ist der eigentliche Zweck dieser Spam. Es handelt sich um… ja, ich weiß: das langweilt inzwischen… ein ZIP-Archiv, in dem sich eine Datei befindet, deren Name auf .pdf.pif endet. Auch, wenn die Dateinamenserweiterung .pif den meisten Jüngeren nicht mehr bekannt sein sollte – es handelt sich um Parameter, mit denen MS/DOS-Anwendungen unter Microsoft Windows gestartet werden¹ – ist der übliche „Dateinamenstrick“ erkennbar. Und natürlich ist .pif eine ausführbare Datei für Microsoft Windows, was bedeutet, dass bei einem Doppelklick auf diese Datei ein von Verbrechern zugestelltes Programm ausgeführt wird.

Und dieses von Verbrechern zugestellte Programm ist wie immer eine sehr aktuelle Schadsoftware, die nur von rund einem Fünftel der gängigen Antivirusprogramme als solche erkannt wird. Das als Sicherheit verkaufte Antivirusprogramm war also oft völlig nutzlos. Wer sich nur darauf verlassen hat, hatte hinterher einen Rechner anderer Leute auf dem Schreibtisch stehen. Deshalb ist es so wichtig, die Spam als solche zu erkennen und zu löschen, damit man auf so eine Überrumpelung nicht hereinfallen kann. Selbst dann nicht, wenn man zu den vielen zehntausend Menschen gehört, die gerade eine Bestellung gemacht haben und ein Paket erwarten.

In diesem Fall war das Erkennen der Spam sehr einfach:

  • Die Ziffernfolge war in Betreff und Mail verschieden.
  • Die Ansprache „Sehr geehrter Kunde“ ist unpersönlich.
  • Die Spam ist sehr schlampig gemacht, Links wurden einfach vergessen.

Dass es so einfach ist, ist ein Glücksfall. Wenn eine derartige Spam mit persönlicher Anrede kommt und gut formuliert ist, ist sie gefährlich. Deshalb gilt es für jeden Menschen mit Mailadresse, sich eine einzige Sache gut zu merken und immer daran zu denken: Jede angeblich geschäftliche E-Mail mit einem Dokument im Anhang, deren Text nichts über den Vorgang mitteilt, stinkt. Das gilt in besonderer Weise für Anhänge mit ZIP-Archiven, in denen angebliche PDF-Dokumente liegen, denn es gibt keinen technischen oder irgendeinen anderen plausiblen Grund, ein bereits komprimierbares Dokumentformat wie PDF noch einmal zu packen und damit für den Empfänger schwieriger zugänglich zu machen, da er nun zwei Schritte zum Lesen ausführen müsste. Der einzige Grund für ein derartiges Vorgehen ist es, Schadsoftware durch derartige Verpackung an Spamfiltern vorbeizubringen².

Die Faustregel zum Selbstschutz lautet: Es hängt ein ZIP dran, ich mach das nicht auf, sondern lösche den Müll! (Und wenn es doch einmal plausibel sein könnte, dann rufe ich, bevor ich irgendetwas anderes mache, beim Absender an und stelle auf diesem Weg sicher, dass es sich nicht um eine Spam handelt.)

¹Die Frage, warum im Jahr 2014 – also mehr als Jahrzehnt nach dem völligen Verschwinden MS/DOS-basierter Windows-Versionen und unter Bedingungen, in denen praktisch niemand mehr unter MS/DOS laufende Software verwendet und in denen jeder mit einem entsprechenden Bedürfnis die DOSBox verwenden würde – also, warum zum hackenden Henker immer noch ein Workaround zur Ausführung von MS/DOS-Anwendungen in einem Fenstersystem zur MS-Windows-Standardinstallation für jeden verdammten Anwender auf dieser Welt gehört, diese Frage stellen sie bitte dem Betriebssystemhersteller ihres Vertrauens! Die Kriminellen, die mir diese Spam geschickt haben, freuen sich ja drüber…

²…oder als „Deutsche Telekom“ die digitale Signatur zusammen mit dem Dokument zu versenden, weil dort noch niemand gemerkt hat, dass PDF-Dateien digital signierbar sind. Möge Hirn über dem Laden abregnen, damit er nicht mehr durch seine technische Vorgehensweise Haltungen schafft, die vor allem der organisierten Kriminalität nutzen!

Mr James

28. Juli 2014

Das war der ausgedachte Name des Kommentarspammers, der den folgenden Kommentar auf Unser täglich Spam hinterlassen hat – die Zeilenumbrüche sind aus dem Original:

Wir bieten Darlehen rechtliche Organisation, die
gegründet wurde, um Menschen, die Hilfe, finanzielle
Hilfe brauchen. [sic!] Also, wenn Sie in finanziellen
Schwierigkeiten oder Sie sich in einem finanziellen
Schlamassel [sic!] und Sie Geld brauchen, um Ihr eigenes
Geschäft zu starten, oder Sie brauchen einen Kredit,
um Schulden abzuzahlen [sic!] oder die Zahlung von
Rechnungen, starten Sie ein gutes Geschäft oder
hatte Schwierigkeiten, ein Darlehen von lokalen
Banken, Kontaktieren Sie uns noch heute per E-Mail:
jameswoodloan (at) gmail (punkt) com Also diese Gelegenheit
nicht entgehen. Für die schweren Gedanken und
gottesfürchtige Menschen. [sic!] Kreditantrag [sic!]
Name: _______
Adresse: _______
Staat: _______
Beruf: _______
loan________
Anwendungsdauer loan________
Einkommen: _______
Telefon: _______
E-Mail: _______
Password________ [sic!]
Bitte kontaktieren Sie uns über unsere E-Mail: E-Mail:
jameswoodloan (at) gmail (punkt) com

Toll, ein Formular zum Ausfüllen in einem Spamkommentar! Das kann man ausdrucken, den Rest der dargestellten Website einfach mit einer Schere wegschneiden, ausfüllen, einscannen und an eine E-Mail anhängen! Ganz großes Kino im Hohlraum des Spammers!

Besonders „lobenswert“ an diesem Ausfluss aus einem weniger zu schweren Gedanken geeigneten Gehirn finde ich ja, dass man dem Spammer zu seinem Datenstriptease gleich noch ein Passwort mitteilen soll. Welches? Egal, denn die „Zielgruppe“ dieser Kommentarspam – Leute, die allen Erstes glauben, dass in Kommentarbereichen von Blogs Reklame für Darlehen gemacht wird und dass Darlehensgeber ihre geschäftliche Korrespondenz über eine anonym einzurichtende und kostenlose Mailadresse bei Google Mail erledigen – ja, diese „Zielgruppe“ verwendet eh nur ein Passwort. Und zwar überall das gleiche, vom Forum über die Mail über Amazon bis zu PayPal…

Ach ja, apropos Passwort: Ist das Passwort auch sicher genug?! ;)

Stellenangebot

27. Juli 2014

Eine Anrede ist sowas von gestern, gleich zur Sache.

Wir sind eine Head Hunter die einen Angestellten in Deutschland sucht.

So so, „Headhunter“ seid ihr. Als erstes habt ihr damit angefangen, eurem eigenen Kopf nachzustellen, und ihr habt ihn (vermutlich mit etwas großkalibrigen Geschossen) erlegt. Und dann ist euch die Idee mit dem Spammen gekommen. Ganz so, als würde euch jemand glauben, dass ihr x-beliebige Leute für unbenannte Unternehmen sucht, und als wäre euch da keine bessere Methode als illegale und asoziale Spam eingefallen.

Und? Um was für einen Job geht es diesmal? Pakete auf eigener Anschrift empfangen und an jemanden anders weitersenden? Geld auf eigenem Konto empfangen und über Western Union zu irgendeinem anonymen Gegenüber in die schöne weite Welt beamen? Als Briefkasten zur Verfügung stehen?

Nun, ihr beschreibt die „Tätigkeit“ mit folgenden Worten:

Gutbezahlter Lohn
Sozialpaket [sic!]
Jahrlicher Urlaub
Bonus

Und das alles für eine Tätigkeit, die nicht beschrieben wurde, die aber so wenig Anforderungen stellt, dass man wahllos Leute mit Spam dafür anwerben kann.

Sende uns bitte Deine aussagekraftige Bewerbung mit Lebenslauf, per E-mail an:
lebenslauf (at) caterekrecruitment (punkt) net

Auf gar keinen Fall auf „Antworten“ klicken, denn der Absender der Mail ist gefälscht – und ihr Idioten von Spammern habt noch nicht nachgelesen, wofür so ein Reply-to-Header gut sein könnte. Weil: Wenn ihr euch Mühe geben würdet, könntet ihr ja gleich mit Arbeiten anfangen.

Mit freundlichen Gruben [sic!]
Staffing agency Caterek

„Freundliche Gruben“, das passt. Bis auf die „Freundlichkeit“.

Sie haben einen großen Fehler gemacht

26. Juli 2014

Stimmt, ich habe meine Mail abgeholt…

Wow. Ich muss etwas aus meiner Brust bekommen: [sic!]
Sie vermasselt.

Ich habe Ihnen ein Narr Beweis Weg [sic!], um Geld zu machen
und Sie nicht einmal versucht, diese noch zu haben.

Sehen Sie, was ich meine?
Sie können Geld verdienen
nur mit Computer oder Handy.

Sie führen die App und Sie bezahlt. [sic!]
Sie können es jetzt beheben [sic!], wenn Sie sich beeilen und folgen Sie den kostenlosen Anweisungen: => Hör zu [sic! Der Linktext des Jahres!]

Tun Sie dies, gerade jetzt, wenn Sie über Ihr Bankkonto zu sorgen.

cheers,
Adam Bevan

Diese Nachricht wurde bestimmt für: xx.xx (at) gmx (punkt) de
Wenn Sie diese Empfehlungen nicht erhalten möchten: Mich entfernen [sic!]
Wenn Sie den Erhalt von E-Mails von diesem Absender nicht erlaubt haben, benachrichtigen Sie uns bitte

Diese wundersame, realdadaistische Spam, die mindestens acht Punkte auf der nach obenen offenen Schwitters-Skala erreicht und deren Entfaltung in die Lächerlichkeit durch jedes kommentierende Wort gehindert würde, wurde mir von meinem Leser R. F. zugesteckt – danke nochmal. ;)

Re: Re: Darlehen Angebot zwischen bestimmten und Gesellschaft

24. Juli 2014

Hallo herr und Damen [sic!]

Sie haben Schulden, finanzielle Rechtsstreite und all Ihre Versuche bei den Banken und Finanzinstitute haben nicht bis heute funktioniert?

Sie haben die Möglichkeit, von 1.000 Eur zu 9.000.000 Eur [sic!] zu leihen. Wenn Sie eine ehrliche Person und gutgläubig [sic!] sind, sind wir bereit, Ihnen den Betrag Ihrer Wahl zu bewilligen.

Meine Bedingungen:

Ich kann Ihnen ein Darlehen bis zu 9.000.000 Eur anbieten. [sic!]
Der jährliche Zinssatz beträgt 3%.
Die Dauer der Rückzahlung darf nicht 30 Jahre überschreiten.
Die Transaktion wird 72 Uhr (3 Tage) [sic!] dauern, und Sie werden das
Darlehen in Ihrem Bankkonto haben.

Wir müssen einen Vertrag unterzeichnen. [sic!]

Kontaktieren Sie uns für weitere Informationen und unseren Konditionen: info (at) track (strich) finance (punkt) com

Mfg [sic!]

TRACK FINANCE

ROLAND PATRICK
6 BIS BOULEVARD BÉRANGER,
BP 60253 37012 TOURS/FRANCE
Mail: klaus (punkt) jean (at) hotmail (punkt) com
Tél: (+33)078576xxxx

Ohne Worte.

Angebot für kostenlosen Linktausch

23. Juli 2014

Oh schön, an die Honigtopf-Adresse…

Die etwas flatterhaften Zeilenumbrüche im Zitat sind aus der Spam.

Hallo,

Ich heiße aber „Sehr geehrter Webmaster“.

Ich möchte mich gerne vorstellen: mein Name ist Eric Lehrer,
Da ich sehr viele hochqualitative seiten betreibe, möchte ich einen
kostenlosen Linktausch mit spam.tamagothi.de oder anderen Seite, die Sie besitzen, vorschlagen.

Du betreibst also sehr viele hochqualitative „Seiten“, du Lehrer, du. Aber welche das sind, möchtest du in deiner Müllpost lieber nicht erwähnen, weil sonst klar wird, welche Bedeutung das Wort „hochqualitativ“ für dich hat. Ich verstehe. Und du willst, dass ich auf solche Qualitätsseiten – nicht Sites, du hast es nicht so mit der korrekten Ausrucksweise – Linki Linki setze. Auf Sites, die so viel Qualität haben, dass sie niemand freiwillig verlinken will, so dass du irgendwelche eingesammelten Mailadressen vollmüllen musst. Und was kriege ich dafür? Mal schauen…

Sie werden sicher gerne hören, dass ich viele Ideen für einen Linktausch habe,
welcher sicherlich zu unserem Vorteil sein und unsere Rankings bei Google
vorteilhaft beeinflussen wird.

Ah genau, nichts. Okay, du machst auch Linki Linki zu mir. Auf irgendeiner deiner Qualitäts-Linkschleudern, die eher dazu führt, dass jede dort verlinkte Site von Google abgestraft wird. Und wenns dann bei mir mal so aussieht, dass Google mich als spammige Dreckssite behandelt, weil ich wie ein naiver Idiot auf solche Angebote reagiere und sinnlose Links auf illegale Glücksspielsites setze, dann bittest du mich einfach darum, die wieder zu löschen. Oder du brauchst das gar nicht, weil die Betrugscasinos längst in andere Domains umgezogen sind. Die Haftung für Links auf Anbieter illegalen Glücksspiels bleibt bei mir. Komm, unter „vorteilhaft“ verstehe ich etwas anderes. Zum Beispiel eine Konstellation, in der du erfreulich tot vor dich hinverwest und ich ohne dich leben kann.

Bitte lassen Sie mich wissen, ob Sie an weiteren Details interessiert sind oder andere Kommentare dazu haben.

Ich freue mich, von Ihnen zu hören!

Eric Lehrer
http://www.deutschseo.com/

Wie, glaubst du Idiot wirklich, dass diese Domain wieder durch Spamfilter kommt, nur weil du sie zwei Jahre lang nicht genutzt hast? Da hast du dich aber getäuscht…

Der ewige Stress mit den Fin an ze n muss nicht sein

22. Juli 2014

Einen wunderschönen guten Tag,

Ja, den habe ich.

Auch bei laufenden Ratenzahlungen und zuvor von Ihrer eigenen Bank abgelehntem Antrag können wir Unternehmer und Privat zu niedrigen Zinsen frisches Geld vermitteln. Diese Chance bieten Ihnen nur Banken aus dem osteuropäischen Raum.

Ach, so ist das. In „Osteuropa“ wächst „frisches Geld“ an irgendwelchen Bäumen, die hier nicht mehr gedeihen, so dass es niemanden mehr auf so einen Quatsch wie Bonität ankommt. Endlich verstehe ich den Drang der Europäischen Union, sich möglichst weit nach Osten zu erweitern… :mrgreen:

Mehr als 30 Banken stehen Ihnen offen, und wir erledigen für Sie alle Formalitäten. Also ideal für Unternehmensgründer, Angestellte und Pensionäre.

Keine dieser mehr als dreißig ganz offenen Banken hat einen Namen, und das „wir“ ebenfalls nicht. Das ist ideal für jeden, der auf eine Aussage eines Unbekannten „mein Kumpel will dir einen Haufen Zaster geben“ mit einem Anfall akuter Gläubigkeit reagiert. Und schließlich noch ein paar Hunderter Vorleistungen auf den Tisch legt, um an das versprochene Geld zu kommen.

Wenn Sie nicht mit Ihrer Hausbank verheiratet sind, […]

*prust!*

[…] dann holen Sie sich den nächsten Kredit zum Billigtarif bei uns.

Ach ja, billig sind die Darlehen auch noch. Und trotz dieser unfassbaren Vorzüge gehen sie einfach nicht weg, sondern können nur über illegale und asoziale Spam an den Darlehensnehmer gebracht werden. Um die letzten Eindrücke von Seriosität zu vernichten, hat der bis jetzt anonyme Idiot von Darlehensvermittler sich dazu entschlossen…

Wenn Sie mehr wissen wollen, dann finden Sie alles Wichtige auf: MaxstandardCredit und ergänzen Sie ohne die Füllzeichen: C-o-M

…in seinem Kampf gegen die garstigen Spamfilter nicht einfach die URL seiner betrügerische Website anzugeben, sondern dem Leser seines Bullshits ein kleines Rätsel für Kopf und Tastatur aufzugeben. Es ist nicht besonders schwierig zu lösen, denn wenn Dumme ausgeschlossen würden, dann würde sich das Geschäft dieser Betrüger nicht lohnen.

Wir wünschen noch einen schönen Tag

F. Bauer
Kundenberater

Ich wünsche dem Absender, dass er eine Zeit erlebt, in der niemand mehr auf dermaßen plumpen Betrug reinfällt.

Hi

19. Juli 2014

Good time of the day Guenther

Wie bitte, Lyna,…

I am loving, caring and romantic girl, maybe a little bit shy.

…du schreibst mir, dass du ein bisschen schüchtern bist, aber machst mit so vielen Typen rum, dass du die Namen durch­ein­ander­würfelst¹? Das klingt aber schon ein bisschen komisch.

I look for a man who will make me feel myself his only and special woman, who will surround me with his tenderness and care http://rlu.ru/1jmn

Und dann soll ich fühlen, dass du, Lyna, die Einzige für mich bist? Die Besondere? Die Auserwählte? Wenn du mich mit anderem Namen ansprichst? Ich unterbreche deinen herzensfeuchten Wortschwall ja ungern, aber das ist eine empfindliche Störung. :mrgreen:

And I will be his second half, I will follow him everywhere and he will be the center of my universe.

Da helfen auch deine mit echtem Spammerehrenwort unterschriebenen Liebesschwüre nicht weiter.

I know how to make a man happy and I hope you can be that man for me.
So long,
Lyna

Dildos gibts im spezialisierten Versandhandel.

Dein dich lesender
Spamgenießer

Wer neugierig ist, was für eine vor Herzchen triefende Website in dieser Spam verlinkt wurde: Hier ist der WOT-Eintrag für diese Site.

Den Namen „Guenther“ in dieser Schreibweise mit „ue“ und „th“ habe ich im Kontext einer anderen Spam verwendet, bei der ich einen Namen und eine Mailadresse angeben sollte, um einen tollen Ratgeber runterzuladen, wie ich ganz viel Geld machen kann. Die „Tipps“ darin spotteten jeder Beschreibung. Aber offenbar machen die Anbieter derartiger Downloads ein ganz gutes Geschäft damit, Datenbanken mit einer Zuordnung von Namen zu Mailadressen zu verkaufen. Gut, in meinem Fall wars natürlich eine Mülladresse, aber viele naive Idioten haben da echte Daten eingegeben. Ich kann es nicht oft genug sagen: Niemals ohne vernünftigen Grund irgendwelche Daten preisgeben! Um einen „kostenlosen Download“ anzubieten, ist es nicht technisch erforderlich, irgendwelche Daten einzufordern. Ich gehe mal davon aus, dass Guenther Knopf noch viel Post bekommen wird…