Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Es ist ein Problem aufgetreten: Unsere Einzahlung eines Betrages von 15.000,00 Euro auf Ihr Bankkonto bei Sparkasse

Montag, 2. Juli 2012, 16:35 Uhr

Hui, im Moment lassen sich die Spammer aber viel einfallen, um Rechner mit Schadsoftware zu infizieren, um sie für ihre kriminellen Machenschaften zu übernehmen. Also Vorsicht! Niemals in eine derartige Spam reinklicken!

Guten Tag,

Ich habe keine Ahnung, wer du bist, denn ich bin ein Spammer. Du hast auch keine Ahnung, wer ich bin, denn ich habe keinen Namen. Wenn du auf den Absender der Mail schaust, wirst du feststellen, dass diese Mail behauptet, von dir selbst zu kommen.

im Auftrag unseres Kunden haben wir eine Einzahlung in Höhe von 15.000,00 Euro auf Ihr Sparkasse-Bankkonto [sic!] vorgenommen.

Obwohl ich dich gar nicht kenne und nicht mit deinem Namen ansprechen kann, wollte ich dir gerade dreißig lila Lappen auf dein „Sparkasse-Bankkonto“ mit einer nicht genannten Kontonummer bei einem nicht genannten Kreditinstitut überweisen. Und zwar im Auftrag eines „Kunden“, der ebenfalls am heutigen Namensmangel teilhat.

Unsere Bank hat uns mitgeteilt, dass die Überweisung aufgrund eines Fehlers in der Angabe Ihrer Zahlungsdaten nicht abgeschlossen werden kann.

Meine Bank – ebenfalls vom Namensmangel betroffen – hat mir mitgeteilt, dass mein Konto nicht gedeckt ist… ach nee, falscher Text! Sei doch bitte mal so bescheuert, dass du einer derartig drilllyrisch vorgetragenen Strunzgeschichte glaubst und…

Bitte überprüfen Sie die Angaben und Bestelldaten auf unserer Webseite.

Bestelldaten überprüfen

…klick auf meinen tollen Link!

Diesen Link gibt es in meinem Posteingang in etlichen Ausführungen unter etlichen Domains, so dass sich die Aufzählung nicht lohnt.

Wie, du bist gar nicht so doof und glaubst mir nicht, dass dir jemand so viel Zaster geben will, ohne dass du weißst, wofür? Dann sei doch bitte so doof…

Falls Sie Rückfragen haben, nehmen Sie bitte Kontakt mit uns auf.

…und klick trotzdem auf meinen tollen Link! Weil: Anrufen kannst du mich nicht, ich habe keine Telefonnummer für Rückfragen angegeben. Und wenn du die Mail wie gewohnt beantwortest, dann schreibst du an dich selbst, weil ich den Absender gefälscht habe. Schließlich bin ich ein krimineller Spammer, und ich will von dir nur, dass du klickst.

Abteilung Rechnungswesen

Eine namenlose Abteilung eines namenlosen Absenders aus dem Land der namenlosen Doofheit.

Ein Klick auf einen der beiden Links führt geradezu in eine Wüste aus Weiterleitungen, die teils über HTTP und teils über JavaScript realisiert sind. (Ich habe das in Handarbeit, nicht mit einem Browser, verfolgt, und es war kein Vergnügen.) Auf dem Weg zum Ziel liegt mindestens ein IFRAME, in dem der erste Versuch einer Infizierung des Rechners läuft. Am Ende landet man immer auf einem Webserver, der auf einer dynamischen IP betrieben wird. Davon sind mehrere im Einsatz, vermutlich werden Bots als Webserver missbraucht. Dieser Webserver liefert vorsätzlich kryptisch gestaltetes JavaScript aus, von dem ich hier gern einen schnellen, ersten Eindruck gebe:

Quelltext der kriminellen Zielseite dieser Spam

Natürlich schaue ich mir die Websites nicht mit einem „normalen“ Browser an, sondern verwende lynx -mime_header, um mit einem Texteditor einen ersten Blick darauf zu werfen. Ein Klick in eine Spam ist russisches Roulette. Die Kriminellen sind technisch auf dem neuesten Stand, so blöd ihre Spams auch manchmal aussehen mögen. Und nein: Ich benutze kein Windows. Der Klick in eine Spam ist immer und mit jedem Betriebssystem russisisches Roulette. Und so genannte Antivirenprogramme und so genannte Personal Firewalls sind keine ausreichende Sicherung gegen die Wucht dieser Kriminalität, sondern hinken den Kriminellen immer ein paar Tage hinterher. Wer nicht weiß, wie man sich dabei absichert, sollte gar nicht daran denken, sich die Machwerke der Spammer anzuschauen!

Es gibt genau einen Grund, das JavaScript-Schüsselwort eval so zu verstecken, wie es hier geschehen ist: Um es an Antivirenprogrammen vorbeizubringen. Dem gleichen Zweck dient die in diesem Fall recht aufwändige „Verschlüsselung“ des auszuführenden Codes. Es ist an sich gar nicht mehr nötig, diese Wüste lesbar zu machen, da schon bei einer Betrachtung völlig klar wird, dass sich jemand lieber verbergen will und wohl einen guten Grund dazu hat. Das „Dechiffrieren“ (im Wesentlichen: Ausgeben anstelle von Ausführen) des JavaScript-Codes zeigte mir, dass da jemand verschiedene, obskur wirkende Tricks mit dem Flash-Plugin ausprobiert, die ich nicht mehr im einzelnen verstehen will. Es handelt sich völlig sicher um einen Versuch, den Rechner mit Schadsoftware zu übernehmen.

Zu diesem JavaScript-Flash-Versuch kommt es noch zur Einbettung eines unsichtbaren Java-Applets, das vermutlich Sicherheitslücken in verschiedenen Java-Implementationen ausbeuten wird.

Wer auf diesen Link in der Spam geklickt hat, hat vermutlich verloren und der Rechner auf seinem Tisch ist jetzt ein Rechner anderer Leute… außer, er verwendet Browser-Plugins wie NoScript, die einen solchen Crack-Versuch an der Wurzel unterbinden oder schaltet – trotz allem Gejuchzes der Reklamebranche über HTML 5 – JavaScript generell ab. Websites, die etwas mitzuteilen haben, schaffen das nämlich auch, ohne dass man einem unbekannten Gegenüber aus dem Web das Privileg einräumt, Code innerhalb des Browsers auszuführen.

Und selbst, wenn derartige Vorsichtsmaßnahmen getroffen wurden, empfiehlt es sich, Spams sicher als solche zu erkennen, niemals in eine Spam zu klicken und derartigen Sondermüll so unbesehen wie möglich zu löschen. Woran man diese Spam erkennen kann, wird ja in meinem galligen Kommentar deutlich… 😉

23 Kommentare für Es ist ein Problem aufgetreten: Unsere Einzahlung eines Betrages von 15.000,00 Euro auf Ihr Bankkonto bei Sparkasse

  1. Gerald sagt:

    Heute war auf Marktcheck (WDR) ein interessanter Beitrag dazu. Nur blöd der Tipp von der Moderatorin. Wenn man unbedingt die Mail öffnen wolle solle es man mit dem Handy tun……

    Ich würde auch davon abraten. Bei Multimedia-Handys ist nicht sicher daß sie nicht infiziert werden können. Ich bin gerade am überlegen ob mein Festnetztelefon auch davon betroffen sein kann 😉 (ich kann damit e-mails abrufen).

    Vielen Dank an Nachtwächer für den Code…gibt mir zu denken…hoffentlich auch den Betreibern legaler Bots. Ich musste mehrmals schauen bis ich „eval“ entdeckte ;).

    Wenn ich jetzt an IPV6 denke und daran daß bald viele Dinge im Haushalt eine IP haben dann stelle ich mir bildlich vor wie nachts ein Kühlschrank zum Monster mutiert und alles im Haushalt sabotiert oder als Agent heimlich andere Rechner belauscht :)) .

  2. wemheuer sagt:

    „die teils über HTTP und teils über JavaScript realisiert sind“
    Dieser Satz sollte vllt. nochmal überdacht werden 🙂

    Ansonsten schöner Beitrag, brachte mich zum schmunzeln. :thumbup:

    • Zugegeben, präzise sieht anders aus, aber so falsch ists nicht. Mal geht über document.location.href, und mal gehts über HTTP 302 Moved Temporarily mit Location-Header auf die nächste Seite. Ob ich auch einen 301er gesehen habe, weiß ich schon gar nicht mehr… 😉

  3. akf sagt:

    Statt lynx kann man für sowas auch „curl -i“ nehmen. Macht man aus einem kleinen „i“ ein großes, bekommt man nur den Header. Und mit „-LI“ kann man Weiterleitungs-Orgien live bewundern (nur Header). Das macht weniger Arbeit. 😉

    • akf sagt:

      Also, versteht mich nicht falsch. Ich habe nichts gegen Lynx. Ganz im Gegenteil! Auf Webseiten, von denen ich weiß, dass die mit Lynx funktionieren, bevorzuge ich den sogar. Leider sind das recht wenige.

      Aber Lynx ist ein vollständiger Webbrowser, und damit nicht das geeignetste Werkzeug für diese Aufgabe…

      Jetzt bin ich aber gerade mal wieder über eine Browser-Statistik gestolpert. Und das brachte mich auf eine Idee…

      Die meisten denken, Lynx verwendet eh keiner, darum brauche ich mich da nicht um Kompatibilität kümmern. Wenn Webseiten-Betreiber sich aber nicht um Lynx-Kompatibilität kümmern, wird es auf deren Seiten auch keiner verwenden. Es ist also eine „selbsterfüllende Prophezeiung“.

      Also, wenn ihr für Lynx Werbung machen wollt, und ihr verwendet einen Gecko-basierten Browser (Firefox, Iceweasel, IceCat…), dann gebt in der URL-Zeile mal „about:config“ ein, evtl. muss man dann eine Warnung bestätigen, dann per rechtsklick einen neuen String anlegen, als Namen „general.useragent.override“ angeben, und als Wert „Lynx/2.8.8dev.5 libwww-FM/2.14 SSL-MM/1.4.1 GNUTLS/2.8.6″. Schon scheint ihr mit dem Lynx unterwegs zu sein. 😉

      Hoffentlich wird das manche Webseiten-Betreiber zum Umdenken bewegen. Das funktioniert aber nur, wenn etliche mitmachen…

      • Zukunftsmusik sagt:

        Coole Sache das. Ich hab‘ mir schon immer mal vorgenommen, ein wenig mit dem Useragent rumzuspielen. Nachdem ich jetzt offensichtlich mit Lynx unterwegs bin, sieht zumindest Google schon mal ein wenig anders aus, als vorher ^^

        Danke für den Tipp!

  4. name sagt:

    Super Genies am Werke, aber nicht in der Lage einen „target=_blank“ einzubauen.

  5. exipnoulis sagt:

    Alles schön und gut. Nun wissen wir wie die Gauner arbeiten und dass sie nur das eine von uns wollen, und wir uns immer ins Gedechtnis rufen müssen, dass das Internet eine Vielzahl von Kriminellen beherbergt. Auch ist es gut zu wissen wie man sich dagegen schützt, naja mehr oder weniger, aber wie geht es weiter wenn der Rechner tatsächlich infiziert ist? Das ist doch die Frage die jeden, der den Links gefolgt ist, interessiert. Leider bleiben diese Empfehlungen aus.

    cu – exipnoulis

  6. […] es durch die Lücke Malware auf den Rechner. Einen Auszug aus dem eingesetzten Angriffscode liefert der Blog "Unser täglich […]

  7. Trollfresser sagt:

    Welche Empfehlung soll er denn bei einer Infektion geben? Da bleibt tatsächlich nur die Neuinstallation des Systems.

    Alles andere setzt voraus, dass man den Rechner forensisch untersucht, sich dabei perfekt auskennt und die jeweilige Malware noch perfekt kennt. Das ist für Otto-Normalverbraucher utopisch und ein Restrisiko bliebe noch dann.

    Die Empfehlung, dass man von einem anderen System aus scannen und bereinigen soll ist zwar nett gemeint aber hier bleibt auch ein Risiko, denn es gibt häufig zig Varianten von Malware, die Routinen zum Entfernen arbeiten aber „stur“.

    Kurz: Neu aufsetzen.

    • Timo sagt:

      Das ist wohl das einfachste, und nur so kann man auch sicher sein das alles verschwunden ist.

    • exipnoulis sagt:

      Sehe ich nicht so. Denn dann werden sämtliche Virenscanner egal welche Erkennungsrate sie haben obsolet und die einzige Empfehlung wäre für den Normaverbraucher, Rechner neu aufsetzen. Was für ihn eine noch größere Herausforderung bedeutet.
      Es sollte für die Anti-Viren Hersteller ein Geringstes an Zeit bedeuten die Schadsoftware zu identifizieren und entsprechend zu reagieren.

      Gehen wir aber von der Annahme aus, dass der Rechner infiziert ist, bleibt immer noch die Frage, bin ich wirklich infiziert oder ist es nur ein Verdacht, der die Massen verunsichert, und zwar durch die Veröffentlichung solcher News.
      Zu jedem guten News über Schadsoftware gehört auch eine Empfehlung wie ich mit dem aktuellen Problem umzugehen habe. Dass ich für die nächsten Male sensibilisiert bin und die Vorschläge einhalte, nützt mir in diesem Augenblick nichts.

  8. Sehr ordentlich analysiert.
    Hast du auch brav die IP gemeldet die solche e-mails versendet?

  9. madcop sagt:

    ich habe auch so eine mail bekommen und sicherheitshalber mal den link nur mit wget geöffnet und mit mc den source angeschaut, rechner waren bei mir einmal in Litauen und der weiterleitungsserver stand in UK.

    grüße und netter blog

  10. […] auch jede Menge Fishing Mails und Co., aber die hat sich “unser täglich spam” mal genauer angesehen. Sehr interessant wie da gearbeitet […]

  11. […] Und damit holen du dir eine aktuelle Kollektion von Schadsoftware auf deinen Rechner. […]

  12. sokobanane sagt:

    ich habe eine frage, du sagst immer man sollte ein besonders sicheres system benutzen. wie sicher ist eine virtuelle maschine im vm player, besteht die möglichkeit eines ausbruchs? ansonsten danke ich dir für deine arbeit, bin seid drei jahren stammleser aller deiner kanäle.

    • Theoretisch besteht die Möglichkeit eines Ausbruchs, wenn Lücken in der VM ausgebeutet werden – aber das setzt schon eine große Perfidie voraus. In jedem Fall kann auch die virtuelle Maschine zum Bot gemacht werden. Wenn man aber eine VM nur zum Spamlinkverfolgen benutzt und ein Abbild mit einem definierten Zustand hergestellt hat, den man hinterher einfach wiederherstellt, sollte das schon ziemlich sicher sein. 😉

  13. […] Schadsoftware unterzujubeln, wenn es irgendeine Lücke gibt, die das zulässt. Vor ein paar Monaten haben sich die Internet-Kriminellen weniger Mühe beim Verstecken gegeben, aber die Masche war die gleiche: Eine aufreizende Mail wegen einer Geldsache, ein Link, und wer […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert