Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Thank you for your EXPRESS payment

Freitag, 6. August 2010, 20:01 Uhr

Wie jetzt, ich habe was bezahlt. Dabei habe ich doch gar kein Geld, mit dem ich bezahlen könnte…

***PLEASE DO NOT REPLY TO THIS MESSAGE***

Antworten sinnlos, denn der Absender ist wie immer gefälscht.

Dear exxxx (at) hxxxxxxu.de,

Und wenn man jemanden nicht mit Namen anreden kann, denn wirkt es bestimmt total überzeugend, wenn man ihn einfach mit seiner Mailadresse anspricht. Leute, mit denen man geschäftlich zu tun hat, müssen ja persönlich angesprochen werden. Wer würde denn dabei Wert auf eine persönliche, kundenbindende Note legen?

Thank you for your online payment of $500.00. Your payment will be applied on Fri, 6 Aug 2010 19:26:27 +0300

Wow, fünfhundert Dollar habe ich gelegt. Mit welchem Konto? Fehlanzeige. An wen? Fehlanzeige. Total überzeugend. Genau wie die Angabe des Zeitpunktes für diese tolle Transaktion, bei der dieser Spammer keinen Bock hatte, es gut zu machen und deshalb einfach die rohe Ausgabe der Standardfunktion asctime() eingefügt hat. So richtige Alarmstimmung will da einfach nicht aufkommen, und dabei braucht dieser Spammer doch so eine richtige Alarmstimmung, denn er will ja, dass jemand…

Remember you can manage your account online, view statements and pay your bill at www.mycardcare.com/express.

…unüberlegt in einer Spam rumklickt, um diesen angeblichen Vorgang noch irgendwie zu stoppen. So fünfhundert Dollar sind ja keine Kleinigkeit.

Die Mail sieht zwar wegen der betont bescheidenen Formatierung nicht so aus, aber es handelt sich um eine HTML-formatierte Mail. Der Link auf mycardcare (punkt) com kann deshalb auch bequem woanders hinführen, und das tut er auch. Dieser Link geht zu opus22 (punkt) org (slash) x (punkt) html.

Damit ist das Opfer aber noch lange nicht am Ziel, denn dort findet sich erstmal nur eine über ein meta http-equiv... realisierte Weiterleitung auf eine andere tolle Seite in der Domain hoopdotami (punkt) cz (punkt) cc, schön mit einer Affiliate-ID, über die der Spammer wohl seine schäbigen Spamgroschen verdient. Aber mit der Weiterleitung allein ist es noch nicht getan, denn da ist noch ein kleiner unsichtbare IFRAME drin. Was so klammheimlich im Hintergrund dem System reingewürgt werden soll, habe ich jetzt nicht näher untersucht – ein einfacher Aufruf (natürlich nicht im Browser, sondern mit curl und mit dem passenden Referer und einem User-Agent, der einen Internet Explorer simulieren soll) liefert nur eine leere Seite. Trotzdem gut möglich, dass hier bestimmte Systeme gezielt attackiert werden, die Heimlichkeit des Vorgehens lässt nichts Gutes ahnen.

Der eigentliche Zweck der Spam ist jedoch die Weiterleitung. Statt irgendwelcher Informationen über eine Zahlung, die ich veranlasst habe, gibt mir diese tolle Seite einen „liebevoll“ nachgebauten Windows-Desktop, der so tut, als ob er meine Windows-Platten durchscannt…

Screenshot der Seite

…und allerlei Probleme, Viren, Trojaner und dergleichen findet. Und das auf meiner Linux-Kiste! :mrgreen:

Dass diese tolle Datei antivirus_25.exe, die da so frei zum Download angeboten wird…

Screenshot des Download-Dialoges

…alles andere als ein Virenscanner ist, sollte wohl klar sein. Hier wird einfach unerfahrenen Benutzern Angst vor einer enormen Kompromittierung des Systemes gemacht, damit sie ein Software herunterladen und installieren, die ausschließlich über kriminelle Spam verbreitet wird. Die ganzen alarmierenden Meldungen…

Screenshot der alarmierenden Meldungen

…sind reine JavaScript-Programmierungen, die nur im Browser laufen. (Um meinen „Spaß“ daran zu haben, habe ich extra kurz JavaScript aktiviert, es ist bei mir grundsätzlich abgeschaltet.) Hier kommt es den Kriminellen, die so etwas machen, sehr entgegen, dass sich ein großer Teil des Dateimanagements und der Systemverwaltung in Microsoft Windows aus Anwendersicht wie eine Website „anfühlt“, so dass mit derart einfachen Mitteln eine unvernünftig machende Stimmung erzeugt werden kann. Das System wurde nicht auf Viren, Trojaner und Co gescannt, und diese ganzen scheinbaren Meldungen sind reine Irreführung. So etwas auf einer Linux-Box zu sehen, ist allerdings nicht erschreckend, sondern erheiternd. Ein wegen einer „Überweisung“ von fünfhundert Dollar eh schon gestresster Windows-Anwender, der mit JavaScript-Programmierungen konfrontiert ist, die es unmöglich machen, das Browserfenster zu schließen und ständig schreckliche Alarmmeldungen vor die Augen stellen, wird allerdings weniger heitere Stimmung entwickeln – und sich wohl gar nicht so selten dazu entschließen, die „Antivirus-Software“ herunterzuladen und zu installieren…

Wer sich wegen einer derart irreführenden Seite allerdings ein bisschen Software runtergeladen und auf seinem Windows installiert hat, der hat jetzt ein Problem, das eventuell sogar eine komplette Neuinstallation seines Rechners (mit Plattmachen der Festplatte) erfordert. Ich kann es nicht oft genug sagen: In eine Spam klickt man nicht. Niemals. Das gilt besonders für jene unerfahrenen Nutzer, die „Zielgruppe“ derartiger Bauernfängereien sind.

Ein Kommentar für Thank you for your EXPRESS payment

  1. […] „Virustest“ bei mir machte und in liebevoll nachgemachtem Windowsstil darauf hinwies, dass ich doch einen total virenverseuchten Rechner hätte und mir ganz schnell die neueste Schad… (aber wenigstens war das Deutsch inzwischen etwas besser als im letzten Jahr), der zweite Link ging […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert